Delen via

Hostfirewallrapportage in Microsoft Defender voor Eindpunt

  • Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Met firewallrapportage in de Microsoft Defender portal kunt u windows-firewallrapportages bekijken vanaf een centrale locatie.

Wat moet u weten voordat u begint?

  • U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Firewall wilt gaan, gebruikt u https://security.microsoft.com/firewall.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. In Microsoft Entra ID moet u lid zijn van de rol Globale beheerder* of Beveiligingsbeheerder.

    Belangrijk

    * Microsoft is sterk voorstander van het principe van minimale bevoegdheden. Als u accounts alleen de minimale machtigingen toewijst die nodig zijn om hun taken uit te voeren, vermindert u beveiligingsrisico's en wordt de algehele beveiliging van uw organisatie versterkt. Globale beheerder is een zeer bevoorrechte rol die u moet beperken tot scenario's voor noodgevallen of wanneer u geen andere rol kunt gebruiken.

  • Op uw apparaten moet Windows 10 of hoger of Windows Server 2012 R2 of hoger worden uitgevoerd. Voor Windows Server 2012 R2 en Windows Server 2016 in firewallrapporten moet onboarding van deze apparaten worden uitgevoerd met behulp van het moderne geïntegreerde oplossingspakket. Zie Nieuwe functionaliteit in de moderne geïntegreerde oplossing voor Windows Server 2012 R2 en 2016 voor meer informatie.

  • Zie Onboarding-richtlijnen voor het onboarden van apparaten naar de Microsoft Defender voor Eindpunt-service.

  • Als u wilt dat de Microsoft Defender portal gegevens ontvangt, moet u Controlegebeurtenissen voor Windows Defender Firewall met geavanceerde beveiliging inschakelen. Zie de volgende artikelen:

  • Schakel deze gebeurtenissen in met behulp van groepsbeleid Objecteditor, Lokaal beveiligingsbeleid of de opdrachten auditpol.exe. Zie documentatie over controle en logboekregistratie voor meer informatie. De twee PowerShell-opdrachten zijn als volgt:

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    Hier volgt een voorbeeldquery:

    param (
    [switch]$remediate
)
try {

    $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
    $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
    if ($current."Inclusion Setting" -ne "failure") {
        if ($remediate.IsPresent) {
            Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
            $output = auditpol /set /subcategory:"$($categories)" /failure:enable
            if($output -eq "The command was successfully executed.") {
                Write-Host "$($output)"
                exit 0
            }
            else {
                Write-Host "$($output)"
                exit 1
            }
        }
        else {
            Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
            exit 1
        }
    }

}
catch {
    throw $_
}

Het proces

Opmerking

Zorg ervoor dat u de instructies uit de vorige sectie volgt en uw apparaten correct configureert om deel te nemen aan het preview-programma.

  • Nadat gebeurtenissen zijn ingeschakeld, begint Microsoft Defender voor Eindpunt met het bewaken van gegevens, waaronder:

    • Extern IP-adres
    • Externe poort
    • Lokale poort
    • Lokaal IP-adres
    • Computernaam
    • Verwerken tussen binnenkomende en uitgaande verbindingen

  • Beheerders kunnen nu hier de firewallactiviteit van de Windows-host bekijken. Aanvullende rapportage kan worden gefaciliteerd door het script Aangepaste rapportage te downloaden om de Windows Defender Firewall-activiteiten te bewaken met behulp van Power BI.

    Het kan tot 12 uur duren voordat de gegevens worden weergegeven.

Ondersteunde scenario's

Firewallrapportage

Hier volgen enkele voorbeelden van de firewallrapportpagina's in de Microsoft Defender portal. De pagina Firewall bevat de tabbladen Inkomend, Uitgaand en App . U opent deze pagina in de sectie >Rapporten>van eindpuntenFirewall of rechtstreeks op https://security.microsoft.com/firewall.

De rapportagepagina van de hostfirewall

Van 'Computers met een geblokkeerde verbinding' naar het apparaat

Opmerking

Voor deze functie is Defender voor Eindpuntplan 2 vereist.

Kaarten ondersteunen interactieve objecten. U kunt inzoomen op de activiteit van een apparaat door op de apparaatnaam te klikken. Hierdoor wordt de Microsoft Defender-portal op een nieuw tabblad geopend en gaat u rechtstreeks naar het tabblad Apparaattijdlijn.

De pagina Computers met een geblokkeerde verbinding

U kunt nu het tabblad Tijdlijn selecteren. Hier ziet u een lijst met gebeurtenissen die aan dat apparaat zijn gekoppeld.

Nadat u op de knop Filters in de rechterbovenhoek van het weergavevenster hebt geklikt, selecteert u het gewenste type gebeurtenis. Selecteer in dit geval Firewallgebeurtenissen . Het deelvenster wordt gefilterd op Firewallgebeurtenissen.

De knop Filters

Inzoomen op geavanceerde opsporing (preview vernieuwen)

Opmerking

Voor deze functie is Defender voor Eindpuntplan 2 vereist.

Firewallrapporten bieden ondersteuning voor het rechtstreeks inzoomen van de kaart in Geavanceerde opsporing door op de knop Geavanceerde opsporing openen te klikken. De query is vooraf ingevuld.

De knop Geavanceerde opsporing openen

De query kan nu worden uitgevoerd en alle gerelateerde firewallgebeurtenissen van de afgelopen 30 dagen kunnen worden verkend.

Voor meer rapportage of aangepaste wijzigingen kan de query worden geëxporteerd naar Power BI voor verdere analyse. Aangepaste rapportage kan worden gefaciliteerd door het script Aangepaste rapportage te downloaden om de Windows Defender Firewall-activiteiten te bewaken met behulp van Power BI.

  • Last updated on