Megosztás a következőn keresztül:

A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek SecOps-postaládákba történő kézbesítéséhez

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A szervezet biztonságának megőrzése érdekében a Exchange Online Védelmi szolgáltatás (EOP) nem engedélyezi a biztonságos listákat és a szűrési megkerülést a kártevőként vagy megbízható adathalászatként azonosított üzenetek esetében. Vannak azonban olyan forgatókönyvek, amelyekhez szűretlen üzenetek kézbesítése szükséges. Például:

  • Külső adathalászati szimulációk: A szimulált támadások segíthetnek a sebezhető felhasználók azonosításában és betanításában, mielőtt egy valós támadás hatással lenne a szervezetre.
  • Biztonsági műveletek (SecOps) postaládák: Dedikált postaládák, amelyeket a biztonsági csapatok a szűretlen üzenetek gyűjtésére és elemzésére használnak (jó és rossz egyaránt).

Az EOP speciális kézbesítési szabályzatával megakadályozhatja a bejövő üzenetek szűrését ezekben az esetekben ¹. A speciális kézbesítési szabályzat biztosítja, hogy ezekben a forgatókönyvekben az üzenetek a következő eredményeket érjék el:

A speciális kézbesítési szabályzat által azonosított üzenetek nem jelentenek biztonsági fenyegetést, ezért az üzenetek rendszer felülbírálásokkal vannak megjelölve. Rendszergazda felületek adathalász szimulációként vagy SecOps postaládarendszer-felülbírálásként jelenítik meg ezeket az üzeneteket. A rendszergazdák ezeket az értékeket használhatják az üzenetek szűrésére és elemzésére a következő szolgáltatásokban:

  • Fenyegetéskezelő (Explorer) vagy valós idejű észlelések Office 365-höz készült Defender: A rendszergazdák szűrhetnek a rendszer felülbírálási forrására, és kiválaszthatják az Adathalász szimuláció vagy a SecOps-postaláda lehetőséget.
  • Az Email entitáslap: A rendszergazdák megtekinthetik azOkat az üzeneteket, amelyeket a SecOps-postaláda vagy az adathalászati szimuláció engedélyezett a Szervezet házirendje által a Felülbírálás(ok) szakasz Bérlői felülbírálás szakaszában.
  • A Veszélyforrások elleni védelem állapotjelentése: Rendszergazda szűrhet az adatok megtekintése alapján a legördülő menüben a Rendszer felülbírálása szerint, és kiválaszthatja az adathalász szimulációs rendszer felülbírálása miatt engedélyezett üzenetek megtekintését. A SecOps-postaláda felülbírálása által engedélyezett üzenetek megtekintéséhez a diagram ok szerinti legördülő listájában kiválaszthatja a diagram kézbesítési hely szerinti lebontását.
  • Speciális veszélyforrás-keresés Végponthoz készült Microsoft Defender: Az adathalász szimuláció és a SecOps postaládarendszer-felülbírálások az OrgLevelPolicy beállításai az EmailEventsben.
  • Kampánynézetek: Rendszergazda szűrhet a rendszer felülbírálási forrására, és kiválaszthatja az Adathalászati szimuláció vagy a SecOps-postaláda lehetőséget.

Mit kell tudnia a kezdés előtt?

  • A Microsoft Defender portált a címen nyithatja meg.https://security.microsoft.com Ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

  • Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez.

  • Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

    • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Office 365-höz készült Defender az engedélyek Aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
    • Email & együttműködési engedélyeket a Microsoft Defender portálon, és Exchange Online engedélyeket:
      • Létrehozás, módosíthatja vagy eltávolíthatja a speciális kézbesítési szabályzatban konfigurált beállításokat: Tagság a biztonsági rendszergazda szerepkörcsoportokban Email & együttműködési RBAC-ben, valamint tagság Exchange Online RBAC Szervezetkezelés szerepkörcsoportjában.
      • Csak olvasási hozzáférés a speciális kézbesítési szabályzathoz: Tagság a globális olvasó vagy a biztonsági olvasó szerepkörcsoportban Email & együttműködési RBAC-ben.
        • Csak megtekintésre használható szervezetkezelés Exchange Online RBAC-ben.
    • Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználók számára a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

SecOps-postaládák konfigurálása a speciális kézbesítési szabályzatban a Microsoft Defender portál használatával

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

    A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.

  2. A SecOps postaláda lapon válassza a Hozzáadás gombot a lap Nincs SecOps-postaládák konfigurált területén.

    Ha már vannak bejegyzések a SecOps postaláda lapon, válassza a Szerkesztés lehetőséget (a Hozzáadás gomb nem érhető el).

  3. A megnyíló SecOps-postaládák hozzáadása úszó panelen adjon meg egy meglévő Exchange Online postaládát, amelyet SecOps-postaládaként szeretne kijelölni az alábbi lépések egyikével:

    • Kattintson a mezőbe, oldja fel a postaládák listáját, majd jelölje ki a postaládát.

    • Kattintson a mezőbe, és kezdje el beírni a postaláda azonosítóját (név, megjelenítendő név, alias, e-mail-cím, fióknév stb.), majd válassza ki a postaládát (megjelenítendő nevet) az eredmények közül.

      Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. A terjesztési csoportok nem engedélyezettek.

      Meglévő érték eltávolításához válassza az eltávolítás lehetőséget az érték mellett.

  4. Ha végzett a SecOps-postaládák hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.

  5. Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

A SecOps postaláda lapra visszatérve az Ön által konfigurált SecOps-postaláda-bejegyzések a következők:

  • A Megjelenítendő név oszlop a postaládák megjelenítendő nevét tartalmazza.
  • A Email oszlop tartalmazza az egyes bejegyzések e-mail-címét.
  • Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

SecOps-postaládák módosítása vagy eltávolítása a speciális kézbesítési szabályzatban a Microsoft Defender portál használatával

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

    A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.

