Requisitos de red

Nota:

Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

En este artículo se proporciona una lista de puertos y direcciones IP que debe permitir y permitir que funcionen con Microsoft Defender for Cloud Apps.

Consultar el centro de datos

Algunos de los siguientes requisitos dependen del centro de datos al que esté conectado.

Para ver el centro de datos al que se está conectando, siga estos pasos:

  1. En el portal Defender for Cloud Aplicaciones, seleccione el icono de signo de interrogación en la barra de menús. Después, seleccione Acerca de.

    click About.

  2. En la pantalla Defender for Cloud Aplicaciones, puede ver la región y el centro de datos.

    View your data center.

Acceso al portal

Para acceder al portal de aplicaciones de Defender for Cloud, agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS a la lista de permitidos del firewall:

portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net

En el caso de los clientes de GCC Alto gobierno de ESTADOS Unidos, también es necesario agregar los siguientes nombres DNS a la lista de permitidos del firewall para proporcionar acceso al portal de Defender for Cloud Apps GCC High:

portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com

Además, se deben permitir los siguientes elementos, en función del centro de datos que use:

Centro de datos Direcciones IP Nombre DNS
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us.portal.cloudappsecurity.com
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 *.us2.portal.cloudappsecurity.com
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us3.portal.cloudappsecurity.com
Unión Europea 1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 *.eu.portal.cloudappsecurity.com
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.eu2.portal.cloudappsecurity.com
Gov US1 13.72.19.4, 52.227.143.223 *.us1.portal.cloudappsecurity.us
GCC 52.227.23.181, 52.227.180.126 portal.cloudappsecuritygov.com, *.portal.cloudappsecuritygov.com, *.us1.portal.cloudappsecuritygov.com

Nota

En lugar de un carácter comodín (*) solo puede abrir su dirección URL de inquilino específica, por ejemplo, en función de la captura de pantalla anterior, puede abrir: mod244533.us.portal.cloudappsecurity.com

Controles de acceso y sesión

Configure el firewall para el proxy inverso mediante la configuración pertinente para su entorno.

Clientes comerciales

Para los clientes comerciales, para habilitar el proxy inverso de Defender for Cloud Apps, agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS a la lista de permitidos del firewall:

*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net

Además, se deben permitir las siguientes direcciones IP usadas por nuestras regiones de proxy inverso:

Direcciones IP Nombre DNS
Controles de sesión Sudeste de Australia: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130

Sur de Brasil: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10

Centro de Canadá: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236

Centro de la India: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248

Norte de Europa: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23

Sudeste asiático: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77

Oeste de Europa: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241

Oeste de Reino Unido: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118

Este de EE. UU.: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168

Oeste de EE. UU. 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233
*.mcas.ms
*.admin-mcas.ms
Controles de acceso Sudeste de Australia: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161

Sur de Brasil: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36,191.235.228.36

Norte de Europa: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15

Oeste de Europa: 52.157.234.222, 52.157.236.195

Sudeste asiático: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128

Oeste de Reino Unido: 40.81.127.139, 40.81.127.25, 51.137.163.32

Este de EE. UU.: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46

Oeste de EE. UU. 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137,20.115.232.7
*.access.mcas.ms
*.us.access-control.cas.ms
*.us2.access-control.cas.ms
*.eu.access-control.cas.ms
*.prod04.access-control.cas.ms
*.prod05.access-control.cas.ms
Proxy SAML Norte de Europa: 20.50.64.15

Este de EE. UU.: 20.49.104.26

Oeste de EE. UU. 2: 20.42.128.102
*.us.saml.cas.ms *.us2.saml.cas.ms *.us3.saml.cas.ms *.eu.saml.cas.ms *.eu2.saml.cas.ms

Ofertas de la Administración Pública de Estados Unidos

En el caso de los clientes de Us Government GCC High, para habilitar el proxy inverso de Defender for Cloud Apps, agregue el puerto de salida 443 para los siguientes nombres DNS a la lista de permitidos del firewall:

*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net

Además, se deben permitir las siguientes direcciones IP usadas por nuestras regiones de proxy inverso:

Para los clientes GCC Altos clientes de la Administración Pública de Estados Unidos:

Direcciones IP Nombre DNS
Controles de sesión US Gov Arizona: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117

US Gov Virginia: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222
*.mcas-gov.us
*.admin-mcas-gov.us
Controles de acceso US Gov Arizona: 52.244.215.83, 52.244.212.197

US Gov Virginia: 13.72.27.216, 13.72.27.215
*.access.mcas-gov.us
*.access.cloudappsecurity.us
Proxy SAML US Gov Arizona: 20.140.49.129

US Gov Virginia: 52.227.216.80
*.saml.cloudappsecurity.us

Para los clientes de GCC de la Administración Pública de Estados Unidos:

