Konfigurace pokročilých zásad doručování pro simulace útoků phishing třetích stran a doručování e-mailů do poštovních schránek SecOps

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Aby byla vaše organizace ve výchozím nastavení zabezpečená, nepovoluje Exchange Online Protection (EOP) seznamy bezpečných kódů ani obcházení filtrování pro zprávy, které jsou identifikovány jako malware nebo vysoce důvěryhodný phishing. Existují ale konkrétní scénáře, které vyžadují doručení nefiltrovaných zpráv. Příklady:

• Simulace útoků phishing třetích stran: Simulované útoky vám můžou pomoct identifikovat a vytrénovat zranitelné uživatele předtím, než skutečný útok ovlivní vaši organizaci.
• Poštovní schránky operací zabezpečení (SecOps): Vyhrazené poštovní schránky, které používají bezpečnostní týmy ke shromažďování a analýze nefiltrovaných zpráv (dobrých i špatných).

Pomocí pokročilých zásad doručování v EOP můžete zabránit filtrování příchozích zpráv v těchto konkrétních scénářích ¹. Pokročilé zásady doručování zajišťují, že zprávy v těchto scénářích dosáhnou následujících výsledků:

• Filtry v EOP a Defender pro Office 365 s těmito zprávami neprobírají žádnou akci. Filtrování malwaru se obejde jenom u poštovních schránek SecOps.
• Zero-hour Purge (ZAP) for spam and phishing take no action on these messages. Zap pro malware se obchází pouze u poštovních schránek SecOps.
• Bezpečné odkazy v Defender pro Office 365 neblokují ani neodstrašují zadané adresy URL v těchto zprávách v době kliknutí. Adresy URL jsou stále zabalené, ale nejsou zablokované.
• Bezpečné přílohy v Defender pro Office 365 neodpálí přílohy v těchto zprávách.
• Výchozí systémová upozornění se pro tyto scénáře neaktivují.
• Air a clustering v Defender pro Office 365 tyto zprávy ignoruje.
• Konkrétně pro simulace útoků phishing třetích stran:
  • Správa odeslání vygeneruje automatickou odpověď s oznámením, že zpráva je součástí kampaně simulace útoku phishing a nejedná se o skutečnou hrozbu. Upozornění a AIR se neaktivují. V prostředí pro odesílání správců se tyto zprávy zobrazují jako simulovaná hrozba.
  • Když uživatel nahlásí zprávu simulace útoku phishing pomocí integrovaného tlačítka Nahlásit v Outlook na webu nebo doplňků Microsoft Report Message nebo Report Phishing, systém negeneruje upozornění, šetření ani incident. Odkazy nebo soubory nejsou odpálené, ale zpráva se zobrazí na kartě Nahlášené uživatelem na stránce Odeslání .

Zprávy, které jsou identifikované pokročilými zásadami doručování, nejsou bezpečnostní hrozbou, takže zprávy jsou označené přepsáním systému. Správa prostředí tyto zprávy zobrazují jako simulace útoku phishing nebo přepsání systému poštovních schránek SecOps. Správci můžou tyto hodnoty použít k filtrování a analýze zpráv v následujících prostředích:

• Průzkumník hrozeb (Explorer) nebo detekce v reálném čase v Defender pro Office 365: Správci můžou filtrovat zdroj přepsání systému a vybrat simulaci phishingu nebo Poštovní schránku SecOps.
• Stránka Email entity: Správci můžou v části Přepsání zobrazit zprávu povolenou zásadami organizace poštovní schránkou SecOps nebo simulací útoku phishing v části Přepsání tenanta.
• Sestava stavu ochrany před hrozbami: Správa může filtrovat podle zobrazení dat podle přepsání systému v rozevírací nabídce a výběrem možnosti zobrazit zprávy povolené kvůli přepsání systému simulace phishingu. Pokud chcete zobrazit zprávy povolené přepsáním poštovní schránky SecOps, můžete v rozevíracím seznamu rozpisu grafu podle důvodu vybrat rozpis grafu podle místa doručení.
• Rozšířené proaktivní vyhledávání v Microsoft Defender for Endpoint: Simulace útoků phishing a přepsání systému poštovních schránek SecOps jsou možnosti v orgLevelPolicy v EmailEvents.
• Zobrazení kampaně: Správa může filtrovat zdroj přepsání systému a vybrat simulaci útoku phishing nebo poštovní schránku SecOps.

Co potřebujete vědět, než začnete?

• Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku Rozšířené doručení , použijte https://security.microsoft.com/advanceddelivery.

• Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

  • Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) (Týká se jenom portálu Defenderu, ne PowerShellu): Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
  • Email & oprávnění ke spolupráci na portálu Microsoft Defender a Exchange Online oprávnění:
    • Create, upravte nebo odeberte nakonfigurovaná nastavení v rozšířených zásadách doručování: Členství ve skupinách rolí Správce zabezpečení ve Email & spolupráci na základě role RBAC a členství ve skupině rolí Správa organizace v Exchange Online RBAC.
    • Přístup jen pro čtení k pokročilým zásadám doručování: Členství ve skupinách rolí Globální čtenář nebo Čtenář zabezpečení v Email & spolupráci RBAC.
      • Správa organizace jen pro zobrazení v Exchange Online RBAC.
  • Microsoft Entra oprávnění: Členství v rolích globálního správce, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

Použití portálu Microsoft Defender ke konfiguraci poštovních schránek SecOps v pokročilých zásadách doručování

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Email & Zásady spolupráce>& pravidla>Zásady> hrozebRozšířené doručování v části Pravidla. Pokud chcete přejít přímo na stránku Rozšířené doručení, použijte .https://security.microsoft.com/advanceddelivery

   Na stránce Upřesnit doručení ověřte, že je vybraná karta Poštovní schránka SecOps .

2. Na kartě Poštovní schránka SecOps vyberte tlačítko Přidat v oblasti Bez nakonfigurovaných poštovních schránek SecOps na stránce.

   Pokud už na kartě poštovní schránky SecOps existují položky, vyberte Upravit (tlačítko Přidat není dostupné).

3. V rozevíracím rámečku Přidat poštovní schránky SecOps, který se otevře, zadejte existující Exchange Online poštovní schránku, kterou chcete určit jako poštovní schránku SecOps, a to pomocí některého z následujících kroků:

   • Klikněte do pole, nechte seznam poštovních schránek přeložit a vyberte poštovní schránku.

   • Klikněte do pole a začněte psát identifikátor poštovní schránky (jméno, zobrazované jméno, alias, e-mailová adresa, název účtu atd.) a ve výsledcích vyberte poštovní schránku (zobrazovaný název).

     Tento krok opakujte tolikrát, kolikrát je to potřeba. Distribuční skupiny nejsou povolené.

     Pokud chcete odebrat existující hodnotu, vyberte odebrat vedle hodnoty.

4. Až budete hotovi v informačním rámečku Přidat poštovní schránky SecOps , vyberte Přidat.

5. Zkontrolujte informace v uloženém informačním rámečku Změny v poštovní schránce SecOps přepsání a pak vyberte Zavřít.

Zpět na kartě Poštovní schránka SecOps se teď zobrazí položky poštovní schránky SecOps, které jste nakonfigurovali:

• Sloupec Zobrazovaný název obsahuje zobrazovaný název poštovních schránek.
• Sloupec Email obsahuje e-mailovou adresu pro jednotlivé položky.
• Pokud chcete změnit seznam položek z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.

Použití portálu Microsoft Defender k úpravě nebo odebrání poštovních schránek SecOps v rozšířených zásadách doručování

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Email & Zásady spolupráce>& pravidla>Zásady> hrozebRozšířené doručování v části Pravidla. Pokud chcete přejít přímo na stránku Rozšířené doručení, použijte .https://security.microsoft.com/advanceddelivery

   Na stránce Upřesnit doručení ověřte, že je vybraná karta Poštovní schránka SecOps .

2. Na kartě Poštovní schránka SecOps vyberte Upravit.

3. V informačním rámečku Upravit poštovní schránky SecOps, který se otevře, přidejte nebo odeberte poštovní schránky, jak je popsáno v kroku 3 v části Konfigurace poštovních schránek SecOps v rozšířených zásadách doručování pomocí portálu Microsoft Defender.

   Pokud chcete odebrat všechny poštovní schránky, vyberte odebrat vedle každé hodnoty, dokud nebudou vybrány žádné další poštovní schránky.

4. Až skončíte v informačním rámečku Upravit poštovní schránky SecOps , vyberte Uložit.

5. Zkontrolujte informace v uloženém informačním rámečku Změny v poštovní schránce SecOps přepsání a pak vyberte Zavřít.

Zpět na kartě Poštovní schránka SecOps se zobrazí položky poštovní schránky SecOps, které jste nakonfigurovali. Pokud jste odebrali všechny položky, bude seznam prázdný.

Použití portálu Microsoft Defender ke konfiguraci simulací útoků phishing třetích stran v pokročilých zásadách doručování

Pokud chcete nakonfigurovat simulaci útoku phishing třetí strany, musíte zadat následující informace:

• Alespoň jedna doména: Doména z adresy MAIL FROM (označovaná také jako 5321.MailFrom adresa, odesílatel P1 nebo odesílatel obálky), která se používá při přenosu zprávy přes protokol SMTP nebo v doméně DKIM podle údajů dodavatele simulace útoků phishing.
• Alespoň jedna odesílající IP adresa.
• U ne-mailových simulací phishingu (například zprávy Microsoft Teams, Word dokumenty nebo excelové tabulky) můžete volitelně identifikovat adresy URL simulace, které by se neměly v době kliknutí považovat za skutečné hrozby: adresy URL nejsou blokované ani detonované a negenerují se žádná upozornění na kliknutí na adresu URL ani výsledné incidenty. Adresy URL se při kliknutí zabalí, ale nejsou zablokované.

Musí existovat shoda alespoň pro jednu doménu a jednu ip adresu pro odesílání, ale není zachováno přidružení mezi hodnotami.

Pokud váš záznam MX neukazuje na Microsoft 365, IP adresa v Authentication-results hlavičce musí odpovídat IP adrese v rozšířených zásadách doručování. Pokud se IP adresy neshodují, možná budete muset nakonfigurovat rozšířené filtrování konektorů, aby se zjistila správná IP adresa.

Poznámka

Rozšířené filtrování konektorů nefunguje u simulací útoků phishing třetích stran ve složitých scénářích směrování e-mailů (například e-maily z internetu se směrují do Microsoftu 365, pak do místního prostředí nebo služby zabezpečení třetí strany a pak zpět do Microsoftu 365). EOP nemůže identifikovat skutečnou IP adresu zdroje zprávy. Nepokoušejte se toto omezení obejít tím, že do simulace phishingu třetí strany přidáte IP adresy místní nebo odesílající infrastruktury třetí strany. Tím se efektivně obchází filtrování spamu pro všechny internetové odesílatele, kteří zosobní doménu zadanou v simulaci phishingu třetí strany.

V současné době pokročilé zásady doručování pro simulace útoků phishing třetích stran nepodporují simulace v rámci stejné organizace (DIR:INT), zejména pokud je e-mail směrován přes bránu Exchange Server před Microsoft 365 v hybridním toku pošty. Chcete-li tento problém vyřešit, máte následující možnosti:

• Create vyhrazený konektor pro odesílání, který neověřuje zprávy simulace útoku phishing jako interní.
• Nakonfigurujte simulaci útoku phishing tak, aby obešla infrastrukturu Exchange Server a směruje poštu přímo do záznamu Mx Microsoftu 365 (například contoso-com.mail.protection.outlook.com).
• I když můžete v zásadách ochrany proti spamu nastavit prohledávání zpráv v rámci organizace na Hodnotu Žádné, tuto možnost nedoporučujeme, protože ovlivňuje jiné e-mailové zprávy.

Pokud používáte předdefinovanou předdefinovanou zásadu zabezpečení ochrany nebo vaše vlastní zásady bezpečných odkazů mají nastavení Nepřepisovat adresy URL, kontroly prostřednictvím rozhraní API SafeLinks jsou povolené, v době ochrany před kliknutím se odkazy simulace phishingu v e-mailu nepracují jako s hrozbami v Outlook na webu, Outlooku pro iOS a Android, Outlooku pro Windows verze 16.0.15317.10000 nebo novějším a Outlook pro Mac v16.74.23061100 nebo novější. Pokud používáte starší verze Outlooku, zvažte zakázání nastavení Nepřepsat adresy URL, provádět kontroly prostřednictvím rozhraní API SafeLinks pouze ve vlastních zásadách Bezpečných odkazů.

Přidání adres URL simulace phishingu do části Nepřepsat následující adresy URL v e-mailu v zásadách Bezpečných odkazů může vést k nežádoucím upozorněním na kliknutí na adresu URL. Adresy URL simulace útoků phishing v e-mailových zprávách jsou automaticky povolené jak během toku pošty, tak při kliknutí.

Pokročilé zásady doručování pro poštovní schránky SecOps v současné době nepodporují zprávy uvnitř organizace (DIR:INT) a tyto zprávy budou v karanténě. Jako alternativní řešení můžete použít samostatnou antispamovou zásadu pro poštovní schránky SecOps, které neumisí zprávy uvnitř organizace do karantény. Nedoporučujeme zakazovat ochranu v rámci organizace pro všechny poštovní schránky.

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Email & Zásady spolupráce>& pravidla>Zásady> hrozebRozšířené doručování v části Pravidla. Pokud chcete přejít přímo na stránku Rozšířené doručení, použijte .https://security.microsoft.com/advanceddelivery

   Na stránce Rozšířené doručování vyberte kartu Simulace útoků phishing .

2. Na kartě Simulace útoků phishing vyberte tlačítko Přidat v oblasti Bez nakonfigurovaných simulací útoků phishing třetích stran na stránce.

   Pokud už na kartě Simulace útoků phishing existují položky, vyberte Upravit (tlačítko Přidat není dostupné).

3. V rozevíracím rámečku Přidat simulace útoků phishing třetích stran , který se otevře, nakonfigurujte následující nastavení:

   • Doména: Rozbalte toto nastavení a zadejte aspoň jednu doménu e-mailové adresy tak, že kliknete do pole, zadáte hodnotu (například contoso.com) a stisknete klávesu ENTER nebo vyberete hodnotu, která se zobrazí pod polem. Tento krok opakujte tolikrát, kolikrát je to potřeba. Můžete přidat až 50 položek. Použijte jednu z následujících hodnot:

     • Doména v 5321.MailFrom adrese (označovaná také jako adresa MAIL FROM , odesílatel P1 nebo odesílatel obálek), která se používá při přenosu zprávy protokolem SMTP.
     • Doména DKIM určená dodavatelem simulace útoků phishing.

   • Odesílající IP adresa: Rozbalte toto nastavení a zadejte aspoň jednu platnou IPv4 adresu tak, že kliknete do pole, zadáte hodnotu a stisknete klávesu ENTER nebo vyberete hodnotu, která se zobrazí pod polem. Tento krok opakujte tolikrát, kolikrát je to potřeba. Můžete přidat až 10 položek. Platné hodnoty jsou:

     • Jedna IP adresa: Například 192.168.1.1.
     • Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
     • IP adresa CIDR: Například 192.168.0.1/25.

   • Adresy URL simulace, které se mají povolit: Toto nastavení se nevyžaduje pro odkazy v simulacích e-mailových útoků phishing. Toto nastavení použijte, pokud chcete volitelně identifikovat odkazy v simulacích nee-mailových útoků phishing (odkazy ve zprávách Teams nebo v dokumentech Office), které by se v době kliknutí neměly považovat za skutečné hrozby.

     Přidejte položky adresy URL tak, že toto nastavení rozbalíte, kliknete do pole, zadáte hodnotu a stisknete klávesu ENTER nebo vyberete hodnotu, která se zobrazí pod polem. Můžete přidat až 30 položek. Syntaxi adresy URL najdete v tématu Syntaxe adresy URL pro seznam povolených/blokovaných tenantů.

   Pokud chcete odebrat existující hodnotu domény, IP adresy nebo adresy URL, vyberte vedle hodnoty odebrat .

   Podívejte se na následující příklad:

   Authentication-Results: spf=pass (sender IP is 172.17.17.7)
   smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
   header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
   
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
   s=selector1;
   h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
   bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
   

   • Připojující se IP adresa je 172.17.17.7.
   • Doména v adrese MAIL FROM (smtp.mailfrom) je contoso.com.
   • Doména DKIM (header.d) je contoso-simulation.com.

   V tomto příkladu můžete ke konfiguraci simulace phishingu třetí strany použít jednu z následujících kombinací:

   Doména: contoso.com
   Ip adresa pro odesílání: 172.17.17.7

   Doména: contoso-simulation.com
   Ip adresa pro odesílání: 172.17.17.7

4. Až skončíte v informačním rámečku Přidat simulace útoků phishing třetích stran , vyberte Přidat.

5. Zkontrolujte informace v uloženém informačním rámečku Změny přepsání simulace phishingu a pak vyberte Zavřít.

Zpět na kartě Simulace útoků phishing jsou teď uvedené položky simulace phishingu třetích stran, které jste nakonfigurovali:

• Sloupec Hodnota obsahuje doménu, IP adresu nebo položku URL.
• Sloupec Typ obsahuje hodnotu Odesílající IP adresa, Doména nebo Povolená adresa URL simulace pro každou položku.
• Sloupec Date (Datum ) zobrazuje, kdy byla položka vytvořena.
• Pokud chcete změnit seznam položek z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.

Použití portálu Microsoft Defender k úpravě nebo odebrání simulací útoků phishing třetích stran v pokročilých zásadách doručování

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Email & Zásady spolupráce>& pravidla>Zásady> hrozebRozšířené doručování v části Pravidla. Pokud chcete přejít přímo na stránku Rozšířené doručení, použijte .https://security.microsoft.com/advanceddelivery

   Na stránce Rozšířené doručování vyberte kartu Simulace útoků phishing .

2. Na kartě Simulace útoků phishing vyberte Upravit.

3. V informačním rámečku Upravit simulaci phishingu třetích stran, který se otevře, přidejte nebo odeberte položky pro adresy URL domény, odesílající IP adresy a adresy URL simulace, jak je popsáno v kroku 3 v části Konfigurace poštovních schránek SecOps v rozšířené zásadě doručování pomocí portálu Microsoft Defender.

   Pokud chcete odebrat všechny položky, vyberte odebrat vedle každé hodnoty, dokud nebudou vybrané žádné další domény, IP adresy nebo adresy URL.

4. Až skončíte v informačním rámečku Upravit simulaci útoků phishing třetích stran , vyberte Uložit.

5. Zkontrolujte informace v uloženém informačním rámečku Změny přepsání simulace phishingu a pak vyberte Zavřít.

Zpět na kartě Simulace útoků phishing se zobrazí položky simulace útoků phishing třetích stran, které jste nakonfigurovali. Pokud jste odebrali všechny položky, bude seznam prázdný.

Další scénáře, které vyžadují obejití filtrování

Kromě dvou scénářů, se kterými vám můžou pomoct pokročilé zásady doručování, existují i další scénáře, ve kterých možná budete muset obejít filtrování zpráv:

• Filtry třetích stran: Pokud záznam MX vaší domény neukazuje na Office 365 (zprávy se nejprve směrují někam jinam), není zabezpečení ve výchozím nastaveník dispozici. Pokud chcete přidat ochranu, musíte povolit rozšířené filtrování konektorů (označované také jako přeskočit výpis). Další informace najdete v tématu Správa toku pošty pomocí cloudové služby třetí strany s Exchange Online. Pokud nechcete rozšířené filtrování konektorů, použijte pravidla toku pošty (označovaná také jako pravidla přenosu) a obejděte filtrování zpráv od Microsoftu, které už byly vyhodnoceny filtrováním třetích stran. Další informace najdete v tématu Použití pravidel toku pošty k nastavení seznamu SCL ve zprávách.

• Falešně pozitivní výsledky: Možná budete chtít dočasně povolit dobré zprávy, které jsou nesprávně identifikované jako špatné ( falešně pozitivní), které jste nahlásili prostřednictvím odeslání správce, ale Microsoft je stále analyzuje. Stejně jako u všech přepsání důrazně doporučujeme , aby tyto povolenky byly dočasné.

Postupy PowerShellu pro poštovní schránky SecOps v pokročilých zásadách doručování

V PowerShellu jsou základní prvky poštovních schránek SecOps v pokročilých zásadách doručování:

• Zásady přepsání SecOps: Řídí se rutinami *-SecOpsOverridePolicy .
• Pravidlo přepsání SecOps: Řídí se rutinami *-ExoSecOpsOverrideRule .

Toto chování má následující výsledky:

• Nejprve vytvoříte zásadu a pak vytvoříte pravidlo, které identifikuje zásady, na které se pravidlo vztahuje.
• Když odeberete zásadu z PowerShellu, odebere se také odpovídající pravidlo.
• Když odeberete pravidlo z PowerShellu, odpovídající zásady se neodeberou. Odpovídající zásady musíte odebrat ručně.

Konfigurace poštovních schránek SecOps pomocí PowerShellu

Konfigurace poštovní schránky SecOps v pokročilých zásadách doručování v PowerShellu je dvoustupňový proces:

1. Create zásadu přepsání SecOps.
2. Create pravidlo přepsání SecOps, které určuje zásadu, na kterou se pravidlo vztahuje.

Krok 1: Vytvoření zásady přepsání SecOps pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Bez ohledu na zadaná hodnota Name je název zásady SecOpsOverridePolicy, takže tuto hodnotu můžete také použít.

Tento příklad vytvoří zásadu poštovní schránky SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Podrobné informace o syntaxi a parametrech najdete v tématu New-SecOpsOverridePolicy.

Krok 2: Vytvoření pravidla přepsání SecOps pomocí PowerShellu

V Exchange Online PowerShellu spusťte následující příkaz:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Bez ohledu na zadaná hodnota Názvu bude _Exe:SecOpsOverrid:<GUID\> název pravidla [sic], kde <GUID> je jedinečná hodnota GUID (například 312c23cf-0377-4162-b93d-6548a9977efb9).

Podrobné informace o syntaxi a parametrech najdete v tématu New-ExoSecOpsOverrideRule.

Použití PowerShellu k zobrazení zásad přepsání SecOps

V Exchange Online PowerShellu tento příklad vrací podrobné informace o jediné zásadě poštovní schránky SecOps.

Get-SecOpsOverridePolicy

Podrobné informace o syntaxi a parametrech najdete v tématu Get-SecOpsOverridePolicy.

Použití PowerShellu k zobrazení pravidel přepsání SecOps

V Exchange Online PowerShellu tento příklad vrací podrobné informace o pravidlech přepsání SecOps.

Get-ExoSecOpsOverrideRule

I když by předchozí příkaz měl vrátit jenom jedno pravidlo, může být ve výsledcích zahrnuto také pravidlo, které čeká na odstranění.

Tento příklad identifikuje platné pravidlo (jedno) a všechna neplatná pravidla.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Po identifikaci neplatných pravidel je můžete odebrat pomocí rutiny Remove-ExoSecOpsOverrideRule , jak je popsáno dále v tomto článku.

Podrobné informace o syntaxi a parametrech najdete v tématu Get-ExoSecOpsOverrideRule.

Použití PowerShellu k úpravě zásad přepsání SecOps

V Exchange Online PowerShellu použijte následující syntaxi:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Tento příklad přidá secops2@contoso.com do zásady přepsání SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Poznámka

Pokud existuje přidružené platné pravidlo přepsání SecOps, aktualizují se také e-mailové adresy v pravidle.

Podrobné informace o syntaxi a parametrech najdete v tématu Set-SecOpsOverridePolicy.

Použití PowerShellu k úpravě pravidla přepsání SecOps

Rutina Set-ExoSecOpsOverrideRule neupravuje e-mailové adresy v pravidle přepsání SecOps. Pokud chcete upravit e-mailové adresy v pravidle přepsání SecOps, použijte rutinu Set-SecOpsOverridePolicy .

Podrobné informace o syntaxi a parametrech najdete v tématu Set-ExoSecOpsOverrideRule.

Odebrání zásad přepsání SecOps pomocí PowerShellu

V Exchange Online PowerShellu tento příklad odebere zásadu Poštovní schránka SecOps a odpovídající pravidlo.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-SecOpsOverridePolicy.

Odebrání pravidel přepsání SecOps pomocí PowerShellu

V Exchange Online PowerShellu použijte následující příkazy:

• Odeberte všechna pravidla přepsání SecOps:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• Odeberte zadané pravidlo přepsání SecOps:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-ExoSecOpsOverrideRule.

Postupy PowerShellu pro simulace útoků phishing třetích stran v pokročilých zásadách doručování

V PowerShellu jsou základní prvky simulací útoků phishing třetích stran v pokročilých zásadách doručování:

• Zásady přepsání simulace phishingu: Řídí se rutinami *-PhishSimOverridePolicy .
• Pravidlo přepsání simulace phishingu: Řídí se rutinami *-ExoPhishSimOverrideRule .
• Povolené (odblokované) adresy URL simulace útoků phishing: Řízené rutinami *-TenantAllowBlockListItems .

Poznámka

Jak jsme už popsali, identifikace adres URL se nevyžaduje pro odkazy v e-mailových simulacích útoků phishing. Volitelně můžete identifikovat odkazy v ne-mailových simulacích phishingu (odkazy ve zprávách Teams nebo v dokumentech Office), které by se v době kliknutí neměly považovat za skutečné hrozby.

Toto chování má následující výsledky:

• Nejprve vytvoříte zásadu a pak vytvoříte pravidlo, které identifikuje zásady, na které se pravidlo vztahuje.
• Nastavení zásad a pravidla můžete upravit samostatně.
• Když odeberete zásadu z PowerShellu, odebere se také odpovídající pravidlo.
• Když odeberete pravidlo z PowerShellu, odpovídající zásady se neodeberou. Odpovídající zásady musíte odebrat ručně.

Konfigurace simulací útoků phishing třetích stran pomocí PowerShellu

Konfigurace simulace phishingu třetí strany v PowerShellu je vícekrokový proces:

1. Create zásady přepsání simulace útoku phishing.
2. Create pravidlo přepsání simulace útoku phishing, které určuje:
   • Zásady, na které se pravidlo vztahuje.
   • Zdrojová IP adresa zpráv simulace útoku phishing.
3. Volitelně můžete v ne-mailových simulacích phishingu (odkazy ve zprávách Teams nebo v dokumentech Office) nacházet adresy URL simulace phishingu, které by se v době kliknutí neměly považovat za skutečné hrozby.

Krok 1: Vytvoření zásady přepsání simulace phishingu pomocí PowerShellu

V Exchange Online PowerShellu tento příklad vytvoří zásadu přepsání simulace útoku phishing.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Bez ohledu na hodnotu Name, kterou zadáte, je název zásady PhishSimOverridePolicy, takže tuto hodnotu můžete také použít.

Podrobné informace o syntaxi a parametrech najdete v tématu New-PhishSimOverridePolicy.

Krok 2: Vytvoření pravidla přepsání simulace útoku phishing pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Bez ohledu na zadaná hodnota Name bude _Exe:PhishSimOverr:<GUID\> název pravidla [sic], kde <GUID> je jedinečná hodnota GUID (například 6fed4b63-3563-495d-a481-b24a311f8329).

Platná položka IP adresy je jedna z následujících hodnot:

• Jedna IP adresa: Například 192.168.1.1.
• Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
• IP adresa CIDR: Například 192.168.0.1/25.

Tento příklad vytvoří pravidlo přepsání simulace útoku phishing se zadaným nastavením.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Podrobné informace o syntaxi a parametrech najdete v tématu New-ExoPhishSimOverrideRule.

Krok 3: (Volitelné) Pomocí PowerShellu identifikujte adresy URL simulace útoku phishing, které chcete povolit

V Exchange Online PowerShellu použijte následující syntaxi:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Podrobnosti o syntaxi adresy URL najdete v tématu Syntaxe adresy URL seznamu povolených nebo blokovaných tenantů.

V tomto příkladu se přidá položka povolení adresy URL pro zadanou adresu URL simulace phishingu třetí strany bez vypršení platnosti.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Podrobné informace o syntaxi a parametrech najdete v tématu New-TenantAllowBlockListItems.

Použití PowerShellu k zobrazení zásad přepsání simulace phishingu

V Exchange Online PowerShellu tento příklad vrací podrobné informace o jediné zásadě přepsání simulace phishingu.

Get-PhishSimOverridePolicy

Podrobné informace o syntaxi a parametrech najdete v tématu Get-PhishSimOverridePolicy.

Použití PowerShellu k zobrazení pravidel přepsání simulace útoku phishing

V Exchange Online PowerShellu) tento příklad vrací podrobné informace o pravidlech přepsání simulace phishingu.

Get-ExoPhishSimOverrideRule

I když by předchozí příkaz měl vrátit jenom jedno pravidlo, všechna pravidla čekající na odstranění můžou být zahrnutá také ve výsledcích.

Tento příklad identifikuje platné pravidlo (jedno) a všechna neplatná pravidla.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Jakmile identifikujete neplatná pravidla, můžete je odebrat pomocí rutiny Remove-ExoPhishSimOverrideRule , jak je popsáno dále v tomto článku.

Podrobné informace o syntaxi a parametrech najdete v tématu Get-ExoPhishSimOverrideRule.

Zobrazení položek povolených adres URL simulace útoků phishing pomocí PowerShellu

V Exchange Online PowerShellu spusťte následující příkaz:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Podrobné informace o syntaxi a parametrech najdete v tématu Get-TenantAllowBlockListItems.

Použití PowerShellu k úpravě zásad přepsání simulace phishingu

V Exchange Online PowerShellu použijte následující syntaxi:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Tento příklad zakáže zásadu přepsání simulace phishingu.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Podrobné informace o syntaxi a parametrech najdete v tématu Set-PhishSimOverridePolicy.

Použití PowerShellu k úpravě pravidel přepsání simulace phishingu

V Exchange Online PowerShellu použijte následující syntaxi:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

nebo

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Pomocí rutiny Get-ExoPhishSimOverrideRule vyhledejte <hodnoty PhishSimOverrideRuleIdentity> . Název pravidla používá následující syntaxi: _Exe:PhishSimOverr:<GUID\> [sic], kde <GUID> je jedinečná hodnota GUID (například 6fed4b63-3563-495d-a481-b24a311f8329).

Tento příklad upraví pravidlo přepsání simulace phishingu (pravděpodobně pouze) o následující nastavení:

• Přidejte položku domény blueyonderairlines.com.
• Odeberte položku IP adresy 192.168.1.55.

Tyto změny nemají vliv na existující položky v pravidle.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Podrobné informace o syntaxi a parametrech najdete v tématu Set-ExoPhishSimOverrideRule.

Použití PowerShellu k úpravě povolených položek adresy URL simulace útoků phishing

Hodnoty adres URL není možné upravovat přímo. Můžete odebrat existující položky adresy URL a přidat nové položky adresy URL , jak je popsáno v tomto článku.

Pokud chcete v Exchange Online PowerShellu upravit další vlastnosti povolené položky adresy URL simulace útoku phishing (například datum vypršení platnosti nebo komentáře), použijte následující syntaxi:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Položku, kterou chcete upravit, identifikujete pomocí hodnot adres URL (parametr Entrys ) nebo identity z výstupu rutiny Get-TenantAllowBlockListItems (parametr Ids ).

Tento příklad změnil datum vypršení platnosti zadané položky.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Podrobné informace o syntaxi a parametrech najdete v tématu Set-TenantAllowBlockListItems.

Odebrání zásad přepsání simulace phishingu pomocí PowerShellu

V Exchange Online PowerShellu tento příklad odebere zásadu přepsání simulace phishingu a odpovídající pravidlo.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-PhishSimOverridePolicy.

Odebrání pravidel přepsání simulace phishingu pomocí PowerShellu

V Exchange Online PowerShellu použijte následující příkazy:

• Odeberte všechna pravidla přepsání simulace phishingu:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• Odeberte zadané pravidlo přepsání simulace phishingu:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-ExoPhishSimOverrideRule.

Odebrání povolených položek adresy URL simulace útoků phishing pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Položku, kterou chcete upravit, identifikujete pomocí hodnot adres URL (parametr Entrys ) nebo identity z výstupu rutiny Get-TenantAllowBlockListItems (parametr Ids ).

Tento příklad změnil datum vypršení platnosti zadané položky.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-TenantAllowBlockListItems.