Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln hjälper dig att lära dig hur du integrerar och använder Fortinet med Microsoft Defender för IoT.
Microsoft Defender för IoT minskar IIoT-, ICS- och SCADA-risker med ICS-medvetna självinlärningsmotorer som ger omedelbara insikter om ICS-enheter, sårbarheter och hot. Defender för IoT gör detta utan att förlita sig på agenter, regler, signaturer, specialiserade kunskaper eller förkunskaper om miljön.
Defender för IoT och Fortinet har upprättat ett tekniskt partnerskap som identifierar och stoppar attacker på IoT- och ICS-nätverk.
Obs!
Defender for IoT planerar att dra tillbaka Fortinet-integreringen den 1 december 2025
Fortinet och Microsoft Defender för IoT förhindrar:
Obehöriga ändringar av programmerbara logikkontrollanter (PLC).
Skadlig kod som manipulerar ICS- och IoT-enheter via deras interna protokoll.
Rekognoseringsverktyg från insamling av data.
Protokollöverträdelser som orsakas av felkonfigurationer eller skadliga angripare.
Defender för IoT identifierar avvikande beteende i IoT- och ICS-nätverk och levererar den informationen till FortiGate och FortiSIEM enligt följande:
Synlighet: Informationen från Defender for IoT ger FortiSIEM-administratörer insyn i tidigare osynliga IoT- och ICS-nätverk.
Blockera skadliga attacker: FortiGate-administratörer kan använda den information som identifieras av Defender for IoT för att skapa regler för att stoppa avvikande beteende, oavsett om det beteendet orsakas av kaotiska aktörer eller felkonfigurerade enheter innan det orsakar skada på produktion, vinster eller personer.
FortiSIEM och Fortinets lösning för hantering av säkerhetsincidenter och händelser i flera sändningar ger synlighet, korrelation, automatiserat svar och reparation till en enda skalbar lösning.
Med hjälp av en Business Services-vy minskar komplexiteten i att hantera nätverks- och säkerhetsåtgärder, vilket frigör resurser och förbättrar identifiering av intrång. FortiSIEM tillhandahåller korskorrelation, samtidigt som maskininlärning och UEBA tillämpas, för att förbättra svaret för att stoppa överträdelser innan de inträffar.
I den här artikeln lär du dig att:
- Skapa en API-nyckel i Fortinet
- Ange en vidarebefordringsregel för att blockera aviseringar relaterade till skadlig kod
- Blockera källan för misstänkta aviseringar
- Skicka Defender för IoT-aviseringar till FortiSIEM
- Blockera en skadlig källa med hjälp av Fortigate-brandväggen
Förhandskrav
Innan du börjar kontrollerar du att du har följande krav:
Åtkomst till en Defender for IoT OT-sensor som en Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Möjlighet att skapa API-nycklar i Fortinet.
Skapa en API-nyckel i Fortinet
En API-nyckel (Application Programming Interface) är en unikt genererad kod som gör att ett API kan identifiera programmet eller användaren som begär åtkomst till det. En API-nyckel krävs för att Microsoft Defender för att IoT och Fortinet ska kunna kommunicera korrekt.
Så här skapar du en API-nyckel i Fortinet:
I FortiGate går du till System>Admin-profiler.
Skapa en profil med följande behörigheter:
Parameter Urval Security Fabric Inga Fortiview Inga Användare & enhet Inga Brandvägg Anpassat Politik Läsa/skriva Address (adress) Läsa/skriva Tjänst Inga Schema Inga Loggar & rapport Inga Nätverk Inga System Inga Säkerhetsprofil Inga VPN Inga WAN Opt & Cache Inga WiFi & Switch Inga Gå tillSystemadministratörer> och skapa en ny REST API-Admin med följande fält:
Parameter Beskrivning Användarnamn Ange namnet på vidarebefordringsregeln. Kommentarer Ange den minsta säkerhetsnivåincident som ska vidarebefordras. Om du till exempel väljer Mindre vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsgraden. Administratörsprofil I listrutan väljer du det profilnamn som du har definierat i föregående steg. PKI-grupp Växla växeln till Inaktivera. CORS Allow Origin Växla växeln till Aktivera. Begränsa inloggningen till betrodda värdar Lägg till IP-adresserna för de sensorer som ska ansluta till FortiGate.
Spara API-nyckeln när den genereras eftersom den inte kommer att tillhandahållas igen. Ägarnamnet för den genererade API-nyckeln beviljas alla åtkomstbehörigheter som tilldelats till kontot.
Ange en vidarebefordringsregel för att blockera aviseringar relaterade till skadlig kod
FortiGate-brandväggen kan användas för att blockera misstänkt trafik.
Regler för vidarebefordran av aviseringar körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.
När du skapar vidarebefordringsregeln:
I området Åtgärder väljer du FortiGate.
Definiera serverns IP-adress där du vill skicka data.
Ange en API-nyckel som skapats i FortiGate.
Ange portarna för inkommande och utgående brandväggsgränssnitt.
Välj för att vidarebefordra specifik aviseringsinformation. Vi rekommenderar att du väljer något av följande:
- Blockera olagliga funktionskoder: Protokollöverträdelser – Ogiltigt fältvärde bryter mot ICS-protokollspecifikationen (potentiell exploatering)
- Blockera otillåten PLC-programmering/uppdateringar av inbyggd programvara: Otillåtna PLC-ändringar
- Blockera oauktoriserat PLC-stopp PLC-stopp (stilleståndstid)
- Blockera aviseringar om skadlig kod: Blockering av försök till industriell skadlig kod, till exempel TRITON eller NotPetya
- Blockera obehörig genomsökning: Obehörig genomsökning (potentiell rekognosering)
Mer information finns i Vidarebefordra information om lokala OT-aviseringar.
Blockera källan för misstänkta aviseringar
Källan till misstänkta aviseringar kan blockeras för att förhindra ytterligare förekomster.
Så här blockerar du källan till misstänkta aviseringar:
Logga in på OT-sensorn och välj sedan Aviseringar.
Välj den avisering som är relaterad till Fortinet-integrering.
Om du vill blockera den misstänkta källan automatiskt väljer du Blockera källa.
I dialogrutan Bekräfta väljer du OK.
Skicka Defender för IoT-aviseringar till FortiSIEM
Defender för IoT-aviseringar ger information om ett stort antal säkerhetshändelser, inklusive:
Avvikelser från den inlärda baslinjenätverksaktiviteten
Identifieringar av skadlig programvara
Identifieringar baserat på misstänkta driftsändringar
Nätverksavvikelser
Protokollavvikelser från protokollspecifikationer
Du kan konfigurera Defender för IoT för att skicka aviseringar till FortiSIEM-servern, där aviseringsinformation visas i ANALYTICS-fönstret :
Varje Defender for IoT-avisering parsas sedan utan någon annan konfiguration på FortiSIEM-sidan, och de visas i FortiSIEM som säkerhetshändelser. Följande händelseinformation visas som standard:
- Programprotokoll
- Programversion
- Kategorityp
- Insamlar-ID
- Räkna
- Enhetens tid
- Händelse-ID
- Händelsenamn
- Händelseparsningsstatus
Du kan sedan använda Defender for IoT:s vidarebefordringsregler för att skicka aviseringsinformation till FortiSIEM.
Regler för vidarebefordran av aviseringar körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.
Så här använder du Defender för IoT:s vidarebefordringsregler för att skicka aviseringsinformation till FortiSIEM:
I sensorkonsolen väljer du Vidarebefordran.
Välj + Skapa ny regel.
I fönstret Lägg till vidarebefordringsregel definierar du regelparametrarna:
Parameter Beskrivning Regelnamn Namnet på vidarebefordranderegeln. Minimal aviseringsnivå Minsta säkerhetsnivåincident som ska vidarebefordras. Om du till exempel väljer Mindre vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsgraden. Alla protokoll har identifierats Växla bort för att välja de protokoll som du vill inkludera i regeln. Trafik identifierad av alla motorer Växla av för att välja den trafik som du vill inkludera i regeln. I området Åtgärder definierar du följande värden:
Parameter Beskrivning Server Välj FortiSIEM. Värd Definiera ClearPass-serverns IP-adress för att skicka aviseringsinformation. Port Definiera ClearPass-porten för att skicka aviseringsinformation. Tidszon Tidsstämpeln för aviseringsidentifieringen. Välj Spara.
Blockera en skadlig källa med hjälp av Fortigate-brandväggen
Du kan ange principer för att automatiskt blockera skadliga källor i FortiGate-brandväggen med hjälp av aviseringar i Defender för IoT.
Så här anger du en FortiGate-brandväggsregel som blockerar en skadlig källa:
Skapa en API-nyckel i FortiGate.
Logga in på Defender for IoT-sensorn och välj Vidarebefordran, ange en vidarebefordringsregel som blockerar aviseringar relaterade till skadlig kod.
I Defender för IoT-sensorn väljer du Aviseringar och blockerar en skadlig källa.
Gå till fönstret FortiGage-administratör och leta upp den skadliga källadress som du blockerade.
Blockeringsprincipen skapas automatiskt och visas i fönstret FortiGate IPv4-princip.
Välj principen och se till att Aktivera den här principen är aktiverad.
Parameter Beskrivning Namn Namnet på principen. Inkommande gränssnitt Det inkommande brandväggsgränssnittet för trafiken. Utgående gränssnitt Utgående brandväggsgränssnitt för trafiken. Source Källadresserna för trafiken. Destination Måladresserna för trafiken. Schema Förekomsten av den nyligen definierade regeln. Till exempel always.Tjänst Protokollet eller specifika portar för trafiken. Åtgärd Den åtgärd som brandväggen ska utföra.
