在本课中，你将了解FortiAnalyzer和FortiSIEM的报告。报告可以为制定风险评估策略提供有效的指导方针。

  完成本课程后，你应该能够实现上图显示的目标。

 在本节中，你将使用FortiAnalyzer和FortiSIEM的报告了解风险评估和管理。报告可以为制定风险评估和管理战略提供有效的指导方针。

 对于任何组织来说，规划威胁搜索策略是一项关键任务。审计员应该能够遵循一套通过报告寻找威胁的准则，并及时应对威胁。FortiSOAR是一种可用于自动响应报告事件的产品。

　　风险管理也是关于在发生之前评估可能出错的事情。你需要考虑如何操纵工业控制系统，以及物理、环境和财务后果。这将驱动你想要实施的控制类型。

　　FortiManager将能够与FortiAnalyzer一起为Fortinet网络安全范围提供安全评级。它将根据NIST CSF或CIS 20强最佳实践等ICS指南提供评级。

 通过展示理解报告概念的能力，你将能够使用报告更有效地从数据库中提取收集的日志数据。

 报告的目的是总结大量记录的数据。根据配置的报告参数，FortiAnalyzer提取数据并以图形方式呈现，使其更容易、更快地消化。报告显示的模式和趋势已经作为数据库中的几个数据点存在，但手动定位、交叉引用和分析多个日志文件既困难又耗时，特别是如果你不知道自己正在寻找什么趋势或模式。配置后，报告会为你进行调查，并对网络上的活动进行快速详细的分析。然后，你可以使用这些信息来更好地了解你的网络或提高你的网络安全。

　　报告没有提供任何建议，也没有给出任何问题的迹象。管理员必须能够超越数据和图表，以查看其网络内正在发生的事情。

 在配置或创建报告之前，你需要考虑某些因素，以确保报告尽可能有效。

　　第一个考虑因素是你的受众。谁会看这份报告？根据他们想要看到的内容和技能水平，你可能需要添加、删除或修改图表以适当传达信息。

　　第二个考虑因素是你的目的。如果你查看预定义的报告，每个报告都专注于特定的信息。它们基于特定的数据集，并包含格式化查询的图表。因此，为了有效且易于消化，报告必须集中，这是通过具有强大目标来实现的。

　　下一个考虑因素是细节水平。最佳做法是保持报告简短简洁。它不仅会聚焦你对网络和用户的看法，而且较短的报告会减少图表和更少的查询。这有助于性能，因为大型报告会影响CPU和内存。

　　最后考虑的是格式。你需要知道你希望如何格式化数据，以便它以最易于消化和最翔实的方式显示。表格图、条形图和饼图不一定代表具有相同有效性的相同数据。根据你的查询，你可能只能使用一种类型的图表，但如果有选项，你需要选择正确的图表。想想如何最好地直观地呈现数据，以及消费数据的受众。除了图表格式外，你还可以通过添加分隔符、分页符、图像和重命名图表来更改报告的设计。

 FortiAnalyzer报告是一组组织在图表中的数据。图表由两个要素组成：

　　● 数据集，这是从数据库中提取特定数据的结构化查询语言（SQL）选择查询

　　● 显示该数据的格式（例如饼图、条形图或表格）

 如上图的图形所示，SQL数据库包含所有原始日志。SQL SELECT查询轮询数据库以获取特定信息。根据查询，提取存储在日志中的信息子集。

　　此数据子集填充图表，报告中存在一个或多个图表。

 上图显示了应用程序和风险控制默认报告的示例。报告采用HTML格式。该报告证实，Modbus和IEC 104是跨网络的关键应用。这些应用程序的类别是工业的，文件类型确认了IEC 104应用程序的传输原因（COT）。

  预定义的报告可能无法满足你组织的所有要求，即使在微调报告设置后也是如此。虽然FortiAnalyzer提供了从头开始创建新模板和报告的选项，但也有可用的自定义选项。

　　在某些情况下，简单地从报告或模板中添加或删除默认图表可能不符合你的要求；当不存在该独特组合的预定义图表或数据集时，你可能需要从数据库中提取独特的数据组合。在这种情况下，你可以克隆和编辑图表和数据集，也可以从头开始创建新的图表和数据集。

  对于对现有模板或报告的轻微或适度更改，你可以使用克隆。对于克隆，你将克隆报告或模板，然后编辑克隆以满足你的要求。仅对于报告，你可以创建新报告，但以现有模板为基础。然后编辑新报告以满足你的要求。

