IoT용 Microsoft Defender Fortinet 통합

이 문서에서는 Fortinet을 IoT용 Microsoft Defender 통합하고 사용하는 방법을 알아봅니다.

IoT용 Microsoft Defender ICS 디바이스, 취약성 및 위협에 대한 즉각적인 인사이트를 제공하는 ICS 인식 자체 학습 엔진을 사용하여 IIoT, ICS 및 SCADA 위험을 완화합니다. Defender for IoT는 에이전트, 규칙, 서명, 특수 기술 또는 환경에 대한 사전 지식 없이 이 작업을 수행합니다.

Defender for IoT 및 Fortinet은 IoT 및 ICS 네트워크에 대한 공격을 감지하고 중지하는 기술 파트너십을 구축했습니다.

참고

Defender for IoT는 2025년 12월 1일에 Fortinet 통합을 사용 중지할 계획입니다.

IoT용 Fortinet 및 Microsoft Defender 방지:

  • PLC(프로그래밍 가능한 논리 컨트롤러)에 대한 무단 변경.

  • 네이티브 프로토콜을 통해 ICS 및 IoT 디바이스를 조작하는 맬웨어입니다.

  • 데이터 수집의 정찰 도구입니다.

  • 잘못된 구성 또는 악의적인 공격자로 인한 프로토콜 위반.

Defender for IoT는 IoT 및 ICS 네트워크에서 비정상적인 동작을 감지하고 다음과 같이 FortiGate 및 FortiSIEM에 해당 정보를 전달합니다.

  • 가시성: Defender for IoT에서 제공하는 정보는 FortiSIEM 관리자에게 이전에 보이지 않는 IoT 및 ICS 네트워크에 대한 가시성을 제공합니다.

  • 악의적인 공격 차단: FortiGate 관리자는 Defender for IoT에서 검색한 정보를 사용하여 프로덕션, 수익 또는 사람에게 손상을 입히기 전에 해당 동작이 잘못된 행위자 또는 잘못 구성된 디바이스로 인한 것인지 여부에 관계없이 비정상적인 동작을 중지하는 규칙을 만들 수 있습니다.

FortiSIEM 및 Fortinet의 다중 벤도르 보안 인시던트 및 이벤트 관리 솔루션은 단일 확장 가능한 솔루션에 대한 가시성, 상관 관계, 자동화된 응답 및 수정을 제공합니다.

Business Services 보기를 사용하면 네트워크 및 보안 운영 관리의 복잡성이 줄어들고 리소스가 확보되고 위반 탐지가 개선됩니다. FortiSIEM은 기계 학습 및 UEBA를 적용하는 동안 교차 상관 관계를 제공하여 위반이 발생하기 전에 중지하기 위해 응답을 개선합니다.

이 문서에서는 다음 방법을 알아봅니다.

  • Fortinet에서 API 키 만들기
  • 맬웨어 관련 경고를 차단하도록 전달 규칙 설정
  • 의심스러운 경고의 원본 차단
  • FortiSIEM에 Defender for IoT 경고 보내기
  • Fortigate 방화벽을 사용하여 악성 원본 차단

필수 구성 요소

시작하기 전에 다음 필수 구성 요소가 있는지 확인합니다.

Fortinet에서 API 키 만들기

API(애플리케이션 프로그래밍 인터페이스) 키는 API가 액세스 권한을 요청하는 애플리케이션 또는 사용자를 식별할 수 있도록 하는 고유하게 생성된 코드입니다. IoT 및 Fortinet이 올바르게 통신하려면 Microsoft Defender API 키가 필요합니다.

Fortinet에서 API 키를 만들려면 다음을 수행합니다.

  1. FortiGate에서 시스템>관리 프로필로 이동합니다.

  2. 다음 권한을 사용하여 프로필을 만듭니다.

