Блог Инфратех

Бесплатный вебинар все о FortiGate от А до Я  Всего за 35 минут вы получите понимание подходит ли вам Next Generation  Firewall FortiGate Узнать больше

FortiAnalyzer: полный обзор [2021]

Автор: Артём Тюрин

Это полное руководство по FortiAnalyzer компании Fortinet. В статье покажем:

  1. Как достать важную информацию из логов и обновлять её в реальном времени
  2. Как настроить автоматическую генерацию отчётов хоть каждый час с уведомлением по почте
  3. В чем различие между аппаратными, виртуальными, SaaS и IaaS версиями FortiAnalyzer
Untitled%20design%20(17)
Бесплатный вебинар
все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

Что такое FortiAnalyzer

FortiAnalyzer — это устройство для анализа и реакции на события ИБ. 
Он собирает, обрабатывает и хранит логи со всех устройств фабрики безопасности Fortinet. Информация о событиях представляется в удобном виде графиков, таблиц и отчётов.

Сбор логов FortiAnalyzer с нескольких FortiGate и генерация отчетов
FortiAnalyzer вместе с FortiManager повышает прозрачность сети, увеличивает скорость реакции на инциденты ИБ и позволяет анализировать их из единого окна

Три главных функции:

  1. Создание пользовательских отчётов. Администратор настраивает внешний вид отчёта в редакторе WYSIWYG и задаёт параметры генерации по расписанию. Например, можно создать отчёт, который сообщает о всех вышедших обновлениях ПО раз в 2 недели.
  2. Мониторинг событий. FortiAnalyzer может мгновенно уведомить администратора о хакерской атаке или поломке в сети, как только её обнаружат другие устройства Fortinet. Уведомления приходят на email или в интерфейс FortiAnalyzer
  3. Длительное хранение логов. Логи архивируются и хранятся на RAID-массиве пока не кончится место на жёстких дисках.

FortiAnalyzer подойдет компаниям со сложной инфраструктурой на десятки устройств и тем, кто планирует расширять сеть и усиливать безопасность с помощью устройств Fortinet в будущем.

Типы устройств и логов

С устройств фабрики безопасности Fortinet собираются различные типы логов. Самый большой список — с файрвола нового поколения NGFW FortiGate.

FortiAnalyzer принимает любые файлы журналов в формате syslog, но тогда нельзя зашифровать канал передачи или добавить md5-хэш для защиты логов от подмены.

Syslog позволяет работать с Cisco, Check Point, Mikrotik и большинством вендоров.

 
Устройство Типы логов для анализа
FortiGate Traffic [Local, Forward, Sniffer] Event [Endpoint, HA, System, User, Router, VPN, WAD, Wireless] Security [Antivirus, Application Control, IPS, DLP, Anti-Spam, Web Filter, Anomaly (DoS-Policy), WAF]
FortiCarrier Traffic, Event
FortiCache Traffic, Event, Antivirus, Web Filter
FortiClient Traffic, Event
FortiMail Traffic, Event, Antivirus, Web Filter
FortiManager Event
FortiSandbox Malware, Network Alerts
FortiWeb Traffic, Event, IPS

 

Друг к другу можно подключить два устройства FortiAnalyzer, одно будет собирать логи и делать их резервные копии, а второе — анализировать их и генерировать отчёты

Технология административных доменов ADOMs

ADOMs — это метод группировки устройств в виртуальные административные домены, каждый из которых имеет своих администраторов, политики безопасности, настройки отчётов и уведомлений.

ADOM повышают безопасность сети и контроль над информацией из логов. Например, логи FortiGate в ЦОД обрабатывает главный администратор, а логи в филиалах — местные специалисты. Сотрудники получают только ту информацию, которая необходима для выполнения их обязанностей.

