تكوين نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي من جهة خارجية وتسليم البريد الإلكتروني إلى علب بريد SecOps

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

للحفاظ على أمان مؤسستك بشكل افتراضي، لا يسمح Exchange Online Protection (EOP) بالقوائم الآمنة أو تجاوز التصفية للرسائل التي تم تعريفها على أنها برامج ضارة أو تصيد احتيالي عالي الثقة. ولكن، هناك سيناريوهات محددة تتطلب تسليم الرسائل غير المصفنة. على سبيل المثال:

  • محاكاة التصيد الاحتيالي لجهات خارجية: يمكن أن تساعدك هجمات المحاكاة في تحديد المستخدمين المعرضين للخطر وتدريبهم قبل أن يؤثر الهجوم الحقيقي على مؤسستك.
  • علب بريد عمليات الأمان (SecOps): علب البريد المخصصة التي تستخدمها فرق الأمان لجمع الرسائل غير المصفة وتحليلها (جيدة وسيئة).

استخدم نهج التسليم المتقدم في EOP لمنع تصفية الرسائل الواردة في هذه السيناريوهات المحددة ¹. يضمن نهج التسليم المتقدم أن الرسائل في هذه السيناريوهات تحقق النتائج التالية:

الرسائل التي يتم تحديدها بواسطة نهج التسليم المتقدم ليست تهديدات أمنية، لذلك يتم وضع علامة على الرسائل بتجاوزات النظام. تظهر التجارب مسؤول هذه الرسائل كمحاكاة للتصيد الاحتيالي أو تجاوز نظام علبة بريد SecOps. يمكن للمسؤولين استخدام هذه القيم لتصفية الرسائل وتحليلها في التجارب التالية:

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

  • يمكنك فتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.

  • للاتصال Exchange Online PowerShell، راجع الاتصال Exchange Online PowerShell.

  • يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:

    • Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).
    • البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defenderوأذونات Exchange Online:
      • الإنشاء الإعدادات المكونة أو تعديلها أو إزالتها في نهج التسليم المتقدم: العضوية في مجموعات دور مسؤول الأمان في التحكم في الوصول استنادا إلى الدور لتعاون البريد الإلكتروني & والعضوية في مجموعة دور إدارة المؤسسة في Exchange Online RBAC.
      • الوصول للقراءة فقط إلى نهج التسليم المتقدم: العضوية في مجموعات دور القارئ العام أو قارئ الأمان في البريد الإلكتروني & التحكم في الوصول استنادا إلى الدور للتعاون.
        • عرض إدارة المؤسسة فقط في Exchange Online RBAC.
    • أذونات Microsoft Entra: تمنح العضوية في أدوار المسؤول العام أو مسؤول الأمان أو القارئ العام أو قارئ الأمان المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.

استخدم مدخل Microsoft Defender لتكوين علب بريد SecOps في نهج التسليم المتقدم

  1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.

    في صفحة التسليم المتقدم ، تحقق من تحديد علامة التبويب علبة بريد SecOps .

  2. في علامة التبويب علبة بريد SecOps ، حدد الزر Add في منطقة No SecOps mailboxes المكونة من الصفحة.

    إذا كانت هناك إدخالات موجودة بالفعل في علامة التبويب علبة بريد SecOps ، فحدد تحرير (الزر إضافة غير متوفر).

  3. في القائمة المنبثقة إضافة علب بريد SecOps التي تفتح، أدخل علبة بريد Exchange Online موجودة تريد تعيينها كعلبة بريد SecOps عن طريق القيام بأي من الخطوات التالية:

    • انقر في المربع، ودع قائمة علب البريد تحل، ثم حدد علبة البريد.

    • انقر في المربع ابدأ بكتابة معرف لعلمة البريد (الاسم واسم العرض والاسم المستعار وعنوان البريد الإلكتروني واسم الحساب وما إلى ذلك)، وحدد علبة البريد (اسم العرض) من النتائج.

      كرر هذه الخطوة عدة مرات حسب الضرورة. مجموعات التوزيع غير مسموح بها.

      لإزالة قيمة موجودة، حدد إزالة بجوار القيمة.

  4. عند الانتهاء من القائمة المنبثقة Add SecOps mailboxes ، حدد Add..

  5. راجع المعلومات الموجودة في تجاوز القائمة المنبثقة المحفوظة تغييرات إلى علبة بريد SecOps ، ثم حدد إغلاق.

بالعودة إلى علامة التبويب علبة بريد SecOps ، يتم الآن سرد إدخالات علبة بريد SecOps التي قمت بتكوينها:

  • يحتوي عمود اسم العرض على اسم العرض لعلب البريد.
  • يحتوي عمود البريد الإلكتروني على عنوان البريد الإلكتروني لكل إدخال.
  • لتغيير قائمة الإدخالات من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.

استخدم مدخل Microsoft Defender لتعديل علب بريد SecOps أو إزالتها في نهج التسليم المتقدم

  1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.

    في صفحة التسليم المتقدم ، تحقق من تحديد علامة التبويب علبة بريد SecOps .

  2. في علامة التبويب علبة بريد SecOps ، حدد تحرير.

  3. في القائمة المنبثقة تحرير علب بريد SecOps التي تفتح، أضف علب البريد أو أزلها كما هو موضح في الخطوة 3 في استخدام مدخل Microsoft Defender لتكوين علب بريد SecOps في قسم نهج التسليم المتقدم.

    لإزالة كافة علب البريد، حدد إزالة بجانب كل قيمة حتى لا يتم تحديد المزيد من علب البريد.

  4. عند الانتهاء من القائمة المنبثقة تحرير علب بريد SecOps ، حدد حفظ.

  5. راجع المعلومات الموجودة في تجاوز القائمة المنبثقة المحفوظة تغييرات إلى علبة بريد SecOps ، ثم حدد إغلاق.

مرة أخرى في علامة التبويب علبة بريد SecOps ، يتم عرض إدخالات علبة بريد SecOps التي قمت بتكوينها. إذا قمت بإزالة جميع الإدخالات، تكون القائمة فارغة.

استخدم مدخل Microsoft Defender لتكوين عمليات محاكاة التصيد الاحتيالي لجهة خارجية في نهج التسليم المتقدم

لتكوين محاكاة التصيد الاحتيالي لجهة خارجية، تحتاج إلى توفير المعلومات التالية:

  • مجال واحد على الأقل: المجال من عنوان MAIL FROM (المعروف أيضا باسم 5321.MailFrom العنوان أو مرسل P1 أو مرسل المغلف) المستخدم في إرسال SMTP للرسالة أو مجال DKIM كما هو محدد من قبل مورد محاكاة التصيد الاحتيالي.
  • إرسال عنوان IP واحد على الأقل.
  • بالنسبة لمحاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (على سبيل المثال، رسائل Microsoft Teams أو Word المستندات أو جداول بيانات Excel)، يمكنك اختياريا تحديد عناوين URL للمحاكاة للسماح بعدم التعامل معها كتهديدات حقيقية في وقت النقر: لا يتم حظر عناوين URL أو تفجيرها، ولا يتم إنشاء تنبيهات النقر فوق عنوان URL أو الحوادث الناتجة. يتم التفاف عناوين URL في وقت النقر، ولكن لا يتم حظرها.

يجب أن يكون هناك تطابق على مجال واحد على الأقل وعنوان IP إرسال واحد، ولكن لا يتم الاحتفاظ بأي اقتران بين القيم.

إذا لم يشير سجل MX إلى Microsoft 365، فيجب أن يتطابق عنوان IP في Authentication-results العنوان مع عنوان IP في نهج التسليم المتقدم. إذا لم تتطابق عناوين IP، فقد تحتاج إلى تكوين تصفية محسنة للموصلات بحيث يتم الكشف عن عنوان IP الصحيح.

ملاحظة

لا تعمل التصفية المحسنة للموصلات لمحاكاة التصيد الاحتيالي لجهات خارجية في سيناريوهات توجيه البريد الإلكتروني المعقدة (على سبيل المثال، يتم توجيه البريد الإلكتروني من الإنترنت إلى Microsoft 365، ثم إلى بيئة محلية أو خدمة أمان تابعة لجهة خارجية، ثم العودة إلى Microsoft 365). لا يمكن ل EOP تحديد عنوان IP الحقيقي لمصدر الرسالة. لا تحاول التغلب على هذا القيد عن طريق إضافة عناوين IP للبنية الأساسية المحلية أو الخارجية التي ترسل البنية الأساسية إلى محاكاة التصيد الاحتيالي التابعة لجهة خارجية. يؤدي القيام بذلك إلى تجاوز تصفية البريد العشوائي بشكل فعال لأي مرسل إنترنت ينتحل صفة المجال المحدد في محاكاة التصيد الاحتيالي التابع لجهة خارجية.

حاليا، لا يدعم نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي التابع لجهة خارجية عمليات المحاكاة داخل نفس المؤسسة (DIR:INT)، خاصة عندما يتم توجيه البريد الإلكتروني عبر بوابة Exchange Server قبل Microsoft 365 في تدفق البريد المختلط. للتغلب على هذه المشكلة، لديك الخيارات التالية:

  • الإنشاء موصل إرسال مخصص لا يصادق رسائل محاكاة التصيد الاحتيالي كرسائل داخلية.
  • قم بتكوين محاكاة التصيد الاحتيالي لتجاوز البنية الأساسية Exchange Server وتوجيه البريد مباشرة إلى سجل Microsoft 365 MX (على سبيل المثال، contoso-com.mail.protection.outlook.com).
  • على الرغم من أنه يمكنك تعيين مسح الرسائل داخل المؤسسة إلى None في نهج مكافحة البريد العشوائي ، فإننا لا نوصي بهذا الخيار لأنه يؤثر على رسائل البريد الإلكتروني الأخرى.

إذا كنت تستخدم نهج الأمان المعين مسبقا للحماية المضمنة أو إذا كانت نهج الارتباطات الآمنة المخصصة لديك تحتوي على الإعداد عدم إعادة كتابة عناوين URL، أو إجراء عمليات التحقق عبر واجهة برمجة تطبيقات SafeLinks التي تم تمكينها فقط، ولا يتعامل وقت حماية النقر مع ارتباطات محاكاة التصيد الاحتيالي في البريد الإلكتروني كتهديدات في Outlook على ويب وOutlook for iOS وAndroid وOutlook for Windows v16.0.15317.10000 أو إصدار أحدث، Outlook for Mac الإصدار 16.74.23061100 أو أحدث. إذا كنت تستخدم إصدارات قديمة من Outlook، ففكر في تعطيل عدم إعادة كتابة عناوين URL، وإجراء عمليات التحقق عبر SafeLinks API فقط في نهج الارتباطات الآمنة المخصصة.

قد تؤدي إضافة عناوين URL لمحاكاة التصيد الاحتيالي إلى قسم عدم إعادة كتابة عناوين URL التالية في البريد الإلكتروني في نهج الارتباطات الآمنة إلى تنبيهات غير مرغوب فيها لنقرات URL. يسمح تلقائيا بعناوين URL لمحاكاة التصيد الاحتيالي في رسائل البريد الإلكتروني أثناء تدفق البريد ووقت النقر.

حاليا، لا يدعم نهج التسليم المتقدم لعلب بريد SecOps الرسائل داخل المؤسسة (DIR:INT)، وسيتم عزل هذه الرسائل. كحل بديل، يمكنك استخدام نهج منفصل لمكافحة البريد العشوائي لعلب بريد SecOps التي لا تعطل الرسائل داخل المؤسسة. لا نوصي بتعطيل الحماية داخل المؤسسة لجميع علب البريد.

  1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.

    في صفحة التسليم المتقدم ، حدد علامة التبويب محاكاة التصيد الاحتيالي .

  2. في علامة التبويب محاكاة التصيد الاحتيالي ، حدد الزر Add في منطقة No third party phishing simulations المكونة من الصفحة.

    إذا كانت هناك إدخالات موجودة بالفعل في علامة التبويب محاكاة التصيد الاحتيالي ، فحدد تحرير (الزر إضافة غير متوفر).

  3. في القائمة المنبثقة Add third party phishing simulations التي تفتح، قم بتكوين الإعدادات التالية:

    • المجال: قم بتوسيع هذا الإعداد وأدخل مجال عنوان بريد إلكتروني واحد على الأقل بالنقر في المربع، وإدخال قيمة (على سبيل المثال، contoso.com)، ثم الضغط على المفتاح ENTER أو تحديد القيمة المعروضة أسفل المربع. كرر هذه الخطوة عدة مرات حسب الضرورة. يمكنك إضافة ما يصل إلى 50 إدخالا. استخدم إحدى القيم التالية:

      • المجال في 5321.MailFrom العنوان (المعروف أيضا باسم عنوان MAIL FROM أو مرسل P1 أو مرسل المغلف) المستخدم في إرسال SMTP للرسالة.
      • مجال DKIM كما هو محدد من قبل مورد محاكاة التصيد الاحتيالي.

    • إرسال IP: قم بتوسيع هذا الإعداد وأدخل عنوان IPv4 صالحا واحدا على الأقل بالنقر في المربع، وإدخال قيمة، ثم الضغط على المفتاح ENTER أو تحديد القيمة المعروضة أسفل المربع. كرر هذه الخطوة عدة مرات حسب الضرورة. يمكنك إضافة ما يصل إلى 10 إدخالات. القيم الصالحة هي:

      • عنوان IP واحد: على سبيل المثال، 192.168.1.1.
      • نطاق IP: على سبيل المثال، 192.168.0.1-192.168.0.254.
      • CIDR IP: على سبيل المثال، 192.168.0.1/25.

    • عناوين URL للمحاكاة للسماح: هذا الإعداد غير مطلوب للارتباطات في عمليات محاكاة التصيد الاحتيالي عبر البريد الإلكتروني. استخدم هذا الإعداد لتحديد الارتباطات اختياريا في عمليات محاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (الارتباطات في رسائل Teams أو في مستندات Office) التي لا ينبغي التعامل معها كتهديدات حقيقية في وقت النقر.

      أضف إدخالات عنوان URL عن طريق توسيع هذا الإعداد، والنقر في المربع، وإدخال قيمة، ثم الضغط على المفتاح ENTER أو تحديد القيمة المعروضة أسفل المربع. يمكنك إضافة ما يصل إلى 30 إدخالا. للحصول على بناء جملة عنوان URL، راجع بناء جملة عنوان URL لقائمة السماح/الحظر للمستأجر.

    لإزالة مجال أو IP أو قيمة URL موجودة، حدد إزالة بجوار القيمة.

    ضع في اعتبارك المثال التالي:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    • عنوان IP المتصل هو 172.17.17.7.
    • المجال في عنوان MAIL FROM (smtp.mailfrom) contoso.com.
    • مجال DKIM (header.d) contoso-simulation.com.

    من المثال، يمكنك استخدام إحدى المجموعات التالية لتكوين محاكاة تصيد احتيالي تابعة لجهة خارجية:

    المجال: contoso.com
    إرسال IP: 172.17.17.7

    المجال: contoso-simulation.com
    إرسال IP: 172.17.17.7

  4. عند الانتهاء من القائمة المنبثقة Add third party phishing simulations ، حدد Add.

  5. راجع المعلومات الواردة في القائمة المنبثقة التغييرات في محاكاة التصيد الاحتيالي ، ثم حدد إغلاق.

بالعودة إلى علامة التبويب محاكاة التصيد الاحتيالي ، يتم الآن سرد إدخالات محاكاة التصيد الاحتيالي التابعة لجهة خارجية التي قمت بتكوينها:

  • يحتوي عمود القيمة على المجال أو عنوان IP أو إدخال عنوان URL.
  • يحتوي عمود النوع على القيمة إرسال عنوان URL للمحاكاة IP أو المجال أو المسموح به لكل إدخال.
  • يظهر عمود التاريخ وقت إنشاء الإدخال.
  • لتغيير قائمة الإدخالات من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.

استخدم مدخل Microsoft Defender لتعديل أو إزالة عمليات محاكاة التصيد الاحتيالي التابعة لجهة خارجية في نهج التسليم المتقدم

  1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.

    في صفحة التسليم المتقدم ، حدد علامة التبويب محاكاة التصيد الاحتيالي .

  2. في علامة التبويب محاكاة التصيد الاحتيالي ، حدد تحرير.

  3. في القائمة المنبثقة تحرير محاكاة التصيد الاحتيالي التابعة لجهة خارجية التي تفتح أو تضيف أو تزيل إدخالات للمجالوإرسال عنوان IPوعناوين URL للمحاكاة كما هو موضح في الخطوة 3 في استخدام مدخل Microsoft Defender لتكوين علب بريد SecOps في قسم نهج التسليم المتقدم.

    لإزالة جميع الإدخالات، حدد إزالة بجانب كل قيمة حتى لا يتم تحديد المزيد من المجالات أو عناوين IP أو عناوين URL.

  4. عند الانتهاء من القائمة المنبثقة Edit third-party phishing simulation ، حدد Save.

  5. راجع المعلومات الواردة في القائمة المنبثقة التغييرات في محاكاة التصيد الاحتيالي ، ثم حدد إغلاق.

مرة أخرى في علامة التبويب محاكاة التصيد الاحتيالي ، يتم عرض إدخالات محاكاة التصيد الاحتيالي التابعة لجهة خارجية التي قمت بتكوينها. إذا قمت بإزالة جميع الإدخالات، تكون القائمة فارغة.

سيناريوهات إضافية تتطلب تجاوز التصفية

بالإضافة إلى السيناريوهين اللذين يمكن أن يساعدك فيهما نهج التسليم المتقدم، هناك سيناريوهات أخرى قد تحتاج فيها إلى تجاوز تصفية الرسائل:

  • عوامل تصفية الجهات الخارجية: إذا لم يشير سجل MX لمجالك إلى Office 365 (يتم توجيه الرسائل إلى مكان آخر أولا)، فلن يتوفرالأمان بشكل افتراضي. إذا كنت ترغب في إضافة حماية، فأنت بحاجة إلى تمكين التصفية المحسنة للموصلات (المعروفة أيضا باسم تخطي القائمة). لمزيد من المعلومات، راجع إدارة تدفق البريد باستخدام خدمة سحابية تابعة لجهة خارجية مع Exchange Online. إذا كنت لا تريد التصفية المحسنة للموصلات، فاستخدم قواعد تدفق البريد (المعروفة أيضا باسم قواعد النقل) لتجاوز تصفية Microsoft للرسائل التي تم تقييمها بالفعل بواسطة تصفية الجهات الخارجية. لمزيد من المعلومات، راجع استخدام قواعد تدفق البريد لتعيين SCL في الرسائل.

  • الإيجابيات الخاطئة قيد المراجعة: قد ترغب في السماح مؤقتا بالرسائل الجيدة التي تم تعريفها بشكل غير صحيح على أنها سيئة (إيجابيات خاطئة) قمت بالإبلاغ عنها عبر عمليات إرسال المسؤول، ولكن لا تزال Microsoft تحلل الرسائل. وكما هو الحال مع جميع التجاوزات، نوصي بشدة بأن تكون هذه البدلات مؤقتة.

إجراءات PowerShell لعلب بريد SecOps في نهج التسليم المتقدم

في PowerShell، العناصر الأساسية لعلب بريد SecOps في نهج التسليم المتقدم هي:

  • نهج تجاوز SecOps: يتم التحكم فيه بواسطة أوامر cmdlets *-SecOpsOverridePolicy .
  • قاعدة تجاوز SecOps: يتم التحكم فيها بواسطة أوامر cmdlets *-ExoSecOpsOverrideRule .

يحتوي هذا السلوك على النتائج التالية:

  • يمكنك إنشاء النهج أولا، ثم إنشاء القاعدة التي تحدد النهج الذي تنطبق عليه القاعدة.
  • عند إزالة نهج من PowerShell، تتم أيضا إزالة القاعدة المقابلة.
  • عند إزالة قاعدة من PowerShell، لا تتم إزالة النهج المقابل. تحتاج إلى إزالة النهج المقابل يدويا.

استخدام PowerShell لتكوين علب بريد SecOps

يعد تكوين علبة بريد SecOps في نهج التسليم المتقدم في PowerShell عملية من خطوتين:

  1. الإنشاء نهج تجاوز SecOps.
  2. الإنشاء قاعدة تجاوز SecOps التي تحدد النهج الذي تنطبق عليه القاعدة.

الخطوة 1: استخدام PowerShell لإنشاء نهج تجاوز SecOps

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

بغض النظر عن قيمة الاسم التي تحددها، فإن اسم النهج هو SecOpsOverridePolicy، لذلك قد تستخدم هذه القيمة أيضا.

ينشئ هذا المثال نهج علبة بريد SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-SecOpsOverridePolicy.

الخطوة 2: استخدام PowerShell لإنشاء قاعدة تجاوز SecOps

في Exchange Online PowerShell، قم بتشغيل الأمر التالي:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

بغض النظر عن قيمة الاسم التي تحددها، سيكون _Exe:SecOpsOverrid:<GUID\> اسم القاعدة [sic] حيث <GUID> هو قيمة GUID فريدة (على سبيل المثال، 312c23cf-0377-4162-b93d-6548a9977efb9).

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-ExoSecOpsOverrideRule.

استخدام PowerShell لعرض نهج تجاوز SecOps

في Exchange Online PowerShell، يقوم هذا المثال بإرجاع معلومات مفصلة حول نهج علبة بريد SecOps واحد فقط.

Get-SecOpsOverridePolicy

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-SecOpsOverridePolicy.

استخدام PowerShell لعرض قواعد تجاوز SecOps

في Exchange Online PowerShell، يقوم هذا المثال بإرجاع معلومات مفصلة حول قواعد تجاوز SecOps.

Get-ExoSecOpsOverrideRule

على الرغم من أن الأمر السابق يجب أن يرجع قاعدة واحدة فقط، فقد يتم أيضا تضمين قاعدة معلقة للحذف في النتائج.

يحدد هذا المثال القاعدة الصالحة (واحدة) وأي قواعد غير صالحة.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

بعد تحديد القواعد غير الصالحة، يمكنك إزالتها باستخدام الأمر Cmdlet Remove-ExoSecOpsOverrideRule كما هو موضح لاحقا في هذه المقالة.

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-ExoSecOpsOverrideRule.

استخدام PowerShell لتعديل نهج تجاوز SecOps

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

يضيف secops2@contoso.com هذا المثال إلى نهج تجاوز SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

ملاحظة

إذا كانت هناك قاعدة تجاوز SecOps مقترنة وصحيحة، يتم أيضا تحديث عناوين البريد الإلكتروني في القاعدة.

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Set-SecOpsOverridePolicy.

استخدام PowerShell لتعديل قاعدة تجاوز SecOps

لا يقوم الأمر cmdlet Set-ExoSecOpsOverrideRule بتعديل عناوين البريد الإلكتروني في قاعدة تجاوز SecOps. لتعديل عناوين البريد الإلكتروني في قاعدة تجاوز SecOps، استخدم الأمر Cmdlet Set-SecOpsOverridePolicy .

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Set-ExoSecOpsOverrideRule.

استخدام PowerShell لإزالة نهج تجاوز SecOps

في Exchange Online PowerShell، يزيل هذا المثال نهج علبة بريد SecOps والقاعدة المقابلة.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-SecOpsOverridePolicy.

استخدام PowerShell لإزالة قواعد تجاوز SecOps

في Exchange Online PowerShell، استخدم الأوامر التالية:

  • إزالة أي قواعد تجاوز SecOps:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule

  • إزالة قاعدة تجاوز SecOps المحددة:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-ExoSecOpsOverrideRule.

إجراءات PowerShell لمحاكاة التصيد الاحتيالي لجهات خارجية في نهج التسليم المتقدم

في PowerShell، العناصر الأساسية لمحاكاة التصيد الاحتيالي لجهات خارجية في نهج التسليم المتقدم هي:

  • نهج تجاوز محاكاة التصيد الاحتيالي: يتم التحكم فيه بواسطة أوامر cmdlets *-PhishSimOverridePolicy .
  • قاعدة تجاوز محاكاة التصيد الاحتيالي: يتم التحكم فيها بواسطة أوامر cmdlets *-ExoPhishSimOverrideRule .
  • عناوين URL لمحاكاة التصيد الاحتيالي المسموح بها (غير محظورة): يتم التحكم فيها بواسطة cmdlets *-TenantAllowBlockListItems .

ملاحظة

كما هو موضح سابقا، لا يلزم تحديد عناوين URL للارتباطات في عمليات محاكاة التصيد الاحتيالي المستندة إلى البريد الإلكتروني. يمكنك اختياريا تحديد الارتباطات في عمليات محاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (الارتباطات في رسائل Teams أو في مستندات Office) التي لا ينبغي التعامل معها كتهديدات حقيقية في وقت النقر.

يحتوي هذا السلوك على النتائج التالية:

  • يمكنك إنشاء النهج أولا، ثم إنشاء القاعدة التي تحدد النهج الذي تنطبق عليه القاعدة.
  • يمكنك تعديل الإعدادات في النهج والقاعدة بشكل منفصل.
  • عند إزالة نهج من PowerShell، تتم أيضا إزالة القاعدة المقابلة.
  • عند إزالة قاعدة من PowerShell، لا تتم إزالة النهج المقابل. تحتاج إلى إزالة النهج المقابل يدويا.

استخدام PowerShell لتكوين محاكاة التصيد الاحتيالي التابعة لجهة خارجية

يعد تكوين محاكاة التصيد الاحتيالي لجهة خارجية في PowerShell عملية متعددة الخطوات:

  1. الإنشاء نهج تجاوز محاكاة التصيد الاحتيالي.
  2. الإنشاء قاعدة تجاوز محاكاة التصيد الاحتيالي التي تحدد:
    • النهج الذي تنطبق عليه القاعدة.
    • عنوان IP المصدر لرسائل محاكاة التصيد الاحتيالي.
  3. اختياريا، حدد عناوين URL لمحاكاة التصيد الاحتيالي في عمليات محاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (ارتباطات في رسائل Teams أو في مستندات Office) التي لا ينبغي التعامل معها كتهديدات حقيقية في وقت النقر.

الخطوة 1: استخدام PowerShell لإنشاء نهج تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، ينشئ هذا المثال نهج تجاوز محاكاة التصيد الاحتيالي.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

بغض النظر عن قيمة الاسم التي تحددها، فإن اسم النهج هو PhishSimOverridePolicy، لذلك قد تستخدم هذه القيمة أيضا.

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-PhishSimOverridePolicy.

الخطوة 2: استخدام PowerShell لإنشاء قاعدة تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

بغض النظر عن قيمة الاسم التي تحددها، سيكون _Exe:PhishSimOverr:<GUID\> اسم القاعدة [sic] حيث <GUID> هو قيمة GUID فريدة (على سبيل المثال، 6fed4b63-3563-495d-a481-b24a311f8329).

إدخال عنوان IP صالح هو إحدى القيم التالية:

  • عنوان IP واحد: على سبيل المثال، 192.168.1.1.
  • نطاق IP: على سبيل المثال، 192.168.0.1-192.168.0.254.
  • CIDR IP: على سبيل المثال، 192.168.0.1/25.

ينشئ هذا المثال قاعدة تجاوز محاكاة التصيد الاحتيالي بالإعدادات المحددة.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-ExoPhishSimOverrideRule.

الخطوة 3: (اختياري) استخدم PowerShell لتحديد عناوين URL لمحاكاة التصيد الاحتيالي للسماح

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

للحصول على تفاصيل حول بناء جملة عنوان URL، راجع بناء جملة عنوان URL لقائمة السماح/الحظر للمستأجر

يضيف هذا المثال عنوان URL يسمح بإدخال عنوان URL المحدد لمحاكاة التصيد الاحتيالي لجهة خارجية دون انتهاء صلاحية.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع New-TenantAllowBlockListItems.

استخدام PowerShell لعرض نهج تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، يقوم هذا المثال بإرجاع معلومات مفصلة حول نهج تجاوز محاكاة التصيد الاحتيالي الوحيد.

Get-PhishSimOverridePolicy

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-PhishSimOverridePolicy.

استخدام PowerShell لعرض قواعد تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell)، يقوم هذا المثال بإرجاع معلومات مفصلة حول قواعد تجاوز محاكاة التصيد الاحتيالي.

Get-ExoPhishSimOverrideRule

على الرغم من أن الأمر السابق يجب أن يرجع قاعدة واحدة فقط، فقد يتم أيضا تضمين أي قواعد معلقة للحذف في النتائج.

يحدد هذا المثال القاعدة الصالحة (واحدة) وأي قواعد غير صالحة.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

بعد تحديد القواعد غير الصالحة، يمكنك إزالتها باستخدام الأمر Cmdlet Remove-ExoPhishSimOverrideRule كما هو موضح لاحقا في هذه المقالة.

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-ExoPhishSimOverrideRule.

استخدم PowerShell لعرض إدخالات عنوان URL لمحاكاة التصيد الاحتيالي المسموح بها

في Exchange Online PowerShell، قم بتشغيل الأمر التالي:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Get-TenantAllowBlockListItems.

استخدام PowerShell لتعديل نهج تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

يعطل هذا المثال نهج تجاوز محاكاة التصيد الاحتيالي.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Set-PhishSimOverridePolicy.

استخدام PowerShell لتعديل قواعد تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

او

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

استخدم الأمر cmdlet Get-ExoPhishSimOverrideRule للعثور على <قيم PhishSimOverrideRuleIdentity> . يستخدم اسم القاعدة بناء الجملة التالي: _Exe:PhishSimOverr:<GUID\> [sic] حيث <GUID> هو قيمة GUID فريدة (على سبيل المثال، 6fed4b63-3563-495d-a481-b24a311f8329).

يعدل هذا المثال قاعدة تجاوز محاكاة التصيد الاحتيالي (ربما فقط) بالإعدادات التالية:

  • أضف blueyonderairlines.com إدخال المجال.
  • قم بإزالة إدخال عنوان IP 192.168.1.55.

لا تؤثر هذه التغييرات على الإدخالات الموجودة في القاعدة.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Set-ExoPhishSimOverrideRule.

استخدم PowerShell لتعديل إدخالات عنوان URL لمحاكاة التصيد الاحتيالي المسموح بها

لا يمكنك تعديل قيم URL مباشرة. يمكنك إزالة إدخالات URL الموجودةوإضافة إدخالات URL جديدة كما هو موضح في هذه المقالة.

في Exchange Online PowerShell، لتعديل خصائص أخرى لإدخال عنوان URL لمحاكاة التصيد الاحتيالي المسموح به (على سبيل المثال، تاريخ انتهاء الصلاحية أو التعليقات)، استخدم بناء الجملة التالي:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

يمكنك تحديد الإدخال المراد تعديله حسب قيم URL الخاصة به ( المعلمة Entries ) أو قيمة Identity من إخراج Get-TenantAllowBlockListItems cmdlet ( معلمة Ids ).

قام هذا المثال بتعديل تاريخ انتهاء صلاحية الإدخال المحدد.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Set-TenantAllowBlockListItems.

استخدام PowerShell لإزالة نهج تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، يزيل هذا المثال نهج تجاوز محاكاة التصيد الاحتيالي والقاعدة المقابلة.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-PhishSimOverridePolicy.

استخدام PowerShell لإزالة قواعد تجاوز محاكاة التصيد الاحتيالي

في Exchange Online PowerShell، استخدم الأوامر التالية:

  • إزالة أي قواعد تجاوز لمحاكاة التصيد الاحتيالي:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule

  • إزالة قاعدة تجاوز محاكاة التصيد الاحتيالي المحددة:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-ExoPhishSimOverrideRule.

استخدم PowerShell لإزالة إدخالات عنوان URL لمحاكاة التصيد الاحتيالي المسموح بها

في Exchange Online PowerShell، استخدم بناء الجملة التالي:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

يمكنك تحديد الإدخال المراد تعديله حسب قيم URL الخاصة به ( المعلمة Entries ) أو قيمة Identity من إخراج Get-TenantAllowBlockListItems cmdlet ( معلمة Ids ).

قام هذا المثال بتعديل تاريخ انتهاء صلاحية الإدخال المحدد.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-TenantAllowBlockListItems.