Hallo Freunde! Wir freuen uns, Sie zu unserem neuen FortiAnalyzer Getting Started-Kurs begrüßen zu dürfen. Im Fortinet Getting Started- Kurs haben wir uns bereits mit der Funktionalität von FortiAnalyzer befasst, diese jedoch eher oberflächlich behandelt. Jetzt möchte ich ausführlicher über dieses Produkt, seine Ziele, Zielsetzungen und Fähigkeiten sprechen. Dieser Kurs sollte nicht so umfangreich sein wie der letzte, aber ich hoffe, er wird interessant und informativ sein.
Da sich die Lektion als vollständig theoretisch herausstellte, haben wir uns aus praktischen Gründen entschlossen, sie auch im Format eines Artikels zu präsentieren.
In diesem Kurs werden folgende Punkte behandelt:
- Allgemeine Informationen über das Produkt, seinen Zweck, Aufgaben und Hauptmerkmale
- Lassen Sie uns das Layout vorbereiten. Während der Vorbereitung werden wir uns die Erstkonfiguration von FortiAnalyzer genauer ansehen
- , , FortiView, ,
- ,
- , FortiAnalyzer’
- — 11 Fortinet Getting Started, , , — .
Der Hauptzweck von FortiAnalyzer ist die zentrale Speicherung von Protokollen von einem oder mehreren Fortinet-Geräten sowie deren Verarbeitung und Analyse. Auf diese Weise können Sicherheitsadministratoren verschiedene Netzwerk- und Sicherheitsereignisse von einem Ort aus überwachen, schnell die erforderlichen Informationen aus Protokollen und Widgets abrufen und Berichte über alle Geräte oder Geräte von Interesse erstellen.
Die Liste der Geräte, von denen FortiAnalyzer Protokolle empfangen und analysieren kann, ist in der folgenden Abbildung dargestellt.
FortiAnalyzer verfügt über drei Hauptfunktionen: Berichterstellung, Warnungen und Archivierung. Betrachten wir jeden von ihnen.
Berichterstellung - Berichte bieten eine visuelle Darstellung von Netzwerkereignissen, Sicherheitsereignissen und verschiedenen Aktivitäten, die auf unterstützten Geräten ausgeführt werden. Die Berichts-Engine sammelt die erforderlichen Daten aus den verfügbaren Protokollen und präsentiert sie in einer einfach zu lesenden und zu analysierenden Form. Mithilfe von Berichten können Sie schnell die Informationen abrufen, die Sie über die Geräteleistung, die Netzwerksicherheit, die am häufigsten besuchten Ressourcen und mehr benötigen. Es gibt viele Möglichkeiten. Sie können auch Berichte verwenden, um den Status Ihres Netzwerks und der unterstützten Geräte über einen langen Zeitraum zu analysieren. Sehr oft sind sie bei der Untersuchung verschiedener Sicherheitsvorfälle unverzichtbar.
Mit Warnungen können Sie schnell auf verschiedene Bedrohungen im Netzwerk reagieren. Das System generiert Warnungen, wenn Protokolle angezeigt werden, die vorkonfigurierte Bedingungen erfüllen - Virenerkennung, Ausnutzung verschiedener Schwachstellen usw. Diese Benachrichtigungen können in der FortiAnalyzer-Weboberfläche angezeigt und so konfiguriert werden, dass sie über das SNMP-Protokoll an den Syslog-Server sowie an bestimmte E-Mail-Adressen gesendet werden.
Durch die Archivierung kann FortiAnalyzer Kopien verschiedener Inhalte speichern, die über das Netzwerk übertragen werden. Dies wird normalerweise in Verbindung mit der DLP-Engine verwendet, um verschiedene Dateien zu speichern, die unter die verschiedenen Regeln der DLP-Engine fallen. Es kann auch nützlich sein, um verschiedene Sicherheitsvorfälle zu untersuchen.
