קביעת התצורה של מדיניות המסירה המתקדמות עבור הדמיות דיוג ומסירה של דיוג של ספקים חיצוניים לתיבות דואר של SecOps

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

כדי להגן על הארגון שלך כברירת מחדל, Exchange Online Protection (EOP) אינו מאפשר רשימות בטוחות או מעקף סינון עבור הודעות המזוהות כתוכנות זדוניות או כדיוג ברמת מהימנות גבוהה. עם זאת, קיימים תרחישים ספציפיים הדורשים מסירה של הודעות לא מסונן. לדוגמה:

• הדמיות דיוג של ספקים חיצוניים: התקפות מדומה יכולות לעזור לך לזהות ולהכשיר משתמשים פגיעים לפני שמתקפה אמיתית תשפיע על הארגון שלך.
• תיבות דואר של פעולות אבטחה (SecOps): תיבות דואר ייעודיות המשמשות צוותי אבטחה לאיסוף וניתוח של הודעות לא מסונן (הן טובות והן רעות).

השתמש במדיניות המסירה המתקדם ב- EOP כדי למנוע סינון של הודעות נכנסות בתרחישים ספציפיים אלה¹. מדיניות המסירה המתקדם מבטיחה שהודעות בתרחישים אלה ישיגו את התוצאות הבאות:

• מסננים ב- EOP Defender עבור Office 365 לבצע שום פעולה לגבי הודעות אלה. סינון תוכנות זדוניות מועבר עבור תיבות דואר של SecOps בלבד.
• מחיקה ללא שעות (ZAP) עבור דואר זבל ודיוג לא נוהלי שום פעולה בהודעות אלה. ZAP עבור תוכנות זדוניות מועבר עבור תיבות דואר של SecOps בלבד.
• קישורים בטוחים Defender עבור Office 365 חוסם או מ הפעיל את כתובות ה- URL שצוינו בהודעות אלה בעת לחיצה. כתובות URL עדיין גולשות, אך הן אינן חסומות.
• קבצים מצורפים Defender עבור Office 365 אינם מ הפעילים קבצים מצורפים בהודעות אלה.
• התראות מערכת המוגדרות כברירת מחדל אינן מופעלות עבור תרחישים אלה.
• AIR וקיבוץ באשכולות Defender עבור Office 365 מתעלם מהודעות אלה.
• במיוחד עבור הדמיות דיוג של ספקים חיצוניים:
  • מרכז הניהול זו יוצרת תגובה אוטומטית המציינת שההודעה מהווה חלק מקמפיין הדמיות דיוג ואינו מהווה איום אמיתי. התראות ו- AIR אינם מופעלים. החוויה של שליחת מנהלי מערכת מציגה הודעות אלה כאיום מדומה.
  • כאשר משתמש מדווח על הודעת הדמיית דיוג באמצעות לחצן הדוח המוכלל ב- Outlook באינטרנט או בהודעת הדיווח של Microsoft או בדיווח על תוספות דיוג, המערכת אינה יוצרת התראה, חקירה או מקרה. הקישורים או הקבצים אינם מופעלים, אך ההודעה מופיעה בכרטיסיה 'משתמש שדווח' בדף 'שליחות'.

הודעות המזוהות באמצעות מדיניות המסירה המתקדמות אינן מאיומי אבטחה, ולכן ההודעות מסומנות באמצעות עקיפות מערכת. מרכז הניהול אלה מציגות הודעות אלה כמערכת הדמיות דיוג אוSecOps של תיבות דואר. מנהלי מערכת יכולים להשתמש בערכים אלה כדי לסנן ולנתח הודעות בחוויות הבאות:

• סייר האיומים (Explorer) או זיהויים בזמן אמת ב- Defender עבור Office 365: מנהלי מערכת יכולים לסנן לפי מקור עקיפת המערכת ולבחור הדמיות דיוג או תיבת דואר של SecOps.
• הדף ישות דואר אלקטרוני: מנהלי מערכת יכולים להציג הודעה המותרת על-ידי מדיניות הארגון על-ידי תיבת הדואר של SecOps או הדמיית דיוג תחת עקיפת דיירים במקטע עקיפה(ים).
• דוח מצב הגנה מפני איומים: מרכז הניהול לסנן לפי הצגת נתונים לפי עקיפת מערכת בתפריט הנפתח ולבחור לראות הודעות מותרות עקב עקיפת מערכת הדמיות דיוג. כדי לראות הודעות המותרות על-ידי עקיפת תיבת הדואר SecOps, באפשרותך לבחור את התפלגות התרשים על-ידי מיקום מסירה ברשימה הנפתחת של פירוט תרשים לפי סיבה.
• ציד מתקדם Microsoft Defender עבור נקודת קצה: הדמיות דיוג ועקיפות מערכת תיבות הדואר SecOps הן אפשרויות בתוך OrgLevelPolicy ב- EmailEvents.
• תצוגות קמפיין: מרכז הניהול לסנן לפי מקור עקיפת המערכת ולבחור הדמיית דיוג אותיבת דואר של SecOps.

