FortiAnalyzer28 FortiAnalyzer : IOC 탐지 기능 비활성화 FortiAnalyzer Indicator of Compromise (IOC) 기능은 트래픽을 TIDB(Threat Intelligence DB)와 비교하여 compromised host를 탐지 하는 기능이다.TIDB는 FortiGuard로부터 업데이트를 받아야 하며, 이를 위해 IOC 라이선스가 필요하다. IOC 라이선스가 없는 경우 TIDB가 업데이트 되지 않아 정상적인 host를 compromised host로 오탐하여 잘못된 IOC alert을 발생할 수 있다. 이를 방지하기 위해 IOC 스캔을 비활성화 하는 명령어 이다. config system log ioc set notification disable set rescan-status disable.. 2024. 7. 22. FortiAnalyzer Fabric FortiAnalyzer Fabric은 여러대의 FortiAnalzyer를 Fabric으로 구성하는 방식으로, 로그 볼륨이 큰 환경에서 이상적인 구성 방식이다.FortiAnalyzer Fabric은 Supervisor와 Member로 나누어 진다.■ Supervisor • FortiAnalyzer Fabric에서 1대만 존재하며 root device 역할 • 다수의 FortiAnalyzer를 거쳐오는 devices, incidents, events의 내용을 중앙집중 모니터링 • 로그 직접 수신 불가 : FortiGate같은 로그 전송 장치 등록 불가 • HA 불가 ■ Member • Supervisor로 로그 전송 • 오직 Analyzer mode만 Membe.. 2024. 3. 5. Security Fabric Logging Security Fabric을 구성하려면 2대이상의 FortiGate와 로그 저장을 위한 FortiAnalyzer 또는 FortiAnalyzer Cloud 또는 FortiGate Cloud가 필수이다. Root FortiGate에 로그 저장할 FortiAnalyzer등을 설정하면, Security Fabric에 연결된 하위 FortiGate도 로그 저장장치에 대한 설정이 자동으로 동기화 되어 로그를 저장 하게 된다. 이렇게 구성되면 Security Fabric 내의 여러대의 FortiGate를 통과하는 트래픽에 대해 로그는 한번만 생성하게된다. ■ 세션을 처리하는 첫 번째 FortiGate에서 로그 저장 ■ 다른 FortiGate의 MAC 주소에서 패킷을 수신하면 해당 세션을 로깅 안함 ■ 주의 : 업스.. 2024. 3. 5. Log View에서 다운로드 할 경우 최대 로그 수 조정 FortiAnalyzer의 Log View에서 다운로드하며 기본적으로 최대 100,000개의 로그만 다운 받게 된다. CLI 설정을 조정하여 다운 받는 로그 수를 늘리거나 줄일수 있다. default 값은 100,000이며, 100 ~ 5,000,000 까지 설정 가능 하다. 2024. 2. 2. FortiAnalyzer의 시스템 시간을 변경할 경우 Log View에서는 시간은? Log View의 GUI에 표시되는 날짜와 시간은 Raw Log의 'itime' 필드를 표시한다. 이 시간은 FortiAnalyzer에서 Log를 수신한 시간이다. 참고로 itime은 FortiAnalyzer가 수신한 시간이며, dtime은 FortiGate에서 Log가 발생한 시간이다. 현재 FortiAnalyzer의 timezone이 +9:00 인 상태의 로그는 다음과 같다. FortiAnalyzer의 timezone을 +7:00 으로 변경한 경우 변경한 시간으로 다시 조정된다. 2024. 2. 1. 이전 1 2 3 4 5 6 다음
