Määritä tietojen kalastelun torjuntakäytännöt EOP:ssä

• Koskee seuraavia::

  ✅ Exchange Online Protection

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joissa on postilaatikoita Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa, joissa ei ole Exchange Online postilaatikoita, tietojenkalastelun torjuntakäytännöt tarjoavat huijauksen torjuntasuojauksen. Lisätietoja on tietojenkalastelun torjuntakäytäntöjen kohdassa Huijausasetukset.

Tietojenkalastelun oletuskäytäntö koskee automaattisesti kaikkia vastaanottajia. Rakeisuuden lisäämiseksi voit myös luoda mukautettuja tietojenkalastelun torjuntakäytäntöjä, jotka koskevat tiettyjä käyttäjiä, ryhmiä tai toimialueita organisaatiossasi.

Voit määrittää tietojenkalastelun torjuntakäytäntöjä Microsoft Defender portaalissa tai PowerShellissä (Exchange Online PowerShell Microsoft 365 -organisaatioille ja postilaatikot Exchange Online; erillinen EOP PowerShell organisaatioille, joilla ei ole Exchange Online postilaatikoita).

Lisätietoja tietojenkalastelun torjuntakäytäntömenettelyistä organisaatioissa, joissa on Microsoft Defender for Office 365, on artikkelissa Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365.

Mitä on hyvä tietää ennen aloittamista?

• Avaat Microsoft Defender -portaalin osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing

• Jos haluat muodostaa yhteyden Exchange Online PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online PowerShelliin. Jos haluat muodostaa yhteyden erilliseen EOP PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online Protection PowerShelliin.

• Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

  • Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (hallinta) tai Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).

  • Exchange Online käyttöoikeudet:

    • Lisää, muokkaa ja poista käytäntöjä: Organisaation hallinta - tai Suojauksen järjestelmänvalvoja - rooliryhmien jäsenyys.
    • Vain luku -oikeudet käytäntöihin: Yleisen lukijan, suojauksen lukijan tai vain tarkastelu -organisaation hallinta -rooliryhmien jäsenyys.

  • Microsoft Entra oikeudet: Yleisen järjestelmänvalvojan^*, suojauksen järjestelmänvalvojan, yleisen lukijan tai suojauksen lukija -roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.

    Tärkeää

    ^* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

• Suositellut asetukset tietojenkalastelun torjuntakäytännöille Defender for Office 365 on artikkelissa Tietojenkalastelun torjuntakäytäntö Defender for Office 365 asetuksissa.

  Vihje

  Oletusarvoisten tai mukautettujen tietojenkalastelun torjuntakäytäntöjen asetukset ohitetaan, jos vastaanottaja sisältyy myös vakio- tai strict-suojauskäytäntöihin. Lisätietoja on artikkelissa Sähköpostin suojauksen järjestys ja käsittelyjärjestys.

• Salli uuden tai päivitetyn käytännön lisääminen jopa 30 minuuttia.

Tietojenkalastelun torjuntakäytäntöjen luominen Microsoft Defender portaalin avulla

1. Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comSähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Tietojenkalastelun torjunta Käytännöt-osiosta. Jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing

2. Valitse tietojenkalastelun torjunnan sivulla Luo, niin uusi tietojenkalastelun torjuntakäytännön ohjattu toiminto avautuu.

3. Määritä Käytännön nimi -sivulla seuraavat asetukset:

   • Nimi: Anna käytännölle yksilöllinen, kuvaava nimi.
   • Kuvaus: Kirjoita käytännön valinnainen kuvaus.

   Kun olet valmis Käytännön nimi -sivulla, valitse Seuraava.

4. Tunnista Käyttäjät,ryhmät ja toimialueet -sivulla sisäiset vastaanottajat , joita käytäntö koskee (vastaanottajan ehdot):

   • Käyttäjät: Määritetyt postilaatikot, sähköpostin käyttäjät tai sähköpostin yhteystiedot.
   • Ryhmät:
     • Määritettyjen jakeluryhmien tai sähköpostia käyttävien käyttöoikeusryhmien jäsenet (dynaamisia jakeluryhmiä ei tueta).
     • Määritetty Microsoft 365 -ryhmät.
   • Toimialueet: Kaikki organisaation vastaanottajat, joilla on ensisijainen sähköpostiosoite määritetyssä hyväksytyssä toimialueessa.

   Napsauta sopivaa ruutua, ala kirjoittaa arvoa ja valitse haluamasi arvo tuloksista. Toista tämä prosessi niin monta kertaa kuin on tarpeen. Jos haluat poistaa olemassa olevan arvon, valitse arvon vieristä.

