通过了解FortiAnalyzer上的登录,你将能够使用日志数据来分析基于网络的攻击,以及对网络问题进行故障排除和调查。
然而,重要的是要明白日志就像一个拼图,你必须把几个碎片放在一起才能完全了解正在发生的事情。通常需要多个日志消息来确定导致漏洞的确切活动链,孤立的日志通常不会帮助你最好地配置网络以防止将来发生此类漏洞。
这就是为什么集中式日志存储如此重要。
该法规通常详细说明所需的特定类型的日志和数据,因为这些日志条目可以在未经授权或非法活动的情况下用作证据。数据必须能够在法庭上站得住脚,因此能够理解和分析你的日志非常重要。
然而,信息溢出是一个真正的问题。你希望确保你记录的任何信息都足以满足法规,同时仍然能够完成你的工作。拥有太多的数据与拥有太少的数据一样糟糕(在某些方面更糟糕)。
FortiAnalyzer上显示的日志取决于其登录的设备类型和启用的功能。例如,FortiGate设备生成三种日志类型:流量日志、事件日志和安全日志。每个日志类型都有相应的日志子类型。FortiAnalyzer上显示的日志取决于日志记录到它的设备类型和启用的功能。
本表说明了FortiAnalyzer从一些受支持的设备收集的日志类型和子类型。有关完整列表,请参阅FortiAnalyzer管理指南。
1. 收到的日志被解压缩并保存在FortiAnalyzer磁盘上的日志文件中。日志文件扩展名为.log。例如,FortiGate日志分别以tlog.log和elog.log的名义保存,分别用于流量和事件日志。请注意,FortiGate安全日志包含在tlog.log文件中。
2. 保存的日志同时在SQL数据库中索引,以支持分析。索引阶段的日志被称为分析日志。这些日志被视为在线,并提供即时的分析支持。你可以使用日志视图、FortiView、FortiSoC和报告查看这些日志。根据ADOM数据策略的规定,从SQL数据库中清除分析日志。
3. 最终,当日志文件达到配置大小或按既定时间表时,它将被滚动。滚动的过程包括重命名文件,添加时间戳,然后压缩它,从而添加gz扩展名。这些文件被称为存档日志,被认为是离线的,因此它们不提供即时的分析支持。结合起来,它们计入存档配额和保留限制,并根据ADOM数据策略删除它们。你可以使用日志浏览查看这些日志。
你可以选择查看来自特定设备、架构或日志组的日志,这是一组放置在单个逻辑对象中的设备。
日志组是虚拟的。他们没有SQL数据库或占用额外的磁盘空间。
你必须确保在仪表板级别设置的时间过滤器是正确的,因为它同时影响所有小部件中包含的信息。
通过单击提供的链接,很容易从这个仪表板转到特定的日志。这样做会将你带到特定的日志子类型部分,并在仪表板上显示过滤器。上图显示了单击标记为Logid_62035的链接后应用的过滤器的示例。
要在日志视图中搜索特定日志,请从左侧菜单中选择设备和日志类型,然后设置适当的过滤器。
你可以根据任何可用值创建过滤器。例如,ADOM和有限时间范围内特定设备的过滤器。
你还可以通过添加或删除列和查看实时或历史日志,或作为原始或格式化日志来更改视图。
要查看有关日志的更多信息,请双击日志条目。详细信息窗格显示在屏幕的右侧。
下面是一些构建有用日志搜索的技巧:
● 单击添加过滤器,从所有可能的可用列/字段中查看和选择。
● 在日志表中找到包含你要搜索的数据的日志。例如,如果你想搜索包含代码注入的攻击,请右键单击该数据,然后打开一个弹出窗口,其中包含自动为你设置的搜索过滤器。如果你选择搜索过滤器,它会根据该过滤器返回结果。
虽然你可以手动键入过滤器,但这样做很容易出现语法错误和拼写错误。使用GUI中的上下文菜单可以防止你犯这些错误。
在该示例中,选择了以下参数来显示过去七天内IP地址为10.0.1.20的客户端访问的恶意网站:
● 选择的日志类型是安全。
● 选择的日志子类型是Web过滤。
● 时间框架包括最后七天。
● 源IP地址的过滤器为10.0.1.20。
● 对类别描述应用了过滤器,以使类别描述为恶意网站
