Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à apprendre à intégrer et à utiliser Fortinet avec Microsoft Defender pour IoT.
Microsoft Defender pour IoT atténue les risques liés aux IIoT, ICS et SCADA avec des moteurs d’auto-apprentissage prenant en charge ICS qui fournissent des insights immédiats sur les appareils ICS, les vulnérabilités et les menaces. Defender pour IoT effectue cette opération sans s’appuyer sur des agents, des règles, des signatures, des compétences spécialisées ou une connaissance préalable de l’environnement.
Defender pour IoT et Fortinet ont établi un partenariat technologique qui détecte et arrête les attaques sur les réseaux IoT et ICS.
Remarque
Defender pour IoT prévoit de mettre hors service l’intégration de Fortinet le 1er décembre 2025
Fortinet et Microsoft Defender pour IoT empêchent :
Modifications non autorisées apportées aux contrôleurs logiques programmables (PLC).
Programmes malveillants qui manipulent des appareils ICS et IoT via leurs protocoles natifs.
Outils de reconnaissance de la collecte de données.
Violations de protocole provoquées par des configurations incorrectes ou des attaquants malveillants.
Defender pour IoT détecte les comportements anormaux dans les réseaux IoT et ICS et fournit ces informations à FortiGate et FortiSIEM, comme suit :
Visibilité: Les informations fournies par Defender pour IoT donnent aux administrateurs FortiSIEM une visibilité sur les réseaux IoT et ICS précédemment invisibles.
Blocage des attaques malveillantes : Les administrateurs FortiGate peuvent utiliser les informations découvertes par Defender pour IoT afin de créer des règles permettant d’arrêter les comportements anormaux, que ce comportement soit dû à des acteurs chaotiques ou à des appareils mal configurés, avant qu’il ne cause des dommages à la production, aux bénéfices ou aux personnes.
La solution de gestion des événements et des incidents de sécurité multivendor de FortiSIEM et de Fortinet apporte visibilité, corrélation, réponse automatisée et correction à une solution évolutive unique.
L’utilisation d’une vue Business Services permet de réduire la complexité de la gestion des opérations réseau et de sécurité, ce qui libère des ressources et améliore la détection des violations. FortiSIEM fournit une corrélation croisée, tout en appliquant le Machine Learning et l’UEBA, pour améliorer la réponse afin d’arrêter les violations avant qu’elles ne se produisent.
Dans cet article, vous allez apprendre à :
- Créer une clé API dans Fortinet
- Définir une règle de transfert pour bloquer les alertes liées aux programmes malveillants
- Bloquer la source des alertes suspectes
- Envoyer des alertes Defender pour IoT à FortiSIEM
- Bloquer une source malveillante à l’aide du pare-feu Fortigate
Configuration requise
Avant de commencer, vérifiez que vous disposez des prérequis suivants :
Accès à un capteur OT Defender pour IoT en tant qu’utilisateur Administration. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour la supervision OT avec Defender pour IoT.
Possibilité de créer des clés API dans Fortinet.
Créer une clé API dans Fortinet
Une clé d’interface de programmation d’application (API) est un code généré de manière unique qui permet à une API d’identifier l’application ou l’utilisateur qui demande l’accès à celle-ci. Une clé API est nécessaire pour que Microsoft Defender ioT et Fortinet communiquent correctement.
Pour créer une clé API dans Fortinet :
Dans FortiGate, accédez à Profils système>Administration.
Créez un profil avec les autorisations suivantes :
Paramètre Sélection Infrastructure de sécurité Aucune Fortiview Aucune Appareil & utilisateur Aucune Pare-feu Personnalisé Stratégie Lecture/Écriture Adresse Lecture/Écriture Service Aucune Schedule Aucune Journaux & rapport Aucune Réseau Aucune Système Aucune Profil de sécurité Aucune VPN Aucune WAN Opt & Cache Aucune Commutateur & Wi-Fi Aucune Accédez àAdministrateurssystème> et créez un Administration API REST avec les champs suivants :
Paramètre Description Username Entrez le nom de la règle de transfert. Commentaires Entrez l’incident de niveau de sécurité minimal à transférer. Par exemple, si l’option Mineure est sélectionnée, les alertes mineures et toute alerte supérieure à ce niveau de gravité sont transférées. Profil d’administrateur Dans la liste déroulante, sélectionnez le nom de profil que vous avez défini à l’étape précédente. Groupe PKI Basculez le commutateur sur Désactiver. CORS Autoriser l’origine Basculez le commutateur sur Activer. Restreindre la connexion aux hôtes approuvés Ajoutez les adresses IP des capteurs qui se connecteront à FortiGate.
Enregistrez la clé API lorsqu’elle est générée, car elle ne sera plus fournie. Tous les privilèges d’accès attribués au compte sont accordés au porteur de la clé API générée.
Définir une règle de transfert pour bloquer les alertes liées aux programmes malveillants
Le pare-feu FortiGate peut être utilisé pour bloquer le trafic suspect.
Les règles d’alerte de transfert s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par la règle.
Lors de la création de votre règle de transfert :
Dans la zone Actions , sélectionnez FortiGate.
Définissez l’adresse IP du serveur où vous souhaitez envoyer les données.
