کد 69

FortiAnalyzer چیست و چطور به FortiGate و FortiWeb وصل می‌شود؟

این مقاله FortiAnalyzer را به‌صورت جامع معرفی می‌کند و توضیح می‌دهد این محصول چه کاری برای جمع‌آوری، تحلیل، نگهداری و گزارش‌گیری لاگ‌های FortiGate و FortiWeb انجام می‌دهد. در مقاله تفاوت نسخه سخت‌افزاری، مجازی و Cloud، نحوه اتصال FortiGate 7.4 و FortiWeb 7.6 از طریق GUI و CLI، اهمیت Compatibility نسخه‌ها، امکان استفاده در محیط آفلاین، مدل‌های لایسنس، قابلیت‌های کلیدی FortiAnalyzer و چک‌لیست پیاده‌سازی بررسی شده است.
FortiAnalyzer چیست و چطور به FortiGate و FortiWeb وصل می‌شود؟

FortiAnalyzer چیست و چطور به FortiGate 7.4 و FortiWeb 7.6 وصل می‌شود؟

FortiAnalyzer یکی از اجزای مهم اکوسیستم Fortinet برای جمع‌آوری، نگهداری، تحلیل، گزارش‌گیری و مدیریت لاگ تجهیزات امنیتی است. اگر FortiGate یا FortiWeb در شبکه وجود داشته باشد اما لاگ‌ها فقط روی خود دستگاه ذخیره شوند، تیم شبکه و امنیت در زمان رخداد امنیتی، Audit، بررسی حمله، Troubleshooting یا گزارش مدیریتی دید کافی نخواهد داشت. FortiAnalyzer این مشکل را با متمرکز کردن لاگ‌ها، ساخت گزارش، داشبورد، Event Handler، Incident و تحلیل‌های امنیتی حل می‌کند.
در این مقاله تنظیمات اتصال بر اساس FortiGate 7.4 و FortiWeb 7.6 توضیح داده شده است. قبل از پیاده‌سازی باید یک نکته مهم بررسی شود: نسخه FortiAnalyzer باید با نسخه FortiGate، FortiWeb و سایر دستگاه‌هایی که قرار است لاگ بفرستند سازگار باشد. Fortinet برای این موضوع در Release Notes هر نسخه، بخش Supported Software منتشر می‌کند و علاوه بر آن، داخل خود FortiAnalyzer هم می‌توان با دستور diagnose dvm supported-platforms list پلتفرم‌ها و نسخه‌های پشتیبانی‌شده را بررسی کرد. به همراه این دو روش، Fortinet یک Compatibility Tool نیز در اختیار کاربران خود قرار داده تا بتوانند به راحتی نسخه‌های سازگار با FortiAnalyzer خود را بررسی کنند. به عنوان مثال، در شکل زیر یک FortiAnalyzer 7.2.12 داریم و می‌خواهیم آن را به FortiGate 7.4.12 متصل کنیم. همانطور که در تصویر قابل مشاهده است، وضعیت این ترکیب "Not Supportes" نمایش داده شده؛ بنابراین، این دو نسخه با یکدیگر Compatible نیستند.

FortiAnalyzerIntro01

 

مروری بر این مقاله

  1. FortiAnalyzer چیست؟
  2. FortiAnalyzer چه کاری انجام می‌دهد؟
  3. نسخه سخت‌افزاری، Virtual و Cloud چه فرقی دارند؟
  4. پیش‌نیازهای راه‌اندازی FortiAnalyzer
  5. اتصال FortiGate 7.4 به FortiAnalyzer از طریق GUI
  6. اتصال FortiGate 7.4 به FortiAnalyzer از طریق CLI
  7. اتصال FortiWeb 7.6 به FortiAnalyzer از طریق GUI
  8. اتصال FortiWeb 7.6 به FortiAnalyzer از طریق CLI
  9. Authorize کردن دستگاه‌ها در FortiAnalyzer
  10. آیا FortiAnalyzer آفلاین کار می‌کند؟
  11. لایسنس‌های FortiAnalyzer
  12. فیچرهای مهم FortiAnalyzer
  13. سناریوهای کاربردی
  14. چک‌لیست پیاده‌سازی

 

