استضافة تقارير جدار الحماية في Microsoft Defender لنقطة النهاية

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

إذا كنت مسؤولا عاما أو مسؤولا عن الأمان، يمكنك الآن استضافة تقارير جدار الحماية إلى مدخل Microsoft Defender. تمكنك هذه الميزة من عرض تقارير جدار حماية Windows من موقع مركزي.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

• يجب أن تعمل أجهزتك Windows 10 أو أحدث، أو Windows Server 2012 R2 أو أحدث. لكي يظهر Windows Server 2012 R2 وWindows Server 2016 في تقارير جدار الحماية، يجب إلحاق هذه الأجهزة باستخدام حزمة الحلول الموحدة الحديثة. لمزيد من المعلومات، راجع وظائف جديدة في الحل الموحد الحديث ل Windows Server 2012 R2 و2016.

• لإلحاق الأجهزة بخدمة Microsoft Defender لنقطة النهاية، راجع إرشادات الإعداد.

• لكي يبدأ مدخل Microsoft Defender في تلقي البيانات، يجب تمكين أحداث التدقيق لجدار حماية Windows Defender باستخدام الأمان المتقدم. راجع المقالات التالية:

  • إسقاط حزمة النظام الأساسي لتصفية التدقيق
  • تدقيق اتصال النظام الأساسي لتصفية

• قم بتمكين هذه الأحداث باستخدام المحرر عنصر نهج المجموعة أو نهج الأمان المحلي أو أوامر auditpol.exe. لمزيد من المعلومات، راجع الوثائق حول التدقيق والتسجيل. الأمران PowerShell كما يلي:

  • auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:enable
  • auditpol /set /subcategory:"Filtering Platform Connection" /failure:enable

  فيما يلي مثال على الاستعلام:

  param (
       [switch]$remediate
  )
  try {
  
       $categories = "Filtering Platform Packet Drop,Filtering Platform Connection"
       $current = auditpol /get /subcategory:"$($categories)" /r | ConvertFrom-Csv    
       if ($current."Inclusion Setting" -ne "failure") {
           if ($remediate.IsPresent) {
               Write-Host "Remediating. No Auditing Enabled. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})"
               $output = auditpol /set /subcategory:"$($categories)" /failure:enable
               if($output -eq "The command was successfully executed.") {
                   Write-Host "$($output)"
                   exit 0
               }
               else {
                   Write-Host "$($output)"
                   exit 1
               }
           }
           else {
               Write-Host "Remediation Needed. $($current | ForEach-Object {$_.Subcategory + ":" + $_.'Inclusion Setting' + ";"})."
               exit 1
           }
       }
  
  }
  catch {
       throw $_
  } 
  

العملية

• بعد تمكين الأحداث، يبدأ Microsoft Defender لنقطة النهاية في مراقبة البيانات، والتي تتضمن:

  • IP عن بعد
  • منفذ بعيد
  • المنفذ المحلي
  • IP المحلي
  • اسم الكمبيوتر
  • معالجة عبر الاتصالات الواردة والصادرة

• يمكن للمسؤولين الآن رؤية نشاط جدار حماية مضيف Windows هنا. يمكن تسهيل إعداد تقارير إضافية عن طريق تنزيل البرنامج النصي Custom Reporting لمراقبة أنشطة جدار حماية Windows Defender باستخدام Power BI.

  • قد يستغرق الأمر ما يصل إلى 12 ساعة قبل أن تنعكس البيانات.

السيناريوهات المدعومة

• إعداد تقارير جدار الحماية
• من "أجهزة الكمبيوتر ذات الاتصال المحظور" إلى الجهاز (يتطلب Defender لنقطة النهاية الخطة 2)
• التنقل في التتبع المتقدم (تحديث المعاينة) (يتطلب Defender لخطة نقطة النهاية 2)

إعداد تقارير جدار الحماية

فيما يلي بعض الأمثلة على صفحات تقرير جدار الحماية. ستجد هنا ملخصا لنشاط التطبيق الوارد والصادر. يمكنك الوصول إلى هذه الصفحة مباشرة عن طريق الانتقال إلى https://security.microsoft.com/firewall.

يمكن أيضا الوصول إلى هذه التقارير عن طريق الانتقال إلى Reports>Security Report>Devices (القسم) الموجود أسفل بطاقة Connections الواردة المحظورة بجدار الحماية.

من "أجهزة الكمبيوتر ذات الاتصال المحظور" إلى الجهاز

تدعم البطاقات الكائنات التفاعلية. يمكنك التنقل في نشاط الجهاز بالنقر فوق اسم الجهاز، والذي سيقوم بتشغيل مدخل Microsoft Defender في علامة تبويب جديدة، وينقلك مباشرة إلى علامة التبويب المخطط الزمني للجهاز.

يمكنك الآن تحديد علامة التبويب اليوميات ، والتي ستمنحك قائمة بالأحداث المقترنة بهذا الجهاز.

بعد النقر فوق الزر عوامل التصفية في الزاوية العلوية اليسرى من جزء العرض، حدد نوع الحدث الذي تريده. في هذه الحالة، حدد أحداث جدار الحماية وسيتم تصفية الجزء إلى أحداث جدار الحماية.

التنقل في التتبع المتقدم (تحديث المعاينة)

تدعم تقارير جدار الحماية التنقل من البطاقة مباشرة إلى Advanced Hunting بالنقر فوق الزر Open Advanced hunting . يتم ملء الاستعلام مسبقا.

يمكن الآن تنفيذ الاستعلام، ويمكن استكشاف جميع أحداث جدار الحماية ذات الصلة من آخر 30 يوما.

لمزيد من التقارير أو التغييرات المخصصة، يمكن تصدير الاستعلام إلى Power BI لمزيد من التحليل. يمكن تسهيل إعداد التقارير المخصصة عن طريق تنزيل البرنامج النصي Custom Reporting لمراقبة أنشطة جدار حماية Windows Defender باستخدام Power BI.