Konfigurer den avancerede leveringspolitik for phishing-simuleringer fra tredjepart og levering af mail til SecOps-postkasser
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
For at holde din organisation sikker som standard tillader Exchange Online Protection (EOP) ikke sikre lister eller filtreringssikkerhed for meddelelser, der er identificeret som malware eller phishing med høj sikkerhed. Men der er specifikke scenarier, der kræver levering af ufiltrerede meddelelser. Det kan f.eks. være:
- Phishing-simuleringer fra tredjepart: Simulerede angreb kan hjælpe dig med at identificere og oplære sårbare brugere, før et reelt angreb påvirker din organisation.
- Sikkerhedshandlinger (SecOps)-postkasser: Dedikerede postkasser, der bruges af sikkerhedsteams til at indsamle og analysere ufiltrerede meddelelser (både gode og dårlige).
Brug den avancerede leveringspolitik i EOP for at forhindre, at indgående meddelelser i disse specifikke scenarier filtreres¹. Den avancerede leveringspolitik sikrer, at meddelelser i disse scenarier opnår følgende resultater:
- Filtre i EOP og Defender for Office 365 ikke udføre nogen handling på disse meddelelser. Filtrering af malware tilsidesættes kun for SecOps-postkasser.
- Zap(nul-tøm) for spam og phishing foretager ingen handling på disse meddelelser. ZAP til malware tilsidesættes kun for SecOps-postkasser.
- Sikre links i Defender for Office 365 blokerer eller detonerer ikke de angivne URL-adresser i disse meddelelser på tidspunktet for klik. URL-adresser er stadig ombrudt, men de er ikke blokeret.
- Sikre vedhæftede filer i Defender for Office 365 detonerer ikke vedhæftede filer i disse meddelelser.
- Standardsystembeskeder udløses ikke for disse scenarier.
- AIR og klyngedannelse i Defender for Office 365 ignorerer disse meddelelser.
- Specifikt til phishing-simuleringer fra tredjepart:
- Administration indsendelse genererer et automatisk svar, der siger, at meddelelsen er en del af en phishing-simuleringskampagne og ikke er en reel trussel. Beskeder og AIR udløses ikke. Oplevelsen med administratorindsendelser viser disse meddelelser som en simuleret trussel.
- Når en bruger rapporterer en phishingsimuleringsmeddelelse ved hjælp af den indbyggede knap Rapport i Outlook eller tilføjelsesprogrammet Microsoft Report Message eller Report Phishing, genererer systemet ikke en besked, undersøgelse eller hændelse. Linkene eller filerne detoneres ikke, men meddelelsen vises under fanen Brugerrapporteret på siden Indsendelser .
Meddelelser, der identificeres af den avancerede leveringspolitik, er ikke sikkerhedstrusler, så meddelelserne er markeret med systemtilsidesættelser. Administration oplevelser viser disse meddelelser som phishingsimulering eller Tilsidesættelser af SecOps-postkassesystem. Administratorer kan bruge disse værdier til at filtrere og analysere meddelelser i følgende oplevelser:
- Trusselsstifinder (Explorer) eller registreringer i realtid i Defender for Office 365: Administratorer kan filtrere efter systemets tilsidesættelseskilde og vælge phishingsimulering eller SecOps-postkasse.
- Enhedssiden Mail: Administratorer kan få vist en meddelelse, der blev tilladt af organisationspolitikken af SecOps-postkassen eller phishing-simulering under tilsidesættelse af lejer i afsnittet Tilsidesættelser.
- Statusrapporten trusselsbeskyttelse: Administration kan filtrere efter visningsdata efter tilsidesættelse af system i rullemenuen og vælge at få vist meddelelser, der er tilladt på grund af tilsidesættelse af et phishingsimuleringssystem. Hvis du vil se meddelelser, der er tilladt af tilsidesættelsen af SecOps-postkassen, kan du vælge diagramopdeling efter leveringsplacering i rullelisten med diagramopdeling efter årsag .
- Avanceret jagt i Microsoft Defender for Endpoint: Phishingsimulering og tilsidesættelser af SecOps-postkassesystem er indstillinger i OrgLevelPolicy i EmailEvents.
