FortiAnalyzer Loglama ve Raporlama Cihazının Kurulumu

FortiAnalyzer

FortiAnalyzer logları toplayarak data analizi ve raporlama yapan bir üründür.Network trafiği, FTP, e-mail ve web hareketlerini detaylı bir şekilde
tutarak network' ün yanlış ve
kötü kullanımını engellememizi ve network trafiğimiz hakkında ayrıntılı bir raporlama yapmamızı sağlar.

System FortiAnalyzer sistem ayarlarının konfigüre edildiği bölümdür.

Device FortiAnalyzer' a cihaz tanıtımının ve tanıımlı cihazların ayarlarının yapıldığı bölümdür.
Log Loglanan bilgilerin görüntülenmesi, filtrelenmesi, kolay ve esnek biçimde log filtreleme ve logları gerçek zamanlı görebileceğimiz bölümdür.
Content Archive E-mail, FTP, Instant Messages ve web browsing kullanan bütün kullanıcıların verilerinin içeriğinin görüntülendiği
bölümdür.İçeriğin ayrıntıları FortiGate cihazından none,summary ya da full yapılabilir.
Quarantine FortiGate cihazında tespit edilen ve karantinaya alınan dosyaların FortiAnalyzer' da tutmamıza ve görüntülememize yarayan
bölümdür.
Forensic Analysis Ip adressi ve kullanıcılar tanımlanarak ya da bu kullanıcılardan gruplar oluşturarak belirlediğimiz alanlarda raporlama
yapabileceğimiz bölümdür.
Network Summary Network' ünüze gelen saldırılar ve netwok kullanımının ne yönde olduğu konusunda raporlama yapabileceğimiz ve hangi
kullanıcının ve servisin network'ümüzü ne şekilde kullandığını görebildiğimiz bölümdür.
Reports Raporların nasıl görünmesi gerektiği ve raporlarda neyi görüntülemek istediğimizin tanımlandığı bölümdür.
Alert Syslog server ve SNMP kullanarak bizim belirleyeceğimiz seviyelerde UTM cihazımızda oluşabilecek durumların belirtiğimiz kişi ya da
gruplara mail olarakgönderebilme imkanı sunar.Alert bunların konfigürasyonlarının tanımlandığı bölümdür.
Network Analyzer Port üzerinden snifing yapma imkanı tanır.
Vulnerability Scan Seçtiğimiz bir cihaz üzerinde tarama yaparak ne gibi e güvenlik açıkları olduğunu tespit etmemize yarar.

SYSTEM

z Dashboard
z Network
z Admin
z Network Sharing
z Config
z Maintenance

Dashboard

Sistem özellikleri, Lisans bilgisi, Sistem kullanımı, Alert mesajları,Sessionlar ve loglar hakkında bilgilerin görüntülendiği bölümdür.

Network

Bu kısımda cihazımızın portlarına network adresleri ,subnetler atarız ve bu portlara erişim izinleri veririz.

Admin : FortiAnalyzer' a erişim yetkileri verildiği yerdir.RADIUS server ile uyumlu bir şekilde kullanıcılarınızı ve yetkilerini oradan alma ve grup
oluşturma imkanıda vardır.

Network Sharing : FortiAnalyzer dosyaları depolamak ve paylaşmak için size depolama alanı sunar.Bu sayede FortiAnalyzer üzerinde
kullanıcılara dosya paylaşımı imkanı
sunabilirsiniz.
Config : Burada sistem aktiviteleri ile ilgili mesela administrator events, ipsec negotiations gibi meydana gelen olaylar için loglar yaratılır.Bu
kısımda bu loglar için ne kadar alan verilmesi istenirse logların belli bir host' a gönderilmesi ve log seviyelerini ayarlayabiliriz. Log aggregation
sayesinde birden fazla FortiAnalyzer cihazının loglarını tek bir rapor halinde alabiliriz.

Maintenance : Backup&Restore. FortiGuard center sayesinde manual updateler yapabilirsiniz saat ve bölge ayarının doğru olması gerekir, proxy
için server adres ve port yazılmalıdır.

DEVİCE

z Device list
z Blocked Device
z Device Group

FortiAnalyzer' a cihaz ekleme işlemlerinin yapıldığı bölümdür.Diğer fortinet ürünü olmayan ve log tutan ünitlerinizide burada tanıtıp sisteminizdeki
loglar hakkında ayrıntılı raporlama yapabilirsiniz.

LOG

z Log Viewer
z Browser
z Customizing the log view
z Searching the logs
z Device Log Settings

Log Viewer : Real -Time yada eski bir tarihte ki loglarımızı liste halinde bu kısımdan görebiliriz. Burada log listenizde ki sütunlardan filtreleme
yapıp yada search'den arama yaparaz ulaşmak yada görmek istediğniz bilgiye pratik bir şekilde sahip olursunuz.Ayrıca bu bölümde sütün
ekleyerek yada çıkartarak loglarınızı daha ayrıntılı bir şekilde görebilirsiniz.

