مشروع تطبيقي
بناء مركز عمليات أمنية (SOC) باستخدام FortiAnalyzer
العميل: شركة Falcon Trading
بعد أن أمّنت شركة Falcon Trading شبكتها بأجهزة FortiGate في المقر الرئيسي (HQ) والفرع (Branch)، قررت بناء مركز عمليات أمنية (SOC) موحّد لتجميع وتحليل الـ logs مركزياً. المطلوب نشر FortiAnalyzer واحد باسم FAZ-HQ يستقبل سجلات الجهازين HQ-FGT و BR-FGT، مع فصل البيانات بين الإدارتين عبر ADOMs منفصلة. كذلك بناء تقارير دورية، وإعداد تنبيهات على الأحداث الأمنية، وأتمتة الاستجابة عبر Playbooks. وأخيراً تسليم النظام مع نسخة احتياطية وحساب محلل للقراءة فقط.
تقدّم المشروع٠/٨ · ٠%
١
النشر الأولي وتهيئة الشبكة
افتح الدرس المرتبط ←المطلوب: يطلب العميل تجهيز جهاز FortiAnalyzer جديد ووضعه على الشبكة الإدارية بعنوان ثابت ليكون جاهزاً لاستقبال السجلات. مهمتك ضبط الـ port1 على 10.10.10.50/24، وتعيين الـ hostname إلى FAZ-HQ، ومزامنة الوقت عبر NTP لضمان دقة الطوابع الزمنية في الـ logs.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
يُفضَّل عادة ضبط الـ IP من الـ console أول مرة ثم إكمال الباقي من الواجهة. في الـ GUI: System Settings > Network لضبط الـ port1 والـ gateway، و System Settings > Dashboard لتغيير الـ hostname. تأكد أن وضع الجهاز Analyzer mode من System Settings > Dashboard.
config system interface— الدخول إلى قسم الإعدادedit port1— إنشاء/تعديل كائنset ip 10.10.10.50/24— ضبط قيمة إعدادset allowaccess ping https ssh webservice— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسمconfig system route— الدخول إلى قسم الإعدادedit 1— إنشاء/تعديل كائنset device port1— ضبط قيمة إعدادset gateway 10.10.10.1— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسمconfig system global— الدخول إلى قسم الإعدادset hostname FAZ-HQ— ضبط قيمة إعدادend— حفظ والخروج من القسم
FAZ-HQ — FortiOS CLI
# المهمة: ضبط واجهة الإدارة والـ hostname
FAZ-HQ #
0/15
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
يُفضَّل عادة ضبط الـ IP من الـ console أول مرة ثم إكمال الباقي من الواجهة. في الـ GUI: System Settings > Network لضبط الـ port1 والـ gateway، و System Settings > Dashboard لتغيير الـ hostname. تأكد أن وضع الجهاز Analyzer mode من System Settings > Dashboard.
٢
تفعيل الـ ADOMs لفصل البيانات
افتح الدرس المرتبط ←المطلوب: يطلب العميل عزل بيانات المقر الرئيسي عن الفرع بحيث لا يطّلع فريق إدارة على سجلات الإدارة الأخرى. مهمتك تفعيل الـ ADOM mode على FAZ-HQ ثم إنشاء إدارتين منفصلتين باسم HQ و Branch تُسنَد إليهما الأجهزة لاحقاً.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
بعد تفعيل الـ adom-status قد تُطلب إعادة تسجيل دخول لتظهر قائمة الـ ADOMs. في الـ GUI: System Settings > Dashboard > System Information، فعّل Administrative Domain. تحقق من القائمة بأمر diagnose dvm adom list.
config system global— الدخول إلى قسم الإعدادset adom-status enable— ضبط قيمة إعدادend— حفظ والخروج من القسمdiagnose dvm adom list— أمر تشخيص
FAZ-HQ — FortiOS CLI
# المهمة: تفعيل وضع الـ ADOM
FAZ-HQ #
0/4
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
بعد تفعيل الـ adom-status قد تُطلب إعادة تسجيل دخول لتظهر قائمة الـ ADOMs. في الـ GUI: System Settings > Dashboard > System Information، فعّل Administrative Domain. تحقق من القائمة بأمر diagnose dvm adom list.