应用时,这些过滤器允许你在主机名称和URL列中查看所需的信息。
如果你需要更精细的结果,你可以添加更多过滤器或编辑当前过滤器。
要保存搜索,请应用所需的过滤器,进行搜索,然后将其保存为自定义视图。默认情况下,自定义视图是公开的,但你可以选择将创建的视图设为私有视图。
在上图中,创建了一个新的自定义视图,以包括上周收到的所有Web过滤器日志,这些日志与HTTP流量相对应。
在根ADOM中,管理员可以查看根ADOM的本地事件日志和应用程序日志。其他ADOM仅显示应用程序日志。
在上图中,几个日志表明有两个问题需要注意。首先,几个日志显示一个剧本任务多次失败。此外,底部的日志表明FortiAnalyzer没有收到来自FortiADC设备的日志。
FortiView窗格是一个全面的监控系统,可以显示实时和历史数据。
每个ADOM在FortiView窗格上都有自己的数据分析,因此在查看FortiView窗格的内容之前,请确保你处于正确的ADOM中。
FortiAnalyzer FortiView模块可以通过上图显示的命令禁用性能调整。禁用时,GUI会隐藏FortiView并停止此功能的后台处理。
FortiView窗格允许你在控制台中使用多个过滤器,使你能够通过用户ID或本地IP地址、应用程序等将视图缩小到特定时间。你可以使用它来调查流量活动,例如用户上传和下载,或在YouTube上在网络用户组或个人用户级别观看的视频。
例如,在上图中,威胁排名小部件显示了前100名威胁。列表顶部的威胁是一个威胁得分非常高的僵尸网络。双击该条目将提供更多详细信息,例如与此流量相关的源IP地址。在本例中,只列出了一个IP地址。按照IP地址上的链接,可以找到MAC地址。快速的MAC查找将表明这是一台最有可能被破坏的虚拟机。
细节中还值得注意的是,大多数对手的交通已被封锁,但有些已被允许,因此可能需要快速响应。
FortiAnalyzer上的漏洞检测引擎使用FortiGuard威胁检测服务(TDS)智能来分析网络过滤器日志以进行漏洞检测。TDS情报每天更新,以反映现实世界的威胁格局。请注意,AV/IPS等日志不会被使用,因为FortiGate上的这些服务已经检测到或阻止了这些威胁。当发现威胁匹配时,根据TDS的总体排名得分向最终用户提供威胁分数。检查完成后,FortiAnalyzer汇总最终用户的所有威胁分数,并对最终用户的整个IOC做出裁决。判决可以是以下之一:
● 感染:表示真正的漏洞。在网络日志中发现了黑名单IP或域生成算法(DGAs)的匹配。
● 高度可疑:表明可能存在违约行为。
在IOC FortiView上,你还可以:
● 通过指定设备或时间段来过滤条目。
● 通过单击确认栏中的Ack来确认IOC。默认情况下,你可以查看公认的IOC,除非你将系统配置为不显示它们。确认条目时可以添加简短的评论。
● 双击条目以向下钻取并查看威胁详细信息。
通过双击所需的条目,将显示更多详细信息,你可以根据两个类别过滤视图:
● 拦截列表,在检查从FortiGuard下载的lOC数据库中包含的拦截列表中后,表示标记为感染的项目。你可以通过单击安全操作列下的详细信息来验证此流量是否被阻止。如果你认为“检测模式”列下列出的IP地址或域是有效的,你可以通过单击该条目将其报告为错误评级。
● 可疑(上图未显示),这表明在从FortiGuard下载的IOC数据库中包含的可疑列表中发现了匹配项。在这种情况下,Fortianalyzer标记端点以进行进一步分析,然后将标记的日志条目与当天上一个端点的统计数据进行比较,然后更新分数。如果分数超过阈值,该端点将在受损主机中列出或更新。
监视器同时显示实时监控和历史趋势。这种集中监控和意识有助于你有效地监控网络事件、威胁和安全警报。
使用监视器仪表板查看网络活动的多个窗格,包括威胁、受损主机、应用程序、ZTNA、Wi-Fi、系统性能、端点、全球威胁研究和FortiClient软件库存等。每个仪表板由多个小部件组成,这些小部件可以自定义、添加、删除和放大以获得更详细的视图。