- Kampagnevisninger: Administration kan filtrere efter systemets tilsidesættelseskilde og vælge enten phishingsimulering eller SecOps-postkasse.
Hvad har du brug for at vide, før du begynder?
Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Avanceret levering , skal du bruge https://security.microsoft.com/advanceddelivery.
Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
Mail & samarbejdstilladelser på Microsoft Defender-portalen og Exchange Online tilladelser:
- Opret, rediger eller fjern konfigurerede indstillinger i politikken for avanceret levering: Medlemskab i rollegrupperne Sikkerhedsadministrator i Mail & RBAC til samarbejde og medlemskab af rollegruppen Organisationsadministration i Exchange Online RBAC.
-
Skrivebeskyttet adgang til den avancerede leveringspolitik: Medlemskab af rollegrupperne Global læser eller Sikkerhedslæser i Mail & RBAC til samarbejde.
- Kun organisationsadministration i Exchange Online RBAC.
Microsoft Entra tilladelser: Rollerne Global administrator*, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Brug Microsoft Defender-portalen til at konfigurere SecOps-postkasser i den avancerede leveringspolitik
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Avanceret levering i afsnittet Regler. Du kan også gå direkte til siden Avanceret levering ved at bruge https://security.microsoft.com/advanceddelivery.
På siden Avanceret levering skal du bekræfte, at fanen SecOps-postkasse er valgt.
På fanen SecOps-postkasse skal du vælge knappen Tilføj i området Konfigurerede SecOps-postkasser på siden.
Hvis der allerede findes poster på fanen SecOps-postkasse , skal du vælge Rediger (knappen Tilføj er ikke tilgængelig).
I pop op-vinduet Tilføj SecOps-postkasser, der åbnes, skal du angive en eksisterende Exchange Online postkasse, som du vil angive som SecOps-postkasse, ved at gøre et af følgende trin:
Klik på feltet, lad listen over postkasser blive løst, og vælg derefter postkassen.
Klik i feltet, og begynd at skrive et id for postkassen (navn, vist navn, alias, mailadresse, kontonavn osv.), og vælg postkassen (vist navn) i resultaterne.
Gentag dette trin så mange gange, det er nødvendigt. Distributionsgrupper er ikke tilladt.
Hvis du vil fjerne en eksisterende værdi, skal du vælge Fjern ud for værdien.
Når du er færdig i pop op-vinduet Tilføj SecOps-postkasser , skal du vælge Tilføj..
Gennemse oplysningerne i pop op-vinduet Ændringer til SecOps-postkassen, og vælg derefter Luk.
Tilbage på fanen SecOps-postkasse vises posterne i SecOps-postkassen, som du har konfigureret, nu på listen:
- Kolonnen Vist navn indeholder det viste navn på postkasserne.
- Kolonnen Mail indeholder mailadressen for hver post.
- Hvis du vil ændre listen over poster fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.
Brug Microsoft Defender-portalen til at redigere eller fjerne SecOps-postkasser i den avancerede leveringspolitik
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Avanceret levering i afsnittet Regler. Du kan også gå direkte til siden Avanceret levering ved at bruge https://security.microsoft.com/advanceddelivery.
På siden Avanceret levering skal du bekræfte, at fanen SecOps-postkasse er valgt.
På fanen SecOps-postkasse skal du vælge Rediger.
I pop op-vinduet Rediger SecOps-postkasser, der åbnes, skal du tilføje eller fjerne postkasser som beskrevet i trin 3 i afsnittet Brug Microsoft Defender-portalen til at konfigurere SecOps-postkasser i afsnittet politik for avanceret levering.
Hvis du vil fjerne alle postkasser, skal du vælge Fjern ud for hver værdi, indtil der ikke er valgt flere postkasser.
Når du er færdig i pop op-vinduet Rediger SecOps-postkasser , skal du vælge Gem.
Gennemse oplysningerne i pop op-vinduet Ændringer til SecOps-postkassen, og vælg derefter Luk.
Tilbage på fanen SecOps-postkasse vises posterne i SecOps-postkassen, som du har konfigureret. Hvis du har fjernet alle poster, er listen tom.
