教程篇(5.0) 02. 管理 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5

  在本课中，你将学习如何管理FortiEDR部署。

  在这节课中，你将学习上图显示的主题。

  通过展示授权和用户管理方面的能力，你将能够识别授权类型并在FortiEDR中创建用户帐户。

  为了维护系统健康，你需要跟踪许可证许可和容量。在ADMINISTRATION选项卡下的LICERNSING中，将看到列出的许可证类型，以及该许可证可用的功能。上图的示例显示了发现、保护和响应许可证，所有FortiEDR功能都是可用的。

　　你还可以查看有关许可证使用情况的信息。有三种类型的许可证座席。工作站覆盖了大多数终端用户。服务器许可证适用于服务器上安装的任何采集器，包括所有Linux版本。在右侧，你可以看到正在使用的许可证席位以及用于工作站和服务器的剩余许可证席位的可视化表示。loT设备包括连接到网络的所有非工作站设备，如打印机、智能手机或媒体播放器。

　　FortiEDR提供了三种不同的许可证类型。发现和保护包括资产发现、攻击面减少、USB设备控制，以及基于内核的NGAV和web过滤。保护和响应还提供了基于内核的NGAV和web过滤，以及使用剧本的自动事件响应，以及删除文件、终止恶意进程、逆转持久更改、通知用户、隔离应用程序和设备以及打开罚单等功能。发现、保护和响应是其他两种许可证类型的组合。所有许可证类型都有附加功能。欲了解更多详情，请联系Fortinet销售。

　　当你更新或延长你的许可证时，你将得到一个新的许可证字符串。要更新管理控制台，请单击Update License并将字符串粘贴到窗口中。

  现在，你将了解管理控制台用户。你可以在users下的ADMINISTRATION选项卡上找到组织的管理控制台用户列表。有四个级别的权限。缺省级别为User。除了ADMINISTRATION之外，用户可以在管理控制台的每个选项卡上查看和编辑其组织的信息，ADMINISTRATION对他们是隐藏的。

　　具有Admin权限的用户可以在管理控制台的任何位置查看和编辑信息。本地管理员只存在于多租户环境中。具有Local Admin权限的用户与Admin用户具有相同的权限，但仅限在该用户所在的组织内。所有其他组织对他们来说都是隐藏的。你将在后面的小节中了解有关多租户的更多信息。

　　通过API访问管理控制台需要具备rest API权限。Rest API用户通常也具有用户或管理权限。

　　有三种方法可以创建管理控制台用户。第一个是手动的，在LOCAL USERS下面。通过管理控制台分别创建和管理这些用户。你也可以使用LDAP认证方式对用户进行认证，并根据已有的LDAP用户进行权限分配。请注意，LDAP需要一个能够访问LDAP服务器的本地核心。最后，你可以连接到第三方身份提供者，使用SAML身份验证对用户进行身份验证。

  当手动创建管理控制台用户时，可以启用双因子身份验证。只需单击用户旁边的Edit，然后在user Details中，选择为该用户要求双因子身份验证，然后单击Save。在创建新用户时，还可以启用双因子身份验证。

　　单击用户列表中的“重置密码”，重置该用户的token或密码。如果使用LDAP身份验证，请打开LDAP 认证面板，选择“所有LDAP登录都需要双因子身份验证”。

  FortiEDR双因子身份验证适用于任何标准的身份验证程序。如果你的智能手机上还没有验证程序，请安装它。在控制台的登录屏幕上，输入你的用户名和密码，以及你的组织名称(如果你在多租户环境中)。你会看到一个二维码，就像中间的那个。用手机上的验证程序扫描它。这将应用程序中生成的特定令牌与FortiEDR登录关联起来。输入应用程序生成的令牌以完成设置过程。

　　设置好双因子身份验证之后，下次登录时将与往常一样。你将输入你的姓名和密码，以及组织名称(如果适用的话)，然后登录。每7天输入一次新令牌。当你看到右边的身份验证屏幕时，重复步骤4，你就可以为下周进行设置了。

  答案：B

  答案：B

  现在你了解了FortiEDR授权和用户管理。接下来你将了解多租户。

  通过展示在多租户中的能力，你将能够配置和管理多租户FortiEDR管理控制台。

  第一个问题是，为什么是多租户？主要用例是从单个管理控制台管理多个组织。例如，使用多租户时，托管服务提供者(MSP)只需要登录到一个或两个控制台就可以高效地管理多个组织。你可以将收集器和威胁搜索库分配给组织，也可以将核心分配给单个组织。你可以在一个地方管理来自所有组织的策略、组和收集器。主机还能够查看单个组织的数据，或查看所有组织的汇总数据。