例如,在上图中,Top Sources小部件被放大和自定义,以表格格式和全视图显示信息。列表中的首要来源是IP地址为10.0.0.21的主机,其威胁评分非常高。双击该条目将提供更多详细信息,例如生成此流量的应用程序。在本例中,DNS被列为来自该主机的主要流量来源。
显示的细节之一是大多数DNS流量没有被阻止。需要进行更多调查,以确定此流量是否正常,例如DNS服务器,或者它是否与在受损主机上运行的DNS隧道等有关。
● 允许管理用户选择要索引的设备和时间段
● 允许对拉入ADOM的索引日志进行自定义日志保留设置,以满足基于旧日志生成报告的目的
● 避免从外部备份源导入期间可能发生的日志重复
获取日志的FortiAnalyzer设备作为获取客户端运行,其他发送日志的FortiAnalyzer设备作为获取服务器运行。日志获取只能在两个FortiAnalyzer设备之间进行。FortiAnalyzer设备可以执行获取服务器或客户端角色,并且可以同时使用另一端的不同FortiAnalyzer设备执行两个角色。
你一次只能在两个FortiAnalyzer设备之间建立一次日志获取会话。
● 客户端和服务器设备应运行相同的固件,以确保所有日志字段匹配。
● 源和目的地ADOM必须是同一类型。
● 确保目标ADOM有足够的空间用于传入日志。
● 验证客户端上的数据策略不会删除传入的日志,因为它们不属于配置的时间范围。
● 只有当相应的设备添加到设备管理器时,传入的日志才会在客户端上可见。
● 使用请求对话框窗口中的可用过滤器仅选择所需的日志。
● ITSM连接器,包括ServiceNow、Slack和通用(webhook)
● 存储连接器,包括Amazon S3、Microsoft Azure Blob容器和谷歌云存储
● 安全架构连接器,包括:FortiClient EMS在端点、FortiMail、FortiCASB上执行EMS操作
一旦配置,Fabric连接器会丰富FortiSoC上可用的事件响应相关操作。例如,创建新的FortiClient EMS连接器将添加与端点管理相关的新自动化手册。
你还可以创建可用于限制事件处理程序和报告范围的子网和子网组。
资产中心窗格适用于以下方面:
● 事件响应:检查受感染或脆弱的资产,作为SOC分析和事件响应过程的一部分。
● 合规:识别未知和不合规的用户和端点。
例如,上图显示了有关运行Microsoft Windows的四台主机的信息。点击详细信息会显示每个主机上安装的所有软件。这可用于识别未经授权或未经许可的应用程序。在漏洞栏中,有关缺失更新的详细信息按严重程度显示。列出的漏洞既可以针对操作系统,也可以针对已安装的应用程序。这对于识别不符合公司更新周期且代表安全弱点的系统非常有用。
请注意,如果你的安装中没有FortiClient,显示的信息是有限的:
● 根据MAC地址检测端点,并按IP地址而不是主机名显示。
● 与用户相关的信息可能不可用。
● 操作系统版本、头像和社交ID信息等详细信息不可用。
当你分析日志、事件和事件时,用户及其端点地图为你提供更好的可见性。这也有助于你的报告。
请注意,如果你的安装中没有FortiClient,最终用户信息是有限的:
● 根据MAC地址检测端点,并按IP地址而不是主机名显示。
● 与用户相关的信息可能不可用。
● 操作系统版本、头像和社交ID信息等详细信息不可用。
例如,如果你的日志量太高,你将无法在ADOM中配置的时间内将日志保存在分析和存档中。
插入速率与接收速率是一个图表,显示了原始日志到达FortiAnalyzer(接收速率)的速度以及SQL数据库和sqlplugind守护进程索引它们的速率(插入速率)。至少,这些参数之间的差异应该大致一致。
日志插入滞后时间显示从收到日志到索引之间的时间。理想情况下,此参数应尽可能小,并根据所记录的网络活动偶尔出现峰值。应该创建一个良好的基线,以便识别可能的性能问题。
