FortiAnalyzer Cihazının Kurulumu

FortiAnalyzer


FortiAnalyzer logları toplayarak data analizi ve raporlama yapan bir üründür.Network trafiği, FTP, e-mail ve web hareketlerini detaylı bir şekilde tutarak network’ ün yanlış ve
kötü kullanımını engellememizi ve network trafiğimiz hakkında ayrıntılı bir raporlama yapmamızı  sağlar.

System FortiAnalyzer sistem ayarlarının konfigüre edildiği bölümdür.
Device FortiAnalyzer’ a cihaz tanıtımının ve tanıımlı cihazların ayarlarının yapıldığı bölümdür.
Log Loglanan bilgilerin görüntülenmesi, filtrelenmesi, kolay ve esnek biçimde log filtreleme ve logları gerçek zamanlı görebileceğimiz bölümdür.
Content Archive E-mail, FTP, Instant Messages ve web browsing kullanan bütün kullanıcıların verilerinin içeriğinin görüntülendiği bölümdür.İçeriğin ayrıntıları FortiGate cihazından none,summary ya da full yapılabilir.
Quarantine FortiGate cihazında tespit edilen ve karantinaya alınan dosyaların FortiAnalyzer’ da tutmamıza ve görüntülememize yarayan bölümdür.
Forensic Analysis Ip adressi ve kullanıcılar tanımlanarak ya da bu kullanıcılardan gruplar oluşturarak belirlediğimiz alanlarda raporlama yapabileceğimiz bölümdür.
Network Summary Network’ ünüze  gelen saldırılar ve netwok kullanımının ne yönde olduğu konusunda raporlama yapabileceğimiz ve hangi kullanıcının ve servisin network’ümüzü ne şekilde kullandığını görebildiğimiz bölümdür.
Reports Raporların nasıl görünmesi gerektiği ve raporlarda neyi görüntülemek istediğimizin tanımlandığı bölümdür.
Alert Syslog server ve SNMP kullanarak bizim belirleyeceğimiz seviyelerde UTM cihazımızda oluşabilecek durumların belirtiğimiz kişi ya da gruplara mail olarakgönderebilme imkanı sunar.Alert bunların konfigürasyonlarının tanımlandığı bölümdür.
Network Analyzer Port üzerinden snifing yapma imkanı tanır.
Vulnerability Scan Seçtiğimiz bir cihaz üzerinde tarama yaparak ne gibi e güvenlik açıkları olduğunu  tespit etmemize yarar.

SYSTEM

  • Dashboard
  • Network
  • Admin
  • Network Sharing
  • Config
  • Maintenance

   Dashboard

 

Sistem özellikleri, Lisans bilgisi, Sistem kullanımı, Alert mesajları,Sessionlar ve loglar hakkında bilgilerin görüntülendiği bölümdür.

Network

 

Bu kısımda cihazımızın portlarına network adresleri ,subnetler atarız ve bu portlara erişim izinleri veririz.

Admin : FortiAnalyzer’ a erişim yetkileri verildiği yerdir.RADIUS server ile uyumlu bir şekilde kullanıcılarınızı ve yetkilerini oradan alma ve grup oluşturma imkanıda vardır.

Network Sharing : FortiAnalyzer dosyaları depolamak ve paylaşmak için size depolama alanı sunar.Bu sayede FortiAnalyzer üzerinde kullanıcılara dosya paylaşımı imkanı
sunabilirsiniz.

Config : Burada sistem aktiviteleri ile ilgili mesela administrator events, ipsec negotiations gibi meydana gelen olaylar için loglar yaratılır.Bu kısımda bu loglar için ne kadar alan verilmesi istenirse logların belli bir host’ a gönderilmesi ve log seviyelerini ayarlayabiliriz. Log aggregation sayesinde birden fazla FortiAnalyzer cihazının loglarını tek bir rapor halinde alabiliriz.

Maintenance : Backup&Restore. FortiGuard center sayesinde manual updateler yapabilirsiniz saat ve bölge ayarının doğru olması gerekir, proxy için server adres ve port yazılmalıdır.

 DEVİCE

  • Device list
  • Blocked Device
  • Device Group

 

 


FortiAnalyzer’ a cihaz ekleme işlemlerinin yapıldığı bölümdür.Diğer fortinet ürünü olmayan ve log tutan ünitlerinizide burada tanıtıp sisteminizdeki loglar hakkında ayrıntılı raporlama yapabilirsiniz.

LOG

  • Log Viewer
  • Browser
  • Customizing the log view
  • Searching the logs
  • Device Log Settings

Log Viewer : Real -Time yada eski bir tarihte ki loglarımızı liste halinde bu kısımdan görebiliriz. Burada log listenizde ki sütunlardan filtreleme yapıp yada search’den arama yaparaz ulaşmak yada görmek istediğniz bilgiye pratik bir şekilde sahip olursunuz.Ayrıca bu bölümde sütün ekleyerek yada çıkartarak loglarınızı daha ayrıntılı bir şekilde görebilirsiniz.