Brug Microsoft Defender-portalen til at konfigurere phishing-simuleringer fra tredjepart i den avancerede leveringspolitik
Hvis du vil konfigurere en phishingsimulering fra tredjepart, skal du angive følgende oplysninger:
- Mindst ét domæne: Det domæne fra MAIL FROM-adressen (også kendt som
5321.MailFrom
adresse, P1-afsender eller afsender af konvolut), der bruges i SMTP-overførslen af meddelelsen eller et DKIM-domæne, som angivet af leverandøren af phishingsimulering. - Mindst én afsendelses-IP.
- I forbindelse med phishing-simuleringer uden mail (f.eks. Microsoft Teams-meddelelser, Word dokumenter eller Excel-regneark) kan du vælge at identificere url-adresserne til simulering for at tillade, at de ikke skal behandles som reelle trusler på tidspunktet for klik: URL-adresserne blokeres eller detoneres ikke, og der genereres ingen klikbeskeder for URL-adresser eller resulterende hændelser. URL-adresserne ombrydes, når der klikkes, men de blokeres ikke.
Der skal være et match på mindst ét domæne og ét afsendelses-IP, men ingen tilknytning mellem værdier vedligeholdes.
Hvis din MX-post ikke peger på Microsoft 365, skal IP-adressen i headeren Authentication-results
svare til IP-adressen i den avancerede leveringspolitik. Hvis IP-adresserne ikke stemmer overens, skal du muligvis konfigurere udvidet filtrering for connectors , så den korrekte IP-adresse registreres.
Bemærk!
Udvidet filtrering for forbindelser fungerer ikke for phishing-simuleringer fra tredjepart i maildistributionsscenarier, der involverer mail, der kommer til Exchange online to gange (f.eks. internetmail, der distribueres til Microsoft 365, derefter til et lokalt miljø eller en tredjepartssikkerhedstjeneste og derefter tilbage til Microsoft 365). EOP kan ikke identificere meddelelsens sande IP-adresse. Prøv ikke at omgå denne begrænsning ved at føje IP-adresserne for den lokale eller tredjepart, der sender infrastruktur, til simulering af phishing fra tredjepart. Hvis du gør det, omgås filtrering af spam effektivt for alle internet afsendere, der repræsenterer det domæne, der er angivet i phishing-simuleringen fra tredjepart. Routingscenarier, hvor MX-posten peger på en tredjepartstjeneste, og derefter sendes mail til Exchange Online understøttes, hvis forbedret filtrering for forbindelser er konfigureret.
I øjeblikket understøtter den avancerede leveringspolitik for phishing-simuleringer fra tredjepart ikke simuleringer i den samme organisation (DIR:INT
), især ikke når mail distribueres via en Exchange Server gateway før Microsoft 365 i hybridmailflow. Du kan løse problemet ved at benytte følgende muligheder:
- Opret en dedikeret send-connector , der ikke godkender phishing-simuleringsmeddelelserne som interne.
- Konfigurer phishingsimuleringen for at omgå infrastrukturen for Exchange Server og distribuere mail direkte til din Microsoft 365 MX-post (f.eks. contoso-com.mail.protection.outlook.com).
- Selvom du kan angive scanning af meddelelser internt i organisationen til Ingen i politikker til bekæmpelse af spam , anbefaler vi ikke denne indstilling, fordi den påvirker andre mails.
Hvis du bruger den forudindstillede sikkerhedspolitik for indbygget beskyttelse, eller hvis dine brugerdefinerede Politikker for Sikre links har indstillingen Omskriv ikke URL-adresser, skal du udføre kontroller via SafeLinks API kun aktiveret, tidspunktet for klikbeskyttelse behandler ikke phishing-simuleringslinks i mail som trusler i Outlook på internettet, Outlook til iOS og Android, Outlook til Windows v16.0.15317.10000 eller nyere, og Outlook til Mac v16.74 (23061100) eller nyere. Hvis du bruger ældre versioner af Outlook, kan du overveje at deaktivere indstillingen Undlad at omskrive URL-adresser. Kontrollér kun via SafeLinks API i brugerdefinerede politikker for Sikre links.
