Fortinetin integrointi Microsoft Defender kanssa IoT:lle

Tämän artikkelin avulla opit integroimaan Fortinetin ja Microsoft Defender IoT:lle ja käyttämään sitä.

Microsoft Defender IoT:lle lieventää IIoT-, ICS- ja SCADA-riskejä ICS:tä tukevilla itseoppimismoottoreilla, jotka tarjoavat välittömiä merkityksellisiä tietoja ICS-laitteista, haavoittuvuuksista ja uhkista. Defender for IoT tekee tämän luottamatta agentteihin, sääntöihin, allekirjoituksille, erityistaitoihin tai ympäristön ennakkotietoihin.

Defender for IoT ja Fortinet ovat perustaneet teknisen kumppanuuden, joka havaitsee ja lopettaa hyökkäykset IoT- ja ICS-verkkoihin.

Huomautus

Defender for IoT aikoo poistaa Fortinet-integraation käytöstä 1.12.2025

IoT:n fortinet ja Microsoft Defender estävät:

  • Valtuuttamattomat muutokset ohjelmoitaviin logiikkaohjaimiin (PLC).

  • Haittaohjelma, joka käsittelee ICS- ja IoT-laitteita niiden alkuperäisten protokollien avulla.

  • Tiedustelutyökalut tietojen keräämisestä.

  • Virheellisten määritysten tai pahantahtoisten hyökkääjien aiheuttamat protokollarikkomukset.

Defender for IoT havaitsee poikkeavan käyttäytymisen IoT- ja ICS-verkoissa ja toimittaa nämä tiedot FortiGatelle ja FortiSIEM:lle seuraavasti:

  • Näkyvyys: Defenderin IoT:lle antamat tiedot antavat FortiSIEM-järjestelmänvalvojille näkyvyyden aiemmin näkymättömiin IoT- ja ICS-verkkoihin.

  • Haitallisten hyökkäysten estäminen: FortiGate-järjestelmänvalvojat voivat luoda Defenderin IoT:lle löytämiä tietoja epänormaalin käyttäytymisen pysäyttämiseksi riippumatta siitä, johtuvatko tämä käyttäytyminen kaoottisista näyttelijöistä tai virheellisesti määritetyistä laitteista, ennen kuin se vahingoittaa tuotantoa, voittoja tai ihmisiä.

FortiSIEM-sovelluksen ja Fortinetin monitoiminen suojaustapausten ja tapahtumien hallintaratkaisu tuo näkyvyyden, korrelaation, automatisoidun vastauksen ja korjauksen yhteen skaalattavaan ratkaisuun.

Yrityspalvelut-näkymän avulla verkko- ja suojaustoimintojen hallinnan monimutkaisuus vähenee, resurssien vapauttaminen ja murrontunnistuksen parantaminen on monimutkaista. FortiSIEM tarjoaa ristiinyhteensyöksyn koneoppimisen ja UEBA:n käytön aikana. Se parantaa vastausta, jotta rikkomukset voidaan lopettaa ennen niiden ilmenemistä.

Tässä artikkelissa opit

  • Ohjelmointirajapinnan avaimen luominen Fortinetissa
  • Haittaohjelmiin liittyvien hälytysten estämistävan edelleenlähetyssäännön määrittäminen
  • Estä epäilyttävien hälytysten lähde
  • Lähetä Defender for IoT -hälytykset FortiSIEM:lle
  • Haitallisen lähteen estäminen Fortigate-palomuurin avulla

Ennakkovaatimukset

Ennen kuin aloitat, varmista, että sinulla on seuraavat edellytykset:

Ohjelmointirajapinnan avaimen luominen Fortinetissa

Ohjelmointirajapinnan avain on yksilöllisesti luotu koodi, jonka avulla ohjelmointirajapinta voi tunnistaa sovelluksen tai käyttäjän, joka pyytää sen käyttöoikeutta. IoT:n ja Fortinetin oikea viestintä edellyttää ohjelmointirajapinnan avainta, jotta Microsoft Defender.

Ohjelmointirajapinnan avaimen luominen Fortinetissa:

  1. Siirry FortiGate-kohdassa kohtaan Järjestelmä>Hallinta Profiilit.

  2. Luo profiili, jolla on seuraavat oikeudet:

    Parametri Valinta
    Security Fabric Ei mitään
    Fortiview Ei mitään
    Käyttäjän & laite Ei mitään
    Palomuuri Mukautettu
    Politiikan Luku ja kirjoitus
    Isäntänimi Luku ja kirjoitus
    Palvelu Ei mitään
    Aikataulu Ei mitään
    Raportin lokit & Ei mitään
    Verkon Ei mitään
    Järjestelmä Ei mitään
    Suojausprofiili Ei mitään
    VPN Ei mitään
    WAN Opt & -välimuisti Ei mitään
    WiFi & kytkin Ei mitään

  3. Siirry kohtaanJärjestelmänvalvojat> ja luo uusi REST-ohjelmointirajapinnan Hallinta, joka sisältää seuraavat kentät:

    Parametri Kuvaus
    Käyttäjänimi Kirjoita edelleenlähetyssäännön nimi.
    Kommentit Syötä edelleen lähettävä vähimmäissuojaustason tapaus. Jos esimerkiksi Minor on valittuna, pienet hälytykset ja kaikki tämän vakavuustason ylittävät ilmoitukset lähetetään edelleen.
    Järjestelmänvalvojaprofiili Valitse avattavasta luettelosta profiilin nimi, jonka olet määrittänyt edellisessä vaiheessa.
    PKI-ryhmä Vaihda kytkimeksi Poista käytöstä.
    CORS Allow Origin Vaihda valitsimen tilaksi Ota käyttöön.
    Rajoita kirjautuminen luotettuihin isäntiin Lisää FortiGateen yhdistävien tunnistimien IP-osoitteet.

Tallenna ohjelmointirajapinta-avain, kun se luodaan, sillä sitä ei anneta uudelleen. Luodun ohjelmointirajapinta-avaimen haltijalle myönnetään kaikki tilille määritetyt käyttöoikeudet.

FortiGate-palomuurin avulla voidaan estää epäilyttävä liikenne.

Edelleenlähetysten ilmoitussäännöt suoritetaan vain ilmoituksista, jotka käynnistetään edelleenlähetyssäännön luomisen jälkeen. Sääntö ei vaikuta hälytyksiin, jotka ovat järjestelmässä jo ennen edelleenlähetyssäännön luomista.

Kun luot edelleenlähetyssääntöä:

  1. Valitse Toiminnot-alueellaFortiGate.

  2. Määritä palvelimen IP-osoite, johon haluat lähettää tiedot.

  3. Anna FortiGate-ruudussa luotu ohjelmointirajapinta-avain.

  4. Anna saapuvan ja lähtevän palomuurin käyttöliittymäportit.

  5. Lähetä tiettyjen ilmoitusten tiedot edelleen valitsemalla tämä. Suosittelemme valitsemaan jonkin seuraavista:

    • Estä virheellisiä funktiokoodeja: Protokollan rikkomukset - Virheellinen kentän arvo, joka rikkoo ICS:n protokollamääritystä (mahdollinen hyödyntäminen)
    • Estä valtuuttamattomat PLC-ohjelmointi- ja laiteohjelmistopäivitykset: Valtuuttamattomat PLC-muutokset
    • Estä valtuuttamaton PLC-pysäytys PLC stop (käyttökatko)
    • Haittaohjelmistoon liittyvien hälytysten estäminen: haittaohjelmayritysten, kuten TRITON tai NotPetya, estäminen
    • Estä luvaton skannaus: Luvaton skannaus (mahdollinen tiedustelu)

Lisätietoja on artikkelissa Paikallisten OT-ilmoitusten edelleenlähetystiedot.

Estä epäilyttävien hälytysten lähde

Epäilyttävien hälytysten lähde voidaan estää uusien esiintymien estämiseksi.

Epäilyttävien hälytysten lähteen estäminen:

  1. Kirjaudu sisään OT-tunnistimeen ja valitse sitten Ilmoitukset.

  2. Valitse Fortinet-integrointiin liittyvä ilmoitus.

  3. Jos haluat estää epäilyttävän lähteen automaattisesti, valitse Estä lähde.

  4. Valitse Vahvista-valintaikkunassa OK.

Lähetä Defender for IoT -hälytykset FortiSIEM:lle

Defender for IoT -hälytykset antavat tietoja monista erilaisista suojaustapahtumista, kuten:

  • Poikkeamat opittua perusverkon toimintaa

  • Haittaohjelmien tunnistukset

  • Epäilyttäviin toiminnallisiin muutoksiin perustuvat tunnistumiset

  • Verkon poikkeavuudet

  • Protokollapoikkeamat protokollamäärityksistä

Voit määrittää Defender for IoT:n lähettämään hälytyksiä FortiSIEM-palvelimeen, jossa ilmoitustiedot näkyvät ANALYTICS-ikkunassa :

Jokainen IoT-puolustaja-ilmoitus jäsennetaan ilman muita määrityksiä FortiSIEM-puolella, ja ne esitetään FortiSIEM-ruudussa suojaustapahtumina. Seuraavat tapahtumatiedot näkyvät oletusarvoisesti:

  • Application Protocol
  • Sovelluksen versio
  • Luokan tyyppi
  • Keräimen tunnus
  • Laskea
  • Laitteen aika
  • Tapahtuman tunnus
  • Tapahtuman nimi
  • Tapahtuman jäsennystila

Sen jälkeen voit käyttää Defenderin IoT:n edelleenlähetyssääntöjä ilmoitustietojen lähettämiseen FortiSIEM-lle.

