Integrar o Fortinet com o Microsoft Defender para IoT

Este artigo ajuda-o a aprender a integrar e utilizar o Fortinet com Microsoft Defender para IoT.

Microsoft Defender para IoT mitiga o risco de IIoT, ICS e SCADA com motores de auto-aprendizagem com suporte para ICS que fornecem informações imediatas sobre dispositivos ICS, vulnerabilidades e ameaças. O Defender para IoT consegue-o sem depender de agentes, regras, assinaturas, competências especializadas ou conhecimento prévio do ambiente.

O Defender para IoT e Fortinet estabeleceu uma parceria tecnológica que deteta e interrompe ataques em redes IoT e ICS.

Observação

O Defender para IoT planeia extinguir a integração da Fortinet a 1 de dezembro de 2025

Fortinet e Microsoft Defender para IoT impedem:

Alterações não autorizadas a controladores lógicos programáveis (PLC).
Software maligno que manipula dispositivos ICS e IoT através dos respetivos protocolos nativos.
Ferramentas de reconhecimento da recolha de dados.
Violações de protocolo causadas por configurações incorretas ou atacantes maliciosos.

O Defender para IoT deteta comportamentos anómalos nas redes IoT e ICS e fornece essas informações ao FortiGate e fortiSIEM, da seguinte forma:

Visibilidade: As informações fornecidas pelo Defender para IoT dão aos administradores do FortiSIEM visibilidade para redes IoT e ICS anteriormente invisíveis.
Bloquear ataques maliciosos: Os administradores do FortiGate podem utilizar as informações detetadas pelo Defender para IoT para criar regras para parar comportamentos anómalos, independentemente de esse comportamento ser causado por atores caóticos ou dispositivos mal configurados, antes de causar danos na produção, nos lucros ou nas pessoas.

A solução de gestão de eventos e incidentes de segurança multivendor da FortiSIEM e Fortinet traz visibilidade, correlação, resposta automatizada e remediação a uma única solução dimensionável.

Com uma vista de Serviços Empresariais, a complexidade da gestão de operações de rede e segurança é reduzida, libertando recursos e melhorando a deteção de falhas de segurança. O FortiSIEM fornece correlação cruzada, ao aplicar machine learning e UEBA, para melhorar a resposta de forma a parar as falhas de segurança antes que ocorram.

Neste artigo, irá aprender a:

Criar uma chave de API no Fortinet
Definir uma regra de reencaminhamento para bloquear alertas relacionados com software maligno
Bloquear a origem de alertas suspeitos
Enviar alertas do Defender para IoT para FortiSIEM
Bloquear uma origem maliciosa com a firewall do Fortigate

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Acesso a um sensor OT do Defender para IoT como utilizador Administração. Para obter mais informações, veja Utilizadores e funções no local para monitorização de OT com o Defender para IoT.
Capacidade de criar chaves de API no Fortinet.

Criar uma chave de API no Fortinet

Uma chave de interface de programação de aplicações (API) é um código gerado exclusivamente que permite que uma API identifique a aplicação ou o utilizador que lhe pede acesso. É necessária uma chave de API para Microsoft Defender para que o IoT e o Fortinet comuniquem corretamente.

Para criar uma chave de API no Fortinet:

No FortiGate, navegue para Perfis Administração Sistema>.

Crie um perfil com as seguintes permissões:

Parâmetro	Seleção
Recursos de Infraestrutura de Segurança	Nenhum
Fortiview	Nenhum
Utilizador & Dispositivo	Nenhum
Firewall	Personalizado
Política	Leitura/gravação
Endereço	Leitura/gravação
Serviço	Nenhum
Schedule	Nenhum
Relatório de & de Registos	Nenhum
Rede	Nenhum
Sistema	Nenhum
Perfil de Segurança	Nenhum
VPN	Nenhum
WAN Opt & Cache	Nenhum
Comutador de & Wi-Fi	Nenhum

Navegue paraAdministradores de Sistema> e crie uma nova API REST Administração com os seguintes campos:

Parâmetro	Descrição
Username	Introduza o nome da regra de reencaminhamento.
Comentários	Introduza o incidente de nível de segurança mínimo para reencaminhar. Por exemplo, se Menor estiver selecionado, os alertas menores e qualquer alerta acima deste nível de gravidade serão reencaminhados.
Perfil de Administrador	Na lista pendente, selecione o nome do perfil que definiu no passo anterior.
Grupo PKI	Alterne o seletor para Desativar.
CORS Permitir Origem	Alterne o seletor para Ativar.
Restringir o início de sessão a anfitriões fidedignos	Adicione os endereços IP dos sensores que se ligarão ao FortiGate.

Guarde a chave de API quando for gerada, uma vez que não será fornecida novamente. O portador da chave de API gerada receberá todos os privilégios de acesso atribuídos à conta.

A firewall FortiGate pode ser utilizada para bloquear tráfego suspeito.

As regras de reencaminhamento de alertas são executadas apenas em alertas acionados após a criação da regra de reencaminhamento. Os alertas já existentes no sistema antes da criação da regra de reencaminhamento não são afetados pela regra.

