Werken met IP-bereiken en -tags

  • Artikel

Als u gemakkelijk bekende IP-adressen wilt identificeren, zoals uw fysieke IP-adressen van kantoor, moet u IP-adresbereiken instellen. Met IP-adresbereiken kunt u taggen, categoriseren en aanpassen hoe logboeken en waarschuwingen worden weergegeven en onderzocht. Elke groep IP-bereiken kan worden gecategoriseerd op basis van een vooraf ingestelde lijst met IP-categorieën. U kunt ook aangepaste IP-tags maken voor uw IP-bereiken. Daarnaast kunt u openbare geolocatiegegevens overschrijven op basis van uw interne netwerkkennis. Zowel IPv4 als IPv6 worden ondersteund.

Defender voor Cloud-apps worden vooraf geconfigureerd met ingebouwde IP-bereiken voor populaire cloudproviders zoals Azure en Microsoft 365. Daarnaast hebben we ingebouwde tagging op basis van bedreigingsinformatie van Microsoft, waaronder anonieme proxy, Botnet en Tor. U ziet de volledige lijst in de vervolgkeuzelijst op de pagina IP-adresbereiken.

Notitie

  • Als u deze ingebouwde tags wilt gebruiken als onderdeel van een zoekopdracht, raadpleegt u de id in de api-documentatie van Defender voor Cloud Apps.
  • U kunt bulksgewijs IP-bereiken toevoegen door een script te maken met behulp van de API voor IP-adresbereiken.
  • U kunt geen IP-bereiken met overlappende IP-adressen toevoegen.
  • Als u de API-documentatie wilt bekijken, gaat u naar API-documentatie.

Ingebouwde IP-adrestags en aangepaste IP-tags worden hiërarchisch beschouwd. Aangepaste IP-tags hebben voorrang op ingebouwde IP-tags. Als een IP-adres bijvoorbeeld is gelabeld als Riskant op basis van bedreigingsinformatie, maar er een aangepaste IP-tag is die het als zakelijk identificeert, hebben de aangepaste categorie en tags voorrang.

Een IP-adresbereik maken

Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer onder Systeem IP-adresbereiken. Selecteer IP-adresbereik toevoegen om IP-adresbereiken toe te voegen en stel de volgende velden in:

  1. Geef uw IP-adresbereik een naam. De naam wordt niet weergegeven in het activiteitenlogboek. Het wordt alleen gebruikt om uw IP-bereik te beheren.

  2. Voer elk IP-adresbereik in dat u wilt configureren. U kunt zoveel IP-adressen en subnetten toevoegen als u wilt met behulp van de notatie voor netwerkvoorvoegsels (ook wel CIDR-notatie genoemd), bijvoorbeeld 192.168.1.0/32.

  3. Categorieën worden gebruikt om eenvoudig activiteiten van belangrijke IP-adressen in uw logboeken en waarschuwingen te herkennen. Categorieën zijn beschikbaar in de portal. Gebruikersconfiguratie is echter doorgaans vereist om te bepalen welke IP-adressen in elke categorie zijn opgenomen. De uitzondering op deze configuratie is de categorie Riskant , die twee IP-tags bevat: anonieme proxy en Tor.

    De volgende categorieën zijn beschikbaar:

    • Beheer istratief: deze IP-adressen moeten alle IP-adressen zijn die door uw beheerders worden gebruikt.

    • Cloudprovider: Deze IP-adressen moeten de IP-adressen zijn die worden gebruikt door uw cloudprovider. Pas deze categorie toe als uw cloudprovider niet automatisch wordt geïdentificeerd.

    • Bedrijf: Deze IP-adressen moeten alle openbare IP-adressen van uw interne netwerk, uw filialen en uw Wi-Fi-roamingadressen zijn.

    • Riskant: deze IP-adressen moeten alle IP-adressen zijn die u riskant acht. Ze kunnen verdachte IP-adressen bevatten die u in het verleden hebt gezien, IP-adressen in de netwerken van uw concurrenten, enzovoort.

    • VPN: Deze IP-adressen moeten alle IP-adressen zijn die u gebruikt voor externe werknemers. Door deze categorie te gebruiken, kunt u voorkomen dat onmogelijke reiswaarschuwingen worden gegenereerd wanneer werknemers verbinding maken vanaf hun thuislocaties via de zakelijke VPN.

    Als u het IP-bereik in een categorie wilt opnemen, selecteert u een categorie in de vervolgkeuzelijst.

  4. Om de activiteiten van deze IP-adressen te taggen, voert u een tag in. Als u een woord in het vak invoert, wordt de tag gemaakt. Nadat u al een geconfigureerde tag hebt, kunt u deze eenvoudig toevoegen aan extra IP-bereiken door deze in de lijst te kiezen. U kunt meer dan één IP-tag toevoegen voor elk bereik. IP-tags kunnen worden gebruikt tijdens het samenstellen van beleid. Naast IP-tags die u configureert, bevat Defender voor Cloud Apps ingebouwde tags die niet kunnen worden geconfigureerd. Onder IP tags filter (Filter voor IP-tags) wordt de lijst met tags weergegeven.

    Notitie

    • IP-tags worden toegevoegd aan de activiteit zonder gegevens te overschrijven.
    • Meerdere tags kunnen worden toegepast op hetzelfde IP-bereik.

  5. Als u de geregistreerde internetprovider wilt overschrijven of de locatie of voor deze adressen wilt overschrijven, schakelt u het relevante selectievakje in. Als u bijvoorbeeld een IP-adres hebt dat openbaar wordt beschouwd als in Ierland, maar u weet dat het IP-adres zich in de VS bevindt. U overschrijft de locatie voor dat IP-adresbereik. Als u niet wilt dat een IP-adresbereik wordt gekoppeld aan een geregistreerde internetprovider, kunt u de geregistreerde internetprovider overschrijven.

  6. Selecteer Maken als u klaar bent.

    newipaddress range.

Volgende stappen

Cloud Discovery instellen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.