 

Browser : Loglar katogorilenmiş ve dosyalanmış bir şekilde karşınıza çıkar. İstediğiniz logu görebilir,silebilir ve başka bir yere kopyalayabilirsiniz.Import özelliği ile başka bir
bölümde sakladığınız logları raporlama için tekrar cihaza getirebilirsiniz.

Device Log Settings : Bu alanda log için max. alan ve bu alan dolduğunda ne yapması gerektiği konusunda ayarlar vardır.(üstüne yaz,başka isimle log oluştur, FTP ye kopyala ve sil  v.s).

CONTENT ARCHIVE

  • Content archive viewer
  • Customizing the content archive view
  • Content archive rolling and uploading

Content Archive logda tutulan Metadata’nın  içeriğini gösterir.
Örneğin:
HTTP için bu içerik aşağıdaki gibi görünür.

 

Bu kısımdada sütünlardan filtreleme yapabilirsiniz. Ayrıca Log > Browse altında clog.log dosyaları content archive dosyalarıdır.

QUARANTİNA

Bu bölümde fortiAnalyzer bizim için , FortiGate den karantinaya altına alınması gereken  network saldırılarını harddiskine kopyalar.Config bölümünden  karantina için FortiAnalyzer ’ ın harddiskinde alan tanımlayabiliriz.

FORENSİC ANALYSİS

  • Users and groups
  • Searching user data
  • Forensic Reports

 Bu bölüm sayesinde kişilerin ve grupların bireysel olarak network kullanımını görebiliriz.

  • Username
  • IP address
  • Email address
  • IM (instant message).

verilerine göre network’ümüzü lookup’ ta tanımladığımız kişi yada gruplar bazında analiz edebiliriz.
Lookup bölümünde kullanıcılar ve gruplar tanımlanır.

 

Username yada ip adresi girilerek ( ilk önce user bölümünden kişi, e-mail, im, tanımlamalarını yapmamız gerekir.) arama yapılır.Arama sonucunu aşağıda ki şekilde görürüz ayrıntı için View’ e bakabiliriz.

 

 Report bu bölümde arama yapacağımız log hakkında ayrıntılı filtreleme yapar ve raporlar oluşturabiliriz.

- Propertis -

 

Şirket adı ve raporun tanımı ve görüntüsü hakkında bilgilerin girileceği bölüm.

- Report Criteria -

 

- Report Scope -

 

 

Raporlamak istediğimiz tarih aralığını ve raporlamak istediğimiz datanın içeriği hakkında filtreleme yapacağımız bölümdür. Forensic Analysis >Reports > Browse  bölümünden oluşturduğumuz raporları görebiliriz.

Network Summary

  • Top Users
  • Device Summary
  • Trafic Report
  • Security Events

Top Users : 

 


Kullanıcılarınızı ;

  • Web Trafic
  • Email Trafic
  • Ftp Trafic
  • IM/P2P Trafic

alanlarında hangi ip ne kadar sürede ,ne kadar network trafiği oluşturmuş gibi bilgileri elde edebiliriz.Bu kısımda da arama ve filtreleme imkanı vardır.

Device Summary :

 Bu bölüm bize grafiksel analiz yapmamızı sağlar.

 Protocol Distribution : Servislerin trafik durumunu gösterir.

 

Web/FTP , Email , Muti-media: Trafik durumunu gösterir.
Örneğin:

 

 

Email tarafiğimizin son 1 saatte nasıl kullanıldığını ip bazlı görebiliriz.

Trafic Report : Bu bölüm bize  belirleyeceğimiz zaman aralıklarında network trafiğimiz hakkında ayrıntılı rapor oluşturma imkanı tanır.

Security Events : 

  • Virus
  • Intrusion
  • Suspicious
  • Administrative

gibi fortigate cihazında meydana gelmiş durumlar hakkında ayrıntılı bilgi ediniceğimiz bölümdür.

REPORTS

  • Configuring reports
  • Browsing reports

Bu bölümde network kullanımı hakkında bilgi edinip kararlar verebiliriz, saldırıların ve korunmasız bölgelerin tespitini yapabiliriz. Şirketimizdeki internet kullanımını görüp webimiz ya da networkümüzü ziyaret edenlerin hakkında potansiyel bir bilgimiz olur.

ALERT

Bu bölümde seviyesini  tanımladığımız olayların isteğimiz bir e-mail adresine yada tanımladığımız bir syslog server ’ a  bir durum oluştuğunda gönderme ayarlarının yapıldığı yerdir.

Seviyeler :  Information, Notification, Warning, Error, Critica, Alert, Emergency.

NETWORK ANALYZER

Port üzerinden sniffing yapma imkanı tanır.Real-Time network akışınızı görebilirsiniz.

 

Trafic Log Settings : Hangi portun izleneceği, ne kadar alanlık log tutulacağı ve  istenildiğinde dış bir server’ a upload ayrlarının yapılacağı bölümü tanımlar.

 

VULNERABILITY SCAN 

Seçtiğimiz bir cihaz üzerinde tarama yaparak ne gibi güvenlik açıkları olduğunu  tespit etmemize yarar.

Mustafa Akyel