Praca z zakresami i tagami adresów IP
Aby łatwo zidentyfikować znane adresy IP, takie jak adresy IP biura fizycznego, należy ustawić zakresy adresów IP. Zakresy adresów IP umożliwiają tagowanie, kategoryzowanie i dostosowywanie sposobu wyświetlania i badania dzienników i alertów. Każdą grupę zakresów adresów IP można kategoryzować na podstawie wstępnie ustawionej listy kategorii adresów IP. Możesz również tworzyć niestandardowe tagi ip dla zakresów adresów IP. Ponadto można zastąpić publiczne informacje o geolokalizacji na podstawie wiedzy dotyczącej sieci wewnętrznej. Obsługiwane są zarówno protokół IPv4, jak i IPv6.
Defender for Cloud Apps jest wstępnie skonfigurowana z wbudowanymi zakresami adresów IP dla popularnych dostawców usług w chmurze, takich jak Azure i Microsoft 365. Ponadto mamy wbudowane tagowanie oparte na analizie zagrożeń firmy Microsoft, w tym anonimowym serwerze proxy, Botnet i Torze. Pełną listę można wyświetlić na liście rozwijanej na stronie zakresów adresów IP.
Uwaga
- Aby użyć tych wbudowanych tagów w ramach wyszukiwania, zapoznaj się z ich identyfikatorem w dokumentacji interfejsu API Defender for Cloud Apps.
- Zakresy adresów IP można dodawać zbiorczo, tworząc skrypt przy użyciu interfejsu API zakresów adresów IP.
- Nie można dodawać zakresów adresów IP z nakładającymi się adresami IP.
- Aby wyświetlić dokumentację interfejsu API, przejdź do dokumentacji interfejsu API.
Wbudowane tagi adresów IP i niestandardowe tagi IP są uważane za hierarchicznie. Niestandardowe tagi IP mają pierwszeństwo przed wbudowanymi tagami IP. Jeśli na przykład adres IP jest oznaczony jako ryzykowny na podstawie analizy zagrożeń, ale istnieje niestandardowy tag IP, który identyfikuje go jako firmowy, pierwszeństwo ma kategoria niestandardowa i tagi.
Tworzenie zakresu adresów IP
W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze System wybierz pozycję Zakresy adresów IP. Wybierz pozycję Dodaj zakres adresów IP , aby dodać zakresy adresów IP i ustawić następujące pola:
Nadaj nazwę zakresowi adresów IP. Nazwa nie jest wyświetlana w dzienniku działań. Służy tylko do zarządzania zakresem adresów IP.
Wprowadź każdy zakres adresów IP , który chcesz skonfigurować. Możesz dodać dowolną liczbę adresów IP i podsieci przy użyciu notacji prefiksu sieci (znanej również jako notacja CIDR), na przykład 192.168.1.0/32.
Kategorie służą do łatwego rozpoznawania działań z ważnych adresów IP w dziennikach i alertach. Kategorie są dostępne w portalu. Jednak zazwyczaj wymagają one konfiguracji użytkownika, aby określić, które adresy IP są uwzględnione w każdej kategorii. Wyjątkiem od tej konfiguracji jest kategoria Ryzykowne , która obejmuje dwa tagi IP — anonimowy serwer proxy i Tor.
Dostępne są następujące kategorie:
Administracja: te adresy IP powinny być wszystkimi adresami IP używanymi przez administratorów.
Dostawca usług w chmurze: te adresy IP powinny być adresami IP używanymi przez dostawcę usług w chmurze. Zastosuj tę kategorię, jeśli dostawca usług w chmurze nie jest automatycznie identyfikowany.
Firmowe: te adresy IP powinny być wszystkimi publicznymi adresami IP sieci wewnętrznej, oddziałów i adresów Wi-Fi roamingu.
Ryzykowne: te adresy IP powinny być adresami IP, które uważasz za ryzykowne. Mogą one obejmować podejrzane adresy IP widoczne w przeszłości, adresy IP w sieciach konkurentów itd.
SIEĆ VPN: te adresy IP powinny być dowolnymi adresami IP używanymi w przypadku pracowników zdalnych. Korzystając z tej kategorii, można uniknąć zgłaszania alertów o niemożliwych podróżach , gdy pracownicy łączą się ze swoich lokalizacji domowych za pośrednictwem firmowej sieci VPN.
Aby uwzględnić zakres adresów IP w kategorii, wybierz kategorię z menu rozwijanego.
Aby oznaczyć działania z tych adresów IP, wprowadź tag. Wprowadzenie wyrazu w polu powoduje utworzenie tagu. Po skonfigurowaniu tagu można go łatwo dodać do dodatkowych zakresów adresów IP, wybierając go z listy. Dla każdego zakresu można dodać więcej niż jeden tag adresu IP. Tagów ip można używać podczas tworzenia zasad. Wraz z skonfigurowanymi tagami IP Defender for Cloud Apps ma wbudowane tagi, których nie można skonfigurować. Listę tagów można wyświetlić w filtrze tagów IP.
Uwaga
- Tagi IP są dodawane do działania bez zastępowania danych.
- W tym samym zakresie adresów IP można zastosować wiele tagów.
Aby zastąpić zarejestrowanego usługodawcę sieciowego lub zastąpić lokalizację lub dla tych adresów, zaznacz odpowiednie pole wyboru. Jeśli na przykład masz adres IP, który jest uznawany za publiczny w Irlandii, ale wiesz, że adres IP znajduje się w Stanach Zjednoczonych. Zastąpisz lokalizację dla tego zakresu adresów IP. Jeśli nie chcesz, aby zakres adresów IP był skojarzony z zarejestrowanym usługodawcą sieciowym, możesz zastąpić zarejestrowanego usługodawcę sieciowego.
Po zakończeniu wybierz pozycję Utwórz.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.