1. FortiAnalyzer چیست؟

FortiAnalyzer یک پلتفرم متمرکز برای دریافت و تحلیل لاگ از تجهیزات Fortinet و در سناریوهای مشخص، برخی منابع دیگر است. نقش اصلی آن این است که لاگ‌ها را از دستگاه‌هایی مثل FortiGate، FortiWeb، FortiMail، FortiProxy، FortiClient EMS و سایر محصولات Fortinet دریافت کند، آن‌ها را ذخیره و Index کند، روی آن‌ها گزارش بسازد و امکان بررسی امنیتی و عملیاتی را فراهم کند.
در شبکه‌های کوچک، ممکن است ادمین فقط از Log داخل FortiGate استفاده کند. اما در محیط سازمانی، این کار کافی نیست. لاگ‌های محلی ممکن است محدود باشند، در زمان پر شدن دیسک حذف شوند، در صورت خرابی دستگاه از بین بروند یا برای گزارش‌گیری بلندمدت کافی نباشند. FortiAnalyzer این لاگ‌ها را از دستگاه جدا می‌کند و یک نقطه مرکزی برای جست‌وجو، گزارش‌گیری، Incident Response و Audit ایجاد می‌کند.

 

2. FortiAnalyzer چه کاری انجام می‌دهد؟

FortiAnalyzer فقط یک Log Server ساده نیست. این محصول چند نقش اصلی دارد:
  • جمع‌آوری لاگ از FortiGate، FortiWeb و سایر تجهیزات Fortinet
  • نمایش لاگ‌ها به‌صورت Real-time و Historical
  • ساخت گزارش‌های مدیریتی و فنی
  • ایجاد Dashboard و FortiView برای تحلیل ترافیک و رخدادها
  • ساخت Event Handler و Alert برای رخدادهای مهم
  • بررسی Incident و کمک به Threat Hunting
  • نگهداری Archive و Analytics Log
  • تفکیک سازمانی با ADOM برای محیط‌های چندمشتری یا چندواحدی
  • همکاری با Security Fabric برای دید بهتر روی توپولوژی و رخدادها
در FortiGate 7.4، وقتی FortiAnalyzer به Security Fabric وصل شود، FortiGate می‌تواند از آن برای نمایش داده‌های تاریخی Security Fabric و لاگ‌های کل Fabric استفاده کند.

 

3. نسخه سخت‌افزاری، Virtual و Cloud چه فرقی دارند؟

FortiAnalyzer را می‌توان به چند شکل تهیه و راه‌اندازی کرد. انتخاب مدل درست به حجم لاگ، تعداد دستگاه‌ها، سیاست نگهداری داده، محدودیت‌های زیرساخت و بودجه سازمان بستگی دارد.
مدل توضیح مناسب برای
FortiAnalyzer Appliance دستگاه سخت‌افزاری آماده Fortinet با ظرفیت مشخص برای پردازش و ذخیره لاگ سازمان‌هایی که Appliance اختصاصی و پشتیبانی سخت‌افزاری می‌خواهند
FortiAnalyzer-VM نسخه مجازی قابل نصب روی Hypervisor یا Cloud خصوصی سازمان‌هایی که زیرساخت مجازی دارند و می‌خواهند ظرفیت را مرحله‌ای افزایش دهند
FortiAnalyzer Cloud سرویس ابری Fortinet برای دریافت و تحلیل لاگ سازمان‌هایی که نمی‌خواهند زیرساخت داخلی نگهداری کنند یا مدل SaaS می‌خواهند
FortiAnalyzer BigData مدل مناسب برای حجم بسیار زیاد لاگ و سناریوهای بزرگ Enterprise، MSSP و محیط‌های بزرگ با حجم لاگ بالا
برای FortiAnalyzer-VM باید CPU، RAM، Disk و License بر اساس تعداد دستگاه‌ها، حجم لاگ روزانه و مدت نگهداری لاگ انتخاب شود. در Best Practiceهای Fortinet تأکید شده که در VM باید منابع کافی بر اساس تعداد دستگاه‌ها و قابلیت‌های فعال اختصاص داده شود و لایسنس با نیاز سازمان از نظر log rate روزانه و ظرفیت ذخیره‌سازی هماهنگ باشد.

