Como habilitar o log do Firewall do Windows Defender para segurança ideal

Como ler e analisar logs de firewall

Depois de habilitar Windows Defender Firewall Logging, a próxima etapa é ler e analisar os arquivos de log para obter informações úteis. Aqui está o guia completo:

Outros artigos interessantes

1. Abrindo o arquivo de log

Os arquivos de log do firewall geralmente são armazenados nos seguintes locais:

C:\Windows\System32\LogFiles\Firewall\pfirewall.log

Você pode abrir esses arquivos de log usando várias ferramentas, como:

  • Notepad++: um editor de texto leve que dá suporte à formatação de log.
  • Event Viewer: Ferramentas internas do Windows que podem ser usadas para exibir logs do sistema, incluindo firewalls.
  • Log Parser: Uma ferramenta da Microsoft que permite analisar logs com consultas SQL.

2. Identifique ameaças

Depois de abrir o arquivo de log, você verá algumas colunas importantes que podem ajudá-lo a analisar a atividade da rede. Algumas informações importantes a serem observadas são:

  • IP Address: O endereço IP da origem ou destino envolvido na conexão.
  • Port Number: a porta usada para a conexão (por exemplo, porta 80 para HTTP ou porta 443 para HTTPS).
  • Status da conexão: se a conexão foi bem-sucedida (ALLOW) ou bloqueada (DROP).

Exemplo de log:

2023-10-115 12:34:56  ALLOW TCP 192.168.1.100020.0.13.45 80 443
2023-10-115 12:35:10  DROP TCP 192.168.1110 198.51.110.10 2 54321

Do exemplo acima:

  • A primeira linha mostra a conexão permitida do IP 192.168.1.100 ao IP 203.0.113.45 na porta 80 (HTTP).
  • A segunda linha mostra que a conexão está bloqueada do IP 192.168.1.100 para o IP 198.51.100.10 na porta 22 (SSH).

3. Usando o PowerShell para análise adicional

O PowerShell é uma ferramenta muito útil para analisar os logs de firewall com mais profundidade. Você pode usar os seguintes comandos para ler e filtrar logs:

Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log

Para uma análise mais específica, você pode usar comandos do PowerShell, como:

Pesquise conexões bloqueadas:

Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log | Select-String “DROP”

Pesquise atividades de um IP específico:

Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log | Select-String “192.168.1.100”

Pesquise atividade em uma porta específica:

Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log | Select-String “:43”

4. Dicas de análise de log

  • Monitore endereços IP desconhecidos: Se você vir um endereço IP desconhecido tentando acessar seu sistema, bloqueie o IP imediatamente.
  • Verifique se há portas incomuns: Portas incomuns (por exemplo, portas acima de 50000) podem indicar atividades suspeitas.
  • Use ferramentas de visualização: Para logs grandes, considere o uso de ferramentas como Microsoft Log Parser Studio ou ELK Stack para facilitar a visualização de dados.

Últimos artigos

Artigos Relacionados