　　如果在一个控制台上托管多个组织，那么多租户还允许来自单个组织的管理员访问他们自己的控制台。以前，客户机管理员无法在此场景中访问自己的警报，因为他们的警报不能与其他客户的警报分离。现在，你可以让管理员登录并只查看自己组织的数据。

  正如你在上图中了解到的，用户级别决定你可以在管理控制台上做什么。Admin用户可以创建、修改、删除组织，还可以查看和管理所有组织的系统组件、事件和策略。你可以看到环境中的所有组织，以及全局数据。在本节课中，管理员总是指主机管理员。

　　本地管理员可以查看和管理分配给自己组织的系统组件、事件和策略，以及自己组织的管理设置，但不能查看或执行自己组织之外的任何事情。这个角色本质上与Admin相同，只是它仅限于单个组织。

　　用户还可以查看和编辑单个组织数据，但不能看到或访问ADMINISTRATION选项卡。用户可以查看和修改安全事件、策略、通信控制和库存，但不能检索注册密码、编辑最终用户通知设置、创建新的控制台用户或ADMINISTRATION选项卡上的任何其他功能。

  多租户环境的登录屏幕有一个Organization name字段。当登录到多租户环境时，用户必须输入他们分配的组织名称以及他们的用户名和密码。组织名称是区分大小写的，所以一定要准确地告诉管理控制台用户如何输入它。如果此字段为空，则用户登录到默认组织(如果权限允许)。在单租户组织中，组织字段不会出现。

  只有具有Admin权限的用户才能查看ADMINISTRATION选项卡的ORGANIZATIONS窗格。主机管理员可以创建和编辑组织，并为每个组织分配许可证席位，包括分配给该组织的工作站、服务器和loT设备的数量。你还可以设置或更改每个组织的许可证过期日期。许可证席位和有效期取决于主办机构与Fortinet的许可证。

　　在多租户环境中，注册密码是特定于组织的，因此它们也是组织设置的一部分。根据需要，你可以删除组织。请注意，在不删除分配给它的所有收集器(从系统中删除它们或将它们移动到另一个组织)的情况下，不能删除一个组织。你还可以使用迁移工具从另一个环境中导入组织。

　　在创建新组织或编辑现有组织时，将看到ORGANIZATION DETAILS对话框。只有主机管理员可以分配和编辑组织详细信息。首先，你将看到组织的名称。你将使用该名称在安装期间将收集器分配到组织，并将现有收集器移动到组织。具有本地管理员和用户权限的用户也将使用组织名称登录管理控制台。请记住，当你登录到控制台时，组织名称是区分大小写的，因此请确保所有用户都确切地知道这里是如何输入他们的组织的。组织在后台也被分配一个唯一的ID，因此如果需要，你可以更改名称，而不会影响分配给组织的收集器。

　　注册密码是特定于组织的，它允许组织验证收集器安装和卸载。这使得恶意软件更难禁用或删除收集器，还可以防止用户意外卸载收集器。

  具有Admin权限的用户有两个视图可供选择。第一个是主机视图。通过此功能，你可以查看来自所有组织的聚合数据，包括安全事件、异常、安全策略、系统组件和管理数据。你还可以通过从左上角的下拉列表中选择一个特定的组织来下钻。在组织视图中，你可以看到特定组织的数据，包括所选组织的安全事件、异常、应用程序使用数据、聚合的应用程序数据、安全策略、系统组件、威胁搜索设置和管理数据。

  如果你有多个FortiEDR环境，你可能希望将组织从一个环境转移到另一个环境。例如，从POC环境转移到客户环境。你可以在组织下的ADMINISTRATION选项卡中进行操作。源环境和目标环境都需要Admin权限。

　　第一步是从旧环境中导出组织。单击组织所在行的迁移按钮。打开MIGRATE ORGANIZATION对话框。键入要在新环境中使用的名称。你必须选择一个目标环境中不存在的名称。然后单击Export按钮。FortiEDR生成一个包含组织所有数据和目标的zip文件。根据组织的大小，这可能需要几分钟的时间。生成文件后，单击“下载”，将文件保存到本地。

　　接下来，必须将组织导入目标环境。在一个新的浏览器选项卡或窗口中，登录到目标管理控制台，并浏览到ADMINISTRATION选项卡的ORGANIZATIONS窗格。单击Import Organization按钮，浏览到前面下载的zip文件，然后单击Import。导入过程可能需要几分钟才能完成。一旦完成，一个Import代码就会出现在进度条下的对话框中。复制代码。接下来，返回到源管理控制台。粘贴MIGRATE ORGANIZATION对话框步骤中的导入代码。如果你先前关闭了对话框或管理控制台，则可以通过单击组织行中的“继续迁移”按钮返回到此步骤。输入代码后，单击Next继续。

