Olá amigos! Temos o prazer de recebê-lo em nosso novo curso de introdução FortiAnalyzer. No curso de introdução do Fortinet , já vimos a funcionalidade do FortiAnalyzer, mas o examinamos superficialmente. Agora quero falar com mais detalhes sobre este produto, sobre suas metas, objetivos e capacidades. Este curso não deve ser tão extenso quanto o último, mas espero que seja interessante e informativo.
Como a aula acabou sendo totalmente teórica, para sua comodidade, decidimos apresentá-la também em forma de artigo.
Durante este curso, cobriremos os seguintes pontos:
- Informações gerais sobre o produto, sua finalidade, tarefas e principais recursos
- Vamos preparar o layout, durante a preparação vamos dar uma olhada mais de perto na configuração inicial do FortiAnalyzer
- , , FortiView, ,
- ,
- , FortiAnalyzer’
- — 11 Fortinet Getting Started, , , — .
O objetivo principal do FortiAnalyzer é o armazenamento centralizado de logs de um ou vários dispositivos Fortinet, bem como seu processamento e análise. Isso permite que os administradores de segurança monitorem vários eventos de rede e segurança de um lugar, obtenham rapidamente as informações necessárias de logs e widgets, bem como criem relatórios em todos os dispositivos ou dispositivos de interesse.
A lista de dispositivos a partir dos quais o FortiAnalyzer pode receber logs e analisá-los é mostrada na figura abaixo.
O FortiAnalyzer possui três recursos principais - relatórios, alertas e arquivamento. Vamos considerar cada um deles.
Relatórios - os relatórios fornecem uma representação visual de eventos de rede, eventos de segurança e várias atividades que ocorrem em dispositivos suportados. O mecanismo de relatório coleta os dados necessários dos logs disponíveis e os apresenta de uma forma fácil de ler e analisar. Usando relatórios, você pode obter rapidamente as informações de que precisa sobre o desempenho do dispositivo, segurança da rede, recursos mais visitados e muito mais. Há muitas opções. Você também pode usar relatórios para analisar o status da sua rede e dos dispositivos suportados por um longo período de tempo. Muitas vezes, eles são indispensáveis ao investigar vários incidentes de segurança.
Os alertas permitem que você responda rapidamente a várias ameaças que ocorrem na rede. O sistema gera alertas quando aparecem logs que atendem às condições pré-configuradas - detecção de vírus, exploração de várias vulnerabilidades e assim por diante. Essas notificações podem ser visualizadas na interface web do FortiAnalyzer, bem como configuradas para serem enviadas via protocolo SNMP para o servidor syslog, bem como para endereços de e-mail específicos.
O arquivamento permite que o FortiAnalyzer armazene cópias de vários conteúdos que passam pela rede. Isso geralmente é usado em conjunto com o mecanismo DLP para armazenar vários arquivos que se enquadram nas várias regras do mecanismo DLP. Também pode ser útil para investigar vários incidentes de segurança.
Outro recurso interessante é a capacidade de usar domínios administrativos. Esta tecnologia permite criar grupos de dispositivos com base em vários critérios - tipos de dispositivos, localização geográfica e assim por diante. A criação de tais grupos de dispositivos tem os seguintes objetivos:
- Dispositivos de agrupamento com base em recursos semelhantes para facilidade de monitoramento e gerenciamento - digamos que os dispositivos são agrupados por localização geográfica. Você precisa encontrar qualquer informação nos registros para dispositivos no mesmo grupo. Em vez de filtrar cuidadosamente os logs, você simplesmente examina os logs do domínio administrativo necessário e procura as informações necessárias.
- Para delimitar o acesso administrativo - cada domínio administrativo pode ter um ou mais administradores que têm acesso apenas a este domínio administrativo
- — , , . , , , — 3 . , — , , , — .
O FortiAnalyzer pode trabalhar em dois modos - Analisador e Coletor. O modo de operação é selecionado dependendo dos requisitos individuais e da topologia da rede.
Quando o FortiAnalyzer está no modo Analyzer, ele atua como o agregador de log primário de um ou mais coletores de log. Os coletores de log são o FortiAnalyzer no modo Coletor e outros dispositivos compatíveis com o FortiAnalyzer (eles foram listados acima na figura). Este modo de operação é usado por padrão.
Quando o FortiAnalyzer está no modo Coletor, ele coleta os logs de outros dispositivos e os envia para outro dispositivo, como o FortiAnalyzer no modo Analyzer ou Syslog. No modo Coletor, o FortiAnalyzer não pode usar a maioria das funções como relatórios e alertas, pois seu objetivo principal é coletar e encaminhar logs.
O uso de vários dispositivos FortiAnalyzer em modos diferentes pode aumentar o desempenho - o FortiAnalyzer no modo Coletor coleta registros de todos os dispositivos e os envia ao Analyzer para análise posterior, o que permite que o FortiAnalyzer no modo Analisador economize recursos gastos no recebimento de registros de vários dispositivos e concentre-se inteiramente em logs de processamento.
O FortiAnalyzer oferece suporte a uma linguagem de consulta SQL declarativa para registro e relatórios. Com sua ajuda, os logs são apresentados de forma legível. Vários relatórios também são criados usando essa linguagem de consulta. Alguns recursos de relatório requerem algum conhecimento de SQL e bancos de dados, mas geralmente os recursos integrados do FortiAnalyzer tornam possível dispensar esse conhecimento. Veremos isso quando olharmos para o mecanismo de relatório.
O próprio FortiAnalyzer pode ser apresentado em várias variantes. Pode ser um dispositivo físico separado, uma máquina virtual - vários hipervisores são suportados, uma lista completa deles pode ser encontrada na folha de dados... Ele também pode ser implantado em infraestruturas especializadas - AWS. Azure, Google Cloud e outros. E a última opção é FortiAnalyzer Cloud, um serviço em nuvem fornecido pela Fortinet.
Na próxima lição, prepararemos um layout para outros trabalhos práticos. Para não perder, inscreva-se no nosso canal no Youtube .
Você também pode acompanhar as atualizações nos seguintes recursos:
Grupo Vkontakte
Yandex Zen
Nosso site
Canal Telegram