 

4. پیش‌نیازهای راه‌اندازی FortiAnalyzer

قبل از اتصال FortiGate یا FortiWeb به FortiAnalyzer، این موارد باید آماده باشند:
  • IP ثابت برای FortiAnalyzer
  • Route و Firewall Policy لازم بین دستگاه‌ها و FortiAnalyzer
  • هماهنگی NTP بین FortiAnalyzer، FortiGate و FortiWeb
  • بررسی Compatibility نسخه‌ها
  • فضای ذخیره‌سازی کافی برای مدت نگهداری لاگ
  • تصمیم درباره ADOMها؛ مخصوصاً برای محیط‌های چند FortiGate یا چند مشتری
  • ثبت لایسنس و FortiCare یا آماده‌سازی Entitlement برای محیط آفلاین
  • تعریف Role و Adminهای مدیریتی
  • تصمیم درباره Retention، Archive و Analytics Logs

 

5. اتصال FortiGate 7.4 به FortiAnalyzer از طریق GUI

در FortiGate 7.4 اتصال به FortiAnalyzer از مسیر Security Fabric انجام می‌شود. ابتدا بهتر است روی FortiAnalyzer تنظیمات Fabric Authorization آماده باشد.
در FortiAnalyzer:
System Settings > Settings > Fabric Authorization
در این بخش Authorization Address و Authorization Port را تنظیم کنید. این آدرس برای باز شدن صفحه Login و Authorization از سمت FortiGate استفاده می‌شود.
سپس در FortiGate 7.4:
Security Fabric > Fabric Connectors > Logging & Analytics > FortiAnalyzer
مقادیر اصلی:
  • Status: Enabled
  • Server: <FortiAnalyzer-IP>
  • Upload Option: Real Time / Every Minute / Every 5 Minutes
  • Verify FortiAnalyzer Certificate: Enable در محیط عملیاتی توصیه می‌شود
  • Allow access to FortiGate REST API طبق نیاز Security Fabric
بعد از ذخیره تنظیمات، وضعیت Connection معمولاً ابتدا Unauthorized نمایش داده می‌شود. در این مرحله باید FortiGate روی FortiAnalyzer Authorize شود. FortiOS ممکن است پنجره‌ای برای تأیید Serial یا باز کردن صفحه FortiAnalyzer نمایش دهد. بعد از Login به FortiAnalyzer، دستگاه FortiGate را Approve کنید تا وضعیت روی Authorized قرار بگیرد.

 

6. اتصال FortiGate 7.4 به FortiAnalyzer از طریق CLI

اگر بخواهید اتصال FortiGate به FortiAnalyzer را از CLI انجام دهید، ساختار اصلی از مسیر زیر است:
config log fortianalyzer setting
    set status enable
    set server "10.10.20.50"
    set upload-option realtime
    set enc-algorithm high-medium
end
اگر دستگاه دیسک داخلی دارد و می‌خواهید لاگ‌ها ابتدا ذخیره و سپس ارسال شوند، می‌توانید در سناریوهای خاص از Store-and-upload استفاده کنید. در مستندات FortiGate 7.4 ذکر شده که گزینه store-and-upload فقط از CLI در دسترس است.
config log fortianalyzer setting
    set status enable
    set server "10.10.20.50"
    set upload-option store-and-upload
    set reliable enable
end
برای بررسی وضعیت:
get log fortianalyzer setting
diagnose test application miglogd 6
در FortiGate باید روی Policyهای مهم هم Log فعال باشد؛ وگرنه FortiAnalyzer چیزی برای تحلیل از آن Policy دریافت نمی‌کند.
config firewall policy
    edit <policy-id>
        set logtraffic all
    next
end

 

