FortiAnalyzer kurmak, yalnız sanal makineyi açıp birkaç log hedefi tanımlamak değildir. Sağlıklı model; yönetim erişimini güvenli hale getirmek, doğru operation mode seçmek, cihazları doğru ADOM yapısına almak, log retention politikasını planlamak ve rapor katmanını en baştan düşünmekten oluşur. Kısa cevap şudur: FortiAnalyzer kurulumu, initial setup, cihaz yetkilendirme, ADOM tasarımı, log saklama stratejisi ve raporlama düzeni birlikte ele alındığında sürdürülebilir hale gelir.
Bu rehber özellikle şu ekipler içindir:
- FortiGate ve Fortinet altyapısını yöneten ağ ekipleri
- merkezi log ve raporlama katmanı kurmak isteyen güvenlik ekipleri
- MSP veya çoklu müşteri ortamında ADOM tasarımı yapan yöneticiler
- FortiAnalyzer'ı ilk kez devreye alacak BT operasyon ekipleri
Hızlı Özet
- Fortinet
Initial setupdokümanı, FortiAnalyzer devreye alma akışınıGUI bağlantısı, RAID, network ayarları, opsiyonel ADOM, admin hesapları, cihaz ekleme ve operation mode seçimi olarak sıralar. Setting up FortiAnalyzeriçeriğinde güvenlik tarafındatrusted hostile GUI erişimini kısıtlama,UEFI secure boot,trusted platform modulevereal-time file system integrity checkinggibi başlıklar açıkça listelenir.- FortiAnalyzer
7.6.6dokümanına göre Fabric authorization ile FortiGate ekleme akışı için hem FortiAnalyzer hem FortiGate tarafında en az7.0.1sürümü gerekir. Authorizing devicessayfasına göre yetkisiz cihazlar root ADOM içindekiUnauthorized Devicesalanından authorize edilir ve ADOM etkinse doğru ADOM'a atanmalıdır.- Fortinet best-practice dokümanı, yüksek log hacimli cihazlarla düşük hacimli cihazların ayrı ADOM'lara alınmasının quota enforcement etkisini daha iyi yönettiğini söyler.
- Log management rehberi, logların iş gereksinimini karşılayacak kadar tutulmasını ve daha eski logların performans için arşivlenmesini önerir.
İçindekiler
- FortiAnalyzer Kurulumu Neyi Kapsar?
- Initial Setup Sırası Nasıl Olmalıdır?
- Cihaz Yetkilendirme ve ADOM Tasarımı Nasıl Yapılır?
- Log Retention ve Raporlama Katmanı Nasıl Kurgulanır?
- En Sık Yapılan Hatalar Nelerdir?
- İlgili İçerikler
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - SPNN file server rack.
FortiAnalyzer Kurulumu Neyi Kapsar?
FortiAnalyzer kurulumu, ürün ekranına ilk kez erişmekten ibaret değildir. Fortinet'in kendi dokümanları, kurulumun ağ, disk, admin hesabı, cihaz onboarding, log yapısı ve raporlama katmanını birlikte içerdiğini açıkça gösterir.
Pratikte doğru kurulum modeli şu sorulara cevap vermelidir:
- yönetim arayüzüne kimler erişecek
- cihazlar hangi yöntemle authorize edilecek
ADOMyapısı tenant veya cihaz hacmine göre nasıl ayrılacak- loglar ne kadar süre tutulacak
- raporlar hazır şablonlarla mı, özel şablonlarla mı üretilecek
Bu yüzden FortiAnalyzer en doğru şekilde Donanım & Yazılım Hizmetleri altında değerlendirilir; merkezi görünürlük ve korelasyon tarafında ise SIEM ve Güvenlik Olay Yönetimi Entegrasyonu doğrudan ilgili alt hizmettir.
Initial Setup Sırası Nasıl Olmalıdır?
Fortinet'e göre temel kurulum akışı nedir?
Fortinet Initial setup dokümanına göre FortiAnalyzer ayağa kaldırma sırası şu başlıklardan oluşur:
GUIbağlantısı- cihaz destekliyorsa
RAIDyapılandırması - network interface ayarları
- opsiyonel
ADOMyapılandırması - administrator hesapları
- cihaz ekleme
- operation mode seçimi
Buradaki kritik nokta şudur: admin hesapları tanımlandıktan sonra yeni hesapla yeniden giriş yapılmalıdır ve asıl log toplama bundan sonra başlar.
