要輕鬆辨識已知的 IP 位址,例如你的實體辦公室 IP 位址,你需要設定 IP 位址範圍。 IP 位址範圍允許你標記、分類,並自訂日誌與警示的顯示與調查方式。 每組 IP 範圍都可以根據預設的 IP 類別清單進行分類。 你也可以為你的 IP 範圍建立自訂的 IP 標籤。 此外,你可以根據內部網路知識覆蓋公開地理定位資訊。 同時支援 IPv4 和 IPv6。
Defender for Cloud Apps 預先設定了針對 Azure 和 Microsoft 365 等主流雲端供應商的內建 IP 範圍。 此外,我們內建基於 Microsoft 威脅情報的標籤功能,包括匿名代理、殭屍網路和 Tor。 你可以在 IP 位址範圍頁面的下拉選單中看到完整清單。
注意事項
- 若要使用這些內建標籤作為搜尋的一部分,請參考 Defender for Cloud Apps API 文件中的 ID。
- 你可以透過使用 IP 位址範圍 API 建立腳本,批量新增 IP 範圍。
- 你不能新增重疊 IP 範圍。
- 要查看 API 文件,請前往 API 文件。
內建的 IP 位址標籤與自訂 IP 標籤會以階層式方式考慮。 自訂 IP 標籤優先於內建 IP 標籤。 例如,如果某 IP 位址根據威脅情報被標記為 風險 ,但有自訂 IP 標籤將其標示為 企業,則自訂類別和標籤會優先。
建立一個 IP 位址範圍
在 Microsoft Defender 入口網站中,選擇設定。 然後選擇 雲端應用程式。 在 系統中,選擇 IP 位址範圍。 選擇 新增 IP 位址範圍 以新增 IP 位址範圍,並設定以下欄位:
請標明 你的 IP 範圍。 這個名字不會出現在活動日誌裡。 它只用來管理你的 IP 範圍。
輸入你想設定的每個 IP 位址範圍 。 你可以使用網路前綴符號 (也稱為 CIDR 符號) ,添加任意數量的 IP 位址和子網,例如 IPv4 的 192.168.1.0/32,或 IPv6 的 2001:db8::/32。
分類用來輕鬆辨識日誌和警示中重要 IP 位址的活動。 門戶網站中提供各類別。 然而,通常需要使用者設定,以判斷每個類別包含哪些 IP 位址。 此配置的例外是 風險 類別,包含兩個 IP 標籤——匿名代理與 Tor。
以下類別可供參考:
管理:這些 IP 應該是管理員使用的全部 IP 位址。
雲端服務提供者:這些 IP 應該是你的雲端服務商所使用的 IP 位址。 如果您的雲端供應商未被自動識別,請申請此類別。
總公司:這些 IP 應該包含你內部網路、分公司以及 Wi-Fi 漫遊位址的所有公開 IP 位址。
風險:這些 IP 應該是你認為有風險的 IP 位址。 這些資料可能包含你過去見過的可疑 IP 位址、競爭對手網路中的 IP 位址等等。 建議對僅針對風險 IP 進行自動治理行動時要謹慎,因為有些情況下,服務惡意行為者的 IP 也被合法員工使用,因此我們建議逐一檢視每個案例。
VPN:這些 IP 應該是你為遠端工作者使用的任何 IP 位址。 使用此類別,您可以避免員工透過企業 VPN 從居家連線時,觸發 不可能的旅遊 警示。
若要將 IP 範圍納入分類,請從下拉選單中選擇分類。
要 標記 這些 IP 位址的活動,請輸入標籤。 輸入單字後會產生標籤。 當你已經設定好標籤後,可以從列表中選擇它,輕鬆地將其加入其他 IP 範圍。 你可以為每個範圍新增多個 IP 標籤。 IP 標籤可以在建立政策時使用。 除了你設定的 IP 標籤外,Defender for Cloud Apps 還有內建無法設定的標籤。 你可以在 IP 標籤篩選器下看到標籤清單。
注意事項
- IP 標籤會被加入活動中,但不會覆蓋資料。
- 同一 IP 範圍內可以套用多個標籤。
若要 覆蓋註冊的 ISP 或覆蓋 該地點 ,或針對這些地址,請選擇相關的勾選框。 舉例來說,如果你有一個公開被視為愛爾蘭的 IP 位址,但你知道該 IP 在美國。 你會覆蓋該 IP 位址範圍的位置。 或者如果你不想讓 IP 位址範圍與註冊的 ISP 綁定,也可以覆蓋註冊的 ISP。
完成後,請選取 [建立]。
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。