Utilisation des plages d’adresses IP et des étiquettes

  • Article

Notes

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender et est accessible via son portail à l’adresse : https://security.microsoft.com. Microsoft 365 Defender met en corrélation les signaux de la suite Microsoft Defender entre les points de terminaison, les identités, la messagerie et les applications SaaS pour fournir des fonctionnalités de détection au niveau des incidents, d’investigation et de réponse puissantes. Il améliore votre efficacité opérationnelle grâce à une meilleure hiérarchisation et à des temps de réponse plus courts qui protègent vos organization plus efficacement. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

Pour identifier facilement les adresses IP connues, telles que celles de votre bureau, vous devez définir des plages d’adresses IP. Les plages d’adresses IP vous permettent de baliser, classer et personnaliser la façon dont les journaux et les alertes sont affichés et examinés. Chaque groupe de plages IP peut être classé selon une liste prédéfinie de catégories d’adresses IP. Vous pouvez également créer des balises IP personnalisées pour vos plages d’adresses IP. En outre, vous pouvez remplacer les informations de géolocalisation publiques en fonction des connaissances de votre réseau interne. IPv4 et IPv6 sont pris en charge.

Defender pour cloud Apps est préconfiguré avec des plages d’adresses IP intégrées pour les fournisseurs de cloud populaires tels qu’Azure et Office 365. De plus, nous avons des balises intégrées basées sur Microsoft Threat Intelligence, notamment pour le proxy anonyme, Botnet et Tor. Vous pouvez voir la liste complète dans la liste déroulante de la page des plages d’adresses IP.

Notes

  • Pour utiliser ces balises intégrées dans le cadre d’une recherche, reportez-vous à leur ID dans la documentation de l’API Defender for Cloud Apps.
  • Vous pouvez ajouter des plages d’adresses IP en bloc en créant un script à l’aide de l’API plages d’adresses IP.
  • Vous ne pouvez pas ajouter de plages d’adresses IP avec des adresses IP qui se chevauchent.
  • Pour afficher la documentation de l’API, accédez à la documentation de l’API.

Les balises d’adresse IP intégrées et les balises IP personnalisées sont considérées de manière hiérarchique. Les balises IP personnalisées sont prioritaires par rapport aux balises IP intégrées. Par exemple, si une adresse IP est marquée comme étant Risquée en fonction de l’intelligence des menaces, mais qu’il existe une balise IP personnalisée qui l’identifie comme appartenant à l’Entreprise, les balises et la catégorie personnalisées sont prioritaires.

Créer une plage d’adresses IP

Dans le portail Microsoft 365 Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Système, sélectionnez Plages d’adresses IP. Sélectionnez Ajouter une plage d’adresses IP pour ajouter des plages d’adresses IP et définissez les champs suivants :

  1. Affectez un Nom à votre plage IP. Le nom n’apparaît pas dans le journal des activités. Il est utilisé uniquement pour gérer votre plage d’adresses IP.

  2. Entrez chaque plage d’adresses IP que vous souhaitez configurer. Vous pouvez ajouter autant d’adresses et de sous-réseaux IP que vous le souhaitez en utilisant la notation de préfixe réseau (également appelée notation CIDR), par exemple 192.168.1.0/32.

  3. Les catégories sont utilisées pour reconnaître facilement les activités à partir d’adresses IP importantes dans vos journaux et alertes. Les catégories sont disponibles dans le portail. Toutefois, elles nécessitent généralement une configuration de la part de l’utilisateur afin de déterminer quelles adresses IP sont incluses dans chaque catégorie. L’exception à cette configuration est la catégorie à risque , qui comprend deux balises IP : proxy anonyme et Tor.

    Les catégories disponibles sont les suivantes :

    • Administrative : ces adresses IP doivent être toutes les adresses IP utilisées par vos administrateurs.

    • Fournisseur de cloud : adresses IP utilisées par votre fournisseur de cloud. Appliquez cette catégorie si votre fournisseur de cloud n’est pas identifié automatiquement.

    • Entreprise : ces adresses IP doivent être toutes les adresses IP publiques de votre réseau interne, de vos filiales et de vos adresses d’itinérance Wi-Fi.

    • Risqué : toutes les adresses IP que vous considérez comme risquées. Celles-ci peuvent inclure les adresses IP suspectes déjà constatées, les adresses IP appartenant aux réseaux de vos concurrents, et ainsi de suite.

    • VPN : toutes les adresses IP que vous utilisez pour les télétravailleurs. En utilisant cette catégorie, vous pouvez éviter de déclencher des alertes de déplacement impossibles lorsque les employés se connectent à partir de leur emplacement d’origine via le VPN d’entreprise.

    Pour inclure la plage d’adresses IP dans une catégorie, sélectionnez une catégorie dans le menu déroulant.

  4. Pour étiqueter les activités liées à ces adresses IP, entrez une étiquette. Il suffit d’entrer un mot dans la zone pour créer l’étiquette. Une fois la balise configurée, vous pouvez l’ajouter facilement à des plages IP supplémentaires en la sélectionnant dans la liste. Vous pouvez ajouter plusieurs balises IP pour chaque plage. Vous pouvez utiliser des étiquettes IP quand vous créez des stratégies. En plus des balises IP que vous configurez, Defender pour cloud Apps a des balises intégrées qui ne sont pas configurables. Vous pouvez voir la liste des étiquettes sous le filtre d’étiquettes IP.

    Notes

    • Les balises IP sont ajoutées à l’activité sans remplacer les données.

  5. Pour Remplacer le fai inscrit ou Remplacer l’emplacement ou pour ces adresses, cochez la case appropriée. Par exemple, si vous avez une adresse IP qui est considérée publiquement comme étant en Irlande, mais que vous savez que l’adresse IP se trouve aux États-Unis. Vous allez remplacer l’emplacement de cette plage d’adresses IP. Ou si vous ne souhaitez pas qu’une plage d’adresses IP soit associée à un fai inscrit, vous pouvez remplacer le fai inscrit.

  6. Sélectionnez Créer lorsque vous avez terminé.

    plage newipaddress.

Étapes suivantes

Configurer Cloud Discovery

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.