Salom, do'stlar! Sizni yangi FortiAnalyzer ishga tushirish kursimizga xush kelibsiz. Albatta Biz allaqachon FortiAnalyzer funksiyasini ko'rib chiqdik, lekin biz buni yuzaki ko'rib chiqdik. Endi men sizga ushbu mahsulot haqida, uning maqsadlari, vazifalari va imkoniyatlari haqida batafsilroq aytib bermoqchiman. Ushbu kurs avvalgidek hajmli bo'lmasligi kerak, ammo u qiziqarli va ma'lumotli bo'lishiga umid qilaman.
Dars to'liq nazariy bo'lganligi sababli, sizga qulaylik yaratish uchun uni maqola formatida ham taqdim etishga qaror qildik.
Ushbu kurs davomida biz quyidagi masalalarni ko'rib chiqamiz:
- Mahsulot, uning maqsadi, vazifalari va asosiy xususiyatlari haqida umumiy ma'lumot
- Keling, sxemani tayyorlaylik, tayyorgarlik jarayonida biz FortiAnalyzer ning dastlabki konfiguratsiyasini batafsil ko'rib chiqamiz.
- Oson qidirish uchun jurnallarni saqlash, qayta ishlash va filtrlash mexanizmi bilan tanishamiz, shuningdek, tarmoq holati haqida vizual ma'lumotlarni turli xil grafikalar, diagrammalar va boshqa vidjetlar ko'rinishida taqdim etadigan FortiView mexanizmini ko'rib chiqamiz.
- Keling, mavjud hisobotlarni yaratish jarayonini ko'rib chiqaylik, shuningdek, o'z hisobotlaringizni yaratish va mavjud hisobotlarni tahrirlashni o'rganamiz.
- Keling, FortiAnalyzer ma'muriyati bilan bog'liq asosiy masalalarni ko'rib chiqaylik
- Keling, litsenziyalash sxemasini yana bir bor muhokama qilaylik - men bu haqda kursning 11-darsida gapirganman. , lekin ular aytganidek, takrorlash - o'rganishning onasi.
FortiAnalyzer-ning asosiy maqsadi bir yoki bir nechta Fortinet qurilmalaridan jurnallarni markazlashtirilgan saqlash, shuningdek ularni qayta ishlash va tahlil qilishdir. Bu xavfsizlik ma'murlariga turli tarmoq va xavfsizlik hodisalarini bir joydan kuzatish, jurnallar va vidjetlardan kerakli ma'lumotlarni tezda olish va barcha yoki muayyan qurilmalarda hisobotlar tuzish imkonini beradi.
FortiAnalyzer jurnallarni qabul qilishi va ularni tahlil qilishi mumkin bo'lgan qurilmalar ro'yxati quyidagi rasmda keltirilgan.
FortiAnalyzer uchta asosiy xususiyatga ega: hisobot berish, ogohlantirishlar va arxivlash. Keling, ularning har birini ko'rib chiqaylik.
Hisobot - Hisobotlar tarmoq hodisalari, xavfsizlik hodisalari va qo'llab-quvvatlanadigan qurilmalarda sodir bo'ladigan turli tadbirlarning vizual tasvirini taqdim etadi. Hisobot mexanizmi mavjud jurnallardan kerakli ma'lumotlarni to'playdi va ularni o'qish va tahlil qilish uchun qulay shaklda taqdim etadi. Hisobotlardan foydalanib, siz tezda qurilmaning ishlashi, tarmoq xavfsizligi, eng ko'p tashrif buyurilgan resurslar va boshqalar haqida kerakli ma'lumotlarni olishingiz mumkin. Ko'p variantlar mavjud. Hisobotlardan uzoq vaqt davomida tarmoq va qo'llab-quvvatlanadigan qurilmalar holatini tahlil qilish uchun ham foydalanish mumkin. Ko'pincha ular turli xil xavfsizlik hodisalarini tekshirishda ajralmas hisoblanadi.
Ogohlantirishlar tarmoqda yuzaga keladigan turli tahdidlarga tezda javob berishga imkon beradi. Tizim oldindan tuzilgan shartlarni qondiradigan jurnallar paydo bo'lganda ogohlantirishlar hosil qiladi - viruslarni aniqlash, turli zaifliklardan foydalanish va hokazo. Ushbu ogohlantirishlarni FortiAnalyzer veb-interfeysida ko'rish mumkin va siz ularni SNMP protokoli, syslog serveriga, shuningdek, muayyan elektron pochta manzillariga yuborishni sozlashingiz mumkin.
Arxivlash FortiAnalyzer-da tarmoq bo'ylab oqayotgan turli kontentning nusxalarini saqlash imkonini beradi. Bu odatda DLP mexanizmi bilan birgalikda dvigatelning turli qoidalariga to'g'ri keladigan turli xil fayllarni saqlash uchun ishlatiladi. Shuningdek, u turli xil xavfsizlik hodisalarini tekshirish uchun foydali bo'lishi mumkin.
