Compartir vía


Configuración de la directiva de entrega avanzada para simulaciones de suplantación de identidad de terceros y entrega de correo electrónico a buzones de SecOps

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Para mantener su organización segura de forma predeterminada, Exchange Online Protection (EOP) no permite listas seguras ni omisión de filtrado para los mensajes que se identifican como malware o suplantación de identidad de alta confianza. Sin embargo, hay escenarios específicos que requieren la entrega de mensajes sin filtrar. Por ejemplo:

  • Simulaciones de suplantación de identidad de terceros: los ataques simulados pueden ayudarle a identificar y entrenar usuarios vulnerables antes de que un ataque real afecte a su organización.
  • Buzones de operaciones de seguridad (SecOps): buzones dedicados que usan los equipos de seguridad para recopilar y analizar mensajes sin filtrar (buenos y malos).

Use la directiva de entrega avanzada en EOP para evitar que los mensajes entrantes en estos escenarios específicos se filtren¹. La directiva de entrega avanzada garantiza que los mensajes de estos escenarios alcancen los siguientes resultados:

Los mensajes identificados por la directiva de entrega avanzada no son amenazas de seguridad, por lo que los mensajes se marcan con invalidaciones del sistema. Administración experiencias muestran estos mensajes como invalidaciones del sistema de buzón de correo de Simulación de suplantación de identidad o SecOps. Los administradores pueden usar estos valores para filtrar y analizar mensajes en las siguientes experiencias:

  • Explorador de amenazas (Explorador) o Detecciones en tiempo real en Defender para Office 365: los administradores pueden filtrar por el origen de invalidación del sistema y seleccionar Simulación de suplantación de identidad o Buzón de SecOps.
  • La página de entidad Email: los administradores pueden ver un mensaje permitido por la directiva de la organización mediante el buzón de SecOps o la simulación de suplantación de identidad en Invalidación de inquilinos en la sección Invalidaciones.
  • El informe de estado de protección contra amenazas: Administración puede filtrar por ver los datos por invalidación del sistema en el menú desplegable y seleccionar para ver los mensajes permitidos debido a una invalidación del sistema de simulación de suplantación de identidad (phishing). Para ver los mensajes permitidos por la invalidación del buzón de SecOps, puede seleccionar desglose del gráfico por ubicación de entrega en la lista desplegable desglose del gráfico por motivos .
  • Búsqueda avanzada en Microsoft Defender para punto de conexión: simulación de suplantación de identidad y invalidaciones del sistema de buzones de SecOps son opciones dentro de OrgLevelPolicy en EmailEvents.
  • Vistas de campaña: Administración puede filtrar por el origen de invalidación del sistema y seleccionar simulación de suplantación de identidad (Phishing) o Buzón de SecOps.

¿Qué necesita saber antes de empezar?

  • Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Entrega avanzada , use https://security.microsoft.com/advanceddelivery.

  • Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).

    • Email & permisos de colaboración en el portal de Microsoft Defender y permisos de Exchange Online:

      • Cree, modifique o quite la configuración configurada en la directiva de entrega avanzada: pertenencia a los grupos de roles administrador de seguridad en Email & RBAC de colaboración y pertenencia al grupo de roles administración de la organización en Exchange Online RBAC.
      • Acceso de solo lectura a la directiva de entrega avanzada: pertenencia a los grupos de roles Lector global o Lector de seguridad en Email & RBAC de colaboración.
        • Administración de la organización de solo visualización en Exchange Online RBAC.
    • Microsoft Entra permisos: la pertenencia a los roles Administrador* global, Administrador de seguridad, Lector global o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

      Importante

      * Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Uso del portal de Microsoft Defender para configurar buzones de SecOps en la directiva de entrega avanzada

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivasdeamenazas> de reglas >Entrega avanzada en la sección Reglas. O bien, para ir directamente a la página Entrega avanzada , use https://security.microsoft.com/advanceddelivery.

    En la página Entrega avanzada , compruebe que la pestaña Buzón de SecOps está seleccionada.

  2. En la pestaña Buzón de SecOps , seleccione el botón Agregar en el área Sin buzones de SecOps configurados de la página.

    Si ya hay entradas existentes en la pestaña buzón de SecOps , seleccione Editar (el botón Agregar no está disponible).