Настройка прав администраторов в ADOMs FortiAnalyzer
FortiAnalyzer вместе с FortiManager повышает прозрачность сети, увеличивает скорость реакции на инциденты ИБ и позволяет анализировать их из единого окна

ADOMы работают по следующим принципам:

  • Каждое устройство подключается к своему ADOM. Например, для FortiWeb будет создан ADOM FortiWeb.
  • Если нужно объединить все устройства в один административный домен, это ограничение можно обойти: подключить их по syslog в главный домен root.
  • Главный root ADOM создан по умолчанию, через него настраивается и управляется FortiAnalyzer.
  • Отдельные VDOMs можно подключать в разные административные домены. Для этого нужно перейти в режим advanced. По умолчанию включен режим basic и данная возможность недоступна.

Про виртуальные домены VDOMs читайте в нашей большой статье:
Полное руководство о FortiGate

Настройка памяти для логов в ADOMs FortiAnalyzer
Основные параметры при создании нового ADOMa — это количество памяти, которое выделено под хранение логов и время их хранения

Автоматические уведомления о событиях

Администратор может настроить FortiAnalyzer для автоматического уведомления о событиях по заданным параметрам. Нужно указать:

  1. Поля и условия в raw-формате для поиска событий в логах. Например по критичности угрозы: severity = critical
  2. Канал уведомлений: интерфейс ADOMa, электронная почта или на syslog-сервер через SNMP

Для каждого ADOM обработчики событий уникальны, настраиваются вручную или выбираются из предустановленных шаблонов.

Подробную настройку уведомлений в интерфейсе FortiAnalyzer мы показали в нашем видео:

Центр управления NOC-SOC

Специалисты Fortinet совместили функции сетевого операционного центра (NOC/Network Operation Center) и центра выполнения операций безопасности (SOC/Security Operation Center). Так появился единый центр управления инфраструктурой NOC-SOC.

Отображение состояния сети в NOC-SOC FortiAnalyzer в реальном времени
Специалисты Fortinet совместили функции сетевого операционного центра (NOC/Network Operation Center) и центра выполнения операций безопасности (SOC/Security Operation Center). Так появился единый центр управления инфраструктурой NOC-SOC.

Он помогает проанализировать несколько десятков тысяч событий ИБ в день с помощью визуализации. NOC-SOC объединяет функции аналитики и управления FortiAnalyzer, FortiManager и FortiSIEM.

Администраторы и специалисты ИБ из одного окна получают информацию о угрозах, скомпрометированных узлах и устройствах и оперативно реагируют на любые события в сети.

Не все компании нуждаются в таком мониторинге, поэтому сервис NOC-SOC доступен по подписке и не поставляется с устройством.

Подробнее о нем можно прочитать в пресс-релизе Fortinet.

Визуализация FortiView

Основная задача FortiAnalyzer — визуальное представление данных сети для быстрого анализа и реагирования на события. Для этого есть два механизма: создание подробных отчётов и анализ в режиме реального времени с помощью виджетов FortiView.

Разные представления FortiView настраиваются как для получения общей информации по сети, так для детального отчёта отдельных аспектов — например все угрозы за определённый период.

Отображение атак на сеть в FortiAnalyzer в реальном времени
Дашборд со всеми инцидентами ИБ за последние 7 дней
Отображение данных трафика сети в FortiAnalyzer в реальном времени
Общая статистика по трафику

Индикаторы компрометации IOC

IOC обнаруживает атаки и точки доступа злоумышленников в сеть ещё до того, как они начали активные действия.

Каждый день лаборатория безопасности FortiGuard Labs собирает информацию обо всех опасных ресурсах в интернете. Из них формируется чёрный список.

Это IP и URL-адреса, которые участвовали в DDoS-атаках, распространяли спам и фишинг, заражают машины вирусами и т. д. Каждый день этот список в пакете TIDB рассылается всем устройством Fortinet в мире, которые подписаны на IOC.

Компьютеры автоматически становятся подозрительными, если с них заходили на сайты из чёрного списка, или было установлено соединение с опасным IP. Система аналитики проверяет в логах все действия этих машин.

Если будет обнаружена подозрительная активность — скомпрометированная машина изолируется, а администратору сети приходит уведомление.

Подробный механизм работы IOC описан в руководстве: IOC: cookbook | FortiAnalyzer 6.2.0

Шаблоны для генерации отчетов

Для отчётов компания Fortinet разработала больше 30 шаблонов по стандартам информационной безопасности. В них содержатся самые частые данные о сети и инцидентах, которые необходимо проверять.

