Xin chào các bạn! Chúng tôi rất vui được chào đón bạn đến với khóa học Bắt đầu FortiAnalyzer mới của chúng tôi. Tất nhiên Chúng tôi đã xem xét chức năng của FortiAnalyzer, nhưng chúng tôi đã xem xét nó một cách khá hời hợt. Bây giờ tôi muốn nói với bạn chi tiết hơn về sản phẩm này, về mục tiêu, mục đích và khả năng của nó. Khóa học này sẽ không đồ sộ như khóa học trước, nhưng tôi hy vọng rằng nó sẽ thú vị và mang tính thông tin.
Vì bài học hóa ra hoàn toàn mang tính lý thuyết nên để thuận tiện cho bạn, chúng tôi quyết định trình bày nó dưới dạng bài viết.
Trong khóa học này, chúng tôi sẽ đề cập đến các điểm sau:
- Thông tin chung về sản phẩm, mục đích, nhiệm vụ và tính năng chính của sản phẩm
- Chúng ta hãy chuẩn bị bố cục, trong quá trình chuẩn bị chúng ta sẽ xem xét chi tiết cấu hình ban đầu của FortiAnalyzer
- Hãy làm quen với cơ chế lưu trữ, xử lý và lọc nhật ký để dễ dàng tìm kiếm, đồng thời xem xét cơ chế FortiView, trình bày thông tin trực quan về trạng thái của mạng dưới dạng nhiều biểu đồ, sơ đồ và các tiện ích khác
- Hãy xem quá trình tạo báo cáo hiện tại, đồng thời tìm hiểu cách tạo báo cáo của riêng bạn và chỉnh sửa báo cáo hiện có
- Cùng điểm qua những vấn đề chính liên quan đến quản trị FortiAnalyzer
- Hãy thảo luận lại về chương trình cấp phép - Tôi đã nói về nó trong bài 11 của khóa học. , nhưng như người ta nói, sự lặp lại là mẹ của việc học.
Mục đích chính của FortiAnalyzer là lưu trữ tập trung nhật ký từ một hoặc nhiều thiết bị Fortinet cũng như xử lý và phân tích chúng. Điều này cho phép quản trị viên bảo mật giám sát các sự kiện bảo mật và mạng khác nhau từ một nơi, nhanh chóng lấy thông tin cần thiết từ nhật ký và tiện ích cũng như tạo báo cáo trên tất cả hoặc các thiết bị cụ thể.
Danh sách các thiết bị mà FortiAnalyzer có thể nhận nhật ký và phân tích chúng được trình bày trong hình bên dưới.
FortiAnalyzer có ba tính năng chính: báo cáo, cảnh báo và lưu trữ. Chúng ta hãy nhìn vào từng người trong số họ.
Báo cáo - Báo cáo cung cấp trình bày trực quan về các sự kiện mạng, sự kiện bảo mật và các hoạt động khác nhau diễn ra trên các thiết bị được hỗ trợ. Cơ chế báo cáo thu thập dữ liệu cần thiết từ nhật ký hiện có và trình bày chúng dưới dạng dễ đọc và phân tích. Sử dụng báo cáo, bạn có thể nhanh chóng nhận được thông tin cần thiết về hiệu suất thiết bị, bảo mật mạng, tài nguyên được truy cập nhiều nhất, v.v. Có rất nhiều lựa chọn. Báo cáo cũng có thể được sử dụng để phân tích trạng thái của mạng và các thiết bị được hỗ trợ trong một khoảng thời gian dài. Thông thường, chúng không thể thiếu khi điều tra các sự cố bảo mật khác nhau.
Cảnh báo cho phép bạn phản ứng nhanh chóng với các mối đe dọa khác nhau xảy ra trên mạng. Hệ thống tạo cảnh báo khi nhật ký xuất hiện đáp ứng các điều kiện được định cấu hình trước - phát hiện vi-rút, khai thác các lỗ hổng khác nhau, v.v. Những cảnh báo này có thể được nhìn thấy trong giao diện web FortiAnalyzer và bạn có thể định cấu hình gửi chúng qua giao thức SNMP, tới máy chủ nhật ký hệ thống cũng như tới các địa chỉ email cụ thể.
Việc lưu trữ cho phép bạn lưu trữ các bản sao của nhiều nội dung khác nhau truyền qua mạng trên FortiAnalyzer. Điều này thường được sử dụng cùng với công cụ DLP để lưu trữ các tệp khác nhau tuân theo các quy tắc khác nhau của công cụ. Nó cũng có thể hữu ích cho việc điều tra các sự cố bảo mật khác nhau.