מה עליך לדעת לפני שתתחיל?

• פתח את Microsoft Defender ב- https://security.microsoft.com. כדי לעבור ישירות לדף מסירה מתקדם, השתמש ב- https://security.microsoft.com/advanceddelivery.

• כדי להתחבר אל Exchange Online PowerShell, ראה התחברות Exchange Online PowerShell.

• עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:

  • Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (משפיעה על פורטל Defender בלבד, לא על PowerShell): הגדרות הרשאות והגדרות/הגדרות אבטחה/הגדרות אבטחת ליבה (ניהול) או הרשאות והגדרות/הגדרות אבטחה/הגדרות אבטחת ליבה (קריאה).
  • שלח & אלקטרוני להרשאות שיתוף פעולה בפורטל Microsoft Defender ובהרשאותExchange Online שלך:
    • Create, לשנות או להסיר הגדרות שתצורתן נקבעה במדיניות המסירה המתקדמות: חברות בקבוצות התפקידים 'מנהל אבטחה' ב- RBAC של שיתוף פעולה בדואר אלקטרוני &, חברות בקבוצת התפקידים 'ניהול ארגון' ב- Exchange Online RBAC.
    • גישה לקריאה בלבד למדיניות המסירה המתקדם: חברות בקבוצות התפקידים 'קורא כללי' או 'קורא אבטחה' ב'דואר אלקטרוני' & RBAC.
      • ניהול ארגון הצגה בלבד ב- Exchange Online RBAC.
  • Microsoft Entra: החברות בתפקידים 'מנהל מערכת כללי', 'מנהל אבטחה', 'קורא כללי' או 'קורא אבטחה' מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.

שימוש בפורטל Microsoft Defender תצורת תיבות דואר של SecOps במדיניות המסירה המתקדמות

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>מדיניות שיתוף פעולה &>> כללי מדיניות איומים מסירהמתקדמתבמקטע כללים. לחלופין, כדי לעבור ישירות לדף מסירה מתקדם, השתמש ב- https://security.microsoft.com/advanceddelivery.

   בדף מסירה מתקדם , ודא שהכרטיסיה תיבת דואר SecOps נבחרה.

2. בכרטיסיה SecOps mailbox , בחר בלחצן Add באזור No SecOps configured area of the page.

   אם קיימים כבר ערכים בכרטיסיה תיבת דואר של SecOps , בחר ערוך ( לחצן הוסף אינו זמין).

3. בתפריט הנשלף הוספת תיבות דואר של SecOps שנפתח, הזן תיבת דואר קיימת של Exchange Online שברצונך להגדיר כתיבת הדואר SecOps על-ידי ביצוע אחד מהפעולות הבאות:

   • לחץ בתיבה, אפשר לרשימת תיבות הדואר לפתור ולאחר מכן בחר את תיבת הדואר.

   • לחץ בתיבה התחל להקליד מזהה עבור תיבת הדואר (שם, שם תצוגה, כינוי, כתובת דואר אלקטרוני, שם חשבון וכדומה) ובחר את תיבת הדואר (שם תצוגה) מתוך התוצאות.

     חזור על שלב זה פעמים רבות ככל הצורך. קבוצות תפוצה אינן מותרות.

     כדי להסיר ערך קיים, בחר הסר לצד הערך.

4. לאחר שתסיים בתפריט הנשלף הוסף תיבות דואר SecOps , בחר הוסף..

5. סקור את המידע בתפריט הנשלף שינויים בתיבת הדואר SecOps עקיפה ולאחר מכן בחר סגור.

בחזרה בכרטיסיה SecOps תיבת הדואר, ערכי תיבת הדואר SecOps שתצורתם תוגדר מפורטים כעת:

• העמודה שם תצוגה מכילה שם תצוגה של תיבות הדואר.
• העמודה דואר אלקטרוני מכילה את כתובת הדואר האלקטרוני עבור כל ערך.
• כדי לשנות את רשימת הערכים ממרווח רגיל למרווח קומפקטי, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.

שימוש בפורטל Microsoft Defender כדי לשנות או להסיר תיבות דואר של SecOps במדיניות המסירה המתקדמות

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>מדיניות שיתוף פעולה &>> כללי מדיניות איומים מסירהמתקדמתבמקטע כללים. לחלופין, כדי לעבור ישירות לדף מסירה מתקדם, השתמש ב- https://security.microsoft.com/advanceddelivery.

