Работа с диапазонами IP-адресов и тегами
Чтобы легко определить известные IP-адреса, например физические IP-адреса office, необходимо задать диапазоны IP-адресов. Диапазоны IP-адресов позволяют отмечать, классифицировать и настраивать способ отображения и изучения журналов и оповещений. Каждую группу диапазонов IP-адресов можно классифицировать на основе предустановленного списка категорий IP-адресов. Вы также можете создавать настраиваемые теги IP-адресов для диапазонов IP-адресов. Кроме того, вы можете переопределить общедоступную информацию о географическом расположении на основе знаний о внутренней сети. Поддерживаются протоколы IPv4 и IPv6.
Defender for Cloud Apps поставляется с предварительно настроенными встроенными диапазонами IP-адресов для популярных поставщиков облачных служб, таких как Azure и Microsoft 365. Кроме того, у нас есть встроенные теги на основе аналитики угроз Майкрософт, включая анонимный прокси-сервер, Botnet и Tor. Полный список можно просмотреть в раскрывающемся списке на странице Диапазоны IP-адресов.
Примечание
- Чтобы использовать эти встроенные теги в процессе поиска, ознакомьтесь с их идентификаторами в документации по API Defender for Cloud Apps.
- Вы можете добавить диапазоны IP-адресов в пакетном режиме, создав скрипт с помощью API диапазонов IP-адресов.
- Нельзя добавлять диапазоны IP-адресов с перекрывающимися IP-адресами.
- Чтобы просмотреть документацию по API, перейдите к документации по API.
Встроенные теги IP-адресов и пользовательские теги IP-адресов считаются иерархическими. Пользовательские теги IP-адресов имеют приоритет над встроенными тегами IP-адресов. Например, если IP-адрес помечен как рискованный на основе аналитики угроз, но есть настраиваемый IP-тег, который идентифицирует его как корпоративный, приоритет имеют настраиваемые категории и теги.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Система выберите Диапазоны IP-адресов. Выберите Добавить диапазон IP-адресов , чтобы добавить диапазоны IP-адресов и задайте следующие поля:
Присвойте имя диапазону IP-адресов. Имя не отображается в журнале действий. Он используется только для управления диапазоном IP-адресов.
Введите каждый диапазон IP-адресов , который требуется настроить. Можно добавить любое количество IP-адресов и подсетей с помощью нотации префикса сети (также известной как нотация CIDR), например 192.168.1.0/32.
Категории используются для легкого распознавания действий с важных IP-адресов в журналах и оповещениях. Категории доступны на портале. Однако обычно для определения IP-адресов, включенных в каждую категорию, требуется настройка пользователя. Исключением из этой конфигурации является категория Risky , которая включает два IP-тега — Анонимный прокси-сервер и Tor.
Доступны следующие категории:
Административные. Эти IP-адреса должны быть всеми IP-адресами, используемыми администраторами.
Поставщик облачных служб. Эти IP-адреса должны быть IP-адресами, используемыми поставщиком облачных служб. Примените эту категорию, если поставщик облачных служб не идентифицируется автоматически.
Корпоративный. Эти IP-адреса должны быть общедоступными IP-адресами внутренней сети, филиалов и Wi-Fi перемещаемых адресов.
Рискованные. Эти IP-адреса должны быть любыми IP-адресами, которые вы считаете рискованными. Они могут включать подозрительные IP-адреса, которые вы видели ранее, IP-адреса в сетях конкурентов и т. д.
VPN: эти IP-адреса должны быть любыми IP-адресами, которые вы используете для удаленных сотрудников. Используя эту категорию, вы можете избежать создания оповещений о невозможных поездках , когда сотрудники подключаются из своих домашних расположений через корпоративный VPN.
Чтобы включить диапазон IP-адресов в категорию, выберите категорию в раскрывающемся меню.
Чтобы пометить действия с этих IP-адресов, введите тег. При вводе слова в поле создается тег. После того как у вас уже есть настроенный тег, его можно легко добавить в дополнительные диапазоны IP-адресов, выбрав его из списка. Для каждого диапазона можно добавить несколько IP-тегов. Теги IP-адресов можно использовать при создании политик. Наряду с настроенными IP-тегами Defender for Cloud Apps имеет встроенные теги, которые невозможно настроить. Список тегов можно просмотреть в фильтре ip-тегов.
Примечание
- Ip-теги добавляются в действие без переопределения данных.
- В одном диапазоне IP-адресов можно применить несколько тегов.
Чтобы переопределить зарегистрированного поставщика услуг Интернета или переопределить расположение или эти адреса, установите соответствующий флажок. Например, если у вас есть IP-адрес, который считается общедоступным в Ирландии, но вы знаете, что IP-адрес находится в США. Вы переопределите расположение для этого диапазона IP-адресов. Или если вы не хотите, чтобы диапазон IP-адресов был связан с зарегистрированным поставщиком услуг Интернета, можно переопределить зарегистрированного поставщика услуг Интернета.
После завершения нажмите Создать.
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.