Création de rapports de pare-feu d’hôte dans Microsoft Defender pour point de terminaison

  • Article

S’applique à :

Si vous êtes administrateur général ou administrateur de sécurité, vous pouvez désormais héberger des rapports de pare-feu sur le portail Microsoft Defender. Cette fonctionnalité vous permet d’afficher les rapports de pare-feu Windows à partir d’un emplacement centralisé.

Ce qu'il faut savoir avant de commencer

  • Vos appareils doivent exécuter Windows 10 ou une version ultérieure, ou Windows Server 2012 R2 ou version ultérieure. Pour que Windows Server 2012 R2 et Windows Server 2016 apparaissent dans les rapports de pare-feu, ces appareils doivent être intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités de la solution unifiée moderne pour Windows Server 2012 R2 et 2016.

  • Pour intégrer des appareils au service Microsoft Defender pour point de terminaison, consultez les conseils d’intégration.

  • Pour que le portail Microsoft Defender commence à recevoir des données, vous devez activer les événements d’audit pour Windows Defender pare-feu avec sécurité avancée. Consultez les articles suivants :

  • Activez ces événements à l’aide de stratégie de groupe Rédacteur d’objets, d’une stratégie de sécurité locale ou des commandes auditpol.exe. Pour plus d’informations, consultez la documentation sur l’audit et la journalisation. Les deux commandes PowerShell sont les suivantes :

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    Voici une requête d’exemple :

    param (
     [switch]$remediate
)
try {

     $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
     $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
     if ($current."Inclusion Setting" -ne "failure") {
         if ($remediate.IsPresent) {
             Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
             $output = auditpol /set /subcategory:"$($categories)" /failure:enable
             if($output -eq "The command was successfully executed.") {
                 Write-Host "$($output)"
                 exit 0
             }
             else {
                 Write-Host "$($output)"
                 exit 1
             }
         }
         else {
             Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
             exit 1
         }
     }

}
catch {
     throw $_
}

Le processus

Remarque

Veillez à suivre les instructions de la section précédente et à configurer correctement vos appareils pour participer au programme en préversion.

  • Une fois les événements activés, Microsoft Defender pour point de terminaison commence à surveiller les données, notamment :

    • Adresse IP distante
    • Port distant
    • Local Port
    • Adresse IP locale
    • Computer Name
    • Traiter les connexions entrantes et sortantes

  • Les administrateurs peuvent désormais voir l’activité du pare-feu hôte Windows ici. Des rapports supplémentaires peuvent être facilités en téléchargeant le script de création de rapports personnalisés pour surveiller les activités du pare-feu Windows Defender à l’aide de Power BI.

    • Jusqu’à 12 heures peuvent être nécessaires avant que les données ne se reflètent.

Scénarios pris en charge

Rapports de pare-feu

Voici quelques exemples de pages de rapport de pare-feu. Vous trouverez ici un résumé de l’activité entrante, sortante et de l’application. Vous pouvez accéder directement à cette page en accédant à https://security.microsoft.com/firewall.

Page de création de rapports sur le pare-feu hôte

Vous pouvez également accéder à ces rapports en accédant à Appareils> derapports> de sécurité (section) située en bas de l’carte pare-feu Connections entrants bloqués.

De « Ordinateurs avec connexion bloquée » à l’appareil

Remarque

Cette fonctionnalité nécessite Defender pour point de terminaison Plan 2.

Les cartes prennent en charge les objets interactifs. Vous pouvez explorer l’activité d’un appareil en cliquant sur le nom de l’appareil, ce qui lance le portail Microsoft Defender dans un nouvel onglet et vous amène directement à l’onglet Chronologie de l’appareil.

Page Ordinateurs avec connexion bloquée

Vous pouvez maintenant sélectionner l’onglet Chronologie , qui vous donnera la liste des événements associés à cet appareil.

Après avoir cliqué sur le bouton Filtres dans le coin supérieur droit du volet d’affichage, sélectionnez le type d’événement souhaité. Dans ce cas, sélectionnez Événements de pare-feu et le volet sera filtré sur Événements de pare-feu.

Bouton Filtres

Explorer la chasse avancée (actualisation de la préversion)

Remarque

Cette fonctionnalité nécessite Defender pour point de terminaison Plan 2.

Les rapports de pare-feu prennent en charge l’exploration à partir du carte directement dans la chasse avancée en cliquant sur le bouton Ouvrir la chasse avancée. La requête est préremplies.

Bouton Ouvrir la chasse avancée

La requête peut maintenant être exécutée et tous les événements de pare-feu associés des 30 derniers jours peuvent être explorés.

Pour des rapports supplémentaires ou des modifications personnalisées, la requête peut être exportée dans Power BI pour une analyse plus approfondie. La création de rapports personnalisés peut être facilitée en téléchargeant le script de création de rapports personnalisés pour surveiller les activités du pare-feu Windows Defender à l’aide de Power BI.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.