Intégrer Fortinet à Microsoft Defender pour IoT

Cet article vous explique comment intégrer Fortinet à Microsoft Defender pour IoT et comment l’utiliser.

Microsoft Defender pour IoT atténue le risque IIoT, ICS et SCADA avec des moteurs d’auto-apprentissage compatibles ICS, qui fournissent des insights immédiats sur les appareils, les vulnérabilités et les menaces ICS. Defender pour IoT réalise cela sans s’appuyer sur des agents, des règles, des signatures, des compétences spécialisées ou une connaissance préalable de l’environnement.

Defender pour IoT et Fortinet ont établi un partenariat technologique qui détecte et arrête les attaques sur les réseaux IoT et ICS.

Fortinet et Microsoft Defender pour IoT s’avèrent préventifs dans les cas suivants :

• Changements non autorisés apportés aux contrôleurs logiques programmables (PLC).

• Programmes malveillants qui manipulent les appareils ICS et IoT par le biais de leurs protocoles natifs.

• Outils de reconnaissance issus de la collecte de données.

• Violations de protocole provoquées par des configurations incorrectes ou des attaquants malveillants.

Defender pour IoT détecte un comportement anormal dans les réseaux IoT et ICS, et fournit ces informations à FortiGate et FortiSIEM, comme suit :

• Visibilité : Les informations fournies par Defender pour IoT permettent aux administrateurs FortiSIEM d’avoir une visibilité sur les réseaux IoT et ICS auparavant invisibles.

• Attaques malveillantes bloquantes : Les administrateurs FortiGate peuvent utiliser les informations découvertes par Defender pour IoT pour créer des règles destinées à faire cesser un comportement anormal, qu’il soit causé par des acteurs malintentionnés ou des appareils mal configurés, avant qu’il ne porte atteinte à la production, aux bénéfices ou aux personnes.

Avec FortiSIEM et la solution multifournisseur de gestion des incidents et des événements de sécurité de Fortinet, la visibilité, la corrélation, la réponse automatisée et la correction sont regroupées dans une seule et unique solution scalable.

Une vue Services métier permet de réduire la complexité de la gestion des opérations réseau et de sécurité, ce qui a pour effet de libérer des ressources et d’améliorer la détection des violations. FortiSIEM propose une corrélation croisée tout en appliquant le machine learning et UEBA pour améliorer la réponse et ainsi bloquer les violations avant qu’elles ne se produisent.

Dans cet article, vous apprendrez comment :

• Créer une clé API dans Fortinet
• Définir une règle de transfert pour bloquer les alertes liées aux programmes malveillants
• Bloquer la source des alertes suspectes
• Envoyer les alertes Defender pour IoT à FortiSIEM
• Bloquer une source malveillante avec le pare-feu FortiGate

Prérequis

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

• Accédez à un capteur OT Defender pour IoT en tant qu’utilisateur administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

• Capacité à créer des clés API dans Fortinet.

Créer une clé API dans Fortinet

Une clé d’interface de programmation d’applications (API) est un code généré de manière unique qui permet à une API d’identifier l’application ou l’utilisateur qui demande l’accès à celle-ci. Une clé API est nécessaire pour que Microsoft Defender pour IoT et Fortinet communiquent correctement.

Pour créer une clé API dans Fortinet :

1. Dans FortiGate, accédez à System>Admin Profiles (Profils administrateur).

2. Créez un profil avec les autorisations suivantes :

   Paramètre	Sélection
   Security Fabric (Infrastructure de sécurité)	None
   Fortiview	Aucun
   User & Device (Utilisateur et appareil)	Aucun
   Pare-feu	Custom
   Stratégie	Lecture/écriture
   Adresse	Lecture/écriture
   Service	None
   Planification	Aucun
   Logs & Report (Journaux et rapport)	Aucun
   Réseau	None
   Système	None
   Security Profile (Profil de sécurité)	None
   VPN	Aucun
   WAN Opt & Cache (Option et cache WAN)	Aucun
   WiFi & Switch (WiFi et commutateur)	Aucun

3. Accédez à System>Administrators (Administrateurs), puis créez un administrateur d’API REST (REST API Admin) avec les champs suivants :

   Paramètre	Description
   Nom d’utilisateur	Entrez le nom de la règle de transfert.
   Commentaires	Entrez l’incident de niveau de sécurité minimal à transférer. Par exemple, si Minor est sélectionné, les alertes mineures et toute alerte de niveau de gravité supérieur à ce niveau seront transférées.
   Administrator Profile (Profil administrateur)	Dans la liste déroulante, sélectionnez le nom de profil que vous avez défini à l’étape précédente.
   PKI Group (Groupe PKI)	Basculez le commutateur sur Disable (Désactiver).
   CORS Allow Origin (Autoriser l’origine CORS)	Basculez le commutateur sur Enable (Activer).
   Restrict login to trusted hosts (Limiter la connexion aux hôtes approuvés)	Ajoutez les adresses IP des capteurs et des consoles de gestion locales qui se connecteront à FortiGate.

Enregistrez la clé API dès qu’elle est générée, car elle ne sera pas de nouveau fournie. Le porteur de la clé API générée se voit accorder tous les privilèges d’accès attribués au compte.

Définir une règle de transfert pour bloquer les alertes liées aux programmes malveillants

Le pare-feu FortiGate peut être utilisé pour bloquer le trafic suspect.

Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes qui étaient déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.

