Fortinet integrálása a Microsoft Defender for IoT-vel
Ez a cikk bemutatja, hogyan integrálhatja és használhatja a Fortinetet a Microsoft Defender for IoT-vel.
Az IoT-hez készült Microsoft Defender az IIoT, az ICS és az SCADA kockázatait ICS-képes öntanulási motorokkal mérsékli, amelyek azonnali elemzést nyújtanak az ICS-eszközökről, a biztonsági résekről és a fenyegetésekről. Az IoT Defender ezt anélkül végzi el, hogy ügynökökre, szabályokra, aláírásokra, speciális készségekre vagy a környezet előzetes ismeretére támaszkodik.
Az IoT-hez és a Fortinethez készült Defender olyan technológiai partnerséget hozott létre, amely észleli és leállítja az IoT- és ICS-hálózatok elleni támadásokat.
A Fortinet és a Microsoft Defender for IoT megakadályozza a következőt:
Programozható logikai vezérlők (PLC) jogosulatlan módosítása.
Az ICS- és IoT-eszközöket natív protokollokkal manipuláló kártevők.
Felderítési eszközök az adatok gyűjtéséből.
Helytelen konfigurációk vagy rosszindulatú támadók által okozott protokollsértések.
Az IoT Defender észleli a rendellenes viselkedést az IoT- és ICS-hálózatokban, és ezeket az információkat a FortiGate és a FortiSIEM felé továbbítja az alábbiak szerint:
Láthatóság: Az IoT Defender által biztosított információk révén a FortiSIEM-rendszergazdák áttekinthetik a korábban láthatatlan IoT- és ICS-hálózatokat.
Rosszindulatú támadások blokkolása: A FortiGate rendszergazdái a Defender for IoT által felderített információk segítségével szabályokat hozhatnak létre a rendellenes viselkedés leállításához, függetlenül attól, hogy ezt a viselkedést kaotikus szereplők vagy helytelenül konfigurált eszközök okozzák, mielőtt azok kárt okoznak az éles környezetben, a nyereségben vagy az emberekben.
A FortiSIEM és a Fortinet többvendoros biztonsági incidens- és eseménykezelési megoldása egyetlen méretezhető megoldás láthatóságát, korrelációját, automatizált válaszát és szervizelését biztosítja.
Az Üzleti szolgáltatások nézet használatával a hálózati és biztonsági műveletek kezelésének összetettsége csökken, erőforrásokat szabadít fel, és javítja a szabálysértések észlelését. A FortiSIEM keresztkorrelációt biztosít, miközben gépi tanulást és UEBA-t alkalmaz, hogy javítsa a választ, hogy megelőzze a behatolásokat, mielőtt azok bekövetkeznének.
Ebben a cikkben az alábbiakkal ismerkedhet meg:
- API-kulcs létrehozása a Fortinetben
- Továbbítási szabály beállítása a kártevővel kapcsolatos riasztások letiltásához
- Gyanús riasztások forrásának letiltása
- A Defender for IoT-riasztások küldése a FortiSIEM-be
- Rosszindulatú forrás letiltása a Fortigate tűzfallal
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
Hozzáférés a Defender for IoT OT-érzékelőhöz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
API-kulcsok létrehozása a Fortinetben.
API-kulcs létrehozása a Fortinetben
Az alkalmazásprogramozási felület (API) kulcsa egy egyedileg létrehozott kód, amely lehetővé teszi az API számára, hogy azonosítsa az alkalmazást vagy a hozzáférést kérő felhasználót. Az IoT-hez és a Fortinethez készült Microsoft Defenderhez api-kulcsra van szükség a helyes kommunikációhoz.
API-kulcs létrehozása a Fortinetben:
A FortiGate-ben lépjen a System Rendszergazda Profiles (Rendszer> Rendszergazda profilok) elemre.