Một tính năng thú vị khác là khả năng sử dụng các miền quản trị. Công nghệ này cho phép bạn tạo các nhóm thiết bị dựa trên nhiều tiêu chí khác nhau - loại thiết bị, vị trí địa lý, v.v. Việc tạo ra các nhóm thiết bị như vậy phục vụ các mục đích sau:
- Nhóm các thiết bị dựa trên các đặc điểm tương tự để dễ giám sát và quản lý—ví dụ: các thiết bị được nhóm theo vị trí địa lý. Bạn cần tìm một số thông tin trong nhật ký của các thiết bị nằm trong cùng một nhóm. Thay vì lọc cẩn thận nhật ký, bạn chỉ cần xem nhật ký của miền quản trị được yêu cầu và tìm kiếm thông tin cần thiết.
- Để phân biệt quyền truy cập quản trị - mỗi miền quản trị có thể có một hoặc nhiều quản trị viên chỉ có quyền truy cập vào miền quản trị này
- Quản lý hiệu quả dung lượng ổ đĩa và chính sách lưu trữ cho dữ liệu thiết bị - Thay vì tạo một cấu hình lưu trữ duy nhất cho tất cả các thiết bị, miền quản trị cho phép bạn đặt cấu hình phù hợp hơn cho từng nhóm thiết bị riêng lẻ. Điều này có thể hữu ích nếu bạn có một số thiết bị và từ một nhóm thiết bị bạn cần lưu trữ dữ liệu trong một năm và từ nhóm thiết bị khác - 3 năm. Theo đó, bạn có thể phân bổ dung lượng đĩa phù hợp cho từng nhóm - đối với nhóm tạo số lượng lớn nhật ký, phân bổ nhiều dung lượng hơn và đối với nhóm khác - ít dung lượng hơn.
FortiAnalyzer có thể hoạt động ở hai chế độ - Trình phân tích và Bộ sưu tập. Chế độ vận hành được chọn tùy thuộc vào yêu cầu riêng và cấu trúc liên kết mạng.
Khi FortiAnalyzer hoạt động ở chế độ Trình phân tích, nó hoạt động như trình tổng hợp nhật ký chính từ một hoặc nhiều trình thu thập nhật ký. Trình thu thập nhật ký đều là FortiAnalyzer ở chế độ Collector và các thiết bị khác được FortiAnalyzer hỗ trợ (danh sách của chúng được hiển thị ở trên trong hình). Chế độ hoạt động này được sử dụng theo mặc định.
Khi FortiAnalyzer chạy ở chế độ Collector, nó sẽ thu thập nhật ký từ các thiết bị khác rồi chuyển tiếp chúng sang một thiết bị khác, chẳng hạn như FortiAnalyzer ở chế độ Trình phân tích hoặc Syslog. Ở chế độ Collector, FortiAnalyzer không thể sử dụng hầu hết các tính năng, chẳng hạn như báo cáo và cảnh báo, vì mục đích chính của nó là thu thập và chuyển tiếp nhật ký.
Sử dụng nhiều thiết bị FortiAnalyzer ở các chế độ khác nhau có thể tăng năng suất - FortiAnalyzer ở chế độ Collector thu thập nhật ký từ tất cả các thiết bị và gửi chúng đến Trình phân tích để phân tích tiếp theo, cho phép FortiAnalyzer ở chế độ Trình phân tích tiết kiệm tài nguyên dành cho việc nhận nhật ký từ nhiều thiết bị và tập trung hoàn toàn vào xử lý nhật ký.
FortiAnalyzer hỗ trợ ngôn ngữ truy vấn SQL khai báo để ghi nhật ký và báo cáo. Với sự trợ giúp của nó, nhật ký được trình bày ở dạng có thể đọc được. Ngoài ra, bằng cách sử dụng ngôn ngữ truy vấn này, nhiều báo cáo khác nhau sẽ được xây dựng. Một số khả năng báo cáo yêu cầu một số kiến thức về SQL và cơ sở dữ liệu, nhưng các khả năng tích hợp sẵn của FortiAnalyzer thường loại bỏ kiến thức này. Chúng ta sẽ gặp lại vấn đề này khi xem xét cơ chế báo cáo.
Bản thân FortiAnalyzer có nhiều loại. Đây có thể là một thiết bị vật lý riêng biệt, một máy ảo - các trình ảo hóa khác nhau được hỗ trợ, danh sách đầy đủ của chúng có thể được tìm thấy trong . Nó cũng có thể được triển khai trong cơ sở hạ tầng chuyên dụng - AWS. Azure, Google Cloud và những người khác. Và lựa chọn cuối cùng là FortiAnalyzer Cloud, dịch vụ đám mây do Fortinet cung cấp.
Trong bài học tiếp theo, chúng ta sẽ chuẩn bị bố cục cho công việc thực tế tiếp theo. Để không bỏ lỡ nó, hãy đăng ký theo dõi của chúng tôi .
Bạn cũng có thể theo dõi các bản cập nhật trên các tài nguyên sau:
Nguồn: www.habr.com