Ein weiteres interessantes Feature ist die Möglichkeit, administrative Domänen zu verwenden. Mit dieser Technologie können Sie Gerätegruppen basierend auf verschiedenen Kriterien erstellen - Gerätetypen, geografischer Standort usw. Die Erstellung solcher Gerätegruppen hat folgende Ziele:
- Gruppieren von Geräten basierend auf ähnlichen Funktionen zur Vereinfachung der Überwachung und Verwaltung - Angenommen, Geräte werden nach geografischem Standort gruppiert. Sie müssen alle Informationen in den Protokollen für Geräte derselben Gruppe finden. Anstatt die Protokolle sorgfältig herauszufiltern, suchen Sie einfach in den Protokollen nach der erforderlichen Verwaltungsdomäne und nach den erforderlichen Informationen.
- So beschränken Sie den Administratorzugriff: Jede Verwaltungsdomäne kann einen oder mehrere Administratoren haben, die nur Zugriff auf diese Verwaltungsdomäne haben
- — , , . , , , — 3 . , — , , , — .
FortiAnalyzer kann in zwei Modi arbeiten - Analyzer und Collector. Die Betriebsart wird abhängig von den individuellen Anforderungen und der Netzwerktopologie ausgewählt.
Wenn sich FortiAnalyzer im Analysatormodus befindet, fungiert es als primärer Protokollaggregator von einem oder mehreren Protokollkollektoren. Die Protokollkollektoren sind sowohl der FortiAnalyzer im Collector-Modus als auch andere Geräte, die von FortiAnalyzer unterstützt werden (sie wurden oben in der Abbildung aufgeführt). Diese Betriebsart wird standardmäßig verwendet.
Wenn sich der FortiAnalyzer im Collector-Modus befindet, sammelt er Protokolle von anderen Geräten und leitet sie dann an ein anderes Gerät weiter, z. B. den FortiAnalyzer im Analyzer- oder Syslog-Modus. Im Collector-Modus kann FortiAnalyzer die meisten Funktionen wie Berichterstellung und Warnungen nicht verwenden, da der Hauptzweck darin besteht, Protokolle zu sammeln und weiterzuleiten.
Die Verwendung mehrerer FortiAnalyzer-Geräte in verschiedenen Modi kann die Leistung steigern. FortiAnalyzer im Collector-Modus sammelt Protokolle aller Geräte und sendet sie zur weiteren Analyse an den Analyzer. Dadurch kann FortiAnalyzer im Analyzer-Modus Ressourcen sparen, die für den Empfang von Protokollen von mehreren Geräten aufgewendet werden, und sich ganz darauf konzentrieren Protokolle verarbeiten.
FortiAnalyzer unterstützt eine deklarative SQL-Abfragesprache für die Protokollierung und Berichterstellung. Mit seiner Hilfe werden Protokolle in lesbarer Form dargestellt. Mit dieser Abfragesprache werden auch verschiedene Berichte erstellt. Einige Berichtsfunktionen erfordern einige Kenntnisse in SQL und Datenbanken, aber häufig ermöglichen die integrierten Funktionen von FortiAnalyzer, auf dieses Wissen zu verzichten. Wir werden darauf stoßen, wenn wir uns den Berichtsmechanismus ansehen.
FortiAnalyzer selbst kann in verschiedenen Varianten präsentiert werden. Es kann sich um ein separates physisches Gerät oder eine virtuelle Maschine handeln. Es werden verschiedene Hypervisoren unterstützt. Eine vollständige Liste davon finden Sie im Datenblatt... Es kann auch in speziellen Infrastrukturen - AWS - bereitgestellt werden. Azure, Google Cloud und andere. Die letzte Option ist FortiAnalyzer Cloud, ein Cloud-Service von Fortinet.
In der nächsten Lektion werden wir ein Layout für die weitere praktische Arbeit vorbereiten. Abonnieren Sie unseren Youtube-Kanal , um es nicht zu verpassen .
Sie können die Aktualisierungen auch auf den folgenden Ressourcen verfolgen:
Vkontakte Gruppe
Yandex Zen
Unsere Website
Telegrammkanal