Hozzon létre egy profilt a következő engedélyekkel:
Paraméter Kiválasztás Security Fabric None Fortiview None Felhasználó > eszköz None Firewall Egyéni Policy Olvasás/írás Cím Olvasás/írás Service None Ütemezés None Naplók > jelentés None Network None Rendszer None Biztonsági profil None VPN None WAN Opt & Cache None Wi-Fi > kapcsoló None Lépjen a System> Rendszergazda istrators lapra, és hozzon létre egy új REST API-Rendszergazda a következő mezőkkel:
Paraméter Leírás Felhasználónév Adja meg a továbbítási szabály nevét. Megjegyzések Adja meg a továbbítandó minimális biztonsági szintű incidenst. Ha például az Alverzió van kiválasztva, a rendszer a kisebb riasztásokat és az ezen súlyossági szint feletti riasztásokat továbbítja. Rendszergazda istrator-profil A legördülő listában válassza ki az előző lépésben definiált profilnevet. PKI-csoport Állítsa a kapcsolót Letiltás beállításra. CORS – Forrás engedélyezése Kapcsolja be a kapcsolót engedélyezésre. Bejelentkezés korlátozása megbízható gazdagépekre Adja hozzá a FortiGate-hez csatlakozó érzékelők és helyszíni felügyeleti konzolok IP-címét.
Mentse az API-kulcsot a létrehozáskor, mert az nem lesz újra megadva. A létrehozott API-kulcs tulajdonosának megkapja a fiókhoz rendelt összes hozzáférési jogosultságot.
Továbbítási szabály beállítása a kártevővel kapcsolatos riasztások letiltásához
A FortiGate tűzfal a gyanús forgalom blokkolására használható.
A továbbítási riasztási szabályok csak a továbbítási szabály létrehozása után aktivált riasztásokon futnak. A szabály nem érinti a már a rendszerben a továbbítási szabály létrehozása előtti riasztásokat.
A továbbítási szabály létrehozásakor:
A Műveletek területen válassza a FortiGate lehetőséget.
Adja meg azt a kiszolgálói IP-címet, ahová az adatokat el szeretné küldeni.
Adjon meg egy, a FortiGate-ben létrehozott API-kulcsot.
Adja meg a bejövő és kimenő tűzfalcsatlakozó portokat.
Válassza ki az adott riasztás részleteinek továbbítását. Javasoljuk, hogy válasszon az alábbiak közül:
- Tiltott függvénykódok blokkolása: Protokollsértések – Az ICS protokoll specifikációját sértő illegális mezőérték (potenciális kihasználás)
- Nem engedélyezett PLC-programozás/ belső vezérlőprogram-frissítések letiltása: Jogosulatlan PLC-módosítások
- Nem engedélyezett PLC leállítása PLC leállítása (állásidő)
- Kártevővel kapcsolatos riasztások letiltása: Az ipari kártevőkre tett kísérletek, például a TRITON vagy a NotPetya blokkolása
- Jogosulatlan vizsgálat letiltása: Jogosulatlan vizsgálat (lehetséges felderítés)
További információ: Helyszíni OT-riasztások továbbítása.
Gyanús riasztások forrásának letiltása
A gyanús riasztások forrása blokkolható a további előfordulások elkerülése érdekében.
A gyanús riasztások forrásának letiltása:
Jelentkezzen be a helyszíni felügyeleti konzolra, majd válassza a Riasztások lehetőséget.
Válassza ki a Fortinet-integrációhoz kapcsolódó riasztást.
A gyanús forrás automatikus letiltásához válassza a Forrás letiltása lehetőséget.
A Megerősítés gombra kattintva válassza az OK gombot.