Browser : Loglar katogorilenmiş ve dosyalanmış bir şekilde karşınıza çıkar. İstediğiniz logu görebilir,silebilir ve başka bir yere
kopyalayabilirsiniz.Import özelliği ile başka bir
bölümde sakladığınız logları raporlama için tekrar cihaza getirebilirsiniz.

Device Log Settings : Bu

alanda log için max. alan ve bu alan dolduğunda ne yapması gerektiği konusunda ayarlar vardır.(üstüne yaz,başka isimle
log oluştur, FTP ye kopyala ve sil v.s).

CONTENT ARCHIVE

z Content archive viewer

z Customizing the content archive view
z Content archive rolling and uploading

Content Archive logda tutulan Metadata'nın içeriğini gösterir.

Örneğin:
HTTP için bu içerik aşağıdaki gibi görünür.
Bu kısımdada sütünlardan filtreleme yapabilirsiniz. Ayrıca Log > Browse altında clog.log dosyaları content archive dosyalarıdır.

QUARANTİNA

Bu bölümde fortiAnalyzer bizim için , FortiGate den karantinaya altına alınması gereken network saldırılarını harddiskine kopyalar.Config
bölümünden karantina için FortiAnalyzer ' ın harddiskinde alan tanımlayabiliriz.

FORENSİC ANALYSİS

z Users and groups

z Searching user data
z Forensic Reports

Bu bölüm sayesinde kişilerin ve grupların bireysel olarak network kullanımını görebiliriz.

z Username
z IP address
z Email address
z IM (instant message).

verilerine göre network'ümüzü lookup' ta tanımladığımız kişi yada gruplar bazında analiz edebiliriz.
Lookup bölümünde kullanıcılar ve gruplar tanımlanır.

Username yada ip adresi girilerek ( ilk önce user bölümünden kişi, e-mail, im, tanımlamalarını yapmamız gerekir.) arama yapılır.Arama sonucunu
aşağıda ki şekilde görürüz ayrıntı için View' e bakabiliriz.

Report bu bölümde arama yapacağımız log hakkında ayrıntılı filtreleme yapar ve raporlar oluşturabiliriz.

- Propertis -

Şirket adı ve raporun tanımı ve görüntüsü hakkında bilgilerin girileceği bölüm.

- Report Criteria -
- Report Scope -

Raporlamak istediğimiz tarih aralığını ve raporlamak istediğimiz datanın içeriği hakkında filtreleme yapacağımız bölümdür. Forensic Analysis
>Reports > Browse bölümünden oluşturduğumuz raporları görebiliriz.

Network Summary

z Top Users
z Device Summary
z Trafic Report
z Security Events

Top Users :
Kullanıcılarınızı ;

z Web Trafic
z Email Trafic
z Ftp Trafic
z IM/P2P Trafic

alanlarında hangi ip ne kadar sürede ,ne kadar network trafiği oluşturmuş gibi bilgileri elde edebiliriz.Bu kısımda da arama ve filtreleme imkanı
vardır.

Device Summary :

Bu bölüm bize grafiksel analiz yapmamızı sağlar.

Protocol Distribution : Servislerin trafik durumunu gösterir.

Web/FTP , Email , Muti-media: Trafik durumunu gösterir.

Örneğin:
Email tarafiğimizin son 1 saatte nasıl kullanıldığını ip bazlı görebiliriz.

Trafic Report : Bu bölüm bize belirleyeceğimiz zaman aralıklarında network trafiğimiz hakkında ayrıntılı rapor oluşturma imkanı
tanır.

Security Events :

z Virus
z Intrusion
z Suspicious
z Administrative

gibi fortigate cihazında meydana gelmiş durumlar hakkında ayrıntılı bilgi ediniceğimiz bölümdür.

REPORTS

z Configuring reports
z Browsing reports

Bu bölümde network kullanımı hakkında bilgi edinip kararlar verebiliriz, saldırıların ve korunmasız bölgelerin tespitini yapabiliriz. Şirketimizdeki internet kullanımını görüp
webimiz ya da networkümüzü ziyaret edenlerin hakkında potansiyel bir bilgimiz olur.

ALERT

Bu bölümde seviyesini tanımladığımız olayların isteğimiz bir e-mail adresine yada tanımladığımız bir syslog server ' a bir durum oluştuğunda
gönderme ayarlarının yapıldığı yerdir.

Seviyeler : Information, Notification, Warning, Error, Critica, Alert, Emergency.

NETWORK ANALYZER

Port üzerinden sniffing yapma imkanı tanır.Real-Time network akışınızı görebilirsiniz.

Trafic Log Settings : Hangi portun izleneceği, ne kadar alanlık log tutulacağı ve istenildiğinde dış bir server' a upload ayrlarının yapılacağı bölümü tanımlar.

VULNERABILITY SCAN

Seçtiğimiz bir cihaz üzerinde tarama yaparak ne gibi güvenlik açıkları olduğunu tespit etmemize yarar.