Güvenlik tarafında ilk ne yapılmalıdır?
Setting up FortiAnalyzer dokümanı, güvenlik başlıkları altında özellikle şu bileşenleri listeler:
trusted hostile GUI erişimini kısıtlamatrusted platform moduleself-encrypting drivesUEFI secure bootreal-time file system integrity checking
Bu da FortiAnalyzer kurulumunda güvenliği sonradan eklenen katman değil, ilk gün tasarım parçası haline getirir.
Cihaz Yetkilendirme ve ADOM Tasarımı Nasıl Yapılır?
Fabric authorization ne zaman tercih edilir?
Fortinet Adding a FortiGate using Security Fabric authorization dokümanına göre bu akış hem FortiAnalyzer hem FortiGate tarafında 7.0.1 veya üzeri sürümlerde kullanılabilir. Özet akış şöyledir:
- FortiAnalyzer üzerinde
Fabric Authorization address and porttanımlanır - FortiGate üzerinde
Security Fabric > Fabric Connectors > Logging & Analyticsalanında FortiAnalyzer bilgisi girilir - bağlantı önce
Unauthorizedgörünür - FortiGate tarafında
Authorizeakışı başlatılır - FortiAnalyzer kimlik bilgileriyle onay verilir
- cihaz FortiAnalyzer
Device Manageriçinde yetkili cihaz olarak görünür
Bu yöntem, çok sayıda FortiGate onboarding sürecini hızlandırabilir.
Yetkisiz cihazlar nasıl authorize edilir?
Fortinet Authorizing devices sayfasına göre yetkisiz cihazlar root ADOM altında Device Manager > Unauthorized Devices alanında görüntülenir. Burada önemli noktalar şunlardır:
Display Hidden Devicesgerekirse açılabilir- authorize sırasında cihaz doğru
ADOMiçine atanmalıdır - firmware ile seçilen ADOM versiyonu uyuşmazsa
Version Mismatch Warninggörülebilir
Bu uyarıyı görmezden gelerek cihaz authorize edilebilir; ancak Fortinet açıkça bunun selected ADOM içinde tam syntax desteği üretmeyebileceğini söyler.
ADOM tasarımı nasıl yapılmalıdır?
Fortinet best-practice ADOM Design dokümanına göre yüksek log hacimli cihazlarla düşük hacimli cihazları ayrı ADOM'lara almak, quota enforcement etkisinin düşük hacimli cihazları olumsuz etkilemesini önlemeye yardımcı olur.
Aynı doküman ayrıca şu uyarıyı yapar:
- gereğinden fazla ADOM, configuration dosya boyutunu büyütür
- bu da backup ve restore süresini artırır
Bu yüzden ADOM tasarımı şu mantıkla kurulmalıdır:
- tenant ayrımı
- log hacmi ayrımı
- operasyonel sorumluluk ayrımı
- gerçekten ihtiyaç kadar ADOM
Log Retention ve Raporlama Katmanı Nasıl Kurgulanır?
Log retention neden baştan planlanmalıdır?
Fortinet Log Management best-practice içeriği, iş gereksinimini karşılayacak kadar log tutulmasını ve daha eski logların performans için arşivlenmesini önerir. Bu, iki pratik sonuca götürür:
- retention süresi gelişigüzel bırakılmamalıdır
- arşiv ve analiz katmanı birbirine karıştırılmamalıdır
Merkezi log görünürlüğü gerektiğinde bu konu, SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ile birlikte ele alınmalıdır.
Raporlama nasıl hızlı başlatılır?
Fortinet List of report templates ve Creating reports from report templates dokümanlarına göre FortiAnalyzer içinde hazır rapor şablonları bulunur ve yeni raporlar Reports > Report Definitions > All Reports altında Create New ile From Template seçilerek üretilebilir.
Bu yapı iki avantaj sağlar:
- sıfırdan layout yazmadan hızlı başlangıç
- standart raporları kuruma göre özelleştirme
Fortinet ayrıca report template'lerin veri içermediğini, verinin rapor üretildiğinde eklendiğini açıkça belirtir. Bu da şunu gösterir:
- template tasarımı ayrı konudur
- doğru veri akışı ve retention olmadan iyi rapor çıkmaz
En Sık Yapılan Hatalar Nelerdir?
