Fortinet integreren met Microsoft Defender voor IoT

In dit artikel leert u hoe u Fortinet integreert en gebruikt met Microsoft Defender voor IoT.

Microsoft Defender voor IoT vermindert IIoT-, ICS- en SCADA-risico's met ICS-bewuste zelflerende engines die onmiddellijk inzicht bieden in ICS-apparaten, beveiligingsproblemen en bedreigingen. Defender for IoT doet dit zonder afhankelijk te zijn van agents, regels, handtekeningen, gespecialiseerde vaardigheden of voorkennis van de omgeving.

Defender for IoT en Fortinet hebben een technologische samenwerking tot stand gebracht waarmee aanvallen op IoT- en ICS-netwerken worden gedetecteerd en gestopt.

Opmerking

Defender for IoT is van plan om de Fortinet-integratie op 1 december 2025 buiten gebruik te stellen

Fortinet en Microsoft Defender voor IoT voorkomen:

Niet-geautoriseerde wijzigingen in programmeerbare logische controllers (PLC).
Malware die ICS- en IoT-apparaten manipuleert via hun eigen protocollen.
Reconnaissance-hulpprogramma's voor het verzamelen van gegevens.
Protocolschendingen veroorzaakt door onjuiste configuraties of kwaadwillende aanvallers.

Defender for IoT detecteert afwijkend gedrag in IoT- en ICS-netwerken en levert deze informatie als volgt aan FortiGate en FortiSIEM:

Zichtbaarheid: De informatie van Defender for IoT geeft FortiSIEM-beheerders inzicht in voorheen onzichtbare IoT- en ICS-netwerken.
Schadelijke aanvallen blokkeren: FortiGate-beheerders kunnen de informatie die is gedetecteerd door Defender for IoT gebruiken om regels te maken om afwijkend gedrag te stoppen, ongeacht of dat gedrag wordt veroorzaakt door chaotische actoren of verkeerd geconfigureerde apparaten, voordat dit schade veroorzaakt aan de productie, winst of personen.

FortiSIEM en fortinet's multivendor-oplossing voor het beheer van beveiligingsincidenten en gebeurtenissen brengt zichtbaarheid, correlatie, geautomatiseerde reactie en herstel naar één schaalbare oplossing.

Met behulp van een weergave Zakelijke services wordt de complexiteit van het beheren van netwerk- en beveiligingsbewerkingen verminderd, waardoor resources worden vrijgemaakt en de detectie van inbreuken wordt verbeterd. FortiSIEM biedt kruiscorrelatie, terwijl machine learning en UEBA worden toegepast, om de reactie te verbeteren om schendingen te stoppen voordat ze optreden.

In dit artikel leert u het volgende:

Een API-sleutel maken in Fortinet
Een doorstuurregel instellen om waarschuwingen met betrekking tot malware te blokkeren
De bron van verdachte waarschuwingen blokkeren
Defender for IoT-waarschuwingen verzenden naar FortiSIEM
Een schadelijke bron blokkeren met behulp van de Fortigate-firewall

Vereisten

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

Toegang tot een Defender for IoT OT-sensor als een Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
Mogelijkheid om API-sleutels te maken in Fortinet.

Een API-sleutel maken in Fortinet

Een API-sleutel (Application Programming Interface) is een uniek gegenereerde code waarmee een API de toepassing of gebruiker kan identificeren die toegang heeft aangevraagd. Er is een API-sleutel nodig voor Microsoft Defender voor IoT en Fortinet om correct te communiceren.

Een API-sleutel maken in Fortinet:

Navigeer in FortiGate naar Systeem>Beheer profielen.

Maak een profiel met de volgende machtigingen:

Parameter	Selectie
Security Fabric	Geen
Fortiview	Geen
Gebruiker & apparaat	Geen
Firewall	Aangepast
Beleid	Lezen/schrijven
Address	Lezen/schrijven
Service	Geen
Schema	Geen
Logboeken & rapport	Geen
Netwerk	Geen
Systeem	Geen
Beveiligingsprofiel	Geen
VPN	Geen
WAN Opt & Cache	Geen
WiFi & Switch	Geen

Ga naar Systeembeheerders> en maak een nieuwe REST API-Beheer met de volgende velden:

Parameter	Beschrijving
Gebruikersnaam	Voer de naam van de doorstuurregel in.
Opmerkingen	Voer het minimale beveiligingsniveauincident in dat u wilt doorsturen. Als bijvoorbeeld Secundair is geselecteerd, worden secundaire waarschuwingen en waarschuwingen boven dit ernstniveau doorgestuurd.
Beheerdersprofiel	Selecteer in de vervolgkeuzelijst de profielnaam die u in de vorige stap hebt gedefinieerd.
PKI-groep	Zet de schakelaar op Uitschakelen.
CORS Origin toestaan	Zet de schakelaar op Inschakelen.
Aanmelding beperken tot vertrouwde hosts	Voeg de IP-adressen toe van de sensoren die verbinding maken met FortiGate.

Sla de API-sleutel op wanneer deze wordt gegenereerd, omdat deze niet opnieuw wordt opgegeven. De bearer van de gegenereerde API-sleutel krijgt alle toegangsbevoegdheden die aan het account zijn toegewezen.

De FortiGate-firewall kan worden gebruikt om verdacht verkeer te blokkeren.

Regels voor doorstuurwaarschuwingen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. Waarschuwingen die zich al in het systeem bevinden van voordat de doorstuurregel werd gemaakt, worden niet beïnvloed door de regel.

