Administración de Dispositivos y Dominios Administrativos.

[pic 1][pic 2]

[pic 3]

[pic 4]

[pic 5]

ÍNDICE

INTRODUCCIÓN        

CONCEPTOS FORTIANALYZER        

Dominios Administrativos        

Modos de Operación        

Almacenamiento de logs        

Flujos de trabajo        

ADMINISTRACIÓN        

Administración de Dispositivos y Dominios Administrativos        

Sincronización Horaria        

Usuarios de administración        

Análisis de la información en tiempo real        

Actualizaciones de firmware        

Copia de seguridad del sistema        

Gestión de eventos y alertas        

EXPORTACIÓN E IMPORTACIÓN DE LOGS        

VISUALIZACIÓN DE LOGS        

LOGS DE FORTICLIENT        

INFORMES        

DOCUMENTACIÓN        

FAMILIA DE PRODUCTOS        

INTRODUCCIÓN

Este documento tiene como objetivo mostrar las funcionalidades de FortiAnalyzer, la solución para centralización de logs, análisis e informes de Fortinet.

La familia de productos FortiAnalyzer extiende las capacidades de visibilidad, gestión de alarmas y eventos de las plataformas FortiGate, FortiCarrier, FortiAP, FortiWeb, FortiMail, FortiCache, FortiSandbox, FortiManager, FortiDDOS y FortiClient, así como de otros dispositivos de terceros compatibles con Syslog.

Un conjunto de informes fácilmente configurables, permite analizar, reportar y almacenar eventos de seguridad, tráfico de red, contenido web y mensajes para medir el cumplimiento de políticas de una organización.

A continuación se indican algunas de las funcionalidades de FortiAnalyzer:

• Más de 550 informes en distintos idiomas y gráficos configurables ayudan a monitorizar y mantener identificados patrones de ataques, políticas de uso aceptable y a demostrar el cumplimiento de políticas.
• Informes de capacidad y utilización de la red, que permiten gestionar las redes de forma planificada y eficiente.
• Arquitectura escalable que permite al dispositivo funcionar en modo colector o analizador, para optimizar el procesamiento de logs.
• Funcionalidades avanzadas, tales como la correlación de eventos, análisis forense y vulnerabilidades de los activos, proporcionan herramientas esenciales para una defensa en profundidad en redes complejas.
• Agregación segura de datos desde múltiples appliances de seguridad FortiGate y FortiCarrier, que proporciona visibilidad completa de la red.
• Integración completa con FortiManager, como punto centralizado de comando, control, análisis e informes.
• Segmentación de la información generada por los dispositivos en dominios administrativos permitiendo modelos de delegación basados en roles o tipo MSSP.
• Ciclo completo de gestión de la información que abarca los procesos de recolección, normalización, clasificación, correlación y explotación en modo de alertas e informes.
• Hasta 24 TB de capacidad para almacenar logs, así como elegir entre diferentes niveles de RAID (0, 1, 5, 6, 10, 50 y 60), discos en “spare”, e intercambio de discos en caliente, permiten asegurar los datos para cumplir con las necesidades de la organización.
• Soporte IPv6, tanto para la recepción de logs como para el acceso de administración a la plataforma.
• Ejecución de diferentes utilidades de diagnóstico, tales como: ping, traceroute y visor de logs.
• Posibilidad de despliegue de la plataforma en entornos virtuales.
• Servicios de integración web desde terceras aplicaciones con Web Services.
• Múltiples usuarios de administración con diferentes perfiles de gestión administrativa basada en roles.

CONCEPTOS FORTIANALYZER

A continuación se definen los conceptos básicos de FortiAnalyzer, tales como:

• Dominios administrativos
• Modos de operación
• Almacenamiento de logs
• Flujos de trabajo

Dominios Administrativos

Los dominios administrativos (ADOM) permiten al administrador principal (admin) restringir el acceso a otros usuarios de administración de FortiAnalyzer, a una lista concreta de dispositivos. Incluso para dispositivos FortiGate con dominios virtuales (VDOM), es posible restringir el acceso desde un ADOM de FortiAnalyzer, solo a los datos de un VDOM específico.