  3. En el control flotante Agregar buzones de SecOps que se abre, escriba un buzón de Exchange Online existente que quiera designar como buzón de SecOps mediante cualquiera de los pasos siguientes:

    • Haga clic en el cuadro , deje que la lista de buzones se resuelva y, a continuación, seleccione el buzón.

    • Haga clic en el cuadro para empezar a escribir un identificador para el buzón (nombre, nombre para mostrar, alias, dirección de correo electrónico, nombre de cuenta, etc.) y seleccione el buzón (nombre para mostrar) de los resultados.

      Repita este paso tantas veces como sea necesario. No se permiten grupos de distribución.

      Para quitar un valor existente, seleccione Quitar junto al valor.

  4. Cuando haya terminado en el control flotante Agregar buzones de SecOps , seleccione Agregar.

  5. Revise la información del control flotante Cambios en el buzón de SecOps y, a continuación, seleccione Cerrar.

De nuevo en la pestaña Buzón de SecOps , ahora se muestran las entradas de buzón de SecOps que configuró:

  • La columna Nombre para mostrar contiene el nombre para mostrar de los buzones.
  • La columna Email contiene la dirección de correo electrónico de cada entrada.
  • Para cambiar la lista de entradas de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacto o normal y, a continuación, seleccione Lista compacta.

Uso del portal de Microsoft Defender para modificar o quitar buzones de SecOps en la directiva de entrega avanzada

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivasdeamenazas> de reglas >Entrega avanzada en la sección Reglas. O bien, para ir directamente a la página Entrega avanzada , use https://security.microsoft.com/advanceddelivery.

    En la página Entrega avanzada , compruebe que la pestaña Buzón de SecOps está seleccionada.

  2. En la pestaña Buzón de SecOps , seleccione Editar.

  3. En el control flotante Editar buzones de SecOps que se abre, agregue o quite buzones, tal como se describe en el paso 3 de la sección Usar el portal de Microsoft Defender para configurar buzones de SecOps en la directiva de entrega avanzada.

    Para quitar todos los buzones, seleccione Quitar junto a cada valor hasta que no haya más buzones seleccionados.

  4. Cuando haya terminado en el control flotante Editar buzones de SecOps , seleccione Guardar.

  5. Revise la información del control flotante Cambios en el buzón de SecOps y, a continuación, seleccione Cerrar.

De nuevo en la pestaña Buzón de SecOps , se muestran las entradas de buzón de SecOps que configuró. Si ha quitado todas las entradas, la lista estará vacía.

Uso del portal de Microsoft Defender para configurar simulaciones de suplantación de identidad de terceros en la directiva de entrega avanzada

Para configurar una simulación de suplantación de identidad de terceros, debe proporcionar la siguiente información:

  • Al menos un dominio: dominio de la dirección MAIL FROM (también conocida como 5321.MailFrom dirección, remitente P1 o remitente de sobre) que se usa en la transmisión SMTP del mensaje o un dominio DKIM según lo especificado por el proveedor de simulación de suplantación de identidad (phishing).
  • Al menos una dirección IP de envío.
  • En el caso de simulaciones de suplantación de identidad que no son de correo electrónico (por ejemplo, mensajes de Microsoft Teams, documentos Word o hojas de cálculo de Excel), puede identificar opcionalmente las direcciones URL de simulación para permitir que no se traten como amenazas reales en el momento de hacer clic: las direcciones URL no se bloquean ni detonan y no se generan alertas de clic de dirección URL ni incidentes resultantes. Las direcciones URL se encapsulan en el momento de hacer clic, pero no se bloquean.

Debe haber una coincidencia en al menos un dominio y una dirección IP de envío, pero no se mantiene ninguna asociación entre los valores.

Si el registro MX no apunta a Microsoft 365, la dirección IP del Authentication-results encabezado debe coincidir con la dirección IP de la directiva de entrega avanzada. Si las direcciones IP no coinciden, es posible que tenga que configurar el filtrado mejorado para conectores para que se detecte la dirección IP correcta.

