Hostfirewallrapportage in Microsoft Defender voor Eindpunt

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Als u een globale beheerder of beveiligingsbeheerder bent, kunt u nu firewallrapportage hosten naar de Microsoft Defender-portal. Met deze functie kunt u windows-firewallrapporten weergeven vanaf een centrale locatie.

Wat moet u weten voordat u begint?

• Op uw apparaten moet Windows 10 of hoger of Windows Server 2012 R2 of hoger worden uitgevoerd. Voor Windows Server 2012 R2 en Windows Server 2016 in firewallrapporten moet onboarding van deze apparaten worden uitgevoerd met behulp van het moderne geïntegreerde oplossingspakket. Zie Nieuwe functionaliteit in de moderne geïntegreerde oplossing voor Windows Server 2012 R2 en 2016 voor meer informatie.

• Zie Onboarding-richtlijnen voor het onboarden van apparaten naar de Microsoft Defender voor Eindpunt-service.

• Voordat de Microsoft Defender-portal gegevens kan ontvangen, moet u Controlegebeurtenissen inschakelen voor Windows Defender Firewall met geavanceerde beveiliging. Zie de volgende artikelen:

  • Platformpakketverval auditfiltering
  • Verbinding met het filterplatform controleren

• Schakel deze gebeurtenissen in met behulp van groepsbeleid Object Editor, Lokaal beveiligingsbeleid of de auditpol.exe opdrachten. Zie documentatie over controle en logboekregistratie voor meer informatie. De twee PowerShell-opdrachten zijn als volgt:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Hier volgt een voorbeeldquery:

  param (
       [switch]$remediate
  )
  try {
  
       $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
       $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
       if ($current."Inclusion Setting" -ne "failure") {
           if ($remediate.IsPresent) {
               Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
               $output = auditpol /set /subcategory:"$($categories)" /failure:enable
               if($output -eq "The command was successfully executed.") {
                   Write-Host "$($output)"
                   exit 0
               }
               else {
                   Write-Host "$($output)"
                   exit 1
               }
           }
           else {
               Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
               exit 1
           }
       }
  
  }
  catch {
       throw $_
  } 
  

Het proces

Opmerking

Zorg ervoor dat u de instructies uit de vorige sectie volgt en uw apparaten correct configureert om deel te nemen aan het preview-programma.

• Nadat gebeurtenissen zijn ingeschakeld, begint Microsoft Defender voor Eindpunt met het bewaken van gegevens, waaronder:

  • Extern IP-adres
  • Externe poort
  • Lokale poort
  • Lokaal IP-adres
  • Computernaam
  • Verwerken tussen binnenkomende en uitgaande verbindingen

• Beheerders kunnen nu hier de firewallactiviteit van de Windows-host bekijken. Aanvullende rapportage kan worden gefaciliteerd door het script Aangepaste rapportage te downloaden om de Windows Defender Firewall-activiteiten te bewaken met behulp van Power BI.

  • Het kan tot 12 uur duren voordat de gegevens worden weergegeven.

Ondersteunde scenario's

• Firewallrapportage
• Van 'Computers met een geblokkeerde verbinding' naar het apparaat (hiervoor is Defender voor Eindpunt-abonnement 2 vereist)
• Inzoomen op geavanceerde opsporing (preview-vernieuwing) (hiervoor is Defender voor eindpuntplan 2 vereist)

Firewallrapportage

Hier volgen enkele voorbeelden van de rapportpagina's van de firewall. Hier vindt u een overzicht van binnenkomende, uitgaande en toepassingsactiviteiten. U kunt deze pagina rechtstreeks openen door naar te https://security.microsoft.com/firewallgaan.

U kunt deze rapporten ook openen door naar Rapporten>Beveiligingsrapportapparaten> (sectie) te gaan aan de onderkant van de kaart Firewall geblokkeerd inkomende Connections.

Van 'Computers met een geblokkeerde verbinding' naar het apparaat

Opmerking

Voor deze functie is Defender voor Eindpuntplan 2 vereist.

Kaarten ondersteunen interactieve objecten. U kunt inzoomen op de activiteit van een apparaat door op de apparaatnaam te klikken. Hierdoor wordt de Microsoft Defender-portal op een nieuw tabblad geopend en gaat u rechtstreeks naar het tabblad Apparaattijdlijn.

U kunt nu het tabblad Tijdlijn selecteren. Hier ziet u een lijst met gebeurtenissen die aan dat apparaat zijn gekoppeld.

Nadat u op de knop Filters in de rechterbovenhoek van het weergavevenster hebt geklikt, selecteert u het gewenste type gebeurtenis. Selecteer in dit geval Firewallgebeurtenissen . Het deelvenster wordt gefilterd op Firewallgebeurtenissen.

Inzoomen op geavanceerde opsporing (preview vernieuwen)

Opmerking

Voor deze functie is Defender voor Eindpuntplan 2 vereist.

Firewallrapporten bieden ondersteuning voor het rechtstreeks inzoomen van de kaart in Geavanceerde opsporing door op de knop Geavanceerde opsporing openen te klikken. De query is vooraf ingevuld.

De query kan nu worden uitgevoerd en alle gerelateerde firewallgebeurtenissen van de afgelopen 30 dagen kunnen worden verkend.

Voor meer rapportage of aangepaste wijzigingen kan de query worden geëxporteerd naar Power BI voor verdere analyse. Aangepaste rapportage kan worden gefaciliteerd door het script Aangepaste rapportage te downloaden om de Windows Defender Firewall-activiteiten te bewaken met behulp van Power BI.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.