Arbeiten mit IP-Adressbereichen und Tags
Um bekannte IP-Adressen, z. B. Ihre physischen Büro-IP-Adressen, einfach zu identifizieren, müssen Sie IP-Adressbereiche festlegen. Mit IP-Adressbereichen können Sie die Art und Weise, wie Protokolle und Warnungen angezeigt und untersucht werden, markieren, kategorisieren und anpassen. Jede Gruppe von IP-Bereichen kann basierend auf einer voreingestellten Liste von IP-Kategorien kategorisiert werden. Sie können auch benutzerdefinierte IP-Tags für Ihre IP-Adressbereiche erstellen. Darüber hinaus können Sie öffentliche Geolocationinformationen basierend auf Ihren internen Netzwerkkenntnissen überschreiben. Sowohl IPv4 als auch IPv6 werden unterstützt.
Defender for Cloud Apps ist mit integrierten IP-Adressbereichen für beliebte Cloudanbieter wie Azure und Microsoft 365 vorkonfiguriert. Darüber hinaus haben wir ein integriertes Tagging basierend auf Microsoft Threat Intelligence, einschließlich anonymem Proxy, Botnet und Tor. Die vollständige Liste wird in der Dropdownliste auf der Seite IP-Adressbereiche angezeigt.
Hinweis
- Informationen zur Verwendung dieser integrierten Tags im Rahmen einer Suche finden Sie in der Defender for Cloud Apps-API-Dokumentation.
- Sie können IP-Adressbereiche in einem Massenvorgang hinzufügen, indem Sie mithilfe der API für IP-Adressbereiche ein Skript erstellen.
- Sie können keine IP-Bereiche mit überlappenden IP-Adressen hinzufügen.
- Um die API-Dokumentation anzuzeigen, wechseln Sie zu API-Dokumentation.
Integrierte IP-Adresstags und benutzerdefinierte IP-Tags werden hierarchisch betrachtet. Benutzerdefinierte IP-Tags haben Vorrang vor integrierten IP-Tags. Wenn für instance eine IP-Adresse basierend auf Threat Intelligence als Riskant gekennzeichnet ist, aber ein benutzerdefiniertes IP-Tag vorhanden ist, das sie als Unternehmen identifiziert, haben die benutzerdefinierte Kategorie und tags Vorrang.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Systemdie Option IP-Adressbereiche aus. Wählen Sie IP-Adressbereich hinzufügen aus, um IP-Adressbereiche hinzuzufügen, und legen Sie die folgenden Felder fest:
Benennen Sie Ihren IP-Adressbereich. Der Name wird nicht im Aktivitätsprotokoll angezeigt. Sie wird nur zum Verwalten Ihres IP-Adressbereichs verwendet.
Geben Sie jeden IP-Adressbereich ein, den Sie konfigurieren möchten. Sie können beliebig viele IP-Adressen und Subnetze mithilfe der Netzwerkpräfixnotation (auch als CIDR-Notation bezeichnet) hinzufügen, z. B. 192.168.1.0/32.
Kategorien werden verwendet, um Aktivitäten von wichtigen IP-Adressen in Ihren Protokollen und Warnungen einfach zu erkennen. Kategorien sind im Portal verfügbar. Sie erfordern jedoch in der Regel eine Benutzerkonfiguration, um zu bestimmen, welche IP-Adressen in den einzelnen Kategorien enthalten sind. Die Ausnahme von dieser Konfiguration ist die Kategorie Risky , die zwei IP-Tags enthält: Anonymer Proxy und Tor.
Die folgenden Kategorien sind verfügbar:
Administrator: Diese IP-Adressen sollten alle IP-Adressen sein, die von Ihren Administratoren verwendet werden.
Cloudanbieter: Diese IP-Adressen sollten die IP-Adressen sein, die von Ihrem Cloudanbieter verwendet werden. Wenden Sie diese Kategorie an, wenn Ihr Cloudanbieter nicht automatisch identifiziert wird.
Unternehmensintern: Diese IP-Adressen sollten alle öffentlichen IP-Adressen Ihres internen Netzwerks, Ihrer Zweigstellen und Ihrer Wi-Fi Roamingadressen sein.
Riskant: Diese IP-Adressen sollten alle IP-Adressen sein, die Sie als riskant betrachten. Dazu können verdächtige IP-Adressen gehören, die Sie in der Vergangenheit gesehen haben, IP-Adressen in den Netzwerken Ihrer Mitbewerber usw.
VPN: Diese IP-Adressen sollten alle IP-Adressen sein, die Sie für Remotemitarbeiter verwenden. Mit dieser Kategorie können Sie vermeiden, dass unmögliche Reisewarnungen ausgegeben werden, wenn Mitarbeiter über das Unternehmens-VPN eine Verbindung von ihren Heimatstandorten aus herstellen.
Um den IP-Bereich in eine Kategorie einzuschließen, wählen Sie eine Kategorie aus dem Dropdownmenü aus.
Um die Aktivitäten von diesen IP-Adressen zu markieren , geben Sie ein Tag ein. Wenn Sie ein Wort in das Feld eingeben, wird das Tag erstellt. Nachdem Sie bereits ein Tag konfiguriert haben, können Sie es ganz einfach zusätzlichen IP-Adressbereichen hinzufügen, indem Sie es aus der Liste auswählen. Sie können für jeden Bereich mehr als ein IP-Tag hinzufügen. IP-Tags können beim Erstellen von Richtlinien verwendet werden. Neben den von Ihnen konfigurierten IP-Tags verfügt Defender for Cloud Apps über integrierte Tags, die nicht konfigurierbar sind. Die Liste der Tags wird unter dem Filter IP-Tags angezeigt.
Hinweis
- IP-Tags werden der Aktivität hinzugefügt, ohne Daten zu überschreiben.
- Mehrere Tags können auf denselben IP-Bereich angewendet werden.
Aktivieren Sie das entsprechende Kontrollkästchen, um den registrierten ISP außer Kraft zu setzen oder den Standort oder für diese Adressen außer Kraft zu setzen. Wenn Sie beispielsweise über eine IP-Adresse verfügen, die als öffentlich in Irland gilt, Aber Sie wissen, dass sich die IP-Adresse in den USA befindet. Sie überschreiben den Standort für diesen IP-Adressbereich. Wenn Sie nicht möchten, dass einem registrierten ISP ein IP-Adressbereich zugeordnet wird, können Sie den registrierten ISP überschreiben.
Wenn Sie fertig sind, wählen Sie Erstellen aus.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.