Blog

FortiAnalyzer – A Fortinet naplógyűjtő és elemző megoldása

Átlagosan 100 nap telik el míg az intézmények felfedezik, hogy rendszerük kompromittálódott, vagy visszaélések történtek, amelynek egyik oka a „láthatóság” hiánya. Ennek az időintervallumnak minden egyes napja egy újabb lehetőség arra, hogy a támadók érzékeny adatokat szerezzenek, vagy más kárt okozzanak.

A FortiAnalyzer egy konszolidált felületet nyújt elsősorban különböző Fortinet eszközök valós idejű és historikus naplóinak elemzésére, illetve valós idejű riasztások generálására, amik azonnali beavatkozási lehetőséget nyújtanak az üzemeltetőknek.

A támogatott Fortinet eszközök skálája igen széles, a FortIgate UTM eszközök mellett, a FortiCarrier, FortiCache, FortiClient, FortiDDoS, FortiMail, FortiManager, FortiSandbox, FortiWeb és syslog források logjait képes fogani és feldolgozni.

A felsorolt megoldások nevei beszédesek, látható, hogy homogén Fortinet biztonsági megoldások használata esetén szinte teljes körű naplógyűjtés és elemzés valósítható meg, egyetlen eszközzel.

A megoldás fizikai- és virtuális appliance formátumban is elérhető, a virtuális változat platformtámogatása igen széleskörű, a VMware, Xen, KVM és Hyper-V mellett MS Azure-on és Amazon AWS –en is elérhető.

A FortiAnalyzer naplónézetében lehetőség van a valós idejű és historikus elemzésre is, a beállítási lehetőségek rendkívül széleskörűek. Lehetőség van a forgalom elemzésére különböző rendezési elvek alapján, mint pl. forgalmi-, rendszer-, biztonsági- (azon belül is szeparáltan), Wifi, VPN, stb. események naplónézetére, és lehetséges az események mélyebb részleteit is megtekinteni (3. ábra bal oldal)

Riportok

A naplózó rendszerek másik fő sarokköve a riportok készítése, a FortiAnalyzer ebben is jól teljesít. Összesen 28 gyári riport áll az üzemeltetők rendelkezésére, amik teljesen személyre szabhatók, természetesen egyedi riportok elkészítésére is van lehetőség.

A riportok alapjai a „dataset”-ek, ami az SQL lekérdezéseket tartalmazza. A grafikus felületen az SQL lekérdezéseket adhatjuk meg szöveges formában és finomhangolhatjuk, tesztelhetjük, változókat is hozzárendelhetünk.

A dataset-ek az alapjai a „chart”-oknak, amik az adatok grafikus megjelenítéséért felelősek, két fő attribútumuk van: a forma (kördiagram, tábla, stb.) és a hozzárendelt dataset.

A riportok a FortiAnalyzer-ben így épülnek fel:

  1. A WYSIWIG szerkesztővel kialakítható statikus tartalom
  2. A dataset-ekre épülő chart-ok jelentette dinamikus tartalom

A riportállományok változatos formában készülhetnek el (.PDF, HTML, XML, CSV), azok időzíthetők, és különböző terjesztési profil-ok rendelhetők hozzájuk (e-mail, fájlfeltöltés), illetve a FortiAnalyzer-ről közvetlenül is letölthetők.

Eseménykezelés

A FortiAnalyzer eseménykezelője lehetővé teszi, hogy események megtörténtekor a FortiAnalyzer riasztásokat küldjön SNMP, Syslog, e-mail formában (akár mindegyik hozzárendelhető egy eseményhez.)

Az eseménykezelők a naplók mezőinek minden szegmensében tudnak keresni és azokra szűrőket létrehozni, a szűrök kombinálhatók, illetve logikai műveletek is megadhatók. Ez a fajta paraméterezhetőség teszi lehetővé, hogy az eseménykezelőket az üzemeltetők teljesen a saját környezetük igényeire hangolják.

Az elmúlt időszak zsarolóvírus hullámai alapján elmondható, hogy a gyors reagálás kritikus faktor a védekezés folyamatában, erre pedig a Fortinet eszközök vonatkozásában a FortiAnalyzer a legkézenfekvőbb eszköz. A FortiAnalyzer a támogatott Fortinet eszközök vonatkozásában olyan jellegű átláthatóságot biztosít, amikre más megoldások ebben a formában nem képesek. Amennyiben a Fortinet installált bázisunk több FortiAnalyzer támogatott eszközből áll, használata jelentős üzemeltetési könnyítést jelent, akár az incidensek megelőzésében, akár felderítésében.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Csere István Csere István • Presales mérnök, biztonsági rendszerek

ITT és MOST VÁRJUK A HOZZÁSZÓLÁST!

Email cím (nem tesszük közzé) A kötelezően kitöltendő mezőket * karakterrel jelöljük