Hvis du føjer URL-adresser til phishingsimulering til sektionen Omskriv ikke følgende URL-adresser i mailsektionen i politikker for sikre links, kan det medføre uønskede beskeder om URL-klik. Phishing-simulerings-URL-adresser i mails tillades automatisk både under mailflowet og på tidspunktet for klik.
I øjeblikket understøtter den avancerede leveringspolitik for SecOps-postkasser ikke meddelelser i organisationen (DIR:INT
), og disse meddelelser vil blive sat i karantæne. Du kan løse problemet ved at bruge en separat politik til bekæmpelse af spam for SecOps-postkasser, der ikke sætter meddelelser i organisationen i karantæne. Vi anbefaler ikke, at du deaktiverer beskyttelse i organisationen for alle postkasser.
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Avanceret levering i afsnittet Regler. Du kan også gå direkte til siden Avanceret levering ved at bruge https://security.microsoft.com/advanceddelivery.
På siden Avanceret levering skal du vælge fanen Phishing-simulering .
På fanen Phishing-simulering skal du vælge knappen Tilføj i området Der er ikke konfigureret phishing-simuleringer fra tredjepart på siden.
Hvis der allerede findes poster på fanen Phishing-simulering , skal du vælge Rediger (knappen Tilføj er ikke tilgængelig).
I pop op-vinduet Tilføj phishing-simuleringer fra tredjepart , der åbnes, skal du konfigurere følgende indstillinger:
Domæne: Udvid denne indstilling, og angiv mindst ét mailadressedomæne ved at klikke i feltet, angive en værdi (f.eks. contoso.com) og derefter trykke på enter-tasten eller vælge den værdi, der vises under feltet. Gentag dette trin så mange gange, det er nødvendigt. Du kan tilføje op til 50 poster. Brug en af følgende værdier:
- Domænet i adressen
5321.MailFrom
(også kendt som MAIL FROM-adresse , P1-afsender eller konvolut afsender), der bruges i SMTP-overførslen af meddelelsen. - DKIM-domænet som angivet af leverandøren af phishingsimulering.
- Domænet i adressen
Sender IP: Udvid denne indstilling, og angiv mindst én gyldig IPv4-adresse ved at klikke i feltet, angive en værdi og derefter trykke på tasten ENTER eller vælge den værdi, der vises under feltet. Gentag dette trin så mange gange, det er nødvendigt. Du kan tilføje op til 10 poster. Gyldige værdier er:
- Enkelt IP: f.eks. 192.168.1.1.
- IP-interval: f.eks. 192.168.0.1-192.168.0.254.
- CIDR IP: For eksempel 192.168.0.1/25.
URL-adresser til simulering, der skal tillades: Denne indstilling er ikke påkrævet for links i mail-phishing-simuleringer. Brug denne indstilling til eventuelt at identificere links i phishing-simuleringer uden mail (links i Teams-meddelelser eller i Office-dokumenter ), der ikke bør behandles som reelle trusler, når der klikkes.
Tilføj URL-adresser ved at udvide denne indstilling, klikke i feltet, angive en værdi og derefter trykke på TASTEN ENTER eller vælge den værdi, der vises under feltet. Du kan tilføje op til 30 poster. Du kan få mere at vide om URL-syntaksen i URL-syntaksen for listen over tilladte/blokerede lejere.
Hvis du vil fjerne en eksisterende værdi for domæne, IP eller URL-adresse, skal du vælge Fjern ud for værdien.
Se følgende eksempel:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- Forbindelses-IP-adressen er 172.17.17.7.
- Domænet i MAIL FROM-adressen (
smtp.mailfrom
) er contoso.com. - DKIM-domænet (
header.d
) er contoso-simulation.com.
I eksemplet kan du bruge en af følgende kombinationer til at konfigurere en phishing-simulering fra tredjepart:
Domæne: contoso.com
Sender IP: 172.17.17.7Domæne: contoso-simulation.com
Sender IP: 172.17.17.7Når du er færdig i pop op-vinduet Tilføj phishing-simuleringer fra tredjepart , skal du vælge Tilføj.
Gennemse oplysningerne i pop op-vinduet Ændringer i phishingsimulering , og vælg derefter Luk.