٣
توجيه أجهزة FortiGate نحو FortiAnalyzer
افتح الدرس المرتبط ←المطلوب: يطلب العميل أن تبدأ أجهزة FortiGate بإرسال سجلاتها فوراً إلى مركز الـ SOC الجديد. مهمتك ضبط HQ-FGT (ثم بنفس الطريقة BR-FGT) ليرسلا الـ logs إلى FAZ-HQ على العنوان 10.10.10.50، ثم اعتماد الأجهزة على FortiAnalyzer وإسنادها لإداراتها.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
هذه الأوامر تُنفَّذ على HQ-FGT نفسه (وليس على FAZ). كرّر نفس الإعداد على BR-FGT. في الـ GUI لـ FortiGate: Security Fabric > Fabric Connectors > Logging & Analytics. أمر test-connectivity يؤكد أن الجهاز يصل إلى FAZ-HQ.
config log fortianalyzer setting— الدخول إلى قسم الإعدادset status enable— ضبط قيمة إعدادset server 10.10.10.50— ضبط قيمة إعدادset upload-option realtime— ضبط قيمة إعدادset reliable enable— ضبط قيمة إعدادend— حفظ والخروج من القسمexecute log fortianalyzer test-connectivity— تنفيذ أمر تشغيلي
FAZ-HQ — FortiOS CLI
# المهمة: تفعيل إرسال الـ logs من HQ-FGT
FAZ-HQ #
0/7
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
هذه الأوامر تُنفَّذ على HQ-FGT نفسه (وليس على FAZ). كرّر نفس الإعداد على BR-FGT. في الـ GUI لـ FortiGate: Security Fabric > Fabric Connectors > Logging & Analytics. أمر test-connectivity يؤكد أن الجهاز يصل إلى FAZ-HQ.
٤
التحقق من استقبال السجلات وضبط التخزين
افتح الدرس المرتبط ←المطلوب: يريد العميل تأكيداً بأن السجلات تصل فعلياً وتُفهرَس، مع سياسة احتفاظ واضحة لإدارة المساحة. مهمتك التحقق من أن قاعدة بيانات الـ SQL تعمل ومعدّل الإدخال صحّي، ثم ضبط Data Policy و Storage Policy لكل ADOM.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
أمر diagnose sql status يؤكد أن محرك قاعدة البيانات يعمل ويعرض حالة الفهرسة، وأمر diagnose log device يعرض حجم السجلات لكل جهاز ومعدّل الـ logs/sec. في الـ GUI تابع الوصول الحي عبر Log View واختر الـ ADOM المطلوب.
diagnose sql status sqlreportd— أمر تشخيصdiagnose sql status sqllogd— أمر تشخيصdiagnose log device— أمر تشخيص
FAZ-HQ — FortiOS CLI
# المهمة: فحص حالة قاعدة بيانات الـ SQL ومعدّل الإدخال
FAZ-HQ #
0/3
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
أمر diagnose sql status يؤكد أن محرك قاعدة البيانات يعمل ويعرض حالة الفهرسة، وأمر diagnose log device يعرض حجم السجلات لكل جهاز ومعدّل الـ logs/sec. في الـ GUI تابع الوصول الحي عبر Log View واختر الـ ADOM المطلوب.
٥
إنشاء التقارير الدورية
افتح الدرس المرتبط ←المطلوب: تطلب إدارة Falcon Trading تقريراً أمنياً أسبوعياً يصلها تلقائياً عبر البريد بصيغة PDF لمتابعة وضع المقر الرئيسي. مهمتك جدولة قالب التقرير الأمني (Security) على ADOM باسم HQ ليصدر أسبوعياً ويُرسَل آلياً.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
أمر diagnose report status list يعرض التقارير الجارية وحالة جدولتها، و diagnose sql status sqlreportd يؤكد أن خدمة بناء التقارير تعمل. لا يُبنى التقرير ما لم تكن قاعدة بيانات الـ analytics سليمة.
diagnose report status list— أمر تشخيصdiagnose sql status sqlreportd— أمر تشخيص
FAZ-HQ — FortiOS CLI
# المهمة: عرض قوالب وتقارير الـ ADOM الحالية
FAZ-HQ #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
أمر diagnose report status list يعرض التقارير الجارية وحالة جدولتها، و diagnose sql status sqlreportd يؤكد أن خدمة بناء التقارير تعمل. لا يُبنى التقرير ما لم تكن قاعدة بيانات الـ analytics سليمة.
