Utilisation des balises et des plages d’adresses IP

  • Article

Pour identifier facilement les adresses IP connues, telles que celles de votre bureau, vous devez définir des plages d’adresses IP. Les plages d’adresses IP vous permettent de baliser, classer et personnaliser la façon dont les journaux et les alertes sont affichés et examinés. Chaque groupe de plages IP peut être classé selon une liste prédéfinie de catégories d’adresses IP. Vous pouvez également créer des balises IP personnalisées pour vos plages d’adresses IP. En outre, vous pouvez remplacer les informations de géolocalisation publiques en fonction de votre connaissance du réseau interne. IPv4 et IPv6 sont pris en charge.

Defender for Cloud Apps est préconfiguré avec des plages d’adresses IP intégrées pour les fournisseurs de cloud répandus comme Azure et Microsoft 365. De plus, nous avons des balises intégrées basées sur Microsoft Threat Intelligence, notamment pour le proxy anonyme, Botnet et Tor. Vous pouvez voir la liste complète dans la liste déroulante de la page des plages d’adresses IP.

Remarque

  • Pour utiliser ces balises intégrées dans le cadre d’une recherche, reportez-vous à leur ID dans la documentation des API Defender for Cloud Apps.
  • Vous pouvez ajouter des plages d’adresses IP en bloc en créant un script à l’aide de l’API des plages d’adresses IP.
  • Vous ne pouvez pas ajouter de plages d’adresses IP avec des adresses IP qui se chevauchent.
  • Pour afficher la documentation de l’API, accédez à la documentation de l’API.

Les balises d’adresse IP intégrées et les balises IP personnalisées sont considérées de manière hiérarchique. Les balises IP personnalisées sont prioritaires par rapport aux balises IP intégrées. Par exemple, si une adresse IP est marquée comme étant Risquée en fonction de l’intelligence des menaces, mais qu’il existe une balise IP personnalisée qui l’identifie comme appartenant à l’Entreprise, les balises et la catégorie personnalisées sont prioritaires.

Créer une plage d’adresses IP

Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Système, sélectionnez plages d’adresses IP. Sélectionnez Ajouter une plage d’adresses IP pour ajouter des plages d’adresses IP et définissez les champs suivants :

  1. Affectez un Nom à votre plage IP. Le nom n’apparaît pas dans le journal des activités. Il est utilisé uniquement pour gérer votre plage d’adresses IP.

  2. Entrez chaque plage d’adresses IP que vous souhaitez configurer. Vous pouvez ajouter autant d’adresses et de sous-réseaux IP que vous le souhaitez en utilisant la notation de préfixe réseau (également appelée notation CIDR), par exemple 192.168.1.0/32.

  3. Les Catégories sont utilisées pour reconnaître facilement les activités à partir d’adresses IP importantes dans vos journaux et alertes. Les catégories sont disponibles dans le portail. Toutefois, elles nécessitent généralement une configuration de la part de l’utilisateur afin de déterminer quelles adresses IP sont incluses dans chaque catégorie. L’exception à cette configuration est la catégorie Risqué, qui comprend deux balises IP : proxy anonyme et Tor.

    Les catégories disponibles sont les suivantes :

    • Administratif : toutes les adresses IP utilisées par vos administrateurs.

    • Fournisseur de cloud : adresses IP utilisées par votre fournisseur de cloud. Appliquez cette catégorie si votre fournisseur de cloud n’est pas identifié automatiquement.

    • Entreprise : toutes les adresses IP publiques de votre réseau interne, de vos succursales et de vos adresses d’itinérance Wi-Fi.

    • Risqué : toutes les adresses IP que vous considérez comme risquées. Celles-ci peuvent inclure les adresses IP suspectes déjà constatées, les adresses IP appartenant aux réseaux de vos concurrents, et ainsi de suite.

    • VPN : toutes les adresses IP que vous utilisez pour les télétravailleurs. En utilisant cette catégorie, vous pouvez éviter de déclencher des alertes de voyage impossible lorsque les employés se connectent à partir de leurs emplacements de domicile via le VPN de société.

    Pour inclure la plage IP dans une catégorie, sélectionnez une catégorie dans le menu déroulant.

  4. Pour étiqueter les activités liées à ces adresses IP, entrez une étiquette. Il suffit d’entrer un mot dans la zone pour créer l’étiquette. Une fois l’étiquette configurée, vous pouvez l’ajouter facilement à des plages IP supplémentaires en la sélectionnant dans la liste. Vous pouvez ajouter plusieurs balises IP pour chaque plage. Vous pouvez utiliser des balises IP quand vous créez des stratégies. En plus des balises IP que vous configurez, Defender for Cloud Apps a des balises intégrées qui ne sont pas configurables. Vous pouvez voir la liste des étiquettes sous le filtre d’étiquettes IP.

    Remarque

    • Les balises IP sont ajoutées à l’activité sans remplacer les données.
    • Plusieurs balises peuvent être appliquées sur la même plage d’adresses IP.

  5. Pour remplacer l’ISP enregistré, pour remplacer l’emplacement ou pour ces adresses, sélectionnez la case à cocher appropriée. Par exemple, si vous avez une adresse IP publiquement considérée en Irlande, mais que vous savez que qu’elle se trouve aux États-Unis. Vous allez remplacer l’emplacement de cette plage d’adresses IP. Ou si vous ne souhaitez pas qu’une plage d’adresses IP soit associée à un ISP enregistré, vous pouvez remplacer l’ISP enregistré.

  6. Sélectionnez Créer lorsque vous avez terminé.

    newipaddress range.

Étapes suivantes

Configurer Cloud Discovery

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.