Pendant la création de votre règle de transfert :

1. Dans la zone Actions, sélectionnez FortiGate.

2. Définissez l’adresse IP du serveur dans lequel vous souhaitez envoyer les données.

3. Entrez une clé API créée dans FortiGate.

4. Entrez les ports entrants et sortants de l’interface de pare-feu.

5. Sélectionnez cette option pour transférer des détails spécifiques de l’alerte. Nous vous recommandons de sélectionner un ou plusieurs des éléments suivants :

   • Bloquer les codes de fonction non conformes : Violations de protocole - Valeur de champ non conforme qui ne respecte pas la spécification de protocole ICS (attaque potentielle)
   • Bloquer les mises à jour non autorisées des microprogrammes/programmes PLC : Changements de contrôleur PLC non autorisés
   • Bloquer l’arrêt non autorisé du PLC Arrêt du PLC (temps d’arrêt)
   • Bloquer les alertes liées aux programmes malveillants : Blocage des tentatives de programmes malveillants industriels (comme TRITON, NotPetya)
   • Bloquer l’analyse non autorisée : Analyse non autorisée (reconnaissance potentielle)

Pour plus d’informations, consultez Transférer les informations d’alertes OT locales.

Bloquer la source des alertes suspectes

La source des alertes suspectes peut être bloquée afin d’éviter d’autres occurrences.

Pour bloquer la source des alertes suspectes :

1. Connectez-vous à la console de gestion locale, puis sélectionnez Alertes.

2. Sélectionnez l’alerte liée à l’intégration de Fortinet.

3. Pour bloquer automatiquement la source suspecte, sélectionnez Block Source (Bloquer la source).

4. Dans la boîte de dialogue Please Confirm, sélectionnez OK.

Envoyer les alertes Defender pour IoT à FortiSIEM

Les alertes Defender pour IoT fournissent des informations sur un large éventail d’événements de sécurité, notamment :

• Écarts par rapport à l’activité réseau de ligne de base acquise

• Détections de programmes malveillants

• Détections basées sur des changements opérationnels suspects

• Anomalies réseau

• Écarts de protocole par rapport aux spécifications de protocole

Vous pouvez configurer Defender pour IoT pour qu’il envoie des alertes au serveur FortiSIEM, où les informations d’alerte s’affichent dans la fenêtre ANALYTICS (Analytique) :

Chaque alerte Defender pour IoT est ensuite analysée sans aucune autre configuration côté FortiSIEM, et elle est présentée dans FortiSIEM sous forme d’événement de sécurité. Les détails d’événement suivants s’affichent par défaut :

• Protocole d’application
• Version de l’application
• Type de catégorie
• ID du collecteur
• Count
• Heure de l’appareil
• ID de l'événement
• Nom de l’événement
• État d’analyse de l’événement

Vous pouvez ensuite utiliser la fonctionnalité Règles de transfert de Defender pour IoT pour envoyer des informations d’alerte à FortiSIEM.

Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes qui étaient déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.

Pour utiliser la fonctionnalité Règles de transfert de Defender pour IoT pour envoyer des informations d’alerte à FortiSIEM :

1. Dans la console du capteur, sélectionnez Transfert.

2. Sélectionnez + Créer une règle.

3. Dans le volet Ajouter une règle de transfert, définissez les paramètres de la règle :

   

   Paramètre	Description
   Nom de la règle	Nom de la règle de transfert.
   Niveau d’alerte minimal	Incident de niveau de sécurité minimal à transférer. Par exemple, si Minor (Mineur) est sélectionné, les alertes mineures et toute alerte de niveau de gravité supérieur à ce niveau seront transférées.
   Tous les protocoles détectés	Désactiver pour sélectionner les protocoles à inclure dans la règle.
   Trafic détecté par n’importe quel moteur	Désactiver pour sélectionner le trafic à inclure dans la règle.

4. Dans la zone Actions, définissez les valeurs suivantes :

   Paramètre	Description
   Serveur	Sélectionnez FortiSIEM.
   Hôte	Définissez l’adresse IP du serveur ClearPass pour l’envoi des informations d’alerte.
   Port	Définissez le port de ClearPass pour l’envoi des informations d’alerte.
   Fuseau horaire	Horodatage de la détection d’alerte.

5. Sélectionnez Enregistrer.

Bloquer une source malveillante avec le pare-feu FortiGate

Vous pouvez définir des stratégies pour bloquer automatiquement les sources malveillantes dans le pare-feu FortiGate, en utilisant des alertes dans Defender pour IoT.

Par exemple, l’alerte suivante peut bloquer la source malveillante :

Pour définir une règle de pare-feu FortiGate qui bloque une source malveillante :

1. Dans FortiGate, créez une clé API.

2. Connectez-vous au capteur Defender pour IoT ou à la console de gestion locale, puis sélectionnez Transfert et définissez une règle de transfert qui bloque les alertes liées aux logiciels malveillants.

3. Dans le capteur Defender pour IoT ou la console de gestion locale, sélectionnez Alertes et bloquez une source malveillante.

4. Accédez à la fenêtre Administrator de FortiGage, puis localisez l’adresse de la source malveillante que vous avez bloquée.

   La stratégie de blocage est automatiquement créée et s’affiche dans la fenêtre IPv4 Policy (Stratégie IPv4) de FortiGate.

   

5. Sélectionnez la stratégie et vérifiez que l’option Enable this policy (Activer cette stratégie) est activée.

   

   Paramètre	Description
   Nom	Nom de la stratégie.
   Incoming Interface (Interface entrante)	Interface de pare-feu entrante pour le trafic.
   Outgoing Interface (Interface sortante)	Interface de pare-feu sortante pour le trafic.
   Source	Adresse(s) source(s) du trafic.
   Destination	Adresse(s) de destination pour le trafic.
   Planification	Occurrence de la règle nouvellement définie. Par exemple : always.
   Service	Protocole, ou ports spécifiques pour le trafic.
   Action	Action que le pare-feu doit effectuer.

Étapes suivantes

Intégrations à d’autres services Microsoft et partenaires