Arbeiten mit IP-Adressbereichen und Tags

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Wenn Sie bekannte IP-Adressen wie die Ihres Büros einfach ermitteln möchten, müssen Sie IP-Adressbereiche festlegen. Mithilfe von IP-Adressbereichen können Sie die Art und Weise, wie Protokolle und Warnungen angezeigt und untersucht werden, markieren, kategorisieren und anpassen. Jede Gruppe von IP-Bereichen kann basierend auf einer vordefinierten Liste von IP-Kategorien kategorisiert werden. Außerdem können Sie benutzerdefinierte IP-Tags für Ihre IP-Adressbereiche erstellen. Darüber hinaus können Sie öffentliche Geolocation-Informationen basierend auf Ihrem internen Netzwerkwissen außer Kraft setzen. Sowohl IPv4 als auch IPv6 werden unterstützt.

Defender für Cloud Apps sind vorkonfiguriert mit integrierten IP-Bereichen für beliebte Cloudanbieter wie Azure und Office 365. Zudem wurden basierend auf Microsoft Threat Intelligence, einschließlich anonymer Proxys, einem Botnet und Tor, Markierungsfunktionen hinzugefügt. Die vollständige Liste finden Sie in der Dropdownliste auf der Seite „IP-Adressbereiche“.

Hinweis

  • Wenn Sie diese integrierten Tags als Teil einer Suche verwenden möchten, lesen Sie die ID in der Dokumentation zur Defender für Cloud Apps-API.
  • Sie können IP-Bereiche massenweise hinzufügen, indem Sie ein Skript mithilfe der IP-Adressbereiche-API erstellen.
  • Sie können keine IP-Bereiche mit überlappenden IP-Adressen hinzufügen.
  • Um die API-Dokumentation anzuzeigen, wechseln Sie zur Menüleiste Defender für Cloud Apps-Portal, wählen Sie das Fragezeichen aus, und wählen Sie dann die API-Dokumentation aus.

Integrierte Tags von IP-Adressen und benutzerdefinierte IP-Tags werden hierarchisch strukturiert. Benutzerdefinierte IP-Tags haben integrierten IP-Tags gegenüber Vorrang. Wenn eine IP-Adresse z. B. basierend auf Bedrohungsinformationen als Riskant markiert ist, es aber ein benutzerdefiniertes IP-Tag gibt, das sie als Corporate (unternehmenseigen) markiert, haben die benutzerdefinierten Kategorien und Tags Vorrang.

Erstellen eines IP-Adressbereichs

Wählen Sie in der Menüleiste das symbol Einstellungen aus. Wählen Sie im Dropdownmenü IP-Adressbereiche aus. Wählen Sie " IP-Adressbereich hinzufügen" aus, um IP-Adressbereiche hinzuzufügen, und legen Sie die folgenden Felder fest:

  1. Geben Sie Ihrem IP-Bereich einen Namen. Der Name wird nicht im Aktivitätenprotokoll angezeigt. Es wird nur verwendet, um Ihren IP-Bereich zu verwalten.

  2. Geben Sie jeden IP-Adressbereich ein, den Sie konfigurieren möchten. Sie können mit der Netzwerkpräfix-Notation (auch bekannt als CIDR-Notation), beispielsweise 192.168.1.0/32, beliebig viele IP-Adressen und Subnetze hinzufügen.

  3. Kategorien werden verwendet, um Aktivitäten aus wichtigen IP-Adressen in Ihren Protokollen und Warnungen leicht zu erkennen. Sie finden die Kategorien im Portal. Allerdings müssen diese in der Regel vom Benutzer konfiguriert werden, damit bestimmt werden kann, welche IP-Adressen zu den einzelnen Kategorien gehören. Die Ausnahme dieser Konfiguration ist die Kategorie "Risky ", die zwei IP-Tags enthält: Anonymer Proxy und Tor.

    Die folgenden Kategorien sind verfügbar:

    • Administrative: Diese IPs sollten alle IP-Adressen sein, die von Ihren Administratoren verwendet werden.

    • Cloudanbieter: Dies sollten die von Ihrem Cloudanbieter verwendeten IP-Adressen sein. Wenden Sie diese Kategorie an, wenn Ihr Cloudanbieter nicht automatisch identifiziert wird.

    • Unternehmen: Diese IPs sollten alle öffentlichen IP-Adressen Ihres internen Netzwerks, Ihre Zweigstellen und Ihre Wi-Fi Roamingadressen sein.

    • Risky (Riskant): Dies sollten alle IP-Adressen sein, die Sie als riskant einstufen. Dazu können verdächtige IP-Adressen zählen, die Ihnen in der Vergangenheit aufgefallen sind, IP-Adressen in Netzwerken Ihrer Mitbewerber usw.

    • VPN: Dies sollten alle IP-Adressen sein, die Sie für Remotemitarbeiter verwenden. Mithilfe dieser Kategorie können Sie vermeiden, dass Sie unmögliche Reisewarnungen auslösen, wenn Mitarbeiter über das Unternehmens-VPN eine Verbindung mit ihren Heimatstandorten herstellen.

    Um den IP-Bereich in eine Kategorie einzuschließen, wählen Sie im Dropdownmenü eine Kategorie aus.

  4. Geben Sie zum Markieren der Aktivitäten, die von diesen IP-Adressen ausgehen, ein Tag ein. Mit Eingabe eines Worts in das Feld wird das Tag erstellt. Da Sie bereits über ein konfiguriertes Tag verfügen, können Sie es einfach durch Auswahl in der Liste den zusätzlichen IP-Bereichen hinzufügen. Sie können für jeden Bereich mehrere IP-Tags hinzufügen. IP-Tags können beim Erstellen von Richtlinien verwendet werden. Zusammen mit ip-Tags, die Sie konfigurieren, verfügt Defender für Cloud Apps über integrierte Tags, die nicht konfigurierbar sind. Eine Liste der Tags finden Sie unter IP tags filter (IP-Tagfilter).

    Hinweis

    • IP-Tags werden der Aktivität ohne Überschreiben von Daten hinzugefügt.
  5. Wenn Sie registrierten ISP außer Kraft setzen oder den Speicherort oder diese Adressen außer Kraft setzen möchten, aktivieren Sie das relevante Kontrollkästchen. Wenn Sie beispielsweise über eine IP-Adresse verfügen, die öffentlich als in Irland angesehen wird, aber Sie wissen, dass sich die IP in den USA befindet. Überschreiben Sie in diesem Fall den Standort für diesen IP-Adressbereich. Oder wenn Sie nicht möchten, dass ein IP-Adressbereich einem registrierten ISP zugeordnet werden soll, können Sie den registrierten ISP außer Kraft setzen.

  6. Wählen Sie Erstellen, wenn Sie fertig sind.

    newipaddress range.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.