Leer en inglés

Compartir a través de


Trabajar con intervalos IP y etiquetas

Para identificar fácilmente las direcciones IP conocidas, como las direcciones IP de la oficina física, debe establecer intervalos de direcciones IP. Los intervalos de direcciones IP le permiten etiquetar, clasificar y personalizar la forma en que se muestran e investigan los registros y las alertas. Cada grupo de intervalos IP se puede clasificar en función de una lista preestablecida de categorías IP. También puede crear etiquetas IP personalizadas para los intervalos IP. Además, puede invalidar la información de geolocalización pública en función de sus conocimientos internos de red. Se admiten IPv4 e IPv6.

Defender for Cloud Apps viene preconfigurado con intervalos IP integrados para proveedores de nube populares como Azure y Microsoft 365. Además, tenemos etiquetado integrado basado en la inteligencia sobre amenazas de Microsoft, incluidos el proxy anónimo, Botnet y Tor. Puede ver la lista completa en la lista desplegable de la página Intervalos de direcciones IP.

Nota

  • Para usar estas etiquetas integradas como parte de una búsqueda, consulte su identificador en la documentación de Defender for Cloud Apps API.
  • Puede agregar intervalos IP de forma masiva mediante la creación de un script mediante la API de intervalos de direcciones IP.
  • No se pueden agregar intervalos IP con direcciones IP superpuestas.
  • Para ver la documentación de la API, vaya a la documentación de la API.

Las etiquetas de direcciones IP integradas y las etiquetas IP personalizadas se consideran jerárquicamente. Las etiquetas IP personalizadas tienen prioridad sobre las etiquetas IP integradas. Por ejemplo, si una dirección IP se etiqueta como Arriesgada en función de la inteligencia sobre amenazas, pero hay una etiqueta IP personalizada que la identifica como Corporativa, la categoría personalizada y las etiquetas tienen prioridad.

Creación de un intervalo de direcciones IP

En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Sistema, seleccione Intervalos de direcciones IP. Seleccione Agregar intervalo de direcciones IP para agregar intervalos de direcciones IP y establezca los campos siguientes:

  1. Asigne un nombre al intervalo IP. El nombre no aparece en el registro de actividades. Solo se usa para administrar el intervalo IP.

  2. Escriba cada intervalo de direcciones IP que desee configurar. Puede agregar tantas direcciones IP y subredes como desee mediante la notación de prefijo de red (también conocida como notación CIDR), por ejemplo, 192.168.1.0/32.

  3. Las categorías se usan para reconocer fácilmente las actividades de direcciones IP importantes en los registros y alertas. Las categorías están disponibles en el portal. Sin embargo, normalmente requieren la configuración del usuario para determinar qué direcciones IP se incluyen en cada categoría. La excepción a esta configuración es la categoría De riesgo , que incluye dos etiquetas IP: proxy anónimo y Tor.

    Están disponibles las siguientes categorías:

    • Administrativo: estas direcciones IP deben ser todas las direcciones IP usadas por los administradores.

    • Proveedor de nube: estas direcciones IP deben ser las direcciones IP usadas por el proveedor de nube. Aplique esta categoría si el proveedor de nube no se identifica automáticamente.

    • Corporativo: estas direcciones IP deben ser todas las direcciones IP públicas de la red interna, las sucursales y las direcciones móviles de Wi-Fi.

    • De riesgo: estas direcciones IP deben ser las direcciones IP que considere de riesgo. Pueden incluir direcciones IP sospechosas que ha visto en el pasado, direcciones IP en las redes de sus competidores, etc.

    • VPN: estas direcciones IP deben ser las direcciones IP que use para los trabajadores remotos. Con esta categoría, puede evitar generar alertas de viaje imposibles cuando los empleados se conecten desde sus ubicaciones principales a través de la VPN corporativa.

    Para incluir el intervalo IP en una categoría, seleccione una categoría en el menú desplegable.

  4. Para etiquetar las actividades de estas direcciones IP, escriba una etiqueta. Al escribir una palabra en el cuadro, se crea la etiqueta . Una vez que ya tenga una etiqueta configurada, puede agregarla fácilmente a intervalos IP adicionales si la elige de la lista. Puede agregar más de una etiqueta IP para cada intervalo. Las etiquetas IP se pueden usar al crear directivas. Junto con las etiquetas IP que configure, Defender for Cloud Apps tiene etiquetas integradas que no se pueden configurar. Puede ver la lista de etiquetas en el filtro Etiquetas IP.

    Nota

    • Las etiquetas IP se agregan a la actividad sin invalidar los datos.
    • Se pueden aplicar varias etiquetas en el mismo intervalo IP.
  5. Para invalidar el ISP registrado o invalidar la ubicación o para estas direcciones, active la casilla correspondiente. Por ejemplo, si tiene una dirección IP que se considera públicamente en Irlanda, pero sabe que la dirección IP está en EE. UU. Invalidará la ubicación de ese intervalo de direcciones IP. O bien, si no desea que un intervalo de direcciones IP esté asociado a un ISP registrado, puede invalidar el ISP registrado.

  6. Cuando haya terminado, seleccione Crear.

    newipaddress range.

Pasos siguientes

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.