   Käyttäjille tai ryhmille voit käyttää useimpia tunnisteita (nimi, näyttönimi, alias, sähköpostiosoite, tilin nimi jne.), mutta vastaava näyttönimi näkyy tuloksissa. Jos kyseessä on käyttäjä tai ryhmä, kirjoita tähti (*) itsekseen, jotta näet kaikki käytettävissä olevat arvot.

   Voit käyttää ehtoa vain kerran, mutta ehto voi sisältää useita arvoja:

   • Useat saman ehdonarvot käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <vastaanottaja2>). Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä sovelletaan niihin.

   • Erityyppiset ehdot käyttävät AND-logiikkaa. Vastaanottajan on vastattava kaikkia määritettyjä ehtoja, jotta käytäntöä voidaan soveltaa niihin. Voit esimerkiksi määrittää ehdon seuraavilla arvoilla:

     • Käyttäjät: romain@contoso.com
     • Ryhmät: Johtajat

     Käytäntöä romain@contoso.com sovelletaan vain, jos hän on myös Johtajat-ryhmän jäsen. Muuten käytäntöä ei sovelleta häneen.

   • Jätä pois nämä käyttäjät, ryhmät ja toimialueet: Jos haluat lisätä poikkeuksia sisäisille vastaanottajille, joita käytäntö koskee (vastaanottajapoikkeukset), valitse tämä vaihtoehto ja määritä poikkeukset.

     Voit käyttää poikkeusta vain kerran, mutta poikkeus voi sisältää useita arvoja:

     • Saman poikkeuksen useat arvot käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <vastaanottaja2>). Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä ei käytetä niihin.
     • ERI poikkeustyypit käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <group1>:n jäsen tai <toimialueen1> jäsen). Jos vastaanottaja vastaa jotakin määritetyistä poikkeusarvoista, käytäntöä ei sovelleta niihin.

   Kun olet valmis Käyttäjät-, Ryhmät- ja Toimialueet-sivulla , valitse Seuraava.

5. Käytä tietojenkalastelun raja-arvolla & suojaussivullaOta käyttöön tietoja koskeva huijaus -valintaruutua, jos haluat ottaa tietojenkalastelun käyttöön tai poistaa sen käytöstä. Tämä asetus on oletusarvoisesti valittuna, ja suosittelemme, että jätät sen valituksi. Määrität toiminnon, joka suoritetaan seuraavan sivun estettyjen viestien lähettäjiltä.

   Voit poistaa käytöstä huijareiden älykkyyden poistamalla valintaruudun valinnan.

   Huomautus

   Sinun ei tarvitse poistaa käytöstä spoof intelligence -toimintoa, jos MX-tietueesi ei osoita Microsoft 365:een. sen sijaan voit ottaa käyttöön yhdistimien parannetun suodatuksen. Katso ohjeet kohdasta Liitinten parannettu suodatus Exchange Online.

   Kun olet valmis tietojenkalastelun raja-arvolla & suojaussivulla , valitse Seuraava.

6. Määritä Toiminnot-sivulla seuraavat asetukset:

   • Noudata DMARC-tietuekäytäntöä, kun viesti havaitaan spoofiksi: Tämä asetus on oletusarvoisesti valittuna, ja sen avulla voit hallita, mitä tapahtuu viesteille, joissa lähettäjä ei läpäise DMARC-tarkistuksia ja DMARC-käytännöksi p=quarantine on määritetty tai p=reject:

     • Jos viesti tunnistetaan huijaukseksi ja DMARC-käytäntö on määritetty p=karanteeniksi: Valitse jokin seuraavista toiminnoista:

       • Aseta viesti karanteeniin: Tämä on oletusarvo.
       • Siirrä viesti vastaanottajien Roskaposti-kansioihin

     • Jos viesti tunnistetaan huijaukseksi ja DMARC-käytännöksi on määritetty p=reject: Valitse jokin seuraavista toiminnoista:

       • Aseta viesti karanteeniin
       • Hylkää viesti: Tämä on oletusarvo.

     Lisätietoja on ohjeaiheessa Spoof-suojaus ja lähettäjän DMARC-käytännöt.

   • Jos huijaustiedot havaitsevat viestin huijaukseksi: Tämä asetus on käytettävissä vain, jos valitsit edellisellä sivulla Ota tietoja käyttöön . Valitse jokin seuraavista toiminnoista estettyjen viestien lähettäjien avattavasta luettelosta:

     • Siirrä viesti vastaanottajien Roskaposti-kansioihin (oletus)

     • Aseta viesti karanteeniin: Jos valitset tämän toiminnon, näkyviin tulee Käytä karanteenikäytäntöä -ruutu, jossa valitaan karanteenikäytäntö, joka koskee viestejä, jotka on asetettu karanteeniin huijaustietojen suojaamisen avulla.

