Bonjour les amis! Nous sommes ravis de vous accueillir dans notre nouveau cours de mise en route FortiAnalyzer. Dans le cours de mise en route de Fortinet , nous avons dĂ©jĂ examinĂ© les fonctionnalitĂ©s de FortiAnalyzer, mais nous l'avons abordĂ©e plutĂŽt superficiellement. Maintenant, je veux parler plus en dĂ©tail de ce produit, de ses buts, objectifs et capacitĂ©s. Ce cours ne devrait pas ĂȘtre aussi complet que le prĂ©cĂ©dent, mais j'espĂšre qu'il sera intĂ©ressant et instructif.
Puisque la leçon s'est avérée complÚtement théorique, pour votre commodité, nous avons décidé de la présenter également sous la forme d'un article.
Au cours de ce cours, nous aborderons les points suivants:
- Informations générales sur le produit, son objectif, ses tùches et ses principales caractéristiques
- Préparons la mise en page, lors de la préparation, nous examinerons de plus prÚs la configuration initiale de FortiAnalyzer
- , , FortiView, ,
- ,
- , FortiAnalyzerâ
- â 11 Fortinet Getting Started, , , â .
L'objectif principal de FortiAnalyzer est le stockage centralisĂ© des logs d'un ou plusieurs appareils Fortinet, ainsi que leur traitement et leur analyse. Cela permet aux administrateurs de sĂ©curitĂ© de surveiller divers Ă©vĂ©nements de rĂ©seau et de sĂ©curitĂ© Ă partir d'un seul endroit, d'obtenir rapidement les informations nĂ©cessaires Ă partir des journaux et des widgets, ainsi que de crĂ©er des rapports sur tous les pĂ©riphĂ©riques ou pĂ©riphĂ©riques d'intĂ©rĂȘt.
La liste des appareils à partir desquels FortiAnalyzer peut recevoir des journaux et les analyser est présentée dans la figure ci-dessous.
FortiAnalyzer dispose de trois fonctionnalités clés: rapports, alertes, archivage. Considérons chacun d'eux.
Rapports - Les rapports fournissent une reprĂ©sentation visuelle des Ă©vĂ©nements rĂ©seau, des Ă©vĂ©nements de sĂ©curitĂ© et de diverses activitĂ©s se produisant sur les appareils pris en charge. Le moteur de reporting collecte les donnĂ©es nĂ©cessaires Ă partir des journaux disponibles et les prĂ©sente sous une forme facile Ă lire et Ă analyser. Ă l'aide de rapports, vous pouvez obtenir rapidement les informations dont vous avez besoin sur les performances de l'appareil, la sĂ©curitĂ© du rĂ©seau, les ressources les plus visitĂ©es, etc. Il existe de nombreuses options. Vous pouvez Ă©galement utiliser des rapports pour analyser l'Ă©tat de votre rĂ©seau et des appareils pris en charge sur une longue pĂ©riode. TrĂšs souvent, ils sont indispensables lors des enquĂȘtes sur divers incidents de sĂ©curitĂ©.
Les alertes vous permettent de rĂ©agir rapidement aux diverses menaces qui se produisent sur le rĂ©seau. Le systĂšme gĂ©nĂšre des alertes lorsque des journaux apparaissent qui rĂ©pondent Ă des conditions prĂ©configurĂ©es - dĂ©tection de virus, exploitation de diverses vulnĂ©rabilitĂ©s, etc. Ces notifications peuvent ĂȘtre visualisĂ©es dans l'interface Web de FortiAnalyzer, ainsi que configurĂ©es pour ĂȘtre envoyĂ©es via le protocole SNMP au serveur syslog, ainsi qu'Ă des adresses e-mail spĂ©cifiques.
L'archivage permet Ă FortiAnalyzer de stocker des copies de divers contenus passant sur le rĂ©seau. Ceci est gĂ©nĂ©ralement utilisĂ© en conjonction avec le moteur DLP pour stocker divers fichiers qui relĂšvent des diffĂ©rentes rĂšgles du moteur DLP. Il peut Ă©galement ĂȘtre utile pour enquĂȘter sur divers incidents de sĂ©curitĂ©.
