Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам узнать, как интегрировать и использовать Fortinet с Microsoft Defender для Интернета вещей.
Microsoft Defender для Интернета вещей снижает риски IIoT, ICS и SCADA с помощью подсистем самообучения с поддержкой ICS, которые предоставляют немедленную информацию об устройствах ICS, уязвимостях и угрозах. Defender для Интернета вещей делает это без использования агентов, правил, сигнатур, специализированных навыков или предварительного знания среды.
Defender для Интернета вещей и Fortinet создали технологическое партнерство, которое обнаруживает и останавливает атаки на сети Интернета вещей и ICS.
Примечание.
Defender для Интернета вещей планирует прекратить интеграцию Fortinet 1 декабря 2025 г.
Fortinet и Microsoft Defender для Интернета вещей предотвращают:
Несанкционированные изменения программируемых контроллеров логики (PLC).
Вредоносная программа, которая управляет устройствами ICS и Интернета вещей с помощью собственных протоколов.
Средства рекогносцировки из сбора данных.
Нарушения протокола, вызванные неправильной настройкой или злоумышленниками.
Defender для Интернета вещей обнаруживает аномальное поведение в сетях Интернета вещей и ICS и доставляет эти сведения в FortiGate и FortiSIEM следующим образом:
Видимость: Информация, предоставляемая Defender для Интернета вещей, позволяет администраторам FortiSIEM видеть ранее невидимые сети Интернета вещей и ICS.
Блокировка вредоносных атак: Администраторы FortiGate могут использовать информацию, обнаруженную Defender для Интернета вещей, для создания правил, которые помешают аномальному поведению, независимо от того, вызвано ли это поведение хаотичными субъектами или неправильно настроенными устройствами, прежде чем оно причинит ущерб производству, прибыли или людям.
Решение fortiSIEM и Fortinet для управления инцидентами безопасности и событиями с несколькими серверами безопасности обеспечивает видимость, корреляцию, автоматическое реагирование и исправление в единое масштабируемое решение.
С помощью представления Бизнес-служб снижается сложность управления сетями и операциями безопасности, что позволяет освободить ресурсы и улучшить обнаружение нарушений. FortiSIEM обеспечивает перекрестную корреляцию, применяя машинное обучение и UEBA, чтобы улучшить реагирование, чтобы предотвратить нарушения до их возникновения.
Из этой статьи вы узнаете, как:
- Создание ключа API в Fortinet
- Настройка правила переадресации для блокировки оповещений, связанных с вредоносными программами
- Блокировка источника подозрительных оповещений
- Отправка оповещений Defender для Интернета вещей в FortiSIEM
- Блокировка вредоносного источника с помощью брандмауэра Fortigate
Предварительные условия
Перед началом работы убедитесь, что у вас есть следующие предварительные требования:
Доступ к датчику OT Defender для Интернета вещей в качестве пользователя Администратор. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Возможность создания ключей API в Fortinet.
Создание ключа API в Fortinet
Ключ интерфейса программирования приложения (API) — это уникальный код, который позволяет API идентифицировать приложение или пользователя, запрашивающего доступ к нему. Ключ API необходим для правильного взаимодействия Microsoft Defender для Интернета вещей и Fortinet.
Чтобы создать ключ API в Fortinet, выполните следующие действия:
В FortiGate перейдите в раздел Системные>Администратор Профили.
Создайте профиль со следующими разрешениями:
Параметр Selection Security Fabric Нет Fortiview Нет Устройство & пользователя Нет Брандмауэр Пользовательский Политика Чтение и запись Address Чтение и запись Служба Нет Schedule Нет Отчет по журналам & Нет Сеть Нет Система Нет Профиль безопасности Нет VPN Нет Кэш & & WAN Нет Коммутатор & Wi-Fi Нет Перейдите в раздел Системные>администраторы и создайте новую Администратор REST API со следующими полями:
Параметр Описание Username Введите имя правила переадресации. Comments Введите минимальный уровень безопасности инцидента для пересылки. Например, если выбран параметр Дополнительный , будут переадресованы незначительные оповещения и все оповещения, превышающие этот уровень серьезности. Профиль администратора В раскрывающемся списке выберите имя профиля, определенное на предыдущем шаге. Группа PKI Переключите переключатель в положение Отключить. CORS Allow Origin Переключите переключатель в положение Включить. Ограничение входа для доверенных узлов Добавьте IP-адреса датчиков, которые будут подключаться к FortiGate.
Сохраните ключ API при его создании, так как он не будет предоставлен повторно. Носителю созданного ключа API будут предоставлены все привилегии доступа, назначенные учетной записи.
Настройка правила переадресации для блокировки оповещений, связанных с вредоносными программами
Брандмауэр FortiGate можно использовать для блокировки подозрительного трафика.
Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила переадресации.
При создании правила переадресации:
В области Действия выберите FortiGate.
Определите IP-адрес сервера, куда нужно отправить данные.
Введите ключ API, созданный в FortiGate.
Введите порты интерфейса брандмауэра для входящих и исходящих подключений.
Выберите, чтобы переадресовать определенные сведения об оповещении. Рекомендуется выбрать один из следующих вариантов:
- Блокировать недопустимые коды функций: нарушения протокола — недопустимое значение поля, нарушающее спецификацию протокола ICS (потенциальный эксплойт)
- Блокировать несанкционированное программирование или обновление встроенного ПО ПЛК: несанкционированные изменения ПЛК
- Блокировка остановки несанкционированного PLC Остановка PLC (простой)
- Блокировка оповещений, связанных с вредоносными программами: блокировка попыток промышленного вредоносного ПО, таких как TRITON или NotPetya
- Блокировка несанкционированного сканирования: несанкционированное сканирование (потенциальная разведка)
Дополнительные сведения см. в разделе Пересылка локальных оповещений OT.
Блокировка источника подозрительных оповещений
Источник подозрительных оповещений можно заблокировать, чтобы предотвратить дальнейшие вхождения.
Чтобы заблокировать источник подозрительных оповещений, выполните следующие действия.
Войдите в датчик OT, а затем выберите Оповещения.
Выберите оповещение, связанное с интеграцией Fortinet.
Чтобы автоматически заблокировать подозрительный источник, выберите Блокировать источник.
В диалоговом окне Подтвердите нажмите кнопку ОК.
Отправка оповещений Defender для Интернета вещей в FortiSIEM
Оповещения Defender для Интернета вещей предоставляют сведения о широком спектре событий безопасности, включая:
Отклонения от изученной базовой сетевой активности
Обнаружения вредоносных программ
Обнаружения на основе подозрительных операционных изменений
Сетевые аномалии
Отклонения протокола от спецификаций протокола
Вы можете настроить Defender для Интернета вещей для отправки оповещений на сервер FortiSIEM, где в окне АНАЛИТИКА отображаются сведения об оповещении:
Затем каждое оповещение Defender для Интернета вещей анализируется без какой-либо другой конфигурации на стороне FortiSIEM и отображается в FortiSIEM как события безопасности. По умолчанию отображаются следующие сведения о событии:
- Протокол приложения
- Версия приложения
- Тип категории
- Идентификатор сборщика
- Count
- Время устройства
- Идентификатор события
- Имя события
- Состояние синтаксического анализа событий
Затем можно использовать правила переадресации Defender для Интернета вещей для отправки сведений об оповещении в FortiSIEM.
Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила переадресации.
Чтобы использовать правила пересылки Defender для Интернета вещей для отправки оповещений в FortiSIEM, выполните следующие действия:
В консоли датчика выберите Переадресация.
Выберите + Создать новое правило.
На панели Добавление правила переадресации определите параметры правила:
Параметр Описание Имя правила Имя правила переадресации. Минимальный уровень оповещений Переадресация минимального уровня безопасности. Например, если выбран параметр Дополнительный, будут переадресованы незначительные оповещения и все оповещения, превышающие этот уровень серьезности. Обнаружен любой протокол Выберите протоколы, которые нужно включить в правило. Трафик, обнаруженный любым обработчиком Чтобы выбрать трафик, который вы хотите включить в правило, переключите переключатель. В области Действия определите следующие значения:
Параметр Описание Сервер Выберите FortiSIEM. Host Определите IP-адрес сервера ClearPass для отправки сведений об оповещении. Port (Порт) Определите порт ClearPass для отправки сведений об оповещении. Timezone Метка времени для обнаружения оповещений. Выберите Сохранить.
Блокировка вредоносного источника с помощью брандмауэра Fortigate
Вы можете настроить политики для автоматической блокировки вредоносных источников в брандмауэре FortiGate с помощью оповещений в Defender для Интернета вещей.
Чтобы задать правило брандмауэра FortiGate, которое блокирует вредоносный источник, выполните приведенные ниже действия.
В FortiGate создайте ключ API.
Войдите в датчик Defender для Интернета вещей и выберите Переадресация, задайте правило переадресации, которое блокирует оповещения, связанные с вредоносными программами.
На датчике Defender для Интернета вещей выберите Оповещения и заблокируйте вредоносный источник.
Перейдите в окно Администратор FortiGage и найдите заблокированный адрес вредоносного источника.
Политика блокировки создается автоматически и отображается в окне Политика IPv4 FortiGate.
Выберите политику и убедитесь, что включен параметр Включить эту политику .
Параметр Описание Name Имя политики. Входящий интерфейс Интерфейс брандмауэра для входящего трафика. Исходящий интерфейс Интерфейс исходящего брандмауэра для трафика. Source Исходные адреса для трафика. Destination Адреса назначения для трафика. Schedule Вхождение нового правила. Например, always.Служба Протокол или порты для трафика. Действие Действие, которое будет выполнять брандмауэр.