       Jos et valitse karanteenikäytäntöä, käytetään oletusarvoista karanteenikäytäntöä tiedontunnistusta varten (DefaultFullAccessPolicy). Kun myöhemmin tarkastelet tai muokkaat tietojenkalastelun torjuntakäytäntöasetuksia, karanteenikäytännön nimi tulee näkyviin.

   • Suojausvinkkejä ilmaisimien & osio: Määritä seuraavat asetukset:

     • Näytä yhteyshenkilön ensimmäinen turvallisuusvihje: Lisätietoja on kohdassa Ensimmäinen yhteyshenkilön turvavihje.
     • Näytä (?) todentamattomille lähettäjille spoofille: Tämä asetus on käytettävissä vain, jos valitsit edellisellä sivulla Ota käyttöön spoof-tiedot . Lisää kysymysmerkin (?) lähettäjän valokuvaan Outlookin Lähettäjä-ruudussa, jos viesti ei läpäise SPF- tai DKIM-tarkistuksia eikä viesti läpäise DMARC- tai yhdistelmätodennusta. Tämä asetus on oletusarvoisesti valittuna.
     • Näytä via-tunniste: Tämä asetus on käytettävissä vain, jos valitsit edellisellä sivulla Ota käyttöön tietoja. Lisää tunnisteen nimeltä (chris@contoso.com fabrikam.com kautta) Lähettäjä-osoitteeseen, jos se eroaa DKIM-allekirjoituksen tai MAIL FROM -osoitteen toimialueesta. Tämä asetus on oletusarvoisesti valittuna.

     Jos haluat ottaa asetuksen käyttöön, valitse valintaruutu. Voit poistaa sen käytöstä poistamalla valintaruudun valinnan.

   Kun olet valmis Toiminnot-sivulla , valitse Seuraava.

7. Tarkista asetukset Tarkista-sivulla . Voit muokata -osan asetuksia valitsemalla kussakin osiossa Muokkaa . Voit myös valita Takaisin tai haluamasi sivun ohjatussa toiminnossa.

   Kun olet valmis Tarkista-sivulla , valitse Lähetä.

8. Luomallasi Uudella tietojenkalastelun vastaisella käytännöllä voit valita linkit, joiden avulla voit tarkastella käytäntöä, tarkastella tietojenkalastelun vastaisia käytäntöjä ja saada lisätietoja tietojenkalastelun vastaisista käytännöistä.

   Kun olet valmis , valitse Uusi tietojenkalastelun torjuntakäytännön luoma sivu, valitse Valmis.

   Tietojenkalastelun vastaisella sivulla näkyy uusi käytäntö.

Microsoft Defender portaalin avulla voit tarkastella tietojenkalastelun torjuntakäytännön tietoja

Siirry Microsoft Defender portaalissa Kohtaan Sähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Tietojenkalastelun torjunta Käytännöt-osiossa. Tai jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing

Tietojenkalastelun torjuntasivulla näytetään tietojenkalastelun torjuntakäytäntöjen luettelossa seuraavat ominaisuudet:

• Name (Nimi)
• Tila: Arvot ovat:
  • Käytä aina oletusarvoista tietojenkalastelun torjuntakäytäntöä.
  • Käytössä tai Ei käytössä muille roskapostin torjuntakäytännöille.
• Prioriteetti: Lisätietoja on osiossa Mukautettujen tietojenkalastelun torjuntakäytäntöjen prioriteetin määrittäminen .

Jos haluat muuttaa käytäntöluettelon normaalista tiivistettyyn välistykseen, valitse Muuta luettelon välistys tiivistettyyn tai normaaliin ja valitse sitten Järjestä luettelo.

Suodata -toiminnolla voit suodattaa käytäntöjä aikavälin (luontipäivämäärä) tai tilan mukaan.

Käytä hakuruutua ja vastaavaa arvoa tiettyjen tietojenkalastelun vastaisten käytäntöjen etsimiseen.

Vie käytäntöluettelo CSV-tiedostoon Vie-toiminnolla.

Valitse käytäntö napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua, jolloin käytännön tiedot-pikaikkuna avautuu.

Vihje

Jos haluat lisätietoja muista tietojenkalastelun vastaisista käytännöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

tietojenkalastelun torjuntakäytäntöjen toteuttaminen Microsoft Defender portaalin avulla

1. Siirry Microsoft Defender portaalissa Kohtaan Sähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Tietojenkalastelun torjunta Käytännöt-osiossa. Tai jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing

2. Valitse tietojenkalastelun torjunta -sivulla tietojenkalastelun torjuntakäytäntö jommallakummalla seuraavista menetelmistä:

   • Valitse käytäntö luettelosta valitsemalla sen nimen vieressä oleva valintaruutu. Seuraavat toiminnot ovat käytettävissä avattavassa Lisää toimintoja - luettelossa:

     • Ota valitut käytännöt käyttöön.
     • Poista valitut käytännöt käytöstä.
     • Poista valitut käytännöt.