　　虽然你可以直接编辑预定义报告的布局（但不是模板），但最佳实践是克隆和编辑预定义报告。如果你对报告的直接编辑不成功，这将保留默认报告。

　　如果需要对现有模板或报告进行重大更改（即没有报告满足你的需求），你可以从头开始创建新的报告或模板。

　　你可以通过在所有报告页面上选择空白来创建新报告。如上图的图形所示，你可以配置设置和布局。由于这是一份新报告，设置和布局都是空白的，你必须配置它们。

　　创建布局后，你可以选择将其保存为模板。然后，你可以将该模板用于你创建的其他报告。你可以删除自定义报告。

　　你可以从所有报告页面克隆报告。同样，当你只需要进行轻微到适度的更改时，例如，当你想从现有报告中借用许多元素（但不是全部）时，你应该克隆。在克隆的报告中，你可以编辑设置和布局。请注意，如有必要，布局选项卡提供了将布局保存为模板的选项。与预定义的报告不同，你可以删除克隆的报告。你可以在模板页面上克隆模板。同样，当你只需要进行轻微到适度的更改时，你应该克隆。例如，当你想从现有模板中借用许多元素（但不是全部）时。在克隆模板中，你只能编辑布局。与预定义模板不同，你可以删除克隆模板。

  你可以从FortiView显示和导出图表。图表导出包括你在FortiView上设置的任何过滤器。

　　当前的图表视图可以导出为PDF或报告图表。导出将包括你设置为显示FortiView图表的任何过滤器。

  构建自定义数据集和图表的快速方法是使用图表生成器工具。此工具位于日志视图中，允许你根据过滤后的搜索结果自动构建数据集和图表。在日志视图中，设置过滤器以返回你想要的日志。然后，在工具菜单中，选择图表生成器以自动将搜索构建到数据集和图表中。你还可以通过以下方式进一步微调数据集：

　　● 添加更多列

　　● 设置组、排序和排序过滤器

　　● 对结果设置限制

　　● 设置设备和时间框架

  你将使用自定义OT_Security_Chart构建名为Operational_Technology_Report的自定义报告。运行报告后，该报告将可供你以HTML、PDF、XML和CSV格式查看。上图显示的示例以PDF格式显示报告封面页。

  在本节中，你将了解OT网络的FortiSIEM报告。通过展示报告能力，你将能够加载、保存和安排FortiSIEM的报告。

 FortiSIEM运送了2800多份预建报告。你可以通过单击RESOURCES>Report来找到报告。

　　这些报告分为几个不同的类别和子类别，使你更容易找到你正在寻找的报告。你可以添加自定义类别，并将报告移动或复制到新组中。

　　报告使用与分析搜索完全相同的语法，使你更容易构建自己的自定义报告并将其保存在报告树中。

 上图显示了预定义合规报告的示例。你可以根据OT网络的合规性要求克隆和编辑预定义的报告。

  上图展示了一个预定义的威胁搜索报告示例。你可以根据OT网络的威胁搜索策略要求克隆和编辑预定义的报告。

 上图展示了预定义的OT/IoT报告示例。你可以根据OT网络的要求克隆和编辑预定义的报告。

  你可以将任何系统报告加载到分析搜索中，以填充你的搜索条件。如果你单击文件夹图标，你可以选择一个报告组，然后在右侧部分选择一个报告，然后单击白色箭头来运行报告。此操作填充搜索条件。

　　这是获得快速结果并进行自己的自定义搜索的最简单方法。

　　GUI中有两个地方可以安排报告。

　　首先是选择报告，在下半部分，单击时间表选项卡，然后单击+以指定你希望其运行的时间。

　　第二是选择一个报告，然后在更多下拉列表中选择时间表。

　　这两种方法的功能相同。计划报告以PDF、CSV和RTF格式提供。

  你可以通过选择保存定义并为报告提供名称来保存搜索并将其转换为报告定义以供将来使用。

　　你可以将新的报告定义保存在任何报告类别组中。在上图显示的示例中，报告定义保存在自定义报告类别组操作技术中，但如果你愿意，你可以将其移动到另一个类别中。如果你选择保存结果，报告结果也将显示在指定时间段的保存结果部分中。

　　你还可以将规则子模式定义保存为报告。

  FortiSIEM CMDB包含许多有用的信息，包括系统配置，如规则和出口定义。

　　CMDB报告功能包含许多与CMDB内容相关的预定义系统报告。

　　用户可以克隆现有的系统报告，或从头开始创建自己的报告。这些报告遵循与规则和分析报告相同的逻辑，因为如果你编辑系统报告，它将迫使你以不同的名称保存它。

　　这些报告可以深入到系统的特定组件，如设备、规则、系统监视器、任务、报告、身份字段等。

 当你运行CMDB报告时，你可以运行和查看多个报告，每个报告都在自己的选项卡上。你可以将结果导出为PDF、CSV或RTF文件。

  那么，CMDB报告功能的一些用例是什么？

　　CMDB报告的一个用例是设备库存。在FortiSIEM中，你可以运行设备库存报告，查看所有路由器、交换机和防火墙上的图像文件，以识别易受攻击的固件版本。你可以查看哪些服务器安装了某些补丁，或者交换机上的哪些接口当前处于向上或向下状态。你还可以找到这些问题的答案：

