Integre o Fortinet com o Microsoft Defender para IoT
Este artigo ajuda você a aprender como integrar e usar o Fortinet com o Microsoft Defender para IoT.
O Microsoft Defender for IoT reduz os riscos de IIoT, ICS e SCADA com mecanismos de autoaprendizagem com reconhecimento de ICS que fornecem informações imediatas sobre dispositivos, vulnerabilidades e ameaças ICS. O Defender for IoT faz isso sem depender de agentes, regras, assinaturas, habilidades especializadas ou conhecimento prévio do ambiente.
A Defender for IoT e a Fortinet estabeleceram uma parceria tecnológica que deteta e impede ataques a redes IoT e ICS.
A Fortinet e o Microsoft Defender for IoT impedem:
Alterações não autorizadas em controladores lógicos programáveis (PLC).
Malware que manipula dispositivos ICS e IoT através dos seus protocolos nativos.
Ferramentas de reconhecimento a partir da recolha de dados.
Violações de protocolo causadas por configurações incorretas ou invasores mal-intencionados.
O Defender for IoT deteta comportamentos anômalos em redes IoT e ICS e fornece essas informações para FortiGate e FortiSIEM, da seguinte maneira:
Visibilidade: As informações fornecidas pelo Defender for IoT dão aos administradores do FortiSIEM visibilidade em redes IoT e ICS anteriormente invisíveis.
Bloqueando ataques maliciosos: os administradores do FortiGate podem usar as informações descobertas pelo Defender for IoT para criar regras para impedir comportamentos anômalos, independentemente de esse comportamento ser causado por atores caóticos ou dispositivos mal configurados, antes que cause danos à produção, lucros ou pessoas.
A solução de gerenciamento de incidentes e eventos de segurança de vários fornecedores da FortiSIEM e Fortinet traz visibilidade, correlação, resposta automatizada e remediação para uma única solução escalável.
Usando uma visualização de Serviços Corporativos, a complexidade do gerenciamento de operações de rede e segurança é reduzida, liberando recursos e melhorando a deteção de violações. O FortiSIEM fornece correlação cruzada, ao aplicar aprendizado de máquina e UEBA, para melhorar a resposta a fim de impedir violações antes que elas ocorram.
Neste artigo, vai aprender a:
- Criar uma chave de API no Fortinet
- Definir uma regra de encaminhamento para bloquear alertas relacionados a malware
- Bloquear a fonte de alertas suspeitos
- Enviar alertas do Defender for IoT para FortiSIEM
- Bloquear uma fonte maliciosa usando o firewall Fortigate
Pré-requisitos
Antes de começar, certifique-se de que tem os seguintes pré-requisitos:
Acesso a um sensor OT do Defender for IoT como usuário Admin. Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Capacidade de criar chaves API no Fortinet.
Criar uma chave de API no Fortinet
Uma chave de interface de programação de aplicativo (API) é um código gerado exclusivamente que permite que uma API identifique o aplicativo ou usuário que solicita acesso a ele. Uma chave de API é necessária para que o Microsoft Defender for IoT e o Fortinet se comuniquem corretamente.
Para criar uma chave de API no Fortinet:
No FortiGate, navegue até Perfis de administrador do sistema>.
Crie um perfil com as seguintes permissões:
Parâmetro Seleção Malha de segurança None Fortiview None Usuário & Dispositivo None Firewall Personalizar Política Leitura/Escrita Endereço Leitura/Escrita Serviço None Schedule None Logs & Relatório None Rede None Sistema None Perfil de Segurança None VPN None WAN Opt & Cache None WiFi & Interruptor None Navegue até Administradores de sistema>e crie um novo administrador de API REST com os seguintes campos:
Parâmetro Description Nome de utilizador Insira o nome da regra de encaminhamento. Comentários Insira o incidente de nível de segurança mínimo a ser encaminhado. Por exemplo, se Minor for selecionado, alertas menores e qualquer alerta acima desse nível de gravidade serão encaminhados. Perfil do Administrador Na lista suspensa, selecione o nome do perfil que você definiu na etapa anterior. Grupo PKI Alterne o interruptor para Desativar. CORS Permitir Origem Alterne o interruptor para Ativar. Restringir o início de sessão a anfitriões fidedignos Adicione os endereços IP dos sensores e consoles de gerenciamento locais que se conectarão ao FortiGate.
Salve a chave da API quando ela for gerada, pois ela não será fornecida novamente. O portador da chave de API gerada receberá todos os privilégios de acesso atribuídos à conta.
Definir uma regra de encaminhamento para bloquear alertas relacionados a malware
O firewall FortiGate pode ser usado para bloquear tráfego suspeito.
As regras de alerta de encaminhamento são executadas somente em alertas acionados após a criação da regra de encaminhamento. Os alertas que já estão no sistema desde antes da criação da regra de encaminhamento não são afetados pela regra.
Ao criar sua regra de encaminhamento:
Na área Ações, selecione FortiGate.
Defina o endereço IP do servidor para onde deseja enviar os dados.
Insira uma chave de API criada no FortiGate.