     

   • Valitse käytäntö luettelosta napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua. Jotkin tai kaikki seuraavat toiminnot ovat käytettävissä avautuvassa tiedot-pikaikkunassa:

     • Muokkaa käytäntöasetuksia valitsemalla kussakin osassa Muokkaa (mukautetut käytännöt tai oletuskäytäntö)
     • Ota käyttöön tai poista käytöstä (vain mukautetut käytännöt)
     • Kasvata prioriteettia tai pienennä prioriteettia (vain mukautetut käytännöt)
     • Poista käytäntö (vain mukautetut käytännöt)

     

Toiminnot kuvataan seuraavissa alikohdissa.

Tietojenkalastelun torjuntakäytäntöjen muokkaaminen Microsoft Defender portaalin avulla

Kun valitset oletusarvoisen tietojenkalastelun torjuntakäytännön tai mukautetun käytännön napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua, käytäntöasetukset näkyvät avautuvassa tiedot-pikaikkunassa. Muokkaa osan asetuksia valitsemalla kussakin osiossa Muokkaa . Lisätietoja asetuksista on tämän artikkelin osiossa Tietojenkalastelun vastaisten käytäntöjen luominen .

Oletuskäytännön osalta et voi muokata käytännön nimeä, eikä vastaanottajien suodattimia ole määritettävä (käytäntö koskee kaikkia vastaanottajia). Voit kuitenkin muokata kaikkia muita käytännön asetuksia.

Tietojenkalastelun vastaisissa käytännöissä, joiden nimi on vakiomuotoinen ennalta määritetty suojauskäytäntö ja tiukka ennalta määritetty suojauskäytäntö ja jotka liittyvät ennalta määritettyihin suojauskäytäntöihin, et voi muokata käytäntöasetuksia tiedot-pikaikkunassa. Sen sijaan valitset Näytä ennalta määritetyt suojauskäytännöt tiedot-pikaikkunassa siirtyäksesi Esiaseta suojauskäytännöt -sivulle osoitteessa https://security.microsoft.com/presetSecurityPolicies muokataksesi valmiiksi määritettyjä suojauskäytäntöjä.

Ota käyttöön tai poista käytöstä mukautetut tietojenkalastelun torjuntakäytännöt Microsoft Defender portaalin avulla

Oletusarvoista tietojenkalastelun torjuntakäytäntöä ei voi poistaa käytöstä (se on aina käytössä).

Et voi ottaa käyttöön tai poistaa käytöstä tietojenkalastelun vastaisia käytäntöjä, jotka liittyvät vakio- ja strict-suojauskäytäntöihin. Voit ottaa käyttöön tai poistaa käytöstä vakio- tai strict-suojauskäytännöt Esiaseta suojauskäytännöt -sivulla osoitteessa https://security.microsoft.com/presetSecurityPolicies.

Kun olet valinnut käytössä olevan mukautetun tietojenkalastelun torjuntakäytännön ( Tila-arvo on Käytössä), poista se käytöstä jommallakummalla seuraavista tavoista:

• Tietojenkalastelun torjunta -sivulla: Valitse Lisää toimintoja>Poista valitut käytännöt käytöstä.
• Käytännön tiedot-pikaikkunassa: Valitse Poista käytöstä pikaikkunan yläosasta.

Kun olet valinnut käytöstä poistetun mukautetun tietojenkalastelun torjuntakäytännön ( Tila-arvo on pois käytöstä), ota se käyttöön jommallakummalla seuraavista tavoista:

• Tietojenkalastelun torjunta -sivulla: Valitse Lisää toimintoja>Ota valitut käytännöt käyttöön.
• Käytännön tiedot-pikaikkunassa: Valitse Ota käyttöön pikaikkunan yläosassa.

Tietojenkalastelun vastaisella sivulla käytännön Tila-arvo on nyt käytössä tai poissa käytöstä.

Microsoft Defender portaalin avulla voit määrittää mukautettujen tietojenkalastelun torjuntakäytäntöjen prioriteetin

Tietojenkalastelun torjuntakäytännöt käsitellään siinä järjestyksessä, jossa ne näytetään tietojenkalastelun torjuntasivulla :

