FortiGate: журналирование, мониторинг и интеграция FortiAnalyzer
Журналирование FortiGate — это запись и анализ журналов трафика, событий и безопасности. Логи можно отправлять на локальный диск, в syslog, FortiCloud или FortiAnalyzer; FortiAnalyzer обеспечивает централизованный сбор, корреляцию и отчётность.
Типы журналов FortiGate
Журналирование FortiGate делится на три основные категории: журналы трафика (данные сессий), журналы событий (системные/административные события) и журналы безопасности (события UTM, такие как антивирус, IPS, веб-фильтрация).
Журналы трафика показывают, какой источник достиг какого назначения по какой политике. Журналы событий включают входы администраторов, состояние HA и системные предупреждения. Журналы безопасности фиксируют заблокированные угрозы и срабатывания профилей UTM.
Чтобы журналирование было эффективным, опция логирования должна быть включена в соответствующих политиках межсетевого экрана; иначе запись для этого трафика не создаётся.
Чтобы понять, какие события UTM журналируются, см. наше руководство по профилям безопасности UTM.
Назначения логов и хранение
Назначения логов могут быть локальным диском устройства, памятью, внешним сервером syslog, FortiCloud и FortiAnalyzer. В продакшене предпочтительно внешнее назначение для централизованного постоянного хранения.
Логи на локальном диске ограничены по объёму, а логи в памяти теряются при перезагрузке. Поэтому организации с требованиями комплаенса и форензики направляют логи в FortiAnalyzer или SIEM.
| Назначение | Свойство |
|---|---|
| Память | Временно, теряется при перезагрузке |
| Локальный диск | Ограниченный объём, одно устройство |
| Syslog | Поток на внешний сервер |
| FortiCloud | Облачное хранение |
| FortiAnalyzer | Централизованный сбор, корреляция, отчётность |
Централизованное журналирование с FortiAnalyzer
FortiAnalyzer — аналитическая платформа, собирающая, коррелирующая и отчётно представляющая логи нескольких FortiGate из одного места; она повышает видимость с помощью панелей FortiView и встроенных отчётов.
FortiAnalyzer даёт централизованный обзор вместо отдельной проверки логов каждого устройства в распределённых средах. Отчёты по угрозам, трафику и комплаенсу можно генерировать автоматически; панели FortiView быстро выявляют наиболее атакуемые источники и приложения.
Благодаря корреляции событий можно выявить схемы атак, незаметные в отдельных логах. Это ускоряет процессы реагирования на инциденты.
Централизованное журналирование критично и для мониторинга событий failover в кластерах HA; см. настройку FortiGate HA.
Мониторинг, оповещения и интеграция SIEM
Мониторинг и оповещения включают генерацию автоматических уведомлений о критических событиях и экспорт логов в корпоративный SIEM для оценки в более широком контексте безопасности.
FortiGate и FortiAnalyzer могут выдавать оповещения при превышении определённых порогов или срабатывании критических сигнатур. Пересылая логи в SIEM через syslog или коннекторы (например, в центральный SOC), вы коррелируете их с другими источниками.
Эта интеграция превращает FortiGate из изолированного устройства в часть корпоративных операций безопасности.
Лучшие практики журналирования и мониторинга
Лучшие практики — журналировать нужные события, задать достаточный срок хранения, использовать централизованное назначение, обеспечить синхронизацию времени и регулярно просматривать отчёты.
- Журналируйте критический трафик и все события безопасности; ограничивайте лишние логи для снижения шума.
- Задайте срок хранения в соответствии с требованиями комплаенса.
- Используйте централизованное назначение (FortiAnalyzer/SIEM).
- Обеспечьте синхронизацию времени через NTP; точные метки времени важны для корреляции.
- Регулярно просматривайте отчёты по угрозам и трафику.
Чтобы сбалансировать влияние журналирования на производительность, см. наше руководство по оптимизации производительности, а для общей архитектуры — наше руководство о том, что такое FortiGate.
Часто задаваемые вопросы
Какие типы журналов создаёт FortiGate?
В основном журналы трафика (данные сессий), журналы событий (системные и административные события) и журналы безопасности (события UTM, такие как антивирус, IPS, веб-фильтрация).
Зачем отправлять логи в FortiAnalyzer?
Локальный диск и память ограничены; FortiAnalyzer обеспечивает централизованный сбор, корреляцию событий и автоматическую отчётность в средах со множеством устройств, усиливая видимость и комплаенс.
Что такое FortiView?
FortiView — аналитический интерфейс, представляющий данные трафика и угроз в визуальных панелях. Он позволяет быстро видеть наиболее атакуемые источники, пользователей и приложения.
Можно ли экспортировать логи FortiGate в SIEM?
Да. Логи можно пересылать в корпоративный SIEM через syslog или коннекторы, что позволяет коррелировать их с другими источниками безопасности для более широкого контекста.
Как задать срок хранения логов?
Срок хранения задаётся требованиями комплаенса вашей отрасли и потребностями форензики. Выделите достаточный объём на централизованном назначении и определите политику архивирования.
Почему важна синхронизация времени?
Без точных меток времени логи разных устройств невозможно надёжно коррелировать. Синхронизация всех часов через NTP критична для корреляции и форензики.
Заключение
Журналирование FortiGate и интеграция FortiAnalyzer делают события безопасности видимыми и обеспечивают быстрое реагирование. При централизованном сборе, надлежащем хранении и интеграции SIEM FortiGate становится сильной частью корпоративных операций безопасности.
Чтобы построить архитектуру централизованного журналирования и мониторинга, обратитесь к команде Sora Yazılım.