Usare gli intervalli IP e i tag
Per identificare facilmente gli indirizzi IP noti, ad esempio gli indirizzi IP dell'ufficio fisico, è necessario impostare intervalli di indirizzi IP. Gli intervalli di indirizzi IP consentono di contrassegnare, classificare e personalizzare il modo in cui vengono visualizzati e analizzati i log e gli avvisi. Ogni gruppo di intervalli IP può essere categorizzato in base a un elenco predefinito di categorie IP. È anche possibile creare tag IP personalizzati per gli intervalli IP. Inoltre, è possibile ignorare le informazioni sulla georilevazione pubblica in base alle conoscenze della rete interna. Sono supportati sia IPv4 che IPv6.
Defender for Cloud Apps è preconfigurato con intervalli IP predefiniti per i provider di servizi cloud più diffusi, ad esempio Azure e Microsoft 365. Inoltre, è disponibile l'assegnazione di tag incorporata basata su Intelligence sulle minacce Microsoft, tra cui proxy anonimo, Botnet e Tor. È possibile visualizzare l'elenco completo nell'elenco a discesa nella pagina Intervalli di indirizzi IP.
Nota
- Per usare questi tag predefiniti come parte di una ricerca, fare riferimento al relativo ID nella documentazione dell'API Defender for Cloud Apps.
- È possibile aggiungere gli intervalli IP in blocco creando uno script usando l'API intervalli di indirizzi IP.
- Non è possibile aggiungere intervalli IP con indirizzi IP sovrapposti.
- Per visualizzare la documentazione dell'API, passare alla documentazione dell'API.
I tag degli indirizzi IP predefiniti e i tag IP personalizzati vengono considerati gerarchicamente. I tag IP personalizzati hanno la precedenza sui tag IP predefiniti. Ad esempio, se un indirizzo IP è contrassegnato come rischioso in base all'intelligence sulle minacce, ma esiste un tag IP personalizzato che lo identifica come aziendale, la categoria e i tag personalizzati hanno la precedenza.
Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Sistema selezionare Intervalli di indirizzi IP. Selezionare Aggiungi intervallo di indirizzi IP per aggiungere intervalli di indirizzi IP e impostare i campi seguenti:
Assegnare un nome all'intervallo IP. Il nome non viene visualizzato nel log attività. Viene usato solo per gestire l'intervallo IP.
Immettere ogni intervallo di indirizzi IP da configurare. È possibile aggiungere tutti gli indirizzi IP e le subnet desiderate usando la notazione del prefisso di rete (nota anche come notazione CIDR), ad esempio 192.168.1.0/32.
Le categorie vengono usate per riconoscere facilmente le attività da indirizzi IP importanti nei log e negli avvisi. Le categorie sono disponibili nel portale. In genere, tuttavia, richiedono la configurazione dell'utente per determinare quali indirizzi IP sono inclusi in ogni categoria. L'eccezione a questa configurazione è la categoria Rischiosa , che include due tag IP: Proxy anonimo e Tor.
Sono disponibili le categorie seguenti:
Amministrativo: questi INDIRIZZI IP devono essere tutti gli indirizzi IP usati dagli amministratori.
Provider di servizi cloud: questi indirizzi IP devono essere gli indirizzi IP usati dal provider di servizi cloud. Applicare questa categoria se il provider di servizi cloud non viene identificato automaticamente.
Aziendale: questi indirizzi IP devono essere tutti gli indirizzi IP pubblici della rete interna, delle succursali e degli indirizzi mobili Wi-Fi.
Rischioso: questi indirizzi IP devono essere qualsiasi indirizzo IP che si consideri rischioso. Possono includere indirizzi IP sospetti visti in passato, indirizzi IP nelle reti della concorrenza e così via.
VPN: questi indirizzi IP devono essere qualsiasi indirizzo IP usato per i lavoratori remoti. Usando questa categoria, è possibile evitare di generare avvisi di viaggio impossibili quando i dipendenti si connettono dalle loro località di casa tramite la VPN aziendale.
Per includere l'intervallo IP in una categoria, selezionare una categoria dal menu a discesa.
Per contrassegnare le attività da questi indirizzi IP, immettere un tag. L'immissione di una parola nella casella crea il tag . Dopo aver già configurato un tag, è possibile aggiungerlo facilmente a intervalli IP aggiuntivi scegliendolo dall'elenco. È possibile aggiungere più tag IP per ogni intervallo. I tag IP possono essere usati durante la compilazione di criteri. Insieme ai tag IP configurati, Defender for Cloud Apps dispone di tag predefiniti che non sono configurabili. È possibile visualizzare l'elenco dei tag nel filtro dei tag IP.
Nota
- I tag IP vengono aggiunti all'attività senza eseguire l'override dei dati.
- È possibile applicare più tag allo stesso intervallo IP.
Per eseguire l'override dell'ISP registrato o sostituire il percorso o per questi indirizzi, selezionare la casella di controllo pertinente. Ad esempio, se si dispone di un indirizzo IP che viene considerato pubblicamente in Irlanda, ma si sa che l'INDIRIZZO IP si trova negli Stati Uniti. Si eseguirà l'override della posizione per l'intervallo di indirizzi IP. In alternativa, se non si vuole associare un intervallo di indirizzi IP a un ISP registrato, è possibile eseguire l'override dell'ISP registrato.
Al termine, selezionare Crea.
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.