Utilizzo di tag e intervalli IP

Nota

Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

Per identificare facilmente gli indirizzi IP noti, ad esempio gli indirizzi IP dell'ufficio, è necessario impostare intervalli di indirizzi IP. Gli intervalli di indirizzi IP consentono di contrassegnare con tag, categorizzare e personalizzare il modo in cui sono visualizzati e analizzati gli avvisi e i registri. Ogni gruppo di intervalli di indirizzi IP può essere categorizzato in base a un elenco predefinito di categorie IP. È anche possibile creare tag IP personalizzati per gli intervalli di indirizzi IP. È inoltre possibile eseguire l'override delle informazioni sulla georilevazione pubblica in base alla conoscenza interna della rete. IPv4 e IPv6 sono entrambi supportati.

Defender for Cloud Apps viene preconfigurato con intervalli IP predefiniti per i provider di servizi cloud più diffusi, ad esempio Azure e Office 365. Inoltre, sono disponibili tag predefiniti in base all'intelligence per le minacce di Microsoft tra cui proxy anonimi, Botnet e Tor. È possibile visualizzare l'elenco completo nell'elenco a discesa nella pagina degli intervalli di indirizzi IP.

Nota

  • Per usare questi tag predefiniti come parte di una ricerca, fare riferimento al relativo ID nella documentazione dell'API Defender for Cloud Apps.
  • È possibile aggiungere intervalli IP in blocco creando uno script usando l'API intervalli di indirizzi IP.
  • Non è possibile aggiungere intervalli IP con indirizzi IP sovrapposti.
  • Per visualizzare la documentazione dell'API, passare alla barra dei menu del portale di Defender for Cloud Apps, selezionare il punto interrogativo e quindi selezionare la documentazione dell'API.

I tag degli indirizzi IP predefiniti e i tag IP personalizzati vengono considerati in ordine gerarchico. I tag IP personalizzati hanno la precedenza sui tag IP predefiniti. Ad esempio, se un indirizzo IP è Rischioso in base all'intelligence per le minacce ma è presente un tag IP personalizzato che lo identifica come Aziendale, la categoria e i tag personalizzati hanno la precedenza.

Creare un intervallo di indirizzi IP

Nella barra dei menu selezionare l'icona Impostazioni. Nel menu a discesa selezionare Intervalli di indirizzi IP. Selezionare Aggiungi intervallo di indirizzi IP per aggiungere intervalli di indirizzi IP e impostare i campi seguenti:

  1. Specificare un nome per l'intervallo di IP. Il nome non viene visualizzato nel log attività. Viene usato solo per gestire l'intervallo IP.

  2. Immettere ogni intervallo di indirizzi IP che si desidera configurare. È possibile aggiungere tutti gli indirizzi IP e le subnet desiderate usando la notazione del prefisso di rete (nota anche come notazione CIDR), ad esempio 192.168.1.0/32.

  3. Le categorie vengono usate per riconoscere facilmente le attività da indirizzi IP importanti nei log e negli avvisi. Le categorie sono disponibili nel portale. Tuttavia, in genere richiedono la configurazione utente per determinare gli indirizzi IP inclusi in ogni categoria. L'eccezione a questa configurazione è la categoria Rischiosa , che include due tag IP - proxy anonimo e Tor.

    Sono disponibili le categorie seguenti:

    • Amministratore: questi indirizzi IP devono essere tutti gli indirizzi IP usati dagli amministratori.

    • Provider di servizi Cloud: include gli indirizzi IP usati dal provider di servizi cloud. Applicare questa categoria se il provider di servizi cloud non viene identificato automaticamente.

    • Aziendale: questi INDIRIZZI IP devono essere tutti gli indirizzi IP pubblici della rete interna, le succursali e gli indirizzi mobili di Wi-Fi.

    • Rischiosa: include tutti gli indirizzi IP considerati rischiosi. Possono essere inclusi gli indirizzi IP sospetti visti in precedenza, gli indirizzi IP delle reti della concorrenza e così via.

    • VPN: include tutti gli indirizzi IP usati per gli utenti remoti. Usando questa categoria, è possibile evitare di generare avvisi di viaggio impossibili quando i dipendenti si connettono dai loro luoghi di casa tramite la VPN aziendale.

    Per includere l'intervallo IP in una categoria, selezionare una categoria dal menu a discesa.

  4. Per contrassegnare le attività provenienti da questi indirizzi IP, immettere un tag. Quando si immette una parola nella casella, viene creato il tag. Dopo aver configurato un tag, è possibile aggiungerlo facilmente a intervalli IP aggiuntivi selezionandolo dall'elenco. È possibile aggiungere più tag IP per ogni intervallo. I tag IP possono essere usati durante la creazione di criteri. Oltre ai tag IP configurati, Defender for Cloud Apps include tag predefiniti che non sono configurabili. È possibile visualizzare l'elenco dei tag nel filtro dei tag IP.

    Nota

    • I tag IP vengono aggiunti all'attività senza eseguire l'override dei dati.
  5. Per eseguire l'override dell'ISP registrato o override della posizione o per questi indirizzi, selezionare la casella di controllo pertinente. Ad esempio, se si ha un indirizzo IP considerato pubblicamente essere in Irlanda, ma si sa che l'IP è negli Stati Uniti. Verrà ignorato il percorso per l'intervallo di indirizzi IP. In alternativa, se non si vuole che un intervallo di indirizzi IP sia associato a un ISP registrato, è possibile eseguire l'override dell'ISP registrato.

  6. Al termine, selezionare Crea.

    newipaddress range.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.