Любые другие отчёты можно настроить вручную. Для них доступны 550 самых популярных поисковых запросов в логах. Это сделано для удобства, чтобы не писать под распространённые задачи SQL-запросы к базе данных.

Режимы работы FortiAnalyzer

Два режима работы FortiAnalyzer: сбор логов Collector и анализ логов Analyzer

Существуют два режима работы:

  1. Analyzer. Логи хранятся и анализируются одним устройством. Они приходят из фабрики безопасности Fortinet или по стандарту syslog.
  2. Collector. В этом режиме FortiAnalyzer выступает как хранилище логов. Они собираются с устройств, безопасно хранятся и архивируются, а на обработку отправляются другому устройству FortiAnalyzer по запросу.

Схема из двух устройств нужна в сетях, где количество логов и скорость их поступления велика. Тогда на устройстве в режиме Collector создаётся RAID-массив большой ёмкости для безопасного хранения. Процессор и оперативная память расходуется на получение логов и отправку их на второе устройство.

Устройство в режиме Analyzer в такой схеме может быть дешевле и занимается только анализом текущей ситуации в сети и генерацией отчётов.

Механизм хранения и обработки логов

 

Логи — основная единица FortiAnalyzer. Они находятся в трёх состояниях:

  1. Сырые логи в log-файле
  2. Офлайн-логи в архиве
  3. Логи, индексированные в базе данных SQL
 
3 состояния логов в FortiAnalyzer: в log-файле, в архиве, в базе данных
Процесс работы с логами

Сырые логи — это данные, которые недавно принял FortiAnalyzer. Они сжимаются и сохраняются в log-файл.

Если log-файл достигает максимального размера, логи отправляются в архив и через время удаляются. Информация остаётся только в архиве. Максимальный размер файла и время хранения задаются в политике ADOM.

Офлайн-логи в архиве предназначены для длительного хранения и анализа во время регулярных отчётов. Их информация не отображается в реальном времени на виджетах NOC-SOC и FortiView. Прочитать их можно только в raw-формате.

Настройка размера логов в ADOMs FortiAnalyzer
В настройках административных доменов указывается сколько места получат сырые логи, доступные для анализа в реальном времени, а сколько — архивированные

Логи, индексированные в SQL-базе данных анализируются в реальном времени с помощью отчётов и виджетов FortiView и NOC-SOC. Индексация позволяет находить события ИБ по дате, времени, угрозам, ip-адресам и другим параметрам с помощью select-запроса.

Безопасное хранение и избыточность логов

FortiAnalyzer хранит логи в RAID-массиве. Самым популярным решением является RAID 10, а самым надёжным с увеличением производительности — RAID 60.

В RAID 10 информация одновременно записывается на несколько дисков и дублируется на столько же. Например, чтобы получить прирост в скорости записи ×4 нужно 8 дисков: 4 диска для информации + 4 диска для зеркальных копий.

Принцип хранения и защиты данных в RAID 10
RAID 10. Необходимо минимум 4 жестких диска

В RAID 60 на диск помимо данных добавляется информация для восстановления. В каждом массиве может выйти из строя 2 жёстких диска, и информация не потеряется.

Принцип хранения и защиты данных в RAID 60
RAID 60. Минимум жестких дисков — 8. В каждом массиве объем 2-х жестких дисков занимает информация для восстановления

Если не устраивают эти схемы, прочитать о других и подобрать нужный вариант для своей системы можете в статье: Описание: RAID — основные понятия и советы: Что и зачем?

Важно!

Младшие модели FortiAnalyzer 200F, 300F, 400E и 800F поддерживают не все типы RAID-массивов. Потому что в них 1–4 жёстких диска.

Мы привели информацию о поддерживаемых типах RAID в разделе «Модели» этой статьи.