   בדף מסירה מתקדם , ודא שהכרטיסיה תיבת דואר SecOps נבחרה.

2. בכרטיסיה SecOps mailbox , בחר Edit.

3. בתפריט הנשלף Edit SecOps תיבות דואר שנפתחות, הוסף או הסר תיבות דואר כמתואר בשלב 3 בסעיף שימוש בפורטל Microsoft Defender כדי לקבוע את התצורה של תיבות הדואר SecOps במקטע מדיניות מסירה מתקדמת.

   כדי להסיר את כל תיבות הדואר, בחר הסר לצד כל ערך עד שלא נבחרו תיבות דואר נוספות.

4. לאחר שתסיים בתפריט הנשלף עריכת תיבות דואר SecOps , בחר שמור.

5. סקור את המידע בתפריט הנשלף שינויים בתיבת הדואר SecOps עקיפה ולאחר מכן בחר סגור.

בחזרה בכרטיסיה SecOps תיבת הדואר, ערכי תיבת הדואר SecOps שתצורתם נקבעה מוצגים. אם הסרת את כל הערכים, הרשימה ריקה.

השתמש בפורטל Microsoft Defender כדי לקבוע תצורה של הדמיות דיוג של ספקים חיצוניים במדיניות המסירה המתקדמות

כדי לקבוע תצורה של הדמיית דיוג של ספק חיצוני, עליך לספק את המידע הבא:

• לפחות תחום אחד: התחום מכתובת MAIL FROM (5321.MailFromהמכונה גם כתובת, שולח P1 או שולח מעטפה) המשמש בהעברה SMTP של ההודעה או בתחום DKIM כפי שצוין על-ידי ספק הדמיות הדיוג.
• כתובת IP אחת לפחות ששולחת.
• עבור הדמיות דיוג שאינן של דואר אלקטרוני (לדוגמה, הודעות של Microsoft Teams, מסמכי Word או גליונות אלקטרוניים של Excel), באפשרותך לזהות את כתובות ה- URL של ההדמיה כדי לאפשר שלא תטופל כאיומים אמיתיים בזמן לחיצה: כתובות ה- URL אינן חסומות או מופצות, ולא נוצרות התראות לחיצה על כתובת URL או אירועים כתוצאה מכך. כתובות ה- URL גולשות בעת לחיצה, אך הן אינן חסומות.

חייבת להיות התאמה בתחום אחד לפחות וב - IPשליחה אחד לפחות, אך לא נשמר שיוך בין ערכים.

אם רשומת ה- MX שלך אינה מצביעה על Microsoft 365, כתובת ה- IP Authentication-results בכותרת חייבת להתאים לכתובת ה- IP במדיניות המסירה המתקדמות. אם כתובות ה- IP אינן תואמות, ייתכן שיהיה עליך לקבוע את התצורה של סינון משופר עבור מחברים כדי לזהות את כתובת ה- IP הנכונה.

הערה

סינון משופר עבור מחברים אינו פועל עבור הדמיות דיוג של ספקים חיצוניים בתרחישים מורכבים של ניתוב דואר אלקטרוני (לדוגמה, דואר אלקטרוני מהאינטרנט מנותב ל- Microsoft 365, לאחר מכן לסביבה מקומית או לשירות אבטחה של ספק חיצוני, ולאחר מכן בחזרה ל- Microsoft 365). ל- EOP אין אפשרות לזהות את כתובת ה- IP נכונה של מקור ההודעה. אל תנסה לעקוף מגבלה זו על-ידי הוספת כתובות ה- IP של תשתית השליחה המקומית או של ספק חיצוני להדמיית דיוג של ספק חיצוני. פעולה זו עוקפת ביעילות את סינון דואר הזבל עבור כל שולח אינטרנט התחזה לתחום שצוין בסימולציית דיוג של ספק חיצוני.

נכון לעכשיו, מדיניות המסירה המתקדם עבור הדמיות דיוג של ספקים חיצוניים אינה תומכת בסימולציות באותו ארגון (DIR:INT), במיוחד כאשר דואר אלקטרוני מנותב דרך שער Exchange Server לפני Microsoft 365 בזרימת דואר היברידי. כדי לעקוף בעיה זו, יש לך את האפשרויות הבאות:

• Create מחבר שליחה ייעודי שאינו מאמת את הודעות הדמיית דיוג כהודעות פנימיות.
• קבע את תצורת הדמיית הדיוג כדי לעקוף את Exchange Server תשתית הדיוג ולנתב דואר ישירות אל רשומת MX של Microsoft 365 (לדוגמה, contoso-com.mail.protection.outlook.com).
• על אף שבאפשרותך להגדיר סריקת הודעות בתוך הארגון ל'ללא' במדיניות למניעת דואר זבל, איננו ממליצים על אפשרות זו מאחר שהיא משפיעה על הודעות דואר אלקטרוני אחרות.

