Mit IP-Bereichen und -Tags arbeiten
Wenn Sie bekannte IP-Adressen wie die Ihres Büros einfach ermitteln möchten, müssen Sie IP-Adressbereiche festlegen. Mithilfe von IP-Adressbereichen können Sie die Art und Weise, wie Protokolle und Warnungen angezeigt und untersucht werden, markieren, kategorisieren und anpassen. Jede Gruppe von IP-Bereichen kann basierend auf einer vordefinierten Liste von IP-Kategorien kategorisiert werden. Außerdem können Sie benutzerdefinierte IP-Tags für Ihre IP-Adressbereiche erstellen. Darüber hinaus können Sie öffentliche Informationen zur Geolocation basierend auf Ihren internen Netzwerkkenntnissen überschreiben. Sowohl IPv4 als auch IPv6 werden unterstützt.
Cloud App Security wird mit integrierten IP-Adressbereichen für beliebte Cloudanbieter wie. Azure und Office 365 vorkonfiguriert. Zudem wurden basierend auf Microsoft Threat Intelligence, einschließlich anonymer Proxys, einem Botnet und Tor, Markierungsfunktionen hinzugefügt. Die vollständige Liste finden Sie in der Dropdownliste auf der Seite „IP-Adressbereiche“.
Hinweis
- Informationen dazu, wie Sie diese integrierten Tags als Teil einer Suche verwenden, finden Sie in deren IDs in der Defender for Cloud Apps-API-Dokumentation.
- Sie können IP-Adressbereiche in einer Massenoperation hinzufügen, indem Sie mithilfe der IP-Adressbereiche-API ein Skript erstellen.
- Sie können keine IP-Adressbereiche mit überlappenden IP-Adressen hinzufügen.
- Wechseln Sie zur API-Dokumentation, um die API-Dokumentation anzuzeigen.
Integrierte Tags von IP-Adressen und benutzerdefinierte IP-Tags werden hierarchisch strukturiert. Benutzerdefinierte IP-Tags haben integrierten IP-Tags gegenüber Vorrang. Wenn eine IP-Adresse z. B. basierend auf Bedrohungsinformationen als Riskant markiert ist, es aber ein benutzerdefiniertes IP-Tag gibt, das sie als Corporate (unternehmenseigen) markiert, haben die benutzerdefinierten Kategorien und Tags Vorrang.
Erstellen eines IP-Adressbereichs
Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter System die IP-Adressbereiche. Wählen Sie IP-Adressbereich hinzufügen aus, um IP-Adressbereiche hinzuzufügen, und legen Sie die folgenden Felder fest:
Geben Sie Ihrem IP-Bereich einen Namen. Der Name wird im Aktivitätsprotokoll nicht angezeigt. Er dient nur zur Verwaltung Ihres IP-Adressbereichs.
Geben Sie jeden IP-Adressbereich ein, den Sie konfigurieren möchten. Sie können mit der Netzwerkpräfix-Notation (auch bekannt als CIDR-Notation), beispielsweise 192.168.1.0/32, beliebig viele IP-Adressen und Subnetze hinzufügen.
Kategorien werden verwendet, um Aktivitäten von wichtigen IP-Adressen in Ihren Protokollen und Warnungen leicht zu erkennen. Sie finden die Kategorien im Portal. Allerdings müssen diese in der Regel vom Benutzer konfiguriert werden, damit bestimmt werden kann, welche IP-Adressen zu den einzelnen Kategorien gehören. Eine Ausnahme stellt die Kategorie Riskant dar. Diese umfasst zwei IP-Tags: Anonymer Proxy und Tor.
Die folgenden Kategorien sind verfügbar:
Administrativ: Dies IPs sollten alle IP-Adressen Ihrer Administratoren sein.
Cloudanbieter: Dies sollten die von Ihrem Cloudanbieter verwendeten IP-Adressen sein. Wenden Sie diese Kategorie an, wenn Ihr Cloudanbieter nicht automatisch identifiziert wird.
Unternehmenseigen: Dies sollten alle öffentlichen IP-Adressen Ihres internen Netzwerks, Ihrer Filialen und Ihrer WLAN-Roamingadressen sein.
Risky (Riskant): Dies sollten alle IP-Adressen sein, die Sie als riskant einstufen. Dazu können verdächtige IP-Adressen zählen, die Ihnen in der Vergangenheit aufgefallen sind, IP-Adressen in Netzwerken Ihrer Mitbewerber usw.
VPN: Dies sollten alle IP-Adressen sein, die Sie für Remotemitarbeiter verwenden. Mithilfe dieser Kategorie können Sie verhindern, dass unmögliche Reisewarnungen ausgelöst werden, wenn Mitarbeiter*innen über das Unternehmens-VPN eine Verbindung von ihren Homeoffices herstellen.
Wählen Sie eine Kategorie aus dem Einblendmenü, um den IP-Bereich in eine IP-Kategorie einzuschließen.
Geben Sie zum Markieren der Aktivitäten, die von diesen IP-Adressen ausgehen, ein Tag ein. Mit Eingabe eines Worts in das Feld wird das Tag erstellt. Da Sie bereits über ein konfiguriertes Tag verfügen, können Sie es einfach durch Auswahl in der Liste den zusätzlichen IP-Bereichen hinzufügen. Sie können für jeden Bereich mehrere IP-Tags hinzufügen. IP-Tags können beim Erstellen von Richtlinien verwendet werden. Zusätzlich zu den von Ihnen konfigurierten IP-Tags verfügt Defender for Cloud Apps über integrierte Tags, die nicht konfiguriert werden können. Eine Liste der Tags finden Sie unter IP tags filter (IP-Tagfilter).
Hinweis
- IP-Tags werden der Aktivität ohne Überschreiben von Daten hinzugefügt.
- Auf denselben IP-Bereich können mehrere Tags angewendet werden.
Aktivieren Sie das entsprechende Kontrollkästchen zum Überschreiben der registrierten ISP oder Überschrieben des Standorts. Wenn eine IP-Adresse sich z. B. laut öffentlicher Informationen in Irland befindet, Sie jedoch wissen, dass sie sich in den USA befindet, können Sie diese Einstellung überschreiben. Überschreiben Sie in diesem Fall den Standort für diesen IP-Adressbereich. Wenn Sie nicht möchten, dass ein IP-Adressbereich einem registrierten ISP zugeordnet wird, können Sie auch den registrierten ISP überschreiben.
Wählen Sie Erstellen, wenn Sie fertig sind.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.