Поделиться через

Отчеты брандмауэра узла в Microsoft Defender для конечной точки

  • Статья

Область применения:

Если вы являетесь глобальным администратором или администратором безопасности, теперь вы можете разместить отчеты брандмауэра на портале Microsoft Defender. Эта функция позволяет просматривать отчеты брандмауэра Windows из централизованного расположения.

Что нужно знать перед началом работы

  • Устройства должны работать Windows 10 или более поздней версии, а также Windows Server 2012 R2 или более поздней версии. Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчетах брандмауэра, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.

  • Сведения о подключении устройств к службе Microsoft Defender для конечной точки см. в руководстве по подключению.

  • Чтобы портал Microsoft Defender начал получать данные, необходимо включить события аудита для брандмауэра Защитник Windows в режиме повышенной безопасности. См. следующие статьи:

  • Включите эти события с помощью групповая политика объектных Редактор, локальной политики безопасности или команд auditpol.exe. Дополнительные сведения см. в документации по аудиту и ведению журнала. Ниже приведены две команды PowerShell:

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    Пример:

    param (
     [switch]$remediate
)
try {

     $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
     $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
     if ($current."Inclusion Setting" -ne "failure") {
         if ($remediate.IsPresent) {
             Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
             $output = auditpol /set /subcategory:"$($categories)" /failure:enable
             if($output -eq "The command was successfully executed.") {
                 Write-Host "$($output)"
                 exit 0
             }
             else {
                 Write-Host "$($output)"
                 exit 1
             }
         }
         else {
             Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
             exit 1
         }
     }

}
catch {
     throw $_
}

Процесс

Примечание.

Обязательно следуйте инструкциям из предыдущего раздела и правильно настройте устройства для участия в программе предварительной версии.

  • После включения событий Microsoft Defender для конечной точки начинает отслеживать данные, в том числе:

    • Удаленный IP-адрес
    • Удаленный порт
    • Локальный порт
    • Локальный IP-адрес
    • Имя компьютера
    • Обработка входящих и исходящих подключений

  • Теперь администраторы могут просматривать действия брандмауэра узла Windows здесь. Дополнительные отчеты можно упростить, скачав скрипт настраиваемых отчетов для мониторинга действий брандмауэра Защитник Windows с помощью Power BI.

    • Для отражения данных может потребоваться до 12 часов.

Поддерживаемые сценарии

Отчеты брандмауэра

Ниже приведены некоторые примеры страниц отчетов брандмауэра. Здесь вы найдете сводку по входящим, исходящим и действиям приложений. Вы можете получить доступ к этой странице напрямую, перейдя по адресу https://security.microsoft.com/firewall.

Страница отчетов брандмауэра узла

Доступ к этим отчетам также можно получить, перейдя в раздел Отчеты> обустройствахотчетов безопасности>, расположенный в нижней части Connections брандмауэра заблокированных входящих Connections карта.

Из раздела "Компьютеры с заблокированным подключением" на устройство

Примечание.

Для этой функции требуется Defender для конечной точки плана 2.

Карточки поддерживают интерактивные объекты. Вы можете детализировать действия устройства, щелкнув имя устройства, чтобы запустить портал Microsoft Defender на новой вкладке, и перейти непосредственно на вкладку Временная шкала устройства.

Страница Компьютеры с заблокированным подключением

Теперь можно выбрать вкладку Временная шкала , которая предоставит список событий, связанных с этим устройством.

После нажатия кнопки Фильтры в правом верхнем углу области просмотра выберите нужный тип события. В этом случае выберите События брандмауэра , и область будет фильтроваться по событиям брандмауэра.

Кнопка

Детализация расширенной охоты (обновление предварительной версии)

Примечание.

Для этой функции требуется Defender для конечной точки плана 2.

Отчеты брандмауэра поддерживают детализацию из карта непосредственно в Расширенную охоту, нажав кнопку Открыть расширенную охоту. Запрос предварительно заполнен.

Кнопка

Теперь запрос можно выполнить, а также просмотреть все связанные события брандмауэра за последние 30 дней.

Для получения дополнительных отчетов или пользовательских изменений запрос можно экспортировать в Power BI для дальнейшего анализа. Пользовательские отчеты можно упростить, скачав скрипт настраиваемых отчетов для мониторинга действий брандмауэра Защитник Windows с помощью Power BI.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.