物理オフィスの IP アドレスなど、既知の IP アドレスを簡単に識別するには、IP アドレス範囲を設定する必要があります。 IP アドレス範囲を使用すると、ログとアラートの表示方法と調査方法をタグ付け、分類、カスタマイズできます。 IP 範囲の各グループは、IP カテゴリのプリセット リストに基づいて分類できます。 IP 範囲のカスタム IP タグを作成することもできます。 また、内部ネットワークの知識に基づいて、パブリック位置情報をオーバーライドすることもできます。 IPv4 と IPv6 の両方がサポートされています。
Defender for Cloud Appsには、Azure や Microsoft 365 などの一般的なクラウド プロバイダー向けの組み込みの IP 範囲が事前に構成されています。 さらに、匿名プロキシ、Botnet、Tor など、Microsoft の脅威インテリジェンスに基づく組み込みのタグ付けも用意されています。 [IP アドレス範囲] ページのドロップダウンに完全な一覧が表示されます。
注意
これらの組み込みタグを検索の一部として使用するには、Defender for Cloud Apps API ドキュメントの ID を参照してください。
IP アドレス範囲 API を使用してスクリプトを作成することで 、IP 範囲を一括で追加できます。
組み込みの IP アドレス タグとカスタム IP タグは、階層的に考慮されます。 カスタム IP タグは、組み込みの IP タグよりも優先されます。 たとえば、脅威インテリジェンスに基づいて IP アドレスに Risky というタグが付けられているが、 それを企業として識別するカスタム IP タグがある場合は、カスタム カテゴリとタグが優先されます。
IP アドレス範囲を作成する
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ システム] で、[ IP アドレス範囲] を選択します。 [ IP アドレス範囲の追加] を選択して IP アドレス範囲を追加し、次のフィールドを設定します。
IP 範囲に名前を付けます。 アクティビティ ログに名前が表示されません。 IP 範囲の管理にのみ使用されます。
構成する各 IP アドレス範囲 を入力します。 ネットワーク プレフィックス表記 (CIDR 表記とも呼ばれます) (192.168.1.0/32 など) を使用して、必要な数の IP アドレスとサブネットを追加できます。
カテゴリ は、ログとアラートの重要な IP アドレスからアクティビティを簡単に認識するために使用されます。 カテゴリはポータルで使用できます。 ただし、通常、各カテゴリに含まれる IP アドレスを決定するには、ユーザー構成が必要です。 この構成の例外は、匿名プロキシと Tor という 2 つの IP タグを含む Risky カテゴリです。
次のカテゴリを使用できます。
管理: これらの IP は、管理者が使用するすべての IP アドレスである必要があります。
クラウド プロバイダー: これらの IP は、クラウド プロバイダーによって使用される IP アドレスである必要があります。 クラウド プロバイダーが自動的に識別されない場合は、このカテゴリを適用します。
企業: これらの IP は、内部ネットワーク、ブランチ オフィス、および Wi-Fi ローミング アドレスのすべてのパブリック IP アドレスである必要があります。
危険: これらの IP は、リスクがあると考えられる任意の IP アドレスである必要があります。 これには、過去に見た不審な IP アドレス、競合他社のネットワーク内の IP アドレスなどが含まれます。
VPN: これらの IP は、リモート ワーカーに使用する IP アドレスである必要があります。 このカテゴリを使用すると、従業員が会社の VPN を介して自宅の場所から接続するときに 、不可能な旅行 アラートを発生させないようにすることができます。
カテゴリに IP 範囲を含める場合は、ドロップダウン メニューからカテゴリを選択します。
これらの IP アドレスからアクティビティに タグ を付けるには、タグを入力します。 ボックスに単語を入力すると、タグが作成されます。 構成済みのタグを既に作成した後は、一覧から選択することで、追加の IP 範囲に簡単に追加できます。 範囲ごとに複数の IP タグを追加できます。 IP タグは、ポリシーを構築するときに使用できます。 構成する IP タグと共に、Defender for Cloud Appsには構成できない組み込みのタグがあります。
[IP タグ] フィルターの下にタグの一覧が表示されます。
注意
IP タグは、データをオーバーライドせずにアクティビティに追加されます。
同じ IP 範囲に複数のタグを適用できます。
[登録済みの ISP をオーバーライドする] または [場所をオーバーライドする] または [これらのアドレス] を選択するには、関連するチェック ボックスをオンにします。 たとえば、パブリックにアイルランドにあると見なされる IP アドレスがあるが、IP が米国にあることがわかっている場合です。 その IP アドレス範囲の場所をオーバーライドします。 または、登録された ISP に IP アドレス範囲を関連付けたくない場合は、登録されている ISP をオーバーライドできます。
This module examines how to implement Microsoft Defender for Cloud Apps, which identifies and combats cyberthreats across all your Microsoft and third-party cloud services. MS-102