使用 IP 范围和标记

若要轻松识别已知 IP 地址(例如物理办公室 IP 地址),需要设置 IP 地址范围。 使用 IP 地址范围可以标记、分类和自定义日志和警报的显示和调查方式。 可以根据预设的 IP 类别列表对每组 IP 范围进行分类。 还可以为 IP 范围创建自定义 IP 标记。 此外,可以根据内部网络知识替代公共地理位置信息。 支持 IPv4 和 IPv6。

Defender for Cloud Apps预配置了 Azure 和 Microsoft 365 等热门云提供商的内置 IP 范围。 此外,我们还基于Microsoft威胁情报(包括匿名代理、僵尸网络和 Tor)的内置标记。 可以在 IP 地址范围页上的下拉列表中看到完整列表。

注意

  • 若要将这些内置标记用作搜索的一部分,请参阅Defender for Cloud Apps API 文档中的 ID。
  • 可以通过使用 IP 地址范围 API 创建脚本来批量添加 IP 范围
  • 不能添加具有重叠 IP 地址的 IP 范围。
  • 若要查看 API 文档,请转到 API 文档

内置 IP 地址标记和自定义 IP 标记按层次结构进行考虑。 自定义 IP 标记优先于内置 IP 标记。 例如,如果 IP 地址根据威胁情报标记为 有风险 ,但有一个自定义 IP 标记将其标识为 “公司”,则自定义类别和标记优先。

创建 IP 地址范围

在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在“ 系统”下,选择“ IP 地址范围”。 选择“ 添加 IP 地址范围 ”以添加 IP 地址范围并设置以下字段:

  1. 命名 IP 范围。 该名称不会显示在活动日志中。 它仅用于管理 IP 范围。

  2. 输入要配置的每个 IP 地址范围 。 可以使用网络前缀表示法 (也称为 CIDR 表示法) 添加任意数量的 IP 地址和子网,例如 192.168.1.0/32。

  3. 类别 用于轻松识别日志和警报中重要 IP 地址的活动。 门户中提供了类别。 但是,它们通常需要用户配置来确定每个类别中包含哪些 IP 地址。 此配置的例外是 “风险 ”类别,其中包括两个 IP 标记 - 匿名代理和 Tor。

    以下类别可用:

    • 管理:这些 IP 应该是管理员使用的所有 IP 地址。

    • 云提供商:这些 IP 应该是云提供商使用的 IP 地址。 如果未自动识别云提供商,请应用此类别。

    • 公司:这些 IP 应该是内部网络、分支机构和 Wi-Fi 漫游地址的所有公共 IP 地址。

    • 风险:这些 IP 应该是你认为有风险的任何 IP 地址。 它们可以包括你过去见过的可疑 IP 地址、竞争对手网络中的 IP 地址等。

    • VPN:这些 IP 应该是用于远程工作者的任何 IP 地址。 使用此类别,可以在员工通过公司 VPN 从其主位置连接时避免引发 不可能的旅行 警报。

    若要在类别中包含 IP 范围,请从下拉菜单中选择一个类别。

  4. 若要 标记 这些 IP 地址中的活动,请输入一个标记。 在框中输入单词将创建 标记。 在已配置标记后,可以通过从列表中选择它,将其轻松添加到其他 IP 范围。 可以为每个范围添加多个 IP 标记。 生成策略时可以使用 IP 标记。 除了配置的 IP 标记之外,Defender for Cloud Apps还具有不可配置的内置标记。 可以在 IP 标记筛选器下查看标记列表。

    注意

    • IP 标记将添加到活动,而不重写数据。
    • 可以在同一 IP 范围上应用多个标记。
  5. 若要 替代已注册的 ISP替代位置 或这些地址,请选中相关复选框。 例如,如果你的 IP 地址被视为公开位于爱尔兰,但你知道该 IP 在美国。 你将覆盖该 IP 地址范围的位置。 或者,如果不希望 IP 地址范围与已注册的 ISP 相关联,则可以替代已注册的 ISP。

  6. 完成操作后,选择“创建”。

    newipaddress 范围。

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证