¡Hola amigos! Nos complace darle la bienvenida a nuestro nuevo curso de introducción a FortiAnalyzer. En el curso Introducción a Fortinet , ya analizamos la funcionalidad de FortiAnalyzer, pero la analizamos de manera bastante superficial. Ahora quiero hablar con más detalle sobre este producto, sobre sus metas, objetivos y capacidades. Este curso no debería ser tan extenso como el anterior, pero espero que sea interesante e informativo.
Dado que la lección resultó ser completamente teórica, para su comodidad decidimos presentarla también en formato de artículo.
Durante este curso, cubriremos los siguientes puntos:
- Información general sobre el producto, su propósito, tareas y características clave.
- Preparemos un diseño, durante la preparación veremos más de cerca la configuración inicial de FortiAnalyzer
- , , FortiView, ,
- ,
- , FortiAnalyzer’
- — 11 Fortinet Getting Started, , , — .
El objetivo principal de FortiAnalyzer es el almacenamiento centralizado de registros de uno o varios dispositivos Fortinet, así como su procesamiento y análisis. Esto permite a los administradores de seguridad monitorear varios eventos de seguridad y de red desde un solo lugar, obtener rápidamente la información necesaria de los registros y widgets, así como generar informes para todos los dispositivos interesados.
La lista de dispositivos desde los cuales FortiAnalyzer puede recibir registros y analizarlos se muestra en la siguiente figura.
FortiAnalyzer tiene tres funciones clave: informes, alertas y archivo. Consideremos cada uno de ellos.
Informes: los informes proporcionan una representación visual de eventos de red, eventos de seguridad y diversas actividades que ocurren en los dispositivos compatibles. El motor de informes recopila los datos necesarios de los registros disponibles y los presenta en una forma fácil de leer y analizar. Con los informes, puede obtener rápidamente la información que necesita sobre el rendimiento del dispositivo, la seguridad de la red, los recursos más visitados y más. Hay muchas opciones. También puede utilizar informes para analizar el estado de su red y los dispositivos compatibles durante un largo período de tiempo. Muy a menudo son indispensables a la hora de investigar varios incidentes de seguridad.
Las alertas le permiten responder rápidamente a varias amenazas que ocurren en la red. El sistema genera alertas cuando aparecen registros que cumplen condiciones preconfiguradas: detección de virus, explotación de diversas vulnerabilidades, etc. Estas notificaciones se pueden ver en la interfaz web de FortiAnalyzer, así como configurarse para enviarse a través del protocolo SNMP al servidor syslog, así como a direcciones de correo electrónico específicas.
El archivo permite a FortiAnalyzer almacenar copias de varios contenidos que pasan por la red. Esto generalmente se usa junto con el motor DLP para almacenar varios archivos que caen bajo las diversas reglas del motor DLP. También puede ser útil para investigar varios incidentes de seguridad.
Otra característica interesante es la posibilidad de utilizar dominios administrativos. Esta tecnología le permite crear grupos de dispositivos según varios criterios: tipos de dispositivos, ubicación geográfica, etc. La creación de dichos grupos de dispositivos tiene los siguientes objetivos:
- Agrupar dispositivos basados en características similares para facilitar la supervisión y la gestión; digamos que los dispositivos se agrupan por ubicación geográfica. Necesita encontrar cualquier información en los registros de los dispositivos del mismo grupo. En lugar de filtrar cuidadosamente los registros, simplemente mire los registros del dominio administrativo requerido y busque la información necesaria.
- Para delimitar el acceso administrativo: cada dominio administrativo puede tener uno o más administradores que solo tienen acceso a este dominio administrativo.
- — , , . , , , — 3 . , — , , , — .
FortiAnalyzer puede funcionar en dos modos: analizador y recopilador. El modo de funcionamiento se selecciona según los requisitos individuales y la topología de la red.
Cuando FortiAnalyzer se ejecuta en modo Analizador, actúa como el agregador de registros principal de uno o más recolectores de registros. Los recopiladores de registros son FortiAnalyzer en modo recopilador y otros dispositivos que son compatibles con FortiAnalyzer (se enumeraron arriba en la figura). Este modo de funcionamiento se utiliza por defecto.
Cuando FortiAnalyzer está en modo de recopilador, recopila registros de otros dispositivos y luego los reenvía a otro dispositivo, como FortiAnalyzer en modo Analizador o Syslog. En el modo de recopilador, FortiAnalyzer no puede usar la mayoría de las funciones, como informes y alertas, ya que su objetivo principal es recopilar y reenviar registros.
El uso de varios dispositivos FortiAnalyzer en diferentes modos puede aumentar el rendimiento: FortiAnalyzer en el modo Recopilador recopila registros de todos los dispositivos y los envía al Analizador para un análisis más detallado, lo que permite que FortiAnalyzer en el modo Analizador ahorre recursos gastados en la recepción de registros de varios dispositivos y se concentre completamente en procesamiento de registros.
FortiAnalyzer admite un lenguaje de consulta SQL declarativo para el registro y la generación de informes. Con su ayuda, los registros se presentan de forma legible. Además, utilizando este lenguaje de consulta, se crean varios informes. Algunas capacidades de generación de informes requieren cierto conocimiento de SQL y bases de datos, pero a menudo las capacidades integradas de FortiAnalyzer permiten prescindir de este conocimiento. Nos encontraremos con esto cuando analicemos el mecanismo de presentación de informes.
El propio FortiAnalyzer se puede presentar en varias variantes. Puede ser un dispositivo físico separado, una máquina virtual: se admiten varios hipervisores, se puede encontrar una lista completa de ellos en la hoja de datos... También se puede implementar en infraestructuras especializadas: AWS. Azure, Google Cloud y otros. Y la última opción es FortiAnalyzer Cloud, un servicio en la nube proporcionado por Fortinet.
En la próxima lección, prepararemos un diseño para futuros trabajos prácticos. Para no perdértelo, suscríbete a nuestro canal de Youtube .
También puede seguir las actualizaciones de los siguientes recursos:
Vkontakte group
Yandex Zen
Nuestro sitio web
Canal de Telegram