　　● 设备库存，路由器/交换机/防火墙上的映像文件

　　● 哪些服务器有补丁ABCD

　　● 交换机X上的哪些接口目前处于UP状态

　　● 每个Linux服务器上的硬盘大小

　　● 哪些服务器正在运行abc.exe进程

　　CMDB报告还可以回答有关FortiSIEM运营的问题，例如：

　　● 系统中当前启用或禁用了哪些规则？

　　● 哪些规则定义了例外或明确的条件？

　　● 哪些规则是嵌套或依赖于其他规则？在FortiSIEM中，规则也可以引用其他规则。

　　● 哪些用户是手动定义的？

　　● 哪些用户经过本地和外部身份验证？

　　● 安排了哪些报告？

　　● 哪些设备的性能监控器出现故障？

　　还有许多其他用例。FortiSIEM报告功能包含有关网络中设备以及FortiSIEM本身的详细信息。

 在本节中，你将了解OT网络的FortiSIEM仪表板。通过展示仪表板的能力，你将能够识别、修改、创建和自定义OT网络的仪表板。

  仪表板是可视化从网络中设备接收或收集的数据的有效方法。有六种类型的仪表板可用于查看设备和应用程序指标，以及任何基于日志的搜索或数据聚合：

　　● 摘要仪表板

　　摘要仪表板以单个电子表格格式显示许多设备的运行时间、事件和其他关键性能指标的近实时视图——每行都是设备，每列都是指标。

　　● 小部件仪表板

　　小部件仪表板提供了更传统的自上而下的仪表板视图——一个指标的图表。每个仪表板小部件代表FortiSIEM系统中的报告。

　　● 业务服务仪表板

　　业务服务指示板提供业务服务运行状况的自顶向下视图。

　　● PCI日志状态仪表板

　　PCI日志状态仪表板概述了PCI中的哪些设备正在正确记录和日志记录。

　　● 接口使用仪表板

　　接口使用仪表板概述了路由器和防火墙设备各个接口的使用情况。

　　● 身份和位置仪表板

　　身份和位置仪表板提供了网络身份到用户身份映射的表格视图。

　　FortiSIEM附带许多默认摘要和小部件仪表板。

  摘要仪表板提供了你环境中每个设备的性能、可用性和安全状态的快照。他们还返回一些有用的KPl，如CPU、内存、磁盘和接口利用率。

  Sec Status列显示设备的安全状态。设备状态可以是：正常、警告或关键。

　　设备的主动安全事件决定了其安全状态：

　　● 如果设备没有安全事件或只有低严重事件，则该设备被分配为正常安全状态。

　　● 如果设备存在一个或多个中等严重事件，则该设备将被分配警告的安全状态。

　　● 如果设备存在一个或多个高严重性事件，则该设备将被分配到关键的安全状态。

　　Perf Status列也是如此。

　　对于Avail Status列，状态由PH_DEV_MON_PING_STAT事件确定，该事件返回数据包丢失百分比值：

　　● 如果数据包丢失报告在0%至49%之间，则设备将被分配到Up的可用性状态。

　　● 如果数据包丢失报告在50%至98%之间，则设备的可用性状态为已降级。

　　● 如果数据包丢失报告在99%至100%之间，则设备被分配为Down的可用性状态。

 上图显示了适用于所有普渡级别、NIST 800-53服务和NIST 800-171服务的自定义OT业务服务仪表板示例。业务服务仪表板提供了务业服务健康状况的自上而下视图。你可以查看与每个业务服务相关的事件，然后深入了解受影响的设备和事件。 

  仪表板小部件为你提供可视化搜索数据的不同方式。每个仪表板小部件代表FortiSIEM系统中的报告。这张幻灯片展示了一些可用的小部件示例：线条视图、甜甜圈（饼图）、条形图和组合视图。组合视图小部件显示当前值，以及值随时间趋势的视图。

  上图展示了自定义OT小部件仪表板的示例。小部件仪表板是可视化从OT网络接收和收集的数据的有效方法。

  通过掌握本课程涵盖的目标，你学会了如何有效地使用FortiSIEM和FortiAnalyzer报告作为风险评估和管理策略的一部分。

---