教程篇(7.2) 01. 介绍和初始访问 ❀ FortiAnalyzer分析师 ❀ Fortinet 网络安全专家 NSE5

news2024/12/23 4:30:07

 在本课中,你将了解FortiAnalyzer的关键功能和概念,以及如何最初访问FortiAnalyzer。

  FortiAnalyzer将日志记录、分析和报告集成到一个系统中,因此你可以快速识别和响应。

 在本课中,你将探索上图显示的主题。

 通过展示FortiAnalyzer关键功能和概念的能力,你将能够在自己的网络中有效地使用该设备。

 FortiAnalyzer的目的是汇总来自一个或多个设备的日志数据,从而充当集中的日志存储库。日志聚合为访问完整的网络数据提供了单一通道,因此你无需每天多次访问多个设备。

  虽然FortiAnalyzer旨在处理Fortinet设备的日志,但它也可以与使用Syslog标准的设备一起工作。

  日志记录和报告工作流程如下:

  1. 注册设备将日志发送到FortiAnalyzer。

  2. FortiAnalyzer以易于搜索和运行报告的方式整理和存储这些日志。

  3. 管理员可以使用GUI连接到FortiAnalyzer手动查看日志,或生成报告以查看不同格式的数据。你还可以使用CLI执行管理任务。

 FortiAnalyzer的一些关键功能包括报告、警报生成和内容归档。

  报告清楚地描述了受支持设备上发生的网络事件、活动和趋势。FortiAnalyzer报告整理日志中的信息,以便你可以解释信息,并在必要时采取必要的行动。你可以存档和过滤你从这些报告中收集的网络知识,以及挖掘它以用于合规性或历史分析目的。

  FortiAnalyzer事件允许你对威胁做出快速反应,因为全天候物理监控你的网络是不现实的。当你已配置FortiAnalyzer监控注册设备的特定条件满足条件时,系统可以生成事件。你可以在GUl上看到你的事件,还可以通过电子邮件、SNMP或syslog将它们发送给多个收件人。此外,需要进一步调查的事件可用于产生新的事件。

  内容归档提供了一种同时记录和存档通过网络传输的内容的完整或摘要副本的方法。你通常使用内容归档来防止敏感信息离开组织的网络。你还可以使用它来记录网络使用情况。数据丢失预防(DLP)引擎可以检查电子邮件、FTP、NNTP和网络流量,但你必须在FortiGate上的DLP传感器中配置每个规则的存档设置,以便你可以指定要存档的内容。

 SQL是FortiAnalyzer用于日志记录和报告的数据库语言。

  高级报告能力需要一些SQL和数据库的知识。例如,FortiAnalyzer分析师可能需要创建自定义SQL查询,称为数据集,以从数据库中提取特定数据。

 FortiAnalyzer有两种操作模式:分析器和收集器。你选择的操作模式取决于你的网络拓扑和个人要求。

  在分析器模式下运行时,该设备充当一个或多个日志收集器的中央日志聚合器,例如在收集器模式下运行的FortiAnalyzer设备或任何其他支持的设备发送日志。分析器是默认的操作模式。

  在收集模式下运行时,设备从多个设备收集日志,然后以原始二进制格式将这些日志转发到另一个设备,例如在分析器模式下运行的FortiAnalyzer。它还可以将它们发送到系统日志服务器或通用事件格式(CEF)服务器,具体取决于转发模式。收集器没有与分析仪相同的功能丰富的选项,因为它的唯一目的是收集和转发日志。它不允许事件管理或报告。

  你可以在仪表板上的系统信息小部件中更改操作模式。

  FortiAnalyzer通过存储和分析安全架构组中单元的日志来支持安全架构,就像日志来自单个设备一样。FortiAnalyzer将流量日志与相应的UTM日志相关联,以便它可以报告会话和带宽以及其UTM威胁。

  会话的流量记录始终由安全架构中处理会话的第一个FortiGate完成。安全架构中的FortiGate设备知道其上游和下游同行的MAC地址。如果FortiGate从安全架构中属于另一个FortiGate的MAC地址接收数据包,它不会为该会话生成新的流量日志。这有助于消除多个FortiGate设备对会话的重复记录。