　　最后一步是迁移收集器。在MIGRATE ORGANIZATION对话框中，输入目标环境的聚合器地址和端口。然后，单击转移按钮，等待转移过程完成。

  当迁移过程开始时，源环境上会有一个进度指示器，显示正在传输收集器。在目标环境中，单击INVENTORY选项卡并选择collector。在迁移完成之前，收集器将处于断开连接(等待迁移)状态。一旦迁移成功完成，源环境将采集器显示为Disconnected (migrate)，而目标环境将采集器显示为Running状态。在迁移过程完成之前，收集器保持连接并受到源环境的保护。

  答案：B

  现在你了解了多租户，接下来你将了解FortiEDR清单。

  通过展示FortiEDR清单的能力，你将能够理解系统组件的管理。

  要在你的目录中显示所有收集器的列表，请单击INVENTORY选项卡并选择collector。默认情况下，你将只看到处于降级状态的收集器。这是为了将你的注意力吸引到性能不正确且需要你关注的收集器上。单击“显示所有收集器”可查看按收集器组组织的所有收集器。单击列表上方的下拉列表，选择“全部”，也可以查看所有的采集器。你也可以通过其他状态进行过滤。在本课中，你将了解更多关于收集器状态的知识。选择Unmanaged可以查看系统中没有安装FortiEDR收集器的所有工作站和服务器。这些设备不受保护。

　　每个收集器组旁边的数字表示你在当前视图中可以看到的收集器数量以及组中收集器的总数。例如，如果你将筛选器设置为只显示禁用的收集器，那么你可能只看到组中10个收集器中的一个。

　　单击“创建收集器组”，可以创建收集器组。然后，为你想要移动的每个收集器选择复选框，单击move to Group，并选择你新创建的组。

　　要卸载收集器，可以从管理控制台的INVENTORY选项卡远程执行此操作。只有连接设备后，才能远程卸载设备。你也可以手动将收集器从设备上卸载。手动卸载采集器需要注册密码。你已经在上一课中学习了注册密码。你可以从ADMINISTRATION选项卡的TOOLS面板检索它。

　　删除收集器将使收集器从管理控制台中移除。即使在断开连接的情况下，也可以删除收集器。然而，如果你删除收集器而没有卸载，如果设备再次连接到你的网络，它将重新出现在你的库存选项卡。

  以下是收集器状态的简短概述：

　　● Running意味着毫无问题地工作。

　　● 如果内核暂时不可访问，收集器就会自己强制执行策略，并且它的状态显示为Running (Autonomously)。

　　● Disconnected意味着设备没有连接到聚合器，通常是因为它关机了。

　　● 如果收集器超过30天没有连接到系统，FortiEDR将自动释放其许可证席位。收集器没有从系统中移除。

　　● 在少数罕见的情况下，通常与杀毒软件的兼容性问题有关，你必须重新启动FortiEDR收集器。在这些情况下，收集器直到重新启动后才加载，你将看到状态列出为Pending Reboot。

　　● 如果收集器是Disabled，则可能从管理控制台禁用了它。对于故障排除，这可能偶尔是必要的。

　　● Degraded表示有一个问题正在阻止收集器满负荷运行。这应该进行调查，以确定问题的来源。

  确保你在所有设备上使用最新的收集器版本。收集器的新版本通过内容更新交付，你可以在LICENSING下的管理控制台的ADMINISTRATION选项卡上上传内容。你可以在同一地点远程升级采集器。Fortinet建议以较小的批量部署收集器更新，以避免出现任何问题。当你将收集器移动到一个新的收集器组时，收集器将检查更新，因此收集器组分配的任何重大更改也应该分阶段完成。更新收集器之后，你可以从管理控制台请求安装程序文件。

　　在上图显示的示例中，单击“更新收集器”以打开“更新收集器组”窗口。默认收集器组组，目前运行的Windows版本2.7.3 Rev 159，显示在示例中。选择了Windows复选框，在下拉列表中选择了版本5.0.2 Rev 261。单击“更新”开始更新所选组。

  隔离模式和高安全性收集器组是在受到攻击后为收集器提供额外保护的安全措施。当收集器仍然处于模拟模式时，这些措施在部署期间特别有用。如果在此阶段发生攻击，你可以提高任何受影响收集器的安全性，而无需将整个部署组设置为预防模式。

