Alojar relatórios de firewall no Microsoft Defender para Endpoint

Os relatórios de firewall no portal do Microsoft Defender permitem-lhe ver os relatórios da firewall do Windows a partir de uma localização centralizada.

O que precisa de saber antes de começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Firewall , utilize https://security.microsoft.com/firewall.

• Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. No Microsoft Entra ID tem de ser membro das funções de Administrador^* Global ou Administrador de Segurança.

  Importante

  ^* A Microsoft defende fortemente o princípio do menor privilégio. Atribuir apenas as permissões mínimas necessárias para realizar as respetivas tarefas ajuda a reduzir os riscos de segurança e reforça a proteção geral da sua organização. O Administrador Global é uma função altamente privilegiada que deve limitar a cenários de emergência ou quando não pode utilizar uma função diferente.

• Os seus dispositivos têm de estar a executar Windows 10 ou posterior, ou Windows Server 2012 R2 ou posterior. Para que Windows Server 2012 R2 e Windows Server 2016 apareçam nos relatórios da firewall, estes dispositivos têm de ser integrados com o pacote de solução unificado moderno. Para obter mais informações, veja New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Novas funcionalidades na solução unificada moderna para Windows Server 2012 R2 e 2016).

• Para integrar dispositivos no serviço Microsoft Defender para Endpoint, veja a documentação de orientação sobre a integração.

• Para que o portal do Microsoft Defender comece a receber dados, tem de ativar Eventos de Auditoria para a Firewall do Windows Defender com Segurança Avançada. Veja os seguintes artigos:

  • Remoção do Pacote da Plataforma de Filtragem de Auditoria
  • Auditar Ligação da Plataforma de Filtragem

• Ative estes eventos com Política de Grupo o Editor de Objetos, a Política de Segurança Local ou os comandos auditpol.exe. Para obter mais informações, veja a documentação sobre auditoria e registo. Os dois comandos do PowerShell são os seguintes:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  Eis uma consulta de exemplo:

  param (
      [switch]$remediate
  )
  try {
  
      $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
      $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
      if ($current."Inclusion Setting" -ne "failure") {
          if ($remediate.IsPresent) {
              Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
              $output = auditpol /set /subcategory:"$($categories)" /failure:enable
              if($output -eq "The command was successfully executed.") {
                  Write-Host "$($output)"
                  exit 0
              }
              else {
                  Write-Host "$($output)"
                  exit 1
              }
          }
          else {
              Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
              exit 1
          }
      }
  
  }
  catch {
      throw $_
  } 
  

O processo

• Após a ativação dos eventos, Microsoft Defender para Endpoint começa a monitorizar os dados, incluindo:

  • IP Remoto
  • Porta Remota
  • Porta Local
  • Local IP
  • Nome do Computador
  • Processar através de ligações de entrada e saída

• Os administradores podem agora ver a atividade de firewall do anfitrião do Windows aqui. Os relatórios adicionais podem ser facilitados ao transferir o script de Relatórios Personalizados para monitorizar as atividades da Firewall do Windows Defender com o Power BI.

  Pode demorar até 12 horas até que os dados sejam refletidos.

Cenários suportados

• Relatórios de firewall
• De "Computadores com uma ligação bloqueada" ao dispositivo (requer o Defender para Endpoint Plano 2)
• Explorar a investigação avançada (atualização de pré-visualização) (requer o Defender para Endpoint Plano 2)

Relatórios de firewall

Eis alguns exemplos das páginas de relatório da firewall no portal Microsoft Defender. A página Firewall contém os separadores Entrada, Saída e Aplicação . Pode aceder a esta página na secção > PontosFinais de Relatórios>Firewall ou diretamente em https://security.microsoft.com/firewall.

De "Computadores com uma ligação bloqueada" ao dispositivo

Os cartões suportam objetos interativos. Pode explorar a atividade de um dispositivo ao clicar no nome do dispositivo, que irá iniciar o portal Microsoft Defender num novo separador e levá-lo diretamente para o separador Linha Cronológica do Dispositivo.

Agora, pode selecionar o separador Linha Cronológica , que lhe dará uma lista dos eventos associados a esse dispositivo.

Depois de clicar no botão Filtros no canto superior direito do painel de visualização, selecione o tipo de evento que pretende. Neste caso, selecione Eventos da firewall e o painel será filtrado para Eventos de firewall.

Explorar a investigação avançada (atualização de pré-visualização)

Os relatórios da firewall suportam a exploração do cartão diretamente para a Investigação Avançada ao clicar no botão Open Advanced hunting (Abrir Investigação Avançada ). A consulta está pré-preenchida.

A consulta pode agora ser executada e todos os eventos relacionados da Firewall dos últimos 30 dias podem ser explorados.

Para obter mais relatórios ou alterações personalizadas, a consulta pode ser exportada para o Power BI para análise adicional. Os relatórios personalizados podem ser facilitados ao transferir o script de Relatórios Personalizados para monitorizar as atividades da Firewall do Windows Defender com o Power BI.