A FortiAnalyzer eredetileg a Fortinet naplógyűjtő és -elemző megoldásaként indult, azonban az évek során jelentős fejlesztéseken ment keresztül, és ma már jóval túlmutat egy egyszerű naplóelemző-riportoló eszköz funkcionalitásán.
A folyamatosan bővülő szolgáltatáskör révén a FortiAnalyzer támogatja nemcsak a Fortinet eszközök, hanem harmadik féltől származó rendszerek naplóinak feldolgozását is a megfelelő log parser-ek segítségével. A 7.4.2-es verziótól kezdődően lehetőség van egyedi log parser-ek létrehozására és importálására JSON formátumban, amelyek ezután hozzárendelhetők az adott, alkalmazás-specifikus nyers syslog-okhoz. Minden meglévő parser exportálható és letölthető .json fájlként.
További parser-ek is elérhetők a FortiGuard szolgáltatáson keresztül, amennyiben a FortiAnalyzer rendelkezik érvényes licenccel a Security Automation Service szolgáltatáshoz. Ez a szolgáltatás -többek között – rendszeres időközönként frissítéseket biztosít új vagy módosított riport sablonokhoz, eseménykezelőhöz, log parser-ekhez és playbook-okhoz. A szolgáltatás keretében 3rd party eszközökhöz is készít parser-eket a Fortinet.
Amint a FortiAnalyzer fogadja az egyéni naplókat, azok automatikusan vagy manuálisan hozzárendelhetők a megfelelő parser-hez, majd a SIEM adatbázisban (siemdb) kerülnek feldolgozásra.
A parser-ek a “Incidents & Events > Log Parsers” menüpontban érhetők el, kizárólag Fabric ADOM-ok esetén. (A FortiAnalyzer rendszerben az ADOM jelentése: Administrative Domain. Ez egy olyan logikai elválasztás, amely lehetővé teszi, hogy egyetlen FortiAnalyzer eszközön több, egymástól független környezetet vagy ügyfelet kezeljünk. Lényegében ez egyfajta multi-tenant megközelítés: az egyes ADOM-ok elszigetelik az adatokat, beállításokat, eszközöket és riportokat egymástól. További részletek az Administrative Domain-ekről .)
Ez azt jelenti, hogy egy Fabric ADOM képes fogadni és feldolgozni nemcsak Fortinet, hanem külső gyártótól származó eszközök naplóit is. Ezek a naplók feldolgozhatók a beépített, egyedileg készített vagy FortiGuard által biztosított parser-ek segítségével.
Korábban a FortiAnalyzer a megfelelő Fortinet eszközök naplóit volt képes fogadni a nekik fenntartott ADOM-okba és a harmadik féltől származó eszközök egy külön syslog típusú ADOM-ba kerültek, nem egy közös logikai tárhelyre.
A cikkben szereplő fejlesztéssel a Fortinet eszközöktől és harmadik féltől származó rendszerektől érkező naplók -parserekkel feldolgozva – egy központi helyen gyűjthetők, és közösen kezelhetők.
Ennek számos előnye van:
- Multi-vendor környezetben a logok egy helyen láthatóak. Átfogó lekérdezéseket és riportokat készíthetünk, amelyek a Fortinet és más gyártók logjait együttesen elemzik.
- A FortiAnalyzer eseménykezelői (event handler-ek) révén automatikus válaszlépések, valamint a Security Automation Service előfizetés nyújtotta playbook-ok hozhatók létre akár 3rd party eszközökből érkező információk alapján is.
- Security Fabric környezetben a FortiAnalyzer képes automatikus műveleteket indítani a Fabric tag FortiGate eszközökön, harmadik féltől érkező események hatására is.
FortiGate és 3rd party tűzfal naplózása FortiAnalyzer-ben, egy ADOM-ban. (FAZ verzió 7.6.2)
Szerző:
Csere István | Presales- / Rendszermérnök – HRP Europe Kft.
Összegzés
A FortiAnalyzer naplóelemző eszköz mára túlmutat a Fortinet-eszközök támogatásán, és fejlett logkezelési képességei révén képes harmadik féltől származó naplóforrások integrálására is. A 7.4.2-es verziótól kezdve a felhasználók saját log parser-eket hozhatnak létre vagy importálhatnak JSON formátumban, valamint használhatják a FortiGuard által biztosított, rendszeresen frissített parser-eket is – ehhez érvényes Security Automation Service licenc szükséges.
A FortiAnalyzer Fabric ADOM környezetben lehetővé teszi, hogy Fortinet és külső gyártók naplói közös adatbázisba kerüljenek, így egységesen elemezhetők, lekérdezhetők és kezelhetők. Az integrált logkezelés előnyei közé tartozik az átfogó, multi-vendor riportkészítés, az automatizált eseménykezelés (event handler-ek és playbook-ok segítségével), valamint a Security Fabric-alapú reakcióképesség – akár harmadik féltől érkező események esetén is.
Próbáld ki, hogyan teheti átláthatóbbá és hatékonyabbá a naplókezelést a FortiAnalyzer a te rendszeredben is! Segítünk a legjobb alternatíva kiválasztásában, bevezetésében, valamint teljeskörű technikai támogatást is biztosítunk.
