Práce s rozsahy IP adres a značkami

  • Článek

Pokud chcete snadno identifikovat známé IP adresy, jako jsou ip adresy fyzické kanceláře, musíte nastavit rozsahy IP adres. Rozsahy IP adres umožňují označit, zařadit do kategorií a přizpůsobit způsob zobrazení a vyšetřování protokolů a upozornění. Každou skupinu rozsahů IP adres je možné kategorizovat na základě přednastaveného seznamu kategorií IP adres. Můžete také vytvořit vlastní značky IP adres pro rozsahy IP adres. Kromě toho můžete přepsat informace o veřejné geografické poloze na základě znalostí vaší interní sítě. Podporují se protokoly IPv4 i IPv6.

Defender for Cloud Apps je předem nakonfigurovaný s integrovanými rozsahy IP adres pro oblíbené poskytovatele cloudu, jako jsou Azure a Microsoft 365. Kromě toho máme integrované označování založené na analýze hrozeb Microsoftu, včetně anonymního proxy serveru, botnetu a Tor. Úplný seznam najdete v rozevíracím seznamu na stránce Rozsahy IP adres.

Poznámka:

  • Pokud chcete tyto předdefinované značky použít jako součást hledání, přečtěte si jejich ID v dokumentaci k rozhraní API služby Defender for Cloud Apps.
  • Rozsahy IP adres můžete hromadně přidat vytvořením skriptu pomocí rozhraní API rozsahů IP adres.
  • Nemůžete přidat rozsahy IP adres s překrývajícími se IP adresami.
  • Pokud chcete zobrazit dokumentaci k rozhraní API, přejděte do dokumentace k rozhraní API.

Předdefinované značky IP adres a vlastní značky IP adres jsou považovány za hierarchicky. Vlastní značky IP mají přednost před předdefinované značky IP adres. Pokud je například IP adresa označená jako riziková na základě analýzy hrozeb, ale existuje vlastní značka IP adresy, která ji identifikuje jako podnikovou, má přednost vlastní kategorie a značky.

Vytvoření rozsahu IP adres

Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Systém vyberte rozsahy IP adres. Výběrem možnosti Přidat rozsah IP adres přidejte rozsahy IP adres a nastavte následující pole:

  1. Zadejte Název rozsahu IP adres. Název se v protokolu aktivit nezobrazuje. Slouží jenom ke správě rozsahu IP adres.

  2. Zadejte každý rozsah IP adres, který chcete nakonfigurovat. Můžete přidat libovolný počet IP adres a podsítí ve formátu se síťovou předponou (také se mu říká zápis CIDR), třeba 192.168.1.0/32.

  3. Kategorie se používají k snadnému rozpoznávání aktivit z důležitých IP adres v protokolech a upozorněních. Kategorie jsou k dispozici na portálu. Obvykle ale vyžadují konfiguraci uživatele, aby určila, které IP adresy jsou zahrnuté v každé kategorii. Výjimkou této konfigurace je riziková kategorie, která zahrnuje dvě značky IP adres – anonymní proxy server a Tor.

    K dispozici jsou následující kategorie:

    • Správa istrativní: Tyto IP adresy by měly být všechny IP adresy, které používají vaši správci.

    • Poskytovatel cloudu: Tyto IP adresy by měly být IP adresy používané vaším poskytovatelem cloudu. Tuto kategorii použijte, pokud váš poskytovatel cloudu není automaticky identifikován.

    • Firemní: Tyto IP adresy by měly být všechny veřejné IP adresy vaší interní sítě, pobočky a vaše wi-fi roamingové adresy.

    • Rizikové: Tyto IP adresy by měly být všechny IP adresy, které považujete za rizikové. Můžou zahrnovat podezřelé IP adresy, které jste viděli v minulosti, IP adresy v sítích konkurentů atd.

    • VPN: Tyto IP adresy by měly být všechny IP adresy, které používáte pro vzdálené pracovníky. Pomocí této kategorie se můžete vyhnout vzniku upozornění na nemožné cesty , když se zaměstnanci připojí ze svých domovských míst přes podnikovou síť VPN.

    Pokud chcete zahrnout rozsah IP adres do kategorie, vyberte kategorii z rozevírací nabídky.

  4. Pokud chcete aktivitu z těchto IP adres označit značkou, použijte pole Značka. Značku vytvoříte zadáním požadovaného slova do tohoto pole. Jakmile už máte nakonfigurovanou značku, můžete ji snadno přidat do dalších rozsahů IP adres tak, že ji vyberete ze seznamu. Pro každý rozsah můžete přidat více než jednu značku IP adresy. Značky IP adres se dají použít při vytváření zásad. Kromě značek IP adres, které konfigurujete, má Defender for Cloud Apps integrované značky, které se nedají konfigurovat. Seznam značek najdete v tématu Filtr značek IP adres.

    Poznámka:

    • Značky IP se přidají do aktivity bez přepsání dat.
    • U stejného rozsahu IP adres je možné použít více značek.

  5. Chcete-li přepsat zaregistrovaného zprostředkovatele internetových služeb nebo přepsat umístění nebo pro tyto adresy, zaškrtněte příslušné políčko. Pokud máte například IP adresu, která je považována za veřejně v Irsku, ale víte, že IP adresa je v USA. Přepíšete umístění pro tento rozsah IP adres. Nebo pokud nechcete, aby byl rozsah IP adres přidružený k registrovanému isP, můžete registrovaný isP přepsat.

  6. Až budete hotovi, vyberte Vytvořit.

    newipaddress range.

Další kroky

Nastavení Cloud Discovery

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.