Udostępnij za pośrednictwem

Hostuj raportowanie zapory w usłudze ochrony punktu końcowego w usłudze Microsoft Defender

  • Artykuł

Dotyczy:

Jeśli jesteś administratorem globalnym lub administratorem zabezpieczeń, możesz teraz hostować raportowanie zapory w portalu Microsoft Defender. Ta funkcja umożliwia wyświetlanie raportów zapory systemu Windows ze scentralizowanej lokalizacji.

Co należy wiedzieć przed rozpoczęciem?

  • Urządzenia muszą działać Windows 10 lub nowszym lub Windows Server 2012 R2 lub nowszym. Aby Windows Server 2012 R2 i Windows Server 2016 pojawiały się w raportach zapory, te urządzenia muszą zostać dołączone przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Nowe funkcje w nowoczesnym ujednoliconym rozwiązaniu dla Windows Server 2012 R2 i 2016).

  • Aby dołączyć urządzenia do usługi Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz wskazówki dotyczące dołączania.

  • Aby portal Microsoft Defender zaczął odbierać dane, należy włączyć opcję Zdarzenia inspekcji dla zapory Windows Defender z zabezpieczeniami zaawansowanymi. Zobacz następujące artykuły:

  • Włącz te zdarzenia przy użyciu Redaktor obiektów zasady grupy, zasad zabezpieczeń lokalnych lub poleceń auditpol.exe. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą inspekcji i rejestrowania. Dwa polecenia programu PowerShell są następujące:

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    Oto przykładowe zapytanie:

    param (
     [switch]$remediate
)
try {

     $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
     $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
     if ($current."Inclusion Setting" -ne "failure") {
         if ($remediate.IsPresent) {
             Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
             $output = auditpol /set /subcategory:"$($categories)" /failure:enable
             if($output -eq "The command was successfully executed.") {
                 Write-Host "$($output)"
                 exit 0
             }
             else {
                 Write-Host "$($output)"
                 exit 1
             }
         }
         else {
             Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
             exit 1
         }
     }

}
catch {
     throw $_
}

Proces

Uwaga

Pamiętaj, aby postępować zgodnie z instrukcjami z poprzedniej sekcji i prawidłowo skonfigurować urządzenia do udziału w programie w wersji zapoznawczej.

  • Po włączeniu zdarzeń Ochrona punktu końcowego w usłudze Microsoft Defender rozpoczyna monitorowanie danych, w tym:

    • Zdalny adres IP
    • Port zdalny
    • Port lokalny
    • Lokalny adres IP
    • Nazwa komputera
    • Przetwarzanie między połączeniami przychodzącymi i wychodzącymi

  • Administratorzy mogą teraz zobaczyć działanie zapory hosta systemu Windows tutaj. Dodatkowe raportowanie można ułatwić, pobierając skrypt raportowania niestandardowego w celu monitorowania działań zapory Windows Defender przy użyciu usługi Power BI.

    • Może upłynąć do 12 godzin, zanim dane zostaną odzwierciedlone.

Obsługiwane scenariusze

Raportowanie zapory

Oto kilka przykładów stron raportów zapory. Tutaj znajdziesz podsumowanie aktywności ruchu przychodzącego, wychodzącego i działania aplikacji. Dostęp do tej strony można uzyskać bezpośrednio, przechodząc do strony https://security.microsoft.com/firewall.

Strona Raportowanie zapory hosta

Dostęp do tych raportów można również uzyskać, przechodząc do sekcji Raporty>dotyczące urządzeńraportów> zabezpieczeń (sekcja) znajdującej się w dolnej części karty Connections ruchu przychodzącego zablokowanej zapory.

Z pozycji "Komputery z zablokowanym połączeniem" do urządzenia

Uwaga

Ta funkcja wymaga usługi Defender for Endpoint Plan 2.

Karty obsługują obiekty interakcyjne. Możesz przejść do szczegółów działania urządzenia, klikając nazwę urządzenia, która spowoduje uruchomienie portalu Microsoft Defender na nowej karcie i przejście bezpośrednio na kartę Oś czasu urządzenia.

Strona Komputery z zablokowanym połączeniem

Teraz możesz wybrać kartę Oś czasu , która udostępnia listę zdarzeń skojarzonych z tym urządzeniem.

Po kliknięciu przycisku Filtry w prawym górnym rogu okienka wyświetlania wybierz odpowiedni typ zdarzenia. W takim przypadku wybierz pozycję Zdarzenia zapory , a okienko będzie filtrowane do zdarzeń zapory.

Przycisk Filtry

Przechodzenie do zaawansowanego wyszukiwania zagrożeń (odświeżanie w wersji zapoznawczej)

Uwaga

Ta funkcja wymaga usługi Defender for Endpoint Plan 2.

Raporty zapory obsługują przechodzenie do szczegółów z karty bezpośrednio w obszarze Zaawansowane wyszukiwanie zagrożeń , klikając przycisk Otwórz zaawansowane wyszukiwanie zagrożeń . Zapytanie jest wstępnie wypełnione.

Przycisk Otwórz zaawansowane wyszukiwanie zagrożeń

Zapytanie można teraz wykonać, a wszystkie powiązane zdarzenia zapory z ostatnich 30 dni można zbadać.

Aby uzyskać więcej raportów lub zmian niestandardowych, zapytanie można wyeksportować do usługi Power BI w celu dalszej analizy. Raportowanie niestandardowe można ułatwić, pobierając skrypt raportowania niestandardowego w celu monitorowania działań zapory Windows Defender przy użyciu usługi Power BI.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.