Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Fortinet in Microsoft Defender für IoT integrieren und verwenden.
Microsoft Defender für IoT verringert IIoT-, ICS- und SCADA-Risiken mit ICS-fähigen selbstlernfähigen Engines, die sofortige Einblicke in ICS-Geräte, Sicherheitsrisiken und Bedrohungen liefern. Defender für IoT erreicht dies, ohne sich auf Agents, Regeln, Signaturen, spezielle Fähigkeiten oder Vorkenntnisse der Umgebung verlassen zu müssen.
Defender für IoT und Fortinet haben eine technologische Partnerschaft etabliert, die Angriffe auf IoT- und ICS-Netzwerke erkennt und stoppt.
Hinweis
Defender für IoT plant die Einstellung der Fortinet-Integration am 1. Dezember 2025.
Fortinet und Microsoft Defender für IoT verhindern Folgendes:
Nicht autorisierte Änderungen an programmierbaren Logikcontrollern (SPS).
Schadsoftware, die ICS- und IoT-Geräte über ihre nativen Protokolle manipuliert.
Reconnaissance-Tools aus dem Sammeln von Daten.
Protokollverletzungen, die durch Fehlkonfigurationen oder böswillige Angreifer verursacht werden.
Defender für IoT erkennt anomales Verhalten in IoT- und ICS-Netzwerken und übermittelt diese Informationen wie folgt an FortiGate und FortiSIEM:
Sichtbarkeit: Die von Defender für IoT bereitgestellten Informationen bieten FortiSIEM-Administratoren Einblick in bisher unsichtbare IoT- und ICS-Netzwerke.
Blockieren böswilliger Angriffe: FortiGate-Administratoren können die von Defender für IoT ermittelten Informationen verwenden, um Regeln zu erstellen, um anomales Verhalten zu stoppen, unabhängig davon, ob dieses Verhalten durch chaotische Akteure oder falsch konfigurierte Geräte verursacht wird, bevor es Produktions-, Gewinn- oder Personenschäden verursacht.
FortiSIEM und Fortinets Multivendor-Lösung zur Verwaltung von Sicherheitsvorfällen und Ereignissen bietet Transparenz, Korrelation, automatisierte Reaktion und Korrektur in einer einzigen skalierbaren Lösung.
Mithilfe einer Business Services-Ansicht wird die Komplexität der Verwaltung von Netzwerk- und Sicherheitsvorgängen reduziert, wodurch Ressourcen freigegeben und die Erkennung von Sicherheitsverletzungen verbessert wird. FortiSIEM bietet eine Kreuzkorrelation, während Machine Learning und UEBA angewendet werden, um die Reaktion zu verbessern, um Sicherheitsverletzungen zu verhindern, bevor sie auftreten.
In diesem Artikel erfahren Sie folgendes:
- Erstellen eines API-Schlüssels in Fortinet
- Festlegen einer Weiterleitungsregel zum Blockieren schadsoftwarebezogener Warnungen
- Blockieren der Quelle verdächtiger Warnungen
- Senden von Defender für IoT-Warnungen an FortiSIEM
- Blockieren einer schädlichen Quelle mithilfe der Fortigate-Firewall
Voraussetzungen
Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:
Zugriff auf einen Defender für IoT OT-Sensor als Admin Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.
Möglichkeit zum Erstellen von API-Schlüsseln in Fortinet.
Erstellen eines API-Schlüssels in Fortinet
Ein API-Schlüssel (Application Programming Interface) ist ein eindeutig generierter Code, mit dem eine API die Anwendung oder den Benutzer identifizieren kann, der Zugriff darauf anfordert. Ein API-Schlüssel ist erforderlich, damit Microsoft Defender für IoT und Fortinet ordnungsgemäß kommunizieren können.
So erstellen Sie einen API-Schlüssel in Fortinet:
Navigieren Sie in FortiGate zu System>Admin Profile.
