Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento Descriptivo FortiAnalyzer-2015
Documento Descriptivo FortiAnalyzer-2015
Resumen de funcionalidades
ÍNDICE
INTRODUCCIÓN................................................................................................................3
CONCEPTOS FORTIANALYZER.....................................................................................4
Dominios Administrativos................................................................................................4
Modos de Operación.........................................................................................................4
Almacenamiento de logs..................................................................................................5
Flujos de trabajo...............................................................................................................5
ADMINISTRACIÓN...........................................................................................................5
Administración de Dispositivos y Dominios Administrativos.........................................6
Sincronización Horaria.....................................................................................................6
Usuarios de administración..............................................................................................7
Análisis de la información en tiempo real........................................................................8
Actualizaciones de firmware............................................................................................9
Copia de seguridad del sistema........................................................................................9
Gestión de eventos y alertas...........................................................................................10
EXPORTACIÓN E IMPORTACIÓN DE LOGS..............................................................11
VISUALIZACIÓN DE LOGS...........................................................................................11
LOGS DE FORTICLIENT.................................................................................................13
INFORMES........................................................................................................................14
DOCUMENTACIÓN.........................................................................................................17
FAMILIA DE PRODUCTOS............................................................................................17
INTRODUCCIÓN
Este documento tiene como objetivo mostrar las funcionalidades de FortiAnalyzer, la
solución para centralización de logs, análisis e informes de Fortinet.
Dominios administrativos
Modos de operación
Almacenamiento de logs
Flujos de trabajo
Dominios Administrativos
Modos de Operación
Almacenamiento de logs
FortiAnalyzer almacena los logs e informes en formato SQL. Los logs se insertan en la
base de datos SQL para la posterior generación de informes. Es posible configurar una
base de datos local SQL o establecer una conexión con una base de datos externa.
Flujos de trabajo
ADMINISTRACIÓN
La gestión de FortiAnalyzer se puede realizar a través de un interfaz gráfico basado en
Web (GUI) mediante el protocolo http, como https, que confiere mayor seguridad al existir
cifrado en las comunicaciones entre el cliente web y FortiAnalyzer. Los navegadores web
soportados son:
Otros navegadores web podrán funcionar correctamente, pero no están soportados por
Fortinet.
Desde la consola web de gestión se pueden añadir, editar o eliminar dispositivos o VDOM
de FotiGate que estén enviando logs a FortiAnalyzer. Para dispositivos en cluster, es
posible agrupar la recpeción de logs de los diferentes nodos de un mismo cluster en un
“array” Es posible visualizar en tiempo real los datos de los dispositivos gestionados.
También es posible crear, editar o eliminar dominios de administración (ADOM).
Al habilitar los ADOM, es posible añadir dentro de cada ADOM los dispositivos que se
deseen para ser gestionados por un mismo administrador, así como añadir VDOM de
dispositivos FortiGate, pudiendo incorporar en ADOM diferentes, distintos VDOM de un
mismo FortiGate, en caso necesario.
Para cada dispositivo se podrá establecer una cuota máxima de ocupación en disco, así
como indicar la acción a realizar en caso de llegar al límite de dicha cuota: parar la
escritura de logs o sobrescribir los logs más antiguos.
Además de los logs, FortiAnalyzer puede almacenar los datos recibidos desde FortiGate
relativos a archivado DLP, cuarentenas y captura de paquetes IPS. Es posible delimitar
para cada dispositivo si se concede permiso para almacenar estos datos adicionales a los
logs.
Sincronización Horaria
Usuarios de administración
Desde la consola web de administración es posible monitorizar los diferentes usuarios de
administración que se encuentren conectados en cada momento a FortiAnalyzer, siendo
posible desconectar a dichos usuarios en caso necesario. Se muestra tanto la dirección IP
del usuario de administración, como el tipo de acceso (GUI, CLI, consola Java), como la
fecha y hora de la conexión.
Fortiview permite realizar un análisis en tiempo real e histórico del trafico generado en el
entorno. La información es presentada al usuario consolidada permitiendo centrar la
actividad en las tareas mas criticas. Algunas de las vistas disponibles son Top Amenazas,
Top Origenes, Top Aplicaciones... entre otras.
Logview permite determinar lo que está sucediendo en la red, así como informar de la
actividad de la red, como la detección de virus o errores en las conexiones VPN IPSec.