ADOM sayısını gereksiz büyütmek
İhtiyaçtan fazla ADOM, konfigürasyon ve restore süresini gereksiz büyütür.
Version mismatch uyarılarını dikkatsiz geçmek
Yanlış ADOM versiyonu içinde authorize edilen cihazlarda tam syntax desteği bozulabilir.
Trusted host kısıtını atlamak
Yönetim arayüzü erişimi daraltılmazsa FortiAnalyzer gereksiz geniş bir attack surface bırakır.
Retention ve arşivi aynı şey sanmak
Analiz süresi ve uzun saklama ihtiyacı farklıdır; aynı disk davranışıyla düşünülmemelidir.
Hazır rapor şablonlarını kullanmadan sıfırdan başlamak
FortiAnalyzer zaten hazır template kütüphanesi sunarken her raporu sıfırdan kurmak zaman kaybı yaratabilir.
İlgili İçerikler
- Fortinet Firewall Nasıl Çalışır? FortiGate Packet Flow Rehberi
- FortiGate SSL Inspection Nedir ve Nasıl Planlanır?
- FortiGate Loglama Nasıl Yapılır
- Fortinet ile Zero Trust Network Architecture Nasıl Kurgulanır?
Kontrol Listesi
- yönetim arayüzü için
trusted hostve temel güvenlik ayarları tanımlandı - network, admin hesapları ve operation mode sırası doğru tamamlandı
- cihaz onboarding yöntemi (
Fabric authorizationveya manuel yetkilendirme) netleştirildi - yetkisiz cihazlar doğru
ADOMyapısına authorize edildi - yüksek ve düşük log hacimli cihazlar için ADOM stratejisi belirlendi
- retention ve arşiv süresi iş gereksinimine göre yazılı hale getirildi
- hazır report template veya özel rapor yaklaşımı seçildi
- merkezi korelasyon ve teklif akışı netleştirildi
LeonX ile Sonraki Adım
FortiAnalyzer kurmak, cihaz ekleyip log toplamaktan daha fazlasıdır; doğru ADOM tasarımı, doğru yetkilendirme akışı, doğru retention ve doğru raporlama modelini aynı çerçevede kurmak gerekir. LeonX, Donanım & Yazılım Hizmetleri altında özellikle SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ve Fortinet odaklı ağ altyapı tasarımıyla merkezi log görünürlüğünü daha sürdürülebilir hale getirir. Kurulum planını netleştirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- Donanım & Yazılım Hizmetleri
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İş ve Yönetim Hizmetleri
- İletişim
Sık Sorulan Sorular
FortiAnalyzer kurulumunda ilk adım nedir?
Fortinet'e göre ilk akış GUI bağlantısı, network ayarı, admin hesabı ve cihaz ekleme sırasıyla ilerlemelidir.
ADOM tasarımı neden bu kadar önemlidir?
Çünkü log hacmi, tenant ayrımı ve quota enforcement davranışı doğrudan ADOM yapısından etkilenir.
Fabric authorization ne işe yarar?
FortiGate ile FortiAnalyzer arasındaki yetkilendirme akışını daha hızlı ve kontrollü hale getirir.
Hazır rapor şablonları yeterli midir?
Çoğu başlangıç senaryosu için evet; gerektiğinde şablon üzerinden özelleştirme yapılabilir.
Kaynaklar
- FortiAnalyzer 8.0.0 Administration Guide - Setting up FortiAnalyzer
- FortiAnalyzer 7.6.6 Administration Guide - Initial setup
- FortiAnalyzer 7.6.6 Administration Guide - Adding a FortiGate using Security Fabric authorization
- FortiAnalyzer 8.0.0 Administration Guide - Authorizing devices
- FortiAnalyzer 8.0.0 Best Practices - ADOM Design
- FortiAnalyzer 7.6.0 Best Practices - Log Management
- FortiAnalyzer 8.0.0 Administration Guide - List of report templates
- FortiAnalyzer 8.0.0 Administration Guide - Creating reports from report templates
- Wikimedia Commons - SPNN file server rack