Yana bir qiziqarli xususiyat - ma'muriy domenlardan foydalanish imkoniyati. Ushbu texnologiya turli xil mezonlarga ko'ra qurilmalar guruhlarini yaratishga imkon beradi - qurilma turlari, geografik joylashuvi va boshqalar. Bunday qurilmalar guruhlarini yaratish quyidagi maqsadlarga xizmat qiladi:
- Kuzatuv va boshqarish qulayligi uchun qurilmalarni oʻxshash xususiyatlarga asoslangan guruhlash — masalan, qurilmalar geografik joylashuvi boʻyicha guruhlangan. Xuddi shu guruhda joylashgan qurilmalar uchun jurnallarda ba'zi ma'lumotlarni topishingiz kerak. Jurnallarni diqqat bilan filtrlash o'rniga, siz shunchaki kerakli ma'muriy domen uchun jurnallarga qaraysiz va kerakli ma'lumotlarni qidirasiz.
- Ma'muriy kirishni farqlash uchun - har bir ma'muriy domenda faqat ushbu ma'muriy domenga kirish huquqiga ega bo'lgan bir yoki bir nechta administrator bo'lishi mumkin.
- Disk maydoni va qurilma ma'lumotlarini saqlash siyosatini samarali boshqaring - Barcha qurilmalar uchun yagona saqlash konfiguratsiyasini yaratish o'rniga, ma'muriy domenlar alohida qurilmalar guruhlari uchun mosroq konfiguratsiyalarni o'rnatishga imkon beradi. Agar sizda bir nechta qurilmalar bo'lsa, bu foydali bo'lishi mumkin va bir guruh qurilmalardan ma'lumotlarni bir yil, boshqasidan esa 3 yil saqlashingiz kerak. Shunga ko'ra, siz har bir guruh uchun mos disk maydonini ajratishingiz mumkin - ko'p sonli jurnallarni yaratadigan guruh uchun ko'proq joy ajrating va boshqa guruh uchun - kamroq joy.
FortiAnalyzer ikkita rejimda ishlashi mumkin - Analizator va Kollektor. Ish rejimi individual talablar va tarmoq topologiyasiga qarab tanlanadi.
FortiAnalyzer Analyzer rejimida ishlaganda, u bir yoki bir nechta jurnal yig'uvchilar jurnallarining asosiy agregatori vazifasini bajaradi. Jurnal kollektorlari Kollektor rejimidagi FortiAnalyzer va FortiAnalyzer tomonidan qo'llab-quvvatlanadigan boshqa qurilmalar (ularning ro'yxati yuqorida rasmda ko'rsatilgan). Ushbu ish rejimi sukut bo'yicha ishlatiladi.
FortiAnalyzer Kollektor rejimida ishlaganda, u boshqa qurilmalardan jurnallarni to'playdi va keyin ularni Analyzer yoki Syslog rejimidagi FortiAnalyzer kabi boshqa qurilmaga yo'naltiradi. Kollektor rejimida FortiAnalyzer hisobot va ogohlantirishlar kabi ko'pgina funktsiyalardan foydalana olmaydi, chunki uning asosiy maqsadi jurnallarni yig'ish va uzatishdir.
Turli xil rejimlarda bir nechta FortiAnalyzer qurilmalaridan foydalanish unumdorlikni oshirishi mumkin - Kollektor rejimida FortiAnalyzer barcha qurilmalardan jurnallarni to‘playdi va ularni keyingi tahlil qilish uchun Analizatorga yuboradi, bu esa Analizator rejimida FortiAnalyzerga bir nechta qurilmalardan jurnallarni qabul qilish uchun sarflangan resurslarni tejash va to‘liq e’tiborni o‘ziga qaratish imkonini beradi. jurnalni qayta ishlash.
FortiAnalyzer jurnalga yozish va hisobot berish uchun deklarativ SQL so'rovlar tilini qo'llab-quvvatlaydi. Uning yordami bilan jurnallar o'qilishi mumkin bo'lgan shaklda taqdim etiladi. Shuningdek, ushbu so'rovlar tilidan foydalanib, turli xil hisobotlar tuziladi. Ba'zi hisobot qobiliyatlari SQL va ma'lumotlar bazasi bilimlarini talab qiladi, ammo FortiAnalyzerning o'rnatilgan imkoniyatlari ko'pincha bu bilimlarni yo'q qiladi. Hisobot mexanizmini ko'rib chiqsak, bunga yana duch kelamiz.
FortiAnalyzerning o'zi bir nechta ta'mga ega. Bu alohida jismoniy qurilma, virtual mashina bo'lishi mumkin - turli xil gipervizorlar qo'llab-quvvatlanadi, ularning to'liq ro'yxatini quyidagi manzilda topish mumkin . Shuningdek, u ixtisoslashgan infratuzilmalarda - AWSda ham qo'llanilishi mumkin. Azure, Google Cloud va boshqalar. Va oxirgi variant - Fortinet tomonidan taqdim etilgan bulut xizmati FortiAnalyzer Cloud.
Keyingi darsda keyingi amaliy ish uchun maket tayyorlaymiz. O'tkazib yubormaslik uchun bizning kanalimizga obuna bo'ling .
Shuningdek, siz quyidagi manbalardagi yangilanishlarni kuzatishingiz mumkin:
Manba: www.habr.com