Trabajo con etiquetas e intervalos IP

Para identificar fácilmente las direcciones IP conocidas, como las direcciones IP de oficina física, deberá establecer los intervalos de direcciones IP. Los intervalos de direcciones IP permiten etiquetar, clasificar y personalizar la forma en que los registros y alertas se muestran e investigan. Cada grupo de intervalos IP se puede clasificar en función de una lista predeterminada de categorías IP. También podrá crear etiquetas IP personalizadas para los intervalos IP. Además, puede invalidar la información de geolocalización pública según su conocimiento de la red interna. Se admiten tanto IPv4 como IPv6.

Defender for Cloud Apps está preconfigurado con intervalos IP integrados de proveedores populares de servicios en la nube como Azure y Microsoft 365. También hay etiquetas integradas basadas en la inteligencia sobre amenazas de Microsoft, incluidos proxy anónimos, redes de robots (botnet) y Tor. Puede ver la lista completa en la lista desplegable de la página de intervalos de direcciones IP.

Nota:

  • Para usar estas etiquetas integradas como parte de una búsqueda, consulte su identificador en la documentación de API de Defender for Cloud Apps.
  • Para agregar intervalos de direcciones IP de forma masiva, puede crear un script mediante la API de intervalos de direcciones IP.
  • No se pueden agregar intervalos IP con direcciones IP superpuestas.
  • Para ver la documentación de la API, vaya a Documentación de la API.

Las etiquetas de dirección IP integradas y las etiquetas IP personalizadas se consideran de forma jerárquica. Las etiquetas IP personalizadas tienen prioridad sobre las etiquetas IP integradas. Por ejemplo, si una dirección IP se etiqueta como De riesgo en función de la información disponible sobre las amenazas pero hay una etiqueta IP personalizada que la identifica como Corporativa, la categoría y las etiquetas personalizadas tendrán prioridad.

Crear un intervalo de direcciones IP

En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Sistema, seleccione Intervalos de direcciones IP. Seleccione Agregar intervalo de direcciones IP para agregar intervalos de direcciones IP y establezca los siguientes campos:

  1. Dé un nombre al intervalo IP. El nombre no aparece en el registro de actividades. Solo se usa para administrar el intervalo IP.

  2. Escriba cada intervalo de direcciones IP que desee configurar. Puede agregar cuantas direcciones IP y subredes quiera mediante la notación de prefijos de red (también conocida como notación CIDR), por ejemplo, 192.168.1.0/32.

  3. Las categorías se usan para reconocer fácilmente las actividades de direcciones IP importantes en los registros y las alertas. Las categorías están disponibles en el portal. Pero normalmente requieren la configuración de usuario para determinar qué direcciones IP están incluidas en cada categoría. La excepción a esta configuración es la categoría De riesgo, que incluye dos etiquetas IP: proxy anónimo y Tor.

    Están disponibles las siguientes categorías:

    • Administrativo: estas direcciones IP deben ser todas las direcciones IP de los administradores.

    • Proveedor de nube: estas direcciones IP deben ser las direcciones IP usadas por el proveedor de nube. Aplique esta categoría si el proveedor de nube no se identifica automáticamente.

    • Corporativa: estas direcciones IP deben ser todas las direcciones IP públicas de la red interna, las sucursales y las direcciones de itinerancia de Wi-Fi.

    • De riesgo: estas direcciones IP deben ser todas las direcciones IP que se consideran que entrañan riesgos. Puede englobar direcciones IP sospechosas detectadas en el pasado, direcciones IP en las redes de la competencia y así sucesivamente.

    • VPN: estas direcciones IP deben ser las direcciones IP que se usan en los trabajos remotos. Con esta categoría, puede evitar generar alertas de viaje imposibles cuando los empleados se conectan desde sus ubicaciones domésticas a través de la VPN corporativa.

    Para incluir el intervalo IP en una categorías, seleccione una categoría del menú desplegable.

  4. Especifique una etiqueta para etiquetar las actividades de estas direcciones IP. La etiqueta se creará si escribe una palabra en el cuadro. Con la etiqueta ya configurada, puede agregarla a más intervalos IP seleccionándola en la lista. Puede agregar más de una etiqueta IP para cada intervalo. Las etiquetas IP se pueden usar al crear directivas. Junto con las etiquetas IP que configure, Defender for Cloud Apps tiene etiquetas integradas que no son configurables. Puede ver la lista de etiquetas en el Filtro de etiquetas IP.

    Nota:

    • Las etiquetas IP se agregan a la actividad sin invalidar datos.
    • Se pueden aplicar varias etiquetas en el mismo intervalo IP.
  5. Para Invalidar el ISP registrado o Invalidar la ubicación o para estas direcciones, active la casilla correspondiente. Por ejemplo, si tiene una dirección IP que se considera públicamente como perteneciente a Irlanda, pero sabe que está en Estados Unidos. Invalidará la ubicación de ese intervalo de direcciones IP. O bien, si no desea que un intervalo de direcciones IP esté asociado a un ISP registrado, puede invalidar el ISP registrado.

  6. Seleccione Crear cuando haya terminado.

    nuevo intervalo de direcciones IP.

Pasos siguientes

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.