　　FortiEDR自带高安全收集器组，不能删除。此组用于临时隔离受感染的收集器。Fortinet建议对这个组应用严格的策略，并确保这些策略始终处于预防模式。

　　隔离模式还旨在防止感染从受影响的设备传播。该模式下的收集器在通信控制中被分配到一个特殊的隔离策略，默认情况下，该策略将自动阻止所有应用程序通信。如果需要，你可以配置特定的应用程序，如安全性或补救工具，以允许在隔离时进行通信。根据设计，允许在一个孤立的设备上使用ICMP和传入RDP连接，以帮助IT部门确定机器是否启动并物理连接到网络上。隔离模式以及收集器执行的任何通信控制拒绝只对新的网络会话生效。

  在“系统组件”下的“库存”页签中，可以查看系统组件的信息。默认情况下，只显示降级状态的核心和聚合器。如果要查看所有核心或聚合器，请单击“显示所有核心”或“显示所有聚合器”。

　　每个核心显示的信息是IP地址，无论是云还是本地部署，版本，以及核心是在运行还是断开连接。

　　点击功能栏中的核心配置为只支持核心，JumpBox，或者两者都支持：

　　● Core only：提供基本的核心功能，如事件处理、通信控制处理和等等。

　　● JumpBox：允许核心连接到LDAP、FortiAnalyzer等。

　　● Both：同时启用核心和JumpBox功能。

　　根据由核心处理的事件的数量，可能适合为核心和JumpBox功能有专门的核心。

　　每个聚合器显示的信息包括：IP地址、已连接的采集器数量、版本、聚合器是否正在运行或已断开。

　　单击REPOSITORIES查看所有已安装的存储库。每个存储库显示的信息包括IP地址、存储库是否处于运行状态或连接状态。

  你可以查看与你的网络连接的loT设备，如打印机、智能手机或媒体播放器。你可以在管理控制台的ADMINISTRATION选项卡上扫描设备。选择工具，你将看到物联网设备发现选项。选中“执行正在进行的设备发现”复选框，可以对loT设备进行持续监控。FortiEDR使用网络中现有的收集器来探测邻近的设备。如果需要，你可以排除特定的收集器组。如果需要，还可以执行专门的发现。

　　发现的设备在loT devices下的INVENTORY选项卡中列出。对于每个设备，你可以看到设备名称、类别(媒体设备、移动设备等)、型号、内部IP地址、MAC地址、位置以及设备出现的第一个和最后一个日期。如果一个设备是在过去三天内发现的，那么它将被标记为New，这样你就可以快速识别可能需要审查的新设备。上周未出现的设备被标记为过期。

　　你可以在“物联网设备发现”中配置设备扫描，并根据设备类型进行自动分组。如果不选择此选项，则所有设备进入默认组。你还可以根据需要创建新的组和移动设备。

  答案：B

  答案：B

  现在你了解了FortiEDR库存。接下来你将了解系统工具。

  通过展示FortiEDR系统工具的能力，你将能够理解系统工具的配置和集成。

  你可以生成一个审计跟踪来跟踪管理控制台上的用户操作。管理控制台中的每个用户操作都是登录的——用户登录、更改事件状态、在Forensics中查看事件，等等。在ADMINISTRATION选项卡上，从左边的菜单中选择TOOLS，你将看到AUDIT TRAIL。选择日期范围，单击“生成审计”。你可以将一个CSV文件下载到本地机器，该文件显示日期、子系统、用户和每个操作的描述。你还可以通过syslog将审计跟踪发送到SIEM解决方案。

  注册密码用于验证你的FortiEDR安装组件。如果你在一个混合的环境中(可能是一所大学)，并且你已经购买了500个许可证来保护特定的用户组，那么你不希望未经授权的用户注册。你可以使用一个密码来保护安装，只有合法用户才知道并有权访问自我安装程序。

　　首次安装配置集中管理时，需要定义认证密码。使用该密码对网络中的其他组件进行身份验证。在你的FortiEDR网络中注册的每个收集器都必须在安装期间提供身份验证密码。密码输入错误，会导致收集器不注册，设备不受保护。关闭或卸载收集器还需要提供设备注册密码。你可以在TOOLS下的ADMINISTRATION选项卡中找到这个密码。在COMPONENT AUTHENTICATION部分，单击Display查看注册密码。请记住，注册密码区分大小写。你可以复制密码并粘贴到你需要的任何其他窗口。

  FortiEDR允许你定制最终用户接收到的关于收集器及其活动的信息。你可以在ADMINISTRATION选项卡的TOOLS面板上配置这些设置。

　　你可以启用系统托盘图标，显示“collector-protection on”、“protection off”、“降级”或“隔离”模式的当前状态。这些图标可能有助于排除故障。