Nota:

El filtrado mejorado para conectores no funciona para simulaciones de suplantación de identidad de terceros en escenarios de enrutamiento de correo electrónico que implican que el correo llegue a Exchange Online dos veces (por ejemplo, correo electrónico de Internet enrutado a Microsoft 365, luego a un entorno local o a un servicio de seguridad de terceros y, a continuación, de vuelta a Microsoft 365). EOP no puede identificar la dirección IP verdadera del origen del mensaje. No intente solucionar esta limitación agregando las direcciones IP de la infraestructura de envío local o de terceros a la simulación de suplantación de identidad de terceros. Al hacerlo, se omite de forma eficaz el filtrado de correo no deseado para cualquier remitente de Internet que suplanta el dominio especificado en la simulación de suplantación de identidad de terceros. Los escenarios de enrutamiento en los que el registro MX apunta a un servicio de terceros y, a continuación, el correo se enruta a Exchange Online se admiten si se configura el filtrado mejorado para conectores.

Actualmente, la directiva de entrega avanzada para simulaciones de suplantación de identidad de terceros no admite simulaciones dentro de la misma organización (DIR:INT), especialmente cuando el correo electrónico se enruta a través de una puerta de enlace de Exchange Server antes de Microsoft 365 en el flujo de correo híbrido. Para solucionar este problema, tiene las siguientes opciones:

  • Cree un conector de envío dedicado que no autentique los mensajes de simulación de suplantación de identidad como internos.
  • Configure la simulación de suplantación de identidad para omitir la infraestructura de Exchange Server y enrutar el correo directamente al registro MX de Microsoft 365 (por ejemplo, contoso-com.mail.protection.outlook.com).
  • Aunque puede establecer el examen de mensajes dentro de la organización en Ninguno en las directivas contra correo no deseado , no se recomienda esta opción porque afecta a otros mensajes de correo electrónico.

Si usa la directiva de seguridad preestablecida de protección integrada o las directivas de vínculos seguros personalizadas tienen la opción No volver a escribir direcciones URL, realice comprobaciones a través de safeLinks API solo habilitadas, la protección contra el tiempo de clic no trata los vínculos de simulación de suplantación de identidad en el correo electrónico como amenazas en Outlook en la Web, Outlook para iOS y Android, Outlook para Windows v16.0.15317.10000 o posterior, y Outlook para Mac v16.74 (23061100) o posterior. Si usa versiones anteriores de Outlook, considere la posibilidad de deshabilitar la opción No volver a escribir direcciones URL, realizar comprobaciones a través de safeLinks API solo en directivas de vínculos seguros personalizadas.

Agregar direcciones URL de simulación de suplantación de identidad (phishing) a la sección No volver a escribir las siguientes direcciones URL en las directivas de vínculos seguros podría dar lugar a alertas no deseadas para los clics en direcciones URL. Las direcciones URL de simulación de suplantación de identidad en los mensajes de correo electrónico se permiten automáticamente durante el flujo de correo y en el momento de hacer clic.

Actualmente, la directiva de entrega avanzada para buzones de SecOps no admite mensajes dentro de la organización (DIR:INT) y estos mensajes se pondrán en cuarentena. Como solución alternativa, puede usar una directiva de antispam independiente para los buzones de SecOps que no pone en cuarentena los mensajes dentro de la organización. No se recomienda deshabilitar la protección dentro de la organización para todos los buzones de correo.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivasdeamenazas> de reglas >Entrega avanzada en la sección Reglas. O bien, para ir directamente a la página Entrega avanzada , use https://security.microsoft.com/advanceddelivery.

    En la página Entrega avanzada , seleccione la pestaña Simulación de phishing .

  2. En la pestaña Simulación de suplantación de identidad (phishing ), seleccione el botón Agregar en el área configurada Sin simulaciones de suplantación de identidad de terceros de la página.

    Si ya hay entradas existentes en la pestaña Simulación de phishing , seleccione Editar (el botón Agregar no está disponible).

  3. En el control flotante Agregar simulaciones de suplantación de identidad de terceros que se abre, configure los siguientes valores:

    • Dominio: expanda esta configuración y escriba al menos un dominio de dirección de correo electrónico haciendo clic en el cuadro, escribiendo un valor (por ejemplo, contoso.com) y, a continuación, presionando la tecla ENTRAR o seleccionando el valor que se muestra debajo del cuadro. Repita este paso tantas veces como sea necesario. Puede agregar hasta 50 entradas. Use uno de los siguientes valores:

      • Dominio de la 5321.MailFrom dirección (también conocida como dirección MAIL FROM , remitente P1 o remitente de sobre) que se usa en la transmisión SMTP del mensaje.
      • Dominio DKIM especificado por el proveedor de simulación de phishing.
    • Enviar IP: expanda esta configuración y escriba al menos una dirección IPv4 válida haciendo clic en el cuadro, escribiendo un valor y, a continuación, presionando la tecla ENTRAR o seleccionando el valor que se muestra debajo del cuadro. Repita este paso tantas veces como sea necesario. Puede agregar hasta 10 entradas. Los valores admitidos son:

