VMware vRealize Log Insight – Windows Firewall Monitoring

Um ein gewisses Maß an Sicherheit in der Infrastruktur gewährleisten zu können, erachte ich es für sinnvoll die Windows Firewall auf den Servern immer zu aktivieren. Damit das in der Praxis reibungslos funktioniert gehört das Windows Firewall Monitoring dazu. Ich verwende hierzu wieder VMware vRealize Log Insight.

Leider gibt das Microsoft Windows Operating System Content Pack aktuell hiefür nicht viel her. Um das zu ändern habe ich einen Feature Request in der Log Insight Community eingereicht.

Ich habe mich im Bezug auf das Windows Firewall Management für folgendes Vorgehen entschieden:

  • Windows Firewall Grundkonfiguration per Gruppenrichtlinie
    • Logging in der Gruppenrichtlinie aktiviert
  • Applikationsspezifische Ausnahmen lokal auf dem jeweiligen Server
  • Sammlung der Logs zentral mit VMware vRealize Log Insight

Windows Firewall Monitoring mit VMware Log Insight – Konfiguration

Gruppenrichtline

Log Konfiguration in der GPO

Log Konfiguration in der GPO

VMware vRealize Log Insight Agent

Windows Firewall mit VMware Log Insight - Agent

VMware Log Insight – Agent Konfiguration für Firewall

VMware vRealize Log Insight Darstellung

Ich habe zur schnellen Visualisierung zwei Widgets für mein Dashboard erstellt:

  • Firewall Drop`s per Hostname
    • Infos aus dem Filelog
  • Firewall Drop`s by Protocoll
    • Infos aus dem Filelog
  • Firewall Drop`s by Source IP
    • Infos aus dem Filelog
  • Firewall Drop`s by Destination Port
    • Infos aus dem Filelog
  • Server deren Firewall aktiviert oder deaktiviert wurde
    • Infos aus dem Eventlog

Windows Firewall Monitoring - Dashboard

Mehr Details:
vRealize Log Insight Windows Firewall Advanced ContentPack

In der Community Voten und Download:
VMware vRealize Log Insight Community

Leave a Reply