7. اتصال FortiWeb 7.6 به FortiAnalyzer از طریق GUI

در FortiWeb 7.6 مسیر اتصال با FortiGate فرق دارد. FortiWeb برای ارسال لاگ به FortiAnalyzer از FortiAnalyzer Policy استفاده می‌کند و قبل از استفاده از آن باید Log Typeهای موردنیاز فعال باشند.
مسیر GUI در FortiWeb 7.6:
Log&Report > Log Policy > FortiAnalyzer Policy
در این بخش یک FortiAnalyzer Policy بسازید و IP یا FQDN FortiAnalyzer را وارد کنید. سپس باید این Policy در Trigger Policy یا Ruleهایی که قرار است لاگ تولید کنند استفاده شود. در FortiWeb، ارسال لاگ به FortiAnalyzer وابسته به نوع لاگ و Policyهای لاگ است؛ بنابراین فقط وارد کردن IP FortiAnalyzer کافی نیست.
مراحل پیشنهادی:
  1. در FortiWeb مطمئن شوید Attack Log، Traffic Log یا Event Log موردنیاز فعال است.
  2. از مسیر Log&Report > Log Policy > FortiAnalyzer Policy یک Policy بسازید.
  3. IP یا FQDN FortiAnalyzer را وارد کنید.
  4. Severity و نوع Logهای موردنیاز را طبق سیاست سازمان تنظیم کنید.
  5. Policy را در Trigger/Protection Rule مناسب استفاده کنید.
  6. در FortiAnalyzer، FortiWeb را Authorize کنید.

 

8. اتصال FortiWeb 7.6 به FortiAnalyzer از طریق CLI

در FortiWeb CLI ابتدا باید FortiAnalyzer Policy تعریف شود و سپس قابلیت ارسال لاگ به FortiAnalyzer فعال شود. Fortinet در CLI Reference FortiWeb 7.6 اشاره می‌کند که قبل از ارسال لاگ به FortiAnalyzer، باید یک یا چند FortiAnalyzer Policy با دستور log fortianalyzer-policy تعریف شود.
نمونه ساخت Policy:
config log fortianalyzer-policy
    edit "FAZ-Policy"
        set server "10.10.20.50"
        set status enable
    next
end
سپس ارسال لاگ به FortiAnalyzer را فعال کنید:
config log forti-analyzer
    set status enable
    set severity information
end
نام دقیق بعضی پارامترها ممکن است با Patch Version فرق داشته باشد. در FortiWeb 7.6 بهتر است در CLI از علامت سوال استفاده کنید تا پارامترهای همان نسخه را ببینید:
config log fortianalyzer-policy
    edit "FAZ-Policy"
        ?

config log forti-analyzer
    ?

 

9. Authorize کردن دستگاه‌ها در FortiAnalyzer

FortiAnalyzer تا زمانی که دستگاه ارسال‌کننده لاگ را نشناسد یا Authorize نکرده باشد، لاگ را به شکل کامل و قابل استفاده نمی‌پذیرد. Fortinet در مستندات Logs توضیح می‌دهد که برای پذیرش لاگ، دستگاه ارسال‌کننده باید در FortiAnalyzer ثبت شده باشد؛ اگر اتصال از سمت دستگاه شروع شود، آن دستگاه باید در FortiAnalyzer Authorize شود.
در GUI FortiAnalyzer:
Device Manager > Unauthorized Devices
دستگاه FortiGate یا FortiWeb را انتخاب کنید و گزینه Authorize یا Add را بزنید. در محیط‌هایی که ADOM فعال است، باید دستگاه در ADOM درست قرار بگیرد. اگر FortiGate و FortiWeb هر دو دارید، معمولاً بهتر است ADOMها بر اساس نوع دستگاه یا ساختار سازمانی تفکیک شوند.

 

10. آیا FortiAnalyzer آفلاین کار می‌کند؟

بله، FortiAnalyzer می‌تواند در شبکه بسته یا Air-gap استفاده شود، اما برای راه‌اندازی اولیه و لایسنس باید فرآیند مخصوص محیط آفلاین انجام شود. در حالت عادی، ثبت FortiAnalyzer در FortiCare به اینترنت نیاز دارد. اما در محیط Air-gap باید Entitlements File از طریق GUI یا CLI آپلود شود.
نکته عملیاتی: آفلاین بودن FortiAnalyzer به این معنی نیست که بدون لایسنس و بدون آماده‌سازی کار می‌کند. باید Registration و Entitlement طبق روش آفلاین انجام شود و Updateها، Firmware و Backup هم با فرآیند کنترل‌شده داخلی مدیریت شوند.
در محیط آفلاین، FortiAnalyzer همچنان می‌تواند لاگ FortiGate و FortiWeb را دریافت، ذخیره، گزارش‌گیری و تحلیل کند؛ به شرط اینکه مسیر شبکه داخلی بین دستگاه‌ها برقرار باشد و لایسنس/Entitlement درست فعال شده باشد.

