www.SAMURAJ-cz.com 

13.07.2020 Markéta Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

FortiAnalyzer základní konfigurace

Upraveno 21.05.2020 06:44 | vytvořeno 29.02.2020 09:09 | Samuraj - Petr Bouška |
FortiAnalyzer je nástroj pro centralizované logování, primárně pro FortiGate, ale podporuje i další Fortinet zařízení. Umožňuje shromažďovat logy z více zařízení (a seskupovat či rozdělovat je), nad nimi provádět analýzu a generovat reporty. Zaměřeno je na bezpečnost a poskytnutí vhledu do hrozeb. Má širší možnosti než logování lokálně na FortiGate a hlavně podporuje mnohem delší historii dat. Může se jednat o HW appliance nebo virtuální stroj.

Pozn.: Popis v článku vychází z FortiAnalyzer VM verze 6.2.3.

Dokumentace

FortiAnalyzer hlavní strana

Instalace FortiAnalyzer VMware

FortiAnalyzer je k dispozici jako VM (Virtual Machine) pro různé platformy (VMware vSphere, Citrix Xen Server, Xen, KVM, Microsoft Hyper-V a další cloudové služby). Podporuje maximálně 10 000 zařízení/VDOM a různé množství denních logů (od 1 GB) a úložné kapacity (od 500 GB), což je řešeno licenčně. Minimální HW nároky jsou 2 vCPU, 4 GB vRAM a 1 vNIC, ale doporučené minimum je 4 vCPU, 8 GB vRAM a 1 vNIC.

FortiAnalyzer Image můžeme stáhnout z webu Fortinet Customer Service & Support, sekce Download - VM Images. Kde si vybereme produkt a platformu. Pro VMWare ESXi stáhneme zip (FAZ_VM64-v6-build1235-FORTINET.out.ovf.zip), který obsahuje OVF šablonu a disky. Bez zalicencování funguje 14 denní trial.

Stručný postup úvodního zprovoznění VM

  • vytvoříme virtuál ze šablony (Deploy OVF Template a vybereme všechny soubory)
  • vybíráme úložiště a typ disku, FortiAnalyzer potřebuje velký prostor, tak může být vhodné použít Thin Provision a případně vytvořit větší disk, než aktuálně plánujeme (je to jednodušší než budoucí rozšiřování)
  • image má 4 síťové adaptéry, síť Network 1 (Network Adapter 1 = Port 1) nastavíme do management sítě, ostatní můžeme vypnout
  • patrně můžeme upgradovat VM compatibility (třeba na VM version 13)
  • než VM nastartujeme, tak upravíme HW parametry, vCPU, vRAM, vNIC, disky Hard Disk 1 je systémový (neměnit), Hard Disk 2 je pro logy (musíme zvětšit)
  • nastartujeme VM
  • připojíme se na konzoli, uživatel admin prázdné heslo, nastavíme nové heslo
  • v CLI nastavíme síťové parametry, abychom se následně mohli připojit na webové rozhraní (defaultně je povolen přístup HTTPS a SSH)

Můžeme vypsat síťová rozhraní

diagnose fmnetwork interface list

Nastavení IP adresy na port 1

config system interface
	edit port1
		set ip 192.168.0.10 255.255.255.0
end

Nastavení brány

config system route 
	edit 1
		set device port1
		set gateway 192.168.0.1
end

Otestování komunikace

execute ping 192.168.0.10

Registrace licence

Na webu Fortinet Customer Service & Support Register/Activate Contracts zadáme Registration Code. Můžeme zároveň registrovat podporu. Zadáme jméno pro identifikaci a musíme zadat IP adresu, kterou má některé rozhraní FortiAnalyzer. Pokud máme rozšiřující licence, tak nejprve všechny registrujeme na webu, získáme společný licenční soubor a ten nahrajeme na FortiAnalyzer.

Licence se nahrává přes CLI nebo GUI System Settings > Dashboard v sekci License Information. Po nahrání licence je třeba restart.

FortiAnalyzer Dashboard

Princip a nastavení ukládání logů (Log Storage)

Všechna log data se ukládají na disk FortiAnalyzer. Jsou uložena komprimovaná na souborovém systému a po určitou dobu se nachází v SQL databázi. Data mohou být v jedné ze tří fází:

  • Real-time log - právě přijaté a nezpracované položky
  • Analytics logs or historical logs - indexované položky v DB ve stavu online, mohou se použít pro reporty, Log View, SOC, Incidents & Events
  • Archive logs - komprimované logy na disku ve stavu offline

Komprimované logy se přijímají a ukládají do log souboru na disk. Když log soubor dosáhne zadané velikosti (Device Log Settings), tak se archivuje a vytvoří nový. Zároveň se logy ukládají do databáze a indexují. To jsou online data, která slouží k analýze.

Data jsou v databázi uchována po zadanou dobu (Storage Info) a následně se odmazávají (pořád zůstávají v log souborech na disku). Offline archivní data na disku (zabírají výrazně méně místa než data v DB) jsou opět odmazávána po zadané době (Storage Info).

