💧

Microsoft Defender ファイアウォールの Drop ログを Defender for Endpoint に連携する

2024/10/09に公開

はじめに

Microsoft Defender ファイアウォール (旧 Windows ファイアウォール) の Drop ログを Defender for Endpoint に連携することが可能です。デフォルトでは有効になっていないので、有効化の設定方法を確認していきます。
https://learn.microsoft.com/ja-jp/defender-endpoint/host-firewall-reporting

設定

ドキュメントからの抜粋ですが、以下の設定が必要です。

具体的にはこちらのドキュメントの以下項目が対象です。設定方法はグループ ポリシーか auditpol コマンドです。

  • フィルタ リング プラットフォームのパケットのドロップ
  • プラットフォームの接続をフィルター処理

https://learn.microsoft.com/ja-jp/windows/win32/fwp/auditing-and-logging

今回は auditpol を使用します。設定コマンドはこちらです。

auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /failure:enable
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /failure:enable

ローカライズの影響を受けないようにするには GUID で指定します。

auditpol /set /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /failure:enable
auditpol /set /subcategory:"{0CCE9226-69AE-11D9-BED3-505054503030}" /failure:enable

コマンド実行後、以下のように表示されれば成功です。

動作確認

まずデバイス上のイベントログを確認します。以下のように記録されていれば設定できています。


次に Defender XDR ポータルにてデバイスのタイムラインを確認します。フィルタ条件で [ファイアウォールのイベント] で確認できます。

[レポート] > [ファイアウォール] を確認します。ログが少ないですが以下のように確認できます。


レポート上の [高度な追及を開く] をクリックしクエリを実行します。以下のようにログを確認できます。


ActionType は FirewallOutboundConnectionBlocked もしくは FirewallInboundConnectionBlocked になるかと思います。

Microsoft (有志)

Discussion