Átlagosan 100 nap telik el míg az intézmények felfedezik, hogy rendszerük kompromittálódott, vagy visszaélések történtek, amelynek egyik oka a „láthatóság” hiánya. Ennek az időintervallumnak minden egyes napja egy újabb lehetőség arra, hogy a támadók érzékeny adatokat szerezzenek, vagy más kárt okozzanak.
A FortiAnalyzer egy konszolidált felületet nyújt elsősorban különböző Fortinet eszközök valós idejű és historikus naplóinak elemzésére, illetve valós idejű riasztások generálására, amik azonnali beavatkozási lehetőséget nyújtanak az üzemeltetőknek.
A támogatott Fortinet eszközök skálája igen széles, a FortIgate UTM eszközök mellett, a FortiCarrier, FortiCache, FortiClient, FortiDDoS, FortiMail, FortiManager, FortiSandbox, FortiWeb és syslog források logjait képes fogani és feldolgozni.
A felsorolt megoldások nevei beszédesek, látható, hogy homogén Fortinet biztonsági megoldások használata esetén szinte teljes körű naplógyűjtés és elemzés valósítható meg, egyetlen eszközzel.
A megoldás fizikai- és virtuális appliance formátumban is elérhető, a virtuális változat platformtámogatása igen széleskörű, a VMware, Xen, KVM és Hyper-V mellett MS Azure-on és Amazon AWS –en is elérhető.
A FortiAnalyzer naplónézetében lehetőség van a valós idejű és historikus elemzésre is, a beállítási lehetőségek rendkívül széleskörűek. Lehetőség van a forgalom elemzésére különböző rendezési elvek alapján, mint pl. forgalmi-, rendszer-, biztonsági- (azon belül is szeparáltan), Wifi, VPN, stb. események naplónézetére, és lehetséges az események mélyebb részleteit is megtekinteni (3. ábra bal oldal)
Riportok
A naplózó rendszerek másik fő sarokköve a riportok készítése, a FortiAnalyzer ebben is jól teljesít. Összesen 28 gyári riport áll az üzemeltetők rendelkezésére, amik teljesen személyre szabhatók, természetesen egyedi riportok elkészítésére is van lehetőség.
A riportok alapjai a „dataset”-ek, ami az SQL lekérdezéseket tartalmazza. A grafikus felületen az SQL lekérdezéseket adhatjuk meg szöveges formában és finomhangolhatjuk, tesztelhetjük, változókat is hozzárendelhetünk.
A dataset-ek az alapjai a „chart”-oknak, amik az adatok grafikus megjelenítéséért felelősek, két fő attribútumuk van: a forma (kördiagram, tábla, stb.) és a hozzárendelt dataset.
A riportok a FortiAnalyzer-ben így épülnek fel:
- A WYSIWIG szerkesztővel kialakítható statikus tartalom
- A dataset-ekre épülő chart-ok jelentette dinamikus tartalom
A riportállományok változatos formában készülhetnek el (.PDF, HTML, XML, CSV), azok időzíthetők, és különböző terjesztési profil-ok rendelhetők hozzájuk (e-mail, fájlfeltöltés), illetve a FortiAnalyzer-ről közvetlenül is letölthetők.
Eseménykezelés
A FortiAnalyzer eseménykezelője lehetővé teszi, hogy események megtörténtekor a FortiAnalyzer riasztásokat küldjön SNMP, Syslog, e-mail formában (akár mindegyik hozzárendelhető egy eseményhez.)
Az eseménykezelők a naplók mezőinek minden szegmensében tudnak keresni és azokra szűrőket létrehozni, a szűrök kombinálhatók, illetve logikai műveletek is megadhatók. Ez a fajta paraméterezhetőség teszi lehetővé, hogy az eseménykezelőket az üzemeltetők teljesen a saját környezetük igényeire hangolják.
Az elmúlt időszak zsarolóvírus hullámai alapján elmondható, hogy a gyors reagálás kritikus faktor a védekezés folyamatában, erre pedig a Fortinet eszközök vonatkozásában a FortiAnalyzer a legkézenfekvőbb eszköz. A FortiAnalyzer a támogatott Fortinet eszközök vonatkozásában olyan jellegű átláthatóságot biztosít, amikre más megoldások ebben a formában nem képesek. Amennyiben a Fortinet installált bázisunk több FortiAnalyzer támogatott eszközből áll, használata jelentős üzemeltetési könnyítést jelent, akár az incidensek megelőzésében, akár felderítésében.
Kérdéseket intézhet, észrevételeket küldhet a Kontron szakértőinek, kérem vegye fel velünk a kapcsolatot!