  此行为的一个例外是,如果上游FortiGate执行NAT,则会生成另一个日志。需要额外的日志来记录NAT详细信息,例如翻译的端口和地址。

  如果配置,上游设备将完成UTM日志记录,FortiAnalyzer为安全架构执行UTM和流量日志相关性,以便为可能发生的任何UTM事件提供简洁准确的记录。无需额外配置,因为FortiAnalyzer会自动执行此功能。

  请注意,安全架构中的每个FortiGate都会将流量记录到FortiAnalyzer,独立于根或其他叶子设备。如果根FortiGate停机,从叶FortiGate设备到FortiAnalyzer的日志记录将继续发挥作用。

 上图展示了安全架构中的日志记录功能,以提供完全的可见性,同时消除整个环境中的重复日志。

  安全架构中配置了三个FortiGate设备以及FortiAnalyzer设备。

  ● FGT-A安装在公司网络及其互联网服务提供商之间,用于RFC-1918主机的出站通信以及HTTP/HTTPS的网络过滤。

  ● FGT-B安装在访问层中,提供设备检测、漏洞隔离和对连接的最终用户局域网的基本Dos保护。

  ● FGT-C安装在数据中心,在那里运行IPS,用于与后面服务器的所有入站通信。

  FGT-B接收来自Client-1的所有流量,FGT-B为初始会话创建流量日志。

  Web会话被转发到FGT-A,它不会复制初始流量日志,但会由于SNAT应用于会话而生成流量日志。此外,FGT-A对此会话应用网络过滤策略,并酌情生成相关的UTM日志。

  SMB会话被转发到FGT-A,FGT-A不会重复初始流量日志。FGT-A不需要执行NAT或应用网络过滤,因此它将流量转发到FGT-C。FGT-C也不会生成重复的流量日志,但它根据其配置执行IPS检查,如果触发签名匹配导致生成日志的操作,则记录事件。

  FortiAnalyzer接收各种流量和UTM日志,并自动关联它们,以便它们被链接以进行适当的查看、报告和自动化操作。

 FortiAnalyzer架构可以集中查看多个FortiAnalyzer上的设备、事件和事件。

  FortiAnalyzer架构包括两种操作模式:主管和成员

  主管充当FortiAnalyzer架构中的根设备。SOC管理员可以使用主管查看成员设备及其ADOM、授权日志设备以及在成员身上创建的事件和事件。事件和事件信息使用API从成员同步到主管。

  成员是FortiAnalyzer架构中的设备,可将信息发送给主管集中查看。当配置为成员时,FortiAnalyzer设备仍然可以访问FortiAnalyzer管理指南中确定的FortiAnalyzer功能。事件和事件由每个成员创建或提出。

  配置了高可用性 (HA) 的FortiAnalyzer可以成为会员。然而,作为架构主管的FortiAnalyzers不支持HA。

  所有FortiAnalyzer Fabric成员必须配置与主管相同的时区设置。

  ADOM允许你对设备进行分组以进行监控和管理。例如,管理员可以管理根据其地理位置或业务部门分组的设备。

  ADOM的目的是:

  ● 通过ADOM划分设备管理,并控制(限制)管理员访问。如果您的网络使用虚拟域(VDOM),ADOM可以进一步限制对来自特定设备VDOM的数据的访问。

  ● 更有效地管理根据ADOM设置的数据策略和磁盘空间分配。

  默认情况下不会启用ADOM,只能由默认管理员(或拥有超级用户配置文件的管理员)配置。

  你将在本课程的后面了解有关ADOM的更多信息。

  就像FortiGate一样,GUl和CLI是可用于管理FortiAnalyzer的两个配置工具。你可以通过直接连接到FortiAnalyzer在本地使用这两个工具,也可以根据配置的设置远程使用这两个工具。你可以根据IP地址拒绝或允许访问。

  当你使用CLI时,你可以通过GUI仪表板上可用的CLI控制台小部件以及终端仿真应用程序(如PuTTY)运行命令。使用PuTTY需要单独的Telnet、SSH或本地控制台(DB-9)连接。

  GUI和CLI上可用的FortiAnalyzer功能取决于登录的管理员的配置文件和FortiAnalyzer的操作模式。例如,在收集模式下运行时,GUl不包括FortiView、Fabric View、Report或FortiSOC。此外,如果你使用Standard_User或Restricted_User管理员配置文件登录,则完全访问权限(如授予Super_User配置文件的权限)不可用。CLI还包括一些无法通过GUI获得的设置。

  你使用GUl和CLI所做的任何配置更改都会立即生效,而不会重置FortiAnalyzer系统或中断服务。

  请注意,当FortiAnalyzer处于收集器模式时,SQL数据库默认被禁用,因此除非在CLI上启用SQL数据库,否则需要SQL数据库的日志在收集器模式下不可用。

 答案:A

  答案:A

  恭喜!你已经完成了本课。接下来,你将回顾本课中涵盖的目标。

  上图显示了你在本课中涵盖的目标。


 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1293225.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

算能 MilkV Duo开发板实战——opencv-mobile (迷你版opencv库)的移植和应用

前言 OpenCV是一种开源的计算机视觉和机器学习软件库,旨在提供一组通用的计算机视觉工具。它用于图像处理、目标识别、人脸识别、机器学习等领域,广泛应用于计算机视觉任务。 OpenCV-Mobile是OpenCV库的轻量版本,专为移动平台(A…

基于ssm少儿编程管理系统源码和论文

idea 数据库mysql5.7 数据库链接工具:navcat,小海豚等 环境: jdk8 tomcat8.5 开发技术 ssm 基于ssm少儿编程管理系统源码和论文744 摘要 网络的广泛应用给生活带来了十分的便利。所以把少儿编程管理系统与现在网络相结合,利用java技术建设…

Kafka Connect :构建强大分布式数据集成方案

Kafka Connect 是 Apache Kafka 生态系统中的关键组件,专为构建可靠、高效的分布式数据集成解决方案而设计。本文将深入探讨 Kafka Connect 的核心架构、使用方法以及如何通过丰富的示例代码解决实际的数据集成挑战。 Kafka Connect 的核心架构 Kafka Connect 的核…

flex布局的flex为1到底是什么

参考博客:flex:1什么意思_公孙元二的博客-CSDN博客 flex:1即为flex-grow:1,经常用作自适应布局,将父容器的display:flex,侧边栏大小固定后,将内容区flex:1,内…

【Spring 源码】 贯穿 Bean 生命周期的核心类之 AbstractAutowireCapableBeanFactory

🚀 作者主页: 有来技术 🔥 开源项目: youlai-mall 🍃 vue3-element-admin 🍃 youlai-boot 🌺 仓库主页: Gitee 💫 Github 💫 GitCode 💖 欢迎点赞…

Liunx Centos 防火墙操作

liunx centos 防火墙 查看防火墙状态 systemctl status firewalld查看已经开放的端口 firewall-cmd --list-ports添加端口3306 firewall-cmd --zonepublic --add-port3306/tcp --permanent重启防火墙 firewall-cmd --reload数据库开放账号可以外网登陆 mysql -u root -p …

Matlab 用矩阵画图

文章目录 Part.I IntroductionChap.I 预备知识Chap.II 概要Chap.III 杂记 Part.II 用矩阵画图Chap.I 摸索过程Chap.II 绘制专业图Chap.III 矩阵转tiff Part.I Introduction 本文汇总了 Matlab 用矩阵画图的几种方式。 Chap.I 预备知识 关于 *.mat 文件 *.mat文件是 matlab 的…

Ribbon组件的负载均衡原理

原因背景 spring cloud的底层负载均衡是采用Ribbon组件,我们将user-service服务注册到eureka-server中,那么当我们在另一个服务的代码层面请求远程调用API接口http://user-service/users/5时,程序代码如何解析远程调用的user-service服务名转…

数据结构和算法-栈

数据结构和算法-栈 1. 栈的介绍 栈的介绍: 栈的英文为(stack)栈是一个先入后出的有序列表栈是限制线性表中元素的插入和删除只能在线性表的同一端进行的一种特殊线性表。允许插入和删除的一端,为变化的一端,称为栈顶,另一端为固…

从零开发短视频电商 在AWS SageMaker已创建的模型列表中进行部署

1.导航到 SageMaker 控制台。 2.在 SageMaker 控制台的左侧导航栏中,选择 “模型” 选项。 3.在模型列表中,找到您要部署的模型。选择该模型。 4.点击 “创建端点” 选项或者点击 “创建端点配置” 选项都可以进行部署。 选择创建端点进去后还是会进行…

