Uç Nokta için Microsoft Defender’da güvenlik duvarı raporlama oturumu düzenleyin

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Genel yönetici veya güvenlik yöneticisiyseniz artık güvenlik duvarı raporlamasını Microsoft Defender portalında barındırabilirsiniz. Bu özellik, Windows güvenlik duvarı raporlamasını merkezi bir konumdan görüntülemenizi sağlar.

Başlamadan önce bilmeniz gerekenler

• Cihazlarınız Windows 10 veya üzeri ya da R2 veya sonraki Windows Server 2012 çalıştırıyor olmalıdır. Windows Server 2012 R2 ve Windows Server 2016 güvenlik duvarı raporlarında görünmesi için bu cihazların modern birleşik çözüm paketi kullanılarak eklenmesi gerekir. Daha fazla bilgi için bkz. Windows Server 2012 R2 ve 2016 için modern birleşik çözümde yeni işlevler.

• Cihazları Uç Nokta için Microsoft Defender hizmetine eklemek için bkz. ekleme kılavuzu.

• Microsoft Defender portalın veri almaya başlaması için Gelişmiş Güvenlik özellikli Windows Defender Güvenlik Duvarı için Denetim Olaylarını etkinleştirmeniz gerekir. Aşağıdaki makalelere bakın:

  • Denetim Filtreleme Platformu Paket Bırakma
  • Filtre Platformu Bağlantısını Denetle

• grup ilkesi Nesne Düzenleyici, Yerel Güvenlik İlkesi veya auditpol.exe komutlarını kullanarak bu olayları etkinleştirin. Daha fazla bilgi için denetim ve günlüğe kaydetme ile ilgili belgelere bakın. İki PowerShell komutu aşağıdaki gibidir:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Aşağıda örnek bir sorgu verilmişti:

  param (
       [switch]$remediate
  )
  try {
  
       $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
       $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
       if ($current."Inclusion Setting" -ne "failure") {
           if ($remediate.IsPresent) {
               Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
               $output = auditpol /set /subcategory:"$($categories)" /failure:enable
               if($output -eq "The command was successfully executed.") {
                   Write-Host "$($output)"
                   exit 0
               }
               else {
                   Write-Host "$($output)"
                   exit 1
               }
           }
           else {
               Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
               exit 1
           }
       }
  
  }
  catch {
       throw $_
  } 
  

İşlem

Not

Önceki bölümde yer alan yönergeleri izlediğinizden ve cihazlarınızı önizleme programına katılacak şekilde düzgün yapılandırdığından emin olun.

• Olaylar etkinleştirildikten sonra Uç Nokta için Microsoft Defender şunları içeren verileri izlemeye başlar:

  • Uzak IP
  • Uzak Bağlantı Noktası
  • Yerel Bağlantı Noktası
  • Yerel IP
  • Bilgisayar Adı
  • Gelen ve giden bağlantılar arasında işlem gerçekleştirme

• Yöneticiler artık windows ana bilgisayar güvenlik duvarı etkinliğini burada görebilir. Power BI kullanarak Windows Defender Güvenlik Duvarı etkinliklerini izlemek için Özel Raporlama betiğini indirerek ek raporlama kolaylaştırılabilir.

  • Verilerin yansıtılabilmesi 12 saat kadar sürebilir.

Desteklenen senaryolar

• Güvenlik duvarı raporlama
• "Bağlantısı engellenen bilgisayarlar" ile cihaza (Uç Nokta Planı 2 için Defender gerekir)
• Gelişmiş avcılık (önizleme yenilemesi) detayına gitme ( Uç Nokta Planı 2 için Defender gerektirir)

Güvenlik duvarı raporlama

Güvenlik duvarı rapor sayfalarına bazı örnekler aşağıda verilmiştir. Burada gelen, giden ve uygulama etkinliğinin özetini bulabilirsiniz. Bu sayfaya doğrudan adresine giderek https://security.microsoft.com/firewallerişebilirsiniz.

Bu raporlara, Güvenlik Duvarı Engellenen Gelen Connections kartının en altında bulunan Raporlar>Güvenlik Raporu>Cihazları (bölüm) bölümüne giderek de erişilebilir.

"Bağlantısı engellenen bilgisayarlar"dan cihaza

Not

Bu özellik, Uç Nokta Planı 2 için Defender gerektirir.

Kartlar etkileşimli nesneleri destekler. Yeni bir sekmede Microsoft Defender portalını başlatacak ve sizi doğrudan Cihaz Zaman Çizelgesi sekmesine götürecek cihaz adına tıklayarak bir cihazın etkinliğinde detaya gidebilirsiniz.

Artık Zaman Çizelgesi sekmesini seçebilirsiniz. Bu sekme, size bu cihazla ilişkili olayların listesini verir.

Görüntüleme bölmesinin sağ üst köşesindeki Filtreler düğmesine tıkladıktan sonra istediğiniz olay türünü seçin. Bu durumda Güvenlik duvarı olayları'nı seçtiğinizde bölme Güvenlik duvarı olayları olarak filtrelenir.

Gelişmiş avcılık (önizleme yenilemesi) detayına gitme

Not

Bu özellik, Uç Nokta Planı 2 için Defender gerektirir.

Güvenlik duvarı raporları, Gelişmiş Avcılığı Aç düğmesine tıklayarak doğrudan karttan Gelişmiş Avcılık'a detaya gitme desteği verir. Sorgu önceden doldurulur.

Sorgu artık yürütülebilir ve son 30 güne ait tüm ilgili Güvenlik Duvarı olayları incelenebilir.

Daha fazla raporlama veya özel değişiklik için sorgu, daha fazla analiz için Power BI'a aktarılabilir. Power BI kullanarak Windows Defender Güvenlik Duvarı etkinliklerini izlemek için Özel Raporlama betiği indirilerek özel raporlama kolaylaştırılabilir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.