Hostuj raportowanie zapory w usłudze ochrony punktu końcowego w usłudze Microsoft Defender

Raportowanie zapory w portalu Microsoft Defender umożliwia wyświetlanie raportów zapory systemu Windows ze scentralizowanej lokalizacji.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zapora , użyj polecenia https://security.microsoft.com/firewall.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. W Tożsamość Microsoft Entra musisz być członkiem ról administratora^* globalnego lub administratora zabezpieczeń.

  Ważna

  ^* Firma Microsoft zdecydowanie opowiada się za zasadą najniższych uprawnień. Przypisanie kont tylko minimalnych uprawnień niezbędnych do wykonywania ich zadań pomaga zmniejszyć zagrożenia bezpieczeństwa i wzmocnić ogólną ochronę organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, którą należy ograniczyć do scenariuszy awaryjnych lub gdy nie możesz użyć innej roli.

• Urządzenia muszą działać Windows 10 lub nowszym lub Windows Server 2012 R2 lub nowszym. Aby Windows Server 2012 R2 i Windows Server 2016 pojawiały się w raportach zapory, te urządzenia muszą zostać dołączone przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Nowe funkcje w nowoczesnym ujednoliconym rozwiązaniu dla Windows Server 2012 R2 i 2016).

• Aby dołączyć urządzenia do usługi Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz wskazówki dotyczące dołączania.

• Aby portal Microsoft Defender zaczął odbierać dane, należy włączyć opcję Zdarzenia inspekcji zapory usługi Windows Defender z zabezpieczeniami zaawansowanymi. Zobacz następujące artykuły:

  • Porzucanie pakietów platformy filtrowania inspekcji
  • Inspekcja połączenia platformy filtrowania

• Włącz te zdarzenia przy użyciu edytora obiektów zasady grupy, zasad zabezpieczeń lokalnych lub poleceń auditpol.exe. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą inspekcji i rejestrowania. Dwa polecenia programu PowerShell są następujące:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Oto przykładowe zapytanie:

  param (
      [switch]$remediate
  )
  try {
  
      $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
      $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
      if ($current."Inclusion Setting" -ne "failure") {
          if ($remediate.IsPresent) {
              Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
              $output = auditpol /set /subcategory:"$($categories)" /failure:enable
              if($output -eq "The command was successfully executed.") {
                  Write-Host "$($output)"
                  exit 0
              }
              else {
                  Write-Host "$($output)"
                  exit 1
              }
          }
          else {
              Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
              exit 1
          }
      }
  
  }
  catch {
      throw $_
  } 
  

Proces

• Po włączeniu zdarzeń Ochrona punktu końcowego w usłudze Microsoft Defender rozpoczyna monitorowanie danych, w tym:

  • Zdalny adres IP
  • Port zdalny
  • Port lokalny
  • Lokalny adres IP
  • Nazwa komputera
  • Przetwarzanie między połączeniami przychodzącymi i wychodzącymi

• Administratorzy mogą teraz zobaczyć działanie zapory hosta systemu Windows tutaj. Dodatkowe raportowanie można ułatwić, pobierając skrypt raportowania niestandardowego w celu monitorowania działań zapory usługi Windows Defender przy użyciu usługi Power BI.

  Może upłynąć do 12 godzin, zanim dane zostaną odzwierciedlone.

Obsługiwane scenariusze

• Raportowanie zapory
• Od "Komputerów z zablokowanym połączeniem" do urządzenia (wymaga usługi Defender dla planu punktu końcowego 2)
• Przechodzenie do zaawansowanego wyszukiwania zagrożeń (odświeżanie w wersji zapoznawczej) (wymaga usługi Defender for Endpoint Plan 2)

Raportowanie zapory

Oto kilka przykładów stron raportów zapory w portalu Microsoft Defender. Strona Zapora zawiera karty Przychodzące, Wychodzące i Aplikacja . Dostęp do tej strony można uzyskać w sekcji >Punktykońcowe raportów>Zapora lub bezpośrednio pod adresem https://security.microsoft.com/firewall.

Z pozycji "Komputery z zablokowanym połączeniem" do urządzenia

Karty obsługują obiekty interakcyjne. Możesz przejść do szczegółów działania urządzenia, klikając nazwę urządzenia, która spowoduje uruchomienie portalu Microsoft Defender na nowej karcie i przejście bezpośrednio na kartę Oś czasu urządzenia.

Teraz możesz wybrać kartę Oś czasu , która udostępnia listę zdarzeń skojarzonych z tym urządzeniem.

Po kliknięciu przycisku Filtry w prawym górnym rogu okienka wyświetlania wybierz odpowiedni typ zdarzenia. W takim przypadku wybierz pozycję Zdarzenia zapory , a okienko będzie filtrowane do zdarzeń zapory.

Przechodzenie do zaawansowanego wyszukiwania zagrożeń (odświeżanie w wersji zapoznawczej)

Raporty zapory obsługują przechodzenie do szczegółów z karty bezpośrednio w obszarze Zaawansowane wyszukiwanie zagrożeń , klikając przycisk Otwórz zaawansowane wyszukiwanie zagrożeń . Zapytanie jest wstępnie wypełnione.

Zapytanie można teraz wykonać, a wszystkie powiązane zdarzenia zapory z ostatnich 30 dni można zbadać.

Aby uzyskać więcej raportów lub zmian niestandardowych, zapytanie można wyeksportować do usługi Power BI w celu dalszej analizy. Raportowanie niestandardowe można ułatwić, pobierając skrypt raportowania niestandardowego w celu monitorowania działań zapory usługi Windows Defender przy użyciu usługi Power BI.