Modos de Operación

FortiAnalyzer se puede configurar en 3 modos diferentes de operación:

• Analizador: El modo por defecto, que soporta todas las funcionalidades de FortiAnalyzer
• Colector: El modo utilizado para almacenar y reenviar logs a otro dispositivo FortiAnalyzer en modo Analizador. En lugar de escribir los logs en su base de datos, el colector puede retener los logs en su formato original (binario) para su envío. En este modo, la función de informes y otras utilidades, están deshabilitadas.
• Standalone: El modo por defecto, en el que el dispositivo realiza las funciones de analizador y recolector.

El modo Colector se usa para incrementar las prestaciones de FortiAnalyzer en grandes entornos. El colector proporciona un buffer para el analizador, ya que le descarga la tarea de recepción de logs. Debido a que la tarea de recolección de logs de los dispositivos conectados es llevada a cabo por el colector, los ratios y velocidad de recepción de logs por segundo son superiores.

Almacenamiento de logs

FortiAnalyzer almacena los logs e informes en formato SQL. Los logs se insertan en la base de datos SQL para la posterior generación de informes. Es posible configurar una base de datos local SQL o establecer una conexión con una base de datos externa.

Flujos de trabajo

En el siguiente gráfico, se muestra el flujo de trabajo de FortiAnalyzer para el almacenamiento de logs, análisis y creación de informes:

[pic 6]

ADMINISTRACIÓN

La gestión de FortiAnalyzer se puede realizar a través de un interfaz gráfico basado en Web (GUI) mediante el protocolo http, como https, que confiere mayor seguridad al existir cifrado en las comunicaciones entre el cliente web y FortiAnalyzer. Los navegadores web soportados son:

• Microsoft Internet Explorer versión 10 y 11
• Mozilla Firefox versión 33
• Google Chrome versión 38

Otros navegadores web podrán funcionar correctamente, pero no están soportados por Fortinet.

La interfaz gráfica de FortiAnalyzer está disponibles en varios idiomas,

Además es posible configurar y gestionar FortiAnalyzer desde un interfaz de línea de comandos (CLI), bien utilizando un cliente Telnet o SSH o a través de la consola Java disponible desde el GUI.

Como medidas de seguridad adicionales es posible limitar las direcciones IP desde las que se conectan los administradores para administrar el dispositivo, así como limitar el tiempo de inactividad para cerrar la conexión.

Administración de Dispositivos y Dominios Administrativos

Desde la consola web de gestión se pueden añadir, editar o eliminar dispositivos o VDOM de FotiGate que estén enviando logs a FortiAnalyzer. Para dispositivos en cluster, es posible agrupar la recpeción de logs de los diferentes nodos de un mismo cluster en un “array” Es posible visualizar en tiempo real los datos de los dispositivos gestionados. También es posible crear, editar o eliminar dominios de administración (ADOM).

Al habilitar los ADOM, es posible añadir dentro de cada ADOM los dispositivos que se deseen para ser gestionados por un mismo administrador, así como añadir VDOM de dispositivos FortiGate, pudiendo incorporar en ADOM diferentes, distintos VDOM de un mismo FortiGate, en caso necesario.

Para cada dispositivo se podrá establecer una cuota máxima de ocupación en disco, así como indicar la acción a realizar en caso de llegar al límite de dicha cuota: parar la escritura de logs o sobrescribir los logs más antiguos.

Además de los logs, FortiAnalyzer puede almacenar los datos recibidos desde FortiGate relativos a archivado DLP, cuarentenas y captura de paquetes IPS. Es posible delimitar para cada dispositivo si se concede permiso para almacenar estos datos adicionales a los logs.

Desde la consola de FortiAnalyzer es posible agrupar dispositivos de modo que se faciliten las labores administrativas a la hora de localizar los diferentes dispositivos.

...