次の方法で共有


Microsoft Defender for Endpoint でのホスト ファイアウォール レポート

適用対象:

グローバル管理者またはセキュリティ管理者の場合は、Microsoft Defender ポータルにファイアウォール レポートをホストできるようになりました。 この機能を使用すると、一元化された場所から Windows ファイアウォールレポートを表示できます。

はじめに把握しておくべき情報

  • デバイスは、Windows 10以降、または R2 以降Windows Server 2012実行されている必要があります。 Windows Server 2012 R2 とWindows Server 2016をファイアウォール レポートに表示するには、最新の統合ソリューション パッケージを使用してこれらのデバイスをオンボードする必要があります。 詳細については、「Windows Server 2012 R2 と 2016 の最新の統合ソリューションの新機能」を参照してください。

  • Microsoft Defender for Endpoint サービスにデバイスをオンボードするには、オンボード ガイダンスに関するページを参照してください。

  • Microsoft Defender ポータルでデータの受信を開始するには、セキュリティが強化されたWindows Defenderファイアウォールの監査イベントを有効にする必要があります。 次の記事をご覧ください。

  • オブジェクト エディター、ローカル セキュリティ ポリシー、または auditpol.exe コマンドグループ ポリシー使用して、これらのイベントを有効にします。 詳細については、 監査とログ記録に関するドキュメントを参照してください。 2 つの PowerShell コマンドは次のとおりです。

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    クエリの例を次に示します:

    param (
         [switch]$remediate
    )
    try {
    
         $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
         $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
         if ($current."Inclusion Setting" -ne "failure") {
             if ($remediate.IsPresent) {
                 Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
                 $output = auditpol /set /subcategory:"$($categories)" /failure:enable
                 if($output -eq "The command was successfully executed.") {
                     Write-Host "$($output)"
                     exit 0
                 }
                 else {
                     Write-Host "$($output)"
                     exit 1
                 }
             }
             else {
                 Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
                 exit 1
             }
         }
    
    }
    catch {
         throw $_
    } 
    

プロセス

注:

前のセクションの手順に従い、プレビュー プログラムに参加するようにデバイスを適切に構成してください。

  • イベントが有効になった後、Microsoft Defender for Endpointは次を含むデータの監視を開始します。

    • リモート IP
    • リモート ポート
    • ローカル ポート
    • ローカル IP
    • コンピューター名
    • 受信接続と送信接続間のプロセス
  • 管理者は、 ここで Windows ホスト ファイアウォールのアクティビティを確認できるようになりました。 追加のレポートを容易にするには、カスタム レポート スクリプトをダウンロードして、Power BI を使用してWindows Defenderファイアウォール アクティビティを監視できます。

    • データが反映されるまでに最大で 12 時間かかることがあります。

サポートされるシナリオ

ファイアウォール レポート

ファイアウォール レポート ページの例を次に示します。 ここでは、受信、送信、およびアプリケーションアクティビティの概要を示します。 このページに直接アクセスするには、 に移動します https://security.microsoft.com/firewall

[ホスト ファイアウォールレポート] ページ

これらのレポートには、[ファイアウォールがブロックされた受信] Connections カードの下部にある [レポート>] [セキュリティ レポート>デバイス] (セクション) に移動してアクセスすることもできます。

"接続がブロックされているコンピューター" からデバイスへ

注:

この機能には、Defender for Endpoint Plan 2 が必要です。

カードは対話型オブジェクトをサポートします。 デバイスのアクティビティをドリルダウンするには、デバイス名をクリックすると、新しいタブでMicrosoft Defender ポータルが起動し、[デバイス タイムライン] タブに直接移動します。

[接続がブロックされているコンピューター] ページ

[ タイムライン ] タブを選択できるようになりました。これにより、そのデバイスに関連付けられているイベントの一覧が表示されます。

表示ウィンドウの右上隅にある [ フィルター ] ボタンをクリックした後、目的のイベントの種類を選択します。 この場合、[ ファイアウォール イベント ] を選択すると、ウィンドウがファイアウォール イベントにフィルター処理されます。

[フィルター] ボタン

高度なハンティング (プレビュー更新) にドリルインする

注:

この機能には、Defender for Endpoint Plan 2 が必要です。

ファイアウォール レポートでは、[Open Advanced hunting]\(高度なハンティングを開く\) ボタンをクリックして、カードから Advanced Hunting に直接ドリルインできます。 クエリは事前設定されています。

[Open Advanced hunting]\(詳細ハンティングを開く\) ボタン

クエリを実行できるようになり、過去 30 日間のすべての関連するファイアウォール イベントを調べることができます。

レポートやカスタムの変更をさらに行う場合は、さらに分析するためにクエリを Power BI にエクスポートできます。 カスタム レポートを容易にするには、カスタム レポート スクリプトをダウンロードして、Power BI を使用してWindows Defenderファイアウォール アクティビティを監視できます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。