Logview es una herramienta critica a la hora de recuperar la información de la actividad en
un entorno.
Al mismo tiempo, se pueden definir diferentes vistas personalizadas para cada dispositivo
monitorizado, de modo que se muestre información especifica en cada situación y en
tiempo real.
Actualizaciones de firmware
De esta forma, mediante la gestión de eventos son desencadenadas las alertas que permiten
monitorizar y recibir notificaciones de una actividad específica en la red. Se pueden
configurar alertas por nivel de severidad estableciendo un límite por encima del cual se
enviará el evento de alerta a una dirección de correo electrónico, servidor SNMP o servidor
de Syslog. Así mismo se puede buscar un texto genérico en los logs de modo que el
sistema envíe una alerta cuando una nueva entrada en el log contenga la cadena de texto
especificada.
VISUALIZACIÓN DE LOGS
Los logs y los informes pueden ayudar a determinar que ocurre en la red, así como
informar de ciertas actividades tales como la detección de un virus o errores en un túnel
IPSec.
FortiAnalyzer recolecta los logs de los dispositivos que gestiona y los muestra separados
en los de tráfico, eventos y seguridad UTM.
Los logs de tráfico almacenan el tráfico que está fluyendo a través de los dispositivos
monitorizados. Debido a que el tráfico necesita una regla de seguridad en el firewall para
pasar a través de este, este tipo de log se refiere también a los logs de las reglas de
seguridad. Las reglas de seguridad controlan todo el tráfico que intenta pasar a través de un
firewall, entre sus interfaces, zonas y subinterfaces VLAN.
Los logs de seguridad UTM, registran antivirus, filtrado web, control de aplicaciones,
detección de intrusión, filtrado de correo, prevención de fuga de información (DLP), y
actividad VoIP de los dispositivos gestionados.
Desde la consola web, se pueden visualizar los logs en tiempo real o logs históricos. Se
dispone de una herramienta de búsqueda y filtrado de logs para ayudar a la localización de
eventos concretos, así como la configuración de las columnas a visualizar. Siendo posible
además, descargar los logs que se estén visualizando en un momento determinado,
extrayendo los mismos en fichero de texto o separado por comas (.csv).
Los eventos de logs están almacenados en diferentes ficheros, siendo posible acceder al
listado de dichos ficheros para eliminar, mostrar, importar o descargar los mismos de
forma individual:
LOGS DE FORTICLIENT
FortiClient es el software para puesto de trabajo que incopora antivirus, control de
aplicaciones, filtrado web, cliente de conexión VPN y escáner de vulnerabilidades para
entornos Windows, Mac, Android e IOS.
FortiAnalyzer puede recibir lod logs enviados por los clientes FortiClient a través del
puerto TCP 514. Al mismo tiempo es posible descargar los ficheros de log almacenados
desde los clientes FortiClient en FortiAnalyzer desde la consola web:
INFORMES
FortiAnalyzer puede analizar la información recogida desde los ficheros de log de los
dispositivos conectados. Entonces la presenta en informes tabulares o gráficos. Estos
informes proporcionan un análisis rápido y detallado de la actividad de la red.
La edición del informe permite la utilización de “drag & drop” para recolocar las diferentes
partes del informe en caso necesario.
Cada vez que se ejecuta un informe, este queda almacenado en el disco de FortiAnalyzer,
por lo que es posible descargarlo posteriormente o eliminarlo en caso necesario:
La programación de informes se configura muy fácilmente gracias a la opción del
calendario de informes, que muestra en que momento se van a ejecutar cada uno de los
informes que se hayan programado anteriormente:
FAMILIA DE PRODUCTOS
FortiAnalyzer se encuentra disponible tanto en formato físico (appliance) como en formato
máquina virtual para VMWare ESX, HyperV, Citrix, Xen, KVM, AWS, etc.
En formato físico existen diferentes modelos que se diferencian por la capacidad en disco,
tamaño de logs por día, número de interfaces, etc. En la siguiente tabla comparativa, se
muestran todos los modelos y sus características técnicas:
En formato máquina virtual (VM) existe una licencia base con una capacidad de
almacenamiento máxima de 200 GB, la cual se puede ampliar con una o varias licencias
adicionales para aumentar el tamaño máximo de logs y el límite diario en GB.