      • Ip única: por ejemplo, 192.168.1.1.
      • Intervalo IP: por ejemplo, 192.168.0.1-192.168.0.254.
      • IP CIDR: por ejemplo, 192.168.0.1/25.
    • Direcciones URL de simulación que se van a permitir: esta configuración no es necesaria para los vínculos en las simulaciones de suplantación de identidad por correo electrónico. Use esta configuración para identificar opcionalmente vínculos en simulaciones de suplantación de identidad que no son de correo electrónico (vínculos en mensajes de Teams o en documentos de Office) que no deben tratarse como amenazas reales en el momento de hacer clic.

      Agregue entradas url expandiendo esta configuración, haciendo clic en el cuadro, escribiendo un valor y, a continuación, presionando la tecla ENTRAR o seleccionando el valor que se muestra debajo del cuadro. Puede agregar hasta 30 entradas. Para obtener la sintaxis de dirección URL, consulte Sintaxis de dirección URL para la lista de permitidos o bloques de inquilinos.

    Para quitar un dominio, una dirección IP o un valor de dirección URL existentes, seleccione Quitar junto al valor.

    Veamos el ejemplo siguiente:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
    smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
    header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
    
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
    s=selector1;
    h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
    bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    
    • La dirección IP de conexión es 172.17.17.7.
    • Se contoso.com el dominio de la dirección MAIL FROM (smtp.mailfrom).
    • El dominio DKIM (header.d) es contoso-simulation.com.

    En el ejemplo, puede usar una de las siguientes combinaciones para configurar una simulación de suplantación de identidad de terceros:

    Dominio: contoso.com
    Dirección IP de envío: 172.17.17.7

    Dominio: contoso-simulation.com
    Dirección IP de envío: 172.17.17.7

  4. Cuando haya terminado en el control flotante Agregar simulaciones de suplantación de identidad de terceros , seleccione Agregar.

  5. Revise la información del control flotante Cambios en la simulación de suplantación de identidad (phishing) y, a continuación, seleccione Cerrar.

De nuevo en la pestaña Simulación de suplantación de identidad (phishing ), ahora se muestran las entradas de simulación de suplantación de identidad (phishing) de terceros que configuró:

  • La columna Valor contiene el dominio, la dirección IP o la entrada de dirección URL.
  • La columna Tipo contiene el valor Dirección IP de envío, dominio o dirección URL de simulación permitida para cada entrada.
  • La columna Fecha muestra cuándo se creó la entrada.
  • Para cambiar la lista de entradas de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacto o normal y, a continuación, seleccione Lista compacta.

Use el portal de Microsoft Defender para modificar o quitar simulaciones de suplantación de identidad de terceros en la directiva de entrega avanzada

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivasdeamenazas> de reglas >Entrega avanzada en la sección Reglas. O bien, para ir directamente a la página Entrega avanzada , use https://security.microsoft.com/advanceddelivery.

    En la página Entrega avanzada , seleccione la pestaña Simulación de phishing .

  2. En la pestaña Simulación de phishing , seleccione Editar.

  3. En el control flotante Editar simulación de suplantación de identidad de terceros que se abre, agregue o quite entradas para dominios, direcciones IP de envío y direcciones URL de simulación, como se describe en el paso 3 del portal Uso de Microsoft Defender para configurar buzones de SecOps en la sección directiva de entrega avanzada.

    Para quitar todas las entradas, seleccione Quitar junto a cada valor hasta que no haya más dominios, direcciones IP o direcciones URL seleccionados.

  4. Cuando haya terminado en el control flotante Editar simulación de suplantación de identidad de terceros , seleccione Guardar.

  5. Revise la información del control flotante Cambios en la simulación de suplantación de identidad (phishing) y, a continuación, seleccione Cerrar.

De nuevo en la pestaña Simulación de suplantación de identidad (phishing), se muestran las entradas de simulación de suplantación de identidad (phishing) de terceros que configuró. Si ha quitado todas las entradas, la lista estará vacía.

