Integrera Fortinet med Microsoft Defender för IoT

Den här artikeln hjälper dig att lära dig hur du integrerar och använder Fortinet med Microsoft Defender för IoT.

Microsoft Defender för IoT minskar IIoT-, ICS- och SCADA-risker med ICS-medvetna självinlärningsmotorer som ger omedelbara insikter om ICS-enheter, sårbarheter och hot. Defender för IoT gör detta utan att förlita sig på agenter, regler, signaturer, specialiserade kunskaper eller förkunskaper om miljön.

Defender för IoT och Fortinet har upprättat ett tekniskt partnerskap som identifierar och stoppar attacker på IoT- och ICS-nätverk.

Fortinet och Microsoft Defender för IoT förhindrar:

• Obehöriga ändringar av programmerbara logikkontrollanter (PLC).

• Skadlig kod som manipulerar ICS- och IoT-enheter via deras interna protokoll.

• Rekognoseringsverktyg från insamling av data.

• Protokollöverträdelser som orsakas av felkonfigurationer eller skadliga angripare.

Defender for IoT identifierar avvikande beteende i IoT- och ICS-nätverk och levererar den informationen till FortiGate och FortiSIEM enligt följande:

• Synlighet: Informationen från Defender for IoT ger FortiSIEM-administratörer insyn i tidigare osynliga IoT- och ICS-nätverk.

• Blockera skadliga attacker: FortiGate-administratörer kan använda den information som identifieras av Defender för IoT för att skapa regler för att stoppa avvikande beteende, oavsett om det beteendet orsakas av kaotiska aktörer eller felkonfigurerade enheter, innan det orsakar skador på produktion, vinster eller personer.

FortiSIEM och Fortinets lösning för hantering av säkerhetsincidenter och händelser med flera enheter ger synlighet, korrelation, automatiserat svar och reparation till en enda skalbar lösning.

Med hjälp av en Business Services-vy minskar komplexiteten i att hantera nätverks- och säkerhetsåtgärder, vilket frigör resurser och förbättrar intrångsidentifieringen. FortiSIEM tillhandahåller korskorrelation, samtidigt som maskininlärning och UEBA tillämpas, för att förbättra svaret för att stoppa överträdelser innan de inträffar.

I den här artikeln kan du se hur du:

• Skapa en API-nyckel i Fortinet
• Ange en vidarebefordringsregel för att blockera aviseringar relaterade till skadlig kod
• Blockera källan till misstänkta aviseringar
• Skicka Defender för IoT-aviseringar till FortiSIEM
• Blockera en skadlig källa med hjälp av Fortigate-brandväggen

Förutsättningar

Kontrollera att du har följande förutsättningar innan du börjar:

• Åtkomst till en Defender for IoT OT-sensor som administratörsanvändare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

• Möjlighet att skapa API-nycklar i Fortinet.

Skapa en API-nyckel i Fortinet

En API-nyckel (Application Programming Interface) är en unikt genererad kod som gör att ett API kan identifiera programmet eller användaren som begär åtkomst till det. En API-nyckel krävs för att Microsoft Defender för IoT och Fortinet ska kunna kommunicera korrekt.

Så här skapar du en API-nyckel i Fortinet:

1. Gå till Systemadministratörsprofiler> i FortiGate.

2. Skapa en profil med följande behörigheter:

   Parameter	Urval
   Security Fabric	Ingen
   Fortiview	Ingen
   Användare och enhet	Ingen
   Brandvägg	Egen
   Princip	Läsa/Skriva
   Address	Läsa/Skriva
   Tjänst	Ingen
   Tidsplan	Ingen
   Loggar och rapport	Ingen
   Nätverk	Ingen
   System	Ingen
   Säkerhetsprofil	Ingen
   VPN	Ingen
   WAN Opt &Cache	Ingen
   WiFi & switch	Ingen

3. Gå till Systemadministratörer> och skapa en ny REST API-administratör med följande fält:

   Parameter	Description
   Användarnamn	Ange namnet på vidarebefordringsregeln.
   Kommentarer	Ange den minsta säkerhetsnivåincident som ska vidarebefordras. Om minor till exempel har valts vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.
   Administratörsprofil	I listrutan väljer du det profilnamn som du har definierat i föregående steg.
   PKI-grupp	Växla växeln till Inaktivera.
   CORS Allow Origin	Växla växeln till Aktivera.
   Begränsa inloggning till betrodda värdar	Lägg till IP-adresserna för de sensorer och lokala hanteringskonsoler som ska ansluta till FortiGate.

Spara API-nyckeln när den genereras, eftersom den inte kommer att tillhandahållas igen. Ägarnamnet för den genererade API-nyckeln beviljas alla åtkomstbehörigheter som tilldelats kontot.

Ange en vidarebefordringsregel för att blockera aviseringar relaterade till skadlig kod

FortiGate-brandväggen kan användas för att blockera misstänkt trafik.

Vidarebefordran av aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.