Une autre caractéristique intéressante est la possibilité d'utiliser des domaines administratifs. Cette technologie vous permet de créer des groupes d'appareils en fonction de divers critÚres - types d'appareils, emplacement géographique, etc. La création de tels groupes d'appareils a les objectifs suivants:
- Regrouper les appareils en fonction de fonctionnalitĂ©s similaires pour faciliter la surveillance et la gestion - disons que les appareils sont regroupĂ©s par emplacement gĂ©ographique. Vous devez trouver toutes les informations dans les journaux des pĂ©riphĂ©riques du mĂȘme groupe. Au lieu de filtrer soigneusement les journaux, il vous suffit de consulter les journaux du domaine administratif requis et de rechercher les informations nĂ©cessaires.
- Pour délimiter l'accÚs administratif - chaque domaine administratif peut avoir un ou plusieurs administrateurs qui n'ont accÚs qu'à ce domaine administratif
- â , , . , , , â 3 . , â , , , â .
FortiAnalyzer peut fonctionner en deux modes: Analyzer et Collector. Le mode de fonctionnement est sélectionné en fonction des besoins individuels et de la topologie du réseau.
Lorsque FortiAnalyzer s'exécute en mode Analyzer, il agit en tant qu'agrégateur de journaux principal à partir d'un ou plusieurs collecteurs de journaux. Les collecteurs de journaux sont à la fois le FortiAnalyzer en mode Collector et d'autres périphériques pris en charge par FortiAnalyzer (ils ont été répertoriés ci-dessus dans la figure). Ce mode de fonctionnement est utilisé par défaut.
Lorsque le FortiAnalyzer est en mode Collector, il collecte les journaux d'autres appareils, puis les transmet à un autre appareil, tel que le FortiAnalyzer en mode Analyzer ou Syslog. En mode Collector, FortiAnalyzer ne peut pas utiliser la plupart des fonctionnalités telles que les rapports et les alertes, car son objectif principal est de collecter et d'envoyer des journaux.
L'utilisation de plusieurs appareils FortiAnalyzer dans différents modes peut augmenter les performances - FortiAnalyzer en mode Collector collecte les journaux de tous les appareils et les envoie à l'analyseur pour une analyse plus approfondie, ce qui permet à FortiAnalyzer en mode Analyzer d'économiser les ressources consacrées à la réception des journaux de plusieurs appareils et de se concentrer entiÚrement sur traitement des journaux.
FortiAnalyzer prend en charge un langage de requĂȘte SQL dĂ©claratif pour la journalisation et la crĂ©ation de rapports. Avec son aide, les journaux sont prĂ©sentĂ©s sous une forme lisible. Divers rapports sont Ă©galement crĂ©Ă©s Ă l'aide de ce langage de requĂȘte. Certaines capacitĂ©s de reporting nĂ©cessitent une certaine connaissance de SQL et des bases de donnĂ©es, mais souvent les capacitĂ©s intĂ©grĂ©es de FortiAnalyzer permettent de se passer de ces connaissances. Nous verrons cela lorsque nous examinerons le mĂ©canisme de rapport.
FortiAnalyzer lui-mĂȘme peut ĂȘtre prĂ©sentĂ© en plusieurs variantes. Il peut s'agir d'un pĂ©riphĂ©rique physique distinct, d'une machine virtuelle - diffĂ©rents hyperviseurs sont pris en charge, une liste complĂšte d'entre eux peut ĂȘtre trouvĂ©e dans la fiche technique... Il peut Ă©galement ĂȘtre dĂ©ployĂ© dans des infrastructures spĂ©cialisĂ©es - AWS. Azure, Google Cloud et autres. Et la derniĂšre option est FortiAnalyzer Cloud, un service cloud fourni par Fortinet.
Dans la prochaine leçon, nous préparerons une mise en page pour d'autres travaux pratiques. Pour ne pas le rater, abonnez-vous à notre chaßne Youtube .
Vous pouvez Ă©galement suivre les mises Ă jour sur les ressources suivantes:
Groupe Vkontakte
Yandex Zen
Notre site Web
Chaßne télégramme