Del via

Arbejd med IP-områder og -koder

  • Artikel

Hvis du nemt vil identificere kendte IP-adresser, f.eks. dine fysiske Office-IP-adresser, skal du angive IP-adresseintervaller. IP-adresseområder giver dig mulighed for at mærke, kategorisere og tilpasse den måde, logge og beskeder vises og undersøges på. Hver gruppe af IP-intervaller kan kategoriseres på baggrund af en forudindstillet liste over IP-kategorier. Du kan også oprette brugerdefinerede IP-koder til dine IP-intervaller. Derudover kan du tilsidesætte offentlige geoplaceringsoplysninger baseret på din interne netværksviden. Både IPv4 og IPv6 understøttes.

Defender for Cloud Apps leveres forudkonfigureret med indbyggede IP-intervaller for populære cloududbydere som Azure og Microsoft 365. Derudover har vi indbygget mærkning baseret på Microsoft-trusselsintelligens, herunder anonym proxy, Botnet og Tor. Du kan se den komplette liste på rullelisten på siden IP-adresseområder.

Bemærk!

  • Hvis du vil bruge disse indbyggede mærker som en del af en søgning, skal du se deres id i dokumentationen til Defender for Cloud Apps API.
  • Du kan tilføje IP-områder samlet ved at oprette et script ved hjælp af API'en for IP-adresseområder.
  • Du kan ikke tilføje IP-områder med overlappende IP-adresser.
  • Du kan få vist API-dokumentationen ved at gå til API-dokumentationen.

Indbyggede IP-adressekoder og brugerdefinerede IP-koder betragtes som hierarkisk. Brugerdefinerede IP-koder har forrang frem for indbyggede IP-koder. Hvis en IP-adresse f.eks. er mærket som Risikobaseret baseret på trusselsintelligens, men der er en brugerdefineret IP-kode, der identificerer den som Virksomhed, har den brugerdefinerede kategori og tags forrang.

Opret et IP-adresseområde

Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under System skal du vælge IP-adresseområder. Vælg Tilføj IP-adresseområde for at tilføje IP-adresseområder, og angiv følgende felter:

  1. Navngiv dit IP-område. Navnet vises ikke i aktivitetsloggen. Det bruges kun til at administrere dit IP-interval.

  2. Angiv hvert ip-adresseinterval , du vil konfigurere. Du kan tilføje lige så mange IP-adresser og undernet, du vil, ved hjælp af netværkspræfiksnotation (også kendt som CIDR-notation), f.eks. 192.168.1.0/32.

  3. Kategorier bruges til nemt at genkende aktiviteter fra vigtige IP-adresser i dine logge og beskeder. Der er tilgængelige kategorier på portalen. De kræver dog typisk brugerkonfiguration for at bestemme, hvilke IP-adresser der er inkluderet i hver kategori. Undtagelsen til denne konfiguration er kategorien Risky , som indeholder to IP-koder – Anonym proxy og Tor.

    Følgende kategorier er tilgængelige:

    • Administrative: Disse IP-adresser skal være alle de IP-adresser, der bruges af dine administratorer.

    • Cloududbyder: Disse IP-adresser skal være de IP-adresser, der bruges af din cloududbyder. Anvend denne kategori, hvis din cloududbyder ikke identificeres automatisk.

    • Firma: Disse IP-adresser skal være alle de offentlige IP-adresser på dit interne netværk, dine forgreninger og dine Wi-Fi roamingadresser.

    • Risikable: Disse IP-adresser skal være enhver IP-adresse, som du anser for risikable. De kan omfatte mistænkelige IP-adresser, du har set tidligere, IP-adresser i dine konkurrenters netværk osv. Det foreslås at være forsigtig med kun at anvende automatiske styringshandlinger, der er baseret på risikable IP-adresser, da der er nogle tilfælde, hvor IP-adresser, der tjener ondsindede aktører, også bruges af legitime medarbejdere, og derfor anbefales det at undersøge hver enkelt sag i sig selv.

    • VPN: Disse IP-adresser skal være en hvilken som helst IP-adresse, du bruger til fjernarbejdere. Ved at bruge denne kategori kan du undgå at hæve umulige rejsebeskeder , når medarbejdere opretter forbindelse fra deres hjemmeplaceringer via virksomhedens VPN.

    Hvis du vil inkludere IP-intervallet i en kategori, skal du vælge en kategori i rullemenuen.

  4. Hvis du vil mærke aktiviteterne fra disse IP-adresser, skal du angive et mærke. Koden oprettes, når der indtastes et ord i feltet. Når du allerede har et konfigureret mærke, kan du nemt føje det til yderligere IP-områder ved at vælge det på listen. Du kan tilføje mere end én IP-kode for hvert område. IP-koder kan bruges, når du opretter politikker. Sammen med de IP-koder, du konfigurerer, har Defender for Cloud Apps indbyggede mærker, der ikke kan konfigureres. Du kan se listen over mærker under FILTERET FOR IP-koder.

    Bemærk!

    • IP-koder føjes til aktiviteten uden at tilsidesætte data.
    • Der kan anvendes flere mærker på det samme IP-område.

  5. Hvis du vil tilsidesætte registreret internetudbyder eller Tilsidesæt placeringen eller for disse adresser, skal du markere det relevante afkrydsningsfelt. Hvis du f.eks. har en IP-adresse, der anses for offentligt at være i Irland, men du ved, at IP-adressen er i USA. Du tilsidesætter placeringen for dette IP-adresseområde. Eller hvis du ikke ønsker, at et IP-adresseinterval skal knyttes til en registreret internetudbyder, kan du tilsidesætte den registrerede internetudbyder.

  6. Når du er færdig, skal du vælge Opret.

    newipaddress rækkevidde.

Næste trin

Konfigurer cloudregistrering

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.