A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek SecOps-postaládákba történő kézbesítéséhez
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
A szervezet biztonságának megőrzése érdekében az Exchange Online Protection (EOP) nem engedélyezi a biztonságos listákat és a szűrési megkerülést a kártevőként vagy megbízható adathalászatként azonosított üzenetek esetében. Vannak azonban olyan forgatókönyvek, amelyekhez szűretlen üzenetek kézbesítése szükséges. Például:
- Külső adathalászati szimulációk: A szimulált támadások segíthetnek a sebezhető felhasználók azonosításában és betanításában, mielőtt egy valós támadás hatással lenne a szervezetre.
- Biztonsági műveletek (SecOps) postaládák: Dedikált postaládák, amelyeket a biztonsági csapatok a szűretlen üzenetek gyűjtésére és elemzésére használnak (jó és rossz egyaránt).
Az EOP speciális kézbesítési szabályzatával megakadályozhatja a bejövő üzenetek szűrését ezekben az esetekben ¹. A speciális kézbesítési szabályzat biztosítja, hogy ezekben a forgatókönyvekben az üzenetek a következő eredményeket érjék el:
- Az EOP és az Office 365-höz készült Defender szűrői nem hajtanak végre semmilyen műveletet ezeken az üzeneteken. A kártevőszűrés csak SecOps-postaládák esetén kerüli meg.
- A levélszemét és az adathalászat nulla órás végleges törlése (ZAP) nem hajt végre semmilyen műveletet ezeken az üzeneteken. A kártevők zap-fájlját csak a SecOps-postaládák esetében kerüli meg a rendszer.
- Az Office 365-höz készült Defender biztonságos hivatkozásai nem blokkolják vagy robbantják fel a megadott URL-címeket ezekben az üzenetekben kattintáskor. Az URL-címek továbbra is be vannak csomagolva, de nincsenek letiltva.
- A Biztonságos mellékletek az Office 365-höz készült Defenderben nem robbantja fel a mellékleteket ezekben az üzenetekben.
- Ezekhez a forgatókönyvekhez nem aktiválódnak alapértelmezett rendszerriasztások.
- Az Air és a fürtözés az Office 365-höz készült Defenderben figyelmen kívül hagyja ezeket az üzeneteket.
- Kifejezetten külső adathalász szimulációkhoz:
- A rendszergazdai beküldés automatikus választ hoz létre, amely szerint az üzenet egy adathalász szimulációs kampány része, és nem valódi fenyegetés. A riasztások és az AIR nem aktiválódik. A rendszergazdai beküldési felület szimulált fenyegetésként jeleníti meg ezeket az üzeneteket.
- Ha egy felhasználó adathalász szimulációs üzenetet jelent a Webes Outlook beépített Jelentés gombja vagy a Microsoft Report Message vagy Report Phishing bővítmények használatával, a rendszer nem hoz létre riasztást, vizsgálatot vagy incidenst. A hivatkozások vagy fájlok nem robbannak fel, de az üzenet megjelenik a Beküldések lap Felhasználó jelentett lapján.
A speciális kézbesítési szabályzat által azonosított üzenetek nem jelentenek biztonsági fenyegetést, ezért az üzenetek rendszer felülbírálásokkal vannak megjelölve. A rendszergazdai felületek adathalász szimulációként vagy SecOps postaládarendszer-felülbírálásként jelenítik meg ezeket az üzeneteket. A rendszergazdák ezeket az értékeket használhatják az üzenetek szűrésére és elemzésére a következő szolgáltatásokban:
- Fenyegetéskezelő (Explorer) vagy valós idejű észlelések az Office 365-höz készült Defenderben: A rendszergazdák szűrhetnek a rendszer felülbírálási forrására , és kiválaszthatják az Adathalász szimuláció vagy a SecOps-postaláda lehetőséget.
- Az E-mail entitás lap: A rendszergazdák megtekinthetik azokat az üzeneteket, amelyeket a SecOps-postaláda vagy az Adathalászati szimuláció a Felülbírálás(ok) szakasz Bérlői felülbírálás szakaszában engedélyezett a szervezeti házirend által.
