Прочитать на английском

Поделиться через


Работа с диапазонами IP-адресов и тегами

Чтобы легко определить известные IP-адреса, например физические IP-адреса office, необходимо задать диапазоны IP-адресов. Диапазоны IP-адресов позволяют отмечать, классифицировать и настраивать способ отображения и изучения журналов и оповещений. Каждую группу диапазонов IP-адресов можно классифицировать на основе предустановленного списка категорий IP-адресов. Вы также можете создавать настраиваемые теги IP-адресов для диапазонов IP-адресов. Кроме того, вы можете переопределить общедоступную информацию о географическом расположении на основе знаний о внутренней сети. Поддерживаются протоколы IPv4 и IPv6.

Defender for Cloud Apps поставляется с предварительно настроенными встроенными диапазонами IP-адресов для популярных поставщиков облачных служб, таких как Azure и Microsoft 365. Кроме того, у нас есть встроенные теги на основе аналитики угроз Майкрософт, включая анонимный прокси-сервер, Botnet и Tor. Полный список можно просмотреть в раскрывающемся списке на странице Диапазоны IP-адресов.

Примечание

  • Чтобы использовать эти встроенные теги в процессе поиска, ознакомьтесь с их идентификаторами в документации по API Defender for Cloud Apps.
  • Вы можете добавить диапазоны IP-адресов в пакетном режиме, создав скрипт с помощью API диапазонов IP-адресов.
  • Нельзя добавлять диапазоны IP-адресов с перекрывающимися IP-адресами.
  • Чтобы просмотреть документацию по API, перейдите к документации по API.

Встроенные теги IP-адресов и пользовательские теги IP-адресов считаются иерархическими. Пользовательские теги IP-адресов имеют приоритет над встроенными тегами IP-адресов. Например, если IP-адрес помечен как рискованный на основе аналитики угроз, но есть настраиваемый IP-тег, который идентифицирует его как корпоративный, приоритет имеют настраиваемые категории и теги.

Создание диапазона IP-адресов

На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Система выберите Диапазоны IP-адресов. Выберите Добавить диапазон IP-адресов , чтобы добавить диапазоны IP-адресов и задайте следующие поля:

  1. Присвойте имя диапазону IP-адресов. Имя не отображается в журнале действий. Он используется только для управления диапазоном IP-адресов.

  2. Введите каждый диапазон IP-адресов , который требуется настроить. Можно добавить любое количество IP-адресов и подсетей с помощью нотации префикса сети (также известной как нотация CIDR), например 192.168.1.0/32.

  3. Категории используются для легкого распознавания действий с важных IP-адресов в журналах и оповещениях. Категории доступны на портале. Однако обычно для определения IP-адресов, включенных в каждую категорию, требуется настройка пользователя. Исключением из этой конфигурации является категория Risky , которая включает два IP-тега — Анонимный прокси-сервер и Tor.

    Доступны следующие категории:

    • Административные. Эти IP-адреса должны быть всеми IP-адресами, используемыми администраторами.

    • Поставщик облачных служб. Эти IP-адреса должны быть IP-адресами, используемыми поставщиком облачных служб. Примените эту категорию, если поставщик облачных служб не идентифицируется автоматически.

    • Корпоративный. Эти IP-адреса должны быть общедоступными IP-адресами внутренней сети, филиалов и Wi-Fi перемещаемых адресов.

    • Рискованные. Эти IP-адреса должны быть любыми IP-адресами, которые вы считаете рискованными. Они могут включать подозрительные IP-адреса, которые вы видели ранее, IP-адреса в сетях конкурентов и т. д.

    • VPN: эти IP-адреса должны быть любыми IP-адресами, которые вы используете для удаленных сотрудников. Используя эту категорию, вы можете избежать создания оповещений о невозможных поездках , когда сотрудники подключаются из своих домашних расположений через корпоративный VPN.

    Чтобы включить диапазон IP-адресов в категорию, выберите категорию в раскрывающемся меню.

  4. Чтобы пометить действия с этих IP-адресов, введите тег. При вводе слова в поле создается тег. После того как у вас уже есть настроенный тег, его можно легко добавить в дополнительные диапазоны IP-адресов, выбрав его из списка. Для каждого диапазона можно добавить несколько IP-тегов. Теги IP-адресов можно использовать при создании политик. Наряду с настроенными IP-тегами Defender for Cloud Apps имеет встроенные теги, которые невозможно настроить. Список тегов можно просмотреть в фильтре ip-тегов.

    Примечание

    • Ip-теги добавляются в действие без переопределения данных.
    • В одном диапазоне IP-адресов можно применить несколько тегов.
  5. Чтобы переопределить зарегистрированного поставщика услуг Интернета или переопределить расположение или эти адреса, установите соответствующий флажок. Например, если у вас есть IP-адрес, который считается общедоступным в Ирландии, но вы знаете, что IP-адрес находится в США. Вы переопределите расположение для этого диапазона IP-адресов. Или если вы не хотите, чтобы диапазон IP-адресов был связан с зарегистрированным поставщиком услуг Интернета, можно переопределить зарегистрированного поставщика услуг Интернета.

  6. После завершения нажмите Создать.

    диапазон newipaddress.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.