Escenarios adicionales que requieren omisión de filtrado

Además de los dos escenarios con los que la directiva de entrega avanzada puede ayudarle, hay otros escenarios en los que es posible que tenga que omitir el filtrado de mensajes:

  • Filtros de terceros: si el registro MX del dominio no apunta a Office 365 (los mensajes se enrutan primero a otro lugar), la seguridad no está disponiblede forma predeterminada. Si desea agregar protección, debe habilitar el filtrado mejorado para conectores (también conocido como omitir lista). Para obtener más información, consulte Administración del flujo de correo mediante un servicio en la nube de terceros con Exchange Online. Si no desea el filtrado mejorado para conectores, use reglas de flujo de correo (también conocidas como reglas de transporte) para omitir el filtrado de Microsoft para los mensajes que ya se han evaluado mediante el filtrado de terceros. Para obtener más información, consulte Uso de reglas de flujo de correo para establecer la SCL en los mensajes.

  • Falsos positivos en revisión: es posible que desee permitir temporalmente mensajes correctos que se identifiquen incorrectamente como incorrectos (falsos positivos) que ha notificado a través de envíos de administrador, pero microsoft sigue analizando los mensajes. Al igual que con todas las invalidaciones, se recomienda encarecidamente que estas asignaciones sean temporales.

Procedimientos de PowerShell para buzones de SecOps en la directiva de entrega avanzada

En PowerShell, los elementos básicos de los buzones de SecOps en la directiva de entrega avanzada son:

  • Directiva de invalidación de SecOps: controlada por los cmdlets *-SecOpsOverridePolicy .
  • Regla de invalidación de SecOps: controlada por los cmdlets *-ExoSecOpsOverrideRule .

Este comportamiento tiene los siguientes resultados:

  • Primero se crea la directiva y, a continuación, se crea la regla que identifica la directiva a la que se aplica la regla.
  • Al quitar una directiva de PowerShell, también se quita la regla correspondiente.
  • Al quitar una regla de PowerShell, no se quita la directiva correspondiente. Debe quitar manualmente la directiva correspondiente.

Uso de PowerShell para configurar buzones de SecOps

La configuración de un buzón de SecOps en la directiva de entrega avanzada en PowerShell es un proceso de dos pasos:

  1. Cree la directiva de invalidación de SecOps.
  2. Cree la regla de invalidación de SecOps que especifique la directiva a la que se aplica la regla.

Paso 1: Uso de PowerShell para crear la directiva de invalidación de SecOps

En Exchange Online PowerShell, use la sintaxis siguiente:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Independientemente del valor name que especifique, el nombre de la directiva es SecOpsOverridePolicy, por lo que también podría usar ese valor.

En este ejemplo se crea la directiva de buzón de SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-SecOpsOverridePolicy.

Paso 2: Uso de PowerShell para crear la regla de invalidación de SecOps

En Exchange Online PowerShell, ejecute el siguiente comando:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Independientemente del valor name que especifique, el nombre de la regla será _Exe:SecOpsOverrid:<GUID\> [sic] donde <GUID> es un valor GUID único (por ejemplo, 312c23cf-0377-4162-b93d-6548a9977efb9).

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-ExoSecOpsOverrideRule.

Uso de PowerShell para ver la directiva de invalidación de SecOps

En Exchange Online PowerShell, en este ejemplo se devuelve información detallada sobre la directiva de buzón de Uno y solo SecOps.

Get-SecOpsOverridePolicy

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-SecOpsOverridePolicy.

Uso de PowerShell para ver las reglas de invalidación de SecOps

En Exchange Online PowerShell, este ejemplo devuelve información detallada sobre las reglas de invalidación de SecOps.

Get-ExoSecOpsOverrideRule

Aunque el comando anterior solo debe devolver una regla, una regla que esté pendiente de eliminación también podría incluirse en los resultados.

En este ejemplo se identifica la regla válida (una) y las reglas no válidas.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Después de identificar las reglas no válidas, puede quitarlas mediante el cmdlet Remove-ExoSecOpsOverrideRule , como se describe más adelante en este artículo.

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-ExoSecOpsOverrideRule.

Uso de PowerShell para modificar la directiva de invalidación de SecOps

En Exchange Online PowerShell, use la sintaxis siguiente:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

En este ejemplo se agrega secops2@contoso.com a la directiva de invalidación de SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Nota:

Si existe una regla de invalidación de SecOps asociada y válida, también se actualizan las direcciones de correo electrónico de la regla.

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-SecOpsOverridePolicy.

