Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen hjelper deg med å lære hvordan du integrerer og bruker Fortinet med Microsoft Defender for IoT.
Microsoft Defender for IoT reduserer IIoT-, ICS- og SCADA-risiko med ICS-bevisste selvkjørende motorer som gir umiddelbar innsikt om ICS-enheter, sårbarheter og trusler. Defender for IoT oppnår dette uten å stole på agenter, regler, signaturer, spesialiserte ferdigheter eller forkunnskaper om miljøet.
Defender for IoT og Fortinet har etablert et teknologisk partnerskap som oppdager og stopper angrep på IoT- og ICS-nettverk.
Obs!
Defender for IoT planlegger å avvikle Fortinet-integreringen 1. desember 2025
Fortinet og Microsoft Defender for IoT forhindrer:
Uautoriserte endringer i programmerbare logiske kontrollere (PLC).
Skadelig programvare som manipulerer ICS- og IoT-enheter via de opprinnelige protokollene.
Rekognoseringsverktøy fra innsamling av data.
Protokollbrudd forårsaket av feilkonfigureringer eller ondsinnede angripere.
Defender for IoT oppdager uregelmessig virkemåte i IoT- og ICS-nettverk og leverer denne informasjonen til FortiGate og FortiSIEM, som følger:
Synlighet: Informasjonen fra Defender for IoT gir FortiSIEM-administratorer innsyn i tidligere usynlige IoT- og ICS-nettverk.
Blokkere ondsinnede angrep: FortiGate-administratorer kan bruke informasjonen som oppdages av Defender for IoT, til å opprette regler for å stoppe uregelmessig atferd, uavhengig av om denne atferden skyldes kaotiske aktører eller feilkonfigurerte enheter, før det forårsaker skade på produksjon, fortjeneste eller personer.
FortiSIEM og Fortinets løsning for flerhendelsessikkerhet og hendelsesbehandling gir synlighet, korrelasjon, automatisert respons og utbedring til én enkelt skalerbar løsning.
Når du bruker en forretningstjenestevisning, reduseres kompleksiteten ved administrasjon av nettverks- og sikkerhetsoperasjoner, frigjør ressurser og forbedrer bruddgjenkjenningen. FortiSIEM gir krysskorrelasjon, mens du bruker maskinlæring og UEBA, for å forbedre responsen for å stoppe brudd før de oppstår.
I denne artikkelen lærer du hvordan du:
- Opprett en API-nøkkel i Fortinet
- Angi en videresendingsregel for å blokkere varsler relatert til skadelig programvare
- Blokker kilden til mistenkelige varsler
- Send Defender for IoT-varsler til FortiSIEM
- Blokkere en ondsinnet kilde ved hjelp av Fortigate-brannmuren
Forutsetninger
Før du begynner, må du kontrollere at du har følgende forutsetninger:
Tilgang til en Defender for IoT OT-sensor som en Admin bruker. Hvis du vil ha mer informasjon, kan du se lokale brukere og roller for OT-overvåking med Defender for IoT.
Muligheten til å opprette API-nøkler i Fortinet.
Opprett en API-nøkkel i Fortinet
En API-nøkkel (application programming interface) er en unikt generert kode som gjør det mulig for en API å identifisere programmet eller brukeren som ber om tilgang til den. En API-nøkkel er nødvendig for at Microsoft Defender for at IoT og Fortinet skal kunne kommunisere riktig.
Slik oppretter du en API-nøkkel i Fortinet:
Naviger til System>Admin Profiler i FortiGate.
Opprett en profil med følgende tillatelser:
Parameteren Utvalg Security Fabric Ingen Fortiview Ingen Bruker & enhet Ingen Brannmur Egendefinerte Policy Lese/skrive Adresse Lese/skrive Tjeneste Ingen Tidsplan Ingen Logger & rapport Ingen Nettverk Ingen System Ingen Sikkerhetsprofil Ingen VPN Ingen WAN Opt & Cache Ingen WiFi &-bryter Ingen Gå tilsystemansvarlige>, og opprett en ny REST-API Admin med følgende felt:
Parameteren Beskrivelse Brukernavn Skriv inn navnet på videresendingsregelen. Kommentarer Skriv inn hendelsen på det minimale sikkerhetsnivået som skal videresendes. Hvis for eksempel Underordnet er valgt, videresendes underordnede varsler og eventuelle varsler over dette alvorsgradnivået. Administratorprofil Velg profilnavnet du har definert i forrige trinn, fra rullegardinlisten. PKI-gruppe Aktiver/ deaktiver bryteren. CORS tillat opprinnelse Aktiver/ deaktiver bryteren. Begrens pålogging til klarerte verter Legg til IP-adressene til sensorene som skal kobles til FortiGate.
Lagre API-nøkkelen når den genereres, da den ikke blir angitt på nytt. Bæreren av den genererte API-nøkkelen får alle tilgangsrettigheter som er tilordnet kontoen.
Angi en videresendingsregel for å blokkere varsler relatert til skadelig programvare
FortiGate-brannmuren kan brukes til å blokkere mistenkelig trafikk.
Videresending av varslingsregler kjøres bare på varsler som utløses etter at videresendingsregelen er opprettet. Varsler som allerede finnes i systemet fra før videresendingsregelen ble opprettet, påvirkes ikke av regelen.
Når du oppretter videresendingsregelen:
Velg FortiGate i Handlinger-området.