Erstellen Sie ein Profil mit den folgenden Berechtigungen:
Parameter Selection Security Fabric Keine Fortiview Keine Benutzer & Gerät Keine Firewall Benutzerdefiniert Richtlinie Lesen/Schreiben Adresse Lesen/Schreiben Dienst Keine Schedule Keine Protokolle & Bericht Keine Netzwerk Keine System Keine Sicherheitsprofil Keine VPN Keine WAN Opt & Cache Keine WiFi & Switch Keine Navigieren Sie zuSystemadministratoren>, und erstellen Sie eine neue REST-API-Admin mit den folgenden Feldern:
Parameter Beschreibung Username Geben Sie den Namen der Weiterleitungsregel ein. Kommentare Geben Sie den minimalen Incident auf Sicherheitsebene ein, der weitergeleitet werden soll. Wenn z. B. Nebenwert ausgewählt ist, werden kleinere Warnungen und alle Warnungen über diesem Schweregrad weitergeleitet. Administratorprofil Wählen Sie in der Dropdownliste den Profilnamen aus, den Sie im vorherigen Schritt definiert haben. PKI-Gruppe Schalten Sie den Schalter auf Deaktivieren um. CORS Allow Origin Schalten Sie den Schalter auf Aktivieren um. Einschränken der Anmeldung auf vertrauenswürdige Hosts Fügen Sie die IP-Adressen der Sensoren hinzu, die eine Verbindung mit FortiGate herstellen.
Speichern Sie den API-Schlüssel, wenn er generiert wird, da er nicht erneut bereitgestellt wird. Dem Bearer des generierten API-Schlüssels werden alle Zugriffsberechtigungen gewährt, die dem Konto zugewiesen sind.
Festlegen einer Weiterleitungsregel zum Blockieren schadsoftwarebezogener Warnungen
Die FortiGate-Firewall kann verwendet werden, um verdächtigen Datenverkehr zu blockieren.
Weiterleitungswarnungsregeln werden nur bei Warnungen ausgeführt, die ausgelöst werden, nachdem die Weiterleitungsregel erstellt wurde. Warnungen, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
Beim Erstellen Ihrer Weiterleitungsregel:
Wählen Sie im Bereich Aktionendie Option FortiGate aus.
Definieren Sie die IP-Adresse des Servers, an die Sie die Daten senden möchten.
Geben Sie einen api-Schlüssel ein, der in FortiGate erstellt wurde.
Geben Sie die ein- und ausgehenden Firewallschnittstellenports ein.
Wählen Sie diese Option aus, um bestimmte Warnungsdetails weiterzuleiten. Es wird empfohlen, eine der folgenden Optionen auszuwählen:
- Blockieren unzulässiger Funktionscodes: Protokollverletzungen – Unzulässiger Feldwert, der gegen die ICS-Protokollspezifikation verstößt (potenzieller Exploit)
- Nicht autorisierte SPS-Programmierung/Firmwareupdates blockieren: Nicht autorisierte SPS-Änderungen
- Blockieren eines nicht autorisierten SPS-Stopps SPS-Stopp (Downtime)
- Warnungen im Zusammenhang mit Schadsoftware blockieren: Blockieren industrieller Malware-Versuche wie TRITON oder NotPetya
- Nicht autorisierte Überprüfungen blockieren: Nicht autorisierte Überprüfungen (potenzielle Reconnaissance)
Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.
Blockieren der Quelle verdächtiger Warnungen
Die Quelle verdächtiger Warnungen kann blockiert werden, um weitere Vorkommen zu verhindern.
So blockieren Sie die Quelle verdächtiger Warnungen:
Melden Sie sich beim OT-Sensor an, und wählen Sie dann Warnungen aus.
Wählen Sie die Warnung im Zusammenhang mit der Fortinet-Integration aus.
Um die verdächtige Quelle automatisch zu blockieren, wählen Sie Quelle blockieren aus.
Wählen Sie im Dialogfeld Bitte bestätigen die Option OK aus.
