FortiAnalyzer将日志记录、分析和报告集成到一个系统中,因此你可以快速识别和应对网络安全威胁。
日志记录和报告工作流程如下:
1. 注册设备将日志发送到FortiAnalyzer。
2. FortiAnalyzer以易于搜索和运行报告的方式整理和存储这些日志。
3. 管理员可以使用GUl连接到FortiAnalyzer手动查看日志,或生成报告来查看数据。你还可以使用CLI执行管理任务。
报告清楚地描述了受支持设备上发生的网络事件、活动和趋势。FortiAnalyzer报告整理日志中的信息,以便你可以解释信息,并在必要时采取必要的行动。你可以对从这些报告中收集的网络知识进行归档和过滤,也可以对其进行挖掘,以便进行合规或历史分析。
FortiAnalyzer事件允许你对威胁做出快速反应,因为全天候物理监控你的网络是不现实的。当满足日志中的特定条件时,系统可以生成事件,你已将FortiAnalyzer配置为监控注册设备。你可以在GUl上看到你的事件,还可以通过电子邮件、SNMP或syslog将它们发送给多个收件人。此外,需要进一步调查的事件可用于产生新的事件。
内容归档提供了一种同时记录和存档通过网络传输的内容的完整或摘要副本的方法。你通常使用内容归档来防止敏感信息离开组织的网络。你还可以使用它来记录网络使用情况。数据丢失预防(DLP)引擎可以检查电子邮件、FTP、NNTP和网络流量,但你必须在FortiGate上的DLP传感器中配置每个规则的存档设置,以便你可以指定要存档的内容。
高级报告能力需要一些SQL和数据库的知识。例如,你可能需要编写自定义SQL查询,称为数据集,以从数据库中提取所需的数据。
在分析器模式下运行时,该设备充当一个或多个日志收集器的中央日志聚合器,例如在收集器模式下运行的FortiAnalyzer设备或任何其他支持的设备发送日志。分析器是默认的操作模式。
在收集器模式下运行时,设备从多个设备收集日志,然后以原始二进制格式将这些日志转发到另一个设备,例如在分析器模式下运行的FortiAnalyzer。它还可以将它们发送到系统日志服务器或通用事件格式(CEF)服务器,具体取决于转发模式。收集器没有与分析器相同的功能丰富的选项,因为它的唯一目的是收集和转发日志。它不允许事件管理或报告。
你可以在仪表板上的系统信息小部件中更改操作模式。
此外,由于收集器严格致力于日志收集,其日志接收速率和速度最大化。如果带宽是一个问题,例如WAN链接缓慢的情况,你可以使用存储和上传选项仅在低带宽期间发送日志。
由于收集器不执行任何分析任务,它应该拥有为存档日志分配的大部分磁盘空间。
会话的流量记录总是由安全架构中处理它的第一个FortiGate完成。安全架构中的FortiGate设备知道其上游和下游同行的MAC地址。如果FortiGate从安全架构中属于另一个FortiGate的MAC地址接收数据包,它不会为该会话生成新的流量日志。这有助于消除多个FortiGate设备对会话的重复记录。
此行为的一个例外是,如果上游FortiGate执行NAT,则会生成另一个日志。需要额外的日志来记录NAT详细信息,如翻译的端口和地址。
如果已配置,上游设备将完成UTM日志记录,FortiAnalyzer为安全架构执行UTM和流量日志相关性,以便为可能发生的任何UTM事件提供简洁准确的记录。无需额外配置,因为FortiAnalyzer会自动执行此功能。
请注意,安全架构中的每个FortiGate都会将流量记录到FortiAnalyzer,独立于根或其他叶子设备。如果根FortiGate停机,从叶FortiGate设备到FortiAnalyzer的日志记录将继续发挥作用。
安全架构中配置了三个FortiGate设备以及FortiAnalyzer设备。
● FGT-A安装在公司网络及其互联网服务提供商之间,它在RFC-1918主机的出站通信上执行SNAT,并为HTTP/HTTPS会话执行网络过滤。
● FGT-B安装在访问层中,提供设备检测、漏洞隔离以及来自连接的最终用户局域网的基本DoS保护。
● FGT-C安装在数据中心,在那里运行IPS,用于与后面服务器的所有入站通信。
FGT-B接收来自Client-1的所有流量,FGT-B为初始会话创建流量日志。
Web会话被转发到FGT-A,它不会复制初始流量日志,但会由于SNAT应用于会话而生成流量日志。此外,FGT-A对此会话应用网络过滤策略,并酌情生成相关的UTM日志。
SMB会话被转发到FGT-A,FGT-A不会重复初始流量日志。FGT-A不需要执行NAT或应用网络过滤,因此它将流量转发到FGT-C。FGT-C也不会生成重复的流量日志,但它根据其配置执行IPS检查,如果触发签名匹配导致生成日志的操作,则记录事件。
FortiAnalyzer接收各种流量和UTM日志,并自动关联它们,以便它们被链接以进行适当的查看、报告和自动化操作。
FortiAnalyzer架构包括两种操作模式:主管和成员。
主管充当FortiAnalyzer架构中的根设备。SOC管理员可以使用主管查看成员设备及其ADOM、授权日志设备以及在成员身上创建的事件和事件。事件和事件信息使用API从成员同步到主管。
成员是FortiAnalyzer架构中的设备,可将信息发送给主管集中查看。当配置为成员时,FortiAnalyzer设备仍然可以访问FortiAnalyzer管理指南中确定的FortiAnalyzer功能。事件和事件由每个成员创建或提出。
