Что такое FortiAnalyzer
FortiAnalyzer — это устройство для анализа и реакции на события ИБ.
Он собирает, обрабатывает и хранит логи со всех устройств фабрики безопасности Fortinet. Информация о событиях представляется в удобном виде графиков, таблиц и отчётов.
FortiAnalyzer вместе с FortiManager повышает прозрачность сети, увеличивает скорость реакции на инциденты ИБ и позволяет анализировать их из единого окна
Три главных функции:
- Создание пользовательских отчётов. Администратор настраивает внешний вид отчёта в редакторе WYSIWYG и задаёт параметры генерации по расписанию. Например, можно создать отчёт, который сообщает о всех вышедших обновлениях ПО раз в 2 недели.
- Мониторинг событий. FortiAnalyzer может мгновенно уведомить администратора о хакерской атаке или поломке в сети, как только её обнаружат другие устройства Fortinet. Уведомления приходят на email или в интерфейс FortiAnalyzer
- Длительное хранение логов. Логи архивируются и хранятся на RAID-массиве пока не кончится место на жёстких дисках.
FortiAnalyzer подойдет компаниям со сложной инфраструктурой на десятки устройств и тем, кто планирует расширять сеть и усиливать безопасность с помощью устройств Fortinet в будущем.
Типы устройств и логов
С устройств фабрики безопасности Fortinet собираются различные типы логов. Самый большой список — с файрвола нового поколения NGFW FortiGate.
FortiAnalyzer принимает любые файлы журналов в формате syslog, но тогда нельзя зашифровать канал передачи или добавить md5-хэш для защиты логов от подмены.
Syslog позволяет работать с Cisco, Check Point, Mikrotik и большинством вендоров.
| Устройство | Типы логов для анализа |
| FortiGate | Traffic [Local, Forward, Sniffer] Event [Endpoint, HA, System, User, Router, VPN, WAD, Wireless] Security [Antivirus, Application Control, IPS, DLP, Anti-Spam, Web Filter, Anomaly (DoS-Policy), WAF] |
| FortiCarrier | Traffic, Event |
| FortiCache | Traffic, Event, Antivirus, Web Filter |
| FortiClient | Traffic, Event |
| FortiMail | Traffic, Event, Antivirus, Web Filter |
| FortiManager | Event |
| FortiSandbox | Malware, Network Alerts |
| FortiWeb | Traffic, Event, IPS |
Друг к другу можно подключить два устройства FortiAnalyzer, одно будет собирать логи и делать их резервные копии, а второе — анализировать их и генерировать отчёты
Технология административных доменов ADOMs
ADOMs — это метод группировки устройств в виртуальные административные домены, каждый из которых имеет своих администраторов, политики безопасности, настройки отчётов и уведомлений.
ADOM повышают безопасность сети и контроль над информацией из логов. Например, логи FortiGate в ЦОД обрабатывает главный администратор, а логи в филиалах — местные специалисты. Сотрудники получают только ту информацию, которая необходима для выполнения их обязанностей.
FortiAnalyzer вместе с FortiManager повышает прозрачность сети, увеличивает скорость реакции на инциденты ИБ и позволяет анализировать их из единого окна
ADOMы работают по следующим принципам:
- Каждое устройство подключается к своему ADOM. Например, для FortiWeb будет создан ADOM FortiWeb.
- Если нужно объединить все устройства в один административный домен, это ограничение можно обойти: подключить их по syslog в главный домен root.
- Главный root ADOM создан по умолчанию, через него настраивается и управляется FortiAnalyzer.
- Отдельные VDOMs можно подключать в разные административные домены. Для этого нужно перейти в режим advanced. По умолчанию включен режим basic и данная возможность недоступна.
Про виртуальные домены VDOMs читайте в нашей большой статье:
Полное руководство о FortiGate
Основные параметры при создании нового ADOMa — это количество памяти, которое выделено под хранение логов и время их хранения
Автоматические уведомления о событиях
Администратор может настроить FortiAnalyzer для автоматического уведомления о событиях по заданным параметрам. Нужно указать:
- Поля и условия в raw-формате для поиска событий в логах. Например по критичности угрозы: severity = critical
- Канал уведомлений: интерфейс ADOMa, электронная почта или на syslog-сервер через SNMP
Для каждого ADOM обработчики событий уникальны, настраиваются вручную или выбираются из предустановленных шаблонов.
Подробную настройку уведомлений в интерфейсе FortiAnalyzer мы показали в нашем видео:
Центр управления NOC-SOC
Специалисты Fortinet совместили функции сетевого операционного центра (NOC/Network Operation Center) и центра выполнения операций безопасности (SOC/Security Operation Center). Так появился единый центр управления инфраструктурой NOC-SOC.
