FortiView Nedir? Sources, Destinations, Applications, Sessions ile Trafik Analizi

FortiView Nedir?

FortiView, FortiGate'in yerleşik gerçek zamanlı trafik analiz ve izleme panelidir. Harici bir araç gerektirmeden ağınızdaki tüm trafiği; kaynak, hedef, uygulama, web sitesi, politika ve oturum bazında anlık olarak görüntülemenizi sağlar.

FortiView; güvenlik olaylarını tespit etmek, bant genişliği tüketen cihaz veya uygulamaları bulmak ve firewall politikalarının doğru çalışıp çalışmadığını doğrulamak için günlük olarak kullanılan bir araçtır.

FortiGate GUI'de FortiView menüsü altında şu ekranlar bulunur:

• FortiView Sources
• FortiView Destinations
• FortiView Applications
• FortiView Web Sites
• FortiView Policies
• FortiView Sessions
• DHCP Monitor

FortiView Sources — Kaynaklar

Ne gösterir: Ağınızdaki hangi kaynak IP adreslerinin (cihazların) en fazla trafik ürettiğini listeler. Her kaynak için bant genişliği kullanımı, oturum sayısı ve tehdit durumu görüntülenir.

Ne için kullanılır?

• İnterneti en çok kullanan cihazı veya kullanıcıyı tespit etmek
• Anormal miktarda trafik üreten bir cihazı (virüs, botnet vb.) bulmak
• Mesai saatlerinde bant genişliği tüketen kaynakları izlemek

Nasıl okunur?

Listede en üstteki IP en fazla trafik üreten cihazdır. IP adresine tıklayarak o cihazın hangi uygulamalara ve web sitelerine eriştiğini drilldown ile görüntüleyebilirsiniz.

İpucu: Sağ üstteki zaman filtresini "Son 1 Saat", "Son 24 Saat" veya özel aralıkta ayarlayabilirsiniz.

FortiView Destinations — Hedefler

Ne gösterir: Ağınızdaki trafiğin hangi hedef IP adresleri veya ülkelere gittiğini gösterir. Coğrafi harita görünümüyle ülke bazlı trafik dağılımı da izlenebilir.

Ne için kullanılır?

• Bilinmeyen veya şüpheli IP adresleriyle iletişim olup olmadığını kontrol etmek
• Belirli bir ülkeyle (örn. Kuzey Kore, Rusya) trafik gidip gitmediğini görmek
• C&C (Command & Control) sunucularına bağlantı tespiti
• DNS veya NTP trafiğinin nereye gittiğini doğrulamak

Nasıl okunur?

Hedef IP'ye tıklayarak hangi kaynak cihazların o adrese bağlandığını, hangi uygulamanın kullanıldığını görebilirsiniz. Şüpheli bir hedefe tıklayıp "Quarantine Source" ile kaynak cihazı hızla karantinaya alabilirsiniz.

FortiView Applications — Uygulamalar

Ne gösterir: Ağınızda hangi uygulamaların kullanıldığını ve ne kadar bant genişliği tükettiğini listeler. FortiGate'in Uygulama Kontrolü (App Control) motoru, şifreli trafiği bile deep inspection ile tanımlayabilir.

Ne için kullanılır?

• Onaylanmamış uygulamaları (shadow IT) tespit etmek — örn. kurumsal onay olmadan kullanılan bulut depolama
• Yüksek bant genişliği tüketen uygulamaları (YouTube, Netflix, BitTorrent) bulmak
• App Control politikasının etkin çalışıp çalışmadığını doğrulamak
• Risk skoru yüksek uygulamaları izlemek

Nasıl okunur?

Her uygulama için Risk Seviyesi (1-5 arası), oturum sayısı ve bant genişliği gösterilir. Risk 4-5 olan uygulamalar kırmızı ile işaretlenir. Uygulamaya tıklayarak hangi kullanıcıların veya cihazların kullandığını görebilirsiniz.

Örnek senaryo: BitTorrent veya TeamViewer gibi uygulamaların listede görünmesi, politika dışı kullanımın işaretidir.

FortiView Web Sites — Web Siteleri

Ne gösterir: Ağınızdaki cihazların eriştiği web sitelerini, kategorileri ve bant genişliği kullanımını listeler. Web Filtreleme (Web Filter) modülüyle entegre çalışır.

Ne için kullanılır?

• En çok ziyaret edilen web sitelerini görmek
• Engellenen sitelere erişim denemelerini izlemek
• Zararlı veya phishing sitelerine erişim tespiti
• Web Filter politikasını tune etmek için kullanım verisi toplamak

Nasıl okunur?

Listede her alan adı için kategori, erişim sayısı ve bant genişliği görünür. "Blocked" olarak işaretlenenler kırmızı renkte gösterilir. Bir site adına tıklayarak hangi kullanıcıların erişmeye çalıştığını ve kaç kez engellendiğini görebilirsiniz.

İpucu: Sık engellenen ama zararsız bir siteyi burada tespit edip Web Filter politikasına whitelist olarak ekleyebilirsiniz.