אם אתה משתמש במדיניות האבטחה הקבועה מראש של ההגנה המוכללת או שמדיניות הקישורים הבטוחים המותאמת אישית שלך כוללים את ההגדרה אל תכתוב כתובות URL, בצע בדיקה באמצעות ה- API של SafeLinks זמין בלבד, הגנה מפני לחיצה אינה מתייחסת לקישורי הדמיות דיוג בדואר אלקטרוני כאיומים ב- Outlook באינטרנט, ב- Outlook עבור iOS וב- Android, ב- Outlook עבור Windows v16.0.15317.10000 ואילך, וב- Outlook עבור Mac v16.74.23061100 ואילך. אם אתה משתמש בגירסאות קודמות של Outlook, שקול להשבית את כתובות ה- URL 'אל תכתוב', בצע בדיקות דרך הגדרת ה- API של SafeLinks רק במדיניות קישורים בטוחים מותאמת אישית.

הוספת כתובות URL של הדמיות דיוג לסעיף אל תכתוב את כתובות ה- URL הבאות במקטע דואר אלקטרוני במדיניות קישורים בטוחים עלולה לגרום להתראות לא רצויות עבור לחיצות על כתובות URL. כתובות URL של הדמיות דיוג בהודעות דואר אלקטרוני מותרות באופן אוטומטי הן במהלך זרימת דואר והן בעת לחיצה.

בשלב זה, מדיניות המסירה המתקדמות עבור תיבות דואר של SecOps אינה תומכת בהודעות אינטרא-ארגוניות (DIR:INT) והודעות אלה יועברו להסגר. כפתרון, באפשרותך להשתמש במדיניות נפרדת למניעת דואר זבל עבור תיבות דואר של SecOps שאינה מסגרת הודעות בתוך הארגון. איננו ממליצים להשבית הגנה בתוך הארגון עבור כל תיבות הדואר.

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>מדיניות שיתוף פעולה &>> כללי מדיניות איומים מסירהמתקדמתבמקטע כללים. לחלופין, כדי לעבור ישירות לדף מסירה מתקדם, השתמש ב- https://security.microsoft.com/advanceddelivery.

   בדף מסירה מתקדם , בחר את הכרטיסיה הדמיות דיוג .

2. בכרטיסיה הדמיית דיוג, בחר בלחצן הוסף באזור סימולציות דיוג ללא הדמיות דיוג שהוגדרו על-ידי ספק חיצוני בדף.

   אם כבר קיימים ערכים בכרטיסיה הדמיית דיוג, בחר ערוך (לחצן הוסף אינו זמין).

3. בתפריט הנשלף הוסף הדמיות דיוג של ספקים חיצוניים שנפתח, קבע את תצורת ההגדרות הבאות:

   • תחום: הרחב הגדרה זו והזן לפחות תחום אחד של כתובת דואר אלקטרוני על-ידי לחיצה בתיבה, הזנת ערך (לדוגמה, contoso.com) ולאחר מכן הקשה על מקש ENTER או בחירת הערך המוצג מתחת לתיבה. חזור על שלב זה פעמים רבות ככל הצורך. באפשרותך להוסיף עד 50 ערכים. השתמש באחד מהערכים הבאים:

     • התחום בכתובת 5321.MailFrom (המכונה גם כתובת MAIL FROM , שולח P1 או שולח מעטפה) המשמש בהעברה SMTP של ההודעה.
     • תחום DKIM כפי שצוין על-ידי ספק הדמיות דיוג.

   • שליחת IP: הרחב הגדרה זו והזן כתובת IPv4 חוקית אחת לפחות על-ידי לחיצה בתיבה, הזנת ערך ולאחר מכן הקשה על מקש ENTER או בחירת הערך המוצג מתחת לתיבה. חזור על שלב זה פעמים רבות ככל הצורך. באפשרותך להוסיף עד 10 ערכים. ערכים חוקיים הם:

     • IP בודד: לדוגמה, 192.168.1.1.
     • טווח IP: לדוגמה, 192.168.0.1-192.168.0.254.
     • CIDR IP: לדוגמה, 192.168.0.1/25.

   • כתובות URL של הדמיות המאפשרות: הגדרה זו אינה נדרשת עבור קישורים בסימולציות דיוג בדואר אלקטרוני. השתמש בהגדרה זו כדי לזהות באופן אופציונלי קישורים בהדמיות דיוג שאינן של דואר אלקטרוני (קישורים בהודעות Teams או במסמכי Office) שאין להתייחס אליהם כאיומים אמיתיים בזמן הלחיצה.

