Arbeta med IP-intervall och taggar
För att enkelt identifiera kända IP-adresser, till exempel dina fysiska office-IP-adresser, måste du ange IP-adressintervall. Med IP-adressintervall kan du tagga, kategorisera och anpassa hur loggar och aviseringar visas och undersöks. Varje grupp med IP-intervall kan kategoriseras baserat på en förinställd lista över IP-kategorier. Du kan också skapa anpassade IP-taggar för dina IP-intervall. Dessutom kan du åsidosätta offentlig geoplatsinformation baserat på dina interna nätverkskunskaper. Både IPv4 och IPv6 stöds.
Defender for Cloud Apps är förkonfigurerat med inbyggda IP-intervall för populära molnleverantörer som Azure och Microsoft 365. Dessutom har vi inbyggd taggning baserad på Microsofts hotinformation, inklusive anonym proxy, Botnet och Tor. Du kan se den fullständiga listan i listrutan på sidan IP-adressintervall.
Anteckning
- Om du vill använda dessa inbyggda taggar som en del av en sökning kan du läsa deras ID i Defender for Cloud Apps API-dokumentationen.
- Du kan lägga till IP-intervall i grupp genom att skapa ett skript med hjälp av API:et FÖR IP-adressintervall.
- Du kan inte lägga till IP-intervall med överlappande IP-adresser.
- Om du vill visa API-dokumentationen går du till API-dokumentationen.
Inbyggda IP-adresstaggar och anpassade IP-taggar betraktas hierarkiskt. Anpassade IP-taggar har företräde framför inbyggda IP-taggar. Om en IP-adress till exempel taggas som riskfylld baserat på hotinformation, men det finns en anpassad IP-tagg som identifierar den som Företag, har den anpassade kategorin och taggarna företräde.
I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under System väljer du IP-adressintervall. Välj Lägg till IP-adressintervall för att lägga till IP-adressintervall och ange följande fält:
Namnge DITT IP-intervall. Namnet visas inte i aktivitetsloggen. Den används bara för att hantera ditt IP-intervall.
Ange varje IP-adressintervall som du vill konfigurera. Du kan lägga till så många IP-adresser och undernät som du vill med hjälp av nätverksprefixnotation (kallas även CIDR-notation), till exempel 192.168.1.0/32.
Kategorier används för att enkelt identifiera aktiviteter från viktiga IP-adresser i loggar och aviseringar. Kategorier är tillgängliga i portalen. De kräver dock vanligtvis användarkonfiguration för att avgöra vilka IP-adresser som ingår i varje kategori. Undantaget till den här konfigurationen är kategorin Risky , som innehåller två IP-taggar – anonym proxy och Tor.
Följande kategorier är tillgängliga:
Administration: Dessa IP-adresser bör vara alla IP-adresser som används av dina administratörer.
Molnleverantör: Dessa IP-adresser bör vara de IP-adresser som används av molnleverantören. Använd den här kategorin om molnleverantören inte identifieras automatiskt.
Företag: Dessa IP-adresser bör vara alla offentliga IP-adresser för ditt interna nätverk, dina avdelningskontor och dina Wi-Fi centrala adresser.
Riskfylld: Dessa IP-adresser bör vara alla IP-adresser som du anser vara riskfyllda. De kan innehålla misstänkta IP-adresser som du har sett tidigare, IP-adresser i dina konkurrenters nätverk och så vidare.
VPN: Dessa IP-adresser bör vara alla IP-adresser som du använder för distansarbetare. Genom att använda den här kategorin kan du undvika att skapa omöjliga reseaviseringar när anställda ansluter från sina hemplatser via företagets VPN.
Om du vill inkludera IP-intervallet i en kategori väljer du en kategori i den nedrullningsbara menyn.
Om du vill tagga aktiviteterna från dessa IP-adresser anger du en tagg. Om du anger ett ord i rutan skapas taggen. När du redan har en konfigurerad tagg kan du enkelt lägga till den i ytterligare IP-intervall genom att välja den i listan. Du kan lägga till fler än en IP-tagg för varje intervall. IP-taggar kan användas när du skapar principer. Tillsammans med IP-taggar som du konfigurerar har Defender for Cloud Apps inbyggda taggar som inte kan konfigureras. Du kan se listan med taggar under filtret IP-taggar.
Anteckning
- IP-taggar läggs till i aktiviteten utan att åsidosätta data.
- Flera taggar kan tillämpas på samma IP-intervall.
Om du vill åsidosätta registrerad Internetleverantör eller Åsidosätta platsen eller för dessa adresser markerar du den relevanta kryssrutan. Om du till exempel har en IP-adress som anses vara offentligt i Irland, men du vet att IP-adressen finns i USA. Du åsidosätter platsen för ip-adressintervallet. Eller om du inte vill att ett IP-adressintervall ska associeras med en registrerad Internetleverantör kan du åsidosätta den registrerade Internetleverantören.
När du är klar väljer du Skapa.
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.