　　你还可以向用户显示当进程被FortiEDR安全策略阻止时出现的弹出通知。你可以自定义通知中显示的文本。例如，一些客户可能会选择包含有关如何联系帮助台的信息。

　　如果你正在运行一个多租户环境，请注意，用户通知是为每个组织配置的。

  管理员可以在PERSONAL DATA HANDLING下的ADMINISTRATION选项卡的TOOLS面板上查找和删除任何用户的个人数据。可以通过设备名称、IP地址、MAC地址、用户名等参数进行查询，查询到指定用户的全部数据，并删除查询结果。数据可能与用户的IP地址相关联，例如，在搜索用户名时没有出现的数据。因此，要完全符合通用数据保护法规(GDPR)，必须搜索与用户相关的所有地址和姓名。

　　为了遵守GDPR，如果用户要求删除他们的数据，个人数据将不会被保留记录，包括删除记录。因此，如果管理员删除用户的数据，审计跟踪将不保留该操作的记录。

  微软认证FortiEDR为反病毒和威胁保护应用程序，它可以完全与Windows安全中心集成。你可以在WINDOWS SECURITY CENTER下的ADMINISTRATION选项卡的TOOLS面板中为收集器启用windows安全中心注册。当收集器成功注册到Windows安全中心后，FortiEDR将被列为反病毒和威胁防护应用程序。你的系统仍然是完全保护，即使你选择不注册FortiEDR与Windows安全中心。

  系统事件是指影响用户设备安全的事件。系统事件的例子包括，当核心关闭时，聚合器关闭，或收集器关闭或打开。添加新的收集器将生成一个系统事件。许可证问题作为系统事件进行跟踪—例如，当许可证接近过期日期(21天、7天或0天)或接近许可证容量时。

　　管理系统事件非常容易。它们通过任何配置的电子邮件或syslog输出触发实时通知，或者你可以将事件导出到Excel或PDF文件。 

  有两种配置系统事件通知的方法。可以配置其中一个，也可以同时配置两个。第一种方法是电子邮件通知。要启用电子邮件通知，请单击管理控制台上的ADMINISTRATION选项卡，然后单击EXPORT SETTINGS。输入SMTP标准设置，启用电子邮件通知。小心使用它们，如果你删除或不小心修改了它们，你所有的电子邮件提醒都将被禁用。

　　配置SMTP设置后，单击左侧列表中的“分发列表”配置邮件分发列表。你的FortiEDR安装预先配置了一个所有收件人列表。你无法为该列表配置通知，因此需要通过单击create list按钮创建一个新列表。突出显示新列表后，检查右侧的NOTIFICATIONS区域。确保系统事件已启用。你可以选择包括安全事件（违反FortiEDR安全策略的事件）或者将安全事件设置为禁用(如果您不想将它们发送到此列表)。你将在后面的一节课中了解更多关于安全事件通知的知识。

　　设置好列表后，单击“添加收件人”并输入第一个收件人的姓、名和电子邮件。新收件人被添加到“所有收件人”列表中。选中要包括在列表中的收件人旁边的复选框，然后单击“分配到列表”将其添加到自定义列表中。

  第二种方法是通过syslog发送系统事件通知。在导出设置下的管理控制台的ADMINISTRATION选项卡上配置syslog。如果未添加syslog日志参数，请单击“定义新syslog”，输入标准syslog日志参数。你可以通过TCP或UDP协议发送消息，选择端口，启用SSL。使用逗号分隔，而不是名称-值对。输入参数后，单击Test进行验证，然后单击Save。突出显示syslog并检查右侧的NOTIFICATIONS窗格。确保系统事件已启用。你还可以选择包含关于安全事件的通知或审计跟踪。

　　还可以将事件发送到事件管理工具，如Jira或ServiceNow。你需要配置系统名称和电子邮件地址，所有事件都将被发送到Open Ticket部分中的电子邮件地址。该功能自动打开一个票据，并将相关事件附加到它。你必须在事件管理工具上配置电子邮件提要，才能使此功能发挥作用。你可以在FortiEDR安装和管理指南中找到配置示例。

  上图显示了每次启动新会话时将看到的仪表板。它提供了系统状态的图表，包括：未处理的安全事件和通信应用程序、最受攻击的设备或最常见的恶意进程，以及所有系统组件的健康和状态。你还将看到一个地图，显示与安全事件有关的任何IP地址的位置，进程试图连接到的地址。

  答案：A

  答案：B

  恭喜你！你已经完成了这一课。现在，你将回顾你在本课中涉及的目标。

  通过掌握本课涉及的目标，你了解了如何管理FortiEDR管理控制台、配置多租户和识别系统工具。

---