Trabalhando com intervalos e tags IP

  • Artigo

Para identificar facilmente endereços IP conhecidos, como os endereços IP do escritório físico, você precisa definir intervalos de endereços IP. Os intervalos de endereços IP permitem-lhe etiquetar, categorizar e personalizar a forma como os registos e alertas são apresentados e investigados. Cada grupo de intervalos de IP pode ser categorizado com base em uma lista predefinida de categorias de IP. Você também pode criar tags IP personalizadas para seus intervalos de IP. Além disso, você pode substituir informações de geolocalização pública com base em seu conhecimento de rede interna. O IPv4 e o IPv6 são suportados.

O Defender for Cloud Apps vem pré-configurado com intervalos de IP integrados para provedores de nuvem populares, como Azure e Microsoft 365. Além disso, temos marcação integrada com base na inteligência de ameaças da Microsoft, incluindo proxy anônimo, Botnet e Tor. Você pode ver a lista completa na lista suspensa na página de intervalos de endereços IP.

Nota

  • Para usar essas tags internas como parte de uma pesquisa, consulte sua ID na documentação da API do Defender for Cloud Apps.
  • Você pode adicionar intervalos de IP em massa criando um script usando a API de intervalos de endereços IP.
  • Não é possível adicionar intervalos de IP com endereços IP sobrepostos.
  • Para visualizar a documentação da API, vá para a documentação da API.

As tags de endereço IP integradas e as tags IP personalizadas são consideradas hierarquicamente. As tags IP personalizadas têm precedência sobre as tags IP integradas. Por exemplo, se um endereço IP for marcado como Arriscado com base em informações sobre ameaças, mas houver uma tag IP personalizada que o identifique como Corporativo, a categoria e as tags personalizadas terão precedência.

Criar um intervalo de endereços IP

No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Sistema, selecione Intervalos de endereços IP. Selecione Adicionar intervalo de endereços IP para adicionar intervalos de endereços IP e defina os seguintes campos:

  1. Dê um Nome ao intervalo de IP. O nome não aparece no registro de atividades. Ele é usado apenas para gerenciar seu intervalo de IP.

  2. Insira cada intervalo de endereços IP que deseja configurar. Pode adicionar o número de endereços IP e sub-redes que quiser através da notação de prefixo de rede (também conhecida como "notação CIDR"), por exemplo, 192.168.1.0/32.

  3. As categorias são usadas para reconhecer facilmente atividades de endereços IP importantes em seus logs e alertas. As categorias estão disponíveis no portal. No entanto, eles normalmente exigem configuração do usuário para determinar quais endereços IP estão incluídos em cada categoria. A exceção a esta configuração é a categoria Arriscado, que inclui duas tags IP - proxy anônimo e Tor.

    Estão disponíveis as seguintes categorias:

    • Administrativo: Esses IPs devem ser todos os endereços IP usados pelos administradores.

    • Provedor de nuvem: esses IPs devem ser os endereços IP usados pelo seu provedor de nuvem. Aplique esta categoria se o seu fornecedor de serviços na nuvem não for identificado automaticamente.

    • Corporativo: esses IPs devem ser todos os endereços IP públicos de sua rede interna, suas filiais e seus endereços de roaming Wi-Fi.

    • Arriscado: Esses IPs devem ser quaisquer endereços IP que você considere arriscados. Eles podem incluir endereços IP suspeitos que você viu no passado, endereços IP nas redes de seus concorrentes e assim por diante.

    • VPN: Esses IPs devem ser quaisquer endereços IP que você usa para trabalhadores remotos. Ao usar essa categoria, você pode evitar gerar alertas de viagem impossíveis quando os funcionários se conectam de seus locais de origem por meio da VPN corporativa.

    Para incluir o intervalo de IP em uma categoria, selecione uma categoria no menu suspenso.

  4. Para etiquetar as atividades destes endereços IP, introduza uma etiqueta. A etiqueta é criada ao introduzir uma palavra na caixa. Depois de já ter uma tag configurada, você pode adicioná-la facilmente a intervalos de IP adicionais escolhendo-a na lista. Você pode adicionar mais de uma tag IP para cada intervalo. As etiquetas IP podem ser utilizadas na criação de políticas. Junto com as tags IP que você configura, o Defender for Cloud Apps tem tags integradas que não são configuráveis. Pode ver a lista de etiquetas no filtro de etiquetas IP.

    Nota

    • As tags IP são adicionadas à atividade sem substituir dados.
    • Várias tags podem ser aplicadas no mesmo intervalo de IP.

  5. Para substituir o ISP registrado ou substituir o local ou esses endereços, marque a caixa de seleção relevante. Por exemplo, se você tem um endereço IP que é considerado publicamente como estando na Irlanda, mas você sabe que o IP está nos EUA. Você substituirá o local desse intervalo de endereços IP. Ou se não quiser que um intervalo de endereços IP seja associado a um ISP registado, pode substituir o ISP registado.

  6. Quando tiver terminado, selecione Criar.

    newipaddress range.

Próximos passos

Configurar a Cloud Discovery

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.