在 Microsoft Defender for Endpoint 中托管防火墙报告

适用于:

如果你是全局管理员或安全管理员,现在可以托管向Microsoft Defender门户报告的防火墙。 此功能使你能够从集中位置查看 Windows 防火墙报告。

开始前,有必要了解什么?

  • 设备必须运行Windows 10或更高版本,或者Windows Server 2012 R2 或更高版本。 若要在防火墙报告中显示Windows Server 2012 R2 和Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能

  • 若要将设备加入Microsoft Defender for Endpoint服务,请参阅载入指南

  • 若要Microsoft Defender门户开始接收数据,必须为具有高级安全性的Windows Defender防火墙启用审核事件。 另请参阅以下文章:

  • 使用 组策略 对象编辑器、本地安全策略或 auditpol.exe 命令启用这些事件。 有关详细信息,请参阅 有关审核和日志记录的文档。 这两个 PowerShell 命令如下所示:

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    示例查询如下:

    param (
         [switch]$remediate
    )
    try {
    
         $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
         $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
         if ($current."Inclusion Setting" -ne "failure") {
             if ($remediate.IsPresent) {
                 Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
                 $output = auditpol /set /subcategory:"$($categories)" /failure:enable
                 if($output -eq "The command was successfully executed.") {
                     Write-Host "$($output)"
                     exit 0
                 }
                 else {
                     Write-Host "$($output)"
                     exit 1
                 }
             }
             else {
                 Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
                 exit 1
             }
         }
    
    }
    catch {
         throw $_
    } 
    

过程

注意

请确保按照前面部分中的说明进行操作,并正确配置设备以参与预览计划。

  • 启用事件后,Microsoft Defender for Endpoint开始监视数据,其中包括:

    • 远程 IP
    • 远程端口
    • 本地端口
    • 本地 IP
    • Computer Name
    • 跨入站和出站连接进行处理
  • 管理员现在可以 在此处查看 Windows 主机防火墙活动。 可以通过下载自定义报告脚本来使用 Power BI 监视Windows Defender防火墙活动来促进其他报告。

    • 最长可能需要 12 小时才能反映数据。

支持的方案

防火墙报告

下面是防火墙报表页的一些示例。 可在此处找到入站、出站和应用程序活动的摘要。 可以通过转到 直接访问 https://security.microsoft.com/firewall此页面。

“主机防火墙报告”页

还可以转到>位于防火墙阻止的入站Connections卡底部) 报告安全报告>设备 (部分来访问这些报告。

从“连接被阻止的计算机”到设备

注意

此功能需要 Defender for Endpoint 计划 2。

卡片支持交互式对象。 可以通过单击设备名称来钻取设备的活动,这将在新选项卡中启动Microsoft Defender门户,并直接转到“设备时间线”选项卡。

连接被阻止的计算机页

现在可以选择“ 时间线 ”选项卡,该选项卡将提供与该设备关联的事件列表。

单击查看窗格右上角的 “筛选器” 按钮后,选择所需的事件类型。 在这种情况下,选择“ 防火墙事件 ”,窗格将筛选为“防火墙事件”。

“筛选器”按钮

深入了解高级搜寻 (预览刷新)

注意

此功能需要 Defender for Endpoint 计划 2。

防火墙报告支持通过单击“打开高级搜寻”按钮直接从卡钻取到高级搜寻。 查询已预填充。

“打开高级搜寻”按钮

现在可以执行查询,并且可以浏览过去 30 天内的所有相关防火墙事件。

对于更多报告或自定义更改,可以将查询导出到 Power BI 中以供进一步分析。 可以通过下载自定义报告脚本来使用 Power BI 监视Windows Defender防火墙活动来促进自定义报告。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区