Werken met IP-bereiken en tags
Als u gemakkelijk bekende IP-adressen wilt identificeren, zoals uw fysieke IP-adressen op kantoor, moet u IP-adresbereiken instellen. Met IP-adresbereiken kunt u de manier waarop logboeken en waarschuwingen worden weergegeven en onderzocht taggen, categoriseren en aanpassen. Elke groep IP-bereiken kan worden gecategoriseerd op basis van een vooraf ingestelde lijst met IP-categorieën. U kunt ook aangepaste IP-tags maken voor uw IP-bereiken. Daarnaast kunt u openbare geolocatiegegevens overschrijven op basis van uw interne netwerkkennis. Zowel IPv4 als IPv6 worden ondersteund.
Defender for Cloud Apps vooraf geconfigureerd met ingebouwde IP-bereiken voor populaire cloudproviders zoals Azure en Microsoft 365. Daarnaast hebben we ingebouwde tagging op basis van Bedreigingsinformatie van Microsoft, waaronder anonieme proxy, Botnet en Tor. U ziet de volledige lijst in de vervolgkeuzelijst op de pagina IP-adresbereiken.
Opmerking
- Als u deze ingebouwde tags wilt gebruiken als onderdeel van een zoekopdracht, raadpleegt u hun id in de Defender for Cloud Apps API-documentatie.
- U kunt IP-bereiken bulksgewijs toevoegen door een script te maken met behulp van de API voor IP-adresbereiken.
- U kunt geen IP-bereiken met overlappende IP-adressen toevoegen.
- Als u de API-documentatie wilt weergeven, gaat u naar API-documentatie.
Ingebouwde IP-adrestags en aangepaste IP-tags worden hiërarchisch beschouwd. Aangepaste IP-tags hebben voorrang op ingebouwde IP-tags. Als een IP-adres bijvoorbeeld is getagd als Riskant op basis van bedreigingsinformatie, maar er een aangepaste IP-tag is die het als Zakelijk identificeert, hebben de aangepaste categorie en tags voorrang.
Een IP-adresbereik maken
Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Systeemde optie IP-adresbereiken. Selecteer IP-adresbereik toevoegen om IP-adresbereiken toe te voegen en stel de volgende velden in:
Geef uw IP-bereik een naam. De naam wordt niet weergegeven in het activiteitenlogboek. Het wordt alleen gebruikt om uw IP-bereik te beheren.
Voer elk IP-adresbereik in dat u wilt configureren. U kunt zoveel IP-adressen en subnetten toevoegen als u wilt met behulp van netwerkvoorvoegselnotatie (ook wel CIDR-notatie genoemd), bijvoorbeeld 192.168.1.0/32.
Categorieën worden gebruikt om eenvoudig activiteiten van belangrijke IP-adressen in uw logboeken en waarschuwingen te herkennen. Categorieën zijn beschikbaar in de portal. Ze vereisen echter meestal gebruikersconfiguratie om te bepalen welke IP-adressen in elke categorie worden opgenomen. De uitzondering op deze configuratie is de categorie Riskant , die twee IP-tags bevat: Anonieme proxy en Tor.
De volgende categorieën zijn beschikbaar:
Beheer: deze IP-adressen moeten alle IP-adressen zijn die door uw beheerders worden gebruikt.
Cloudprovider: deze IP-adressen moeten de IP-adressen zijn die door uw cloudprovider worden gebruikt. Pas deze categorie toe als uw cloudprovider niet automatisch wordt geïdentificeerd.
Zakelijk: Deze IP-adressen moeten alle openbare IP-adressen van uw interne netwerk, uw filialen en uw Wi-Fi roamingadressen zijn.
Riskant: deze IP-adressen moeten alle IP-adressen zijn die u riskant vindt. Dit kunnen verdachte IP-adressen zijn die u in het verleden hebt gezien, IP-adressen in de netwerken van uw concurrenten, enzovoort. Het wordt aangeraden om voorzichtig te zijn met het toepassen van automatische governance-acties die alleen zijn gebaseerd op riskante IP-adressen, omdat er enkele gevallen zijn waarin IP-adressen die kwaadwillende actoren dienen, ook door legitieme werknemers worden gebruikt. Daarom is het onze aanbeveling om elk geval zelf te onderzoeken.
VPN: Deze IP-adressen moeten alle IP-adressen zijn die u gebruikt voor externe werknemers. Door deze categorie te gebruiken, kunt u voorkomen dat onmogelijke reiswaarschuwingen worden weergegeven wanneer werknemers verbinding maken vanaf hun thuislocatie via het zakelijke VPN.
Als u het IP-bereik wilt opnemen in een categorie, selecteert u een categorie in de vervolgkeuzelijst.
Voer een tag in om de activiteiten van deze IP-adressen te taggen . Als u een woord in het vak invoert, wordt de tag gemaakt. Nadat u al een geconfigureerde tag hebt, kunt u deze eenvoudig toevoegen aan extra IP-bereiken door deze in de lijst te kiezen. U kunt meer dan één IP-tag toevoegen voor elk bereik. IP-tags kunnen worden gebruikt bij het bouwen van beleid. Naast IP-tags die u configureert, beschikt Defender for Cloud Apps over ingebouwde tags die niet kunnen worden geconfigureerd. U ziet de lijst met tags onder het filter IP-tags.
Opmerking
- IP-tags worden toegevoegd aan de activiteit zonder gegevens te overschrijven.
- Meerdere tags kunnen worden toegepast op hetzelfde IP-bereik.
Als u de geregistreerde internetprovider wilt overschrijven of de locatie of voor deze adressen wilt overschrijven , schakelt u het relevante selectievakje in. Als u bijvoorbeeld een IP-adres hebt dat openbaar wordt beschouwd als in Ierland, maar u weet dat het IP-adres zich in de VS bevindt. U overschrijft de locatie voor dat IP-adresbereik. Of als u niet wilt dat een IP-adresbereik wordt gekoppeld aan een geregistreerde internetprovider, kunt u de geregistreerde internetprovider overschrijven.
Wanneer u klaar bent, selecteert u Maken.
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.