Entrez une clé API créée dans FortiGate.
Entrez les ports de l’interface de pare-feu entrant et sortant.
Sélectionnez cette option pour transférer des détails d’alerte spécifiques. Nous vous recommandons de sélectionner l’une des options suivantes :
- Bloquer les codes de fonction non autorisés : Violations de protocole - Valeur de champ illégale violant la spécification du protocole ICS (exploitation potentielle)
- Bloquer les mises à jour de microprogramme/programmation PLC non autorisées : modifications plc non autorisées
- Bloquer l’arrêt plc non autorisé Arrêt plc (temps d’arrêt)
- Bloquer les alertes liées aux programmes malveillants : blocage des tentatives de programmes malveillants industriels, comme TRITON ou NotPetya
- Bloquer l’analyse non autorisée : analyse non autorisée (reconnaissance potentielle)
Pour plus d’informations, consultez Transférer les informations d’alerte OT locale.
Bloquer la source des alertes suspectes
La source des alertes suspectes peut être bloquée afin d’éviter d’autres occurrences.
Pour bloquer la source des alertes suspectes :
Connectez-vous au capteur OT, puis sélectionnez Alertes.
Sélectionnez l’alerte liée à l’intégration de Fortinet.
Pour bloquer automatiquement la source suspecte, sélectionnez Bloquer la source.
Dans la boîte de dialogue Confirmer, sélectionnez OK.
Envoyer des alertes Defender pour IoT à FortiSIEM
Les alertes Defender pour IoT fournissent des informations sur un large éventail d’événements de sécurité, notamment :
Écarts par rapport à l’activité réseau de référence apprise
Détections de programmes malveillants
Détections basées sur des changements opérationnels suspects
Anomalies réseau
Écarts de protocole par rapport aux spécifications de protocole
Vous pouvez configurer Defender pour IoT pour envoyer des alertes au serveur FortiSIEM, où les informations d’alerte sont affichées dans la fenêtre ANALYTICS :
Chaque alerte Defender pour IoT est ensuite analysée sans autre configuration côté FortiSIEM, et elle est présentée dans FortiSIEM en tant qu’événements de sécurité. Les détails de l’événement suivants s’affichent par défaut :
- Protocole d’application
- Version de l’application
- Type de catégorie
- ID du collecteur
- Count
- Heure de l’appareil
- ID d’événement
- Nom de l'événement
- État de l’analyse des événements
Vous pouvez ensuite utiliser les règles de transfert de Defender pour IoT pour envoyer des informations d’alerte à FortiSIEM.
Les règles d’alerte de transfert s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par la règle.
Pour utiliser les règles de transfert de Defender pour IoT afin d’envoyer des informations d’alerte à FortiSIEM :
Dans la console du capteur, sélectionnez Transfert.
Sélectionnez + Créer une règle.
Dans le volet Ajouter une règle de transfert , définissez les paramètres de règle :
Paramètre Description Nom de la règle Nom de la règle de transfert. Niveau d’alerte minimal Incident de niveau de sécurité minimal à transférer. Par exemple, si l’option Mineure est sélectionnée, les alertes mineures et toute alerte supérieure à ce niveau de gravité sont transférées. Tout protocole détecté Activez la case à cocher pour sélectionner les protocoles que vous souhaitez inclure dans la règle. Trafic détecté par n’importe quel moteur Activez la case à cocher pour sélectionner le trafic que vous souhaitez inclure dans la règle. Dans la zone Actions , définissez les valeurs suivantes :
Paramètre Description Server Sélectionnez FortiSIEM. Host Définissez l’adresse IP du serveur ClearPass pour envoyer des informations d’alerte. Port Définissez le port ClearPass pour envoyer les informations d’alerte. Timezone Horodatage de la détection d’alerte. Sélectionnez Enregistrer.
Bloquer une source malveillante à l’aide du pare-feu Fortigate
Vous pouvez définir des stratégies pour bloquer automatiquement les sources malveillantes dans le pare-feu FortiGate, à l’aide d’alertes dans Defender pour IoT.
Pour définir une règle de pare-feu FortiGate qui bloque une source malveillante :
Dans FortiGate, créez une clé API.
Connectez-vous au capteur Defender pour IoT et sélectionnez Transfert, définissez une règle de transfert qui bloque les alertes liées aux programmes malveillants.
Dans le capteur Defender pour IoT, sélectionnez Alertes et bloquez une source malveillante.
Accédez à la fenêtre Administrateur de fortiGage et recherchez l’adresse source malveillante que vous avez bloquée.
La stratégie de blocage est créée automatiquement et apparaît dans la fenêtre Stratégie IPv4 FortiGate.
Sélectionnez la stratégie et vérifiez que l’option Activer cette stratégie est activée.
Paramètre Description Name Nom de la stratégie. Interface entrante Interface de pare-feu entrante pour le trafic. Interface sortante Interface de pare-feu sortante pour le trafic. Source Adresse(s) source(s) pour le trafic. Destination Adresse(s) de destination du trafic. Schedule Occurrence de la règle nouvellement définie. Par exemple : always.Service Protocole ou ports spécifiques pour le trafic. Action Action que le pare-feu effectuera.
