Administración de Dispositivos y Dominios Administrativos.

[pic 1][pic 2]

[pic 3]

[pic 4]

[pic 5]

ÍNDICE

INTRODUCCIÓN        

CONCEPTOS FORTIANALYZER        

Dominios Administrativos        

Modos de Operación        

Almacenamiento de logs        

Flujos de trabajo        

ADMINISTRACIÓN        

Administración de Dispositivos y Dominios Administrativos        

Sincronización Horaria        

Usuarios de administración        

Análisis de la información en tiempo real        

Actualizaciones de firmware        

Copia de seguridad del sistema        

Gestión de eventos y alertas        

EXPORTACIÓN E IMPORTACIÓN DE LOGS        

VISUALIZACIÓN DE LOGS        

LOGS DE FORTICLIENT        

INFORMES        

DOCUMENTACIÓN        

FAMILIA DE PRODUCTOS        

INTRODUCCIÓN

Este documento tiene como objetivo mostrar las funcionalidades de FortiAnalyzer, la solución para centralización de logs, análisis e informes de Fortinet.

La familia de productos FortiAnalyzer extiende las capacidades de visibilidad, gestión de alarmas y eventos de las plataformas FortiGate, FortiCarrier, FortiAP, FortiWeb, FortiMail, FortiCache, FortiSandbox, FortiManager, FortiDDOS y FortiClient, así como de otros dispositivos de terceros compatibles con Syslog.

Un conjunto de informes fácilmente configurables, permite analizar, reportar y almacenar eventos de seguridad, tráfico de red, contenido web y mensajes para medir el cumplimiento de políticas de una organización.

A continuación se indican algunas de las funcionalidades de FortiAnalyzer:

• Más de 550 informes en distintos idiomas y gráficos configurables ayudan a monitorizar y mantener identificados patrones de ataques, políticas de uso aceptable y a demostrar el cumplimiento de políticas.
• Informes de capacidad y utilización de la red, que permiten gestionar las redes de forma planificada y eficiente.
• Arquitectura escalable que permite al dispositivo funcionar en modo colector o analizador, para optimizar el procesamiento de logs.
• Funcionalidades avanzadas, tales como la correlación de eventos, análisis forense y vulnerabilidades de los activos, proporcionan herramientas esenciales para una defensa en profundidad en redes complejas.
• Agregación segura de datos desde múltiples appliances de seguridad FortiGate y FortiCarrier, que proporciona visibilidad completa de la red.
• Integración completa con FortiManager, como punto centralizado de comando, control, análisis e informes.
• Segmentación de la información generada por los dispositivos en dominios administrativos permitiendo modelos de delegación basados en roles o tipo MSSP.
• Ciclo completo de gestión de la información que abarca los procesos de recolección, normalización, clasificación, correlación y explotación en modo de alertas e informes.
• Hasta 24 TB de capacidad para almacenar logs, así como elegir entre diferentes niveles de RAID (0, 1, 5, 6, 10, 50 y 60), discos en “spare”, e intercambio de discos en caliente, permiten asegurar los datos para cumplir con las necesidades de la organización.
• Soporte IPv6, tanto para la recepción de logs como para el acceso de administración a la plataforma.
• Ejecución de diferentes utilidades de diagnóstico, tales como: ping, traceroute y visor de logs.
• Posibilidad de despliegue de la plataforma en entornos virtuales.
• Servicios de integración web desde terceras aplicaciones con Web Services.
• Múltiples usuarios de administración con diferentes perfiles de gestión administrativa basada en roles.

CONCEPTOS FORTIANALYZER

A continuación se definen los conceptos básicos de FortiAnalyzer, tales como:

• Dominios administrativos
• Modos de operación
• Almacenamiento de logs
• Flujos de trabajo

Dominios Administrativos

Los dominios administrativos (ADOM) permiten al administrador principal (admin) restringir el acceso a otros usuarios de administración de FortiAnalyzer, a una lista concreta de dispositivos. Incluso para dispositivos FortiGate con dominios virtuales (VDOM), es posible restringir el acceso desde un ADOM de FortiAnalyzer, solo a los datos de un VDOM específico.

Modos de Operación

FortiAnalyzer se puede configurar en 3 modos diferentes de operación:

• Analizador: El modo por defecto, que soporta todas las funcionalidades de FortiAnalyzer
• Colector: El modo utilizado para almacenar y reenviar logs a otro dispositivo FortiAnalyzer en modo Analizador. En lugar de escribir los logs en su base de datos, el colector puede retener los logs en su formato original (binario) para su envío. En este modo, la función de informes y otras utilidades, están deshabilitadas.
• Standalone: El modo por defecto, en el que el dispositivo realiza las funciones de analizador y recolector.

El modo Colector se usa para incrementar las prestaciones de FortiAnalyzer en grandes entornos. El colector proporciona un buffer para el analizador, ya que le descarga la tarea de recepción de logs. Debido a que la tarea de recolección de logs de los dispositivos conectados es llevada a cabo por el colector, los ratios y velocidad de recepción de logs por segundo son superiores.

Almacenamiento de logs

FortiAnalyzer almacena los logs e informes en formato SQL. Los logs se insertan en la base de datos SQL para la posterior generación de informes. Es posible configurar una base de datos local SQL o establecer una conexión con una base de datos externa.

...