Informes de firewalls de host en Microsoft Defender para punto de conexión

Los informes de firewall en el portal de Microsoft Defender permiten ver los informes de firewall de Windows desde una ubicación centralizada.

¿Qué necesita saber antes de empezar?

• Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Firewall , use https://security.microsoft.com/firewall.

• Para poder realizar los procedimientos de este artículo, deberá tener asignados los permisos necesarios. En Microsoft Entra ID debe ser miembro de los roles Administrador^* global o Administrador de seguridad.

  Importante

  ^* Microsoft promueve encarecidamente el principio de privilegios mínimos. Asignar a las cuentas solo los permisos mínimos necesarios para realizar sus tareas ayuda a reducir los riesgos de seguridad y refuerza la protección general de la organización. El administrador global es un rol con muchos privilegios que debe limitar a escenarios de emergencia o cuando no puede usar un rol diferente.

• Los dispositivos deben ejecutarse Windows 10 o posterior, o Windows Server 2012 R2 o posterior. Para que Windows Server 2012 R2 y Windows Server 2016 aparezcan en los informes de firewall, estos dispositivos deben incorporarse mediante el paquete de soluciones unificadas modernas. Para obtener más información, consulte Nueva funcionalidad en la solución unificada moderna para Windows Server 2012 R2 y 2016.

• Para incorporar dispositivos al servicio Microsoft Defender para punto de conexión, consulte la guía de incorporación.

• Para que el portal de Microsoft Defender empiece a recibir datos, debe habilitar Eventos de auditoría para firewall de Windows Defender con seguridad avanzada. Consulte los siguientes artículos:

  • Eliminación de paquetes de la plataforma de filtrado de auditoría
  • Conexión de la plataforma de filtrado de auditoría

• Habilite estos eventos mediante directiva de grupo Editor de objetos, Directiva de seguridad local o los comandos de auditpol.exe. Para obtener más información, consulte la documentación sobre la auditoría y el registro. Los dos comandos de PowerShell son los siguientes:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Esta es una consulta de ejemplo:

  param (
      [switch]$remediate
  )
  try {
  
      $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
      $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
      if ($current."Inclusion Setting" -ne "failure") {
          if ($remediate.IsPresent) {
              Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
              $output = auditpol /set /subcategory:"$($categories)" /failure:enable
              if($output -eq "The command was successfully executed.") {
                  Write-Host "$($output)"
                  exit 0
              }
              else {
                  Write-Host "$($output)"
                  exit 1
              }
          }
          else {
              Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
              exit 1
          }
      }
  
  }
  catch {
      throw $_
  } 
  

El proceso

• Una vez habilitados los eventos, Microsoft Defender para punto de conexión comienza a supervisar los datos, lo que incluye:

  • IP remota
  • Puerto remoto
  • Puerto local
  • Local IP
  • Nombre del equipo
  • Proceso entre conexiones entrantes y salientes

• Los administradores ahora pueden ver la actividad del firewall del host de Windows aquí. Para facilitar la creación de informes adicionales, descargue el script informes personalizados para supervisar las actividades del Firewall de Windows Defender mediante Power BI.

  Los datos pueden tardar hasta 12 horas en reflejarse.

Escenarios admitidos

• Informes de firewall
• Desde "Equipos con una conexión bloqueada" al dispositivo (requiere Defender para el plan de punto de conexión 2)
• Obtención de detalles de la búsqueda avanzada (actualización en versión preliminar) (requiere Defender para el plan de punto de conexión 2)

Informes de firewall

Estos son algunos ejemplos de las páginas del informe de firewall en el portal de Microsoft Defender. La página Firewall contiene las pestañas Entrante, Saliente y Aplicación . Puede acceder a esta página en la sección >Puntos de conexión de informes>Firewall o directamente en https://security.microsoft.com/firewall.

Desde "Equipos con una conexión bloqueada" al dispositivo

Las tarjetas admiten objetos interactivos. Para profundizar en la actividad de un dispositivo, haga clic en el nombre del dispositivo, que iniciará el portal de Microsoft Defender en una nueva pestaña y le llevará directamente a la pestaña Escala de tiempo del dispositivo.

Ahora puede seleccionar la pestaña Escala de tiempo , que le proporcionará una lista de eventos asociados a ese dispositivo.

Después de hacer clic en el botón Filtros de la esquina superior derecha del panel de visualización, seleccione el tipo de evento que desee. En este caso, seleccione Eventos de firewall y el panel se filtrará por eventos de firewall.

Obtención de detalles de la búsqueda avanzada (actualización en versión preliminar)

Los informes de firewall admiten la exploración desde la tarjeta directamente en Búsqueda avanzada haciendo clic en el botón Abrir búsqueda avanzada . La consulta se rellena previamente.

Ahora se puede ejecutar la consulta y se pueden explorar todos los eventos de firewall relacionados de los últimos 30 días.

Para obtener más informes o cambios personalizados, la consulta se puede exportar a Power BI para su posterior análisis. Los informes personalizados se pueden facilitar descargando el script informes personalizados para supervisar las actividades del Firewall de Windows Defender mediante Power BI.