適用於端點的 Microsoft Defender 中的主機防火牆報告

Microsoft Defender 入口網站中的防火牆回報功能，讓您能從集中位置查看 Windows 防火牆的回報。

開始之前有哪些須知？

• 你可以在 https://security.microsoft.com. 開啟 Microsoft Defender 入口網站。 要直接進入 防火牆 頁面，請使用 https://security.microsoft.com/firewall。

• 您必須已獲派權限，才能進行本文中的程序。 在 Microsoft Entra ID 中，您需要成為全域管理員^*或安全管理員角色的成員。

  重要事項

  ^* Microsoft 強烈主張最小權限原則。 僅分配執行任務所需的最低權限，有助於降低安全風險並強化組織整體防護。 全域管理員是一個高度特權的職位，應該限制在緊急情境或無法使用其他角色時使用。

• 您的裝置必須是 Windows 10 或更新版本，或是 Windows Server 2012 R2 或更新版本。 為了讓 Windows Server 2012 R2 和 Windows Server 2016 出現在防火牆報告中，這些裝置必須使用現代統一解決方案套件進行上線。 欲了解更多資訊，請參閱 Windows Server 2012 R2 與 2016 現代統一解決方案的新功能。

• 要將裝置導入 適用於端點的 Microsoft Defender 服務，請參閱入職指引。

• 要讓 Microsoft Defender 入口網站開始接收資料，您必須啟用帶有進階安全性的 Windows Defender 防火牆審計事件。 請參閱以下文章：

  • 稽核過濾平台封包丟棄
  • 審計過濾平台連接

• 請使用物件編輯器、本地安全政策或 auditpol.exe 指令啟用這些事件群組原則。 欲了解更多資訊，請參閱 有關稽核與記錄的文件。 這兩個 PowerShell 指令如下：

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  以下為範例查詢:

  param (
      [switch]$remediate
  )
  try {
  
      $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
      $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
      if ($current."Inclusion Setting" -ne "failure") {
          if ($remediate.IsPresent) {
              Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
              $output = auditpol /set /subcategory:"$($categories)" /failure:enable
              if($output -eq "The command was successfully executed.") {
                  Write-Host "$($output)"
                  exit 0
              }
              else {
                  Write-Host "$($output)"
                  exit 1
              }
          }
          else {
              Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
              exit 1
          }
      }
  
  }
  catch {
      throw $_
  } 
  

流程

• 啟用事件後，適用於端點的 Microsoft Defender 會開始監控資料，包括：

  • 遠端 IP
  • 遠端移植
  • 當地港口
  • 本地 IP
  • 電腦名稱
  • 進出連接間的處理

• 管理員現在可以在這裡查看 Windows 主機防火 牆的活動。 可透過下載 Custom Reporting 腳本 ，使用 Power BI 監控 Windows Defender 防火牆活動，以促進額外報告。

  資料可能要等上12小時才會反映出來。

支援的案例

• 防火牆回報
• 從「連線被封鎖的電腦」到 裝置 (需要 Defender for Endpoint Plan 2)
• 深入進階狩獵 (預覽更新) (需要Defender for Endpoint Plan 2)

防火牆回報

以下是 Microsoft Defender 入口網站中防火牆報告頁面的一些範例。 防火牆頁面包含入站、出站和應用程式分頁。 您可以透過「報告>端點」區塊>「防火牆」或直接造訪 https://security.microsoft.com/firewall。

從「連線被阻擋的電腦」到裝置

卡片支援互動物件。 你可以點擊裝置名稱來深入了解裝置的活動，這會在新分頁中啟動 Microsoft Defender 入口網站，並直接帶你進入裝置時間軸分頁。

你現在可以選擇 時間軸 標籤，裡面會顯示與該裝置相關的事件清單。

點擊檢視窗格右上角的 「篩選」 按鈕後，選擇你想要的事件類型。 此時，選擇 防火牆事件 ，面板會被篩選為防火牆事件。

深入進階狩獵 (預覽刷新)

防火牆會透過點擊「開啟進階狩獵」按鈕，直接從卡片報告鑽孔到進階狩獵。 查詢是預先填充的。

查詢現在可以執行，並探索過去 30 天內所有相關的防火牆事件。

若需更多報告或自訂變更，查詢可匯出至 Power BI 進行進一步分析。 可透過下載 Custom Reporting 腳本 ，使用 Power BI 監控 Windows Defender 防火牆的活動來協助自訂報告。