適用於端點的 Microsoft Defender 中的主機防火牆報告

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

如果您是全域或安全性系統管理員，您現在可以將防火牆報告裝載到 Microsoft Defender 入口網站。 此功能可讓您從集中式位置檢視 Windows 防火牆報告。

開始之前有哪些須知？

• 您的裝置必須執行 Windows 10 或更新版本，或 Windows Server 2012 R2 或更新版本。 若要 Windows Server 2012 R2 和 Windows Server 2016 出現在防火牆報告中，這些裝置必須使用新式整合解決方案套件上線。 如需詳細資訊，請參閱適用於 Windows Server 2012 R2 和 2016 的新式整合解決方案中的新功能。

• 若要將裝置上線至 適用於端點的 Microsoft Defender 服務，請參閱上線指引。

• 若要讓 Microsoft Defender 入口網站開始接收數據，您必須啟用具有進階安全性的 Windows Defender 防火牆稽核事件。 請參閱下列文章：

  • 稽核篩選平臺封包卸除
  • 稽核篩選平台連線

• 使用 群組原則 物件 編輯器、本機安全策略或 auditpol.exe 命令來啟用這些事件。 如需詳細資訊，請參閱 稽核和記錄的相關文件。 這兩個 PowerShell 命令如下所示：

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  以下為範例查詢:

  param (
       [switch]$remediate
  )
  try {
  
       $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
       $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
       if ($current."Inclusion Setting" -ne "failure") {
           if ($remediate.IsPresent) {
               Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
               $output = auditpol /set /subcategory:"$($categories)" /failure:enable
               if($output -eq "The command was successfully executed.") {
                   Write-Host "$($output)"
                   exit 0
               }
               else {
                   Write-Host "$($output)"
                   exit 1
               }
           }
           else {
               Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
               exit 1
           }
       }
  
  }
  catch {
       throw $_
  } 
  

程式

注意事項

請務必遵循上一節中的指示，並正確設定裝置以參與預覽計劃。

• 啟用事件之後，適用於端點的 Microsoft Defender 開始監視數據，其中包括：

  • 遠端IP
  • 遠端埠
  • 本機埠
  • 本機IP
  • 計算機名稱
  • 跨輸入和輸出連線的程式

• 系統管理員現在可以 在這裡看到 Windows 主機防火牆活動。 您可以下載自定義報告腳本，以使用Power BI監視 Windows Defender 防火牆活動，以協助進行其他報告。

  • 最多可能需要 12 小時的時間，才會反映數據。

支援的案例

• 防火牆報告
• 從「已封鎖連線的計算機」到裝置 (需要適用於端點的 Defender 方案 2)
• 需要適用於端點的 Defender 方案 2) ，) (深入瞭解進階搜捕 (預覽 重新整理

防火牆報告

以下是防火牆報表頁面的一些範例。 您可以在這裡找到輸入、輸出和應用程式活動的摘要。 您可以前往 ，直接存 https://security.microsoft.com/firewall取此頁面。

您也可以前往位於防火牆封鎖輸入 Connections 卡底端) 區段 ([報告安全性報告>裝置] 區段來存取>這些報告。

從「已封鎖連線的電腦」到裝置

注意事項

此功能需要適用於端點的Defender方案2。

卡片支援互動式物件。 您可以按兩下裝置名稱來鑽研裝置的活動，這會在新的索引標籤中啟動 Microsoft Defender入口網站，並直接帶您前往 [裝置時間軸] 索引卷標。

您現在可以選取 [時程表 ] 索引標籤，這會提供與該裝置相關聯的事件清單。

按兩下檢視窗格右上角的 [ 篩選 ] 按鈕之後，選取您想要的事件類型。 在此情況下，請選取 [防火牆事件 ]，並將窗格篩選為 [防火牆事件]。

深入探索進階搜捕 (預覽重新整理)

注意事項

此功能需要適用於端點的Defender方案2。

防火牆報告支援按兩下 [開啟進階搜捕] 按鈕，直接從卡片切入進階搜捕。 系統會預先填入查詢。

現在可以執行查詢，而且可以探索過去30天內的所有相關防火牆事件。

如需更多報告或自定義變更，可以將查詢導出至 Power BI 以供進一步分析。 您可以下載自定義報告腳本，以使用Power BI監視 Windows Defender 防火牆活動，以協助自定義報告。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。