Správa povolených a blokovaných položek v seznamu povolených/blokovaných tenantů
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Důležité
Pokud chcete povolit adresy URL útoků phishing, které jsou součástí trénování simulace útoků třetích stran, použijte k určení adres URL pokročilou konfiguraci doručení . Nepoužívejte seznam povolených/blokovaných tenantů.
V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek můžete nesouhlasit s EOP nebo Microsoft Defender pro Office 365 filtrování verdiktu. Dobrá zpráva může být například označena jako špatná (falešně pozitivní) nebo může být špatná zpráva povolena (falešně negativní).
Seznam povolených/blokovaných tenantů na portálu Microsoft Defender umožňuje ručně přepsat verdikty filtrování Defender pro Office 365 nebo EOP. Seznam se používá během toku pošty nebo času kliknutí pro příchozí zprávy od externích odesílatelů.
Položky domén, e-mailových adres a zfalšovaných odesílatelů se vztahují na interní zprávy odeslané v rámci organizace. Blokované položky pro domény a e-mailové adresy také brání uživatelům v organizaci v odesílání e-mailů na tyto blokované domény a adresy.
Seznam povolených/blokovaných tenantů je k dispozici na portálu Microsoft Defender v části https://security.microsoft.com Zásady spolupráce>Email & & pravidla>zásad> hrozebv části >Povolení/blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList
Pokyny k použití a konfiguraci najdete v následujících článcích:
- Domény a e-mailové adresy a zfalšovaní odesílatelé: Povolí nebo zablokuje e-maily pomocí seznamu povolených/blokovaných klientů.
- Soubory: Povolení nebo blokování souborů pomocí seznamu povolených/blokovaných tenantů
- Adresy URL: Povolí nebo zablokuje adresy URL pomocí seznamu povolených/blokovaných tenantů.
- IP adresy: Povolí nebo zablokuje adresy IPv6 pomocí seznamu povolených/blokovaných klientů.
Tyto články obsahují postupy na portálu Microsoft Defender a v PowerShellu.
Blokované položky v seznamu povolených nebo blokovaných tenantů
Tip
V seznamu povolených/blokovaných tenantů mají položky bloků přednost před položkami povolenými.
Pomocí stránky Odeslání (označované také jako odeslání správce) na adrese https://security.microsoft.com/reportsubmission vytvořte blokové položky pro následující typy položek, které odesíláte společnosti Microsoft jako falešně negativní:
-
- Email zprávy od těchto odesílatelů se označí jako vysoce důvěryhodné útoky phishing a pak se přesunou do karantény.
- Uživatelé v organizaci nemůžou odesílat e-maily na tyto blokované domény a adresy. Obdrží následující zprávu o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení):
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.Celá zpráva se zablokuje pro všechny interní i externí příjemce zprávy, a to i v případě, že je v blokované položce definovaná jenom jedna e-mailová adresa příjemce nebo doména.
Tip
Pokud chcete blokovat jenom spam od určitého odesílatele, přidejte e-mailovou adresu nebo doménu do seznamu blokovaných v zásadách ochrany proti spamu. Pokud chcete zablokovat všechny e-maily od odesílatele, použijte domény a e-mailové adresy v seznamu povolených/blokovaných klientů.
Soubory: Email zprávy, které obsahují tyto blokované soubory, jsou blokované jako malware. Zprávy obsahující blokované soubory se umístí do karantény.
Adresy URL: Email zprávy, které obsahují tyto blokované adresy URL, jsou blokované jako vysoce důvěryhodné útoky phishing. Zprávy obsahující blokované adresy URL se umístí do karantény.
V seznamu povolených/blokovaných klientů můžete také přímo vytvářet blokové položky pro následující typy položek:
Zfalšovaní odesílatelé: Pokud ručně přepíšete existující povolený verdikt z falšování identity, stane se blokovaný zfalšovaný odesílatel položkou ručního blokování, která se zobrazí jenom na kartě Zfalšovaní odesílatelé v seznamu povolených /blokovaných klientů.
IP adresy: Pokud ručně vytvoříte položku bloku, všechny příchozí e-mailové zprávy z této IP adresy se zahodí na hranici služby.
Ve výchozím nastavení vyprší platnost blokovaných položek domén a e-mailových adres, souborů a adres URL po 30 dnech, ale můžete je nastavit tak, aby vypršela až 90 dnů nebo nikdy nevyprší.
Platnost položek bloku pro zfalšované odesílatele a IP adresy nikdy nevyprší.
Povolit položky v seznamu povolených/blokovaných tenantů
Ve většině případů není možné položky povolení přímo vytvořit v seznamu povolených/blokovaných tenantů. Nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by mohl být filtrován systémem.
Domény a e-mailové adresy, soubory a adresy URL: Položky povolení není možné vytvářet přímo v seznamu povolených/blokovaných klientů. Místo toho použijete stránku Odeslání na adrese https://security.microsoft.com/reportsubmission k odeslání e-mailu, přílohy e-mailu nebo adresy URL společnosti Microsoft. Po výběru možnosti Ověřte, že je v pořádku, můžete vybrat Povolit tuto zprávu, Povolit tento soubor nebo Povolit tuto adresu URL a vytvořit záznam povolení pro domény a e-mailové adresy, soubory nebo adresy URL.
Zfalšovaní odesílatelé:
- Pokud už informace o falšování identity zablokovaly zprávu jako falšování identity, použijte stránku Odeslání na adrese https://security.microsoft.com/reportsubmission a nahlaste e-mail microsoftu, protože jsem potvrdil, že je v pořádku, a pak vyberte Povolit tuto zprávu.
- Můžete proaktivně vytvořit záznam povolení pro zfalšovaného odesílatele na kartě Zfalšovaný odesílatel v seznamu povolených/blokovaných klientů předtím, než informace o falšování identity identifikují a zablokují zprávu jako falšování identity.
IP adresy: Na kartě IP adresy v seznamu povolených/blokovaných klientů můžete proaktivně vytvořit záznam povolení pro IP adresu a přepsat tak filtry IP adres příchozích zpráv.
Následující seznam popisuje, co se stane v seznamu povolených nebo blokovaných tenantů, když microsoftu odešlete něco jako falešně pozitivní na stránce Odeslání :
Email přílohy a adresy URL: Vytvoří se položka povolení a položka se zobrazí na kartě Soubory nebo adresy URL v seznamu povolených nebo blokovaných položek tenanta.
Pro adresy URL hlášené jako falešně pozitivní povolujeme následné zprávy, které obsahují varianty původní adresy URL. Můžete například použít stránku Odeslání k nahlášení nesprávně blokované adresy URL
www.contoso.com/abc. Pokud vaše organizace později obdrží zprávu, která obsahuje adresu URL (například, ale nikoli výhradněwww.contoso.com/abc: ,www.contoso.com/abc?id=1,www.contoso.com/abc/def/gty/uyt?id=5nebowww.contoso.com/abc/whatever), nebude zpráva na základě adresy URL zablokovaná. Jinými slovy, nemusíte microsoftu hlásit více variant stejné adresy URL.Email: Pokud byla zpráva blokována zásobníkem EOP nebo Defender pro Office 365 filtrování, může se v seznamu povolených nebo blokovaných tenantů vytvořit položka povolení:
- Pokud zprávu zablokovala funkce falšování identity, vytvoří se položka povolení pro odesílatele a položka se zobrazí na kartě Falšovaní odesílatelé v seznamu povolených /blokovaných klientů.
- Pokud byla zpráva blokována ochranou před zosobněním uživatelem (nebo grafem) v Defender pro Office 365, položka povolení se nevytvořila v seznamu povolených/blokovaných tenantů. Místo toho se doména nebo odesílatel přidá do části Důvěryhodní odesílatelé a domény v zásadách ochrany proti útokům phishing , které zprávu detekovaly.
- Pokud se zpráva zablokovala kvůli filtrům založeným na souborech, vytvoří se položka povolení pro soubor a položka se zobrazí na kartě Soubory v seznamu povolených/blokovaných klientů.
- Pokud se zpráva zablokovala kvůli filtrům založeným na adrese URL, vytvoří se položka povolení pro adresu URL a položka se zobrazí na kartě ADRESA URL v seznamu povolených/blokovaných klientů.
- Pokud se zpráva zablokovala z nějakého jiného důvodu, vytvoří se položka povolení pro e-mailovou adresu odesílatele nebo doménu a položka se zobrazí na kartě Domény & adresy v seznamu povolených/blokovaných klientů.
- Pokud zpráva nebyla zablokovaná kvůli filtrování, nikde se nevytvořily žádné položky povolení.
Tip
Položky povolení z odeslání se přidávají během toku pošty na základě filtrů, které určily, že zpráva je škodlivá. Pokud jsou například e-mailová adresa odesílatele a adresa URL ve zprávě určeny jako škodlivé, vytvoří se položka povolení pro odesílatele (e-mailová adresa nebo doména) a adresu URL.
Pokud zprávy obsahující entity v povolených položkách projdou dalšími kontrolami v zásobníku filtrování během toku pošty nebo kliknutí, zprávy se doručí (všechny filtry přidružené k povoleným entitám se přeskočí). Pokud například zpráva projde kontrolami ověření e-mailu, filtrováním adres URL a filtrováním souborů, doručí se zpráva z e-mailové adresy povoleného odesílatele, pokud je také od povoleného odesílatele.
Ve výchozím nastavení se položky povolení pro domény a e-mailové adresy, soubory a adresy URL uchovávají po dobu 45 dnů poté, co systém filtrování určí, že je entita čistá, a potom se položka povolení odebere. Nebo můžete nastavit, aby platnost položek povolení vypršela až 30 dnů po jejich vytvoření. Platnost povolených položek pro zfalšované odesílatele nikdy nevyprší .
Co očekávat po přidání položky povolení nebo blokování
Po přidání položky povolené na stránce Odeslání nebo blokové položky v seznamu povolených /blokovaných klientů by tato položka měla začít fungovat okamžitě (do 5 minut).
Pokud se Microsoft poučil z položky povolit, předdefinovaná zásada upozorněnís názvem Odebrala položku v seznamu povolených/blokovaných klientů vygeneruje upozornění při odebrání (nyní nepotřebné) povolené položky.