Insira as portas de interface de firewall de entrada e saída.
Selecione esta opção para encaminhar detalhes específicos do alerta. Recomendamos selecionar uma das seguintes opções:
- Bloquear códigos de função ilegais: Violações de protocolo - Valor de campo ilegal violando especificação de protocolo ICS (exploração potencial)
- Bloquear programação PLC não autorizada / atualizações de firmware: alterações não autorizadas do PLC
- Bloquear parada PLC não autorizada (tempo de inatividade)
- Bloquear alertas relacionados a malware: Bloqueio de tentativas de malware industrial, como TRITON ou NotPetya
- Bloquear varredura não autorizada: verificação não autorizada (reconhecimento potencial)
Para obter mais informações, consulte Encaminhar informações de alerta de OT local.
Bloquear a fonte de alertas suspeitos
A fonte de alertas suspeitos pode ser bloqueada para evitar novas ocorrências.
Para bloquear a origem de alertas suspeitos:
Entre no console de gerenciamento local e selecione Alertas.
Selecione o alerta relacionado à integração Fortinet.
Para bloquear automaticamente a fonte suspeita, selecione Bloquear fonte.
Na caixa de diálogo Confirmar, selecione OK.
Enviar alertas do Defender for IoT para FortiSIEM
Os alertas do Defender for IoT fornecem informações sobre uma ampla gama de eventos de segurança, incluindo:
Desvios da atividade de rede de linha de base aprendida
Deteções de malware
Deteções baseadas em alterações operacionais suspeitas
Anomalias da rede
Desvios do protocolo em relação às especificações do protocolo
Você pode configurar o Defender for IoT para enviar alertas para o servidor FortiSIEM, onde as informações de alerta são exibidas na janela ANALYTICS :
Cada alerta do Defender for IoT é analisado sem qualquer outra configuração no lado do FortiSIEM e é apresentado no FortiSIEM como eventos de segurança. Os seguintes detalhes do evento aparecem por padrão:
- Protocolo de Aplicação
- Versão do aplicativo
- Tipo de categoria
- ID do coletor
- Count
- Tempo do dispositivo
- ID do Evento
- Nome do Evento
- Status da análise de eventos
Em seguida, você pode usar as Regras de Encaminhamento do Defender for IoT para enviar informações de alerta para o FortiSIEM.
As regras de alerta de encaminhamento são executadas somente em alertas acionados após a criação da regra de encaminhamento. Os alertas que já estão no sistema desde antes da criação da regra de encaminhamento não são afetados pela regra.
Para usar as Regras de Encaminhamento do Defender for IoT para enviar informações de alerta ao FortiSIEM:
No console do sensor, selecione Encaminhamento.
Selecione + Criar nova regra.
No painel Adicionar regra de encaminhamento, defina os parâmetros da regra:
Parâmetro Description Nome da regra O nome da regra de encaminhamento. Nível de alerta mínimo O incidente de nível de segurança mínimo a ser encaminhado. Por exemplo, se Minor for selecionado, alertas menores e qualquer alerta acima desse nível de gravidade serão encaminhados. Qualquer protocolo detetado Desative para selecionar os protocolos que deseja incluir na regra. Tráfego detetado por qualquer motor Desative para selecionar o tráfego que deseja incluir na regra. Na área Ações, defina os seguintes valores:
Parâmetro Description Servidor Selecione FortiSIEM. Anfitrião Defina o IP do servidor ClearPass para enviar informações de alerta. Porta Defina a porta ClearPass para enviar informações de alerta. Fuso horário O carimbo de data/hora para a deteção de alerta. Selecione Guardar.
Bloquear uma fonte maliciosa usando o firewall Fortigate
Você pode definir políticas para bloquear automaticamente fontes maliciosas no firewall FortiGate, usando alertas no Defender for IoT.
Por exemplo, o seguinte alerta pode bloquear a fonte maliciosa:
Para definir uma regra de firewall FortiGate que bloqueia uma fonte maliciosa:
No FortiGate, crie uma chave de API.
Entre no sensor do Defender for IoT ou no console de gerenciamento local e selecione Encaminhamento, defina uma regra de encaminhamento que bloqueie alertas relacionados a malware.
No sensor do Defender para IoT ou no console de gerenciamento local, selecione Alertas e bloqueie uma fonte mal-intencionada.
Navegue até a janela FortiGage Administrator e localize o endereço de origem mal-intencionado que você bloqueou.
A política de bloqueio é criada automaticamente e aparece na janela FortiGate IPv4 Policy.
Selecione a política e verifique se a opção Habilitar esta política está ativada.
Parâmetro Description Nome O nome da política. Interface de entrada A interface de firewall de entrada para o tráfego. Interface de saída A interface de firewall de saída para o tráfego. Source O(s) endereço(s) de origem do tráfego. Destino O(s) endereço(s) de destino do tráfego. Schedule A ocorrência da regra recém-definida. Por exemplo, always.Serviço O protocolo, ou portas específicas para o tráfego. Ação A ação que o firewall executará.