Edelleenlähetysten ilmoitussäännöt suoritetaan vain ilmoituksista, jotka käynnistetään edelleenlähetyssäännön luomisen jälkeen. Sääntö ei vaikuta hälytyksiin, jotka ovat järjestelmässä jo ennen edelleenlähetyssäännön luomista.

Defenderin käyttäminen IoT:n edelleenlähetyssäännöissä ilmoitustietojen lähettämiseksi FortiSIEM:lle:

  1. Valitse tunnistinkonsolista Edelleenlähetys.

  2. Valitse + Luo uusi sääntö.

  3. Määritä säännön parametrit Lisää edelleenlähetyssääntö -ruudussa:

    Näyttökuva edelleenlähetyssääntöjen näkymästä Edelleenlähetys-ikkunassa.

    Parametri Kuvaus
    Säännön nimi Edelleenlähetyssäännön nimi.
    Pieni ilmoitustaso Minimaalinen suojaustason tapaus, joka lähetetään eteenpäin. Jos esimerkiksi Minor on valittuna, pienet hälytykset ja kaikki tämän vakavuustason ylittävät ilmoitukset lähetetään edelleen.
    Mikä tahansa havaittu protokolla Valitse sääntöön sisällytettävät protokollat valitsemalla pois käytöstä.
    Minkä tahansa moduulin havaitsema liikenne Valitse sääntöön sisällytettävä liikenne valitsemalla pois käytöstä.

  4. Määritä Toiminnot-alueella seuraavat arvot:

    Parametri Kuvaus
    Palvelin Valitse FortiSIEM.
    Isäntä Määritä ClearPass-palvelimen IP-osoite ilmoitustietojen lähettämiseksi.
    Port (Portti) Määritä ClearPass-portti ilmoitustietojen lähettämiseksi.
    Aikavyöhyke Hälytyksen tunnistamisen aikaleima.

  5. Valitse Tallenna.

Haitallisen lähteen estäminen Fortigate-palomuurin avulla

Voit määrittää käytäntöjä estämään haitalliset lähteet automaattisesti FortiGate-palomuurissa käyttämällä IoT:n Defenderin ilmoituksia.

Voit määrittää FortiGate-palomuurisäännön, joka estää haitallisen lähteen:

  1. Luo FortiGatessa ohjelmointirajapinnan avain.

  2. Kirjaudu IoT-anturin Defenderiin ja valitse Edelleenlähetys, määritä edelleenlähetyssääntö, joka estää haittaohjelmistoon liittyvät hälytykset.

  3. Valitse IoT-anturin Defender-kohdasta Hälytykset ja estä haitallinen lähde.

  4. Siirry FortiGage-järjestelmänvalvoja - ikkunaan ja etsi estetty haitallinen lähdeosoite.

    Estokäytäntö luodaan automaattisesti, ja se näkyy FortiGate IPv4 -käytäntöikkunassa.

    Näyttökuva FortiGate IPv4 -käytäntöikkunanäkymästä.

  5. Valitse käytäntö ja varmista, että Ota tämä käytäntö käyttöön -asetus on käytössä.

    Näyttökuva FortiGate IPv4:n käytännön muokkausnäkymästä.

    Parametri Kuvaus
    Name (Nimi) Käytännön nimi.
    Saapuva liittymä Saapuvan palomuurin liittymä liikennettä varten.
    Lähtevä liittymä Liikenteen lähtevän palomuurin liittymä.
    Lähde Liikenteen lähdeosoitteet.
    Kohde Liikenteen kohdeosoitteet.
    Aikataulu Juuri määritetyn säännön esiintymä. Esimerkiksi always.
    Palvelu Liikenteen protokolla tai tietyt portit.
    Toiminta Toiminto, jonka palomuuri suorittaa.

Seuraavat vaiheet

Integroinnit Microsoftin ja kumppanipalveluiden kanssa

  • Last updated on