Trabajo con etiquetas e intervalos IP

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Para identificar fácilmente las direcciones IP conocidas, como las direcciones IP de oficina física, deberá establecer los intervalos de direcciones IP. Los intervalos de direcciones IP permiten etiquetar, clasificar y personalizar la forma en que los registros y alertas se muestran e investigan. Cada grupo de intervalos IP se puede clasificar en función de una lista predeterminada de categorías IP. También podrá crear etiquetas IP personalizadas para los intervalos IP. Además, puede invalidar la información de geolocalización pública en función del conocimiento de la red interna. Se admiten tanto IPv4 como IPv6.

Defender for Cloud Apps viene preconfigurado con intervalos IP integrados para proveedores de nube populares, como Azure y Office 365. También hay etiquetas integradas basadas en la inteligencia sobre amenazas de Microsoft, incluidos proxy anónimos, redes de robots (botnet) y Tor. Puede ver la lista completa en la lista desplegable de la página de intervalos de direcciones IP.

Nota

  • Para usar estas etiquetas integradas como parte de una búsqueda, consulte su identificador en la documentación de api de Defender for Cloud Apps.
  • Puede agregar intervalos IP de forma masiva mediante la creación de un script mediante la API de intervalos de direcciones IP.
  • No se pueden agregar intervalos IP con direcciones IP superpuestas.
  • Para ver la documentación de la API, vaya a la barra de menús del portal de aplicaciones de Defender for Cloud, seleccione el signo de interrogación y, a continuación, seleccione documentación de API.

Las etiquetas de dirección IP integradas y las etiquetas IP personalizadas se consideran de forma jerárquica. Las etiquetas IP personalizadas tienen prioridad sobre las etiquetas IP integradas. Por ejemplo, si una dirección IP se etiqueta como De riesgo en función de la información disponible sobre las amenazas pero hay una etiqueta IP personalizada que la identifica como Corporativa, la categoría y las etiquetas personalizadas tendrán prioridad.

Crear un intervalo de direcciones IP

En la barra de menús, seleccione el icono Configuración. En el menú desplegable, seleccione Intervalos de direcciones IP. Seleccione Agregar intervalo de direcciones IP para agregar intervalos de direcciones IP y establezca los campos siguientes:

  1. Dé un nombre al intervalo IP. El nombre no aparece en el registro de actividades. Solo se usa para administrar el intervalo IP.

  2. Escriba cada intervalo de direcciones IP que desee configurar. Puede agregar cuantas direcciones IP y subredes quiera mediante la notación de prefijos de red (también conocida como notación CIDR), por ejemplo, 192.168.1.0/32.

  3. Las categorías se usan para reconocer fácilmente las actividades de direcciones IP importantes en los registros y las alertas. Las categorías están disponibles en el portal. Pero normalmente requieren la configuración de usuario para determinar qué direcciones IP están incluidas en cada categoría. La excepción a esta configuración es la categoría Riesgo , que incluye dos etiquetas IP: proxy anónimo y Tor.

    Están disponibles las siguientes categorías:

    • Administrativo: estas direcciones IP deben ser todas las direcciones IP que usan los administradores.

    • Proveedor de nube: estas direcciones IP deben ser las direcciones IP usadas por el proveedor de nube. Aplique esta categoría si el proveedor de nube no se identifica automáticamente.

    • Corporativo: estas direcciones IP deben ser todas las direcciones IP públicas de la red interna, las sucursales y las direcciones móviles de Wi-Fi.

    • De riesgo: estas direcciones IP deben ser todas las direcciones IP que se consideran que entrañan riesgos. Puede englobar direcciones IP sospechosas detectadas en el pasado, direcciones IP en las redes de la competencia y así sucesivamente.

    • VPN: estas direcciones IP deben ser las direcciones IP que se usan en los trabajos remotos. Al usar esta categoría, puede evitar generar alertas de viaje imposibles cuando los empleados se conectan desde sus ubicaciones domésticas a través de la VPN corporativa.

    Para incluir el intervalo IP en una categoría, seleccione una categoría en el menú desplegable.

  4. Especifique una etiqueta para etiquetar las actividades de estas direcciones IP. La etiqueta se creará si escribe una palabra en el cuadro. Con la etiqueta ya configurada, puede agregarla a más intervalos IP seleccionándola en la lista. Puede agregar más de una etiqueta IP para cada intervalo. Las etiquetas IP se pueden usar al crear directivas. Junto con las etiquetas IP que configure, Defender for Cloud Apps tiene etiquetas integradas que no son configurables. Puede ver la lista de etiquetas en el Filtro de etiquetas IP.

    Nota

    • Las etiquetas IP se agregan a la actividad sin invalidar datos.
  5. Para invalidar el ISP registrado o Invalidar la ubicación o para estas direcciones, active la casilla correspondiente. Por ejemplo, si tiene una dirección IP que se considera públicamente en Irlanda, pero sabe que la dirección IP está en estados Unidos. Invalidará la ubicación de ese intervalo de direcciones IP. O bien, si no desea que un intervalo de direcciones IP esté asociado a un ISP registrado, puede invalidar el ISP registrado.

  6. Seleccione Crear cuando haya terminado.

    newipaddress range.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.