 

11. لایسنس‌های FortiAnalyzer

مدل لایسنس FortiAnalyzer به نوع پیاده‌سازی بستگی دارد. در Appliance سخت‌افزاری، ظرفیت دستگاه و قابلیت‌ها بر اساس مدل و سرویس‌های خریداری‌شده تعیین می‌شود. در FortiAnalyzer-VM، لایسنس معمولاً بر اساس حجم لاگ روزانه، یعنی GB/Day، و ظرفیت ذخیره‌سازی/قابلیت‌های موردنیاز انتخاب می‌شود. Fortinet در Best Practice مربوط به VM تأکید می‌کند که لایسنس باید با نیاز سازمان از نظر daily log rate و log storage capacity هماهنگ باشد.
نوع لایسنس/مدل توضیح
Hardware Appliance ظرفیت بر اساس مدل سخت‌افزاری و سرویس‌های خریداری‌شده
FortiAnalyzer-VM Perpetual مدل دائمی برای VM با انتخاب ظرفیت بر اساس GB/Day و سرویس‌های پشتیبانی جداگانه
FortiAnalyzer-VM Subscription مدل اشتراکی؛ Fortinet اعلام کرده این مدل برای FortiAnalyzer 6.4.1 و بالاتر پشتیبانی می‌شود
GB/Day Expansion افزایش ظرفیت لاگ روزانه در مدل VM یا Cloud طبق SKUهای مربوطه
ADOM Subscription در بعضی مدل‌های سخت‌افزاری برای افزایش تعداد ADOM قابل خرید است
Add-on Services سرویس‌هایی مثل IOC، Outbreak Detection، Security Automation، FortiAI Assist یا سایر قابلیت‌ها بسته به نسخه و SKU
در Dashboard FortiAnalyzer، بخش License Information مقدار مجاز و مصرف‌شده GB/Day را نمایش می‌دهد و می‌توان جزئیات مصرف چند روز اخیر را بررسی کرد.

 

از نظر عملیاتی، در FortiAnalyzer-VM دو موضوع جداگانه باید از هم تفکیک شود: فعال‌سازی خود ماشین مجازی و خرید ظرفیت لایسنس برای استفاده عملیاتی از آن.

مورد اول، Registration یا فعال‌سازی خود FortiAnalyzer-VM است. این مرحله برای استفاده دائمی از VM انجام می‌شود و ماهیت آن به‌عنوان ثبت و فعال‌سازی پایه VM در نظر گرفته می‌شود. در نسخه‌های جدید FortiAnalyzer، Fortinet فرآیند Registration را جدی‌تر کرده و در برخی سناریوها بدون ثبت یا بارگذاری لایسنس معتبر، امکان ادامه ورود و استفاده عادی از دستگاه وجود ندارد. در داکیومنت رسمی Fortinet نیز برای سناریوی air-gap ذکر شده که برای دسترسی به FortiAnalyzer، دستگاه باید در FortiCare ثبت شود، و همچنین امکان Upload License از همان صفحه Login وجود دارد. در صورتی که سازمان به هر دلیل امکان انجام این فرآیند را به‌صورت مستقیم نداشته باشد، می‌تواند برای بررسی راهکارهای جایگزین و روش مناسب فعال‌سازی با ادمین‌های پارتیان تماس بگیرد.

مورد دوم، License ظرفیت FortiAnalyzer-VM است. این لایسنس بر اساس میزان لاگ روزانه محاسبه می‌شود و معیار اصلی آن GB/Day است؛ یعنی FortiAnalyzer در روز چه مقدار لاگ مجاز است دریافت و پردازش کند. در داکیومنت رسمی Fortinet نیز بخش License Information مقدار GB/Day allowed and used را نمایش می‌دهد و در صورت عبور از quota برای بیش از ۷ روز، پیشنهاد بررسی daily logging یا ارتقای لایسنس داده می‌شود. بنابراین هنگام خرید FortiAnalyzer-VM، سازمان باید علاوه بر تعداد Device/VDOM و ظرفیت ذخیره‌سازی، درباره نوع لایسنس هم تصمیم بگیرد؛ اینکه از لایسنس Share استفاده کند یا لایسنس Original خود Fortinet را تهیه کند. انتخاب بین این دو حالت باید بر اساس سیاست سازمان، بودجه، نیاز به پشتیبانی رسمی، سطح ریسک‌پذیری و مدل بهره‌برداری از FortiAnalyzer انجام شود.