٦
إعداد التنبيهات على الأحداث الأمنية
افتح الدرس المرتبط ←المطلوب: يطلب العميل إشعاراً فورياً لفريق الأمن عند تكرار محاولات تسجيل دخول إدارية فاشلة، كمؤشر على هجوم brute-force محتمل. مهمتك إنشاء Event Handler باسم "Admin login failures" يطلق إشعاراً عبر البريد عند تحقق الشرط.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
أمر diagnose test application fazsvrd يتحقق من عمل خدمة معالجة الأحداث على FAZ، وضبط system mail شرط أساسي لإرسال إشعارات الـ Event Handler. تأكد من إعداد الـ mail server قبل ربطه بالـ handler.
diagnose test application fazsvrd 1— أمر تشخيصconfig system mail— الدخول إلى قسم الإعدادedit gmail— إنشاء/تعديل كائنset server smtp.falcontrading.local— ضبط قيمة إعدادset port 587— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسم
FAZ-HQ — FortiOS CLI
# المهمة: التحقق من خدمة الأحداث وإعداد البريد الصادر
FAZ-HQ #
0/7
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
أمر diagnose test application fazsvrd يتحقق من عمل خدمة معالجة الأحداث على FAZ، وضبط system mail شرط أساسي لإرسال إشعارات الـ Event Handler. تأكد من إعداد الـ mail server قبل ربطه بالـ handler.
٧
أتمتة الاستجابة عبر Playbooks
افتح الدرس المرتبط ←المطلوب: يريد العميل تقليل زمن الاستجابة بحيث يُعزَل أي host عند رصد حدث عالي الخطورة دون تدخل يدوي. مهمتك بناء Playbook في FortiSoC يُطلَق آلياً على الأحداث عالية الخطورة وينفّذ إجراء "quarantine host" عبر FortiOS connector.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
أمر diagnose test application fazsvrd يتأكد من عمل محرك الـ SOC المسؤول عن تشغيل الـ Playbooks، و diagnose dvm device list يؤكد أن HQ-FGT و BR-FGT متصلان ليتمكّن الـ FortiOS connector من تنفيذ إجراء العزل عليهما.
diagnose test application fazsvrd 1— أمر تشخيصdiagnose dvm device list— أمر تشخيص
FAZ-HQ — FortiOS CLI
# المهمة: التحقق من خدمة الـ SOC ومعالج الأتمتة
FAZ-HQ #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
أمر diagnose test application fazsvrd يتأكد من عمل محرك الـ SOC المسؤول عن تشغيل الـ Playbooks، و diagnose dvm device list يؤكد أن HQ-FGT و BR-FGT متصلان ليتمكّن الـ FortiOS connector من تنفيذ إجراء العزل عليهما.
٨
النسخ الاحتياطي والتسليم
افتح الدرس المرتبط ←المطلوب: قبل تسليم مركز الـ SOC، يطلب العميل نسخة احتياطية كاملة للإعدادات وحساب محلل بصلاحية قراءة فقط لفريق المراقبة، مع التأكد من سلامة التخزين. مهمتك أخذ backup كامل للإعدادات، وإنشاء مستخدم soc_analyst للقراءة فقط، والتحقق من حالة الـ RAID.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
أمر backup all-settings يصدّر كامل الإعدادات إلى خادم ftp (يدعم أيضاً scp/sftp) ويجب الاحتفاظ بالملف خارج الجهاز. أمر diagnose system raid status يؤكد سلامة الأقراص قبل التسليم. في الـ GUI: System Settings > Dashboard > System Information > Backup.
execute backup all-settings ftp 10.10.10.200 faz-backup.dat backupuser BackupPass123— تنفيذ أمر تشغيليdiagnose system raid status— أمر تشخيص
FAZ-HQ — FortiOS CLI
# المهمة: أخذ نسخة احتياطية كاملة للإعدادات
FAZ-HQ #
0/2
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
أمر backup all-settings يصدّر كامل الإعدادات إلى خادم ftp (يدعم أيضاً scp/sftp) ويجب الاحتفاظ بالملف خارج الجهاز. أمر diagnose system raid status يؤكد سلامة الأقراص قبل التسليم. في الـ GUI: System Settings > Dashboard > System Information > Backup.