Tilbage på fanen Phishing-simulering vises de phishingsimuleringsposter fra tredjepart, som du har konfigureret, nu på listen:
- Kolonnen Value indeholder posten domæne, IP-adresse eller URL-adresse.
- Kolonnen Type indeholder værdien Sender IP, Domæne eller Tilladt URL-adresse til simulering for hver post.
- Kolonnen Dato viser, hvornår posten blev oprettet.
- Hvis du vil ændre listen over poster fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.
Brug Microsoft Defender-portalen til at redigere eller fjerne phishing-simuleringer fra tredjepart i den avancerede leveringspolitik
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Avanceret levering i afsnittet Regler. Du kan også gå direkte til siden Avanceret levering ved at bruge https://security.microsoft.com/advanceddelivery.
På siden Avanceret levering skal du vælge fanen Phishing-simulering .
På fanen Phishing-simulering skal du vælge Rediger.
I pop op-vinduet Rediger phishing-simulering fra tredjepart, der åbnes, skal du tilføje eller fjerne poster for domæne-, afsendelses-IP- og simulerings-URL-adresser som beskrevet i trin 3 i portalen Brug Microsoft Defender til at konfigurere SecOps-postkasser i sektionen Avanceret leveringspolitik.
Hvis du vil fjerne alle poster, skal du vælge Fjern ud for hver værdi, indtil der ikke er valgt flere domæner, IP-adresser eller URL-adresser.
Når du er færdig med pop op-vinduet Rediger phishing-simulering fra tredjepart , skal du vælge Gem.
Gennemse oplysningerne i pop op-vinduet Ændringer i phishingsimulering , og vælg derefter Luk.
Tilbage på fanen Phishing-simulering vises de phishingsimuleringsposter fra tredjepart, som du har konfigureret. Hvis du har fjernet alle poster, er listen tom.
Yderligere scenarier, der kræver tilsidesættelse af filtrering
Ud over de to scenarier, som den avancerede leveringspolitik kan hjælpe dig med, er der andre scenarier, hvor du kan få brug for at omgå filtrering af meddelelser:
Tredjepartsfiltre: Hvis dit domænes MX-post ikke peger på Office 365 (meddelelser distribueres først et andet sted), er sikker som standardikke tilgængelig. Hvis du vil tilføje beskyttelse, skal du aktivere Udvidet filtrering for forbindelser (også kendt som oversigt over spring over). Du kan få flere oplysninger under Administrer mailflow ved hjælp af en cloudtjeneste fra tredjepart med Exchange Online. Hvis du ikke vil have udvidet filtrering for forbindelser, skal du bruge regler for mailflow (også kaldet transportregler) til at omgå Microsoft-filtrering for meddelelser, der allerede er blevet evalueret af filtrering fra tredjepart. Du kan få flere oplysninger under Brug regler for mailflow til at angive SCL'en i meddelelser.
Falske positiver, der gennemses: Det kan være en god idé midlertidigt at tillade gode meddelelser, der fejlagtigt er identificeret som forkerte (falske positiver), som du har rapporteret via administratorindsendelser, men meddelelserne analyseres stadig af Microsoft. Som med alle tilsidesættelser anbefaler vi på det kraftigste , at disse godtgørelser er midlertidige.
PowerShell-procedurer for SecOps-postkasser i politikken for avanceret levering
I PowerShell er de grundlæggende elementer i SecOps-postkasser i politikken for avanceret levering:
- SecOps-tilsidesættelsespolitikken: Styres af *-SecOpsOverridePolicy-cmdlet'erne .
- SecOps-tilsidesættelsesreglen: Styres af *-ExoSecOpsOverrideRule-cmdlet'erne .
Denne funktionsmåde har følgende resultater:
- Du opretter politikken først, og derefter opretter du den regel, der identificerer den politik, som reglen gælder for.
- Når du fjerner en politik fra PowerShell, fjernes den tilsvarende regel også.
- Når du fjerner en regel fra PowerShell, fjernes den tilsvarende politik ikke. Du skal fjerne den tilsvarende politik manuelt.
Brug PowerShell til at konfigurere SecOps-postkasser
Konfiguration af en SecOps-postkasse i den avancerede leveringspolitik i PowerShell er en proces med to trin:
- Opret politikken til tilsidesættelse af SecOps.
