大家好! 我们很高兴欢迎您参加我们新的 FortiAnalyzer 入门课程。 在课程中 我们已经了解了 FortiAnalyzer 的功能,但我们对其进行了相当肤浅的了解。 现在我想更详细地向您介绍这个产品,包括它的目的、目的和功能。 这门课程不应该像上一门课程那么庞大,但我希望它会很有趣并且内容丰富。
由于该课程完全是理论性的,为了您的方便,我们决定也以文章的形式呈现它。
在本课程中,我们将涵盖以下几点:
- 有关产品、其用途、任务和主要功能的一般信息
- 让我们准备一个布局,在准备过程中我们将详细查看FortiAnalyzer的初始配置
- 让我们熟悉一下存储、处理和过滤日志以便于搜索的机制,并考虑一下 FortiView 机制,它以各种图形、图表和其他小部件的形式呈现有关网络状态的可视化信息
- 让我们看看创建现有报告的过程,并了解如何创建自己的报告和编辑现有报告
- 让我们来看看与 FortiAnalyzer 管理相关的主要问题
- 让我们再次讨论许可方案 - 我已经在课程的第 11 课中讨论过它。 ,但正如他们所说,重复是学习之母。
FortiAnalyzer 的主要用途是集中存储来自一台或多台 Fortinet 设备的日志,并对其进行处理和分析。 这使得安全管理员能够从一个地方监控各种网络和安全事件,快速从日志和小部件中获取必要的信息,并在所有或特定设备上构建报告。
FortiAnalyzer 可以接收日志并分析日志的设备列表如下图所示。
FortiAnalyzer 具有三个关键功能:报告、警报和归档。 让我们逐一看看。
报告 - 报告提供网络事件、安全事件以及受支持设备上发生的各种活动的可视化表示。 报告机制从现有日志中收集必要的数据,并以易于阅读和分析的形式呈现它们。 使用报告,您可以快速获取有关设备性能、网络安全、最常访问的资源等的必要信息。 有很多选择。 报告还可用于分析网络和支持的设备在很长一段时间内的状态。 在调查各种安全事件时,它们往往是不可或缺的。
警报使您能够快速响应网络上发生的各种威胁。 当出现满足预先配置条件(病毒检测、各种漏洞利用等)的日志时,系统会生成警报。 这些警报可以在 FortiAnalyzer Web 界面中看到,您可以配置它们通过 SNMP 协议发送到系统日志服务器,也可以发送到特定的电子邮件地址。
归档允许您在 FortiAnalyzer 上存储通过网络流动的各种内容的副本。 这通常与 DLP 引擎结合使用,用于存储属于引擎不同规则的各种文件。 它还可用于调查各种安全事件。
另一个有趣的功能是使用管理域的能力。 该技术允许您根据各种标准(设备类型、地理位置等)创建设备组。 创建此类设备组有以下目的:
- 根据相似特征对设备进行分组,以便于监控和管理,例如,设备按地理位置进行分组。 您需要在日志中查找位于同一组中的设备的一些信息。 您无需仔细过滤日志,只需查看所需管理域的日志并查找必要的信息。
- 为了区分管理访问 - 每个管理域可以有一个或多个只能访问该管理域的管理员
- 有效管理设备数据的磁盘空间和存储策略 - 管理域允许您为各个设备组设置更合适的配置,而不是为所有设备创建单一存储配置。 如果您有多个设备,并且您需要将一组设备的数据存储一年,另一组设备的数据存储 3 年,这会很有用。 因此,您可以为每个组分配合适的磁盘空间 - 对于生成大量日志的组,分配更多的空间,而对于另一个组,分配更少的空间。
FortiAnalyzer 可以以两种模式运行 - 分析器和收集器。 根据个人要求和网络拓扑来选择操作模式。
当 FortiAnalyzer 在分析器模式下运行时,它充当来自一个或多个日志收集器的日志的主要聚合器。 日志收集器既是Collector模式下的FortiAnalyzer,也是FortiAnalyzer支持的其他设备(其列表如上图所示)。 默认情况下使用此操作模式。
当FortiAnalyzer在Collector模式下运行时,它会从其他设备收集日志,然后将其转发到另一个设备,例如Analyzer或Syslog模式下的FortiAnalyzer。 在收集器模式下,FortiAnalyzer无法使用大多数功能,例如报告和警报,因为其主要目的是收集和转发日志。
在不同模式下使用多个 FortiAnalyzer 设备可以提高工作效率 - 收集器模式下的 FortiAnalyzer 会收集所有设备的日志并将其发送到分析器进行后续分析,这使得分析器模式下的 FortiAnalyzer 可以节省从多个设备接收日志所花费的资源,并完全专注于日志处理。
FortiAnalyzer 支持用于日志记录和报告的声明式 SQL 查询语言。 在它的帮助下,日志以可读的形式呈现。 此外,使用这种查询语言可以构建各种报告。 某些报告功能需要一些 SQL 和数据库知识,但 FortiAnalyzer 的内置功能通常会消除这些知识。 当我们考虑报告机制时,我们会再次遇到这种情况。
FortiAnalyzer 本身有多种版本。 这可以是一个单独的物理设备,一个虚拟机 - 支持不同的虚拟机管理程序,它们的完整列表可以在 。 它还可以部署在专门的基础设施 - AWS 中。 Azure、谷歌云等。 最后一个选择是 FortiAnalyzer Cloud,这是 Fortinet 提供的云服务。
在下一课中,我们将为进一步的实际工作准备布局。 为了不错过,请订阅我们的 .
您还可以关注以下资源的更新:
来源: habr.com