Специалисты Fortinet совместили функции сетевого операционного центра (NOC/Network Operation Center) и центра выполнения операций безопасности (SOC/Security Operation Center). Так появился единый центр управления инфраструктурой NOC-SOC.
Он помогает проанализировать несколько десятков тысяч событий ИБ в день с помощью визуализации. NOC-SOC объединяет функции аналитики и управления FortiAnalyzer, FortiManager и FortiSIEM.
Администраторы и специалисты ИБ из одного окна получают информацию о угрозах, скомпрометированных узлах и устройствах и оперативно реагируют на любые события в сети.
Не все компании нуждаются в таком мониторинге, поэтому сервис NOC-SOC доступен по подписке и не поставляется с устройством.
Подробнее о нем можно прочитать в пресс-релизе Fortinet.
Визуализация FortiView
Основная задача FortiAnalyzer — визуальное представление данных сети для быстрого анализа и реагирования на события. Для этого есть два механизма: создание подробных отчётов и анализ в режиме реального времени с помощью виджетов FortiView.
Разные представления FortiView настраиваются как для получения общей информации по сети, так для детального отчёта отдельных аспектов — например все угрозы за определённый период.
Дашборд со всеми инцидентами ИБ за последние 7 дней
Общая статистика по трафику
Индикаторы компрометации IOC
IOC обнаруживает атаки и точки доступа злоумышленников в сеть ещё до того, как они начали активные действия.
Каждый день лаборатория безопасности FortiGuard Labs собирает информацию обо всех опасных ресурсах в интернете. Из них формируется чёрный список.
Это IP и URL-адреса, которые участвовали в DDoS-атаках, распространяли спам и фишинг, заражают машины вирусами и т. д. Каждый день этот список в пакете TIDB рассылается всем устройством Fortinet в мире, которые подписаны на IOC.
Компьютеры автоматически становятся подозрительными, если с них заходили на сайты из чёрного списка, или было установлено соединение с опасным IP. Система аналитики проверяет в логах все действия этих машин.
Если будет обнаружена подозрительная активность — скомпрометированная машина изолируется, а администратору сети приходит уведомление.
Подробный механизм работы IOC описан в руководстве: IOC: cookbook | FortiAnalyzer 6.2.0
Шаблоны для генерации отчетов
Для отчётов компания Fortinet разработала больше 30 шаблонов по стандартам информационной безопасности. В них содержатся самые частые данные о сети и инцидентах, которые необходимо проверять.
Любые другие отчёты можно настроить вручную. Для них доступны 550 самых популярных поисковых запросов в логах. Это сделано для удобства, чтобы не писать под распространённые задачи SQL-запросы к базе данных.
Режимы работы FortiAnalyzer
Существуют два режима работы:
- Analyzer. Логи хранятся и анализируются одним устройством. Они приходят из фабрики безопасности Fortinet или по стандарту syslog.
- Collector. В этом режиме FortiAnalyzer выступает как хранилище логов. Они собираются с устройств, безопасно хранятся и архивируются, а на обработку отправляются другому устройству FortiAnalyzer по запросу.
Схема из двух устройств нужна в сетях, где количество логов и скорость их поступления велика. Тогда на устройстве в режиме Collector создаётся RAID-массив большой ёмкости для безопасного хранения. Процессор и оперативная память расходуется на получение логов и отправку их на второе устройство.
Устройство в режиме Analyzer в такой схеме может быть дешевле и занимается только анализом текущей ситуации в сети и генерацией отчётов.
Механизм хранения и обработки логов
Логи — основная единица FortiAnalyzer. Они находятся в трёх состояниях:
- Сырые логи в log-файле
- Офлайн-логи в архиве
- Логи, индексированные в базе данных SQL
Процесс работы с логами
Сырые логи — это данные, которые недавно принял FortiAnalyzer. Они сжимаются и сохраняются в log-файл.
Если log-файл достигает максимального размера, логи отправляются в архив и через время удаляются. Информация остаётся только в архиве. Максимальный размер файла и время хранения задаются в политике ADOM.
Офлайн-логи в архиве предназначены для длительного хранения и анализа во время регулярных отчётов. Их информация не отображается в реальном времени на виджетах NOC-SOC и FortiView. Прочитать их можно только в raw-формате.
В настройках административных доменов указывается сколько места получат сырые логи, доступные для анализа в реальном времени, а сколько — архивированные
Логи, индексированные в SQL-базе данных анализируются в реальном времени с помощью отчётов и виджетов FortiView и NOC-SOC. Индексация позволяет находить события ИБ по дате, времени, угрозам, ip-адресам и другим параметрам с помощью select-запроса.