Uso de PowerShell para modificar una regla de invalidación de SecOps

El cmdlet Set-ExoSecOpsOverrideRule no modifica las direcciones de correo electrónico en la regla de invalidación de SecOps. Para modificar las direcciones de correo electrónico en la regla de invalidación de SecOps, use el cmdlet Set-SecOpsOverridePolicy .

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-ExoSecOpsOverrideRule.

Uso de PowerShell para quitar la directiva de invalidación de SecOps

En Exchange Online PowerShell, en este ejemplo se quita la directiva de buzón de SecOps y la regla correspondiente.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Remove-SecOpsOverridePolicy.

Uso de PowerShell para quitar reglas de invalidación de SecOps

En Exchange Online PowerShell, use los siguientes comandos:

  • Quite las reglas de invalidación de SecOps:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
    
  • Quite la regla de invalidación de SecOps especificada:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
    

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Remove-ExoSecOpsOverrideRule.

Procedimientos de PowerShell para simulaciones de suplantación de identidad de terceros en la directiva de entrega avanzada

En PowerShell, los elementos básicos de las simulaciones de suplantación de identidad de terceros en la directiva de entrega avanzada son:

  • Directiva de invalidación de simulación de suplantación de identidad: controlada por los cmdlets *-PhishSimOverridePolicy .
  • Regla de invalidación de simulación de suplantación de identidad: controlada por los cmdlets *-ExoPhishSimOverrideRule .
  • Las direcciones URL de simulación de suplantación de identidad permitidas (desbloqueadas): controladas por los cmdlets *-TenantAllowBlockListItems .

Nota:

Como se describió anteriormente, la identificación de direcciones URL no es necesaria para los vínculos en simulaciones de suplantación de identidad basadas en correo electrónico. Opcionalmente, puede identificar vínculos en simulaciones de suplantación de identidad que no son de correo electrónico (vínculos en mensajes de Teams o en documentos de Office) que no deben tratarse como amenazas reales en el momento de hacer clic.

Este comportamiento tiene los siguientes resultados:

  • Primero se crea la directiva y, a continuación, se crea la regla que identifica la directiva a la que se aplica la regla.
  • Modifique la configuración de la directiva y la regla por separado.
  • Al quitar una directiva de PowerShell, también se quita la regla correspondiente.
  • Al quitar una regla de PowerShell, no se quita la directiva correspondiente. Debe quitar manualmente la directiva correspondiente.

Uso de PowerShell para configurar simulaciones de suplantación de identidad de terceros

La configuración de una simulación de suplantación de identidad de terceros en PowerShell es un proceso de varios pasos:

  1. Cree la directiva de invalidación de simulación de phishing.
  2. Cree la regla de invalidación de simulación de suplantación de identidad (phishing) que especifique:
    • Directiva a la que se aplica la regla.
    • Dirección IP de origen de los mensajes de simulación de suplantación de identidad (phishing).
  3. Opcionalmente, puede identificar las direcciones URL de simulación de suplantación de identidad en simulaciones de suplantación de identidad que no son de correo electrónico (vínculos en mensajes de Teams o en documentos de Office) que no deben tratarse como amenazas reales en el momento de hacer clic.

Paso 1: Uso de PowerShell para crear la directiva de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, en este ejemplo se crea la directiva de invalidación de simulación de phishing.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Independientemente del valor name que especifique, el nombre de la directiva es PhishSimOverridePolicy, por lo que también podría usar ese valor.

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-PhishSimOverridePolicy.

Paso 2: Uso de PowerShell para crear la regla de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, use la sintaxis siguiente:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Independientemente del valor name que especifique, el nombre de la regla será _Exe:PhishSimOverr:<GUID\> [sic] donde <GUID> es un valor GUID único (por ejemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Una entrada de dirección IP válida es uno de los siguientes valores:

  • Ip única: por ejemplo, 192.168.1.1.
  • Intervalo IP: por ejemplo, 192.168.0.1-192.168.0.254.
  • IP CIDR: por ejemplo, 192.168.0.1/25.

En este ejemplo se crea la regla de invalidación de simulación de suplantación de identidad (phishing) con la configuración especificada.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-ExoPhishSimOverrideRule.

Paso 3: (Opcional) Uso de PowerShell para identificar las direcciones URL de simulación de suplantación de identidad para permitir

En Exchange Online PowerShell, use la sintaxis siguiente:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Para obtener más información sobre la sintaxis de dirección URL, consulte Sintaxis de direcciones URL para la lista de permitidos o bloqueados de inquilinos.

En este ejemplo se agrega una entrada de permiso de dirección URL para la dirección URL de simulación de suplantación de identidad de terceros especificada sin expiración.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Para obtener información detallada sobre la sintaxis y los parámetros, vea New-TenantAllowBlockListItems.

Uso de PowerShell para ver la directiva de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, este ejemplo devuelve información detallada sobre la única directiva de invalidación de simulación de suplantación de identidad (phishing).

Get-PhishSimOverridePolicy

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-PhishSimOverridePolicy.

Uso de PowerShell para ver las reglas de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell), este ejemplo devuelve información detallada sobre las reglas de invalidación de simulación de suplantación de identidad (phishing).

Get-ExoPhishSimOverrideRule

Aunque el comando anterior solo debe devolver una regla, las reglas que están pendientes de eliminación también se pueden incluir en los resultados.

En este ejemplo se identifica la regla válida (una) y las reglas no válidas.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Después de identificar las reglas no válidas, puede quitarlas mediante el cmdlet Remove-ExoPhishSimOverrideRule , como se describe más adelante en este artículo.

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-ExoPhishSimOverrideRule.

Uso de PowerShell para ver las entradas de url de simulación de suplantación de identidad permitidas

En Exchange Online PowerShell, ejecute el siguiente comando:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-TenantAllowBlockListItems.

Uso de PowerShell para modificar la directiva de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, use la sintaxis siguiente:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

En este ejemplo se deshabilita la directiva de invalidación de simulación de suplantación de identidad (phishing).

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-PhishSimOverridePolicy.

Uso de PowerShell para modificar las reglas de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, use la sintaxis siguiente:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Otra posibilidad:

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Use el cmdlet Get-ExoPhishSimOverrideRule para buscar los <valores de PhishSimOverrideRuleIdentity> . El nombre de la regla usa la sintaxis siguiente: _Exe:PhishSimOverr:<GUID\> [sic] donde <GUID> es un valor GUID único (por ejemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

En este ejemplo se modifica la regla de invalidación de simulación de suplantación de identidad (presumiblemente solo) con la siguiente configuración:

  • Agregue la entrada de dominio blueyonderairlines.com.
  • Quite la entrada de dirección IP 192.168.1.55.

Estos cambios no afectan a las entradas existentes en la regla.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-ExoPhishSimOverrideRule.

Uso de PowerShell para modificar las entradas de url de simulación de suplantación de identidad permitidas

No se pueden modificar los valores de dirección URL directamente. Puede quitar las entradas de dirección URL existentes y agregar nuevas entradas de dirección URL , como se describe en este artículo.

En Exchange Online PowerShell, para modificar otras propiedades de una entrada url de simulación de suplantación de identidad permitida (por ejemplo, la fecha de expiración o los comentarios), use la sintaxis siguiente:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Identifica la entrada que se va a modificar por sus valores de dirección URL (el parámetro Entries ) o el valor identity de la salida del cmdlet Get-TenantAllowBlockListItems (el parámetro Ids ).

En este ejemplo se modificó la fecha de expiración de la entrada especificada.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-TenantAllowBlockListItems.

Uso de PowerShell para quitar una directiva de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, en este ejemplo se quita la directiva de invalidación de simulación de suplantación de identidad (phishing) y la regla correspondiente.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Remove-PhishSimOverridePolicy.

Uso de PowerShell para quitar reglas de invalidación de simulación de suplantación de identidad

En Exchange Online PowerShell, use los siguientes comandos:

  • Quite las reglas de invalidación de simulación de suplantación de identidad (phishing):

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
    
  • Quite la regla de invalidación de simulación de suplantación de identidad especificada:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
    

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Remove-ExoPhishSimOverrideRule.

Uso de PowerShell para quitar las entradas de url de simulación de suplantación de identidad permitidas

En Exchange Online PowerShell, use la sintaxis siguiente:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Identifica la entrada que se va a modificar por sus valores de dirección URL (el parámetro Entries ) o el valor identity de la salida del cmdlet Get-TenantAllowBlockListItems (el parámetro Ids ).

En este ejemplo se modificó la fecha de expiración de la entrada especificada.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obtener información detallada sobre la sintaxis y los parámetros, vea Remove-TenantAllowBlockListItems.