 

12. ویژگی های مهم FortiAnalyzer

ADOM

ADOM یا Administrative Domain برای تفکیک مدیریتی و لاگ دستگاه‌ها استفاده می‌شود. برای مثال یک سازمان می‌تواند FortiGateها، FortiWebها یا شعب مختلف را در ADOMهای جدا نگه دارد. در محیط MSSP، ADOM تقریباً ضروری است.

Log View

در Log View می‌توان لاگ‌ها را بر اساس نوع دستگاه، زمان، Source، Destination، Policy، Event Type، Attack Type و فیلدهای دیگر جست‌وجو و فیلتر کرد. این بخش برای Troubleshooting روزانه و Incident Response بسیار مهم است.

FortiView

FortiView داشبوردهای تحلیلی برای دیدن Top Sources، Top Destinations، Applications، Threats، Compromised Hosts و وضعیت کلی شبکه ارائه می‌دهد. FortiView برای بررسی سریع رخدادها و رفتار غیرعادی کاربرد دارد.

Reports

FortiAnalyzer امکان ساخت گزارش‌های زمان‌بندی‌شده دارد. این گزارش‌ها می‌توانند برای مدیریت، Audit، بررسی مصرف اینترنت، تهدیدات، VPN، Web Usage، WAF Events و موارد دیگر استفاده شوند.

Event Handler و Incident

با Event Handler می‌توان روی رخدادهای خاص Alert ساخت. برای مثال تعداد زیاد Login Failed، شناسایی IPS Critical، حمله WAF، Botnet، Malware یا تغییرات مدیریتی می‌تواند Incident یا Notification ایجاد کند.

Analyzer و Collector Mode

FortiAnalyzer می‌تواند در نقش Analyzer یا Collector استفاده شود. در طراحی‌های بزرگ، Collector می‌تواند لاگ‌ها را از شعب یا مناطق مختلف جمع کند و به Analyzer مرکزی ارسال کند. این مدل برای سازمان‌های بزرگ و محیط‌های توزیع‌شده مناسب است.

 

13. سناریوهای کاربردی

سناریوی اول: سازمان با چند FortiGate

چند FortiGate شعب یا دیتاسنتر به یک FortiAnalyzer مرکزی لاگ می‌فرستند. تیم شبکه از یک نقطه وضعیت Policyها، Threatها، VPN، Admin Login و مصرف پهنای باند را بررسی می‌کند.

سناریوی دوم: اتصال FortiWeb به FortiAnalyzer

FortiWeb لاگ‌های Attack، Traffic و Event را به FortiAnalyzer می‌فرستد. تیم امنیت می‌تواند حملات WAF، Signature Matchها، URLهای هدف، IPهای مهاجم و وضعیت Protection Ruleها را در یک محل مرکزی بررسی کند.

سناریوی سوم: محیط آفلاین

در شبکه‌های بسته، FortiAnalyzer بدون اینترنت مستقیم راه‌اندازی می‌شود. لایسنس با Entitlement File فعال می‌شود و FortiGate/FortiWeb از طریق شبکه داخلی لاگ می‌فرستند.

سناریوی چهارم: MSSP یا سازمان چندواحدی

با ADOM، هر مشتری یا هر واحد سازمانی می‌تواند تفکیک شود. گزارش‌ها، دسترسی ادمین‌ها و Log Viewها بر اساس ADOM مدیریت می‌شوند.

