Hərkəsə Salam!

Bu yazımda sizlərə dünən işdə Şəbəkə trafikinin izlənməsi, Fortigate log və dataların bir yerə
toplayaraq grafiki şəkildə izləyib analiz etmək və reportlar çıxartmaq üçün Fortinet firmasının SOC və NOC komandalar üçün möhtəşəm bir həlli olan FortiAnalyzer Virtual Machine üzərində quraşdırıb
Şirkətin Firewall-u Fortigate-i ilə sinxronlaşdıraraq 1 aylıq Trial versiyanı yoxladım və çox bəyənərək xüsusi qeydlərimi sizinlə də paylaşmaq istədim.

FortiAnalyzer nədir?

FortiAnalyzer Fortigate kimi həllər ilə Syslog uyumlu şəbəkə cihazlarından logları bir yerə yiğmaq və analizlər etmək üçün reportlar verə bilən Fortinet firmasının monitoring cihazlarından biridir. FortiAnalyzer ilə biz şirkətin şəbəkə trafikini anlıq olaraq izləyə bilərik kim nə zaman hansı sayta daxil oldu, hansı sessiyanı başlatdı, nə zaman nə qədər hansı proqramı işlətdi, virus və atakalar oldumu və ya fortigate bunların qarşısını aldımı, VPN tunnel qoşulmalar, errorlar, eventlər, alertlər və s kimi funksiyaları ilə az da olsa şəbəkimizi qoruyub, gücləndirə bilərik.

FortiAnalyzer 3 versiyada işlədə bilərik:

1. FortiAnalyzer Phsical Hardware olaraq — yəni fiziki ağ qutuda olan cihaz

FortiAnalyzer 200D

2. Cloud FortiAnalyzer — Azure və ya AWS kimi Cloud provayderlər üzərində fiziki cihazı almadan və ya VM quraşdırmadan sadəcə Networking edərək müəyyən məbləğ qarşılığında işlədə bilərsiniz.

3. Hər hansı bir Hypervisor üzərində Virtual Machine kimi quraşdırıb işlədə bilərik — Məsələn Vmware Workstation Pro və ya ESXi üzərində offical OVA faylını yükəyib deploy edərək.

Mən sizə 3 versiya olan VM üzərində necə quraşdırıb işlədə bilərik, Fortigate ilə necə sinxronlaşdırıb loglara, event və alertlərə, həmçinin FortiView reportlarına baxa bilərik onu göstərəcəm.

Normal fiziki cihaz aldıqda onun defoltda port1-də 192.168.1.1/24 ip adresi ilə gəlir, biz də kompüterimizin Ethernet dapterinə eyni subnetdən ip verib məsələn 192.168.1.2 və lan kabelin bir ucunu kompüterə digərini isə FortiAnalyzerin port1-nə keçirdib vebden 192.168.1.1 ip adresini yazaraq Management veb interfeysə daxil olub idarə edə bilərik. Yeni aldıqda usernam admin parol yoxdur, özümüz yenisini təyin edirik. Daxil olduqdan sonra Network bölməsindən Port1 intefeysini şirkətin əsas management və ya IT vlanı kimi olan əsas şəbəkənin subnetində ip adresi veririk, şəbəkinin var olan default gateway-ni göstəririk. Daha sonra port1 interfeysdəki kabeli uyğun switch və vlana salaraq şəbəkəyə daxil edirik.

System Settings/Network/Edit Port1

System Settings/Network/DNS

Default route yazaraq Şəbəkə Gateway-i göstərərək cihazın özünü də internetə çıxardırıq.

System Settings/Network/Routing Table/Create

Bu konfiqurasiyaları etdikdən sonra Device Manager bölməsindən Fortigate cihazın seriya nömrəsini və digər credentialları əlavə edirik və sonda Fortigate də fortianalyzeri tanıtdıqdan sonra hazırdır.

Worksation Pro üzərində FortiAnalyzer VM quraşdırmaq

1. İlk işimiz Forticloud rəsmi saytdan offical FortiAnalyzerin VmWare üçün OVA faylını yükləyirik. Burada qeydiyyatdan keçib portala daxil oluruq.

www.forticloud.com

Support/VM images

Product olaraq FortiAnalyzer və Hypervisor olaraq da ESXi seçirik. Buradan həmçinin Fortigate və digər forti məhsullarını da yükləyə bilərik

2. Daha sonra yüklədiyimiz OVA faylı RAR-dan çıxardırıq bir papkaya və həmin o OVA faylını Workstation Pro proqramdan Open deyərək onu İmport edirik

Lizsenziyanı qəbul edərək davam edirik

Virtual Machine-a ad veririk və onun yerləşəcəyi Path yəni yolu seçirik

Edit/VM Network– Bridge etməliyik ki eyni subnetdən ip alsın DHCP serverdən, amma biz statik olaraq verəcəyik İP adresini.

Minumum 8gb Ram tələb edir

3. VM deploy etdikdən sonra Power on deyib yüklənməsini gözləyirik, hazır olduqdan sonra daxil olaraq ilkin konfiqurasiyaları edirik

default username admin parol boş qoyub yenisini yaradırıq

Port1 bridge etmişdik, həmin interfeysə girib eyni subnetdən ip adresi veririk və http access veririk ki vebdən daxil ola bilək.

Hardware olaraq aldıqda bunlar hazır gəlirdi, amma VM olaraq biz bunları bir bir etməliyik.

Daha sonra FortiAnalyzer VM internetə çıxması ona gateway göstəririk. Trial və ya Lisenziyanı aktiv etmək üçün cihaza default route və DNS veririk

4. CLI ekran üzərində konfiqurasiyalar bitdikdən sonra google və uyğun hostlara ping ataraq test edirik, hərşey qaydasındadırsa vebdən daxil oluruq

5. Forti cloud account credentiallarımızı yazıb trial lisenziyanı aktiv edirik

Müqaviləni qəbul edib hazır olmasını gözləyirik

sonda Forticloud hesabımızdan FortiAnalyzerin aktivliyini check edirik

6. Hərşey hazırdır, FortiAnalyzer local username və parolumuzu yazıb idarə etməyə başlayırıq

ilkin konfiqurasiyaları edirik, hostname və ya admin parol dəyişikliyi

7. Ana Ekranda Device Manager bölməsindən Fortigate-mizi əlavə edirik

Fortigate Seriya nömrəsini yazırıq, Next deyirik, Credentialları yazırıq. Successfull oldu hazırdır.

Əlavə etdikdən sonra Device yaşıl olmalıdır, bunun üçün məlumatları düzgün yazırıq və Fortigate cihaza daxil olub FortiAnalyzeri tanıdırıq

8. Fortigate cihaza FortiAnalyzeri tanıtmaq

Fortigate

Log and reports / log settings/send to log forti analyzer — Enable edirik

Fortigate uğurla əlavə etdik, hətta test etdik, indi isə Forti Analyzer Dashboard-a daxil olub Fortigate cihazın yaşıl olmasına baxırıq

9. Hərşey hazırdır, indi isə Dashboardan fortianalyzerin bölmələrini surf edə bilərik

Fortiview

10. Sonda etdiyimiz dəyişikliklərin konfiqurasiya backup almağı unutmuruq Fortigate və FortiAnalyzerdə.

FortiAnalyzer Config Backup alınması

Dashboard/System Settings/System İnformation/Export Backup icon klik edirik və encryption olaraq parol qoyub yükləyirik.

Fortigate necə quraşdırılır izlə https://youtu.be/2cwiXcejPcM