Senden von Defender für IoT-Warnungen an FortiSIEM
Defender für IoT-Warnungen bieten Informationen zu einer vielzahl von Sicherheitsereignissen, einschließlich:
Abweichungen von der gelernten Basisnetzwerkaktivität
Schadsoftwareerkennungen
Erkennungen basierend auf verdächtigen Betriebsänderungen
Netzwerkanomalien
Protokollabweichungen von Protokollspezifikationen
Sie können Defender für IoT so konfigurieren, dass Warnungen an den FortiSIEM-Server gesendet werden, wo Warnungsinformationen im Analytics-Fenster angezeigt werden:
Jede Defender für IoT-Warnung wird dann ohne andere Konfiguration auf fortiSIEM-Seite analysiert und in FortiSIEM als Sicherheitsereignisse angezeigt. Die folgenden Ereignisdetails werden standardmäßig angezeigt:
- Anwendungsprotokoll
- Anwendungsversion
- Kategorietyp
- Collector-ID
- Count
- Gerätezeit
- Ereignis-ID
- Ereignisname
- Ereignisanalysestatus
Anschließend können Sie die Weiterleitungsregeln von Defender für IoT verwenden, um Warnungsinformationen an FortiSIEM zu senden.
Weiterleitungswarnungsregeln werden nur bei Warnungen ausgeführt, die ausgelöst werden, nachdem die Weiterleitungsregel erstellt wurde. Warnungen, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
So verwenden Sie die Weiterleitungsregeln von Defender für IoT, um Warnungsinformationen an FortiSIEM zu senden:
Wählen Sie in der Sensorkonsole Weiterleitung aus.
Wählen Sie + Neue Regel erstellen aus.
Definieren Sie im Bereich Weiterleitungsregel hinzufügen die Regelparameter:
Parameter Beschreibung Regelname Der Name der Weiterleitungsregel. Minimale Warnungsstufe Der incident der minimalen Sicherheitsstufe, der weitergeleitet werden soll. Wenn z. B. Nebenwert ausgewählt ist, werden kleinere Warnungen und alle Warnungen über diesem Schweregrad weitergeleitet. Ein beliebiges Protokoll erkannt Deaktivieren Sie die Option, um die Protokolle auszuwählen, die Sie in die Regel einschließen möchten. Datenverkehr, der von einer beliebigen Engine erkannt wird Deaktivieren Sie , um den Datenverkehr auszuwählen, den Sie in die Regel einschließen möchten. Definieren Sie im Bereich Aktionen die folgenden Werte:
Parameter Beschreibung Server Wählen Sie FortiSIEM aus. Host Definieren Sie die ClearPass-Server-IP zum Senden von Warnungsinformationen. Port Definieren Sie den ClearPass-Port zum Senden von Warnungsinformationen. Zeitzone Der Zeitstempel für die Warnungserkennung. Klicken Sie auf Speichern.
Blockieren einer schädlichen Quelle mithilfe der Fortigate-Firewall
Sie können Richtlinien festlegen, um schädliche Quellen in der FortiGate-Firewall mithilfe von Warnungen in Defender für IoT automatisch zu blockieren.
So legen Sie eine FortiGate-Firewallregel fest, die eine schädliche Quelle blockiert:
Melden Sie sich beim Defender für IoT-Sensor an, und wählen Sie Weiterleitung aus, und legen Sie eine Weiterleitungsregel fest, die Schadsoftwarewarnungen blockiert.
Wählen Sie im Defender für IoT-Sensor Warnungen aus, und blockieren Sie eine böswillige Quelle.
Navigieren Sie zum Fenster FortiGage-Administrator , und suchen Sie die schädliche Quelladresse, die Sie blockiert haben.
Die blockierende Richtlinie wird automatisch erstellt und im Fenster FortiGate-IPv4-Richtlinie angezeigt.
Wählen Sie die Richtlinie aus, und stellen Sie sicher, dass Diese Richtlinie aktivieren aktiviert ist.
Parameter Beschreibung Name Der Name der Richtlinie Eingehende Schnittstelle Die eingehende Firewallschnittstelle für den Datenverkehr. Ausgehende Schnittstelle Die ausgehende Firewallschnittstelle für den Datenverkehr. Source Die Quelladresse(n) für den Datenverkehr. Destination Die Zieladresse(n) für den Datenverkehr. Schedule Das Vorkommen der neu definierten Regel. Beispiel: always.Dienst Das Protokoll oder bestimmte Ports für den Datenverkehr. Aktion Die Aktion, die die Firewall ausführt.