• Tietojenkalastelun torjuntakäytäntöä nimeltä Strict Preset Security Policy , joka liittyy Strict preset security policy -käytäntöön, sovelletaan aina ensin (jos Strict preset security policy on käytössä).
• Tietojenkalastelun torjuntakäytäntöä nimeltä Vakioasetusten suojauskäytäntö , joka liittyy vakiomuotoiseen esiasetetun suojauksen käytäntöön, sovelletaan aina seuraavaksi (jos vakiomuotoinen ennalta määritetty suojauskäytäntö on käytössä).
• Mukautettuja tietojenkalastelun torjuntakäytäntöjä sovelletaan seuraavaksi prioriteettijärjestyksessä (jos ne ovat käytössä):
  • Pienempi prioriteettiarvo tarkoittaa suurempaa prioriteettia (0 on suurin).
  • Oletusarvoisesti luodaan uusi käytäntö, jonka prioriteetti on pienempi kuin pienin olemassa oleva mukautettu käytäntö (ensimmäinen on 0, seuraava on 1 jne.).
  • Kahdella käytännöllä ei voi olla samaa prioriteettiarvoa.
• Oletusarvoisen tietojenkalastelun torjuntakäytännön prioriteettiarvo on aina pienin, etkä voi muuttaa sitä.

Tietojenkalastelun torjunta pysähtyy vastaanottajalle ensimmäisen käytännön käyttöönoton jälkeen (vastaanottajan korkein prioriteettikäytäntö). Lisätietoja on artikkelissa Sähköpostin suojauksen järjestys ja käsittelyjärjestys.

Kun olet valinnut mukautetun tietojenkalastelun torjuntakäytännön napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua, voit suurentaa tai pienentää käytännön prioriteettia avautuvassa tiedot-pikaikkunassa:

• Tietojenkalastelun vastaisella sivulla mukautetulla käytännöllä, jonka Prioriteetti-arvo on 0, on Pienennä prioriteettia -toiminto tietoikkunan yläosassa.
• Mukautetulla käytännöllä, jolla on pienin prioriteetti (suurin prioriteettiarvo , esimerkiksi 3), on Lisää prioriteetti -toiminto tietoikkunan yläosassa.
• Jos sinulla on vähintään kolme käytäntöä, prioriteetin 0 ja pienimmän prioriteetin välisillä käytännöillä on sekä Suurenna prioriteettia- että Pienennä prioriteettia -toiminnot tietojen pikaikkunan yläosassa.

Kun olet valmis käytäntötietojen pikaikkunassa, valitse Sulje.

Tietojenkalastelun vastaisella sivulla käytännön järjestys luettelossa vastaa päivitettyä Prioriteetti-arvoa.

Mukautettujen tietojenkalastelun torjuntakäytäntöjen poistaminen Microsoft Defender portaalin avulla

Et voi poistaa oletusarvoista tietojenkalastelun torjuntakäytäntöä tai tietojenkalastelun vastaisia käytäntöjä, joiden nimi on vakiomuotoinen ennalta määritetty suojauskäytäntö ja tiukka ennalta määritetty suojauskäytäntö , jotka liittyvät ennalta määritettyihin suojauskäytäntöihin.

Kun olet valinnut mukautetun tietojenkalastelun torjuntakäytännön, poista se jommallakummalla seuraavista tavoista:

• Tietojenkalastelun torjunta -sivulla: Valitse Lisää toimintoja>Poista valitut käytännöt.
• Käytännön tiedot-pikaikkunassa: Valitse Poista käytäntö pikaikkunan yläosasta.

Valitse Kyllä avautuvasta varoitusikkunasta.

Tietojenkalastelun vastaisella sivulla poistettua käytäntöä ei enää luetella.

Tietojenkalastelun torjuntakäytäntöjen määrittäminen Exchange Online PowerShellin avulla

PowerShellissä tietojenkalastelun torjuntakäytännön peruselementit ovat seuraavat:

• Tietojenkalastelun torjuntakäytäntö: Määrittää käyttöön otettavat tai käytöstä poistettavat tietojenkalastelusuojaukset, näihin suojaukseen sovellettavat toiminnot ja muut vaihtoehdot.
• Tietojenkalastelun vastainen sääntö: Määrittää liittyvän tietojenkalastelun vastaisen käytännön prioriteetin ja vastaanottajasuodattimet (joita käytäntö koskee).

Näiden kahden elementin välinen ero ei ole ilmeinen, kun hallitset tietojenkalastelun vastaisia käytäntöjä Microsoft Defender portaalissa:

• Kun luot käytännön Defender-portaalissa, luot itse asiassa tietojenkalastelun vastaisen säännön ja siihen liittyvän tietojenkalastelun vastaisen käytännön samalla kertaa käyttämällä samaa nimeä kummallekin.
• Kun muokkaat käytäntöä Defender-portaalissa, nimi-, prioriteetti-, käytössä- tai poistettu käytöstä -asetukset ja vastaanottajasuodattimet muokkaavat tietojenkalastelun torjuntasääntöä. Kaikki muut asetukset muokkaavat liittyvää tietojenkalastelun vastaista käytäntöä.
• Kun poistat käytännön Defender-portaalissa, tietojenkalastelun vastainen sääntö ja siihen liittyvä tietojenkalastelun vastainen käytäntö poistetaan samanaikaisesti.

Exchange Online PowerShellissä on ilmeinen ero tietojenkalastelun vastaisten käytäntöjen ja tietojenkalastelun vastaisten sääntöjen välillä. Voit hallita tietojenkalastelun vastaisia käytäntöjä *-AntiPhishPolicy cmdlet-komentojen avulla ja hallitat tietojenkalastelun vastaisia sääntöjä * -AntiPhishRule cmdlet-komentojen avulla.

• PowerShellissä luot ensin tietojenkalastelun vastaisen käytännön ja luot sitten tietojenkalastelun vastaisen säännön, joka tunnistaa liittyvän käytännön, jota sääntö koskee.
• PowerShellissä muokkaat tietojenkalastelun torjuntakäytännön ja tietojenkalastelun vastaisen säännön asetuksia erikseen.
• Kun poistat tietojenkalastelun torjuntakäytännön PowerShellistä, vastaavaa tietojenkalastelun vastaista sääntöä ei poisteta automaattisesti ja päinvastoin.

Tietojenkalastelun torjuntakäytäntöjen luominen PowerShellin avulla

Tietojenkalastelun torjuntakäytännön luominen PowerShellissä on kaksivaiheinen prosessi:

1. Luo tietojenkalastelun vastainen käytäntö.
2. Luo tietojenkalastelun vastainen sääntö, joka määrittää tietojenkalastelun vastaisen käytännön, jota sääntö koskee.

Huomautukset:

• Voit luoda uuden tietojenkalastelun vastaisen säännön ja määrittää sille olemassa olevan, yhdistämättömän tietojenkalastelun vastaisen käytännön. Tietojenkalastelun vastainen sääntö voidaan liittää vain yhteen tietojenkalastelun vastaiseen käytäntöön.

• Voit määrittää seuraavat asetukset PowerShellin uusissa tietojenkalastelun vastaisissa käytännöissä, jotka eivät ole käytettävissä Microsoft Defender-portaalissa, ennen kuin olet luonut käytännön:

  • Luo uusi käytäntö poistettuna käytöstä (Käytössä$falseNew-AntiPhishRule cmdlet-komennossa ).
  • Määritä käytännön prioriteetti luonnin aikana (prioriteettinumero<>) New-AntiPhishRule cmdlet-komennossa.

• Uusi tietojenkalastelun vastainen käytäntö, jonka luot PowerShellissä, ei näy Microsoft Defender-portaalissa, ennen kuin määrität käytännön tietojenkalastelun vastaiselle säännölle.

Vaihe 1: Tietojenkalastelun vastaisen käytännön luominen PowerShellin avulla

Luo tietojenkalastelun vastainen käytäntö käyttämällä tätä syntaksia:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-HonorDmarcPolicy <$true | $false>] [-DmarcQuarantineAction <MoveToJmf | Quarantine>] [-DmarcRejectAction <Quarantine | Reject>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]

Tässä esimerkissä luodaan tietojenkalastelun vastainen käytäntö nimeltä Oheiskaranteeni käyttäen seuraavia asetuksia:

• Kuvaus on: Tutkimusosaston käytäntö.
• Muuttaa tunnistuksen oletustoiminnon Karanteeniin ja käyttää karanteenissa olevien viestien oletuskaranteenikäytäntöä (emme käytä SpoofQuarantineTag-parametria ).
• DMARC-käytäntöjen noudattaminen p=quarantine ja p=reject lähettäjän DMARC-käytännöt ovat oletusarvoisesti käytössä (emme käytä HonorDmarcPolicy-parametria , ja oletusarvo on $true).
  • Viestit, jotka epäonnistuvat DMARC:ssä, kun lähettäjän DMARC-käytäntö on p=quarantine asetettu karanteeniin ( DmarcQuarantineAction-parametria ei käytetä ja oletusarvo on Karanteeni).
  • Viestit, jotka epäonnistuvat DMARC-lausekkeessa, jossa lähettäjän DMARC-käytäntö p=reject hylätään ( DmarcRejectAction-parametria ei käytetä ja oletusarvo on Hylkää).

New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-AntiPhishPolicy.

Vihje

Yksityiskohtaiset ohjeet tietojenkalastelun vastaisessa käytännössä käytettävien karanteenikäytäntöjen määrittämiseen ovat artikkelissa Tietojenkalastelun torjuntakäytäntöjen karanteenikäytännön määrittäminen PowerShellin avulla.

Vaihe 2: Tietojenkalastelun vastaisen säännön luominen PowerShellin avulla

Luo tietojenkalastelun vastainen sääntö käyttämällä tätä syntaksia:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Tässä esimerkissä luodaan tietojenkalastelun vastainen sääntö nimeltä Tutkimuslaitos seuraavin ehdoin:

• Sääntö liittyy tietojenkalastelun vastaiseen käytäntöön nimeltä Research Quarantine.
• Sääntö koskee tutkimusosasto-nimisen ryhmän jäseniä.
• Koska Prioriteetti-parametria ei käytetä, käytetään oletusprioriteettia.

New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-AntiPhishRule.

Tietojenkalastelun torjuntakäytäntöjen tarkasteleminen PowerShellin avulla

Jos haluat tarkastella olemassa olevia tietojenkalastelun vastaisia käytäntöjä, käytä seuraavaa syntaksia:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Tämä esimerkki palauttaa yhteenvetoluettelon kaikista tietojenkalastelun vastaisista käytännöistä sekä määritetyt ominaisuudet.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Tässä esimerkissä palautetaan kaikki tietojenkalastelun vastaisen käytännön ominaisuusarvot, joiden nimi on Executives.

Get-AntiPhishPolicy -Identity "Executives"

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-AntiPhishPolicy.

Tietojenkalastelun torjuntasääntöjen tarkasteleminen PowerShellin avulla

Jos haluat tarkastella olemassa olevia tietojenkalastelun vastaisia sääntöjä, käytä seuraavaa syntaksia:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Tämä esimerkki palauttaa yhteenvetoluettelon kaikista tietojenkalastelun vastaisista säännöistä sekä määritetyt ominaisuudet.

Get-AntiPhishRule | Format-Table Name,Priority,State

Jos haluat suodattaa luettelon käytössä olevien tai käytöstä poistettujen sääntöjen mukaan, suorita seuraavat komennot:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority

Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Tässä esimerkissä palautetaan kaikki tietojenkalastelun vastaisen säännön, Contoso Executives, ominaisuusarvot.

Get-AntiPhishRule -Identity "Contoso Executives"

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-AntiPhishRule.

Tietojen kalastelun vastaisten käytäntöjen muokkaaminen PowerShellin avulla

Seuraavien kohteiden lisäksi käytettävissä ovat samat asetukset muokattaessa tietojenkalastelun torjuntakäytäntöä PowerShellissä kuin luodessasi käytännön, joka on kuvattu tämän artikkelin aiemmassa vaiheessa 1: Tietojenkalastelun vastaisen käytännön luominen PowerShellin avulla .

• MakeDefault-valitsin, joka muuttaa määritetyn käytännön oletuskäytännöksi (koskee kaikkia, aina Pienin prioriteetti etkä voi poistaa sitä) on käytettävissä vain, kun muokkaat tietojenkalastelun vastaista käytäntöä PowerShellissä.
• Tietojenkalastelun vastaista käytäntöä ei voi nimetä uudelleen (Set-AntiPhishPolicy cmdlet-komennolla ei ole Name-parametria). Kun nimeät tietojenkalastelun torjuntakäytännön uudelleen Microsoft Defender-portaalissa, nimeät vain tietojenkalastelun vastaisen säännön uudelleen.

Jos haluat muokata tietojenkalastelun vastaista käytäntöä, käytä tätä syntaksia:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-AntiPhishPolicy.

Vihje

Yksityiskohtaiset ohjeet tietojenkalastelun vastaisessa käytännössä käytettävän karanteenikäytännön määrittämiseen ovat artikkelissa Tietojenkalastelun torjuntakäytäntöjen karanteenikäytännön määrittäminen PowerShellin avulla.

Tietojen kalastelun vastaisten sääntöjen muokkaaminen PowerShellin avulla

Ainoa asetus, joka ei ole käytettävissä muokatessasi tietojenkalastelun vastaista sääntöä PowerShellissä, on Käytössä-parametri , jonka avulla voit luoda käytöstä poistetun säännön. Jos haluat ottaa käyttöön tai poistaa käytöstä olemassa olevia tietojenkalastelun vastaisia sääntöjä, katso seuraava osio.

Muussa tapauksessa samat asetukset ovat käytettävissä luotaessa sääntöä, joka on kuvattu tämän artikkelin aiemmassa vaiheessa 2: Tietojenkalastelun torjuntasäännön luominen PowerShellin avulla .

Jos haluat muokata tietojenkalastelun vastaista sääntöä, käytä tätä syntaksia:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-AntiPhishRule.

Tietojenkalastelun torjuntasääntöjen ottaminen käyttöön tai poistaminen käytöstä PowerShellin avulla

Tietojenkalastelun vastaisen säännön ottaminen käyttöön tai poistaminen käytöstä PowerShellissä mahdollistaa tai poistaa käytöstä koko tietojenkalastelun vastaisen käytännön (tietojenkalastelun vastainen sääntö ja määritetty tietojenkalastelun vastainen käytäntö). Oletusarvoista tietojenkalastelun torjuntakäytäntöä ei voi ottaa käyttöön tai poistaa käytöstä (sitä käytetään aina kaikille vastaanottajille).

Jos haluat ottaa tietojenkalastelun vastaisen säännön käyttöön tai poistaa sen käytöstä PowerShellissä, käytä seuraavaa syntaksia:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Tässä esimerkissä poistetaan käytöstä tietojenkalastelun vastainen sääntö nimeltä Marketing Department.

Disable-AntiPhishRule -Identity "Marketing Department"

Tässä esimerkissä käytetään samaa sääntöä.

Enable-AntiPhishRule -Identity "Marketing Department"

Tarkat syntaksi- ja parametritiedot ovat kohdassa Enable-AntiPhishRule ja Disable-AntiPhishRule.

Tietojenkalastelun vastaisten sääntöjen prioriteetin määrittäminen PowerShellin avulla

Säännölle voi määrittää suurimman prioriteetin arvon 0. Pienin arvo, jonka voit määrittää, riippuu sääntöjen määrästä. Jos sinulla on esimerkiksi viisi sääntöä, voit käyttää prioriteettiarvoja 0–4. Olemassa olevan säännön prioriteetin muuttamisella voi olla johdannaisvaikutus muihin sääntöihin. Jos sinulla on esimerkiksi viisi mukautettua sääntöä (prioriteetit 0–4) ja muutat säännön prioriteetiksi 2, olemassa oleva sääntö, jonka prioriteetti on 2, muutetaan prioriteetiksi 3 ja prioriteetti 3 sääntö prioriteetiksi 4.

Jos haluat määrittää tietojenkalastelun vastaisen säännön prioriteetin PowerShellissä, käytä seuraavaa syntaksia:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

Tässä esimerkissä markkinointiosasto-säännön prioriteetiksi määritetään 2. Kaikki olemassa olevat säännöt, joiden prioriteetti on pienempi tai yhtä suuri kuin 2, pienenevät 1:llä (niiden prioriteettilukuja suurenevat 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Huomautukset:

• Jos haluat määrittää uuden säännön prioriteetin, kun luot sen, käytä Sen sijaan New-AntiPhishRule-cmdlet-komennon Prioriteetti-parametria .
• Oletusarvon mukaisella tietojenkalastelun vastaisella käytännöllä ei ole vastaavaa tietojenkalastelun vastaista sääntöä, ja sillä on aina muokkaamaton prioriteettiarvo Pienin.

Tietojenkalastelun torjuntakäytäntöjen poistaminen PowerShellin avulla

Kun käytät PowerShelliä tietojenkalastelun vastaisen käytännön poistamiseen, vastaavaa tietojenkalastelun vastaista sääntöä ei poisteta.

Jos haluat poistaa tietojenkalastelun torjuntakäytännön PowerShellissä, käytä tätä syntaksia:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Tässä esimerkissä poistetaan tietojenkalastelun vastainen käytäntö nimeltä Markkinointiosasto.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Tarkat syntaksi- ja parametritiedot ovat kohdassa AntiPhishPolicy-ominaisuuden poistaminen.

Tietojenkalastelun torjuntasääntöjen poistaminen PowerShellin avulla

Kun käytät PowerShelliä tietojenkalastelun vastaisen säännön poistamiseen, vastaavaa tietojenkalastelun vastaista käytäntöä ei poisteta.

Jos haluat poistaa tietojenkalastelun vastaisen säännön PowerShellissä, käytä tätä syntaksia:

Remove-AntiPhishRule -Identity "<PolicyName>"

Tässä esimerkissä poistetaan tietojenkalastelun vastainen sääntö nimeltä Markkinointiosasto.

Remove-AntiPhishRule -Identity "Marketing Department"

Tarkat syntaksi- ja parametritiedot ovat kohdassa AntiPhishRule-ominaisuuden poistaminen.

Mistä tiedät, että nämä toimenpiteet toimivat?

Jos haluat varmistaa, että olet määrittänyt tietojenkalastelun torjuntakäytännöt EOP:ssa, toimi seuraavasti:

• Tarkista Microsoft Defender-portaalin tietojenkalastelun torjuntasivullahttps://security.microsoft.com/antiphishingluettelo käytännöistä, niiden tila-arvoista ja niiden Prioriteetti-arvoista. Jos haluat nähdä lisätietoja, valitse käytäntö luettelosta napsauttamalla nimeä ja tarkastelemalla tietoja avautuvassa pikaikkunassa.

• Korvaa Exchange Online PowerShellissä <Nimi> käytännön tai säännön nimellä, suorita seuraava komento ja tarkista asetukset:

  Get-AntiPhishPolicy -Identity "<Name>"
  

  Get-AntiPhishRule -Identity "<Name>"