Безопасное хранение и избыточность логов
FortiAnalyzer хранит логи в RAID-массиве. Самым популярным решением является RAID 10, а самым надёжным с увеличением производительности — RAID 60.
В RAID 10 информация одновременно записывается на несколько дисков и дублируется на столько же. Например, чтобы получить прирост в скорости записи ×4 нужно 8 дисков: 4 диска для информации + 4 диска для зеркальных копий.
RAID 10. Необходимо минимум 4 жестких диска
В RAID 60 на диск помимо данных добавляется информация для восстановления. В каждом массиве может выйти из строя 2 жёстких диска, и информация не потеряется.
RAID 60. Минимум жестких дисков — 8. В каждом массиве объем 2-х жестких дисков занимает информация для восстановления
Если не устраивают эти схемы, прочитать о других и подобрать нужный вариант для своей системы можете в статье: Описание: RAID — основные понятия и советы: Что и зачем?
Важно!
Младшие модели FortiAnalyzer 200F, 300F, 400E и 800F поддерживают не все типы RAID-массивов. Потому что в них 1–4 жёстких диска.
Мы привели информацию о поддерживаемых типах RAID в разделе «Модели» этой статьи.
RAID-массивы повышают надёжность в рамках одного устройства. Для нескольких устройств предусмотрено 3 механизма резервного копирования:
- Связка из двух FortiAnalyzer работающих в разных режимах: collector + analyzer. Большая часть логов будет хранится на коллекторе, те которые используются для анализа, дублируются на analyzer.
- Одновременная отправка на два устройства FortiAnalyzer. Помимо полной копии, разные устройства можно настроить для анализа определённых логов, например только с FortiGate или только с FortiWeb.
- Выгрузка по расписанию на syslog-сервер. FortiAnalyzer отправляет логи на внешний сервер. Настройка объёма и частоты выгрузки в самом устройстве.
Защита логов
Помимо надёжного хранения FortiAnalyzer шифрует канал передачи логов со всеми устройствами фабрики безопасности Fortinet и добавляет контрольную сумму md5 для защиты логов от модификаций злоумышленником
Настройка отчетов FortiAnalyzer в 3 этапа
Отчёты — самая мощная, гибкая и полезная функция FortiAnalyzer. Это файлы в формате PDF, HTML, XML или CSV, которые представляют информацию из логов в виде графиков, таблиц и диаграмм.
Отчет создается в 3 этапа:
Пройдемся по этим этапам с начала до конца.
1 этап: Датасет
Датасет — это select-запрос в базу данных, который отбирает данные для визуального представления. Например:
- select from_itime(itime)::date as datestamp, sum(rcvdbyte) as
- traffic_in, sum(sentbyte) as traffic_out, policyid, devid
- from $log
- where $filter
- group by datestamp, policyid, devid
Каждый датасет содержит select-запрос. Помимо этого можно дополнительно настроить фильтры при создании нового датасета или изменении предустановленного.
В поле Log Type выбирается тип журналов, которые будут анализироваться в запросе. Они зависят от устройств, подключённых к FortiAnalyzer.
В поле Time Period указывается за какой промежуток времени брать логи.
В поле Device задаются устройства для обработки логов.
2 этап: Чарты
Чарты — это визуализация датасетов. Один чарт связывает отдельный датасет и его представление. Если вы хотите отобразить одни и те же данные в виде графика и таблицы, нужно создать 2 разных чарта с одинаковым датасетом и вставить их в отчёт.
Всего существует 4 типа чартов:
- Таблица
- Столбцы или бары
- Круговые диаграммы
- Линейный и площадной графики
Окно создания чарта. Для каждого вида представлений — свои настройки отображения. На данном скриншоте настраиваются столбцы таблицы
Подробные настройки каждого отображения приведены в руководстве пользователя: Administration Guide | FortiAnalyzer 6.4.3.
3 этап: Отчеты и Шаблоны
Отчёт — готовый к генерации документ с одним или несколькими чартами, текстом, языковыми настройками и временным периодом.
После генерации отчёта получается документ в котором есть шапка, диаграммы, оглавление, таблицы и другая информация.
Сгенерированный отчёт можно отправить на почту администратору или на отдельный сервер для хранения. Параметры задаются в Output Profiles выбранного ADOM. Также можно установить расписание по которому отчёт генерируется автоматически.
Пример отчета активности пользователей
Шаблон отчётов включает в себя только чарты и текст. Остальные настройки недоступны. Шаблон пригодится для создания одинаковых отчётов за разный период — атаки на сеть за текущий день, и сводный отчёт по атакам за месяц.
