Condividi tramite


Integrare Fortinet con Microsoft Defender per IoT

Questo articolo illustra come integrare e usare Fortinet con Microsoft Defender per IoT.

Microsoft Defender per IoT riduce i rischi IIoT, ICS e SCADA con motori di auto-apprendimento basati su ICS che offrono informazioni immediate su dispositivi, vulnerabilità e minacce ICS. Defender per IoT esegue questa operazione senza basarsi su agenti, regole, firme, competenze specializzate o conoscenze precedenti dell'ambiente.

Defender per IoT e Fortinet hanno stabilito una partnership tecnologica che rileva e arresta gli attacchi sulle reti IoT e ICS.

Fortinet e Microsoft Defender per IoT impediscono:

  • Modifiche non autorizzate ai controller della logica programmabili (PLC).

  • Malware che manipola i dispositivi ICS e IoT tramite i protocolli nativi.

  • Strumenti di ricognizione dalla raccolta dei dati.

  • Violazioni del protocollo causate da errori di configurazione o da utenti malintenzionati.

Defender per IoT rileva un comportamento anomalo nelle reti IoT e ICS e fornisce tali informazioni a FortiGate e FortiSIEM, come indicato di seguito:

  • Visibilità: le informazioni fornite da Defender per IoT offrono agli amministratori FortiSIEM visibilità sulle reti IoT e ICS precedentemente invisibili.

  • Blocco di attacchi dannosi: gli amministratori di FortiGate possono usare le informazioni individuate da Defender per IoT per creare regole per interrompere il comportamento anomalo, indipendentemente dal fatto che questo comportamento sia causato da attori caotici o dispositivi non configurati correttamente, prima che causi danni alla produzione, ai profitti o alle persone.

La soluzione multivendor security incident and events management di FortiSIEM e Fortinet offre visibilità, correlazione, risposta automatizzata e correzione a una singola soluzione scalabile.

Usando una visualizzazione di Servizi aziendali, la complessità della gestione delle operazioni di rete e sicurezza è ridotta, liberando risorse e migliorando il rilevamento delle violazioni. FortiSIEM fornisce la correlazione incrociata, applicando machine learning e UEBA, per migliorare la risposta per arrestare le violazioni prima che si verifichino.

In questo articolo vengono illustrate le operazioni seguenti:

  • Creare una chiave API in Fortinet
  • Impostare una regola di inoltro per bloccare gli avvisi correlati al malware
  • Bloccare l'origine di avvisi sospetti
  • Inviare avvisi di Defender per IoT a FortiSIEM
  • Bloccare un'origine dannosa usando il firewall Fortigate

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

Creare una chiave API in Fortinet

Una chiave API (Application Programming Interface) è un codice generato in modo univoco che consente a un'API di identificare l'applicazione o l'utente che richiede l'accesso. Per comunicare correttamente, è necessaria una chiave API per Microsoft Defender per IoT e Fortinet.

Per creare una chiave API in Fortinet:

  1. In FortiGate passare a System Amministrazione Profiles (Profili> di sistema Amministrazione).

  2. Creare un profilo con le autorizzazioni seguenti:

    Parametro Selezione
    Infrastruttura di sicurezza None
    Fortiview None
    Utente e dispositivo None
    Firewall Personalizzata
    Criteri Lettura/Scrittura
    Indirizzo Lettura/Scrittura
    Servizio None
    Fissa appuntamento None
    Log e report None
    Rete None
    Di sistema None
    Profilo di sicurezza None
    VPN None
    WAN Opt & Cache None
    WiFi & Switch None
  3. Passare a System> Amministrazione istrators e creare una nuova API REST Amministrazione con i campi seguenti:

    Parametro Descrizione
    Nome utente Immettere il nome della regola di inoltro.
    Commenti Immettere l'evento imprevisto minimo a livello di sicurezza da inoltrare. Ad esempio, se è selezionata l'opzione Secondaria , verranno inoltrati avvisi secondari e qualsiasi avviso superiore a questo livello di gravità.
    Profilo Amministrazione istrator Nell'elenco a discesa selezionare il nome del profilo definito nel passaggio precedente.
    Gruppo PKI Attivare o disattivare l'opzione Disabilita.
    CORS Allow Origin Attivare o disattivare l'opzione Abilita.
    Limitare l'accesso a host attendibili Aggiungere gli indirizzi IP dei sensori e delle console di gestione locali che si connetteranno a FortiGate.

Salvare la chiave API quando viene generata, perché non verrà fornita di nuovo. Al bearer della chiave API generata verranno concessi tutti i privilegi di accesso assegnati all'account.

Il firewall FortiGate può essere usato per bloccare il traffico sospetto.

L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. Gli avvisi già presenti nel sistema prima della creazione della regola di inoltro non sono interessati dalla regola.

Quando si crea la regola di inoltro:

  1. Nell'area Azioni selezionare FortiGate.

  2. Definire l'indirizzo IP del server in cui si desidera inviare i dati.

  3. Immettere una chiave API creata in FortiGate.

  4. Immettere le porte dell'interfaccia del firewall in ingresso e in uscita.

  5. Selezionare questa opzione per inoltrare dettagli specifici dell'avviso. È consigliabile selezionare una delle opzioni seguenti:

    • Blocca codici di funzione non validi: violazioni del protocollo - Valore di campo illegale che viola la specifica del protocollo ICS (potenziale exploit)
    • Blocca gli aggiornamenti di programmazione/firmware di PLC non autorizzati: modifiche del PLC non autorizzate
    • Bloccare l'arresto di PLC non autorizzato (tempo di inattività)
    • Bloccare gli avvisi correlati al malware: blocco dei tentativi di malware industriale, ad esempio RTF o NotPetya
    • Blocca l'analisi non autorizzata: analisi non autorizzata (potenziale ricognizione)

Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.

Bloccare l'origine di avvisi sospetti

L'origine di avvisi sospetti può essere bloccata per evitare ulteriori occorrenze.

Per bloccare l'origine di avvisi sospetti:

  1. Accedere alla console di gestione locale e quindi selezionare Avvisi.

  2. Selezionare l'avviso correlato all'integrazione di Fortinet.

  3. Per bloccare automaticamente l'origine sospetta, selezionare Blocca origine.

  4. Nella finestra di dialogo Conferma selezionare OK.

Inviare avvisi di Defender per IoT a FortiSIEM

Gli avvisi di Defender per IoT forniscono informazioni su un'ampia gamma di eventi di sicurezza, tra cui:

  • Deviazioni dall'attività di rete di base appresa

  • Rilevamenti di malware

  • Rilevamenti basati su modifiche operative sospette

  • Anomalie di rete

  • Deviazioni del protocollo dalle specifiche del protocollo

È possibile configurare Defender per IoT per inviare avvisi al server FortiSIEM, in cui le informazioni sugli avvisi vengono visualizzate nella finestra ANALYTICS :

Ogni avviso di Defender per IoT viene quindi analizzato senza altre configurazioni sul lato FortiSIEM e viene presentato in FortiSIEM come eventi di sicurezza. Per impostazione predefinita, vengono visualizzati i dettagli dell'evento seguenti:

  • Protocollo dell'applicazione
  • Versione applicazione
  • Tipo di categoria
  • ID agente di raccolta
  • Conteggio
  • Ora dispositivo
  • ID evento
  • Nome evento
  • Stato analisi eventi

È quindi possibile usare le regole di inoltro di Defender per IoT per inviare informazioni sugli avvisi a FortiSIEM.

L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. Gli avvisi già presenti nel sistema prima della creazione della regola di inoltro non sono interessati dalla regola.

Per usare le regole di inoltro di Defender per IoT per inviare informazioni sugli avvisi a FortiSIEM:

  1. Nella console del sensore selezionare Inoltro.

  2. Selezionare + Crea nuova regola.

  3. Nel riquadro Aggiungi regola di inoltro definire i parametri della regola:

    Screenshot of the view of your forwarding rules in the Forwarding window.

    Parametro Descrizione
    Nome regola Nome della regola di inoltro.
    Livello di avviso minimo Evento imprevisto minimo a livello di sicurezza da inoltrare. Ad esempio, se è selezionata l'opzione Secondaria, verranno inoltrati avvisi secondari e qualsiasi avviso superiore a questo livello di gravità.
    Qualsiasi protocollo rilevato Disattivare questa opzione per selezionare i protocolli da includere nella regola.
    Traffico rilevato da qualsiasi motore Disattiva per selezionare il traffico che vuoi includere nella regola.
  4. Nell'area Azioni definire i valori seguenti:

    Parametro Descrizione
    Server Selezionare FortiSIEM.
    Host Definire l'INDIRIZZO IP del server ClearPass per inviare informazioni sugli avvisi.
    Porta Definire la porta ClearPass per inviare informazioni sugli avvisi.
    FusoOrario Timestamp per il rilevamento degli avvisi.
  5. Seleziona Salva.

Bloccare un'origine dannosa usando il firewall Fortigate

È possibile impostare criteri per bloccare automaticamente le origini dannose nel firewall fortiGate, usando avvisi in Defender per IoT.

Ad esempio, l'avviso seguente può bloccare l'origine dannosa:

Screenshot of the NotPetya Malware suspicion window.

Per impostare una regola del firewall fortiGate che blocca un'origine dannosa:

  1. In FortiGate creare una chiave API.

  2. Accedere al sensore Defender per IoT o alla console di gestione locale e selezionare Inoltro, impostare una regola di inoltro che blocca gli avvisi correlati al malware.

  3. Nel sensore Defender per IoT o nella console di gestione locale selezionare Avvisi e bloccare un'origine dannosa.

  4. Passare alla finestra FortiGage Amministrazione istrator e individuare l'indirizzo di origine dannoso bloccato.

    I criteri di blocco vengono creati automaticamente e vengono visualizzati nella finestra Criteri IPv4 di FortiGate.

    Screenshot of the FortiGate IPv4 Policy window view.

  5. Selezionare il criterio e assicurarsi che Abilita questo criterio sia attivato o disattivato.

    Screenshot of the FortiGate IPv4 Policy Edit view.

    Parametro Description
    Nome Il nome del criterio.
    Interfaccia in ingresso Interfaccia del firewall in ingresso per il traffico.
    Interfaccia in uscita Interfaccia del firewall in uscita per il traffico.
    Origine Indirizzo di origine (es) per il traffico.
    Destinazione Indirizzo di destinazione (es) per il traffico.
    Fissa appuntamento Occorrenza della regola appena definita. Ad esempio: always.
    Servizio Protocollo o porte specifiche per il traffico.
    Azione Azione che verrà eseguita dal firewall.

Passaggi successivi