Värd för brandväggsrapportering i Microsoft Defender för Endpoint

Gäller för:

Om du är administratör kan du nu hantera brandväggsrapportering till Microsoft 365 Defender portalen. Med den här funktionen kan du visa Windows 10-, Windows 11-, Windows Server 2019- och Windows Server 2022-brandväggrapportering från en central plats.

Vad behöver jag veta innan jag börjar?

  • Du måste köra Windows 10 eller Windows 11, eller Windows Server 2019 eller Windows Server 2022.
  • Information om hur du onboardar enheter till Microsoft Defender för slutpunktstjänsten finns här.
  • Om Microsoft 365 Defender-portalen ska börja ta emot data måste du aktivera granskningshändelser för Windows Defender med avancerad säkerhet:
  • Aktivera dessa händelser med hjälp av Grupprincipobjektredigeraren, Lokal säkerhetsprincip eller auditpol.exe säkerhetskommandon. Mer information finns i här.
    • De två PowerShell-kommandona är:
      • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
      • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

Processen

Anteckning

Se till att följa anvisningarna i avsnittet ovan och konfigurera dina enheter på rätt sätt inför förhandsdeltagandet.

  • När du har Microsoft 365 Defender börjar data övervakas.
    • Fjärr-IP, fjärrport, lokal port, lokal IP, datornamn, process för inkommande och utgående anslutningar.
  • Administratörer kan nu se Windows aktiviteten för värdbrandväggen här.
    • Ytterligare rapportering kan underlättas genom att ladda ned skriptet Anpassad rapportering för att övervaka Windows Defender av brandväggsaktiviteter med Power BI.
    • Det kan ta upp till 12 timmar innan data visas.

Scenarier som stöds

Följande scenarier stöds under förhandsversionen av Ring0.

Brandväggsrapportering

Här är några exempel på brandväggsrapportsidorna. Här hittar du en sammanfattning av inkommande, utgående och programaktivitet. Du kan komma åt den här sidan direkt genom att gå till https://security.microsoft.com/firewall .

Rapportsidan för värdbrandväggen.

Du kommer åt de här rapporterna genom att gå till Reports Security Report Devices (avsnitt) längst ned på kortet > > Firewall Blocked Inbound Connections.

Från "Datorer med en blockerad anslutning" till en enhet

Kort stöder interaktiva objekt. Du kan granska aktiviteten på en enhet genom att klicka på enhetens namn, som startar Microsoft 365 Defender-portalen på en ny flik, och tar dig direkt till fliken Tidslinje för enhet.

Datorer med en blockerad anslutning.

Nu kan du välja fliken Tidslinje, som ger dig en lista över händelser som är kopplade till den enheten.

När du har klickat på knappen Filter i det övre högra hörnet i visningsfönstret väljer du den typ av händelse som du vill använda. I det här fallet väljer du Brandväggshändelser så filtreras fönstret till brandväggshändelser.

Knappen Filter.

Öka detalj detalj för avancerad sökning (uppdatera förhandsversion)

Med brandväggsrapporter går det att göra en sökning från kortet direkt till Avancerad sökning genom att klicka på knappen Öppna avancerad sökning. Frågan fylls i på förhand.

Öppna knappen Avancerad sökning.

Frågan kan nu utföras och alla relaterade brandväggshändelser från de senaste 30 dagarna kan undersökas.

För ytterligare rapportering eller anpassade ändringar kan frågan exporteras till ett Power BI för vidare analys. Anpassad rapportering kan underlättas genom att ladda ned skriptet Anpassad rapportering för att övervaka aktiviteterna Windows Defender brandväggen med hjälp Power BI.