     הוסף ערכי כתובת URL על-ידי הרחבת הגדרה זו, לחיצה בתיבה, הזנת ערך ולאחר מכן הקשה על מקש ENTER או בחירת הערך המוצג מתחת לתיבה. באפשרותך להוסיף עד 30 ערכים. לקבלת תחביר כתובת ה- URL, ראה תחביר כתובת URL עבור רשימת התרה/חסימה של דייר.

   כדי להסיר ערך קיים של תחום, כתובת IP או כתובת URL, בחר הסר לצד הערך.

   שקול את הדוגמה הבאה:

   Authentication-Results: spf=pass (sender IP is 172.17.17.7)
   smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
   header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
   
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
   s=selector1;
   h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
   bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
   

   • כתובת ה- IP המחברת היא 172.17.17.7.
   • התחום בכתובת MAIL FROM (smtp.mailfrom) contoso.com.
   • תחום DKIM (header.d) contoso-simulation.com.

   מהדוגמה, באפשרותך להשתמש באחד מהשילובים הבאים כדי לקבוע תצורה של הדמיית דיוג של ספק חיצוני:

   תחום: contoso.com
   שליחת IP: 172.17.17.7

   תחום: contoso-simulation.com
   שליחת IP: 172.17.17.7

4. לאחר שתסיים בתפריט הנשלף הוסף הדמיות דיוג של ספקים חיצוניים, בחר הוסף.

5. סקור את המידע בתפריט הנשלף של שינויי הדמיות דיוג שנשמרו ולאחר מכן בחר סגור.

בחזרה בכרטיסיה הדמיית דיוג, ערכי הדמיית דיוג של ספקים חיצוניים שאתה קובע מפורטים כעת:

• העמודה ערך מכילה את התחום, כתובת ה- IP או ערך כתובת ה- URL.
• העמודה סוג מכילה את הערך Sending IP, Domain או Allowed simulation URL עבור כל ערך.
• העמודה תאריך מציגה מתי הערך נוצר.
• כדי לשנות את רשימת הערכים ממרווח רגיל למרווח קומפקטי, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.

השתמש בפורטל Microsoft Defender כדי לשנות או להסיר הדמיות דיוג של ספקים חיצוניים במדיניות המסירה המתקדמות

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני &>מדיניות שיתוף פעולה &>> כללי מדיניות איומים מסירהמתקדמתבמקטע כללים. לחלופין, כדי לעבור ישירות לדף מסירה מתקדם, השתמש ב- https://security.microsoft.com/advanceddelivery.

   בדף מסירה מתקדם , בחר את הכרטיסיה הדמיות דיוג .

2. בכרטיסיה הדמיית דיוג , בחר ערוך.

3. בתפריט הנשלף עריכת הדמיות דיוג של ספק חיצוני שנפתח, הוסף או הסר ערכים עבור כתובות URL של תחום, שליחתIP וסימולציה, כמתואר בשלב 3 בפורטל Microsoft Defender כדי לקבוע את התצורה של תיבות דואר של SecOps במקטע מדיניות מסירה מתקדמת.

   כדי להסיר את כל הערכים, בחר הסר לצד כל ערך עד שלא נבחרו תחומים, כתובות IP או כתובות URL נוספות.

4. לאחר שתסיים בתפריט הנשלף ערוך הדמיית דיוג של ספק חיצוני, בחר שמור.

5. סקור את המידע בתפריט הנשלף של שינויי הדמיות דיוג שנשמרו ולאחר מכן בחר סגור.

בחזרה בכרטיסיה הדמיית דיוג, ערכי הדמיית דיוג של ספקים חיצוניים שתצורתם נקבעה מוצגים. אם הסרת את כל הערכים, הרשימה ריקה.

תרחישים נוספים הדורשים עקיפת סינון

בנוסף לשני התרחישים שמדיניות המסירה המתקדמות יכולה לעזור לך, קיימים תרחישים אחרים שבהם ייתכן שתצטרך לעקוף סינון עבור הודעות:

• מסננים של ספקים חיצוניים: אם רשומת ה- MX של התחום שלך אינה מצביעה על Office 365 (הודעות מנותב תחילה למקום אחר), האפשרות מאובטחת כברירת מחדל אינה זמינה. אם ברצונך להוסיף הגנה, עליך להפוך סינון משופר לזמין עבור מחברים (נקרא גם רישום דילוג). לקבלת מידע נוסף, ראה ניהול זרימת דואר באמצעות שירות ענן של ספק חיצוני עם Exchange Online. אם אינך מעוניין בסינון משופר עבור מחברים, השתמש בכללי זרימת דואר (שנקראים גם כללי תעבורה) כדי לעקוף את הסינון של Microsoft עבור הודעות שכבר הוערךו על-ידי סינון של ספקים חיצוניים. לקבלת מידע נוסף, ראה שימוש בכללי זרימת דואר כדי להגדיר את ה- SCL בהודעות.

