Compartir a través de

Informes de firewalls de host en Microsoft Defender para punto de conexión

  • Artículo

Se aplica a:

Si es administrador global o de seguridad, ahora puede hospedar informes de firewall en el portal de Microsoft Defender. Esta característica le permite ver los informes de firewall de Windows desde una ubicación centralizada.

¿Qué necesita saber antes de empezar?

  • Los dispositivos deben ejecutarse Windows 10 o posterior, o Windows Server 2012 R2 o posterior. Para que Windows Server 2012 R2 y Windows Server 2016 aparezcan en los informes de firewall, estos dispositivos deben incorporarse mediante el paquete de soluciones unificadas modernas. Para obtener más información, consulte Nueva funcionalidad en la solución unificada moderna para Windows Server 2012 R2 y 2016.

  • Para incorporar dispositivos al servicio Microsoft Defender para punto de conexión, consulte la guía de incorporación.

  • Para que el portal de Microsoft Defender empiece a recibir datos, debe habilitar Eventos de auditoría para Windows Defender Firewall con seguridad avanzada. Consulte los siguientes artículos:

  • Habilite estos eventos mediante directiva de grupo Editor de objetos, la directiva de seguridad local o los comandos de auditpol.exe. Para obtener más información, consulte la documentación sobre la auditoría y el registro. Los dos comandos de PowerShell son los siguientes:

    • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
    • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

    Esta es una consulta de ejemplo:

    param (
     [switch]$remediate
)
try {

     $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
     $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
     if ($current."Inclusion Setting" -ne "failure") {
         if ($remediate.IsPresent) {
             Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
             $output = auditpol /set /subcategory:"$($categories)" /failure:enable
             if($output -eq "The command was successfully executed.") {
                 Write-Host "$($output)"
                 exit 0
             }
             else {
                 Write-Host "$($output)"
                 exit 1
             }
         }
         else {
             Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
             exit 1
         }
     }

}
catch {
     throw $_
}

El proceso

Nota:

Asegúrese de seguir las instrucciones de la sección anterior y de configurar correctamente los dispositivos para que participen en el programa en versión preliminar.

  • Una vez habilitados los eventos, Microsoft Defender para punto de conexión comienza a supervisar los datos, lo que incluye:

    • IP remota
    • Puerto remoto
    • Puerto local
    • Local IP
    • Nombre del equipo
    • Proceso entre conexiones entrantes y salientes

  • Los administradores ahora pueden ver la actividad del firewall del host de Windows aquí. Para facilitar la creación de informes adicionales, descargue el script de informes personalizados para supervisar las actividades de firewall de Windows Defender mediante Power BI.

    • Los datos pueden tardar hasta 12 horas en reflejarse.

Escenarios admitidos

Informes de firewall

Estos son algunos ejemplos de las páginas del informe de firewall. Aquí encontrará un resumen de la actividad entrante, saliente y de aplicación. Para acceder directamente a esta página, vaya a https://security.microsoft.com/firewall.

Página Informes de firewall de host

También se puede acceder a estos informes si va ala sección Dispositivos deinforme> de seguridad de informes> que se encuentra en la parte inferior de la tarjeta firewall bloqueado de entrada Connections.

Desde "Equipos con una conexión bloqueada" al dispositivo

Nota:

Esta característica requiere El plan 2 de Defender para punto de conexión.

Las tarjetas admiten objetos interactivos. Para profundizar en la actividad de un dispositivo, haga clic en el nombre del dispositivo, que iniciará el portal de Microsoft Defender en una nueva pestaña y le llevará directamente a la pestaña Escala de tiempo del dispositivo.

La página Equipos con una conexión bloqueada

Ahora puede seleccionar la pestaña Escala de tiempo , que le proporcionará una lista de eventos asociados a ese dispositivo.

Después de hacer clic en el botón Filtros de la esquina superior derecha del panel de visualización, seleccione el tipo de evento que desee. En este caso, seleccione Eventos de firewall y el panel se filtrará por eventos de firewall.

Botón Filtros

Obtención de detalles de la búsqueda avanzada (actualización en versión preliminar)

Nota:

Esta característica requiere El plan 2 de Defender para punto de conexión.

Los informes de firewall admiten la exploración desde la tarjeta directamente en Búsqueda avanzada haciendo clic en el botón Abrir búsqueda avanzada . La consulta se rellena previamente.

Botón Abrir búsqueda avanzada

Ahora se puede ejecutar la consulta y se pueden explorar todos los eventos de firewall relacionados de los últimos 30 días.

Para obtener más informes o cambios personalizados, la consulta se puede exportar a Power BI para su posterior análisis. Los informes personalizados se pueden facilitar descargando el script de informes personalizados para supervisar las actividades de firewall de Windows Defender mediante Power BI.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.