配置了高可用性 (HA) 的FortiAnalyzer可以成为会员。然而,作为架构主管的FortiAnalyzers不支持HA。
所有FortiAnalyzer架构成员必须配置与主管相同的时区设置。
ADOM的目的是:
● 通过ADOM划分设备管理,并控制 (限制) 管理员访问。如果你的网络使用虚拟域(VDOM),ADOM可以进一步限制对来自特定设备VDOM的数据的访问。
● 更有效地管理根据ADOM设置的数据策略和磁盘空间分配
默认情况下不会启用ADOM,只能由默认管理员 (或拥有超级用户配置文件的管理员) 配置。
安全架构中包含的所有Fortinet设备都可以放入架构类型的ADOM中,从而实现快速的数据处理和日志相关性。
你将在本课程的后面了解有关ADOM的更多信息。
你可以在特定型号的快速入门指南中找到默认设置。不同的FortiAnalyzer型号具有不同的端口数量,但port1是管理端口,并且始终具有相同的默认IP地址。
如果你正在部署FortiAnalyzer VM,管理IP地址及其分配取决于你正在使用的虚拟化平台。有关更多详细信息,请访问https://docs.fortinet.com/product/fortianalyzer-public-cloud/7.0。
你还可以使用config system interface命令在CLI上配置管理IP。
当你使用CLI时,你可以通过GUI仪表板上可用的CLI控制台小部件以及终端仿真应用程序(如PuTTY)运行命令。使用PuTTY需要单独的Telnet、SSH或本地控制台(DB-9)连接。
GUI和CLI上可用的FortiAnalyzer功能取决于登录的管理员的配置文件和FortiAnalyzer的操作模式。例如,在收集器模式下运行时,GUl不包括FortiView、Fabric View、Report或FortiSOC。此外,如果你使用Standard_User或Restricted_User管理员配置文件登录,则完全访问权限(如授予Super_User配置文件的权限)不可用。CLI还包括一些无法通过GUI获得的设置。
你使用GUl和CLI所做的任何配置更改都会立即生效,而不会重置FortiAnalyzer系统或中断服务。
请注意,当FortiAnalyzer处于收集器模式时,SQL数据库默认被禁用,因此除非在CLI上启用SQL数据库,否则需要SQL数据库的日志在收集器模式下不可用。
要首次登录CLI,你可以使用两种方法之一:
● 集成CLI控制台:登录GUl,然后单击右上角的CLI图标。你会自动登录到控制台。
● 终端仿真应用程序(如PuTTY):输入FortiAnalyzer port1 IP地址,然后选择受支持的管理访问协议,如SSH。当连接并提示登录时,请使用出厂默认管理员凭据。
你可以使用它在FortiCare注册FortiAnalyzer设备,更改默认密码,设置正确的时区,并设置设备主机名。
你可以选择现在或以后完成所有或部分步骤。
完成的步骤旁边会显示一个绿色勾号。
为了为你的网络配置FortiAnalyzer,你必须设置IP地址和网络掩码,选择支持的管理访问协议,并为路由数据包指定默认网关。你可以在网络页面上完成所有这些。
还有一些非标准的管理访问协议也值得一提:
● Web服务:允许从SOAP等Web服务访问FortiAnalyzer,SOAP是一种消息协议,允许在不同的操作系统(如Windows和Linux)上运行的程序。FortiAnalyzer服务器运行Linux。
● FortiManager:允许FortiManager管理FortiAnalyzer。
如果你想解析日志中的主机名,你需要一个DNS服务器。默认的主要和辅助DNS服务器地址是FortiGuard DNS服务器。你可以使用这些地址,或将它们更改为你偏好的其他服务器。拥有主服务器和辅助服务器是最佳做法。此外,响应时间是DNS的一个考虑因素,因此请选择尽可能靠近网络的DNS服务器,例如互联网提供商的DNS。
为了增加接收日志的带宽,并向FortiAnalyzer添加网络冗余,你可以配置一个或多个聚合链接。这些是结合两个或多个物理接口的逻辑链路,有效地结合了它们的带宽。此外,如果至少有一个工作的物理接口,这些链接将保持活动状态,从而为你的设备添加网络冗余。
VLAN用于隔离网络中不同类型的流量。这增加了安全性,如果需要,允许对该流量应用不同的策略或优先级。你可以在FortiAnalyzer中配置VLAN接口,以利用环境中现有的VLAN。
● execute rest all-setting命令会擦除闪存上的显示配置,其中包含IP地址和路由,而execute reset all-except-ip命令会留下IP地址和路由的设置。
● execute format disk命令会擦除磁盘上的所有设备设置、图像、数据库和日志数据,同时保留IP地址和路由信息。重置配置后,你应始终运行此命令。
● 如果你的环境需要它,你可以使用execute format disk deep-erase命令来执行一次或多次磁盘的低级格式。请记住,这个过程可能需要很长的时间,甚至几天,这取决于要格式化的磁盘的大小和你指定的回合数。
最佳做法是在直接使用控制台端口连接时运行这些命令,以避免在配置重置后失去访问权限。
有关参数的完整列表,请参阅FortiAnalyzer CLI参考,你可以从https://docs.fortinet.com获得。