Bij het maken van uw doorstuurregel:

Selecteer FortiGate in het gebied Acties.
Definieer het IP-adres van de server waarnaar u de gegevens wilt verzenden.
Voer een API-sleutel in die is gemaakt in FortiGate.
Voer de binnenkomende en uitgaande firewallinterfacepoorten in.
Selecteer om specifieke waarschuwingsdetails door te sturen. U wordt aangeraden een van de volgende opties te selecteren:
- Ongeldige functiecodes blokkeren: protocolschendingen - Ongeldige veldwaarde die de ICS-protocolspecificatie schendt (mogelijke misbruik)
- Niet-geautoriseerde PLC-programmering/firmware-updates blokkeren: niet-geautoriseerde PLC-wijzigingen
- Niet-geautoriseerde PLC-stop blokkeren PLC-stop (downtime)
- Waarschuwingen met betrekking tot malware blokkeren: Blokkering van industriële malwarepogingen, zoals TRITON of NotPetya
- Onbevoegd scannen blokkeren: Niet-geautoriseerd scannen (mogelijke reconnaissance)

Zie On-premises OT-waarschuwingsinformatie doorsturen voor meer informatie.

De bron van verdachte waarschuwingen blokkeren

De bron van verdachte waarschuwingen kan worden geblokkeerd om verdere gebeurtenissen te voorkomen.

De bron van verdachte waarschuwingen blokkeren:

Meld u aan bij de OT-sensor en selecteer vervolgens Waarschuwingen.
Selecteer de waarschuwing met betrekking tot Fortinet-integratie.
Als u de verdachte bron automatisch wilt blokkeren, selecteert u Bron blokkeren.
Selecteer OK in het dialoogvenster Bevestigen.

Defender for IoT-waarschuwingen verzenden naar FortiSIEM

Defender voor IoT-waarschuwingen bieden informatie over een uitgebreid scala aan beveiligingsevenementen, waaronder:

Afwijkingen van geleerde basislijnnetwerkactiviteit
Malwaredetectie
Detecties op basis van verdachte operationele wijzigingen
Netwerkafwijkingen
Protocolafwijkingen van protocolspecificaties

U kunt Defender for IoT configureren om waarschuwingen te verzenden naar de FortiSIEM-server, waar waarschuwingsinformatie wordt weergegeven in het venster ANALYSE :

Elke Defender voor IoT-waarschuwing wordt vervolgens geparseerd zonder enige andere configuratie aan de zijde van FortiSIEM en ze worden in de FortiSIEM weergegeven als beveiligingsgebeurtenissen. De volgende gebeurtenisdetails worden standaard weergegeven:

Application Protocol
Toepassingsversie
Categorietype
Collector-id
Tellen
Apparaattijd
Gebeurtenis-id
Gebeurtenisnaam
Status van gebeurtenis parseren

Vervolgens kunt u de doorstuurregels van Defender for IoT gebruiken om waarschuwingsinformatie naar FortiSIEM te verzenden.

De doorstuurregels van Defender for IoT gebruiken om waarschuwingsgegevens naar FortiSIEM te verzenden:

Selecteer Doorsturen in de sensorconsole.
Selecteer + Nieuwe regel maken.

Definieer in het deelvenster Doorstuurregel toevoegen de regelparameters:

Parameter	Beschrijving
Regelnaam	De naam van de doorstuurregel.
Minimaal waarschuwingsniveau	Het minimale incident op beveiligingsniveau dat moet worden doorgestuurd. Als bijvoorbeeld Secundair is geselecteerd, worden secundaire waarschuwingen en waarschuwingen boven dit ernstniveau doorgestuurd.
Elk protocol gedetecteerd	Schakel deze optie uit om de protocollen te selecteren die u in de regel wilt opnemen.
Verkeer gedetecteerd door elke engine	Schakel deze optie uit om het verkeer te selecteren dat u in de regel wilt opnemen.

Definieer in het gebied Acties de volgende waarden:

Parameter	Beschrijving
Server	Selecteer FortiSIEM.
Host	Definieer het IP-adres van de ClearPass-server om waarschuwingsgegevens te verzenden.
Poort	Definieer de ClearPass-poort voor het verzenden van waarschuwingsgegevens.
Uurzonee	Het tijdstempel voor de waarschuwingsdetectie.

Klik op Opslaan.

Een schadelijke bron blokkeren met behulp van de Fortigate-firewall

U kunt beleid instellen om schadelijke bronnen automatisch te blokkeren in de FortiGate-firewall, met behulp van waarschuwingen in Defender for IoT.

Een FortiGate-firewallregel instellen die een schadelijke bron blokkeert:

Maak in FortiGate een API-sleutel.
Meld u aan bij de Defender for IoT-sensor en selecteer Doorsturen. Stel een doorstuurregel in waarmee waarschuwingen met betrekking tot malware worden geblokkeerd.
Selecteer waarschuwingen in de Defender for IoT-sensor en blokkeer een schadelijke bron.
Ga naar het venster FortiGage-beheerder en zoek het schadelijke bronadres dat u hebt geblokkeerd.

Het blokkeringsbeleid wordt automatisch gemaakt en weergegeven in het venster FortiGate IPv4-beleid.

Selecteer het beleid en zorg ervoor dat Dit beleid inschakelen is ingeschakeld.

Parameter	Beschrijving
Naam	De naam van het beleid.
Binnenkomende interface	De binnenkomende firewallinterface voor het verkeer.
Uitgaande interface	De uitgaande firewallinterface voor het verkeer.
Source	Het bronadres of de bronadressen voor het verkeer.
Destination	Het doeladres(sen) voor het verkeer.
Schema	Het optreden van de zojuist gedefinieerde regel. Bijvoorbeeld `always`.
Service	Het protocol of specifieke poorten voor het verkeer.
Actie	De actie die door de firewall wordt uitgevoerd.

Volgende stappen

Integraties met Microsoft- en partnerservices

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-29