- Opret den tilsidesættelsesregel for SecOps, der angiver den politik, som reglen gælder for.
Trin 1: Brug PowerShell til at oprette tilsidesættelsespolitikken for SecOps
I Exchange Online PowerShell skal du bruge følgende syntaks:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
Uanset hvilken værdi for Navn du angiver, er politiknavnet SecOpsOverridePolicy, så du kan lige så godt bruge denne værdi.
I dette eksempel oprettes politikken for SecOps-postkassen.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Du kan finde detaljerede oplysninger om syntaks og parametre under New-SecOpsOverridePolicy.
Trin 2: Brug PowerShell til at oprette tilsidesættelsesreglen for SecOps
I Exchange Online PowerShell skal du køre følgende kommando:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
Uanset hvilken værdi af Navnet du angiver, er _Exe:SecOpsOverrid:<GUID\>
regelnavnet [sic], hvor <GUID> er en entydig GUID-værdi (f.eks. 312c23cf-0377-4162-b93d-6548a9977efb9).
Du kan finde detaljerede oplysninger om syntaks og parametre under New-ExoSecOpsOverrideRule.
Brug PowerShell til at få vist politikken for tilsidesættelse af SecOps
I Exchange Online PowerShell returnerer dette eksempel detaljerede oplysninger om den ene og den eneste SecOps-postkassepolitik.
Get-SecOpsOverridePolicy
Du kan finde detaljerede syntaks- og parameteroplysninger under Get-SecOpsOverridePolicy.
Brug PowerShell til at få vist regler for tilsidesættelse af SecOps
I Exchange Online PowerShell returnerer dette eksempel detaljerede oplysninger om tilsidesættelsesregler for SecOps.
Get-ExoSecOpsOverrideRule
Selvom den forrige kommando kun skal returnere én regel, medtages en regel, der venter på sletning, også i resultaterne.
I dette eksempel identificeres den gyldige regel (en) og eventuelle ugyldige regler.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
Når du har identificeret de ugyldige regler, kan du fjerne dem ved hjælp af cmdlet'en Remove-ExoSecOpsOverrideRule som beskrevet senere i denne artikel.
Du kan finde detaljerede oplysninger om syntaks og parametre under Get-ExoSecOpsOverrideRule.
Brug PowerShell til at ændre politikken for tilsidesættelse af SecOps
I Exchange Online PowerShell skal du bruge følgende syntaks:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Dette eksempel føjer secops2@contoso.com
til politikken for tilsidesættelse af SecOps.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Bemærk!
Hvis der findes en tilknyttet, gyldig tilsidesættelsesregel for SecOps, opdateres mailadresserne i reglen også.
Du kan finde detaljerede oplysninger om syntaks og parametre under Set-SecOpsOverridePolicy.
Brug PowerShell til at ændre en tilsidesættelsesregel for SecOps
Set-ExoSecOpsOverrideRule-cmdlet'en ændrer ikke mailadresserne i secOps-tilsidesættelsesreglen. Hvis du vil ændre mailadresserne i tilsidesættelsesreglen for SecOps, skal du bruge cmdlet'en Set-SecOpsOverridePolicy .
Du kan finde detaljerede oplysninger om syntaks og parametre under Set-ExoSecOpsOverrideRule.
Brug PowerShell til at fjerne politikken for tilsidesættelse af SecOps
I Exchange Online PowerShell fjerner dette eksempel secOps-postkassepolitikken og den tilsvarende regel.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Du kan finde detaljerede oplysninger om syntaks og parametre under Remove-SecOpsOverridePolicy.
Brug PowerShell til at fjerne regler for tilsidesættelse af SecOps
I Exchange Online PowerShell skal du bruge følgende kommandoer:
Fjern alle Regler for tilsidesættelse af SecOps:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
Fjern den angivne tilsidesættelsesregel for SecOps:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Du kan finde detaljerede oplysninger om syntaks og parametre under Remove-ExoSecOpsOverrideRule.
PowerShell-procedurer for phishing-simuleringer fra tredjepart i den avancerede leveringspolitik
I PowerShell er de grundlæggende elementer i phishing-simuleringer fra tredjepart i den avancerede leveringspolitik:
- Politikken for tilsidesættelse af phishing-simulering: Styres af *-PhishSimOverridePolicy-cmdlet'erne .