Direcciones IP Nombre DNS
Controles de sesión US Gov Virginia: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.224.228 *.mcas-gov.ms
*.admin-mcas-gov.ms
Controles de acceso US Gov Virginia: 52.245.224.235, 52.245.224.227 *.access.mcas-gov.ms
Proxy SAML US Gov Virginia: 52.227.216.80 *.saml.cloudappsecuritygov.com

Conexión del agente SIEM

Para habilitar Defender for Cloud Aplicaciones para conectarse a su SIEM, agregue el puerto de salida 443 para las siguientes direcciones IP a la lista de permitidos del firewall:

Centro de datos Direcciones IP
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62
Unión Europea 1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62
Gov US1 13.72.19.4, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Nota

  • Si no especificó un proxy al configurar el agente SIEM de Defender for Cloud Apps, debe permitir conexiones HTTP en el puerto 80 para las direcciones URL enumeradas en la página de cambios del certificado TLS de Azure. Se usa para comprobar el estado de revocación de certificados al conectarse al portal de aplicaciones de Defender for Cloud.
  • Se requiere un uso de certificado Microsoft Defender for Cloud Apps original para la conexión del agente SIEM.

Conector de la aplicación

Para que Defender for Cloud Aplicaciones accedan a algunas aplicaciones de terceros, se pueden usar estas direcciones IP. Las direcciones IP permiten a Defender for Cloud Aplicaciones recopilar registros y proporcionar acceso a la consola de aplicaciones de Defender for Cloud.

Nota

Es posible que vea estas direcciones IP en los registros de actividad del proveedor porque Defender for Cloud Apps realiza acciones de gobernanza y examina estas direcciones IP.

Para conectarse a aplicaciones de terceros, habilite Defender for Cloud Aplicaciones para conectarse desde estas direcciones IP:

Centro de datos Direcciones IP
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207
US2 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207
US3 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143
Unión Europea 1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239
Gov US1 52.227.138.248, 52.227.142.192, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Integración de DLP de terceros

Para permitir que Defender for Cloud Aplicaciones envíen datos a través de stunnel al servidor ICAP, abra el firewall de red perimetral en estas direcciones IP con un número de puerto de origen dinámico.

  1. Direcciones de origen: estas direcciones deben permitirse como se indicó anteriormente para las aplicaciones de terceros del conector de API.
  2. Puerto TCP de origen: dinámico
  3. Direcciones de destino: una o dos direcciones IP del servidor Stunnel conectado al servidor ICAP externo
  4. Puerto TCP de destino: según se defina en la red

Nota

  • El número de puerto de Stunnel está establecido de forma predeterminada en 11344. Si es necesario, puede cambiarlo y usar otro, pero no olvide anotar el número de puerto nuevo.
  • Es posible que vea estas direcciones IP en los registros de actividad del proveedor porque Defender for Cloud Apps realiza acciones de gobernanza y examina estas direcciones IP.

Para conectarse a aplicaciones de terceros e integrarse con soluciones DLP externas, habilite Defender for Cloud Aplicaciones para conectarse desde estas direcciones IP:

Centro de datos Direcciones IP
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177
US2 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189
US3 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242
Unión Europea 1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250

Servidor de correo

Para permitir que las notificaciones se envíen desde la plantilla y la configuración predeterminadas, agregue estas direcciones IP a la lista de permitidos contra correo no deseado. Las direcciones IP de correo electrónico dedicadas de Defender for Cloud Apps son:

  • 65.55.234.192/26
  • 207.46.50.192/26
  • 65.55.52.224/27
  • 94.245.112.0/27
  • 111.221.26.0/27
  • 207.46.200.0/27

Si desea personalizar la identidad del remitente de correo electrónico, Microsoft Defender for Cloud Apps habilita la personalización mediante MailChimp®, un servicio de correo electrónico de terceros. Para que funcione, en el portal de Microsoft Defender for Cloud Apps, vaya a Configuración. Seleccione Configuración de correo y revise los términos de servicio y declaración de privacidad de MailChimp. Después, conceda permiso a Microsoft para usar MailChimp en su nombre.

Si no personaliza la identidad del remitente, las notificaciones por correo electrónico se enviarán con toda la configuración predeterminada.

Para trabajar con MailChimp, agregue esta dirección IP a la lista de permitidos contra correo no deseado para permitir que se envíen notificaciones: 198.2.134.139 (mail1.cloudappsecurity.com)

Recopilador de registros

Para habilitar características de Cloud Discovery por medio de un recopilador de registros y detectar Shadow TI en la organización, abra los siguientes elementos:

Nota

  • Si el firewall requiere una lista de acceso a direcciones IP estáticas y no admite permitir en función de la dirección URL, permita que el recopilador de registros inicie el tráfico saliente a los intervalos IP del centro de datos Microsoft Azure en el puerto 443.
  • Si no especificó un proxy al configurar el recopilador de registros, debe permitir conexiones HTTP en el puerto 80 para las direcciones URL enumeradas en la página de cambios del certificado TLS de Azure . Se usa para comprobar el estado de revocación de certificados al conectarse al portal de aplicaciones de Defender for Cloud.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.