Чарты и текст изменяются как в шаблоне, так и непосредственно в отчётах.
Описать создание шаблонов словами трудно, поэтому мы записали видео, в котором показываем как выглядят датасеты, чарты и отчеты, и создаем отчет по 3-м шагам с нуля.
Ускорение генерации отчетов с помощью автокэширования hcache
При генерации отчёта select-запрос из датасета должен проанализировать все данные, которые есть в базе. Такой поиск может увеличить генерацию отчёта до нескольких часов.
Поэтому для каждого отчёта можно установить настройку auto-cache. Тогда все данные заранее находятся и помечаются. При следующей генерации отчёта не нужно ничего искать, а только сформировать его из готовых данных.
Но при добавлении новых логов в базу, отчёт окажется неполным. Автокэширование исправляет эту ситуацию. При каждом добавлении логов, в них выполняется select-запрос нужных отчётов и результаты добавляются в кэш.
Такая операция сильно грузит CPU и оперативную память, особенно для сложных отчётов. Поэтому опцию auto-cache стоит включать только для отчётов с периодом один день или несколько часов, и контролировать загрузку вычислительных ресурсов FortiAnalyzer.
Варианты поставки FortiAnalyzer
Всего есть 4 варианта:
- Аппаратное решение
- Виртуальное решение
- IaaS-версия для облаков Azure, AWS и других
- SaaS. Облачный сервис FortiAnalyzer Cloud по подписке от Fortinet
IaaS-версия и FortiAnalyzer Cloud не пользуются популярностью на российском рынке. Основные проблемы вызывает обработка персональных данных по 152 ФЗ, большой пинг из-за отсутствия ЦОДов в России и отсутствие русскоязычной техподдержки.
Аппаратное решение представлено 8 моделями 200F—3700F. Основные характеристики:
- объем логов в день в гигабайтах
- скорость приема логов
- объем внутренней памяти
- возможные схемы RAID
Подробный обзор моделей будет ниже.
Версии для виртуальных машин отличаются:
- максимальным количеством логов в день, которые можно обработать
- объемом памяти для их хранения
Если вы купите лицензию VM FortiAnalyzer в которой ограничение 3 ТБ для хранения логов, то даже если виртуальной машине выделить 20 ТБ, хранится логи будут только на 3 ТБ. Чтобы увеличить объём хранения придётся покупать дополнительные лицензии.
| BASE | GB1 | GB5 | GB25 | GB100 | GB500 | GB2000 | |
| Логи в день ГБ |
1 | +1 | +5 | +25 | +100 | +500 | +2000 |
| Максимум логов ТБ |
0,5 | +0,5 | +3 | +10 | +24 | +48 | +100 |
Список всех лицензий для виртуальных машин
Любая лицензия включает в себя минимальный пакет VM BASE на 500 ГБ хранения. Остальные лицензии расширяют возможность предыдущих и суммируются к базовой.
Например, компания расширила стандартный пакет BASE лицензией GB5. FortiAnalyzer может обработать 1+5 = 6 ГБ логов в день и хранить максимум 0,5+3 = 3,5 ТБ.
Через год количество устройств выросло и компания докупила ещё одну лицензию GB5. Теперь обрабатывается уже 11 ГБ в день и хранить можно 6.5 ТБ.
Виртуальные версии поддерживают следующие гипервизоры:
- ESX/ESXi 5.0/5.1/5.5/6.0/6.5/6.7
- Microsoft Hyper-V 2008 R2/2012/2012 R2/2016
- Citrix XenServer 6.0+ и Open Source Xen 4.1+
- KVM на Redhat 6.5+ и Ubuntu 17.04
Минимальные требования: два vCPU и 4 Гб оперативной памяти, верхнего ограничения нет.
Сетевые интерфейсы ограничены 1–4 портами.
IaaS-версия для облаков устанавливается на:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud (GCP)
- Oracle Cloud Infrastructure (OCI)
Характеристики аналогичны версиям для виртуальных машин. Стоимость работы и условия можно посчитать на специальных страницах AWS Marketplace: Fortinet FortiAnalyzer (BYOL) Centralized Security Logging and Reporting и Azure: FortiAnalyzer Centralized Log Analytics.
Облачный сервис FortiAnalyzer Cloud доступен по подписке 360° или как отдельная лицензия.
Модели
Физических моделей FortiAnalyzer 8 штук.
Самая младшая 200Е не может создавать RAID-массивы и пересылать данные в SOC. Она стоит 4 000 $ + 1 400 за год техподдержки и IOC.