 

RAID-массивы повышают надёжность в рамках одного устройства. Для нескольких устройств предусмотрено 3 механизма резервного копирования:

  1. Связка из двух FortiAnalyzer работающих в разных режимах: collector + analyzer. Большая часть логов будет хранится на коллекторе, те которые используются для анализа, дублируются на analyzer.
  2. Одновременная отправка на два устройства FortiAnalyzer. Помимо полной копии, разные устройства можно настроить для анализа определённых логов, например только с FortiGate или только с FortiWeb.
  3. Выгрузка по расписанию на syslog-сервер. FortiAnalyzer отправляет логи на внешний сервер. Настройка объёма и частоты выгрузки в самом устройстве.

Защита логов

Помимо надёжного хранения FortiAnalyzer шифрует канал передачи логов со всеми устройствами фабрики безопасности Fortinet и добавляет контрольную сумму md5 для защиты логов от модификаций злоумышленником

Настройка отчетов FortiAnalyzer в 3 этапа

Отчёты — самая мощная, гибкая и полезная функция FortiAnalyzer. Это файлы в формате PDF, HTML, XML или CSV, которые представляют информацию из логов в виде графиков, таблиц и диаграмм.

Отчет создается в 3 этапа:

  1. Выбор датасета
  2. Настройка отображения — чарта
  3. Создание отчета и его генерация

Пройдемся по этим этапам с начала до конца.

 

1 этап: Датасет

Датасет — это select-запрос в базу данных, который отбирает данные для визуального представления. Например:

  1. select from_itime(itime)::date as datestamp, sum(rcvdbyte) as
  2. traffic_in, sum(sentbyte) as traffic_out, policyid, devid
  3. from $log
  4. where $filter
  5. group by datestamp, policyid, devid

 

Каждый датасет содержит select-запрос. Помимо этого можно дополнительно настроить фильтры при создании нового датасета или изменении предустановленного.

В поле Log Type выбирается тип журналов, которые будут анализироваться в запросе. Они зависят от устройств, подключённых к FortiAnalyzer.

В поле Time Period указывается за какой промежуток времени брать логи.

В поле Device задаются устройства для обработки логов.

2 этап: Чарты

Чарты — это визуализация датасетов. Один чарт связывает отдельный датасет и его представление. Если вы хотите отобразить одни и те же данные в виде графика и таблицы, нужно создать 2 разных чарта с одинаковым датасетом и вставить их в отчёт.

Всего существует 4 типа чартов:

  1. Таблица
  2. Столбцы или бары
  3. Круговые диаграммы
  4. Линейный и площадной графики
Окно настроек чарта в интерфейсе FortiAnalyzer
Окно создания чарта. Для каждого вида представлений — свои настройки отображения. На данном скриншоте настраиваются столбцы таблицы

Подробные настройки каждого отображения приведены в руководстве пользователя: Administration Guide | FortiAnalyzer 6.4.3.

3 этап: Отчеты и Шаблоны

Отчёт — готовый к генерации документ с одним или несколькими чартами, текстом, языковыми настройками и временным периодом.

После генерации отчёта получается документ в котором есть шапка, диаграммы, оглавление, таблицы и другая информация.

Сгенерированный отчёт можно отправить на почту администратору или на отдельный сервер для хранения. Параметры задаются в Output Profiles выбранного ADOM. Также можно установить расписание по которому отчёт генерируется автоматически.

Пример отчета FortiAnalyzer со статистикой посещения сайтов и активностью пользователей
Пример отчета активности пользователей

Шаблон отчётов включает в себя только чарты и текст. Остальные настройки недоступны. Шаблон пригодится для создания одинаковых отчётов за разный период — атаки на сеть за текущий день, и сводный отчёт по атакам за месяц.

Чарты и текст изменяются как в шаблоне, так и непосредственно в отчётах.

Описать создание шаблонов словами трудно, поэтому мы записали видео, в котором показываем как выглядят датасеты, чарты и отчеты, и создаем отчет по 3-м шагам с нуля.

Ускорение генерации отчетов с помощью автокэширования hcache

При генерации отчёта select-запрос из датасета должен проанализировать все данные, которые есть в базе. Такой поиск может увеличить генерацию отчёта до нескольких часов.

