この記事では、Fortinet と Microsoft Defender for IoT を統合して使用する方法について説明します。
IoT 用のMicrosoft Defenderは、ICS デバイス、脆弱性、脅威に関する即時の分析情報を提供する ICS 対応の自己学習エンジンを使用して、IIoT、ICS、SCADA のリスクを軽減します。 Defender for IoT は、エージェント、ルール、署名、特殊なスキル、または環境に関する事前知識に依存することなく、これを実現します。
Defender for IoT と Fortinet は、IoT および ICS ネットワークへの攻撃を検出して停止する技術パートナーシップを確立しました。
注:
Defender for IoT は、2025 年 12 月 1 日に Fortinet 統合を廃止する予定です
Fortinet と IoT のMicrosoft Defenderでは、次の防止が行われます。
プログラマブル ロジック コントローラー (PLC) に対する未承認の変更。
ICS および IoT デバイスをネイティブ プロトコルを介して操作するマルウェア。
データ収集からの偵察ツール。
構成ミスや悪意のある攻撃者によるプロトコル違反。
Defender for IoT は、IoT および ICS ネットワークの異常な動作を検出し、その情報を FortiGate と FortiSIEM に次のように配信します。
可視 性: Defender for IoT によって提供される情報により、FortiSIEM 管理者は、以前は目に見えない IoT および ICS ネットワークを可視化できます。
悪意のある攻撃をブロックする: FortiGate 管理者は、Defender for IoT によって検出された情報を使用して、その動作がカオスアクターによって引き起こされるか、デバイスが正しく構成されていないかに関係なく、運用環境、利益、または人に損害を与える前に、異常な動作を停止するルールを作成できます。
FortiSIEM と Fortinet のマルチベンダー セキュリティ インシデントとイベント管理ソリューションは、可視性、相関関係、自動応答、修復を 1 つのスケーラブルなソリューションに提供します。
Business Services ビューを使用すると、ネットワークとセキュリティ操作の管理の複雑さが軽減され、リソースが解放され、侵害検出が向上します。 FortiSIEM は、機械学習と UEBA を適用しながら相互相関を提供し、侵害が発生する前に阻止するために応答を改善します。
この記事では、次の方法について説明します。
- Fortinet で API キーを作成する
- 転送ルールを設定してマルウェア関連のアラートをブロックする
- 疑わしいアラートのソースをブロックする
- Defender for IoT アラートを FortiSIEM に送信する
- Fortigate ファイアウォールを使用して悪意のあるソースをブロックする
前提条件
開始する前に、次の前提条件があることを確認してください。
管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
Fortinet で API キーを作成する機能。
Fortinet で API キーを作成する
アプリケーション プログラミング インターフェイス (API) キーは、API がアクセスを要求するアプリケーションまたはユーザーを識別できるようにする一意に生成されたコードです。 IoT と Fortinet が正しく通信するために、Microsoft Defenderには API キーが必要です。
Fortinet で API キーを作成するには:
FortiGate で、[システム>管理 プロファイル] に移動します。
次のアクセス許可を持つプロファイルを作成します。
パラメーター Selection Security Fabric なし Fortiview なし ユーザー & デバイス なし ファイアウォール Custom ポリシー 読み取り/書き込み Address 読み取り/書き込み サービス なし Schedule なし ログ & レポート なし Network なし システム なし セキュリティ プロファイル なし VPN なし WAN Opt & Cache なし WiFi & スイッチ なし [System>Administrators] に移動し、次のフィールドを含む新しい REST API 管理を作成します。
パラメーター 説明 Username 転送ルール名を入力します。 コメント 転送する最小限のセキュリティ レベルのインシデントを入力します。 たとえば、[ マイナー ] が選択されている場合、マイナー アラートと、この重大度レベルを超えるアラートが転送されます。 管理者プロファイル ドロップダウン リストから、前の手順で定義したプロファイル名を選択します。 PKI グループ スイッチを [無効] に切り替えます。 CORS Allow Origin スイッチを [有効] に切り替えます。 信頼されたホストへのログインを制限する FortiGate に接続するセンサーの IP アドレスを追加します。
API キーは生成されたときに保存します。これは、再び提供されないためです。 生成された API キーのベアラーには、アカウントに割り当てられているすべてのアクセス特権が付与されます。
転送ルールを設定してマルウェア関連のアラートをブロックする
FortiGate ファイアウォールを使用して、疑わしいトラフィックをブロックできます。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前のシステムに既に存在するアラートは、ルールの影響を受けません。
転送ルールを作成する場合:
[ アクション] 領域で、[ FortiGate] を選択します。
データを送信するサーバー IP アドレスを定義します。
FortiGate で作成された API キーを入力します。