A Defender for IoT-riasztások küldése a FortiSIEM-be
Az IoT-alapú Defender-riasztások számos biztonsági eseményről nyújtanak információt, többek között a következőkről:
Eltérések a tanult alapkonfigurációs hálózati tevékenységtől
Kártevőészlelések
Gyanús működési változásokon alapuló észlelések
Hálózati rendellenességek
Protokolleltérések a protokoll specifikációitól
Beállíthatja, hogy a Defender for IoT riasztásokat küldjön a FortiSIEM-kiszolgálónak, ahol a riasztási információk megjelennek az ANALYTICS ablakban:
Az IoT-alapú Defender-riasztások ezután a FortiSIEM oldalán más konfiguráció nélkül lesznek elemezve, és biztonsági eseményként jelennek meg a FortiSIEM-ben. Alapértelmezés szerint a következő eseményadatok jelennek meg:
- Application Protocol
- Alkalmazás verziója
- Kategória típusa
- Gyűjtő azonosítója
- Gróf
- Eszközidő
- Eseményazonosító
- Eseménynév
- Event Parse Status
Ezután a Defender for IoT továbbítási szabályaival riasztási információkat küldhet a FortiSIEM-nek.
A továbbítási riasztási szabályok csak a továbbítási szabály létrehozása után aktivált riasztásokon futnak. A szabály nem érinti a már a rendszerben a továbbítási szabály létrehozása előtti riasztásokat.
A Defender for IoT továbbítási szabályainak használata riasztási információk fortiSIEM-nek való küldéséhez:
Az érzékelőkonzolon válassza a Továbbítás lehetőséget.
Válassza a + Új szabály létrehozása lehetőséget.
A Továbbítási szabály hozzáadása panelen adja meg a szabály paramétereit:
Paraméter Leírás Szabály neve A továbbítási szabály neve. Minimális riasztási szint A továbbítandó minimális biztonsági szintű incidens. Ha például az Alverzió van kiválasztva, a rendszer a kisebb riasztásokat és az ezen súlyossági szint feletti riasztásokat továbbítja. Bármilyen észlelt protokoll Kikapcsolva válassza ki a szabályba felvenni kívánt protokollokat. Bármely motor által észlelt forgalom Kikapcsolva válassza ki a szabályba felvenni kívánt forgalmat. A Műveletek területen adja meg a következő értékeket:
Paraméter Leírás Kiszolgáló Válassza a FortiSIEM lehetőséget. Gazdagép Adja meg a ClearPass-kiszolgáló IP-címét a riasztási információk küldéséhez. Port Adja meg a ClearPass-portot a riasztási információk küldéséhez. Timezone A riasztásészlelés időbélyege. Válassza a Mentés parancsot.
Rosszindulatú forrás letiltása a Fortigate tűzfallal
A Szabályzatok beállításával automatikusan letilthatja a rosszindulatú forrásokat a FortiGate tűzfalon az IoT Defender riasztásaival.
A következő riasztás például letilthatja a rosszindulatú forrást:
Ha olyan FortiGate tűzfalszabályt szeretne beállítani, amely blokkolja a kártékony forrást:
A FortiGate-ben hozzon létre egy API-kulcsot.
Jelentkezzen be a Defender for IoT-érzékelőbe vagy a helyszíni felügyeleti konzolra, és válassza a Továbbítás lehetőséget, állítson be egy továbbítási szabályt, amely letiltja a kártevőkre vonatkozó riasztásokat.
A Defender for IoT-érzékelőben vagy a helyszíni felügyeleti konzolon válassza a Riasztások lehetőséget, és tiltsa le a rosszindulatú forrást.
Lépjen a FortiGage Rendszergazda istrator ablakra, és keresse meg a letiltott rosszindulatú forráscímet.
A blokkolási szabályzat automatikusan létrejön, és megjelenik a FortiGate IPv4 Szabályzat ablakban.
Válassza ki a szabályzatot, és győződjön meg arról, hogy a házirend engedélyezése be van kapcsolva.
Paraméter Leírás Név A házirend neve. Bejövő felület A forgalom bejövő tűzfalfelülete. Kimenő felület A forgalom kimenő tűzfalfelülete. Source A forgalom forráscíme(i). Destination A forgalom célcíme(i). Ütemezés Az újonnan definiált szabály előfordulása. For example, always.Service A protokoll vagy a forgalom meghatározott portja. Action A tűzfal által végrehajtott művelet.