Старшая модель 3700F занимает 4 места в серверном шкафу и готова хранить 216 ТБ логов. Её цена 150 000 $ + 285 000 стоит пакет подписок на год.
Основные технические характеристики моделей приведены в таблице.
| Логи в деньГБ | ASRлоги/с | CSRлоги/с | VDOMsmax | Память | RAID | |
| 200F | 100 | 3 000 | 4 500 | 150 | 4 = 1×4ТБ | NO |
| 300F | 150 | 4 500 | 6 750 | 180 | 8 = 2×4ТБ | 0/1/ |
| 300F | 200 | 6 000 | 9 000 | 200 | 12 = 4×3ТБ | 0/1/5/10 |
| 800F | 300 | 8 250 | 12 000 | 800 | 16 = 4×4ТБ | 0/1/5/10 |
| 1000E | 600 | 18 000 | 27 000 | 2 000 | 24 = 8×3ТБ | 0/1/5/6/10/50/60 |
| 2000E | 1 000 | 30 000 | 45 000 | 2 000 | 36 = 12×3ТБ | 0/1/5/6/10/50/60 |
| 3000F | 3 000 | 42 000 | 60 000 | 4 000 | 48 = 16×3ТБ | 0/1/5/6/10/50/60 |
| 3700F | 8 300 | 100 000 | 150 000 | 10 000 | 240 = 60×4ТБ | 0/1/5/6/10/50/60 |
ASR — скорость обработки логов в режиме Analyzer, СSR — скорость обработки логов в режиме Collector
Устройства Fortinet не хранят и не обрабатывают логи — ограниченной внутренней памяти хватает на 1–2 дня. Чтобы информация о событиях в сети не пропадала, нужно покупать версии со встроенным жёстким диском или использовать FortiAnalyzer.
ЛАЙФХАК!
Если планируете расширять сеть, присмотритесь к варианту FortiAnalyzer + FortiGate без жестких дисков.
Решать проблему централизованного хранения и обработки логов всё равно придется в будущем, а версии без жестких дисков стоят дешевле.
Если устройств будет много, то вы получите FortiAnalyzer фактически бесплатно.
Мы посчитали, сколько FortiGate надо иметь в сети, чтобы покупка FortiAnalyzer вышла дешевле версий с жёсткими дисками. Во всех расчётах FortiAnalyzer 200E c пакетом техподдержки на 1 год. Он стоит $ 4 800.
Стоимость нескольких FortiGate в сети
| 3 | 4 | 5 | 6 | 7 | 8 | |
| 100f $ 2 800 |
8 400 | 11 200 | 14 000 | 16 800 | 19 600 | 22 400 |
| 101f HDD $ 3 800 |
11 400 | 15 200 | 19 00 | 12 800 | 16 600 | 30 400 |
| Разница | 3 000 | 4 000 | 5 000 | 6 000 | 7 000 | 8 000 |
| Выгода от FortiAnalyzer 200E | -1 800 | -800 | +200 | +1 200 | +2 200 | +3 200 |
При 4 устройствах в сети FortiAnalyzer достаётся почти бесплатно, по сравнению с версиями с HDD. Если учесть, что в главном офисе стоят устройства мощнее, то выгода начинается с 3–4 устройств. Это один отказоустойчивый кластер и два филиала на FortiGate.
Лицензии и цены
Как и во всех продуктах Fortinet, система лицензирования и ценообразования FortiAnalyzer гибкая и можно покупать устройства и подписку на техподдержку по отдельности или целым набором.
Если FortiAnalyzer разворачивать в сети предприятия, то есть 6 позиций, которые можно купить:
- Физическое устройство
- Виртуальная версия
- Подписка на SOC
- Подписка на индикаторы компрометации IOC
- Подписка на техническую поддержку
- Подписка на сервис быстрой замены устройств Premium RMA
Варианты техподдержки и RMA подробно разобраны в нашей статье:
Лицензия и цены FortiGate.
Все варианты покупки от самого дешёвого к самому дорогому:
- Пакет bundle с завода. Физическое устройство + SOC + IOC + TП. Минусы: нужно заказывать у Fortinet и ждать 1–2 месяца, пока он будет готов.
- Физическое/виртуальное устройство + пакет подписок SOC + IOC + TП.
- Физическое/виртуальное устройство + каждая подписка по отдельности.
Подписка на RMA не входит ни в один пакет и всегда покупается отдельно.
Подписка на FortiAnalyzer Cloud и IaaS-версия для облаков включает в себя техподдержку и большинство сервисов. Их точный набор и стоимость нужно уточнять у менеджеров.
Topics: Обзор
