FortiGate: التسجيل والمراقبة وتكامل FortiAnalyzer

تسجيل FortiGate هو تدوين وتحليل سجلات المرور والأحداث والأمن. ويمكن إرسال السجلات إلى القرص المحلي أو syslog أو FortiCloud أو FortiAnalyzer؛ ويوفّر FortiAnalyzer جمعًا مركزيًا وربطًا وتقارير.

أنواع سجلات FortiGate

تسجيل FortiGate ينقسم إلى ثلاث فئات رئيسية: سجلات المرور (بيانات الجلسات) وسجلات الأحداث (أحداث النظام/الإدارة) وسجلات الأمن (أحداث UTM مثل مكافحة الفيروسات وIPS وتصفية الويب).

تُظهر سجلات المرور أي مصدر وصل إلى أي وجهة وبأي سياسة. وتشمل سجلات الأحداث تسجيلات دخول المسؤولين وحالة HA وتنبيهات النظام. وتُدوّن سجلات الأمن التهديدات المحجوبة وتفعيل ملفات UTM.

لكي يكون التسجيل فعّالًا يجب تفعيل خيار السجل في سياسات جدار الحماية المعنية؛ وإلا لا يُنتَج تسجيل لتلك الحركة.

لفهم أي أحداث UTM تُسجَّل، راجع دليل ملفات أمان UTM.

وجهات السجلات والاحتفاظ

وجهات السجلات قد تكون القرص المحلي للجهاز أو الذاكرة أو خادم syslog خارجي أو FortiCloud أو FortiAnalyzer. وفي الإنتاج تُفضّل وجهة خارجية للتخزين المركزي الدائم.

لسجلات القرص المحلي سعة محدودة، وتُفقَد سجلات الذاكرة عند إعادة التشغيل. لذلك توجّه المؤسسات ذات متطلبات الامتثال والتحليل الجنائي السجلات إلى FortiAnalyzer أو SIEM.

التسجيل المركزي مع FortiAnalyzer

FortiAnalyzer منصّة تحليلات تجمع سجلات عدة أجهزة FortiGate من مكان واحد وتربطها وتُعدّ تقاريرها؛ وترفع الرؤية بلوحات FortiView والتقارير الجاهزة.

يوفّر FortiAnalyzer رؤية مركزية بدل فحص سجلات كل جهاز على حدة في البيئات الموزّعة. ويمكن توليد تقارير التهديدات والمرور والامتثال تلقائيًا؛ وتُظهر لوحات FortiView بسرعة المصادر والتطبيقات الأكثر استهدافًا.

وبفضل ربط الأحداث يمكن كشف أنماط هجوم غير مرئية في السجلات المنفردة. وهذا يسرّع عمليات الاستجابة للحوادث.

التسجيل المركزي حاسم أيضًا لمراقبة أحداث تجاوز الفشل في عناقيد HA؛ راجع تهيئة FortiGate HA.

المراقبة والتنبيه وتكامل SIEM

المراقبة والتنبيه تتضمّن توليد إشعارات تلقائية عند الأحداث الحرجة وتصدير السجلات إلى SIEM مؤسسي لتقييمها في سياق أمني أوسع.

يمكن لـ FortiGate وFortiAnalyzer إطلاق تنبيهات عند تجاوز عتبات معيّنة أو تفعيل توقيعات حرجة. وبتمرير السجلات إلى SIEM عبر syslog أو الموصّلات (مثل مركز عمليات أمن مركزي) تربطها بمصادر أخرى.

يحوّل هذا التكامل FortiGate من جهاز معزول إلى جزء من عمليات الأمن المؤسسية.

أفضل الممارسات في التسجيل والمراقبة

أفضل الممارسات هي تسجيل الأحداث الصحيحة، وتحديد مدة احتفاظ كافية، واستخدام وجهة مركزية، وضمان مزامنة الوقت، ومراجعة التقارير دوريًا.

• سجّل المرور الحرج وكل أحداث الأمن؛ وقيّد السجلات غير الضرورية لتقليل الضجيج.
• حدّد مدة احتفاظ متوافقة مع متطلبات الامتثال.
• استخدم وجهة مركزية (FortiAnalyzer/SIEM).
• اضمن مزامنة الوقت عبر NTP؛ فالطوابع الزمنية الدقيقة ضرورية للربط.
• راجع تقارير التهديدات والمرور دوريًا.

لموازنة أثر التسجيل على الأداء، راجع دليل تحسين الأداء، وللبنية العامة دليل ما هو FortiGate.

الأسئلة الشائعة

أي أنواع سجلات ينتجها FortiGate؟

بشكل رئيسي سجلات المرور (بيانات الجلسات) وسجلات الأحداث (أحداث النظام والإدارة) وسجلات الأمن (أحداث UTM مثل مكافحة الفيروسات وIPS وتصفية الويب).

لماذا أرسل السجلات إلى FortiAnalyzer؟

القرص المحلي والذاكرة محدودان؛ ويوفّر FortiAnalyzer جمعًا مركزيًا وربط أحداث وتقارير آلية في البيئات متعددة الأجهزة، فيعزّز الرؤية والامتثال.

ما FortiView؟

FortiView واجهة تحليلات تعرض بيانات المرور والتهديدات في لوحات مرئية. وتتيح رؤية المصادر والمستخدمين والتطبيقات الأكثر استهدافًا بسرعة.

هل يمكنني تصدير سجلات FortiGate إلى SIEM؟

نعم. يمكن تمرير السجلات إلى SIEM مؤسسي عبر syslog أو الموصّلات، مما يتيح ربطها بمصادر أمنية أخرى لسياق أوسع.

كيف أحدّد مدة الاحتفاظ بالسجلات؟

تُحدَّد مدة الاحتفاظ بمتطلبات الامتثال في قطاعك واحتياجات التحليل الجنائي. خصّص سعة كافية في وجهة مركزية وعرّف سياسة أرشفة.

لماذا تهمّ مزامنة الوقت؟

دون طوابع زمنية دقيقة لا يمكن ربط سجلات الأجهزة المختلفة بموثوقية. ومزامنة جميع الساعات عبر NTP حاسمة للربط والتحليل الجنائي.

الخلاصة

يجعل تسجيل FortiGate وتكامل FortiAnalyzer أحداث الأمن مرئية ويتيح استجابة سريعة. ومع الجمع المركزي والاحتفاظ السليم وتكامل SIEM يصبح FortiGate جزءًا قويًا من عمليات الأمن المؤسسية.

لبناء بنية التسجيل والمراقبة المركزية لديك، تحدّث إلى فريق Sora Yazılım.