教程篇(7.2) 02. 管理和经营 ❀ FortiAnalyzer管理员 ❀ Fortinet 网络安全专家 NSE5

 在本课中，你将学习一些可用于更好地保护FortiAnalyzer及其存储的敏感日志数据免受外部或内部威胁的管理和经营功能。

 在本课中，你将了解上图显示的主题。

 通过展示使用管理访问控制的能力，你将能够更好地保护FortiAnalyzer设备及其收集的敏感数据的管理。

 出于安全原因，你应该执行的首要任务之一是更改默认管理员密码。建议你在设置向导期间执行此操作。你也可以随时在管理员页面上更改它，方法是右键单击管理员用户，然后选择更改密码。确保你输入了一个安全、强大的密码。

　　请注意，FortiAnalyzer没有密码恢复选项！

　　如果你忘记了密码并无法访问FortiAnalyzer，一种选择是使用execute migrate命令，该命令允许你加载配置备份。

　　按照以下步骤操作：

　　1. 在虚拟机或设备上执行出厂重置。

　　2. 运行execute migrate命令。

　　3. 使用默认admin帐户和密码（系统设置未恢复）。

　　另一个选项是格式化闪存并重新加载图像（从BIOS配置菜单）。这删除了系统设置，包括管理帐户。

　　因此，请确保你记住密码或将其存储在安全位置。

 你可以通过在管理员设置页面上为所有管理员配置全局密码策略来提高管理员帐户的安全性。默认情况下，密码策略被禁用。

　　该策略允许你设置最小密码长度，指定密码中是否必须包含字符或数字，并指定密码保持有效的天数。

　　如果你确实设置了密码过期，请确保遵守该政策，并在密码过期前更改密码，因为没有密码恢复选项。

 在审查配置设置之前，有必要讨论安全性的重要性。FortiAnalyzer存储你的网络日志信息，因此你正确保护数据至关重要。

　　以下是一些安全建议：

　　● 在受保护和可信的专用网络中部署FortiAnalyzer。你永远不应该把它部署到网络之外。

　　● 始终使用安全连接方法进行管理：GUl的HTTPS或CLI的SSH。HTTP和Telnet等方法使用纯文本，并且不安全，因此攻击者可以使用数据包嗅探工具来获取对破坏网络有用的信息。

　　● 在用户上使用受信任的主机，仅允许从特定位置登录。如果你确实需要打开设备的外部访问，以便远程FortiGate设备可以连接，请仅打开为此所需的端口。其他开放端口会增加你的安全风险。如果你需要从外部打开直接登录访问，请务必为此设置特殊用户帐户，并仅打开安全的协议。使用安全密码，因为如果你开始通过任何人（即互联网）可能收听的连接传输流量，它们很重要。

　　● 确保你将管理员密码存储在安全的地方，因为FortiAnalyzer不支持密码恢复。

 根据你的部署，你可能希望通过创建额外的管理帐户在多名员工之间分配FortiAnalyzer管理任务。然而，你授予管理员访问权限的每个额外个人都会导致风险线性到指数增长。

　　为了保护你的网络，你可以使用以下方法控制和限制管理访问：

　　● 管理配置文件：确定授予的访问级别或特权

　　● 信任主机：确定可以从何处建立连接

　　● ADOM：确定管理员将有权访问哪些设备来查看和管理日志

　　通过向多人提供管理访问权限，并使用控制方法，你可以更好地保护你的网络。

  你永远不应该给予管理员超过他们履行职责所需的特权。FortiAnalyzer附带四个预装的默认配置文件，你可以将其分配给其他管理用户。管理员配置文件定义了管理员权限，并且是每个管理帐户所必需的。四个默认配置文件是：

　　● Super_User：与FortiGate一样，提供对所有设备和系统特权的访问。

　　● Standard_User：它提供对设备特权的读写访问，但不提供系统特权。

　　● Restricted_User：仅提供对设备特权的读取访问，但不提供对系统特权的读取访问。对管理扩展的访问也被删除。

　　● No_Permissions_User：不提供系统或设备特权。例如，可用于暂时删除授予现有管理员的访问权限。

　　你可以将默认配置文件分配给管理帐户，也可以修改与每个默认配置文件关联的个人特权。或者，你可以创建自己的自定义配置文件。

 除了通过管理员配置文件控制管理访问外，你还可以通过为每个管理用户设置信任主机来进一步控制访问。这限制管理员仅从特定的IP或子网登录。如果你只定义一个信任主机IP，你甚至可以将管理员限制为单个IP地址。

　　当通过SSH访问时，你定义的信任主机适用于GUl和CLI。

 另一种控制管理访问的方法是通过ADOM。使用ADOM使设备管理更有效，因为管理员只需要监控和管理分配的ADOM中的设备。它还使网络更安全，因为管理员仅限于他们应该访问的设备。