FortiView Policies — Politikalar

Ne gösterir: Her firewall politikasının ne kadar trafik işlediğini, kaç oturum oluşturduğunu ve bant genişliği kullanımını gösterir.

Ne için kullanılır?

• Hiç trafik geçmeyen (kullanılmayan) politikaları tespit etmek ve temizlemek
• En yoğun kullanılan politikaları belirlemek
• Yanlış politikaya düşen trafiği yakalamak
• Politika optimizasyonu ve güvenlik denetimi için kanıt toplamak

Nasıl okunur?

Her politika satırında ID, kaynak/hedef zone, servis ve trafik istatistikleri görünür. "0 oturum" olan bir politika ya gereksizdir ya da beklenmedik bir şekilde çalışmıyordur. Politikaya tıklayarak hangi kaynakların ve hedeflerin o politikadan geçtiğini görebilirsiniz.

İyi pratik: Aylık düzenli FortiView Policies incelemesi yaparak kullanılmayan kuralları kaldırın — bu hem performansı artırır hem de güvenlik riskini azaltır.

FortiView Sessions — Aktif Oturumlar

Ne gösterir: FortiGate üzerinden geçen tüm aktif TCP/UDP oturumlarını gerçek zamanlı olarak listeler. En granüler FortiView ekranıdır.

Ne için kullanılır?

• Belirli bir IP'nin şu an hangi bağlantıları açık tuttuğunu görmek
• Port tarama veya DDoS saldırısı sırasında anormal oturum sayısını tespit etmek
• Bir uygulamanın gerçekte hangi IP ve porta bağlandığını doğrulamak
• VPN oturumlarını izlemek
• Şüpheli bir oturumu anında sonlandırmak

Nasıl okunur?

Her oturum satırında kaynak IP:port, hedef IP:port, protokol, politika ve veri transferi görünür. Bir oturuma sağ tıklayarak "Block Source" veya "Terminate Session" seçenekleriyle anında müdahale edebilirsiniz.

Örnek senaryo: Bir sunucunun binlerce eş zamanlı oturumu varsa port tarama veya botnet aktivitesi olabilir — Sessions ekranı bunu anında gösterir.

CLI ile Oturum Sorgusu

Daha detaylı filtreler için CLI kullanılabilir:

# Belirli bir IP'nin oturumlarını filtrele
diagnose sys session filter src 192.168.1.100
diagnose sys session list

# Tüm aktif oturum sayısını gör
diagnose sys session stat

DHCP Monitor

Ne gösterir: FortiGate'in DHCP sunucusundan IP adresi almış tüm cihazları listeler. IP, MAC adresi, hostname ve lease süresi görüntülenir.

Ne için kullanılır?

• Ağa bağlanan tüm cihazların envanterini görmek
• Bilinmeyen MAC adresine sahip cihazları tespit etmek (yetkisiz cihaz bağlantısı)
• Bir cihazın IP adresini hostname'den bulmak (veya tersi)
• IP çakışmalarını önlemek için lease durumunu kontrol etmek
• FortiAP üzerinden bağlanan kablosuz istemcileri görmek

Nasıl okunur?

Listede her cihaz için IP adresi, MAC adresi, hostname (mümkünse), arayüz ve lease bitiş zamanı görünür. Bilinmeyen bir MAC adresi görürseniz fiziksel ağınızda yetkisiz bir cihaz var demektir.

İpucu: DHCP Monitor'dan bir cihaza sağ tıklayarak o IP için statik DHCP rezervasyonu oluşturabilirsiniz — bu sayede cihaz her zaman aynı IP'yi alır.

FortiView'i Etkin Kullanmak için 5 İpucu

1. Zaman filtresini kullanın: Olayları doğru zaman dilimiyle ilişkilendirmek için "Son 5 Dakika", "Son 1 Saat" veya özel aralık seçin.
2. Drilldown yapın: Her ekranda satıra tıklayarak bir alt katmana (kaynak → uygulama → oturum) inin.
3. Log'ları etkin tutun: FortiView verileri log kayıtlarına dayanır. Politikalarınızda loglama kapalıysa FortiView boş görünür.
4. FortiAnalyzer ile genişletin: FortiView 7 günlük veri gösterir. Daha uzun geçmişe erişmek için FortiAnalyzer kullanın.
5. Düzenli inceleme alışkanlığı edinin: Her sabah 5 dakika FortiView Sources ve Applications ekranını kontrol etmek, anormallikleri erken yakalamanızı sağlar.

Sonuç

FortiView, FortiGate'in en güçlü yerleşik araçlarından biridir. Ek bir yazılım veya lisans gerektirmeden ağınızdaki trafiği tam görünürlükle izlemenizi sağlar. Kaynak, hedef, uygulama, web sitesi, politika ve oturum katmanlarında birbirini tamamlayan bu ekranlar, hem günlük operasyon hem de olay müdahalesi için vazgeçilmezdir. Lider Network olarak FortiGate izleme, SOC kurulumu ve güvenlik denetimi konularında NSE sertifikalı mühendislerimizle yanınızdayız.