Поэтому для каждого отчёта можно установить настройку auto-cache. Тогда все данные заранее находятся и помечаются. При следующей генерации отчёта не нужно ничего искать, а только сформировать его из готовых данных.

Но при добавлении новых логов в базу, отчёт окажется неполным. Автокэширование исправляет эту ситуацию. При каждом добавлении логов, в них выполняется select-запрос нужных отчётов и результаты добавляются в кэш.

Такая операция сильно грузит CPU и оперативную память, особенно для сложных отчётов. Поэтому опцию auto-cache стоит включать только для отчётов с периодом один день или несколько часов, и контролировать загрузку вычислительных ресурсов FortiAnalyzer.

Варианты поставки FortiAnalyzer

Всего есть 4 варианта:

  1. Аппаратное решение
  2. Виртуальное решение
  3. IaaS-версия для облаков Azure, AWS и других
  4. SaaS. Облачный сервис FortiAnalyzer Cloud по подписке от Fortinet

IaaS-версия и FortiAnalyzer Cloud не пользуются популярностью на российском рынке. Основные проблемы вызывает обработка персональных данных по 152 ФЗ, большой пинг из-за отсутствия ЦОДов в России и отсутствие русскоязычной техподдержки.

 

Аппаратное решение представлено 8 моделями 200F—3700F. Основные характеристики:

  • объем логов в день в гигабайтах
  • скорость приема логов
  • объем внутренней памяти
  • возможные схемы RAID

Подробный обзор моделей будет ниже.

Версии для виртуальных машин отличаются:

  • максимальным количеством логов в день, которые можно обработать
  • объемом памяти для их хранения

Если вы купите лицензию VM FortiAnalyzer в которой ограничение 3 ТБ для хранения логов, то даже если виртуальной машине выделить 20 ТБ, хранится логи будут только на 3 ТБ. Чтобы увеличить объём хранения придётся покупать дополнительные лицензии.

  BASE GB1 GB5 GB25 GB100 GB500 GB2000
Логи в
день

ГБ
1 +1 +5 +25 +100 +500 +2000
Максимум
логов

ТБ
0,5 +0,5 +3 +10 +24 +48 +100
Список всех лицензий для виртуальных машин

Любая лицензия включает в себя минимальный пакет VM BASE на 500 ГБ хранения. Остальные лицензии расширяют возможность предыдущих и суммируются к базовой.

Например, компания расширила стандартный пакет BASE лицензией GB5. FortiAnalyzer может обработать 1+5 = 6 ГБ логов в день и хранить максимум 0,5+3 = 3,5 ТБ.

Через год количество устройств выросло и компания докупила ещё одну лицензию GB5. Теперь обрабатывается уже 11 ГБ в день и хранить можно 6.5 ТБ.

Виртуальные версии поддерживают следующие гипервизоры:

  • ESX/ESXi 5.0/5.1/5.5/6.0/6.5/6.7
  • Microsoft Hyper-V 2008 R2/2012/2012 R2/2016
  • Citrix XenServer 6.0+ и Open Source Xen 4.1+
  • KVM на Redhat 6.5+ и Ubuntu 17.04

Минимальные требования: два vCPU и 4 Гб оперативной памяти, верхнего ограничения нет.

Сетевые интерфейсы ограничены 1–4 портами.

 

IaaS-версия для облаков устанавливается на:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Google Cloud (GCP)
  • Oracle Cloud Infrastructure (OCI)

Характеристики аналогичны версиям для виртуальных машин. Стоимость работы и условия можно посчитать на специальных страницах AWS Marketplace: Fortinet FortiAnalyzer (BYOL) Centralized Security Logging and Reporting и Azure: FortiAnalyzer Centralized Log Analytics.

Облачный сервис FortiAnalyzer Cloud доступен по подписке 360° или как отдельная лицензия.

Модели

Физических моделей FortiAnalyzer 8 штук.

Самая младшая 200Е не может создавать RAID-массивы и пересылать данные в SOC. Она стоит 4 000 $ + 1 400 за год техподдержки и IOC.

Старшая модель 3700F занимает 4 места в серверном шкафу и готова хранить 216 ТБ логов. Её цена 150 000 $ + 285 000 стоит пакет подписок на год.