Prohlížení logů

  • Log View - prohlížení logů, standardně zobrazuje Historical, ale můžeme přepnout Tools > Real-time Log
  • Log View > Log Browse - může prohlížet i archivované logy
  • SOC - FortiView

Globální nastavení odmazávání souborů

  • System Settings > Advanced > File Management

Můžeme nastavit automatické odmazávání logů, reportů, archivů a souborů v karanténě po zadaném čase. Toto nastavení se uplatňuje vždy, pokud v politice ukládání logů nastavíme delší čas, tak budou stejně logy smazány dle tohoto globálního nastavení.

Nastavení log souboru

  • Settings > Advanced > Device Log Settings

Můžeme nastavit velikost souborů s logy a přeposílání na další zařízení.

Informace o využití úložiště a nastavení politik

  • System Settings > Storage Info

Ukazuje informace o využití ukládání logů. Editací položky můžeme konfigurovat politiky Log Storage Policy. V horní části vidíme graficky využití prostoru na disku pro analytická data (online) a archiv (offline). Kliknutím na graf se dostaneme na informace o jednotlivých zařízeních.

V dolní části se nachází nastavení politiky, které ovlivňuje logy a SQL databázi zařízení přiřazených k této politice. V části Data Policy nastavujeme, jak dlouho se mají uchovávat data. V části Disk Utilization pak konfigurujeme využití disku:

  • Allocated - kolik z dostupného místa se má použít (systém si rezervuje určitou část disku pro své použití)
  • Analytics : Archive - určujeme poměr využití disku pro online a offline data (default je 70:30)
  • Alert and Delete When Usage Reaches - při daném obsazení disku se odešle alert a začnou se odmazávat nejstarší data
FortiAnalyzer Storage Info - Log Storage Policy

Základní nastavení

Dashboard

  • System Settings > Dashboard

Různé widgety s informacemi, licencí, apod. V Unit Operation je restart a shutdown. V System Information je přejmenování jednotky, systémový čas, záloha a další.

Certifikáty

  • System Settings > Certificates > Local Certificates
  • System Settings > Certificates > CA Certificates
  • System Settings > Admin > Admin Settings - HTTPS & Web Service Certificate

Administrative Domains

  • System Settings > All ADOMs

Administrative Domains umožní vytvořit domény, do kterých zařadíme zařízení a přiřadíme jim administrátory. Tedy povolíme určitým správcům přístup na vybraná zařízení. Pokud ADOM nepoužíváme, tak existuje root ADOM v Security Fabric.

Editací (Root) ADOM vidíme zařazená zařízení a nastavení Log Storage Policy.

Správci

  • System Settings > Admin > Administrators

Nastavení sítě

  • System Settings > Network

Nastavíme adresy, DNS, povolení přístupů pro správu.

Poštovní server

  • System Settings > Advanced > Mail Server

Připojení FortiGate k FortiAnalyzer

Nastavení FortiGate

  • Global - Log & Report - Log Settings
  • část Remote Logging and Archiving zapneme Send logs to FortiAnalyzer/FortiManager

Zadáme IP adresu FortiAnalyzer a můžeme otestovat Test Conenctivity, měli bychom dostat informaci, že FortiGate není autorizován. Můžeme změnit odesílání logů na Real Time.

FortiGate Send logs to FortiAnalyzer

Nastavení FortiAnalyzer

  • Device Manager

Pod Unauthorized Devices vidíme náš FW, který autorizujeme a zadáme jméno.

FortiAnalyzer upgrade

Dokumentace FortiAnalyzer 6.2.5 Upgrade Guide, FortiAnalyzer 6.2.5 Release Notes, FortiAnalyzer 6.4.0 Compatibility with FortiOS

Upgrade je podrobně popsán v oficiální dokumentaci, zde jsou jen základní kroky.

FortiAnalyzer Firmware Image pro upgrade stáhneme z webu Fortinet Customer Service & Support, sekce Download - VM Images. Vybereme produkt FortiAnalyzer, záložka Download a doklikáme se k požadované verzi. Pro VMWare ESXi jde o soubor začínající FAZ_VM64 s příponou .out, to je soubor pro upgrade (64-bit firmware image to upgrade your existing FortiAnalyzer VM installation). Jméno je třeba FAZ_VM64-v6-build1307-FORTINET.out. Soubor s příponou .out.ovf.zip obsahuje balíček pro novou VM instalaci (OVF a VMDK).

Přípravné kroky

  • Device Manager - kontrola zařízení, že žádné není ve stavu Log Status Down
  • System Settings - Dashboard - kontrola stavu systému, licence, vytížení
  • System Settings - Dashboard - System Configuration - Backup

Upgrade

  • System Settings - Dashboard - Firmware Version - Upgrade Firmware
  • zvolíme soubor a potvrdíme OK
  • balíček s firmwarem se okamžitě začne nahrávat a bez dalšího potvrzení probíhá upgrade a restart, vše trvá pár minut
FortiAnalyzer Upgrade Firmware

Kontrola

  • přihlásíme se na FortiAnalyzer
  • System Settings - Event Log - zkontrolujeme logy
  • po upgradu může probíhat rebuild DB
zobrazeno: 1630krát | Komentáře [0]

Autor:

Související články:

Fortinet FortiGate a další

Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate.

Bezpečnost

Nástroje zajišťující bezpečnost. Primárně Firewall a podobné.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách