دمج Fortinet مع Microsoft Defender for IoT
تساعدك هذه المقالة على تعلم كيفية دمج Fortinet واستخدامه مع Microsoft Defender for IoT.
يخفف Microsoft Defender for IoT من مخاطر IIoT وICS وSCADA باستخدام محركات التعلم الذاتي المدركة ل ICS التي تقدم رؤى فورية حول أجهزة ICS ونقاط الضعف والتهديدات. يحقق Defender for IoT ذلك دون الاعتماد على وكلاء أو قواعد أو توقيعات أو مهارات متخصصة أو معرفة مسبقة للبيئة.
أنشأ Defender for IoT و Fortinet شراكة تكنولوجية تكتشف وتوقف الهجمات على شبكات IoT وICS.
يمنع Fortinet وMicrosoft Defender for IoT:
تغييرات غير مصرح بها إلى وحدات تحكم المنطق القابلة للبرمجة (PLC).
البرامج الضارة التي تعالج أجهزة ICS وIoT عبر بروتوكولاتها الأصلية.
أدوات الاستكشاف من جمع البيانات.
انتهاكات البروتوكول الناتجة عن التكوينات الخاطئة أو المهاجمين الضارين.
يكتشف Defender for IoT السلوك الشاذ في شبكات IoT وICS ويسلم هذه المعلومات إلى FortiGate و FortiSIEM، كما يلي:
الرؤية: المعلومات التي يوفرها Defender for IoT تعطي مسؤولي FortiSIEM رؤية حول شبكات IoT وICS غير المرئية في السابق.
حظر الهجمات الضارة: يمكن لمسؤولي FortiGate استخدام المعلومات التي اكتشفها Defender for IoT لإنشاء قواعد لإيقاف السلوك الشاذ، بغض النظر عما إذا كان هذا السلوك ناتجا عن جهات فاعلة فوضوية أو أجهزة تم تكوينها بشكل خاطئ، قبل أن يتسبب في ضرر للإنتاج أو الأرباح أو الأشخاص.
يوفر حل إدارة الأحداث والحوادث الأمنية متعددة الأدوات ل FortiSIEM و Fortinet الرؤية والارتباط والاستجابة التلقائية والمعالجة إلى حل واحد قابل للتطوير.
باستخدام طريقة عرض خدمات الأعمال، يتم تقليل تعقيد إدارة عمليات الشبكة والأمان، وتحرير الموارد وتحسين الكشف عن الخرق. يوفر FortiSIEM علاقة متبادلة، أثناء تطبيق التعلم الآلي وUEBA، لتحسين الاستجابة من أجل إيقاف الخروقات قبل حدوثها.
في هذه المقالة، ستتعرف على كيفية:
- إنشاء مفتاح API في Fortinet
- تعيين قاعدة إعادة توجيه لحظر التنبيهات المتعلقة بالبرامج الضارة
- حظر مصدر التنبيهات المشبوهة
- إرسال Defender for IoT تنبيهات إلى FortiSIEM
- حظر مصدر ضار باستخدام جدار الحماية Fortigate
المتطلبات الأساسية
قبل البدء، يجب أن تكون لديك المتطلبات الأساسية التالية:
الوصول إلى مستشعر Defender ل IoT OT كمستخدم مسؤول. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.
القدرة على إنشاء مفاتيح API في Fortinet.
إنشاء مفتاح API في Fortinet
مفتاح واجهة برمجة التطبيقات (API) هو تعليمة برمجية تم إنشاؤها بشكل فريد تسمح لواجهة برمجة التطبيقات بالتعرف على التطبيق أو المستخدم الذي يطلب الوصول إليه. يلزم توفر مفتاح API لـ Microsoft Defender for IoT وFortinet للتواصل بشكل صحيح.
لإنشاء مفتاح API في Fortinet:
في FortiGate، انتقل إلى النظام>ملفات تعريف المسؤول.
أنشئ ملف تعريف بالأذونات التالية:
المعلمة التحديد Security Fabric بلا Fortiview بلا المستخدم والجهاز بلا جدار حمايه مخصص السياسات قراءة/كتابة العنوان قراءة/كتابة الخدمة بلا الجدول بلا السجلات والتقرير بلا الشبكه بلا النظام بلا ملف تعريف الأمان بلا Vpn بلا تحسين WAN وذاكرة التخزين المؤقت بلا WiFi والتبديل بلا انتقل إلى مسؤولي>النظام، وأنشئ مسؤول API REST جديد مع الحقول التالية:
المعلمة الوصف اسم المستخدم أدخل اسم قاعدة إعادة التوجيه. التعليقات أدخل الحد الأدنى من مستوى الأمان للمضي قدمًا. على سبيل المثال، إذا تم تحديد Minor، فسيتم إعادة توجيه التنبيهات الثانوية وأي تنبيه أعلى من مستوى الخطورة هذا. ملف تعريف المسؤول من القائمة المنسدلة، حدد اسم ملف التعريف الذي قمت بتعريفه في الخطوة السابقة. مجموعة PKI بدّل المفتاح إلى تعطيل. CORS تسمح بالأصل بدّل المفتاح إلى تمكين. تقييد تسجيل الدخول إلى المضيفين الموثوق بهم أضف عناوين IP الخاصة بأجهزة الاستشعار ووحدات التحكم بالإدارة المحلية التي ستتصل ب FortiGate.
احفظ مفتاح API عند إنشائه، حيث لن يتم توفيره مرة أخرى. سيتم منح حامل مفتاح API الذي تم إنشاؤه جميع امتيازات الوصول المعينة للحساب.
تعيين قاعدة إعادة توجيه لحظر التنبيهات المتعلقة بالبرامج الضارة
يمكن استخدام جدار الحماية FortiGate لحظر نسبة استخدام الشبكة المشبوهة.
يتم تشغيل قواعد تنبيه إعادة التوجيه فقط على التنبيهات التي يتم تشغيلها بعد إنشاء قاعدة إعادة التوجيه. لا تتأثر التنبيهات الموجودة بالفعل في النظام من قبل إنشاء قاعدة إعادة التوجيه بالقاعدة.
عند إنشاء قاعدة إعادة التوجيه:
في منطقة الإجراءات ، حدد FortiGate.
حدد عنوان IP للخادم حيث تريد إرسال البيانات.
أدخل مفتاح API الذي تم إنشاؤه في FortiGate.
أدخل منافذ واجهة جدار الحماية الواردة والصادرة.
حدد لإعادة توجيه تفاصيل تنبيه محددة. نوصي بتحديد واحد من أكثر مما يلي:
- حظر التعليمات البرمجية للوظائف غير القانونية: انتهاكات البروتوكول - قيمة الحقل غير القانونية التي تنتهك مواصفات بروتوكول ICS (الهجمات المحتملة)
- حظر تحديثات البرامج الثابتة/برمجة PLC غير المصرح بها: تغييرات PLC غير المصرح بها
- حظر إيقاف PLC غير المصرح به لتوقف PLC (وقت التعطل)
- حظر التنبيهات المتعلقة بالبرامج الضارة: حظر محاولات البرامج الضارة الصناعية، مثل TRITON أو NotPetya
- حظر الفحص غير المصرح به: الفحص غير المصرح به (الاستكشاف المحتمل)
لمزيد من المعلومات، راجع إعادة توجيه معلومات تنبيه OT المحلية.
حظر مصدر التنبيهات المشبوهة
يمكن حظر التنبيهات المشبوهة لمنع وقوع المزيد من الحوادث.
لحظر مصدر التنبيهات المشبوهة:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية، ثم حدد Alerts.
حدد التنبيه المتعلق بتكامل Fortinet.
لحظر المصدر المشبوه تلقائيًا، حدد حظر المصدر.
يظهر مربع الحوار الرجاء التأكيد، حدد موافق.
إرسال Defender for IoT تنبيهات إلى FortiSIEM
تتيح تنبيهات Defender for IoT معلومات حول مجموعة واسعة من الأحداث الأمنية، بما في ذلك:
الانحرافات عن نشاط الشبكة الأساسي الذي تم التعرف عليه
اكتشاف البرامج الضارة
عمليات الاكتشاف على أساس التغييرات التشغيلية المريبة
انحرافات الشبكة
انحرافات البروتوكول عن مواصفات البروتوكول
يمكنك تكوين Defender for IoT لإرسال تنبيهات إلى خادم FortiSIEM، حيث يتم عرض معلومات التنبيه في نافذة ANALYTICS :
ثم يتم تحليل كل تنبيه Defender for IoT دون أي تكوين آخر على جانب FortiSIEM، ويتم تقديمها في FortiSIEM كأحداث أمنية. تظهر تفاصيل الحدث التالية بشكل افتراضي:
- بروتوكول التطبيق
- إصدار التطبيق
- نوع الفئة
- معرف المجمع
- عدد
- وقت الجهاز
- معرف الحدث
- اسم الحدث
- حالة تحليل الحدث
يمكنك بعد ذلك استخدام قواعد إعادة توجيه Defender for IoT لإرسال معلومات التنبيه إلى FortiSIEM.
يتم تشغيل قواعد تنبيه إعادة التوجيه فقط على التنبيهات التي يتم تشغيلها بعد إنشاء قاعدة إعادة التوجيه. لا تتأثر التنبيهات الموجودة بالفعل في النظام من قبل إنشاء قاعدة إعادة التوجيه بالقاعدة.
لاستخدام قواعد إعادة توجيه Defender for IoT لإرسال معلومات التنبيه إلى FortiSIEM:
من وحدة تحكم المستشعر، حدد إعادة التوجيه.
حدد + إنشاء قاعدة جديدة.
في جزء إضافة قاعدة إعادة التوجيه، حدد معلمات القاعدة:
المعلمة الوصف اسم القاعدة اسم قاعدة إعادة التوجيه. الحد الأدنى لمستوى التنبيه الحد الأدنى من مستوى الأمان للمضي قدمًا. على سبيل المثال، إذا تم تحديد Minor، فسيتم إعادة توجيه التنبيهات الثانوية وأي تنبيه أعلى من مستوى الخطورة هذا. أي بروتوكول تم اكتشافه قم بإيقاف التشغيل لتحديد البروتوكولات التي تريد تضمينها في القاعدة. نسبة استخدام الشبكة التي تم اكتشافها بواسطة أي محرك قم بإيقاف التشغيل لتحديد نسبة استخدام الشبكة التي تريد تضمينها في القاعدة. في منطقة الإجراءات، حدد القيم التالية:
المعلمة الوصف الخادم حدد FortiSIEM. المضيف حدد عنوان IP لخادم ClearPass لإرسال معلومات التنبيه. منفذ حدد منفذ ClearPass لإرسال معلومات التنبيه. المنطقة الزمنية الطابع الزمني للكشف عن التنبيه. حدد حفظ.
حظر مصدر ضار باستخدام جدار الحماية Fortigate
يمكنك تعيين نهج لحظر المصادر الضارة تلقائيا في جدار حماية FortiGate، باستخدام التنبيهات في Defender for IoT.
على سبيل المثال، يمكن للتنبيه التالي حظر المصدر الضار:
لتعيين قاعدة جدار الحماية FortiGate التي تحظر مصدر ضار:
في FortiGate، أنشئ مفتاح API.
سجل الدخول إلى أداة استشعار Defender for IoT، أو وحدة التحكم بالإدارة المحلية، وحدد إعادة التوجيه، وقم بتعيين قاعدة إعادة توجيه تمنع التنبيهات المتعلقة بالبرامج الضارة.
في مستشعر Defender for IoT، أو وحدة التحكم بالإدارة المحلية، حدد Alerts، وحظر مصدر ضار.
انتقل إلى نافذة مسؤول FortiGage، وحدد موقع عنوان المصدر الضار الذي حظرته.
يتم إنشاء نهج الحظر تلقائيا، ويظهر في نافذة نهج FortiGate IPv4.
حدد النهج وتأكد من تشغيل تمكين هذا النهج .
المعلمة الوصف الاسم اسم النهج. واجهة واردة واجهة جدار الحماية الوارد لنسبة استخدام الشبكة. واجهة صادرة واجهة جدار الحماية الصادر لنسبة استخدام الشبكة. Source عنوان (عناوين) المصدر لنسبة استخدام الشبكة. الوجهه عنوان (عناوين) الوجهة لنسبة استخدام الشبكة. الجدول حدوث القاعدة المعرفة حديثًا. على سبيل المثال، alwaysالخدمة البروتوكول أو منافذ محددة لنسبة استخدام الشبكة. الإجراء الإجراء الذي سينفذه جدار الحماية.
