Praca z zakresami adresów IP i tagami

  • Artykuł

Aby łatwo zidentyfikować znane adresy IP, takie jak fizyczne adresy IP biura, należy ustawić zakresy adresów IP. Zakresy adresów IP umożliwiają tagowanie, kategoryzowanie i dostosowywanie sposobu wyświetlania i badania dzienników oraz alertów. Każda grupa zakresów adresów IP może być kategoryzowana na podstawie wstępnie ustawionej listy kategorii adresów IP. Możesz również utworzyć niestandardowe tagi IP dla zakresów adresów IP. Ponadto można zastąpić publiczne informacje geolokalizacji na podstawie wiedzy o sieci wewnętrznej. Obsługiwane są protokoły IPv4 i IPv6.

usługa Defender dla Chmury Apps jest wstępnie skonfigurowana z wbudowanymi zakresami adresów IP dla popularnych dostawców usług w chmurze, takich jak Azure i Microsoft 365. Ponadto mamy wbudowane tagowanie oparte na analizie zagrożeń firmy Microsoft, w tym anonimowy serwer proxy, botnet i tor. Pełną listę można wyświetlić na liście rozwijanej na stronie Zakresy adresów IP.

Uwaga

  • Aby użyć tych wbudowanych tagów w ramach wyszukiwania, zapoznaj się z ich identyfikatorem w dokumentacji interfejsu API usługi Defender dla Chmury Apps.
  • Zakresy adresów IP można dodawać zbiorczo, tworząc skrypt przy użyciu interfejsu API zakresów adresów IP.
  • Nie można dodawać zakresów adresów IP z nakładającymi się adresami IP.
  • Aby wyświetlić dokumentację interfejsu API, przejdź do dokumentacji interfejsu API.

Wbudowane tagi adresów IP i niestandardowe tagi IP są traktowane hierarchicznie. Niestandardowe tagi IP mają pierwszeństwo przed wbudowanymi tagami adresów IP. Na przykład jeśli adres IP jest oznaczony jako Ryzykowny na podstawie analizy zagrożeń, ale istnieje niestandardowy tag IP, który identyfikuje go jako firmowe, kategoria niestandardowa i tagi mają pierwszeństwo.

Tworzenie zakresu adresów IP

W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze System wybierz pozycję Zakresy adresów IP. Wybierz pozycję Dodaj zakres adresów IP, aby dodać zakresy adresów IP i ustawić następujące pola:

  1. Nadaj nazwę zakresowi adresów IP. Nazwa nie jest wyświetlana w dzienniku działań. Służy tylko do zarządzania zakresem adresów IP.

  2. Wprowadź każdy zakres adresów IP, który chcesz skonfigurować. Używając notacji prefiksów sieciowych (nazywanej także notacją CIDR), można dodać dowolną liczbę adresów IP i podsieci, na przykład 192.168.1.0/32.

  3. Kategorie służą do łatwego rozpoznawania działań z ważnych adresów IP w dziennikach i alertach. Kategorie są dostępne w portalu. Jednak zazwyczaj wymagają one konfiguracji użytkownika w celu określenia, które adresy IP są uwzględnione w każdej kategorii. Wyjątkiem od tej konfiguracji jest kategoria Ryzykowna , która obejmuje dwa tagi IP — anonimowy serwer proxy i Tor.

    Dostępne są następujące kategorie:

    • Administracja istrative: te adresy IP powinny być wszystkimi adresami IP używanymi przez administratorów.

    • Dostawca usług w chmurze: te adresy IP powinny być adresami IP używanymi przez dostawcę usług w chmurze. Zastosuj tę kategorię, jeśli dostawca usług w chmurze nie zostanie automatycznie zidentyfikowany.

    • Firmowe: te adresy IP powinny być publicznymi adresami IP sieci wewnętrznej, oddziałami i adresami roamingu sieci Wi-Fi.

    • Ryzykowne: te adresy IP powinny być dowolnymi adresami IP, które uważasz za ryzykowne. Mogą one obejmować podejrzane adresy IP, które były widoczne w przeszłości, adresy IP w sieciach konkurencji itd.

    • Sieć VPN: te adresy IP powinny być dowolnymi adresami IP używanymi przez pracowników zdalnych. Korzystając z tej kategorii, można uniknąć zgłaszania niemożliwych alertów podróży , gdy pracownicy łączą się ze swoich lokalizacji domowych za pośrednictwem firmowej sieci VPN.

    Aby uwzględnić zakres adresów IP w kategorii, wybierz kategorię z menu rozwijanego.

  4. Wprowadź Tag, aby oznaczyć działania pochodzące z tych adresów IP. Wprowadzenie wyrazu w tym polu spowoduje utworzenie tagu. Po skonfigurowaniu tagu można go łatwo dodać do dodatkowych zakresów adresów IP, wybierając go z listy. Dla każdego zakresu można dodać więcej niż jeden tag IP. Tagów adresów IP można używać podczas tworzenia zasad. Oprócz skonfigurowanych tagów IP Defender dla Chmury Apps ma wbudowane tagi, których nie można skonfigurować. Listę tagów można wyświetlić w obszarze Filtr tagów adresów IP.

    Uwaga

    • Tagi adresów IP są dodawane do działania bez zastępowania danych.
    • W tym samym zakresie adresów IP można zastosować wiele tagów.

  5. Aby zastąpić zarejestrowaną usługodawcę isp lub zastąpić lokalizację lub dla tych adresów, zaznacz odpowiednie pole wyboru. Jeśli na przykład masz adres IP, który jest uznawany publicznie za w Irlandii, ale wiesz, że adres IP znajduje się w USA. Zastąpisz lokalizację tego zakresu adresów IP. Jeśli nie chcesz, aby zakres adresów IP był skojarzony z zarejestrowanym usługodawcą internetowy, możesz zastąpić zarejestrowaną usługodawcę internetowy.

  6. Po zakończeniu wybierz Utwórz.

    newipaddress range.

Następne kroki

Konfigurowanie rozwiązania Cloud Discovery

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.