Logging

Question 1

Er zijn drie verschillende type logs; welke zijn dit?

Answer 1

• Traffic log
• Event log
• Security log

Allen kennen hun eigen subcatagories

Question 2

Hoe werkt de log file workflow?

Answer 2

• Raw logs worden compressed en opgeslagen op de FA schijf
• Wanneer een bepaalde size is bereikt (log file settings) word deze gearchiveerd, ook wel archive logs genoemd
• Tegelijkertijd word de log geindexeerd in de SQL database, ook wel analytics logs genoemd

Question 3

Goed of fout

RAID kan toegepast worden op alle FA modellen

Answer 3

Fout

Niet alle FA modellen zijn geschikt voor RAID

Question 4

Er zijn drie verschillende manieren om een back-up te maken van logs via de GUI of CLI. Wat zijn deze manieren?

Answer 4

• Log view - voor het downloaden van een specifieke view
• Log browse - voor het download van rolled logs
• execute backup logs cli command

Question 5

Waarom is het execute backup logs cli command handiger voor het versturen van veel logs?

Answer 5

Omdat met dit command alles zend van het device of de devices die je specificeert. De data wordt gecompressed en hierdoor duurt het langer vorodat het zenden begint

Question 6

Noem 2 manieren om log redundancy te creeeren?

Answer 6

• Het maken van een FA HA cluster

- FortiGate configureren om identieke logs naar een 2e FA of syslog server te versturen

Question 7

Als men log redundancy zou creeeren middels een 2e server; wat is dan belangrijk om te onthouden voor een FortiGate?

Answer 7

In dit geval neemt de load op de FG toe omdat er bijvoorbeeld 2 TCP sessies opengehouden dienen te worden

Question 8

Wat is de aggregation modus?

Answer 8

Dit is een modus waarbij 2 FortiAnalyzers logs delen met elkaar. De Aggregated client (collector) zend dan enkel wijzigingen in de logs naar de Server. Indien de Server down gaat, kan de client hem weer repopulaten.

Question 9

Noem de drie logs forwarding methoden

Answer 9

• Aggregation - slaat op en zend op een vast tijdstip
• Forwarding - forwards logs als ze binnenkomen (geen DLP, quarantine & IPS)
• Disable

Question 10

Waar wordt OFTP voor gebruikt? En wat is het poortnummer?

Answer 10

Het Optimized Fabric Transfer Protocol wordt gebruik om een SSL verbinding te creeeren tussen 2 Forti devices. Het draai op TCP/UDP 514. Encryptie wordt alleen gebruikt als de FortiGate dit aan heeft.

Question 11

Wat is het default encryption level voor een FortiGate; High-medium, High of Low?
Hoe stel je deze in op de CLI?

Answer 11

Default is high als een FG dit ondersteunt.
Het command hiervoor is :

• config log fortianalyzer setting
  set enc-algorithm

Question 12

Wat is het default encryption level voor een FortiAnalyzer; High-medium, High of Low?
Hoe stel je deze in op de CLI?

Answer 12

Default is high als een FG dit ondersteunt, echter kan dit niet hoger zijn of gelijk aan de FGs level
Het command hiervoor is :

• config system global
  set enc-algorithm

Question 13

Wat zijn de log chechsum mogelijkheden? En hoe stel je deze in?

Answer 13

• MD5 - MD5 waarde
• MD5-auth - MD5 hash waarde en authentication code
• None
• Command: config system global -> set log-chechsum

Question 14

Hoe wijzig je een OFTP certificaat?

Answer 14

Config system certificate oftp
set custom enable
set certificate
set private-key

Question 15

Wat zijn de subcatagories van traffic logs?

Answer 15

• Forward
• Local
• Sniffer

Question 16

Wat zijn de subcatagories van security logs?

Answer 16

• Application Control
• Antivirus
• DLP
• Anti-Spam
• Web Filter
• IPS
• Anomely (DOS-policy)
• WAF

Question 17

Wat zijn de subcatagories van events logs?

Answer 17

• Endpoint
• High Availabilty
• System
• User
• Router
• VPN
• WAD
• Wireless

Question 18

Wat doet het command execute restore logs?

Answer 18

Herstelt de logs

Question 19

Het proces om log forwarding te activeren kent 3 stappen; benoem deze stappen?

Answer 19

• Bepaal de log forwarding modus: forwarding of aggregation
• Configureer de server
• Cofigureer de client

Question 20

Wat is de functionaliteit van LOG VIEW?

Answer 20

Het geeft de mogelijkheid om de traffic, event en securoity logs te bekijken voor ELKE ADOM

Question 21

Hoeveel ruimte neemt de LOG VIEW in?

Answer 21

Geen. Log view is virtueel en kent daarom geen database of disk space.

Question 22

Goed of fout

Auto-complete is enabled by default

Answer 22

Goed
Dit kan aangepast worden met het command:
Config system global
set default-logview-auto-completion

Question 23

Waardoor worden local audit logs gecreeerd?

Answer 23

FortyAnalyzer applicaties zoals incident management en automation playbooks

Question 24

Wat zijn de 2 panes van FortiView en wat doen ze?

Answer 24

• FortiView - weergeeft real-time data of historische data van enkel analytics logs
• Monitors - weergeeft real-time monitoring en historische trends

Question 25

Wat is de command om FortiView uit te zetten?

Answer 25

``` config system global - set disable-module fortiview-noc ```

Question 26

Wat is belangrijk om te weten wanneer je FortiView gaat gebruiken?

Answer 26

Dat elke ADOM zijn eigen data analyze draait

Question 27

Wat is FortiViews Indicator of Compromise en welke 2 oordelen zitten hier aan vast?

Answer 27

Een engine die eindgebruikers detecteert met verdachte inbreuken op het webgebruik - Infected - Highly Suspicious

Question 28

Wat is de functie log fetching?

Answer 28

Dit geeft de FortiAnalyzer de mogelijkheid om archived logs op een andere FA in te zien voor queries en/of reports. De vragende FA is dan de fetch client en de leverende is de fetch server

Question 29

Wat zijn de drie voordelen van log fetching?

Answer 29

- Mogelijk voor de user om een device en tijd te selecteren voor indexing - Mogelijkheid om de retentie van logs aan te passen voor eht maken van reports op oude logs - Voorkomen van log duplicaten

Question 30

Wat zijn de voorwaarden om logs fetching mogelijk te maken?

Answer 30

- Kan enkel tussen 2 FA - Enkel met dezelfde firmware - Kan enkel de functie server of client hebben in 1 relatie - Kan 2 rollen aannemen, mits verschillende FAs - Enkel 1 log-fetch-sessie in een relatie

Question 31

Wat is FortiSoC?

Answer 31

Een subscriptie service voor security orchestration, automation en response (SOAR) & security information and event management (SIEM).

Question 32

Goed of fout