När du skapar vidarebefordringsregeln:

1. I området Åtgärder väljer du FortiGate.

2. Definiera serverns IP-adress där du vill skicka data.

3. Ange en API-nyckel som skapats i FortiGate.

4. Ange portarna för inkommande och utgående brandväggsgränssnitt.

5. Välj för att vidarebefordra specifik aviseringsinformation. Vi rekommenderar att du väljer något av följande:

   • Blockera ogiltiga funktionskoder: Protokollöverträdelser – Ogiltigt fältvärde som bryter mot ICS-protokollspecifikationen (potentiell exploatering)
   • Blockera otillåten PLC-programmering/uppdateringar av inbyggd programvara: Otillåtna PLC-ändringar
   • Blockera otillåtet PLC-stopp PLC-stopp (stilleståndstid)
   • Blockera aviseringar om skadlig kod: Blockera försök till industriell skadlig kod, till exempel TRITON eller NotPetya
   • Blockera obehörig genomsökning: Obehörig genomsökning (potentiell rekognosering)

Mer information finns i Vidarebefordra information om lokala OT-aviseringar.

Blockera källan till misstänkta aviseringar

Källan till misstänkta aviseringar kan blockeras för att förhindra ytterligare förekomster.

Så här blockerar du källan till misstänkta aviseringar:

1. Logga in på den lokala hanteringskonsolen och välj sedan Aviseringar.

2. Välj aviseringen som är relaterad till Fortinet-integrering.

3. Om du vill blockera den misstänkta källan automatiskt väljer du Blockera källa.

4. I dialogrutan Bekräfta väljer du OK.

Skicka Defender för IoT-aviseringar till FortiSIEM

Defender för IoT-aviseringar ger information om ett stort antal säkerhetshändelser, bland annat:

• Avvikelser från den inlärda baslinjenätverksaktiviteten

• Identifiering av skadlig kod

• Identifieringar baserade på misstänkta driftsändringar

• Nätverksavvikelser

• Protokollavvikelser från protokollspecifikationer

Du kan konfigurera Defender för IoT för att skicka aviseringar till FortiSIEM-servern, där aviseringsinformation visas i ANALYTICS-fönstret :

Varje Defender for IoT-avisering parsas sedan utan någon annan konfiguration på FortiSIEM-sidan, och de visas i FortiSIEM som säkerhetshändelser. Följande händelseinformation visas som standard:

• Programprotokoll
• Programversion
• Kategorityp
• Insamlar-ID
• Antal
• Enhetens tid
• Händelse-ID
• Händelsenamn
• Händelseparse-status

Du kan sedan använda Defender för IoT:s regler för vidarebefordran för att skicka aviseringsinformation till FortiSIEM.

Vidarebefordran av aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.

Så här använder du Defender för IoT:s vidarebefordransregler för att skicka aviseringsinformation till FortiSIEM:

1. I sensorkonsolen väljer du Vidarebefordran.

2. Välj + Skapa ny regel.

3. I fönstret Lägg till vidarebefordringsregel definierar du regelparametrarna:

   

   Parameter	Description
   Regelnamn	Namnet på vidarebefordranregeln.
   Minimal aviseringsnivå	Den minsta säkerhetsnivåincident som ska vidarebefordras. Om minor till exempel har valts vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.
   Alla protokoll har identifierats	Växla bort för att välja de protokoll som du vill inkludera i regeln.
   Trafik identifierad av alla motorer	Växla bort för att välja den trafik som du vill inkludera i regeln.

4. I området Åtgärder definierar du följande värden:

   Parameter	Description
   Server	Välj FortiSIEM.
   Värd	Definiera ClearPass-serverns IP-adress för att skicka aviseringsinformation.
   Port	Definiera ClearPass-porten för att skicka aviseringsinformation.
   Tidszon	Tidsstämpeln för aviseringsidentifieringen.

5. Välj Spara.

Blockera en skadlig källa med hjälp av Fortigate-brandväggen

Du kan ange principer för att automatiskt blockera skadliga källor i FortiGate-brandväggen med hjälp av aviseringar i Defender för IoT.

Följande avisering kan till exempel blockera den skadliga källan:

Så här anger du en FortiGate-brandväggsregel som blockerar en skadlig källa:

1. Skapa en API-nyckel i FortiGate.

2. Logga in på Defender for IoT-sensorn eller den lokala hanteringskonsolen och välj Vidarebefordran, ange en vidarebefordringsregel som blockerar aviseringar relaterade till skadlig kod.

3. I Defender för IoT-sensorn eller den lokala hanteringskonsolen väljer du Aviseringar och blockerar en skadlig källa.

4. Gå till fönstret FortiGage Administrator (FortiGage-administratör) och leta reda på den skadliga källadress som du blockerade.

   Blockeringsprincipen skapas automatiskt och visas i fönstret FortiGate IPv4-princip.

   

5. Välj principen och se till att Aktivera den här principen är aktiverad.

   

   Parameter	Description
   Namn	Policyns namn.
   Inkommande gränssnitt	Det inkommande brandväggsgränssnittet för trafiken.
   Utgående gränssnitt	Det utgående brandväggsgränssnittet för trafiken.
   Source	Källadresserna för trafiken.
   Mål	Måladresserna för trafiken.
   Tidsplan	Förekomsten av den nyligen definierade regeln. Exempel: always
   Tjänst	Protokollet eller specifika portar för trafiken.
   Åtgärd	Åtgärden som brandväggen ska utföra.

Nästa steg

Integreringar med Microsoft och partnertjänster