　　拥有Super_User配置文件的管理员可以完全访问所有ADOM。拥有任何其他配置文件的管理员只能访问他们被分配到的ADOM——这可以是一个或多个。

  与其创建由FortiAnalyzer验证登录的本地管理员，你可以配置外部服务器来验证你的管理员登录。RADIUS、LDAP、TACACS+和PKI都可以用于验证管理员。

　　上图的图像显示了LDAP服务器配置的示例。

  你可以使用远程服务器上的匹配所有用户选项，使管理员能够使用远程身份验证服务器（如RADIUS、TACACS+和LDAP）上的凭据登录FortiAnalyzer。此选项对于创建通配符管理员很有用，并且无需FortiAnalyzer存储本地凭据，因为正在使用远程身份验证服务器。这简化了管理。例如，如果员工离开公司，他们的帐户在FortiAnalyzer上不存在——他们仅作为远程身份验证服务器上的用户存在。如果你不选择此选项，则必须提供仅在FortiAnalyzer无法连接到身份验证服务器时使用的密码。

　　你可以设置远程身份验证服务器组，在管理员类型下拉列表中列为GROUP，以扩展管理员访问权限。通常，你仅为单个服务器创建通配符管理员。但是，如果你对多个服务器进行分组，你可以将通配符管理员应用于组中的所有服务器。如果你将LDAP和RADIUS服务器添加到身份验证组中，并且管理员在两台服务器上都有登录凭据，那么管理员可以使用他们的LDAP或RADIUS凭据在FortiAnalyzer上进行身份验证。

　　你可以对同一类型的多台服务器进行分组，以充当备份，如果一台服务器出现故障，管理员仍然可以由组中的另一台服务器进行身份验证。你只能使用CLI添加远程身份验证服务器组。在上图显示的示例中，添加了两个现有的LDAP服务器。在CLI上（上图中未显示），添加了一个身份验证服务器组并命名为AuthServers，服务器被添加到该组中。

  为了给外部管理员增加额外的安全性，你可以配置双因子身份验证。为此，你需要使用FortiAuthenticator和FortiToken。

　　在FortiAnalyzer方面，你需要创建一个指向FortiAuthenticator的RADIUS服务器，然后创建一个指向RADIUS服务器的管理员帐户。

　　有关配置外部服务器和双因子身份验证的更多信息，请参阅FortiAnalyzer管理指南。

  在FortiAnalyzer中，可以在所有Security Fabric设备上启用SAML，通过单点登录（SSO）为管理员实现设备之间的平稳移动。

　　当外部身份提供商可用时，FortiAnalyzer可以扮演身份提供商（IdP）、服务提供商（SP）或Fabric SP的角色。

  答案：A

  答案：B

  非常好！你现在了解了管理访问控制。接下来，你将学习如何监控管理事件。

  通过展示监控管理事件和任务的能力，你将能够确保管理员在其指定的角色范围内运作，从而减轻你组织的风险。

  你可以通过管理员页面跟踪管理员用户会话，包括当前登录的人以及信任主机。默认情况下，只有具有Super_User访问权限的管理员才能看到管理员的完整列表。

　　登录的管理员由绿色勾号表示。

 FortiAnalyzer审计管理员活动，因此你可以向个人获取更改。

　　你可以在事件日志页面上查看本地事件日志消息，例如配置更改和登录。要微调结果，你可以添加过滤器。例如，要查看特定管理用户执行的本地事件，请按用户名过滤。

  任务监视器页面允许你查看管理员任务，以及这些任务的进度和状态。

  FortiAnalyzer还允你通过FortiView监控FortiGate管理登录活动。

　　失败的身份验证尝试页面显示失败的登录尝试，包括登录的源IP、登录类型、接口、使用的协议和失败的登录尝试次数。

　　FortiView > 系统 > 管理员登录页面（上图未显示）显示登录、登录失败、登录持续时间和配置更改。

  最后，FortiAnalyzer允许你使用FortiView监控FortiGate管理活动。

　　系统事件页面显示所有系统和管理员调用的事件。要查看有关事件类型的更多详细信息，请右键单击它，然后选择查看相关日志，以转到LogView中提供更多信息的相应部分。

  答案：B

  答案：B

  非常好！你现在了解如何监控管理事件和任务。接下来，你将了解被称为ADOM的管理域。

  通过展示ADOM的能力，你将能够对设备进行分组，供管理员监控和管理。你还将能够更有效地管理数据策略和磁盘空间分配。

  默认情况下未启用ADOM。默认情况下，只有具有Super_User访问权限的管理员才能启用和配置ADOM。

　　你可以在GUI中通过系统设置或带有config system global命令的CLI启用或禁用ADOM。

　　启用ADOM后，系统会注销你，以便使用新设置重新初始化。你可以启用的ADOM的最大数量因FortiAnalyzer型号而异。

　　启用ADOM登录后，你必须从配置的ADOM列表中选择要查看的ADOM。

 全局ADOM配置可以在正常模式（默认模式）或高级模式下运行。

　　在正常模式下，你无法将同一FortiGate设备的虚拟域（VDOM）分配给多个FortiAnalyzer ADOM。你必须将FortiGate设备及其所有VDOM分配给单个ADOM。