 

14. چک‌لیست پیاده‌سازی

مورد وضعیت مطلوب
نسخه‌ها Compatibility FortiAnalyzer با FortiGate 7.4 و FortiWeb 7.6 بررسی شده باشد
Supported Software Release Notes FortiAnalyzer بررسی شده باشد
دستور سازگاری diagnose dvm supported-platforms list اجرا شده باشد
IP و Route دستگاه‌ها به FortiAnalyzer دسترسی شبکه‌ای داشته باشند
NTP زمان FortiAnalyzer، FortiGate و FortiWeb هماهنگ باشد
لایسنس GB/Day، Storage و ADOM بر اساس نیاز انتخاب شده باشد
Air-gap در محیط آفلاین، Entitlement File آماده و آپلود شده باشد
FortiGate 7.4 از Security Fabric > Fabric Connectors > Logging & Analytics متصل شده باشد
FortiWeb 7.6 FortiAnalyzer Policy ساخته و در Log/Trigger Policy استفاده شده باشد
Authorization دستگاه‌ها در FortiAnalyzer Authorize شده باشند
Policy Log روی Policyهای مهم FortiGate لاگ فعال باشد
WAF Logs Attack/Traffic/Event Logهای لازم در FortiWeb فعال باشد
Reports گزارش‌های دوره‌ای برای شبکه و امنیت ساخته شده باشد
Retention مدت نگهداری Archive و Analytics Logs مشخص باشد
 
<grammarly-desktop-integration data-grammarly-shadow-root="true"></grammarly-desktop-integration>

FortiAnalyzer دقیقاً چه کاری انجام می‌دهد؟

FortiAnalyzer لاگ تجهیزات Fortinet مثل FortiGate و FortiWeb را دریافت، ذخیره، Index و تحلیل می‌کند. علاوه بر Log View، امکان FortiView، گزارش‌گیری، Event Handler، Incident و تحلیل امنیتی را هم فراهم می‌کند.
بستن

آیا FortiAnalyzer فقط سخت‌افزاری است؟

خیر. FortiAnalyzer هم به‌صورت Appliance سخت‌افزاری، هم به‌صورت VM و هم در مدل Cloud قابل استفاده است. انتخاب بین این مدل‌ها به حجم لاگ، زیرساخت، سیاست نگهداری داده و بودجه بستگی دارد.
بستن

برای اتصال FortiGate 7.4 به FortiAnalyzer از کجا باید شروع کرد؟

در FortiGate 7.4 مسیر اصلی از
Security Fabric > Fabric Connectors > Logging & Analytics > FortiAnalyzer
است. بعد از وارد کردن IP FortiAnalyzer، دستگاه باید در FortiAnalyzer Authorize شود.
بستن

FortiWeb 7.6 به FortiAnalyzer مثل FortiGate است؟

خیر. در FortiWeb باید FortiAnalyzer Policy ساخته شود و لاگ‌های موردنیاز از طریق Log Policy و Trigger/Protection Ruleها به FortiAnalyzer ارسال شوند. مسیر GUI اصلی در FortiWeb 7.6،
Log&Report > Log Policy > FortiAnalyzer Policy
است.
بستن

آیا FortiAnalyzer در شبکه آفلاین قابل استفاده است؟

بله، اما برای فعال‌سازی اولیه باید Entitlements File از طریق GUI یا CLI آپلود شود. بعد از فعال‌سازی، FortiAnalyzer می‌تواند در شبکه بسته لاگ FortiGate و FortiWeb را دریافت و تحلیل کند.
بستن

چطور بفهمیم FortiAnalyzer با FortiGate یا FortiWeb ما سازگار است؟

باید Release Notes و Supported Software نسخه FortiAnalyzer بررسی شود. همچنین داخل FortiAnalyzer می‌توان دستور
diagnose dvm supported-platforms list
را اجرا کرد تا نسخه‌ها و پلتفرم‌های پشتیبانی‌شده مشخص شوند.
بستن

لایسنس FortiAnalyzer بر چه اساسی انتخاب می‌شود؟

در FortiAnalyzer-VM معمولاً معیار اصلی حجم لاگ روزانه، یعنی GB/Day، و ظرفیت ذخیره‌سازی است. در مدل سخت‌افزاری ظرفیت به مدل دستگاه و سرویس‌های خریداری‌شده بستگی دارد. برای محیط‌های بزرگ، ADOM و Add-on Serviceها هم باید بررسی شوند.
بستن
آخرین بروزرسانی
۲۹ اردیبهشت ۱۴۰۵ 
تعداد کلیک
۲۰