- Reglen for tilsidesættelse af phishing-simulering: Styres af *-ExoPhishSimOverrideRule-cmdlet'erne .
- De tilladte (ikke-blokerede) url-adresser til phishing-simulering: Styres af *-TenantAllowBlockListItems-cmdlet'erne .
Bemærk!
Som tidligere beskrevet kræves identificering af URL-adresser ikke for links i mailbaserede phishingsimuleringer. Du kan eventuelt identificere links i phishing-simuleringer uden mail (links i Teams-meddelelser eller i Office-dokumenter ), der ikke skal behandles som reelle trusler på tidspunktet for klik.
Denne funktionsmåde har følgende resultater:
- Du opretter politikken først, og derefter opretter du den regel, der identificerer den politik, som reglen gælder for.
- Du kan ændre indstillingerne i politikken og reglen separat.
- Når du fjerner en politik fra PowerShell, fjernes den tilsvarende regel også.
- Når du fjerner en regel fra PowerShell, fjernes den tilsvarende politik ikke. Du skal fjerne den tilsvarende politik manuelt.
Brug PowerShell til at konfigurere phishing-simuleringer fra tredjepart
Konfiguration af en phishing-simulering fra tredjepart i PowerShell er en proces med flere trin:
- Opret politikken for tilsidesættelse af phishingsimulering.
- Opret den tilsidesættelsesregel for phishingsimulering, der angiver:
- Den politik, som reglen gælder for.
- IP-kildeadressen for phishingsimuleringsmeddelelserne.
- Du kan eventuelt identificere URL-adresserne til phishing-simulering i phishing-simuleringer uden mail (links i Teams-meddelelser eller i Office-dokumenter ), der ikke skal behandles som reelle trusler på tidspunktet for klik.
Trin 1: Brug PowerShell til at oprette politikken for tilsidesættelse af phishing-simulering
I Exchange Online PowerShell opretter dette eksempel politikken for tilsidesættelse af phishingsimulering.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
Uanset hvilken værdi for Navn du angiver, er politiknavnet PhishSimOverridePolicy, så du kan lige så godt bruge denne værdi.
Du kan finde detaljerede oplysninger om syntaks og parametre under New-PhishSimOverridePolicy.
Trin 2: Brug PowerShell til at oprette tilsidesættelsesreglen for phishingsimulering
I Exchange Online PowerShell skal du bruge følgende syntaks:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
Uanset hvilken værdi for Navn du angiver, er _Exe:PhishSimOverr:<GUID\>
regelnavnet [sic], hvor <GUID> er en entydig GUID-værdi (f.eks. 6fed4b63-3563-495d-a481-b24a311f8329).
En gyldig IP-adressepost er en af følgende værdier:
- Enkelt IP: f.eks. 192.168.1.1.
- IP-interval: f.eks. 192.168.0.1-192.168.0.254.
- CIDR IP: For eksempel 192.168.0.1/25.
I dette eksempel oprettes reglen for tilsidesættelse af phishing-simulering med de angivne indstillinger.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Du kan finde detaljerede oplysninger om syntaks og parametre under New-ExoPhishSimOverrideRule.
Trin 3: (Valgfrit) Brug PowerShell til at identificere URL-adresser til phishing-simulering, der skal tillades
I Exchange Online PowerShell skal du bruge følgende syntaks:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Du kan finde flere oplysninger om URL-syntaksen i URL-syntaksen for listen over tilladte/blokerede lejere
I dette eksempel tilføjes en URL-adresse, der tillader angivelse af den angivne URL-adresse til phishing-simulering fra tredjepart uden udløb.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListItems.
Brug PowerShell til at få vist politikken for tilsidesættelse af phishingsimulering
I Exchange Online PowerShell returnerer dette eksempel detaljerede oplysninger om politikken for tilsidesættelse af phishingsimulering.
Get-PhishSimOverridePolicy
Du kan finde detaljerede oplysninger om syntaks og parametre under Get-PhishSimOverridePolicy.
Brug PowerShell til at få vist tilsidesættelsesregler for phishingsimulering
I Exchange Online PowerShell) returnerer dette eksempel detaljerede oplysninger om tilsidesættelsesregler for phishingsimulering.
Get-ExoPhishSimOverrideRule
Selvom den forrige kommando kun skal returnere én regel, medtages eventuelle regler, der afventer sletning, muligvis også i resultaterne.
I dette eksempel identificeres den gyldige regel (en) og eventuelle ugyldige regler.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
Når du har identificeret de ugyldige regler, kan du fjerne dem ved hjælp af cmdlet'en Remove-ExoPhishSimOverrideRule som beskrevet senere i denne artikel.
Du kan finde detaljerede oplysninger om syntaks og parametre under Get-ExoPhishSimOverrideRule.
Brug PowerShell til at få vist de tilladte URL-adresser til phishing-simulering
I Exchange Online PowerShell skal du køre følgende kommando:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListItems.
Brug PowerShell til at ændre politikken for tilsidesættelse af phishingsimulering
I Exchange Online PowerShell skal du bruge følgende syntaks:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
I dette eksempel deaktiveres politikken for tilsidesættelse af phishingsimulering.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Du kan finde detaljerede oplysninger om syntaks og parametre under Set-PhishSimOverridePolicy.
Brug PowerShell til at ændre tilsidesættelsesregler for phishingsimulering
I Exchange Online PowerShell skal du bruge følgende syntaks:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
eller
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Brug Cmdlet'en Get-ExoPhishSimOverrideRule til at finde <værdierne phishSimOverrideRuleIdentity> . Navnet på reglen bruger følgende syntaks: _Exe:PhishSimOverr:<GUID\>
[sic], hvor <GUID> er en entydig GUID-værdi (f.eks. 6fed4b63-3563-495d-a481-b24a311f8329).
I dette eksempel ændres reglen for tilsidesættelse af phishingsimulering (formentlig kun) med følgende indstillinger:
- Tilføj domæneposten blueyonderairlines.com.
- Fjern IP-adresseposten 192.168.1.55.
Disse ændringer påvirker ikke eksisterende poster i reglen.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Du kan finde detaljerede oplysninger om syntaks og parametre under Set-ExoPhishSimOverrideRule.
Brug PowerShell til at ændre de tilladte URL-adresser til phishing-simulering
Du kan ikke ændre URL-værdierne direkte. Du kan fjerne eksisterende URL-adresser og tilføje nye URL-adresser som beskrevet i denne artikel.
I Exchange Online PowerShell skal du bruge følgende syntaks for at ændre andre egenskaber for en tilladt URL-adresse til phishing-simulering (f.eks. udløbsdatoen eller kommentarer):
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
Du identificerer den post, der skal ændres af dens URL-værdier (parameteren Entries ) eller identitetsværdien fra outputtet af cmdlet'en Get-TenantAllowBlockListItems (parameteren Ids ).
I dette eksempel blev udløbsdatoen for den angivne post ændret.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListItems.
Brug PowerShell til at fjerne en tilsidesættelsespolitik for phishingsimulering
I Exchange Online PowerShell fjerner dette eksempel politikken for tilsidesættelse af phishingsimulering og den tilsvarende regel.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Du kan finde detaljerede oplysninger om syntaks og parametre under Remove-PhishSimOverridePolicy.
Brug PowerShell til at fjerne tilsidesættelsesregler for phishingsimulering
I Exchange Online PowerShell skal du bruge følgende kommandoer:
Fjern alle regler for tilsidesættelse af phishingsimulering:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
Fjern den angivne tilsidesættelsesregel for phishing-simulering:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Du kan finde detaljerede oplysninger om syntaks og parametre under Remove-ExoPhishSimOverrideRule.
Brug PowerShell til at fjerne de tilladte URL-adresser til phishing-simulering
I Exchange Online PowerShell skal du bruge følgende syntaks:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
Du identificerer den post, der skal ændres af dens URL-værdier (parameteren Entries ) eller identitetsværdien fra outputtet af cmdlet'en Get-TenantAllowBlockListItems (parameteren Ids ).
I dette eksempel blev udløbsdatoen for den angivne post ændret.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListItems.