Uso di intervalli e tag IP

  • Articolo

Per identificare facilmente gli indirizzi IP noti, ad esempio gli indirizzi IP dell'ufficio, è necessario impostare intervalli di indirizzi IP. Gli intervalli di indirizzi IP consentono di contrassegnare con tag, categorizzare e personalizzare il modo in cui sono visualizzati e analizzati gli avvisi e i registri. Ogni gruppo di intervalli di indirizzi IP può essere categorizzato in base a un elenco predefinito di categorie IP. È anche possibile creare tag IP personalizzati per gli intervalli di indirizzi IP. Inoltre, è possibile eseguire l'override delle informazioni sulla georilevazione pubblica in base alle conoscenze della rete interna. IPv4 e IPv6 sono entrambi supportati.

Defender per il cloud App è preconfigurata con intervalli IP predefiniti per provider di servizi cloud più diffusi, ad esempio Azure e Microsoft 365. Inoltre, sono disponibili tag predefiniti in base all'intelligence per le minacce di Microsoft tra cui proxy anonimi, Botnet e Tor. È possibile visualizzare l'elenco completo nell'elenco a discesa nella pagina degli intervalli di indirizzi IP.

Nota

  • Per usare questi tag predefiniti come parte di una ricerca, fare riferimento al relativo ID nella documentazione dell'API delle app di Defender per il cloud.
  • È possibile aggiungere intervalli IP in blocco creando uno script tramite l'API degli intervalli di indirizzi IP.
  • Non è possibile aggiungere intervalli IP con indirizzi IP sovrapposti.
  • Per visualizzare la documentazione dell'API, passare alla documentazione dell'API.

I tag degli indirizzi IP predefiniti e i tag IP personalizzati vengono considerati in ordine gerarchico. I tag IP personalizzati hanno la precedenza sui tag IP predefiniti. Ad esempio, se un indirizzo IP è Rischioso in base all'intelligence per le minacce ma è presente un tag IP personalizzato che lo identifica come Aziendale, la categoria e i tag personalizzati hanno la precedenza.

Creare un intervallo di indirizzi IP

Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Sistema selezionare Intervalli di indirizzi IP. Selezionare Aggiungi intervallo di indirizzi IP per aggiungere intervalli di indirizzi IP e impostare i campi seguenti:

  1. Specificare un nome per l'intervallo di IP. Il nome non viene visualizzato nel log attività. Viene usato solo per gestire l'intervallo IP.

  2. Immettere ogni intervallo di indirizzi IP da configurare. È possibile aggiungere tutti gli indirizzi IP e le subnet desiderate usando la notazione del prefisso di rete (nota anche come notazione CIDR), ad esempio 192.168.1.0/32.

  3. Le categorie vengono usate per riconoscere facilmente le attività da indirizzi IP importanti nei log e negli avvisi. Le categorie sono disponibili nel portale. Tuttavia, in genere richiedono la configurazione utente per determinare gli indirizzi IP inclusi in ogni categoria. L'eccezione a questa configurazione è la categoria Rischiosa , che include due tag IP: proxy anonimo e Tor.

    Sono disponibili le categorie seguenti:

    • Amministrazione istrative: questi indirizzi IP devono essere tutti gli indirizzi IP usati dagli amministratori.

    • Provider di servizi Cloud: include gli indirizzi IP usati dal provider di servizi cloud. Applicare questa categoria se il provider di servizi cloud non viene identificato automaticamente.

    • Aziendale: questi indirizzi IP devono essere tutti gli indirizzi IP pubblici della rete interna, le succursali e gli indirizzi di roaming Wi-Fi.

    • Rischiosa: include tutti gli indirizzi IP considerati rischiosi. Possono essere inclusi gli indirizzi IP sospetti visti in precedenza, gli indirizzi IP delle reti della concorrenza e così via.

    • VPN: include tutti gli indirizzi IP usati per gli utenti remoti. Usando questa categoria, è possibile evitare di generare avvisi di viaggio impossibili quando i dipendenti si connettono dalle loro sedi di casa tramite la VPN aziendale.

    Per includere l'intervallo IP in una categoria, selezionare una categoria dal menu a discesa.

  4. Per contrassegnare le attività provenienti da questi indirizzi IP, immettere un tag. Quando si immette una parola nella casella, viene creato il tag. Dopo aver configurato un tag, è possibile aggiungerlo facilmente a intervalli IP aggiuntivi selezionandolo dall'elenco. È possibile aggiungere più tag IP per ogni intervallo. I tag IP possono essere usati durante la creazione di criteri. Oltre ai tag IP configurati, Defender per il cloud Le app hanno tag predefiniti che non sono configurabili. È possibile visualizzare l'elenco dei tag nel filtro dei tag IP.

    Nota

    • I tag IP vengono aggiunti all'attività senza eseguire l'override dei dati.
    • È possibile applicare più tag allo stesso intervallo IP.

  5. Per eseguire l'override dell'ISP registrato o Eseguire l'override del percorso o di questi indirizzi, selezionare la casella di controllo pertinente. Ad esempio, se si ha un indirizzo IP considerato pubblicamente in Irlanda, ma si sa che l'IP si trova negli Stati Uniti. Verrà ignorato il percorso per l'intervallo di indirizzi IP. In alternativa, se non si vuole associare un intervallo di indirizzi IP a un ISP registrato, è possibile eseguire l'override dell'ISP registrato.

  6. Al termine, seleziona Crea.

    newipaddress range.

Passaggi successivi

Configurare Cloud Discovery

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.