Trabalhar com tags e intervalos de IP

  • Artigo

Para identificar com facilidade endereços IP conhecidos, como os endereços IP de seu escritório físico, você precisa definir intervalos de endereços IP. Os intervalos de endereços IP permitem que você marque, categorize e personalize a maneira como os logs e os alertas são exibidos e investigados. Cada grupo de intervalos de IP pode ser categorizado com base em uma lista predefinida de categorias de IP. Você também pode criar marcas de IP personalizadas para seus intervalos de IP. Além disso, você pode substituir as informações públicas de localização geográfica com base em seu conhecimento da rede interna. Há suporte para IPv4 e IPv6.

O Defender para Aplicativos de Nuvem é pré-configurado com intervalos de IP internos de provedores de nuvem populares, como o Azure e o Microsoft 365. Além disso, temos marcação interna baseada na inteligência contra ameaças da Microsoft, incluindo proxy anônimo, Botnet e Tor. Veja a lista completa no menu suspenso na página de intervalos de endereços IP.

Observação

  • Para usar essas tags internas como parte de uma pesquisa, veja a ID na documentação da API do Defender para Aplicativos de Nuvem.
  • Você pode adicionar intervalos de IP em massa por meio da criação de um script usando a API de intervalos de endereço IP.
  • Não é possível adicionar intervalos de IP com endereços IP sobrepostos.
  • Para exibir a documentação da API, acesse a documentação da API.

As marcas de endereço IP internas e as marcas de IP personalizadas são consideradas de maneira hierárquica. As marcas de IP personalizadas têm precedência sobre as marcas de IP internas. Por exemplo, se um endereço IP estiver marcado como De risco com base na inteligência contra ameaças, mas houver uma marca de IP personalizada que o identifica como Corporativo, as marcas e a categoria personalizadas terão precedência.

Criar um intervalo de endereços IP

No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Sistema, selecione Intervalos de endereços IP. Selecione Adicionar intervalo de endereços IP para adicionar intervalos de endereços IP e defina os campos a seguir.

  1. Atribua um Nome ao seu intervalo de IP. O nome não aparece no log de atividades. Ele é usado apenas para gerenciar seu intervalo de IP.

  2. Insira cada intervalo de endereços IP que deseja configurar. Você pode adicionar quantos endereços IP e sub-redes desejar usando a notação de prefixo de rede (também conhecida como notação CIDR), por exemplo, 192.168.1.0/32.

  3. As categorias são usadas para reconhecer com facilidade as atividades de endereços IP importantes nos logs e alertas. As categorias estão disponíveis no portal. No entanto, elas geralmente exigem a configuração de usuário para determinar quais endereços IP estão incluídos em cada categoria. A exceção a essa configuração é a categoria De risco, que inclui duas tags de IP: proxy anônimo e Tor.

    As seguintes categorias estão disponíveis:

    • Administrativos: esses IPs devem ser todos os endereços IP dos administradores.

    • Provedor de nuvem: esses IPs devem ser os endereços IP usados por seu provedor de nuvem. Aplique essa categoria se o seu provedor de nuvem não for identificado automaticamente.

    • Corporativos: esses IPs devem ser todos os endereços IP de sua rede interna, suas filiais e seus endereços de roaming de Wi-Fi.

    • De risco: esses IPs devem ser todos os endereços IP que você considere apresentar riscos. Eles podem incluir endereços IP suspeitos vistos no passado, endereços IP em redes de seus concorrentes, etc.

    • VPN: esses IPs devem ser todos os endereços IP usados para funcionários remotos. Ao usar essa categoria, você pode evitar alertas de viagem impossível quando os funcionários se conectam de suas localizações de origem por meio da VPN corporativa.

    Para incluir o intervalo de IP em uma categoria de IP, selecione uma categoria no menu suspenso.

  4. Para Marcar as atividades desses endereços IP, insira uma marca. Inserir uma palavra na caixa cria a marca. Depois que já tiver uma marca configurada, você poderá adicioná-la facilmente a intervalos de IP adicionais selecionando-a na lista. Você pode adicionar mais de uma tag de IP para cada intervalo. As marcas de IP podem ser usadas ao criar políticas. Assim como as tags de IP que você configura, o Defender para Aplicativos de Nuvem tem tags internas que não são configuráveis. Você pode ver a lista de marcações em Filtro de marcações de IP.

    Observação

    • As marcas de IP são adicionadas à atividade sem substituir os dados.
    • Várias tags podem ser aplicadas no mesmo intervalo de IP.

  5. Para Substituir o ISP registrado ou Substituir a localização desses endereços, marque a caixa de seleção relevante. Por exemplo, se você tiver um endereço IP que é considerado publicamente como sendo da Irlanda, mas você sabe que é dos Estados Unidos, você poderá substituir essa configuração. Você substituirá a localização para esse intervalo de endereços IP. Como alternativa, se não quiser que um intervalo de endereços IP seja associado a um ISP registrado, poderá substituir o ISP registrado.

  6. Quando terminar, selecione Criar.

    newipaddress range.

Próximas etapas

Configurar Cloud Discovery

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.