- A Veszélyforrások elleni védelem állapota jelentés: A rendszergazda szűrhet az adatok megtekintése alapján a legördülő menüben a Rendszer felülbírálása szerint, és kiválaszthatja az adathalász szimulációs rendszer felülbírálása miatt engedélyezett üzenetek megtekintését. A SecOps-postaláda felülbírálása által engedélyezett üzenetek megtekintéséhez a diagram ok szerinti legördülő listájában kiválaszthatja a diagram kézbesítési hely szerinti lebontását.
- Speciális veszélyforrás-keresés a Végponthoz készült Microsoft Defenderben: Az adathalászati szimuláció és a SecOps postaládarendszer felülbírálása az OrgLevelPolicy beállításai az EmailEventsben.
- Kampánynézetek: A rendszergazda szűrhet a rendszer felülbírálási forrására , és kiválaszthatja az Adathalászati szimuláció vagy a SecOps-postaláda lehetőséget.
Mit kell tudnia a kezdés előtt?
A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás az Exchange Online-hoz PowerShell.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak
. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
E-mail & együttműködési engedélyek a Microsoft Defender portálon és az Exchange Online-engedélyek:
- Konfigurált beállítások létrehozása, módosítása vagy eltávolítása a speciális kézbesítési házirendben: Tagság a Biztonsági rendszergazda szerepkörcsoportokban az E-mail & együttműködési RBAC-ben és tagság az Exchange Online RBAC Szervezetkezelés szerepkörcsoportjában.
- Írásvédett hozzáférés a speciális kézbesítési szabályzathoz: Tagság a Globális olvasó vagy a Biztonsági olvasó szerepkörcsoportban az E-mail & együttműködési RBAC-ben.
- Csak megtekintésre használható szervezetkezelés az Exchange Online RBAC-ben.
Microsoft Entra-engedélyek: A globális rendszergazdai, biztonsági rendszergazdai*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
SecOps-postaládák konfigurálása a Speciális kézbesítési szabályzatban a Microsoft Defender portál használatával
A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.
A SecOps postaláda lapon válassza a Hozzáadás gombot a lap Nincs SecOps-postaládák konfigurált területén.
Ha már vannak bejegyzések a SecOps postaláda lapon, válassza a Szerkesztés lehetőséget
(a Hozzáadás gomb nem érhető el).
A megnyíló SecOps-postaládák hozzáadása úszó panelen adjon meg egy meglévő Exchange Online-postaládát, amelyet SecOps-postaládaként szeretne kijelölni az alábbi lépések egyikével:
Kattintson a mezőbe, oldja fel a postaládák listáját, majd jelölje ki a postaládát.
Kattintson a mezőbe, és kezdje el beírni a postaláda azonosítóját (név, megjelenítendő név, alias, e-mail-cím, fióknév stb.), majd válassza ki a postaládát (megjelenítendő nevet) az eredmények közül.
Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. A terjesztési csoportok nem engedélyezettek.
Meglévő érték eltávolításához válassza az eltávolítás
lehetőséget az érték mellett.
Ha végzett a SecOps-postaládák hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.
Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
A SecOps postaláda lapra visszatérve az Ön által konfigurált SecOps-postaláda-bejegyzések a következők:
- A Megjelenítendő név oszlop a postaládák megjelenítendő nevét tartalmazza.
- Az E-mail oszlop tartalmazza az egyes bejegyzések e-mail-címét.
- Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza
a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget
.
A Microsoft Defender portál használata SecOps-postaládák módosítására vagy eltávolítására a speciális kézbesítési szabályzatban
A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.
A SecOps postaláda lapon válassza a Szerkesztés lehetőséget
.
A megnyíló SecOps-postaládák szerkesztése úszó panelen vegyen fel vagy távolítson el postaládákat a Speciális kézbesítési házirend szakasz A Microsoft Defender portál használata a SecOps-postaládák konfigurálásához című szakaszának 3. lépésében leírtak szerint.
Az összes postaláda eltávolításához válassza az eltávolítás
lehetőséget az egyes értékek mellett, amíg nincs több kijelölt postaláda.
Ha végzett a SecOps-postaládák szerkesztése úszó panelen, válassza a Mentés lehetőséget.
Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
A SecOps postaláda lapra visszatérve megjelennek az Ön által konfigurált SecOps-postaláda-bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.