Definer serverens IP-adresse der du vil sende dataene.
Angi en API-nøkkel som er opprettet i FortiGate.
Angi portene for innkommende og utgående brannmurgrensesnitt.
Velg for å videresende bestemte varseldetaljer. Vi anbefaler at du velger ett av flere av følgende:
- Blokker ulovlige funksjonskoder: Protokollbrudd – ugyldig feltverdi som bryter ICS-protokollspesifikasjonen (potensiell utnyttelse)
- Blokker uautorisert PLC-programmering / fastvareoppdateringer: Uautoriserte PLC-endringer
- Blokker uautorisert PLC-stopp PLF-stopp (nedetid)
- Blokkere varsler relatert til skadelig programvare: Blokkering av industriell skadelig programvare-forsøk, for eksempel TRITON eller NotPetya
- Blokker uautorisert skanning: Uautorisert skanning (potensiell rekognosering)
Hvis du vil ha mer informasjon, kan du se informasjon om lokal OT-varsel.
Blokker kilden til mistenkelige varsler
Kilden til mistenkelige varsler kan blokkeres for å forhindre ytterligere forekomster.
Slik blokkerer du kilden til mistenkelige varsler:
Logg på OT-sensoren, og velg deretter Varsler.
Velg varselet som er relatert til Fortinet-integrering.
Hvis du vil blokkere den mistenkelige kilden automatisk, velger du Blokker kilde.
Velg OK i dialogboksen Bekreft.
Send Defender for IoT-varsler til FortiSIEM
Defender for IoT-varsler gir informasjon om et omfattende utvalg av sikkerhetshendelser, inkludert:
Avvik fra lært nettverksaktivitet for grunnlinje
Gjenkjenninger av skadelig programvare
Oppdagelser basert på mistenkelige operasjonelle endringer
Nettverksavvik
Protokollavvik fra protokollspesifikasjoner
Du kan konfigurere Defender for IoT til å sende varsler til FortiSIEM-serveren, der varselinformasjon vises i ANALYSE-vinduet :
Hvert Defender for IoT-varsel analyseres deretter uten noen annen konfigurasjon på FortiSIEM-siden, og de presenteres i FortiSIEM som sikkerhetshendelser. Følgende hendelsesdetaljer vises som standard:
- Programprotokoll
- Programversjon
- Kategoritype
- Samler-ID
- Telle
- Enhetstid
- Hendelses-ID
- Hendelsesnavn
- Status for hendelsesanalyse
Deretter kan du bruke Defender for IoTs videresendingsregler til å sende varselinformasjon til FortiSIEM.
Videresending av varslingsregler kjøres bare på varsler som utløses etter at videresendingsregelen er opprettet. Varsler som allerede finnes i systemet fra før videresendingsregelen ble opprettet, påvirkes ikke av regelen.
Slik bruker du Defender for IoTs videresendingsregler til å sende varselinformasjon til FortiSIEM:
Velg Videresending fra sensorkonsollen.
Velg + Opprett ny regel.
Definer regelparameterne i ruten Legg til videresendingsregel :
Parameteren Beskrivelse Regelnavn Navnet på videresendingsregelen. Minimalt varslingsnivå Den minimale sikkerhetsnivå hendelsen å videresende. Hvis for eksempel Underordnet er valgt, videresendes underordnede varsler og eventuelle varsler over dette alvorsgradnivået. Alle protokoller som er oppdaget Aktiver/deaktiver for å velge protokollene du vil ta med i regelen. Trafikk oppdaget av en hvilken som helst motor Aktiver/deaktiver for å velge trafikken du vil inkludere i regelen. Definer følgende verdier i Handlinger-området :
Parameteren Beskrivelse Server Velg FortiSIEM. Vert Definer IP-adressen for ClearPass-serveren for å sende varselinformasjon. Port Definer ClearPass-porten for å sende varselinformasjon. Tidssone Tidsangivelsen for varslingsgjenkjenningen. Velg Lagre.
Blokkere en ondsinnet kilde ved hjelp av Fortigate-brannmuren
Du kan angi policyer for automatisk å blokkere skadelige kilder i FortiGate-brannmuren ved hjelp av varsler i Defender for IoT.
Slik angir du en FortiGate-brannmurregel som blokkerer en ondsinnet kilde:
Opprett en API-nøkkel i FortiGate.
Logg på Defender for IoT-sensoren, og velg Videresending, og angi en videresendingsregel som blokkerer varsler relatert til skadelig programvare.
Velg Varsler i Defender for IoT-sensoren, og blokker en ondsinnet kilde.
Gå til fortiGage-administratorvinduet , og finn den skadelige kildeadressen du blokkerte.
Blokkeringspolicyen opprettes automatisk og vises i vinduet FortiGate IPv4-policy.
Velg policyen, og kontroller at Aktiver denne policyen er aktivert.
Parameteren Beskrivelse Navn Navnet på policyen. Innkommende grensesnitt Det inngående brannmurgrensesnittet for trafikken. Utgående grensesnitt Det utgående brannmurgrensesnittet for trafikken. Kilde Kildeadressen(e) for trafikken. Mål Måladressen(e) for trafikken. Tidsplan Forekomsten av den nylig definerte regelen. For eksempel always.Tjeneste Protokollen eller bestemte porter for trafikken. Handling Handlingen som brannmuren skal utføre.