着信および発信ファイアウォール インターフェイス ポートを入力します。
特定のアラートの詳細を転送する場合に選択します。 次のいずれかを選択することをお勧めします。
- 無効な関数コードをブロックする: プロトコル違反 - ICS プロトコル仕様に違反しているフィールド値が正しくありません (潜在的な悪用)
- 不正な PLC プログラミング/ファームウェア更新をブロックする: 不正な PLC の変更
- 許可されていない PLC の停止をブロック するPLC 停止 (ダウンタイム)
- マルウェア関連のアラートをブロックする: TRITON や NotPetya などの産業用マルウェアの試行のブロック
- 承認されていないスキャンをブロックする: 未承認のスキャン (潜在的な偵察)
詳細については、「 オンプレミス OT アラート情報を転送する」を参照してください。
疑わしいアラートのソースをブロックする
疑わしいアラートのソースは、それ以上の発生を防ぐためにブロックできます。
疑わしいアラートのソースをブロックするには:
OT センサーにサインインし、[アラート] を選択 します。
Fortinet 統合に関連するアラートを選択します。
疑わしいソースを自動的にブロックするには、[ ソースのブロック] を選択します。
[確認してください] ダイアログ ボックスで、[ OK] を選択します。
Defender for IoT アラートを FortiSIEM に送信する
Defender for IoT アラートは、次のような広範なセキュリティ イベントに関する情報を提供します。
学習したベースライン ネットワーク アクティビティからの逸脱
マルウェア検出
疑わしい運用上の変更に基づく検出
ネットワークの異常
プロトコル仕様からのプロトコルの逸脱
FortiSIEM サーバーにアラートを送信するように Defender for IoT を構成できます。このサーバーでは、アラート情報が [分析 ] ウィンドウに表示されます。
その後、各 Defender for IoT アラートは FortiSIEM 側で他の構成なしで解析され、セキュリティ イベントとして FortiSIEM に表示されます。 既定では、次のイベントの詳細が表示されます。
- アプリケーション プロトコル
- アプリケーションのバージョン
- カテゴリの種類
- コレクター ID
- カウント
- デバイス時刻
- イベント ID
- イベント名
- イベント解析の状態
その後、Defender for IoT の転送ルールを使用して、アラート情報を FortiSIEM に送信できます。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前のシステムに既に存在するアラートは、ルールの影響を受けません。
Defender for IoT の転送ルールを使用してアラート情報を FortiSIEM に送信するには:
センサー コンソールで、[転送] を選択 します。
[ + 新しいルールの作成] を選択します。
[ 転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。
![[転送] ウィンドウの転送ルールのビューのスクリーンショット。](media/tutorial-fortinet/forwarding-view.png)
パラメーター 説明 ルール名 転送ルール名。 最小限のアラート レベル 転送する最小限のセキュリティ レベルのインシデント。 たとえば、[マイナー] が選択されている場合、マイナー アラートと、この重大度レベルを超えるアラートが転送されます。 検出されたプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。 [ アクション] 領域で、次の値を定義します。
パラメーター 説明 サーバー [FortiSIEM] を選択します。 Host アラート情報を送信する ClearPass サーバー IP を定義します。 ポート アラート情報を送信する ClearPass ポートを定義します。 タイムゾーン アラート検出のタイム スタンプ。 [保存] を選択します。
![[転送] ウィンドウの転送ルールのビューのスクリーンショット。](media/tutorial-fortinet/forwarding-view.png#lightbox)
Fortigate ファイアウォールを使用して悪意のあるソースをブロックする
Defender for IoT のアラートを使用して、FortiGate ファイアウォールの悪意のあるソースを自動的にブロックするようにポリシーを設定できます。
悪意のあるソースをブロックする FortiGate ファイアウォール規則を設定するには:
FortiGate で 、API キーを作成します。
Defender for IoT センサーにサインインし、[ 転送] を選択し、 マルウェア関連のアラートをブロックする転送ルールを設定します。
Defender for IoT センサーで、[ アラート] を選択し、 悪意のあるソースをブロックします。
[FortiGage Administrator]\(FortiGage 管理者\) ウィンドウに移動し、ブロックした悪意のあるソース アドレスを見つけます。
ブロッキング ポリシーが自動的に作成され、[FortiGate IPv4 ポリシー] ウィンドウに表示されます。
ポリシーを選択し、[ このポリシーを有効にする] がオンになっていることを確認します。
パラメーター 説明 名前 ポリシーの名前。 受信インターフェイス トラフィックの受信ファイアウォール インターフェイス。 送信インターフェイス トラフィックの送信ファイアウォール インターフェイス。 Source トラフィックの送信元アドレス。 Destination トラフィックの宛先アドレス。 Schedule 新しく定義されたルールの出現。 たとえば、「 always」のように入力します。サービス プロトコル、またはトラフィックの特定のポート。 操作 ファイアウォールが実行するアクション。
