isännän palomuurin raportointi Microsoft Defender for Endpointissa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Jos olet yleinen tai suojauksen järjestelmänvalvoja, voit nyt isännöidä palomuuriraportointia Microsoft Defender-portaalissa. Tämän ominaisuuden avulla voit tarkastella Windowsin palomuurin raportointia keskitetystä sijainnista.

Mitä on hyvä tietää ennen aloittamista?

• Laitteissa on oltava käytössä Windows 10 tai uudempi versio tai Windows Server 2012 R2 tai uudempi versio. Jotta Windows Server 2012 R2 ja Windows Server 2016 näkyvät palomuuriraporteissa, nämä laitteet on otettava käyttöön käyttämällä modernia yhdistettyä ratkaisupakettia. Lisätietoja on ohjeaiheessa Windows Server 2012 R2:n ja 2016:n modernin yhdistetyn ratkaisun uudet toiminnot.

• Jos haluat käyttää laitteita Microsoft Defender for Endpoint-palvelussa, katso perehdyttämisohjeita.

• Jotta Microsoft Defender portaali voi vastaanottaa tietoja, sinun on otettava valvontatapahtumat käyttöön Windows Defender palomuurissa, jossa on kehittynyt suojaus. Tutustu seuraaviin artikkeleihin:

  • Valvonnan suodatusympäristön pakettien pudotus
  • Valvonnan suodatusympäristön yhteys

• Ota nämä tapahtumat käyttöön käyttämällä ryhmäkäytäntö Object Kirjoitusavustaja-, Local Security Policy- tai auditpol.exe-komentoja. Lisätietoja on valvonnan ja kirjaamisen dokumentaatiossa. Kaksi PowerShell-komentoa ovat seuraavat:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Tässä on esimerkkikysely:

  param (
       [switch]$remediate
  )
  try {
  
       $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
       $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
       if ($current."Inclusion Setting" -ne "failure") {
           if ($remediate.IsPresent) {
               Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
               $output = auditpol /set /subcategory:"$($categories)" /failure:enable
               if($output -eq "The command was successfully executed.") {
                   Write-Host "$($output)"
                   exit 0
               }
               else {
                   Write-Host "$($output)"
                   exit 1
               }
           }
           else {
               Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
               exit 1
           }
       }
  
  }
  catch {
       throw $_
  } 
  

Prosessi

Huomautus

Varmista, että noudatat edellisen osion ohjeita ja määrität laitteesi osallistumaan esikatseluohjelmaan oikein.

• Kun tapahtumat on otettu käyttöön, Microsoft Defender for Endpoint alkaa valvoa tietoja, joihin kuuluvat:

  • Etä-IP
  • Etäportti
  • Paikallinen portti
  • Paikallinen IP-osoite
  • Tietokoneen nimi
  • Käsittele saapuvien ja lähtevien yhteyksien välillä

• Järjestelmänvalvojat näkevät nyt Windowsin isännän palomuuritoiminnot täällä. Lisäraportointia voidaan helpottaa lataamalla Mukautetun raportoinnin komentosarja Windows Defender palomuurin toiminnan valvomiseksi Power BI:n avulla.

  • Tietojen näkyminen voi kestää jopa 12 tuntia.

Tuetut skenaariot

• Palomuuriraportointi
• Tietokoneet, joissa on estetty yhteys -kohdasta laitteeseen (edellyttää Defender for Endpoint -palvelupakettia 2)
• Poraudu kehittyneeseen metsästykseen (esikatselupäivitys) (edellyttää Defender for Endpoint -palvelupakettia 2)

Palomuuriraportointi

Seuraavassa on joitakin esimerkkejä palomuuriraporttisivuista. Tässä on yhteenveto saapuvasta, lähtevästä ja sovellustoiminnasta. Voit käyttää tätä sivua suoraan siirtymällä osoitteeseen https://security.microsoft.com/firewall.

Näitä raportteja voi käyttää myös siirtymällä kohtaan Raportit>suojausraporttilaitteet> (osa), joka sijaitsee palomuurin estämän saapuvan Connections kortin alareunassa.

Tietokoneet, joissa on estetty yhteys -kohdasta laitteeseen

Huomautus

Tämä ominaisuus edellyttää Defender for Endpoint -palvelupakettia 2.

Kortit tukevat vuorovaikutteisia objekteja. Voit porautua laitteen toimintaan napsauttamalla laitteen nimeä, joka käynnistää Microsoft Defender -portaalin uudessa välilehdessä ja vie sinut suoraan Laitteen aikajana -välilehteen.

Voit nyt valita Aikajana-välilehden , joka antaa sinulle luettelon kyseiseen laitteeseen liittyvistä tapahtumista.

Kun olet napsauttanut Suodattimet-painiketta näyttöruudun oikeassa yläkulmassa, valitse haluamasi tapahtumatyyppi. Valitse tässä tapauksessa Palomuuritapahtumat , niin ruutu suodatetaan palomuuritapahtumiin.

Porautuminen kehittyneeseen metsästykseen (esikatselupäivitys)

Huomautus

Tämä ominaisuus edellyttää Defender for Endpoint -palvelupakettia 2.

Palomuuriraportit tukevat porautumista kortista suoraan kehittyneeseen metsästykseen napsauttamalla Avaa kehittynyt metsästys -painiketta. Kysely on täytetty valmiiksi.

Kysely voidaan nyt suorittaa, ja kaikkia liittyviä palomuuritapahtumia viimeisten 30 päivän ajalta voidaan tutkia.

Jos haluat lisää raportteja tai mukautettuja muutoksia, kysely voidaan viedä Power BI:hin lisäanalyyseja varten. Mukautettua raportointia voidaan helpottaa lataamalla Mukautetun raportoinnin komentosarja Windows Defender palomuurin toiminnan valvomiseksi Power BI:n avulla.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.