　　在高级模式下，你可以将同一FortiGate设备的VDOM分配给多个FortiAnalyzer ADOM。此模式允许你使用FortiView、事件管理和报告功能来分析单个VDOM的数据。高级模式会导致更复杂的管理场景。

 上图的图像显示了两个场景，每个场景由配置了三个VDOM的FortiGate单元组成。

　　在顶部，当使用正常模式时，不可能将不同的VDOM分配给不同的ADOM。

　　在底部，当使用高级模式时，每个VDOM都可以分配给不同的ADOM。

 在All ADOM页面上，你可以看到所有配置的ADOM，以及所有非FortiGate设备的默认ADOM。如果默认的ADOM不符合你的要求，你可以创建自己的ADOM。

　　你创建的ADOM类型必须与你计划添加的设备类型相匹配。例如，如果你想为FortiGate创建ADOM，你必须选择FortiGate作为ADOM类型。默认情况下，根ADOM或创建新ADOM时，ADOM类型设置为Fabric。

　　在创建新的ADOM期间，你可以设置磁盘配额。此配额分配给ADOM，而不是添加到它的单个设备。默认情况下，最大允许磁盘配额设置为50GB。

　　请注意，你无法删除默认ADOM。在从该ADOM中删除所有设备之前，你也无法删除具有已分配设备的自定义ADOM。

 在FortiAnalyzer中，安全架构中的所有Fortinet设备都可以放置在同一个ADOM中。

　　这允许快速的数据处理、日志相关性，并允许在设备管理器、LogView、FortiView、事件和事件/FortiSoC和报告窗格中显示组合结果。 

　　创建架构ADOM后，它会列在ALL ADOM的安全架构部分下。

  答案：A

  答案：B

  非常好！你现在了解了ADOM。接下来，你将学习如何管理磁盘配额。

  通过展示理解磁盘配额以及如何修改磁盘配额的能力，你将能够在网络中更有效地使用磁盘配额。

  FortiAnalyzer设备具有有限的磁盘空间。当分配的日志磁盘空间满时，会发生以下情况：

　　● 警报消息在警报消息控制台上自动生成，作为带有级别警告的事件日志。

　　● 最旧的日志被覆盖。这是默认设置，但你可以调整此行为，以便在磁盘已满时停止日志记录。

　　任何管理员都不想丢失有价值的日志数据，并冒着不遵守数据保留的风险。因此，了解FortiAnalyzer磁盘配额、强制执行方式以及保留了哪些空间因此无法存储日志至关重要。

  磁盘配额包括：

　　● 存档日志：这些是在硬盘上和离线压缩的日志。

　　● 分析日志：这些是在SQL数据库和在线中存储和索引的日志。

　　SQL数据库中索引的分析日志比存档日志需要更多的磁盘空间。此规则的唯一例外是FortiAnalyzer在收集器模式下工作，因为SQL数据库没有运行。

　　平均索引日志大小为600字节，平均压缩日志大小仅为80字节。在指定分析和存档日志的存储比率时，请记住这种差异。默认比率是70%-30%。

  默认情况下，每个ADOM允许在FortiAnalyzer上存储价值1000 MB（或略低于1 GB）的驱动器空间，以存储日志数据。然而，这个数字是可配置的。你无法将最小值设置为100 MB以下，最大值取决于特定FortiAnalyzer设备的磁盘空间分配。

　　FortiAnalyzer系统为压缩文件、上传文件和临时报告文件保留了5%至20%的磁盘空间，为分配给设备留出约80%至95%的磁盘空间。

　　需要注意的是，如果使用RAID，RAID级别决定了磁盘大小和保留配额级别。有关更多详细信息，请参阅上图中的表格。

 你可以使用CLI命令diagnose log device获取磁盘日志使用情况，包括每个ADOM的使用情况。

　　总配额值通过从整个系统存储中减去保留的空间来确定。

　　分配的空间是通过添加所有ADOM的存档和分析配额来确定的。

　　使用的空间是通过添加存档和分析日志以及安装在驱动器上的所有系统文件来确定的。你可以使用CLI命令diagnose system print df来接收系统文件值。

  请注意，许可证信息小部件显示的值低于配额。这是因为它只报告了当天推送给FortiAnalyzer的日志数量。此外，它只报告入口流量，仅限于原始日志部分。它不包括日志存档、FortiGate存储和上传日志、FortiAnalyzer聚合日志或FortiClient日志。SQL数据库表也不包括在内，因为此索引是由FortiAnalyzer在收到日志后完成的。

  磁盘配额强制执行由不同的流程执行：

　　● logfiled进程强制执行日志文件大小，还负责通过监控其他进程来强制执行磁盘配额

　　● sqlplugind进程强制SQL数据库大小

　　● oftpd进程强制执行存档文件大小

　　logfiled每两分钟检查一次进程（除非系统资源很高），并估计SQL数据库使用的空间。如果磁盘配额估计超过95%，FortiAnalyzer会根据需要删除文件，直到它们下降到85%。

  根据你的日志速率和设备使用统计数据，你可能需要调整ADOM磁盘配额，这样你就不会丢失有价值的日志数据。

　　始终监控ADOM中每个设备的日志速率。如果你有大量日志，请增加ADOM配额，这样最早的日志就不会过早丢失。

　　向ADOM分配足够的配额可能会导致许多问题。它可以：

　　● 防止你达到日志保留目标

　　● 通过日志删除和数据库修剪导致不必要的CPU资源强制配额

　　● 如果配额执行在报告完成之前对分析数据进行操作，则会对报告产生不利影响

  如果根据你监控的日志速率增加磁盘配额不足，你可能需要增加整体磁盘空间。

　　使用FortiAnalyzer VM，你可以使用上图显示的程序动态地为FortiAnalyzer添加更多磁盘空间。

　　使用硬件FortiAnalyzer，你必须添加一个或多个磁盘。如果你正在使用RAID，如果你添加另一个磁盘，你还必须重建RAID阵列。因此，考虑未来的增长和规模很重要。

  答案：A

 答案：A

  非常好！你现在了解了磁盘配额。接下来，你将学习如何备份FortiAnalyzer和一些一般最佳实践。

  通过展示执行系统配置备份和遵循最佳实践的能力，你将能够最大限度地减少系统故障或意外配置错误情况下的停机时间。

  完成初始配置后，你应该备份它作为最佳实践。你可以使用系统信息小部件直接在GUl上执行备份。

　　除了实际日志和生成的报告外，系统配置备份包含所有内容。你可以使用GUI（日志视图、报告）或使用带有execute backup命令的CLI备份日志和报告。

　　系统配置备份包括什么？

　　● 系统信息，如设备IP地址和管理用户信息

　　● 设备列表，例如你配置为允许日志访问的任何设备

　　● 报告信息，例如任何配置的报告设置，以及你的所有自定义报告详细信息。这些不是实际的报告。

　　你可以将备份文件保存为加密文件，以增加安全性。请注意，你只能将备份恢复到相同的型号和固件版本。此外，如果你需要Fortinet Support的帮助，并且需要你的配置来协助故障排除，你的备份不应加密。

　　如果对FortiAnalyzer进行了对网络产生负面影响的更改，你可以从任何备份中恢复配置。

　　如果你的FortiAnalyzer是虚拟机，你还可以使用虚拟机快照。

 你可以安排备份并将其存储在远程服务器中。FortiAnalyzer支持将其备份文件发送到FTP、SCP和SFTP服务器。在发送文件之前，必须预先配置目标服务器。你必须在目标文件夹中拥有具有读写权限的有效凭据。

　　上图显示了用于安排备份作业的命令。

  以下是操作FortiAnalyzer的一些最佳实践：

　　● 始终优雅地关闭FortiAnalyzer，因为不这样做可能会损坏数据库。

　　● 让FortiAnalyzer在不间断电源（UPS）上运行，以防止意外停电事件。还要确保您的UPS稳定，并有足够的电流来确保预期的行为。

　　● 为了便于使用，请将未加密的备份保存到安全位置。在处理Fortinet Support时，你应该使用未加密的备份，因为它允许离线访问数据库配置文件。

　　● 将FortiAnalyzer和所有注册设备上的时间与NTP服务器同步，以获得正确的日志相关性。

　　● 实施全面的备份计划，包括配置和日志。

　　● 通过配置高可用性 (HA) 和链路聚合 (在2000E及以上型号和虚拟机上可用) 来提高可靠性。

  恭喜！你已经完成了本课。接下来，你将回顾本课中涵盖的目标。

  通过掌握本课程涵盖的目标，你学会了如何使用管理和运营功能来更好地保护FortiAnalyzer及其存储的敏感日志数据，以抵御外部或内部威胁。

---