Ao criar a regra de reencaminhamento:

Na área Ações , selecione FortiGate.
Defina o endereço IP do servidor para onde pretende enviar os dados.
Introduza uma chave de API criada no FortiGate.
Introduza as portas da interface de firewall de entrada e saída.
Selecione para reencaminhar detalhes específicos do alerta. Recomendamos que selecione uma das seguintes opções:
- Bloquear códigos de função ilegais: Violações de protocolo – valor de campo ilegal que viola a especificação do protocolo ICS (potencial exploit)
- Bloquear atualizações de firmware/programação PLC não autorizadas: Alterações não autorizadas de PLC
- Bloquear paragem PLC não autorizada Paragem plc (tempo de inatividade)
- Bloquear alertas relacionados com software maligno: bloqueio de tentativas de software maligno industrial, como TRITON ou NotPetya
- Bloquear análise não autorizada: Análise não autorizada (potencial reconhecimento)

Para obter mais informações, veja Forward on-premises OT alert information (Reencaminhar informações de alerta de OT no local).

Bloquear a origem de alertas suspeitos

A origem dos alertas suspeitos pode ser bloqueada para evitar mais ocorrências.

Para bloquear a origem de alertas suspeitos:

Inicie sessão no sensor OT e, em seguida, selecione Alertas.
Selecione o alerta relacionado com a integração do Fortinet.
Para bloquear automaticamente a origem suspeita, selecione Bloquear Origem.
Na caixa de diálogo Confirmar, selecione OK.

Enviar alertas do Defender para IoT para FortiSIEM

Os alertas do Defender para IoT fornecem informações sobre uma vasta gama de eventos de segurança, incluindo:

Desvios da atividade de rede de linha de base aprendida
Detecções de malware
Deteções baseadas em alterações operacionais suspeitas
Anomalias de rede
Desvios de protocolo das especificações do protocolo

Pode configurar o Defender para IoT para enviar alertas para o servidor FortiSIEM, onde as informações de alerta são apresentadas na janela ANÁLISE :

Em seguida, cada alerta do Defender para IoT é analisado sem qualquer outra configuração do lado do FortiSIEM e são apresentados no FortiSIEM como eventos de segurança. Os seguintes detalhes do evento são apresentados por predefinição:

Protocolo de Aplicação
Versão da Aplicação
Tipo de Categoria
ID do Recoletor
Contar
Hora do Dispositivo
ID do Evento
Nome do Evento
Estado da Análise de Eventos

Em seguida, pode utilizar as Regras de Reencaminhamento do Defender para IoT para enviar informações de alerta para FortiSIEM.

Para utilizar as Regras de Reencaminhamento do Defender para IoT para enviar informações de alerta para FortiSIEM:

Na consola do sensor, selecione Reencaminhamento.
Selecione + Criar nova regra.

No painel Adicionar regra de reencaminhamento , defina os parâmetros da regra:

Parâmetro	Descrição
Nome da regra	O nome da regra de reencaminhamento.
Nível de alerta mínimo	O incidente de nível de segurança mínimo a reencaminhar. Por exemplo, se Menor estiver selecionado, os alertas menores e qualquer alerta acima deste nível de gravidade serão reencaminhados.
Qualquer protocolo detetado	Desative para selecionar os protocolos que pretende incluir na regra.
Tráfego detetado por qualquer motor	Desative para selecionar o tráfego que pretende incluir na regra.

Na área Ações , defina os seguintes valores:

Parâmetro	Descrição
Servidor	Selecione FortiSIEM.
Host	Defina o IP do servidor ClearPass para enviar informações de alerta.
Porta	Defina a porta ClearPass para enviar informações de alerta.
Fuso horário	O carimbo de data/hora da deteção de alertas.

Selecione Salvar.

Bloquear uma origem maliciosa com a firewall do Fortigate

Pode definir políticas para bloquear automaticamente origens maliciosas na firewall do FortiGate, através de alertas no Defender para IoT.

Para definir uma regra de firewall FortiGate que bloqueia uma origem maliciosa:

No FortiGate, crie uma chave de API.
Inicie sessão no sensor do Defender para IoT e selecione Reencaminhamento, defina uma regra de reencaminhamento que bloqueia alertas relacionados com software maligno.
No sensor do Defender para IoT, selecione Alertas e bloqueie uma origem maliciosa.
Navegue para a janela Administrador fortiGage e localize o endereço de origem malicioso que bloqueou.

A política de bloqueio é criada automaticamente e é apresentada na janela Política IPv4 fortiGate.

Selecione a política e certifique-se de que Ativar esta política está ativado.

Parâmetro	Descrição
Nome	O nome da política.
Interface de Entrada	A interface de firewall de entrada para o tráfego.
Interface de Envio	A interface de firewall de saída para o tráfego.
Fonte	O(es) endereço(es) de origem para o tráfego.
Destino	O(es) endereço(es) de destino para o tráfego.
Schedule	A ocorrência da regra recentemente definida. Por exemplo, `always`.
Serviço	O protocolo ou portas específicas para o tráfego.
Action	A ação que a firewall irá executar.

Próximas etapas

Integrações com a Microsoft e serviços de parceiros

Comentários

Esta página foi útil?

Last updated on 2026-04-29