Основные технические характеристики моделей приведены в таблице.

  Логи в деньГБ ASRлоги/с CSRлоги/с VDOMsmax Память RAID
200F 100 3 000 4 500 150 4 = 1×4ТБ NO
300F 150 4 500 6 750 180 8 = 2×4ТБ 0/1/
300F 200 6 000 9 000 200 12 = 4×3ТБ 0/1/5/10
800F 300 8 250 12 000 800 16 = 4×4ТБ 0/1/5/10
1000E 600 18 000 27 000 2 000 24 = 8×3ТБ 0/1/5/6/10/50/60
2000E 1 000 30 000 45 000 2 000 36 = 12×3ТБ 0/1/5/6/10/50/60
3000F 3 000 42 000 60 000 4 000 48 = 16×3ТБ 0/1/5/6/10/50/60
3700F 8 300 100 000 150 000 10 000 240 = 60×4ТБ 0/1/5/6/10/50/60
ASR — скорость обработки логов в режиме Analyzer, СSR — скорость обработки логов в режиме Collector

Устройства Fortinet не хранят и не обрабатывают логи — ограниченной внутренней памяти хватает на 1–2 дня. Чтобы информация о событиях в сети не пропадала, нужно покупать версии со встроенным жёстким диском или использовать FortiAnalyzer.

ЛАЙФХАК!

Если планируете расширять сеть, присмотритесь к варианту FortiAnalyzer + FortiGate без жестких дисков.

Решать проблему централизованного хранения и обработки логов всё равно придется в будущем, а версии без жестких дисков стоят дешевле.

Если устройств будет много, то вы получите FortiAnalyzer фактически бесплатно.

 

Мы посчитали, сколько FortiGate надо иметь в сети, чтобы покупка FortiAnalyzer вышла дешевле версий с жёсткими дисками. Во всех расчётах FortiAnalyzer 200E c пакетом техподдержки на 1 год. Он стоит $ 4 800.

Стоимость нескольких FortiGate в сети

  3 4 5 6 7 8
100f
$ 2 800
8 400 11 200 14 000 16 800 19 600 22 400
101f HDD
$ 3 800
11 400 15 200 19 00 12 800 16 600 30 400
Разница 3 000 4 000 5 000 6 000 7 000 8 000
Выгода от FortiAnalyzer 200E -1 800 -800 +200 +1 200 +2 200 +3 200

 

При 4 устройствах в сети FortiAnalyzer достаётся почти бесплатно, по сравнению с версиями с HDD. Если учесть, что в главном офисе стоят устройства мощнее, то выгода начинается с 3–4 устройств. Это один отказоустойчивый кластер и два филиала на FortiGate.

Лицензии и цены

Как и во всех продуктах Fortinet, система лицензирования и ценообразования FortiAnalyzer гибкая и можно покупать устройства и подписку на техподдержку по отдельности или целым набором.

Если FortiAnalyzer разворачивать в сети предприятия, то есть 6 позиций, которые можно купить:

  • Физическое устройство
  • Виртуальная версия
  • Подписка на SOC
  • Подписка на индикаторы компрометации IOC
  • Подписка на техническую поддержку
  • Подписка на сервис быстрой замены устройств Premium RMA

Варианты техподдержки и RMA подробно разобраны в нашей статье:
Лицензия и цены FortiGate.

Все варианты покупки от самого дешёвого к самому дорогому:

  • Пакет bundle с завода. Физическое устройство + SOC + IOC + TП. Минусы: нужно заказывать у Fortinet и ждать 1–2 месяца, пока он будет готов.
  • Физическое/виртуальное устройство + пакет подписок SOC + IOC + TП.
  • Физическое/виртуальное устройство + каждая подписка по отдельности.

Подписка на RMA не входит ни в один пакет и всегда покупается отдельно.

Подписка на FortiAnalyzer Cloud и IaaS-версия для облаков включает в себя техподдержку и большинство сервисов. Их точный набор и стоимость нужно уточнять у менеджеров.

Topics:   Обзор

fortigate-long-1
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше