Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a aprender a integrar y usar Fortinet con Microsoft Defender para IoT.
Microsoft Defender para IoT mitiga el riesgo de IIoT, ICS y SCADA con motores de autoaprendización compatibles con ICS que proporcionan información inmediata sobre dispositivos ICS, vulnerabilidades y amenazas. Defender para IoT logra esto sin depender de agentes, reglas, firmas, aptitudes especializadas o conocimientos previos del entorno.
Defender para IoT y Fortinet han establecido una asociación tecnológica que detecta y detiene los ataques en redes IoT e ICS.
Nota:
Defender para IoT planea retirar la integración de Fortinet el 1 de diciembre de 2025
Fortinet y Microsoft Defender para IoT evitan lo siguiente:
Cambios no autorizados en controladores lógicos programables (PLC).
Malware que manipula dispositivos ICS e IoT a través de sus protocolos nativos.
Herramientas de reconocimiento de la recopilación de datos.
Infracciones de protocolo causadas por configuraciones incorrectas o atacantes malintencionados.
Defender para IoT detecta un comportamiento anómalo en redes IoT e ICS y entrega esa información a FortiGate y FortiSIEM, como se indica a continuación:
Visibilidad: La información proporcionada por Defender para IoT proporciona a los administradores de FortiSIEM visibilidad sobre las redes IoT e ICS anteriormente invisibles.
Bloqueo de ataques malintencionados: Los administradores de FortiGate pueden usar la información detectada por Defender para IoT para crear reglas para detener el comportamiento anómalo, independientemente de si ese comportamiento está causado por actores caóticos o dispositivos mal configurados, antes de que cause daños en la producción, los beneficios o las personas.
La solución de administración de eventos e incidentes de seguridad multivendor de FortiSIEM y Fortinet aporta visibilidad, correlación, respuesta automatizada y corrección a una única solución escalable.
Con una vista de Business Services, se reduce la complejidad de la administración de operaciones de red y seguridad, liberando recursos y mejorando la detección de infracciones. FortiSIEM proporciona correlación cruzada, al aplicar el aprendizaje automático y UEBA, para mejorar la respuesta con el fin de detener las infracciones antes de que se produzcan.
En este artículo, aprenderá a:
- Creación de una clave de API en Fortinet
- Establecer una regla de reenvío para bloquear las alertas relacionadas con malware
- Bloquear el origen de alertas sospechosas
- Envío de alertas de Defender para IoT a FortiSIEM
- Bloquear un origen malintencionado mediante el firewall fortigate
Requisitos previos
Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:
Acceso a un sensor ot de Defender para IoT como usuario Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Capacidad de crear claves de API en Fortinet.
Creación de una clave de API en Fortinet
Una clave de interfaz de programación de aplicaciones (API) es un código generado de forma única que permite a una API identificar la aplicación o el usuario que solicita acceso a ella. Se necesita una clave de API para que Microsoft Defender de IoT y Fortinet se comuniquen correctamente.
Para crear una clave de API en Fortinet:
En FortiGate, vaya a Perfiles de system>Administración.
Cree un perfil con los permisos siguientes:
Parámetro Selección Tejido de seguridad Ninguno Fortiview Ninguno Dispositivo de & de usuario Ninguno Firewall Personalizado Directiva Lectura y escritura Dirección Lectura y escritura Servicio Ninguno Schedule Ninguno Informe de & de registros Ninguno Red Ninguno System Ninguno Perfil de seguridad Ninguno VPN Ninguno WAN Opt & Cache Ninguno Conmutador de & WiFi Ninguno Vaya aAdministradoresdel sistema> y cree una nueva API REST Administración con los campos siguientes:
Parámetro Descripción Username Escriba el nombre de la regla de reenvío. Comentarios Escriba el incidente de nivel de seguridad mínimo que se va a reenviar. Por ejemplo, si se selecciona Menor , se reenviarán las alertas secundarias y cualquier alerta por encima de este nivel de gravedad. Perfil de administrador En la lista desplegable, seleccione el nombre de perfil que ha definido en el paso anterior. Grupo PKI Cambie el modificador a Deshabilitar. CORS Permitir origen Cambie el modificador a Habilitar. Restricción del inicio de sesión a hosts de confianza Agregue las direcciones IP de los sensores que se conectarán a FortiGate.
Guarde la clave de API cuando se genere, ya que no se volverá a proporcionar. Al portador de la clave de API generada se le concederán todos los privilegios de acceso asignados a la cuenta.
Establecer una regla de reenvío para bloquear las alertas relacionadas con malware
El firewall de FortiGate se puede usar para bloquear el tráfico sospechoso.
Las reglas de alertas de reenvío solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de crear la regla de reenvío no se ven afectadas por la regla.
Al crear la regla de reenvío:
En el área Acciones , seleccione FortiGate.
Defina la dirección IP del servidor donde desea enviar los datos.
Escriba una clave de API creada en FortiGate.
Escriba los puertos de interfaz de firewall entrantes y salientes.
Seleccione esta opción para reenviar detalles de alerta específicos. Se recomienda seleccionar una de las siguientes opciones:
- Bloquear códigos de función no válidos: infracciones de protocolo: valor de campo no válido que infringe la especificación del protocolo ICS (posible vulnerabilidad de seguridad)
- Bloquear actualizaciones de firmware y programación de PLC no autorizadas: cambios de PLC no autorizados
- Bloquear la detención de PLC no autorizada Parada de PLC (tiempo de inactividad)
- Bloquear alertas relacionadas con malware: bloqueo de los intentos de malware industriales, como TRITON o NotPetya
- Bloquear el examen no autorizado: examen no autorizado (posible reconocimiento)
Para obtener más información, consulte Forward on-premises OT alert information (Reenviar información de alertas de OT local).
Bloquear el origen de alertas sospechosas
El origen de alertas sospechosas se puede bloquear para evitar más repeticiones.
Para bloquear el origen de alertas sospechosas:
Inicie sesión en el sensor OT y, a continuación, seleccione Alertas.
Seleccione la alerta relacionada con la integración de Fortinet.
Para bloquear automáticamente el origen sospechoso, seleccione Bloquear origen.
En el cuadro de diálogo Confirmar, seleccione Aceptar.
Envío de alertas de Defender para IoT a FortiSIEM
Las alertas de Defender para IoT proporcionan información sobre una amplia gama de eventos de seguridad, entre los que se incluyen:
Desviaciones de la actividad de red de línea base aprendida
Detecciones de malware
Detecciones basadas en cambios operativos sospechosos
Anomalías de red
Desviaciones de protocolo de las especificaciones del protocolo
Puede configurar Defender para IoT para enviar alertas al servidor FortiSIEM, donde la información de alertas se muestra en la ventana ANALYTICS :
A continuación, cada alerta de Defender para IoT se analiza sin ninguna otra configuración en el lado de FortiSIEM y se presentan en FortiSIEM como eventos de seguridad. Los siguientes detalles del evento aparecen de forma predeterminada:
- Protocolo de aplicación
- Versión de la aplicación
- Tipo de categoría
- Id. del recopilador
- Count
- Hora del dispositivo
- Id. de evento
- Nombre del evento
- Estado del análisis de eventos
Después, puede usar las reglas de reenvío de Defender para IoT para enviar información de alerta a FortiSIEM.
Las reglas de alertas de reenvío solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de crear la regla de reenvío no se ven afectadas por la regla.
Para usar las reglas de reenvío de Defender para IoT para enviar información de alerta a FortiSIEM:
En la consola del sensor, seleccione Reenvío.
Seleccione + Crear nueva regla.
En el panel Agregar regla de reenvío , defina los parámetros de regla:
Parámetro Descripción Nombre de la regla Nombre de la regla de reenvío. Nivel mínimo de alerta El incidente de nivel de seguridad mínimo que se va a reenviar. Por ejemplo, si se selecciona Menor, se reenviarán las alertas secundarias y cualquier alerta por encima de este nivel de gravedad. Cualquier protocolo detectado Desactive esta opción para seleccionar los protocolos que desea incluir en la regla. Tráfico detectado por cualquier motor Desactive esta opción para seleccionar el tráfico que desea incluir en la regla. En el área Acciones , defina los siguientes valores:
Parámetro Descripción Servidor Seleccione FortiSIEM. Host Defina la dirección IP del servidor ClearPass para enviar información de alerta. Port Defina el puerto ClearPass para enviar información de alerta. Zona horaria Marca de tiempo para la detección de alertas. Haga clic en Guardar.
Bloquear un origen malintencionado mediante el firewall fortigate
Puede establecer directivas para bloquear automáticamente orígenes malintencionados en el firewall de FortiGate mediante alertas en Defender para IoT.
Para establecer una regla de firewall de FortiGate que bloquee un origen malintencionado:
En FortiGate, cree una clave de API.
Inicie sesión en el sensor de Defender para IoT y seleccione Reenvío y establezca una regla de reenvío que bloquee las alertas relacionadas con malware.
En el sensor de Defender para IoT, seleccione Alertas y bloquee un origen malintencionado.
Vaya a la ventana Administrador de FortiGage y busque la dirección de origen malintencionada que bloqueó.
La directiva de bloqueo se crea automáticamente y aparece en la ventana Directiva IPv4 de FortiGate.
Seleccione la directiva y asegúrese de que Habilitar esta directiva esté activado.
Parámetro Descripción Name El nombre de la directiva. Interfaz entrante Interfaz de firewall de entrada para el tráfico. Interfaz saliente Interfaz de firewall de salida para el tráfico. Source Las direcciones de origen del tráfico. Destino Las direcciones de destino del tráfico. Schedule La aparición de la regla recién definida. Por ejemplo, always.Servicio Protocolo o puertos específicos para el tráfico. Action Acción que realizará el firewall.
