你好朋友!我们很高兴欢迎您参加我们的新FortiAnalyzer入门课程。在《Fortinet入门》课程中,我们已经研究了FortiAnalyzer的功能,但是只是较为肤浅地进行了介绍。现在,我想更详细地告诉您有关该产品,其目标,目的和功能的信息。本课程不应像上一门课程那样广泛,但我希望它将是有趣且有益的。
由于该课程完全是理论性的,因此为方便起见,我们决定以文章的形式进行介绍。
在本课程中,我们将涵盖以下几点:
- 有关产品,用途,任务和主要功能的一般信息
- 让我们准备布局,在准备过程中,我们将仔细研究FortiAnalyzer的初始配置
- , , FortiView, ,
- ,
- , FortiAnalyzer’
- — 11 Fortinet Getting Started, , , — .
FortiAnalyzer的主要目的是集中存储一台或多台Fortinet设备的日志以及它们的处理和分析。这使安全管理员可以从一个地方监视各种网络和安全事件,从日志和小部件中快速获取必要的信息,以及在所有或感兴趣的设备上生成报告。
下图显示了FortiAnalyzer可以从中接收日志并进行分析的设备列表。
FortiAnalyzer具有三个关键功能-报告,警报,存档。让我们考虑它们中的每一个。
报告-报告可直观地表示网络事件,安全事件以及受支持设备上发生的各种活动。报告引擎从可用日志中收集必要的数据,并以易于阅读和分析的形式显示它们。使用报告,您可以快速获取所需的有关设备性能,网络安全性,访问量最大的资源等信息。有很多选择。您还可以使用报告来长时间分析网络和支持的设备的状态。在调查各种安全事件时,它们经常是必不可少的。
警报使您可以快速响应网络上发生的各种威胁。当出现符合预配置条件的日志时,系统会生成警报-病毒检测,各种漏洞的利用等。这些通知可以在FortiAnalyzer Web界面中查看,也可以配置为通过SNMP协议发送到syslog服务器以及特定的电子邮件地址。
通过存档,FortiAnalyzer可以存储通过网络传递的各种内容的副本。通常将其与DLP引擎结合使用,以存储属于DLP引擎各种规则的各种文件。它对于调查各种安全事件也很有用。
另一个有趣的功能是使用管理域的能力。使用此技术,您可以根据各种条件(设备类型,地理位置等)创建设备组。此类设备组的创建具有以下目标:
- 根据相似的功能对设备进行分组,以便于监控和管理-假设设备是按地理位置分组的。您需要在日志中找到同一组中设备的任何信息。您无需仔细筛选日志,只需查看所需管理域的日志并查找必要的信息。
- 分隔管理访问权限-每个管理域可以有一个或多个管理员,这些管理员只能访问该管理域
- — , , . , , , — 3 . , — , , , — .
FortiAnalyzer可以在两种模式下工作-分析器和收集器。根据个人要求和网络拓扑选择运行模式。
当FortiAnalyzer在分析仪模式下运行时,它充当一个或多个日志收集器的主要日志聚合器。日志收集器既是处于收集器模式下的FortiAnalyzer,也包括FortiAnalyzer支持的其他设备(它们已在图中列出)。默认情况下使用此操作模式。
当FortiAnalyzer处于收集器模式时,它将从其他设备收集日志,然后将其转发到另一台设备,例如处于分析器或Syslog模式的FortiAnalyzer。在收集器模式下,FortiAnalyzer不能使用大多数功能,例如报告和警报,因为其主要目的是收集和转发日志。
在不同模式下使用多个FortiAnalyzer设备可以提高性能-处于收集器模式的FortiAnalyzer收集所有设备的日志并将其发送到分析仪进行进一步分析,这使处于分析器模式的FortiAnalyzer可以节省用于从多个设备接收日志的资源,并完全专注于处理日志。
FortiAnalyzer支持用于记录和报告的声明性SQL查询语言。在它的帮助下,日志以可读的形式显示。使用此查询语言还可以生成各种报告。一些报告功能需要一些SQL和数据库知识,但是FortiAnalyzer的内置功能通常可以省去这些知识。当我们研究报告机制时,我们会遇到这个问题。
FortiAnalyzer本身可以有多种变体。它可以是单独的物理设备,虚拟机-支持不同的虚拟机管理程序,可以在数据表中找到它们的完整列表... 也可以将其部署在专用基础架构-AWS中。Azure,Google Cloud和其他。最后一个选项是FortiAnalyzer Cloud,这是Fortinet提供的云服务。
在下一课中,我们将为进一步的实际工作准备一个布局。为了不错过它,请订阅我们的Youtube频道。
您也可以关注以下资源的更新:
Vkontakte组
Yandex Zen
我们的网站
电报频道