A Microsoft Defender portál használata külső adathalász szimulációk konfigurálásához a speciális kézbesítési szabályzatban
Külső adathalász szimuláció konfigurálásához meg kell adnia a következő információkat:
- Legalább egy tartomány: Az üzenet SMTP-továbbításához vagy az adathalász szimuláció szállítója által megadott DKIM-tartományhoz tartozó tartomány a MAIL FROM címről (más néven
5321.MailFrom
címről, P1 feladóról vagy borítékküldőről). - Legalább egy küldési IP-cím.
- Nem e-mailes adathalászati szimulációk (például Microsoft Teams-üzenetek, Word-dokumentumok vagy Excel-számolótáblák) esetén opcionálisan azonosíthatja a szimulációs URL-címeket , hogy az ne legyen valós fenyegetésként kezelve kattintáskor: az URL-címek nincsenek blokkolva vagy robbantva, és nem jönnek létre URL-kattintási riasztások vagy az ebből eredő incidensek. Az URL-címek a kattintáskor vannak burkolva, de nincsenek letiltva.
Legalább egy tartományon és egy küldési IP-címen egyezésnek kell lennie, de az értékek között nincs társítás.
Ha az MX rekord nem a Microsoft 365-höz mutat, a fejlécben lévő Authentication-results
IP-címnek meg kell egyeznie a speciális kézbesítési szabályzatBAN szereplő IP-címmel. Ha az IP-címek nem egyeznek, előfordulhat, hogy konfigurálnia kell a továbbfejlesztett szűrést az összekötőkhöz , hogy a rendszer a megfelelő IP-címet észlelje.
Megjegyzés:
Az összekötők továbbfejlesztett szűrése összetett e-mail-útválasztási forgatókönyvekben nem működik külső adathalász szimulációk esetében (például az internetről érkező e-mailek a Microsoft 365-be, majd egy helyszíni környezetbe vagy külső biztonsági szolgáltatásba, majd vissza a Microsoft 365-be kerülnek). Az EOP nem tudja azonosítani az üzenetforrás valódi IP-címét. Ne próbálja megkerülni ezt a korlátozást úgy, hogy hozzáadja a helyszíni vagy külső küldő infrastruktúra IP-címeit a külső adathalász szimulációhoz. Ezzel hatékonyan megkerüli a levélszemétszűrést minden olyan internetes feladónál, aki megszemélyesíti a külső adathalászati szimulációban megadott tartományt.
Jelenleg a külső adathalász szimulációk speciális kézbesítési szabályzata nem támogatja a szimulációkat ugyanazon a szervezeten belül (DIR:INT
), különösen akkor, ha az e-maileket egy Exchange Server-átjárón keresztül irányítják át a Microsoft 365 előtt a hibrid levelezési folyamatban. A probléma kerülő megoldásához az alábbi lehetőségek közül választhat:
- Hozzon létre egy dedikált küldési összekötőt , amely nem hitelesíti belsőként az adathalász szimulációs üzeneteket.
- Konfigurálja az adathalász szimulációt úgy, hogy megkerülje az Exchange Server infrastruktúráját, és a leveleket közvetlenül a Microsoft 365 MX rekordhoz iránya (például contoso-com.mail.protection.outlook.com).
- Bár a levélszemét-ellenes házirendekben a szervezeten belüli üzenetek vizsgálatát Nincs értékre állíthatja, ezt a beállítást nem javasoljuk, mert ez hatással van más e-mail üzenetekre.
Ha a Beépített védelem előre beállított biztonsági házirendet használja, vagy az egyéni Biztonságos hivatkozások házirendjeinél az URL-címek átírásának mellőzése, ellenőrzések csak a SafeLinks API-n keresztül engedélyezve vannak, a kattintás elleni védelem ideje nem kezeli fenyegetésként az e-mailekben található adathalász szimulációs hivatkozásokat a Webes Outlookban, az iOS Outlookban és az Android Outlookban, a Windows Outlook 16.0.15317.10000-as vagy újabb verziójában, és a Mac Outlook 16.74.23061100-s vagy újabb verziója. Ha az Outlook régebbi verzióit használja, fontolja meg az URL-címek átírásának mellőzése beállítást, és csak az egyéni biztonságos hivatkozások házirendjeiben végezze el az ellenőrzést a SafeLinks API-val .