【sgAutocomplete】自定义组件:基于elementUIel-autocomplete组件开发的自动补全下拉框组件(带输入建议的自动补全输入框)

特性&#xff1a; 1、支持本地保存选中过的记录 2、支持动态接口获取匹配下拉框内容 3、可以指定对应的显示label和字段组件key 4、自动生成速记符字段&#xff08;包含声母和全拼两种类型&#xff09;&#xff0c;增强搜索匹配效率 sgAutocomplete源码 <template><!…

机器学习模型评估指标

1.回归模型评估指标 (1).绝对误差 预测和实际之间误差的绝对值之和。 (2).均方误差 预测和实际之间距离之差平方和的均值 2.分类的评估准则 分类的评估标准很多&#xff0c;不同的评估标准侧重点不一样&#xff0c;我们不可能做到万事俱备&#xff0c;甚至有的指标是相互…

有效解决wordpress的502 Bad Gateway错误提示

摘要&#xff1a;最近有客户反映使用阿里云虚拟云主机&#xff0c;wordpress常提示502 Bad Gateway错误&#xff0c;网关错误是网站上遇到的常... wordpress的502 Bad Gateway错误如何修复&#xff1f; 第1步&#xff1a;偶发错误可尝试重新加载网站 偶尔出现流量突发爆增或是服…

【开源】基于JAVA语言的数字化社区网格管理系统

项目编号&#xff1a; S 042 &#xff0c;文末获取源码。 \color{red}{项目编号&#xff1a;S042&#xff0c;文末获取源码。} 项目编号&#xff1a;S042&#xff0c;文末获取源码。 目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块三、开发背景四、系统展示五、核心源码5…

电脑系统重装Win10专业版操作教程

用户想给自己的电脑重新安装上Win10专业版系统&#xff0c;但不知道具体的重装步骤。接下来小编将详细介绍Win10系统重新安装的步骤方法&#xff0c;帮助更多的用户完成Win10专业版的重装&#xff0c;重装后用户即可体验到Win10专业版系统带来的丰富功能。 准备工作 1. 一台正常…

刷题学习记录(文件上传)

[GXYCTF 2019]BabyUpload 知识点&#xff1a;文件上传.htaccessMIME绕过 题目直接给题目标签提示文件上传的类型 思路&#xff1a;先上传.htaccess文件&#xff0c;在上传木马文件&#xff0c;最后蚁剑连接 上传.htaccess文件 再上传一个没有<?的shell 但是要把image/pn…

【Proteus仿真】【51单片机】简易计算器

文章目录 一、功能简介二、软件设计三、实验现象联系作者 一、功能简介 本项目使用Proteus8仿真51单片机控制器&#xff0c;使动态数码管、矩阵按键、蜂鸣器等。 主要功能&#xff1a; 系统运行后&#xff0c;数码管默认显示0&#xff0c;输入对应的操作数进行四则运算&#x…

如何在Ubuntu的Linux系统上安装nacos的2.3.0版本

官方网址链接 home (nacos.io)Nacos 快速开始github代码仓库简单介绍 Nacos是阿里巴巴的产品&#xff0c;现在是SpringCloud中的一个组件&#xff0c;其可以用于服务发现和服务健康监测、动态配置服务、动态DNS服务、服务及其元数据管理。安装包下载地址&#xff1a; Releases …

Uniapp - 环境搭建 vscode开发

uni-app 基础 创建 uni-app 项目方式 uni-app 支持两种方式创建项目&#xff1a; 通过 HBuilderX 创建&#xff08;需安装 HBuilderX 编辑器&#xff09; 通过命令行创建&#xff08;需安装 NodeJS 环境&#xff09; HBuilderX 创建 uni-app 项目 创建步骤 1.下载安装 H…

Kubernetes实战(八)-防止k8s namespace被误删除

1 背景 运维新同学在预发环境操作删除pod的时候&#xff0c;不知道什么原因把kubectl delete pod命令敲成了kubectl delete ns pre把预发环境删了&#xff0c;几十个模块&#xff0c;将近一个小时才恢复。幸亏是测试环境啊&#xff0c;如果是生产可以可以跑路了。 2 解决方案…