    매개 변수 선택 영역
    Security Fabric 없음
    Fortiview 없음
    사용자 & 디바이스 없음
    방화벽 사용자 지정
    정책 읽기/쓰기
    주소 읽기/쓰기
    서비스 없음
    Schedule 없음
    로그 & 보고서 없음
    네트워크 없음
    시스템 없음
    보안 프로필 없음
    VPN 없음
    WAN 옵트 & 캐시 없음
    WiFi & 스위치 없음

  3. 시스템>관리자로 이동하여 다음 필드를 사용하여 새 REST API 관리 만듭니다.

    매개 변수 설명
    Username 전달 규칙 이름을 입력합니다.
    Comments 전달할 최소 보안 수준 인시던트 입력 예를 들어 부조 가 선택된 경우 사소한 경고와 이 심각도 수준 이상의 경고가 전달됩니다.
    관리자 프로필 드롭다운 목록에서 이전 단계에서 정의한 프로필 이름을 선택합니다.
    PKI 그룹 스위치를 사용 안 함으로 전환합니다.
    CORS 원본 허용 스위치를 사용으로 전환합니다.
    신뢰할 수 있는 호스트로 로그인 제한 FortiGate에 연결할 센서의 IP 주소를 추가합니다.

API 키가 생성되면 다시 제공되지 않으므로 저장합니다. 생성된 API 키의 전달자에게 계정에 할당된 모든 액세스 권한이 부여됩니다.

FortiGate 방화벽을 사용하여 의심스러운 트래픽을 차단할 수 있습니다.

전달 경고 규칙은 전달 규칙을 만든 후에 트리거되는 경고에서만 실행됩니다. 전달 규칙이 생성되기 전부터 시스템에 이미 있는 경고는 규칙의 영향을 받지 않습니다.

전달 규칙을 만들 때:

  1. 작업 영역에서 FortiGate를 선택합니다.

  2. 데이터를 보낼 서버 IP 주소를 정의합니다.

  3. FortiGate에서 만든 API 키를 입력합니다.

  4. 들어오는 방화벽 및 나가는 방화벽 인터페이스 포트를 입력합니다.

  5. 특정 경고 세부 정보를 전달하려면 선택합니다. 다음 중 하나를 선택하는 것이 좋습니다.

    • 잘못된 함수 코드 차단: 프로토콜 위반 - ICS 프로토콜 사양을 위반하는 잘못된 필드 값(잠재적 악용)
    • 권한 없는 PLC 프로그래밍/펌웨어 업데이트 차단: 무단 PLC 변경
    • 권한 없는 PLC 중지 차단 PLC 중지(가동 중지 시간)
    • 맬웨어 관련 경고 차단: TRITON 또는 NotPetya와 같은 산업용 맬웨어 시도 차단
    • 무단 검사 차단: 무단 검사(잠재적 정찰)

자세한 내용은 온-프레미스 OT 경고 정보 전달을 참조하세요.

의심스러운 경고의 원본 차단

의심스러운 경고의 원본을 차단하여 추가 발생을 방지할 수 있습니다.

의심스러운 경고의 출처를 차단하려면 다음을 수행합니다.

  1. OT 센서에 로그인한 다음 경고를 선택합니다.

  2. Fortinet 통합과 관련된 경고를 선택합니다.

  3. 의심스러운 원본을 자동으로 차단하려면 원본 차단을 선택합니다.

  4. 확인 확인 대화 상자에서 확인을 선택합니다.

FortiSIEM에 Defender for IoT 경고 보내기

Defender for IoT 경고는 다음을 비롯한 광범위한 보안 이벤트에 대한 정보를 제공합니다.

  • 학습된 기준 네트워크 작업에서의 편차

  • 맬웨어 감지

  • 의심스러운 운영 변경 내용에 따른 검색

  • 네트워크 변칙

  • 프로토콜 사양의 프로토콜 편차

경고 정보가 분석 창에 표시되는 FortiSIEM 서버로 경고를 보내도록 Defender for IoT를 구성할 수 있습니다.

각 Defender for IoT 경고는 FortiSIEM 쪽에서 다른 구성 없이 구문 분석되며 FortiSIEM에 보안 이벤트로 표시됩니다. 다음 이벤트 세부 정보는 기본적으로 표시됩니다.

  • 애플리케이션 프로토콜
  • 애플리케이션 버전
  • 범주 유형
  • 수집기 ID
  • 갯수
  • 디바이스 시간
  • 이벤트 ID
  • 이벤트 이름
  • 이벤트 구문 분석 상태

그런 다음 Defender for IoT의 전달 규칙을 사용하여 FortiSIEM에 경고 정보를 보낼 수 있습니다.

전달 경고 규칙은 전달 규칙을 만든 후에 트리거되는 경고에서만 실행됩니다. 전달 규칙이 생성되기 전부터 시스템에 이미 있는 경고는 규칙의 영향을 받지 않습니다.

Defender for IoT의 전달 규칙을 사용하여 FortiSIEM에 경고 정보를 보내려면 다음을 수행합니다.

  1. 센서 콘솔에서 전달을 선택합니다.

  2. + 새 규칙 만들기를 선택합니다.

  3. 전달 규칙 추가 창에서 규칙 매개 변수를 정의합니다.

    전달 창의 전달 규칙 보기 스크린샷

    매개 변수 설명
    규칙 이름 전달 규칙 이름입니다.
    최소 경고 수준 전달할 최소 보안 수준 인시던트입니다. 예를 들어 부조가 선택된 경우 사소한 경고와 이 심각도 수준 이상의 경고가 전달됩니다.
    모든 프로토콜이 검색됨 끄기를 설정하여 규칙에 포함할 프로토콜을 선택합니다.
    엔진에서 검색된 트래픽 끄기를 전환하여 규칙에 포함할 트래픽을 선택합니다.

  4. 작업 영역에서 다음 값을 정의합니다.

    매개 변수 설명
    서버 FortiSIEM을 선택합니다.
    Host(호스트) 경고 정보를 보낼 ClearPass 서버 IP를 정의합니다.
    포트 경고 정보를 보내도록 ClearPass 포트를 정의합니다.
    시간대 경고 검색에 대한 타임스탬프를 지정합니다.

  5. 저장을 선택합니다.

Fortigate 방화벽을 사용하여 악성 원본 차단

Defender for IoT의 경고를 사용하여 FortiGate 방화벽에서 악성 원본을 자동으로 차단하는 정책을 설정할 수 있습니다.

악의적인 원본을 차단하는 FortiGate 방화벽 규칙을 설정하려면 다음을 수행합니다.

  1. FortiGate에서 API 키를 만듭니다.

  2. Defender for IoT 센서에 로그인하고 전달을 선택하고 맬웨어 관련 경고를 차단하는 전달 규칙을 설정합니다.

  3. Defender for IoT 센서에서 경고를 선택하고 악성 원본을 차단합니다.

  4. FortiGage 관리자 창으로 이동하여 차단한 악의적인 원본 주소를 찾습니다.

    차단 정책이 자동으로 만들어지고 FortiGate IPv4 정책 창에 표시됩니다.

    FortiGate IPv4 정책 창 보기의 스크린샷.

  5. 정책을 선택하고 이 정책 사용 이 설정되었는지 확인합니다.

    FortiGate IPv4 정책 편집 보기의 스크린샷.

    매개 변수 설명
    이름 정책의 이름입니다.
    들어오는 인터페이스 트래픽에 대한 인바운드 방화벽 인터페이스입니다.
    나가는 인터페이스 트래픽에 대한 아웃바운드 방화벽 인터페이스입니다.
    원본 트래픽의 원본 주소입니다.
    대상 트래픽의 대상 주소입니다.
    Schedule 새로 정의된 규칙의 발생입니다. 예를 들면 always와 같습니다.
    서비스 프로토콜 또는 트래픽에 대한 특정 포트입니다.
    작업 방화벽이 수행할 작업입니다.

다음 단계

Microsoft 및 파트너 서비스와의 통합

  • Last updated on