Progress Flowmon je řešení pro monitoring sítě a bezpečnost, které poskytuje hlubokou viditelnost do síťového provozu pomocí analýzy flow dat. Tento průvodce vysvětluje, jak integrovat Logmanager s Flowmonem pro lepší přehled o chování sítě a bezpečnostních událostech.

Integrace s Flowmonem je užitečná, protože propojuje síťové detekce se zbytkem vašich monitorovacích a bezpečnostních informací. Namísto izolovaného vyšetřování nálezů z Flowmonu je můžete korelovat s logy z firewallů, serverů a aplikací, a to na jednom místě.

Flowmon integration with Logmanager three levels and their benefits
Obr. 1: Tři úrovně integrace Flowmonu s Logmanagerem a jejich přínosy.

1. Vestavěný parser

Jakmile Flowmon začne odesílat logy do Logmanageru, obvykle je potřeba jen minimum manuální práce. Logmanager už obsahuje vestavěný parser pro Flowmon, takže příchozí události jsou automaticky rozpoznány a označeny tagy.

2. Předdefinovaný dashboard

Logmanager obsahuje také dashboard určený přímo pro data z Flowmonu. To je užitečné, protože můžete začít vizuálním přehledem místo okamžitého čtení raw událostí. Analytici tak mohou rychle identifikovat relevantní kategorie anomálií, zdrojové IP adresy, služby a objemy dat.

Logmanager dashboard displaying integrated Flowmon anomaly data
Obr. 2: Dashboard v Logmanageru zobrazující integrovaná data anomálií z Flowmonu.

3. Přímé odkazy zpět do Flowmonu

Užitečnou druhou vrstvou integrace je event URL. Nastavením hostname Flowmonu ve vestavěném alertu nebo konfigurační části integrace může Logmanager automaticky generovat přímé odkazy na detail události ve Flowmonu.

Flowmon integration showing URL from an event back to Flowmon ADS event detail
Obr. 3: Integrace Flowmonu zobrazující URL odkaz z události zpět na detail ADS události ve Flowmonu.

4. Přechod k širšímu vyšetřování

Po identifikaci podezřelých zdrojových IP adres ve Flowmonu přejděte do Discover a vyhledejte stejné IP adresy napříč dalšími zdroji. Přidejte sloupce jako destination IP, source system a tags. To vám pomůže zjistit, zda se stejné adresy objevily také v log datech z FortiGate, Windows, aplikací nebo serverů.

Flowmon dictionary attack investigation shown in a Logmanager dashboard
Obr. 4: Vyšetřování slovníkového útoku (dictionary attack) detekovaného Flowmonem, zobrazené v dashboardu Logmanageru.
Cross-source investigation in Logmanager using Flowmon attacker IPs and related FortiGate or other logs
Obr. 5: Cross-source vyšetřování v Logmanageru pomocí IP adres útočníků z Flowmonu a souvisejících logů z FortiGate nebo dalších zdrojů.

Další zdroje

Chcete-li vědět více, podívejte se na společný solution brief Logmanager a Flowmon, nebo nahlédněte do dokumentace nastavení Flowmonu jako zdroje dat.