Ha adathalász szimulációs URL-címeket ad hozzá a Biztonságos hivatkozások házirendek E-mailekben ne írja át az alábbi URL-címeket szakaszhoz, az nemkívánatos riasztásokat eredményezhet az URL-kattintások esetén. Az e-mailek adathalászati szimulációs URL-címei automatikusan engedélyezve vannak az e-mail-forgalom során és a kattintáskor is.
A SecOps-postaládák speciális kézbesítési szabályzata jelenleg nem támogatja a szervezeten belüli üzeneteket (DIR:INT
), és ezek az üzenetek karanténba kerülnek. Áthidaló megoldásként használhat külön levélszemét-ellenes házirendet olyan SecOps-postaládákhoz, amelyek nem karanténba helyezik a szervezeten belüli üzeneteket. Nem javasoljuk a szervezeten belüli védelem letiltását az összes postaládában.
A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.
Az Adathalászati szimuláció lapon válassza a Hozzáadás gombot a lap Nincs külső adathalász szimuláció konfigurált területén.
Ha már vannak bejegyzések az Adathalászat szimulációja lapon, válassza a Szerkesztés lehetőséget
(a Hozzáadás gomb nem érhető el).
A megnyíló Külső adathalász szimulációk hozzáadása úszó panelen konfigurálja a következő beállításokat:
Tartomány: Bontsa ki ezt a beállítást, és adjon meg legalább egy e-mail-címtartományt. Ehhez kattintson a mezőbe, adjon meg egy értéket (például contoso.com), majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 50 bejegyzést adhat hozzá. Használja az alábbi értékek egyikét:
- Az üzenet SMTP-továbbításához használt tartomány a címben
5321.MailFrom
(más néven MAIL FROM cím, P1 feladó vagy borítékküldő). - Az adathalász szimuláció szállítója által megadott DKIM-tartomány.
- Az üzenet SMTP-továbbításához használt tartomány a címben
IP-cím küldése: Bontsa ki ezt a beállítást, és adjon meg legalább egy érvényes IPv4-címet. Ehhez kattintson a mezőbe, írjon be egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 10 bejegyzést adhat hozzá. Az érvényes értékek a következők:
- Egyetlen IP-cím: Például: 192.168.1.1.
- IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
- CIDR IP: Például: 192.168.0.1/25.
Engedélyezendő szimulációs URL-címek: Ez a beállítás nem szükséges az adathalász e-mail-szimulációk hivatkozásaihoz. Ezzel a beállítással opcionálisan azonosíthatja a nem e-mailes adathalász szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban lévő hivatkozásokban található hivatkozásokat), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.
Url-bejegyzések hozzáadásához bontsa ki ezt a beállítást, kattintson a mezőbe, adjon meg egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Legfeljebb 30 bejegyzést adhat hozzá. Az URL-szintaxist a Bérlői engedélyezési/tiltólista URL-szintaxisa című témakörben találja.
Ha el szeretne távolítani egy meglévő tartományt, IP-címet vagy URL-címet, válassza az eltávolítás
lehetőséget az érték mellett.
Vegyük az alábbi példát:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- A csatlakozó IP-cím a 172.17.17.7.
- A MAIL FROM cím (
smtp.mailfrom
) tartománya contoso.com. - A DKIM-tartomány (
header.d
) contoso-simulation.com.
A példában az alábbi kombinációk egyikével konfigurálhat egy külső adathalász szimulációt:
Tartomány: contoso.com
Ip-cím küldése: 172.17.17.7Tartomány: contoso-simulation.com
Ip-cím küldése: 172.17.17.7Ha végzett a Harmadik féltől származó adathalász szimulációk hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.
Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
Az Adathalászati szimuláció lapra visszatérve az Ön által konfigurált, harmadik féltől származó adathalász szimuláció bejegyzései a következők:
- Az Érték oszlop tartalmazza a tartományt, az IP-címet vagy az URL-címet.
- A Típus oszlop minden bejegyzéshez tartalmazza a Küldési IP-címet, a Tartományt vagy az Engedélyezett szimulációs URL-címet .
- A Date (Dátum ) oszlopban látható, hogy mikor jött létre a bejegyzés.
- Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza
a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget
.
A Microsoft Defender portál használata külső adathalász szimulációk módosítására vagy eltávolítására a speciális kézbesítési szabályzatban
A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.
Az Adathalászat szimulációja lapon válassza a Szerkesztés lehetőséget
.
A megnyíló Külső adathalász szimuláció szerkesztése úszó panelen adja hozzá vagy távolítsa el a Tartomány, az IP-cím küldése és a Szimulációs URL-címek bejegyzéseit a Speciális kézbesítési szabályzat szakasz SecOps-postaládák konfigurálása a Microsoft Defender portálon című szakaszának 3. lépésében leírtak szerint.
Az összes bejegyzés eltávolításához válassza az eltávolítás
lehetőséget az egyes értékek mellett, amíg nincs több tartomány, IP-cím vagy URL-cím kijelölve.
Ha végzett a Külső adathalász szimuláció szerkesztése úszó panelen, válassza a Mentés lehetőséget.
Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
Az Adathalászati szimuláció lapra visszatérve megjelennek az Ön által konfigurált, harmadik féltől származó adathalász szimulációs bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.
További forgatókönyvek, amelyek szűrés megkerülését igénylik
A speciális kézbesítési szabályzat által támogatott két forgatókönyv mellett más forgatókönyvekben is előfordulhat, hogy meg kell kerülnie az üzenetek szűrését:
Külső szűrők: Ha a tartomány MX rekordja nem az Office 365-re mutat (az üzeneteket először máshová irányítjuk), alapértelmezés szerintnem érhető el a biztonságos szolgáltatás. Ha védelmet szeretne hozzáadni, engedélyeznie kell az összekötők továbbfejlesztett szűrését (más néven kihagyási listát). További információ: E-mail-forgalom kezelése külső felhőszolgáltatással az Exchange Online-nal. Ha nem szeretné az összekötők továbbfejlesztett szűrését, használjon levélforgalmi szabályokat (más néven átviteli szabályokat) az olyan üzenetek Microsoft-szűrésének megkerüléséhez, amelyeket már kiértékelt harmadik féltől származó szűrés. További információ: Az SCL beállítása levélforgalmi szabályokkal az üzenetekben.
Felülvizsgálat alatt álló téves pozitívok: Ideiglenesen engedélyezni szeretné a rendszergazdai beküldéseken keresztül jelentett rosszként (hamis pozitívként) azonosított jó üzeneteket, de az üzeneteket a Microsoft még elemzi. Mint minden felülbírálás esetében, javasoljuk , hogy ezek a kibocsátási egységek ideiglenesek legyenek.
PowerShell-eljárások SecOps-postaládákhoz a speciális kézbesítési szabályzatban
A PowerShellben a SecOps-postaládák alapvető elemei a speciális kézbesítési szabályzatban a következők:
- A SecOps felülbírálási szabályzata: A *-SecOpsOverridePolicy parancsmagok vezérlik.
- A SecOps felülbírálási szabálya: Az *-ExoSecOpsOverrideRule parancsmagok vezérlik.
Ennek a viselkedésnek a következő eredményei vannak:
- Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
- Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
- Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.
SecOps-postaládák konfigurálása a PowerShell használatával
A SecOps-postaláda konfigurálása a Speciális kézbesítési szabályzatban a PowerShellben két lépésből áll:
- Hozza létre a SecOps felülbírálási szabályzatát.
- Hozza létre a SecOps felülbírálási szabályt, amely meghatározza azt a szabályzatot, amelyre a szabály vonatkozik.
1. lépés: A SecOps felülbírálási szabályzatának létrehozása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
A megadott Név értéktől függetlenül a házirend neve SecOpsOverridePolicy, így ezt az értéket is használhatja.
Ez a példa létrehozza a SecOps postaláda-házirendet.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Részletes szintaxis- és paraméterinformációkért lásd: New-SecOpsOverridePolicy.
2. lépés: A SecOps felülbírálási szabályának létrehozása a PowerShell használatával
Az Exchange Online PowerShellben futtassa a következő parancsot:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:SecOpsOverrid:<GUID\>
, ahol <a GUID> egyedi GUID-érték (például 312c23cf-0377-4162-b93d-6548a9977efb9).
