Povolení nebo blokování souborů pomocí seznamu povolených nebo blokovaných tenantů

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek můžou správci vytvářet a spravovat položky pro soubory v seznamu povolených/blokovaných klientů. Další informace o seznamu povolených/blokovaných tenantů najdete v tématu Správa povolených a blokovaných bloků v seznamu povolených/blokovaných tenantů.

Tento článek popisuje, jak můžou správci spravovat položky pro soubory na portálu Microsoft Defender a v Exchange Online PowerShellu.

Co potřebujete vědět, než začnete?

  • Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte https://security.microsoft.com/tenantAllowBlockList. Pokud chcete přejít přímo na stránku Odeslání , použijte https://security.microsoft.com/reportsubmission.

  • Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.

  • Soubory zadáte pomocí hodnoty hash SHA256 souboru. Pokud chcete najít hodnotu hash SHA256 souboru ve Windows, spusťte na příkazovém řádku následující příkaz:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Příklad hodnoty je 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Hodnoty perceptual hash (pHash) se nepodporují.

  • Limity položek pro soubory:

    • Exchange Online Protection: Maximální počet povolených položek je 500 a maximální počet položek bloku je 500 (celkem 1 000 položek souboru).
    • Defender pro Office 365 Plán 1: Maximální počet povolených položek je 1000 a maximální počet položek bloku je 1000 (celkem 2000 položek souboru).
    • Defender pro Office 365 Plán 2: Maximální počet povolených položek je 5000 a maximální počet položek bloku je 10 000 (celkem 15 000 položek souboru).

  • Do položky souboru můžete zadat maximálně 64 znaků.

  • Položka by měla být aktivní do 5 minut.

  • Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

    • Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) (týká se jenom portálu Defenderu, ne PowerShellu): Autorizace a nastavení / Nastavení zabezpečení / Ladění detekce (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
    • Exchange Online oprávnění:
      • Přidejte a odeberte položky ze seznamu povolených/blokovaných tenantů: Členství v jedné z následujících skupin rolí:
        • Správa organizace nebo správce zabezpečení (role správce zabezpečení).
        • Security Operator (Tenant AllowBlockList Manager).
      • Přístup jen pro čtení k seznamu povolených/blokovaných tenantů: Členství v jedné z následujících skupin rolí:
        • Globální čtenář
        • Čtenář zabezpečení
        • Konfigurace jen pro zobrazení
        • Správa organizace jen pro zobrazení
    • Microsoft Entra oprávnění: Členství v rolích globálního správce, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

  • Karta Soubory je na stránce Odeslání dostupná jenom v organizacích s Microsoft Defender XDR nebo Microsoft Defender for Endpoint Plan 2. Informace a pokyny k odeslání souborů z karty Soubory najdete v tématu Odeslání souborů v Microsoft Defender for Endpoint.

Create povolit položky pro soubory

Položky povolení pro soubory nemůžete vytvářet přímo v seznamu povolených/blokovaných tenantů. Nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by byl filtrován systémem.

Místo toho použijete kartu Email přílohy na stránce Odeslání na adrese https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Když odešlete blokovaný soubor jako By neměl být blokovaný (falešně pozitivní), můžete výběrem možnosti Povolit tento soubor přidat položku povolení pro soubor na kartě Soubory na stránce Povolit/blokovat Seznamy tenanta. Pokyny najdete v tématu Odeslání dobrých e-mailových příloh do Microsoftu.

Poznámka

Položky Povolení se přidávají na základě filtrů, které určily, že zpráva byla během toku pošty škodlivá. Pokud se například e-mailová adresa odesílatele a soubor ve zprávě zjistily jako chybné, vytvoří se pro odesílatele (e-mailová adresa nebo doména) a soubor položka povolení.

Když se entita v položce povolit znovu zobrazí (během toku pošty nebo při kliknutí), všechny filtry přidružené k této entitě se přepíšou.

Ve výchozím nastavení existují položky povolení pro soubory po dobu 30 dnů. Během těchto 30 dnů se Microsoft z povolených položek učí a odebere je nebo je automaticky prodlouží. Jakmile se Microsoft z odebraných položek povolení dozví, doručí se zprávy obsahující tyto entity, pokud se ve zprávě nezjistí něco jiného jako škodlivé.

Pokud zprávy obsahující povolenou entitu projdou během toku pošty jinými kontrolami v zásobníku filtrování, doručí se zprávy. Pokud například zpráva projde kontrolami ověřování e-mailu, zpráva se doručí, pokud obsahuje také povolený soubor.

Během kliknutí přepíše položka povolení souboru všechny filtry přidružené k entitě souboru, což uživatelům umožňuje přístup k souboru.

Create blokové položky pro soubory

Email zprávy, které obsahují tyto blokované soubory, jsou blokované jako malware. Zprávy, které obsahují blokované soubory, se umístí do karantény.

Pokud chcete vytvořit blokové položky pro soubory, použijte některou z následujících metod:

Pomocí portálu Microsoft Defender vytvořte položky bloků pro soubory v seznamu povolených/blokovaných tenantů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Na stránce Povolit/blokovat Seznamy tenanta vyberte kartu Soubory.

  3. Na kartě Soubory vyberte Blokovat.

  4. V rozevíracím rámečku Blokovat soubory , který se otevře, nakonfigurujte následující nastavení:

    • Přidání hodnot hash souborů: Zadejte jednu hodnotu hash SHA256 na řádek, maximálně 20.

    • Odebrat položku bloku po: Vyberte z následujících hodnot:

      • 1 den
      • 7 dní
      • 30 dnů (výchozí)
      • Nikdy nevyprší platnost
      • Konkrétní datum: Maximální hodnota je 90 dnů od dnešního dne.

    • Volitelná poznámka: Zadejte popisný text, proč soubory blokujete.

    Až skončíte v informačním rámečku Blokovat soubory , vyberte Přidat.

Zpět na kartě Soubory je položka uvedená.

Vytvoření položek bloků pro soubory v seznamu povolených nebo blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Tento příklad přidá položku bloku pro zadané soubory, jejichž platnost nikdy nevyprší.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Podrobné informace o syntaxi a parametrech najdete v tématu New-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender můžete zobrazit položky souborů v seznamu povolených/blokovaných tenantů.

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>Zásady> hrozeb– Povolit nebo blokovat Seznamy tenanta v části Pravidla. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

Vyberte kartu Soubory .

Na kartě Soubory můžete položky seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:

  • Hodnota: Hodnota hash souboru.
  • Akce: Dostupné hodnoty jsou Povolit nebo Blokovat.
  • Autor změny
  • Poslední aktualizace
  • Datum posledního použití: Datum, kdy byla položka naposledy použita v systému filtrování k přepsání verdiktu.
  • Odebrat dne: Datum vypršení platnosti.
  • Poznámky

Pokud chcete položky filtrovat, vyberte Filtr. V informačním rámečku Filtr , který se otevře, jsou k dispozici následující filtry:

  • Akce: Dostupné hodnoty jsou Povolit a Blokovat.
  • Nikdy nevyprší platnost: nebo
  • Poslední aktualizace: Vyberte data Od a Do .
  • Datum posledního použití: Vyberte data Od a Do .
  • Odebrat dne: Vyberte data Od a Do .

Až skončíte v informačním rámečku Filtr , vyberte Použít. Pokud chcete filtry vymazat, vyberte Vymazat filtry.

K vyhledání konkrétních položek použijte pole Search a odpovídající hodnotu.

Pokud chcete položky seskupit, vyberte Seskupit a pak vyberte Akce. Pokud chcete položky oddělit, vyberte Žádné.

Zobrazení položek souborů v seznamu povolených/blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Tento příklad vrátí všechny povolené a blokované soubory.

Get-TenantAllowBlockListItems -ListType FileHash

Tento příklad vrátí informace pro zadanou hodnotu hash souboru.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Tento příklad filtruje výsledky podle blokovaných souborů.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Podrobné informace o syntaxi a parametrech najdete v tématu Get-TenantAllowBlockListItems.

Použití portálu Microsoft Defender k úpravě položek pro soubory v seznamu povolených nebo blokovaných tenantů

V existujících položkách souboru můžete změnit datum vypršení platnosti a poznámku.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Vyberte kartu Soubory .

  3. Na kartě Soubory vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Upravit, která se zobrazí.

  4. V rozevíracím rámečku Upravit soubor , který se otevře, jsou k dispozici následující nastavení:

    • Blokové položky:
      • Odebrat položku bloku po: Vyberte z následujících hodnot:
        • 1 den
        • 7 dní
        • 30 dní
        • Nikdy nevyprší platnost
        • Konkrétní datum: Maximální hodnota je 90 dnů od dnešního dne.
      • Volitelná poznámka
    • Povolit položky:
      • Odebrat položku povolit po: Vyberte z následujících hodnot:
        • 1 den
        • 7 dní
        • 30 dní
        • Konkrétní datum: Maximální hodnota je 30 dnů od dnešního dne.
      • Volitelná poznámka

    Až skončíte v informačním rámečku Upravit soubor , vyberte Uložit.

Tip

V informačním rámečku podrobností položky na kartě Soubory přejděte pomocí možnosti Zobrazit odeslání v horní části informačního rámečku na podrobnosti odpovídající položky na stránce Odeslání . Tato akce je dostupná, pokud bylo odeslání zodpovědné za vytvoření položky v seznamu povolených/blokovaných tenantů.

Použití PowerShellu k úpravě existujících položek povolení nebo blokování souborů v seznamu povolených nebo blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Tento příklad změní datum vypršení platnosti zadané položky bloku souboru.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Podrobné informace o syntaxi a parametrech najdete v tématu Set-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender odeberte položky souborů ze seznamu povolených nebo blokovaných tenantů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Vyberte kartu Soubory .

  3. Na kartě Soubory proveďte jeden z následujících kroků:

    • Vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Odstranit, která se zobrazí.

    • Vyberte položku ze seznamu kliknutím na libovolné místo v řádku, který není zaškrtávací políčko. V informačním rámečku podrobností, který se otevře, vyberte Odstranit v horní části informačního rámečku.

      Tip

      Pokud chcete zobrazit podrobnosti o dalších položkách bez opuštění informačního rámečku podrobností, použijte v horní části informačního rámečku Možnost Předchozí položka a Další položka.

  4. V dialogovém okně upozornění, které se otevře, vyberte Odstranit.

Zpět na kartě Soubory už položka není uvedená.

Tip

Můžete vybrat více položek tak, že zaškrtnete každé políčko, nebo můžete vybrat všechny položky zaškrtnutím políčka vedle záhlaví sloupce Hodnota .

Odebrání položek souborů ze seznamu povolených/blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Tento příklad odebere zadaný blok souboru ze seznamu povolených/blokovaných tenantů.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-TenantAllowBlockListItems.