엔드포인트용 Microsoft Defender 호스트 방화벽 보고

Microsoft Defender 포털의 방화벽 보고를 사용하면 중앙 위치에서 Windows 방화벽 보고를 볼 수 있습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 방화벽 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/firewall.

• 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. Microsoft Entra ID전역 관리자 또는 보안 관리자^* 역할의 구성원이어야 합니다.

  중요

  ^* Microsoft는 최소 권한 원칙을 강력히 옹호합니다. 계정에 작업을 수행하는 데 필요한 최소 권한만 할당하면 보안 위험을 줄이고 organization 전반적인 보호를 강화하는 데 도움이 됩니다. 전역 관리자는 긴급 시나리오 또는 다른 역할을 사용할 수 없는 경우 제한해야 하는 매우 권한 있는 역할입니다.

• 디바이스가 Windows 10 이상 또는 R2 이상을 Windows Server 2012 실행 중이어야 합니다. Windows Server 2012 R2 및 Windows Server 2016 방화벽 보고서에 표시하려면 최신 통합 솔루션 패키지를 사용하여 이러한 디바이스를 온보딩해야 합니다. 자세한 내용은 Windows Server 2012 R2 및 2016용 최신 통합 솔루션의 새로운 기능을 참조하세요.

• 엔드포인트용 Microsoft Defender 서비스에 디바이스를 온보딩하려면 온보딩 지침을 참조하세요.

• Microsoft Defender 포털에서 데이터 수신을 시작하려면 고급 보안을 사용하여 Windows Defender 방화벽에 대한 감사 이벤트를 사용하도록 설정해야 합니다. 다음 문서를 참조하세요.

  • 감사 필터링 플랫폼 패킷 삭제
  • 감사 필터링 플랫폼 연결

• 그룹 정책 개체 편집기, 로컬 보안 정책 또는 auditpol.exe 명령을 사용하여 이러한 이벤트를 사용하도록 설정합니다. 자세한 내용은 감사 및 로깅에 대한 설명서를 참조하세요. 두 PowerShell 명령은 다음과 같습니다.

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  다음은 쿼리의 예입니다.

  param (
      [switch]$remediate
  )
  try {
  
      $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
      $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
      if ($current."Inclusion Setting" -ne "failure") {
          if ($remediate.IsPresent) {
              Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
              $output = auditpol /set /subcategory:"$($categories)" /failure:enable
              if($output -eq "The command was successfully executed.") {
                  Write-Host "$($output)"
                  exit 0
              }
              else {
                  Write-Host "$($output)"
                  exit 1
              }
          }
          else {
              Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
              exit 1
          }
      }
  
  }
  catch {
      throw $_
  } 
  

프로세스

• 이벤트를 사용하도록 설정하면 엔드포인트용 Microsoft Defender 다음을 포함하는 데이터를 모니터링하기 시작합니다.

  • 원격 IP
  • 원격 포트
  • 로컬 포트
  • 로컬 IP
  • Computer Name(컴퓨터 이름)
  • 인바운드 및 아웃바운드 연결에서 처리

• 이제 관리자는 여기에서 Windows 호스트 방화벽 활동을 볼 수 있습니다. Power BI를 사용하여 Windows Defender 방화벽 활동을 모니터링하는 사용자 지정 보고 스크립트 를 다운로드하여 추가 보고를 용이하게 할 수 있습니다.

  데이터가 반영되기까지 최대 12시간이 걸릴 수 있습니다.

지원되는 시나리오

• 방화벽 보고
• "연결이 차단된 컴퓨터"에서 디바이스로 (엔드포인트용 Defender 계획 2 필요)
• 고급 헌팅 드릴인(미리 보기 새로 고침) (엔드포인트용 Defender 계획 2 필요)

방화벽 보고

다음은 Microsoft Defender 포털의 방화벽 보고서 페이지의 몇 가지 예입니다. 방화벽 페이지에는 인바운드, 아웃바운드 및 앱 탭이 포함되어 있습니다. 보고서>엔드포인트 섹션 >방화벽 또는 에서 https://security.microsoft.com/firewall직접 이 페이지에 액세스합니다.

"연결이 차단된 컴퓨터"에서 디바이스로

카드는 대화형 개체를 지원합니다. 새 탭에서 Microsoft Defender 포털을 시작하고 디바이스 타임라인 탭으로 직접 이동하여 디바이스 이름을 클릭하여 디바이스의 활동을 자세히 살펴볼 수 있습니다.

이제 타임라인 탭을 선택하면 해당 디바이스와 연결된 이벤트 목록이 표시됩니다.

보기 창의 오른쪽 위 모서리에 있는 필터 단추를 클릭한 후 원하는 이벤트 유형을 선택합니다. 이 경우 방화벽 이벤트를 선택하면 창이 방화벽 이벤트로 필터링됩니다.

고급 헌팅 드릴인(미리 보기 새로 고침)

방화벽 보고서는 고급 헌팅 열기 단추를 클릭하여 카드 직접 고급 헌팅으로 드릴링할 수 있습니다. 쿼리가 미리 채워집니다.

이제 쿼리를 실행할 수 있으며 지난 30일 동안의 모든 관련 방화벽 이벤트를 탐색할 수 있습니다.

더 많은 보고 또는 사용자 지정 변경의 경우 추가 분석을 위해 쿼리를 Power BI로 내보낼 수 있습니다. 사용자 지정 보고 스크립트를 다운로드하여 Power BI를 사용하여 Windows Defender 방화벽 활동을 모니터링하여 사용자 지정 보고를 용이하게 할 수 있습니다.