Részletes szintaxis- és paraméterinformációkért lásd: New-ExoSecOpsOverrideRule.
A SecOps felülbírálási szabályzatának megtekintése a PowerShell használatával
Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egy és csak a SecOps postaláda-házirendről.
Get-SecOpsOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Get-SecOpsOverridePolicy.
SecOps-felülbírálási szabályok megtekintése a PowerShell használatával
Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza a SecOps felülbírálási szabályairól.
Get-ExoSecOpsOverrideRule
Bár az előző parancsnak csak egy szabályt kell visszaadnia, előfordulhat, hogy egy törlésre váró szabály is szerepel az eredmények között.
Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
Miután azonosította az érvénytelen szabályokat, a Remove-ExoSecOpsOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.
Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoSecOpsOverrideRule.
A SecOps felülbírálási szabályzatának módosítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Ez a példa hozzáadja secops2@contoso.com
a SecOps felülbírálási szabályzatához.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Megjegyzés:
Ha létezik társított, érvényes SecOps-felülbírálási szabály, a szabályban szereplő e-mail-címek is frissülnek.
Részletes szintaxis- és paraméterinformációkért lásd: Set-SecOpsOverridePolicy.
SecOps-felülbírálási szabály módosítása a PowerShell használatával
A Set-ExoSecOpsOverrideRule parancsmag nem módosítja a SecOps felülbírálási szabályában szereplő e-mail-címeket. A SecOps felülbírálási szabályban szereplő e-mail-címek módosításához használja a Set-SecOpsOverridePolicy parancsmagot.
Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoSecOpsOverrideRule.
A SecOps felülbírálási szabályzatának eltávolítása a PowerShell használatával
Az Exchange Online PowerShellben ez a példa eltávolítja a SecOps Postaláda házirendet és a megfelelő szabályt.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Remove-SecOpsOverridePolicy.
SecOps-felülbírálási szabályok eltávolítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő parancsokat:
Távolítsa el a SecOps-felülbírálási szabályokat:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
Távolítsa el a megadott SecOps felülbírálási szabályt:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoSecOpsOverrideRule.
PowerShell-eljárások külső adathalász szimulációkhoz a speciális kézbesítési szabályzatban
A PowerShellben a fejlett kézbesítési szabályzatban a külső adathalászati szimulációk alapvető elemei a következők:
- Az adathalászati szimuláció felülbírálási szabályzata: A *-PhishSimOverridePolicy parancsmagok vezérlik.
- Az adathalászati szimuláció felülbírálási szabálya: Az *-ExoPhishSimOverrideRule parancsmagok vezérlik.
- Az engedélyezett (feloldott) adathalászszimulációs URL-címek: A *-TenantAllowBlockListItems parancsmagok vezérlik.
Megjegyzés:
Ahogy korábban említettem, az e-mail-alapú adathalászati szimulációkban lévő hivatkozásokhoz nincs szükség az URL-címek azonosítására. A nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban található hivatkozások) is azonosíthatja azokat a hivatkozásokat, amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.
Ennek a viselkedésnek a következő eredményei vannak:
- Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
- A házirend és a szabály beállításait külön módosíthatja.
- Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
- Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.
Külső adathalász szimulációk konfigurálása a PowerShell használatával
Egy harmadik féltől származó adathalász szimuláció konfigurálása a PowerShellben egy többlépéses folyamat:
- Hozza létre az adathalász szimuláció felülbírálási szabályzatát.
- Hozza létre az adathalász szimuláció felülbírálási szabályát, amely a következőket határozza meg:
- Az a szabályzat, amelyre a szabály vonatkozik.
- Az adathalász szimulációs üzenetek forrás IP-címe.
- Igény szerint azonosíthatja az adathalász szimulációs URL-címeket a nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.
1. lépés: Az adathalász szimuláció felülbírálási szabályzatának létrehozása a PowerShell használatával
Az Exchange Online PowerShellben ez a példa hozza létre az adathalász szimuláció felülbírálási szabályzatát.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
A megadott Név értéktől függetlenül a szabályzat neve PhishSimOverridePolicy, így ezt az értéket is használhatja.
Részletes szintaxis- és paraméterinformációkért lásd: New-PhishSimOverridePolicy.