• תוצאות חיוביות מוטעות תחת סקירה: ייתכן שתרצה לאפשר באופן זמני הודעות טובות המזוהות באופן שגוי כהודעות שגויות (תוצאות חיוביות מוטעות) שדיווחת עליהן באמצעות שליחות מנהל מערכת, אך ההודעות עדיין עוברות ניתוח על-ידי Microsoft. כמו בכל העקיפות, אנו ממליצים בחום שהקצבות האלה הן זמניות.

הליכים של PowerShell עבור תיבות דואר של SecOps במדיניות המסירה המתקדמות

ב- PowerShell, הרכיבים הבסיסיים של תיבות הדואר SecOps במדיניות המסירה המתקדמות הם:

• מדיניות העקיפה של SecOps: נשלטת על-ידי רכיבי ה- cmdlet *-SecOpsOverridePolicy .
• כלל העקיפה של SecOps: נשלט על-ידי רכיבי ה- cmdlet *-ExoSecOpsOverrideRule .

אופן פעולה זה כולל את התוצאות הבאות:

• עליך ליצור תחילה את המדיניות ולאחר מכן ליצור את הכלל המזהה את המדיניות חלה על הכלל.
• בעת הסרת מדיניות מ- PowerShell, הכלל המתאים מוסר גם הוא.
• בעת הסרת כלל מ- PowerShell, המדיניות המתאימה אינה מוסרת. עליך להסיר את המדיניות המתאימה באופן ידני.

שימוש ב- PowerShell כדי לקבוע תצורה של תיבות דואר של SecOps

קביעת התצורה של תיבת דואר של SecOps במדיניות המסירה המתקדם ב- PowerShell היא תהליך דו-שלבי:

1. Create מדיניות העקיפה של SecOps.
2. Create כלל העקיפה SecOps המציין את המדיניות חלה על הכלל.

שלב 1: שימוש ב- PowerShell ליצירת מדיניות עקיפת SecOps

ב Exchange Online PowerShell, השתמש בתחביר הבא:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

ללא קשר לערך השם שתציין, שם המדיניות הוא SecOpsOverridePolicy, כך שניתן גם להשתמש בערך זה.

דוגמה זו יוצרת את מדיניות תיבת הדואר SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-SecOpsOverridePolicy.

שלב 2: שימוש ב- PowerShell ליצירת כלל העקיפה של SecOps

ב Exchange Online PowerShell, הפעל את הפקודה הבאה:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

ללא קשר לערך השם שתציין, _Exe:SecOpsOverrid:<GUID\> שם הכלל יהיה [sic] <כאשר GUID הוא ערך GUID> ייחודי (לדוגמה, 312c23cf-0377-4162-b93d-6548a9977efb9).

לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-ExoSecOpsOverrideRule.

שימוש ב- PowerShell להצגת מדיניות העקיפה של SecOps

ב Exchange Online PowerShell, דוגמה זו מחזירה מידע מפורט אודות מדיניות תיבת הדואר היחידה ומדיניות תיבת הדואר SecOps בלבד.

Get-SecOpsOverridePolicy

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-SecOpsOverridePolicy.

שימוש ב- PowerShell להצגת כללי עקיפת SecOps

ב Exchange Online PowerShell, דוגמה זו מחזירה מידע מפורט אודות כללי עקיפה של SecOps.

Get-ExoSecOpsOverrideRule

למרות שהפקודה הקודמת אמורה להחזיר כלל אחד בלבד, ייתכן שכלל הממתין למחיקה ייכלל גם בתוצאות.

דוגמה זו מזהה את הכלל החוקי (אחד) וכל הכללים הלא חוקיים.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

לאחר זיהוי הכללים הלא חוקיים, באפשרותך להסיר אותם באמצעות ה- cmdlet Remove-ExoSecOpsOverrideRule כמתואר בהמשך מאמר זה.

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-ExoSecOpsOverrideRule.

שימוש ב- PowerShell לשינוי מדיניות העקיפה של SecOps

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

דוגמה זו מוסיפה למדיניות secops2@contoso.com העקיפה של SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

הערה

אם קיים כלל עקיפה משויך חוקי של SecOps, גם כתובות הדואר האלקטרוני בכלל מעודכנות.

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-SecOpsOverridePolicy.

שימוש ב- PowerShell לשינוי כלל עקיפת SecOps

ה - cmdlet Set-ExoSecOpsOverrideRule אינו משנה את כתובות הדואר האלקטרוני בכלל העקיפה SecOps. כדי לשנות את כתובות הדואר האלקטרוני בכלל העקיפה SecOps, השתמש ב- cmdlet Set-SecOpsOverridePolicy .

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-ExoSecOpsOverrideRule.

שימוש ב- PowerShell להסרת מדיניות העקיפה של SecOps

ב Exchange Online PowerShell, דוגמה זו מסירה את המדיניות SecOps Mailbox ואת הכלל המתאים.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-SecOpsOverridePolicy.

שימוש ב- PowerShell להסרת כללי עקיפת SecOps

ב Exchange Online PowerShell, השתמש בפקודות הבאות:

• הסר את כל כללי העקיפה של SecOps:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• הסר את כלל העקיפה של SecOps שצוין:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-ExoSecOpsOverrideRule.

הליכים של PowerShell עבור הדמיות דיוג של ספקים חיצוניים במדיניות המסירה המתקדמות

ב- PowerShell, הרכיבים הבסיסיים של הדמיות דיוג של ספקים חיצוניים במדיניות המסירה המתקדמות הם:

• מדיניות עקיפת הדמיות דיוג: נשלטת על-ידי רכיבי ה- cmdlet *-PhishSimOverridePolicy .
• כלל עקיפת הדמיות דיוג: נשלט על-ידי רכיבי ה- cmdlet *-ExoPhishSimOverrideRule .
• כתובות ה- URL המותרות (ללא חסימה) של הדמיות דיוג: נשלטות על-ידי רכיבי ה- cmdlet *-TenantAllowBlockListItems .

הערה

כפי שתואר קודם לכן, זיהוי כתובות URL אינו נדרש עבור קישורים בסימולציות דיוג המבוססות על דואר אלקטרוני. באפשרותך גם לזהות קישורים בסימולציות דיוג שאינן של דואר אלקטרוני (קישורים בהודעות Teams או במסמכי Office) שאין להתייחס אליהם כאיומים אמיתיים בזמן הלחיצה.

אופן פעולה זה כולל את התוצאות הבאות:

• עליך ליצור תחילה את המדיניות ולאחר מכן ליצור את הכלל המזהה את המדיניות חלה על הכלל.
• שנה את ההגדרות במדיניות ואת הכלל בנפרד.
• בעת הסרת מדיניות מ- PowerShell, הכלל המתאים מוסר גם הוא.
• בעת הסרת כלל מ- PowerShell, המדיניות המתאימה אינה מוסרת. עליך להסיר את המדיניות המתאימה באופן ידני.

שימוש ב- PowerShell כדי לקבוע תצורה של הדמיות דיוג של ספקים חיצוניים

קביעת תצורה של הדמיית דיוג של ספק חיצוני ב- PowerShell היא תהליך מרובה שלבים:

1. Create עקיפת הדמיית דיוג.
2. Create כלל עקיפת הדמיות דיוג המציין:
   • המדיניות שהכלל חל עליה.
   • כתובת ה- IP של המקור של הודעות הדמיית הדיוג.
3. באופן אופציונלי, זהה את כתובות ה- URL של הדמיית דיוג בסימולציות דיוג שאינן דואר אלקטרוני (קישורים בהודעות Teams או במסמכי Office) שאין להתייחס אליהן כאיומים אמיתיים בזמן הלחיצה.

שלב 1: שימוש ב- PowerShell ליצירת מדיניות עקיפת הדמיות דיוג

ב Exchange Online PowerShell, דוגמה זו יוצרת את מדיניות עקיפת הדמיות דיוג.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

ללא קשר לערך השם שתציין, שם המדיניות הוא PhishSimOverridePolicy, כך שניתן גם להשתמש בערך זה.

לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-PhishSimOverridePolicy.

שלב 2: שימוש ב- PowerShell ליצירת כלל עקיפת הדמיות דיוג

ב Exchange Online PowerShell, השתמש בתחביר הבא:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

ללא קשר לערך השם שתציין, _Exe:PhishSimOverr:<GUID\> שם הכלל יהיה [sic] <כאשר GUID הוא ערך GUID> ייחודי (לדוגמה, 6fed4b63-3563-495d-a481-b24a311f8329).

ערך כתובת IP חוקי הוא אחד מהערכים הבאים:

• IP בודד: לדוגמה, 192.168.1.1.
• טווח IP: לדוגמה, 192.168.0.1-192.168.0.254.
• CIDR IP: לדוגמה, 192.168.0.1/25.

דוגמה זו יוצרת את כלל עקיפת הדמיית דיוג עם ההגדרות שצוינו.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-ExoPhishSimOverrideRule.

שלב 3: (אופציונלי) השתמש ב- PowerShell כדי לזהות את כתובות ה- URL של הדמיות דיוג כדי לאפשר

ב Exchange Online PowerShell, השתמש בתחביר הבא:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

לקבלת פרטים אודות תחביר כתובת ה- URL, ראה תחביר כתובת URL עבור רשימת התר/חסימות של דייר

דוגמה זו מוסיפה כתובת URL המאפשרת ערך עבור כתובת ה- URL של הדמיית דיוג של ספק חיצוני שצוינה ללא תפוגה.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-TenantAllowBlockListItems.

השתמש ב- PowerShell כדי להציג את מדיניות עקיפת הדמיות דיוג

ב Exchange Online PowerShell, דוגמה זו מחזירה מידע מפורט על מדיניות עקיפת הדמיות דיוג אחת בלבד.

Get-PhishSimOverridePolicy

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-PhishSimOverridePolicy.

שימוש ב- PowerShell להצגת כללי עקיפת הדמיות דיוג

ב Exchange Online PowerShell), דוגמה זו מחזירה מידע מפורט אודות כללי עקיפת הדמיות דיוג.

Get-ExoPhishSimOverrideRule

למרות שהפקודה הקודמת אמורה להחזיר כלל אחד בלבד, ייתכן שכללים הממתינים למחיקה ייכללו גם בתוצאות.

דוגמה זו מזהה את הכלל החוקי (אחד) וכל הכללים הלא חוקיים.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

לאחר זיהוי הכללים הלא חוקיים, באפשרותך להסיר אותם באמצעות ה- cmdlet Remove-ExoPhishSimOverrideRule כמתואר בהמשך מאמר זה.

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-ExoPhishSimOverrideRule.

השתמש ב- PowerShell כדי להציג את ערכי כתובת ה- URL המותרים של הדמיית דיוג

ב Exchange Online PowerShell, הפעל את הפקודה הבאה:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-TenantAllowBlockListItems.

השתמש ב- PowerShell כדי לשנות את מדיניות עקיפת הדמיות דיוג

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

דוגמה זו מבטלת את מדיניות עקיפת הדמיות דיוג.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-PhishSimOverridePolicy.

שימוש ב- PowerShell לשינוי כללי עקיפת הדמיות דיוג

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

או

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

השתמש ב- cmdlet Get-ExoPhishSimOverrideRule כדי למצוא את ערכי הישות PhishSimOverrideRuleIdentity>.< שם הכלל משתמש בתחביר הבא: _Exe:PhishSimOverr:<GUID\> [sic] <כאשר GUID הוא ערך GUID> ייחודי (לדוגמה, 6fed4b63-3563-495d-a481-b24a311f8329).

דוגמה זו משנה את כלל עקיפת הדמיית דיוג (כנראה בלבד) בהגדרות הבאות:

• הוסף את ערך התחום blueyonderairlines.com.
• הסר את ערך כתובת ה- IP 192.168.1.55.

שינויים אלה אינם משפיעים על ערכים קיימים בכלל.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-ExoPhishSimOverrideRule.

השתמש ב- PowerShell כדי לשנות את ערכי כתובת ה- URL המותרים של הדמיית דיוג

לא ניתן לשנות את ערכי כתובת ה- URL ישירות. באפשרותך להסיר ערכים קיימים של כתובות URLולהוסיף ערכי כתובת URL חדשים כמתואר במאמר זה.

ב- Exchange Online PowerShell, כדי לשנות מאפיינים אחרים של ערך URL מותר של הדמיית דיוג (לדוגמה, תאריך התפוגה או ההערות), השתמש בתחביר הבא:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

עליך לזהות את הערך שיש לשנות על-ידי ערכי כתובת ה- URL שלו (הפרמטר Entries ) או הערך Identity מהפלט של ה- cmdlet Get-TenantAllowBlockListItems ( הפרמטר Ids ).

דוגמה זו שונתה את תאריך התפוגה של הערך שצוין.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-TenantAllowBlockListItems.

שימוש ב- PowerShell להסרת מדיניות עקיפת הדמיות דיוג

ב Exchange Online PowerShell, דוגמה זו מסירה את מדיניות עקיפת הדמיות דיוג ואת הכלל המתאים.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-PhishSimOverridePolicy.

שימוש ב- PowerShell להסרת כללי עקיפת הדמיות דיוג

ב Exchange Online PowerShell, השתמש בפקודות הבאות:

• הסר את כל כללי עקיפת הדמיית דיוג:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• הסר את כלל עקיפת הדמיית דיוג שצוין:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-ExoPhishSimOverrideRule.

השתמש ב- PowerShell כדי להסיר את ערכי כתובת ה- URL המותרים של הדמיית דיוג

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

עליך לזהות את הערך שיש לשנות על-ידי ערכי כתובת ה- URL שלו (הפרמטר Entries ) או הערך Identity מהפלט של ה- cmdlet Get-TenantAllowBlockListItems ( הפרמטר Ids ).

דוגמה זו שונתה את תאריך התפוגה של הערך שצוין.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-TenantAllowBlockListItems.