教程篇(7.2) 01. 介绍和初始访问 ❀ FortiAnalyzer分析师 ❀ Fortinet 网络安全专家 NSE5

 在本课中,你将了解FortiAnalyzer的关键功能和概念,以及如何最初访问FortiAnalyzer。

  FortiAnalyzer将日志记录、分析和报告集成到一个系统中,因此你可以快速识别和响应。

 在本课中,你将探索上图显示的主题。

 通过展示FortiAnalyzer关键功能和概念的能力,你将能够在自己的网络中有效地使用该设备。

 FortiAnalyzer的目的是汇总来自一个或多个设备的日志数据,从而充当集中的日志存储库。日志聚合为访问完整的网络数据提供了单一通道,因此你无需每天多次访问多个设备。

  虽然FortiAnalyzer旨在处理Fortinet设备的日志,但它也可以与使用Syslog标准的设备一起工作。

  日志记录和报告工作流程如下:

  1. 注册设备将日志发送到FortiAnalyzer。

  2. FortiAnalyzer以易于搜索和运行报告的方式整理和存储这些日志。

  3. 管理员可以使用GUI连接到FortiAnalyzer手动查看日志,或生成报告以查看不同格式的数据。你还可以使用CLI执行管理任务。

 FortiAnalyzer的一些关键功能包括报告、警报生成和内容归档。

  报告清楚地描述了受支持设备上发生的网络事件、活动和趋势。FortiAnalyzer报告整理日志中的信息,以便你可以解释信息,并在必要时采取必要的行动。你可以存档和过滤你从这些报告中收集的网络知识,以及挖掘它以用于合规性或历史分析目的。

  FortiAnalyzer事件允许你对威胁做出快速反应,因为全天候物理监控你的网络是不现实的。当你已配置FortiAnalyzer监控注册设备的特定条件满足条件时,系统可以生成事件。你可以在GUl上看到你的事件,还可以通过电子邮件、SNMP或syslog将它们发送给多个收件人。此外,需要进一步调查的事件可用于产生新的事件。

  内容归档提供了一种同时记录和存档通过网络传输的内容的完整或摘要副本的方法。你通常使用内容归档来防止敏感信息离开组织的网络。你还可以使用它来记录网络使用情况。数据丢失预防(DLP)引擎可以检查电子邮件、FTP、NNTP和网络流量,但你必须在FortiGate上的DLP传感器中配置每个规则的存档设置,以便你可以指定要存档的内容。

 SQL是FortiAnalyzer用于日志记录和报告的数据库语言。

  高级报告能力需要一些SQL和数据库的知识。例如,FortiAnalyzer分析师可能需要创建自定义SQL查询,称为数据集,以从数据库中提取特定数据。

 FortiAnalyzer有两种操作模式:分析器和收集器。你选择的操作模式取决于你的网络拓扑和个人要求。

  在分析器模式下运行时,该设备充当一个或多个日志收集器的中央日志聚合器,例如在收集器模式下运行的FortiAnalyzer设备或任何其他支持的设备发送日志。分析器是默认的操作模式。

  在收集模式下运行时,设备从多个设备收集日志,然后以原始二进制格式将这些日志转发到另一个设备,例如在分析器模式下运行的FortiAnalyzer。它还可以将它们发送到系统日志服务器或通用事件格式(CEF)服务器,具体取决于转发模式。收集器没有与分析仪相同的功能丰富的选项,因为它的唯一目的是收集和转发日志。它不允许事件管理或报告。

  你可以在仪表板上的系统信息小部件中更改操作模式。

  FortiAnalyzer通过存储和分析安全架构组中单元的日志来支持安全架构,就像日志来自单个设备一样。FortiAnalyzer将流量日志与相应的UTM日志相关联,以便它可以报告会话和带宽以及其UTM威胁。

  会话的流量记录始终由安全架构中处理会话的第一个FortiGate完成。安全架构中的FortiGate设备知道其上游和下游同行的MAC地址。如果FortiGate从安全架构中属于另一个FortiGate的MAC地址接收数据包,它不会为该会话生成新的流量日志。这有助于消除多个FortiGate设备对会话的重复记录。

  此行为的一个例外是,如果上游FortiGate执行NAT,则会生成另一个日志。需要额外的日志来记录NAT详细信息,例如翻译的端口和地址。

  如果配置,上游设备将完成UTM日志记录,FortiAnalyzer为安全架构执行UTM和流量日志相关性,以便为可能发生的任何UTM事件提供简洁准确的记录。无需额外配置,因为FortiAnalyzer会自动执行此功能。

  请注意,安全架构中的每个FortiGate都会将流量记录到FortiAnalyzer,独立于根或其他叶子设备。如果根FortiGate停机,从叶FortiGate设备到FortiAnalyzer的日志记录将继续发挥作用。

 上图展示了安全架构中的日志记录功能,以提供完全的可见性,同时消除整个环境中的重复日志。

  安全架构中配置了三个FortiGate设备以及FortiAnalyzer设备。

  ● FGT-A安装在公司网络及其互联网服务提供商之间,用于RFC-1918主机的出站通信以及HTTP/HTTPS的网络过滤。

  ● FGT-B安装在访问层中,提供设备检测、漏洞隔离和对连接的最终用户局域网的基本Dos保护。

  ● FGT-C安装在数据中心,在那里运行IPS,用于与后面服务器的所有入站通信。

  FGT-B接收来自Client-1的所有流量,FGT-B为初始会话创建流量日志。

  Web会话被转发到FGT-A,它不会复制初始流量日志,但会由于SNAT应用于会话而生成流量日志。此外,FGT-A对此会话应用网络过滤策略,并酌情生成相关的UTM日志。

  SMB会话被转发到FGT-A,FGT-A不会重复初始流量日志。FGT-A不需要执行NAT或应用网络过滤,因此它将流量转发到FGT-C。FGT-C也不会生成重复的流量日志,但它根据其配置执行IPS检查,如果触发签名匹配导致生成日志的操作,则记录事件。

  FortiAnalyzer接收各种流量和UTM日志,并自动关联它们,以便它们被链接以进行适当的查看、报告和自动化操作。

 FortiAnalyzer架构可以集中查看多个FortiAnalyzer上的设备、事件和事件。

  FortiAnalyzer架构包括两种操作模式:主管和成员

  主管充当FortiAnalyzer架构中的根设备。SOC管理员可以使用主管查看成员设备及其ADOM、授权日志设备以及在成员身上创建的事件和事件。事件和事件信息使用API从成员同步到主管。

  成员是FortiAnalyzer架构中的设备,可将信息发送给主管集中查看。当配置为成员时,FortiAnalyzer设备仍然可以访问FortiAnalyzer管理指南中确定的FortiAnalyzer功能。事件和事件由每个成员创建或提出。

  配置了高可用性 (HA) 的FortiAnalyzer可以成为会员。然而,作为架构主管的FortiAnalyzers不支持HA。

  所有FortiAnalyzer Fabric成员必须配置与主管相同的时区设置。

  ADOM允许你对设备进行分组以进行监控和管理。例如,管理员可以管理根据其地理位置或业务部门分组的设备。

  ADOM的目的是:

  ● 通过ADOM划分设备管理,并控制(限制)管理员访问。如果您的网络使用虚拟域(VDOM),ADOM可以进一步限制对来自特定设备VDOM的数据的访问。

  ● 更有效地管理根据ADOM设置的数据策略和磁盘空间分配。

  默认情况下不会启用ADOM,只能由默认管理员(或拥有超级用户配置文件的管理员)配置。

  你将在本课程的后面了解有关ADOM的更多信息。

  就像FortiGate一样,GUl和CLI是可用于管理FortiAnalyzer的两个配置工具。你可以通过直接连接到FortiAnalyzer在本地使用这两个工具,也可以根据配置的设置远程使用这两个工具。你可以根据IP地址拒绝或允许访问。

  当你使用CLI时,你可以通过GUI仪表板上可用的CLI控制台小部件以及终端仿真应用程序(如PuTTY)运行命令。使用PuTTY需要单独的Telnet、SSH或本地控制台(DB-9)连接。

  GUI和CLI上可用的FortiAnalyzer功能取决于登录的管理员的配置文件和FortiAnalyzer的操作模式。例如,在收集模式下运行时,GUl不包括FortiView、Fabric View、Report或FortiSOC。此外,如果你使用Standard_User或Restricted_User管理员配置文件登录,则完全访问权限(如授予Super_User配置文件的权限)不可用。CLI还包括一些无法通过GUI获得的设置。

  你使用GUl和CLI所做的任何配置更改都会立即生效,而不会重置FortiAnalyzer系统或中断服务。

  请注意,当FortiAnalyzer处于收集器模式时,SQL数据库默认被禁用,因此除非在CLI上启用SQL数据库,否则需要SQL数据库的日志在收集器模式下不可用。

 答案:A

  答案:A

  恭喜!你已经完成了本课。接下来,你将回顾本课中涵盖的目标。

  上图显示了你在本课中涵盖的目标。


 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/256708.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2分钟带你了解什么是Vsync

了解Vsync,首先我们需要认知如下问题 什么是GPUCPU在渲染之前起到什么作用什么是帧,帧率什么是画面撕裂 什么是GPU GPU为图形处理器,又称显示核心、视觉处理器、显示芯片。 是一种专门在个人电脑、工作站、游戏机和一些移动设备(如平板电脑…

Nature Communications 高时空分辨率的机器人传感系统及其在纹理识别方面的应用

前沿速览: 现有的触觉传感器虽然可以精确的检测压力、剪切力和应变等物理刺激,但还难以像人类手指一样通过滑动触摸,同时获取静态压力与高频振动来实现精确的纹理识别。为了解决这一问题,来自南方科技大学的郭传飞团队提出了衔接…

Tomcat主配置文件(server.xml)详解

前言 Tomcat主配置文件(server.xml)是Tomcat服务器的主要配置文件,文件位置在conf目录下,它包含了Tomcat的全局配置信息,包括监听端口、虚拟主机、安全配置、连接器等。 目录 1 server.xml组件类别 2 组件介绍 3 se…

浅谈基于泛在电力物联网的综合能源管控平台设计及硬件选型

贾丽丽 安科瑞电气股份有限公司 上海嘉定 201801 摘要:城区内一般都具有错综复杂的能源系统,且大部分能耗都集中于城区的各企、事业单位中。基于泛在电力物联网的综合能源管控平台将城区内从能源产生到能源消耗的整体流动情况采用大屏清晰展示&#xff…

搜索推荐技术-爱奇艺搜索引擎技术

一、爱奇艺的搜索引擎框架示意图 即通过召回系统,即基于文本匹配的matching system,得到大量视频资源的候选集,经过粗排和精排,最后返回给用户。重点在于召回模块和排序模块。 二、召回模块 召回模块比较重要的是基础相关性&am…

使用Notepad++编辑器,安装compare比较差异插件

概述 是一款非常有特色的编辑器,Notepad是开源软件,Notepad中文版可以免费使用。 操作步骤: 1、在工具栏 ->“插件”选项。 2、勾选Compare选项,点击右上角“安装”即可。 3、 确认安装插件 4、下载插件 5、插件已安装 6、打…

Linux本地部署1Panel服务器运维管理面板并实现公网访问

文章目录 前言1. Linux 安装1Panel2. 安装cpolar内网穿透3. 配置1Panel公网访问地址4. 公网远程访问1Panel管理界面5. 固定1Panel公网地址 前言 1Panel 是一个现代化、开源的 Linux 服务器运维管理面板。高效管理,通过 Web 端轻松管理 Linux 服务器,包括主机监控、…

阿里云 ACR 制品中心 AI/大数据镜像专场上新推荐榜

今天,AI 领域的快速发展不仅需要算法的突破,也需要工程的创新。随着容器技术和服务在企业的应用程度不断加深,企业对于容器的使用也越来越多地从在线业务逐渐向 AI、大数据类型的工作负载发展。同时,开发人员在考虑如何通过云原生…

分布式搜索引擎03

1.数据聚合 聚合(aggregations)可以让我们极其方便的实现对数据的统计、分析、运算。例如: 什么品牌的手机最受欢迎? 这些手机的平均价格、最高价格、最低价格? 这些手机每月的销售情况如何? 实现这些统计功能的比数据库的sql要方便的多,而且查询速度非常快,可以实现近…

在jupyter notebook中修改其他文件的解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

No Chromedriver found that can automate Chrome ‘x.x.xxxx‘的解决办法

一、前置说明 在使用Appium对Android设备自动化测试时,切换WebView时抛出异常: selenium.common.exceptions.WebDriverException: Message: An unknown server-side error occurred while processing the command. Original error: No Chromedriver foun…

ubuntu or MacOS 源码安装 fmt fmtlib

1,前情 提醒这个源代码需要从release中下载 打包好的,而直接用git clone下载不了,可能github上的这个git clone的链接仅仅是给fmt lib的开发者使用的吧; 下载fmtlib的release源代码u下载fmtlib的release源代码 2,解压编…