2. lépés: Az adathalász szimuláció felülbírálási szabályának létrehozása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:PhishSimOverr:<GUID\>
, ahol <a GUID> egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).
Az érvényes IP-címbejegyzés az alábbi értékek egyike:
- Egyetlen IP-cím: Például: 192.168.1.1.
- IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
- CIDR IP: Például: 192.168.0.1/25.
Ez a példa létrehozza az adathalász szimuláció felülbírálási szabályát a megadott beállításokkal.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Részletes szintaxis- és paraméterinformációkért lásd: New-ExoPhishSimOverrideRule.
3. lépés: (Nem kötelező) Az adathalász szimulációs URL-címek azonosítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Az URL-szintaxissal kapcsolatos részletekért tekintse meg a bérlői engedélyezési/letiltáslista URL-szintaxisát ismertető cikket.
Ez a példa hozzáad egy URL-engedélyezési bejegyzést a megadott külső adathalász szimulációs URL-címhez lejárat nélkül.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.
Az adathalász szimuláció felülbírálási szabályzatának megtekintése a PowerShell használatával
Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egyetlen adathalászszimulációs felülbírálási szabályzatról.
Get-PhishSimOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Get-PhishSimOverridePolicy.
Adathalászati szimuláció felülbírálási szabályainak megtekintése a PowerShell használatával
Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az adathalász szimuláció felülbírálási szabályairól.
Get-ExoPhishSimOverrideRule
Bár az előző parancsnak csak egy szabályt kell visszaadnia, a törlésre váró szabályok is megjelenhetnek az eredmények között.
Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
Miután azonosította az érvénytelen szabályokat, a Remove-ExoPhishSimOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.
Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoPhishSimOverrideRule.
Az adathalász szimuláció engedélyezett URL-bejegyzéseinek megtekintése a PowerShell használatával
Az Exchange Online PowerShellben futtassa a következő parancsot:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.
Az adathalász szimuláció felülbírálási szabályzatának módosítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
Ez a példa letiltja az adathalász szimuláció felülbírálási szabályzatát.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Részletes szintaxis- és paraméterinformációkért lásd: Set-PhishSimOverridePolicy.
Adathalászati szimuláció felülbírálási szabályainak módosítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
vagy
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
A Get-ExoPhishSimOverrideRule parancsmaggal keresse meg a <PhishSimOverrideRuleIdentity> értékeket. A szabály neve a következő szintaxist használja: _Exe:PhishSimOverr:<GUID\>
[sic], ahol <a GUID> egy egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).
Ez a példa az (feltehetően csak) adathalász szimuláció felülbírálási szabályt módosítja az alábbi beállításokkal:
- Adja hozzá a tartománybejegyzést blueyonderairlines.com.
- Távolítsa el a 192.168.1.55 IP-címbejegyzést.
Ezek a módosítások nincsenek hatással a szabály meglévő bejegyzéseire.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoPhishSimOverrideRule.
Az adathalász szimuláció engedélyezett URL-címeinek módosítása a PowerShell használatával
Az URL-értékek nem módosíthatók közvetlenül. Eltávolíthatja a meglévő URL-bejegyzéseket, és új URL-bejegyzéseket adhat hozzá a jelen cikkben leírtak szerint.
Az Exchange Online PowerShellben az engedélyezett adathalász szimulációs URL-bejegyzés egyéb tulajdonságainak (például a lejárati dátumnak vagy a megjegyzéseknek) módosításához használja az alábbi szintaxist:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.
Ez a példa módosította a megadott bejegyzés lejárati dátumát.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.
Adathalászszimulációs felülbírálási szabályzat eltávolítása a PowerShell használatával
Az Exchange Online PowerShellben ez a példa eltávolítja az adathalász szimuláció felülbírálási szabályzatát és a megfelelő szabályt.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Remove-PhishSimOverridePolicy.
Adathalászati szimuláció felülbírálási szabályainak eltávolítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő parancsokat:
Távolítsa el az adathalász szimuláció felülbírálási szabályait:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
Távolítsa el a megadott adathalász szimuláció felülbírálási szabályát:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoPhishSimOverrideRule.
Az adathalász szimulációs URL-címek engedélyezett bejegyzéseinek eltávolítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.
Ez a példa módosította a megadott bejegyzés lejárati dátumát.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: