Hostfirewallberichte in Microsoft Defender für Endpunkt

Mit der Firewallberichterstellung im Microsoft Defender-Portal können Sie die Windows-Firewallberichte von einem zentralen Ort aus anzeigen.

Was sollten Sie wissen, bevor Sie beginnen?

• Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Firewall zu wechseln, verwenden Sie https://security.microsoft.com/firewall.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. In Microsoft Entra ID müssen Sie Mitglied der Rolle "Globaler Administrator^*" oder "Sicherheitsadministrator" sein.

  Wichtig

  ^* Microsoft setzt sich nachdrücklich für das Prinzip der geringsten Rechte ein. Wenn Sie Konten nur die minimalen Berechtigungen zuweisen, die zum Ausführen ihrer Aufgaben erforderlich sind, können Sie Sicherheitsrisiken reduzieren und den allgemeinen Schutz Ihrer organization stärken. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die Sie auf Notfallszenarien beschränken sollten oder wenn Sie keine andere Rolle verwenden können.

• Ihre Geräte müssen Windows 10 oder höher oder Windows Server 2012 R2 oder höher ausgeführt werden. Damit Windows Server 2012 R2 und Windows Server 2016 in Firewallberichten angezeigt werden, müssen diese Geräte mithilfe des modernen einheitlichen Lösungspakets integriert werden. Weitere Informationen finden Sie unter Neue Funktionalität in der modernen einheitlichen Lösung für Windows Server 2012 R2 und 2016.

• Informationen zum Onboarding von Geräten in den Microsoft Defender for Endpoint-Dienst finden Sie unter Onboardingleitfaden.

• Damit das Microsoft Defender-Portal mit dem Empfangen von Daten beginnt, müssen Sie Überwachungsereignisse für Windows Defender Firewall mit erweiterter Sicherheit aktivieren. Lesen Sie die folgenden Artikel:

  • Überwachen des Verwerfens von Paketen auf der Filterplattform
  • Überwachen der Filterplattformverbindung

• Aktivieren Sie diese Ereignisse mit Gruppenrichtlinie Objekt-Editor, lokaler Sicherheitsrichtlinie oder den Befehlen auditpol.exe. Weitere Informationen finden Sie in der Dokumentation zur Überwachung und Protokollierung. Die beiden PowerShell-Befehle sind wie folgt:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Hier ist eine Beispielabfrage:

  param (
      [switch]$remediate
  )
  try {
  
      $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
      $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
      if ($current."Inclusion Setting" -ne "failure") {
          if ($remediate.IsPresent) {
              Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
              $output = auditpol /set /subcategory:"$($categories)" /failure:enable
              if($output -eq "The command was successfully executed.") {
                  Write-Host "$($output)"
                  exit 0
              }
              else {
                  Write-Host "$($output)"
                  exit 1
              }
          }
          else {
              Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
              exit 1
          }
      }
  
  }
  catch {
      throw $_
  } 
  

Der Prozess

• Nachdem Ereignisse aktiviert wurden, beginnt Microsoft Defender for Endpoint mit der Überwachung von Daten, einschließlich:

  • Remote-IP
  • Remoteport
  • Lokaler Port
  • Lokale IP-Adresse
  • Computername
  • Verarbeiten über eingehende und ausgehende Verbindungen hinweg

• Administratoren können jetzt die Windows-Hostfirewallaktivität hier sehen. Zusätzliche Berichte können durch Herunterladen des Skripts für die benutzerdefinierte Berichterstellung erleichtert werden, um die Windows Defender Firewall-Aktivitäten mithilfe von Power BI zu überwachen.

  Es kann bis zu 12 Stunden dauern, bis die Daten angezeigt werden.

Unterstützte Szenarien

• Firewallberichterstellung
• Von "Computer mit blockierter Verbindung" zum Gerät (erfordert Defender für Endpunkt Plan 2)
• Drill into advanced hunting (Vorschauaktualisierung) (erfordert Defender für Endpunkt Plan 2)

Firewallberichterstellung

Im Folgenden finden Sie einige Beispiele für die Firewallberichtsseiten im Microsoft Defender-Portal. Die Seite Firewall enthält die Registerkarten Eingehend, Ausgehend und App . Sie greifen auf diese Seite im Abschnitt>Firewall fürBerichte> Endpunkte oder direkt unter zuhttps://security.microsoft.com/firewall.

Von "Computer mit blockierter Verbindung" zum Gerät

Karten unterstützen interaktive Objekte. Sie können einen Drilldown in die Aktivität eines Geräts durchführen, indem Sie auf den Gerätenamen klicken. Dadurch wird das Microsoft Defender-Portal auf einer neuen Registerkarte gestartet, und Sie gelangen direkt zur Registerkarte Gerätezeitachse.

Sie können jetzt die Registerkarte Zeitachse auswählen, auf der Eine Liste der Ereignisse angezeigt wird, die diesem Gerät zugeordnet sind.

Nachdem Sie in der oberen rechten Ecke des Anzeigebereichs auf die Schaltfläche Filter geklickt haben, wählen Sie den gewünschten Ereignistyp aus. Wählen Sie in diesem Fall Firewallereignisse aus, und der Bereich wird nach Firewallereignissen gefiltert.

Drill into advanced hunting (Vorschauaktualisierung)

Firewallberichte unterstützen das Drillen von der Karte direkt in die erweiterte Suche, indem Sie auf die Schaltfläche Erweiterte Suche öffnen klicken. Die Abfrage ist vorab aufgefüllt.

Die Abfrage kann jetzt ausgeführt werden, und alle zugehörigen Firewallereignisse der letzten 30 Tage können untersucht werden.

Für weitere Berichte oder benutzerdefinierte Änderungen kann die Abfrage zur weiteren Analyse in Power BI exportiert werden. Die benutzerdefinierte Berichterstellung kann durch Herunterladen des Skripts für die benutzerdefinierte Berichterstellung erleichtert werden, um die Windows Defender Firewall-Aktivitäten mithilfe von Power BI zu überwachen.