  2. A SecOps postaláda lapon válassza a Szerkesztés lehetőséget.

  3. A megnyíló SecOps-postaládák szerkesztése úszó panelen vegyen fel vagy távolítson el postaládákat a Speciális kézbesítési házirend szakasz A Microsoft Defender portál használata a SecOps-postaládák konfigurálásához című szakaszának 3. lépésében leírtak szerint.

    Az összes postaláda eltávolításához válassza az eltávolítás lehetőséget az egyes értékek mellett, amíg nincs több kijelölt postaláda.

  4. Ha végzett a SecOps-postaládák szerkesztése úszó panelen, válassza a Mentés lehetőséget.

  5. Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

A SecOps postaláda lapra visszatérve megjelennek az Ön által konfigurált SecOps-postaláda-bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.

A Microsoft Defender portál használatával külső adathalász szimulációkat konfigurálhat a speciális kézbesítési szabályzatban

Külső adathalász szimuláció konfigurálásához meg kell adnia a következő információkat:

  • Legalább egy tartomány: Az üzenet SMTP-továbbításához vagy az adathalász szimuláció szállítója által megadott DKIM-tartományhoz tartozó tartomány a MAIL FROM címről (más néven 5321.MailFrom címről, P1 feladóról vagy borítékküldőről).
  • Legalább egy küldési IP-cím.
  • Nem e-mailes adathalászati szimulációk (például Microsoft Teams-üzenetek, Word dokumentumok vagy Excel-számolótáblák) esetén opcionálisan azonosíthatja a szimulációs URL-címeket, hogy azok ne legyenek valós fenyegetésként kezelve kattintáskor: az URL-címek nincsenek blokkolva vagy robbantva, és nem jönnek létre URL-kattintási riasztások vagy az ebből eredő incidensek. Az URL-címek a kattintáskor vannak burkolva, de nincsenek letiltva.

Legalább egy tartományon és egy küldési IP-címen egyezésnek kell lennie, de az értékek között nincs társítás.

Ha az MX rekord nem a Microsoft 365-höz mutat, a fejlécben lévő Authentication-results IP-címnek meg kell egyeznie a speciális kézbesítési szabályzatBAN szereplő IP-címmel. Ha az IP-címek nem egyeznek, előfordulhat, hogy konfigurálnia kell a továbbfejlesztett szűrést az összekötőkhöz , hogy a rendszer a megfelelő IP-címet észlelje.

Megjegyzés:

Az összekötők továbbfejlesztett szűrése összetett e-mail-útválasztási forgatókönyvekben nem működik külső adathalász szimulációk esetében (például az internetről érkező e-mailek a Microsoft 365-be, majd egy helyszíni környezetbe vagy külső biztonsági szolgáltatásba, majd vissza a Microsoft 365-be kerülnek). Az EOP nem tudja azonosítani az üzenetforrás valódi IP-címét. Ne próbálja megkerülni ezt a korlátozást úgy, hogy hozzáadja a helyszíni vagy külső küldő infrastruktúra IP-címeit a külső adathalász szimulációhoz. Ezzel hatékonyan megkerüli a levélszemétszűrést minden olyan internetes feladónál, aki megszemélyesíti a külső adathalászati szimulációban megadott tartományt.

Jelenleg a külső adathalászati szimulációk speciális kézbesítési szabályzata nem támogatja a szimulációkat ugyanazon a szervezeten belül (DIR:INT), különösen akkor, ha az e-maileket egy Exchange Server átjárón keresztül irányítják át a Microsoft 365 előtt a hibrid levelezési folyamatban. A probléma kerülő megoldásához az alábbi lehetőségek közül választhat:

  • Létrehozás egy dedikált küldési összekötőt, amely nem hitelesíti belsőként az adathalász szimulációs üzeneteket.
  • Konfigurálja az adathalász szimulációt úgy, hogy megkerülje a Exchange Server infrastruktúrát, és a leveleket közvetlenül a Microsoft 365 MX rekordhoz (például contoso-com.mail.protection.outlook.com) iránya.
  • Bár a levélszemét-ellenes házirendekben a szervezeten belüli üzenetek vizsgálatát Nincs értékre állíthatja, ezt a beállítást nem javasoljuk, mert ez hatással van más e-mail üzenetekre.

Ha a Beépített védelem előre beállított biztonsági házirendet használja, vagy az egyéni biztonságos hivatkozások házirendjeinél az URL-címek átírásának mellőzése, az ellenőrzések csak a SafeLinks API-val engedélyezve vannak, a kattintás elleni védelem ideje nem kezeli fenyegetésként az e-mailekben található adathalász szimulációs hivatkozásokat a Webes Outlook, az iOS Outlookban és az Android Outlookban, a Windows Outlook 16.0.15317.10000-as vagy újabb verziójában, és Mac Outlook v16.74.23061100 vagy újabb. Ha az Outlook régebbi verzióit használja, fontolja meg az URL-címek átírásának mellőzése beállítást, és csak az egyéni biztonságos hivatkozások házirendjeiben végezze el az ellenőrzést a SafeLinks API-val .

Ha adathalász szimulációs URL-címeket ad hozzá a Biztonságos hivatkozások házirendek E-mailekben ne írja át az alábbi URL-címeket szakaszhoz, az nemkívánatos riasztásokat eredményezhet az URL-kattintások esetén. Az e-mailek adathalászati szimulációs URL-címei automatikusan engedélyezve vannak az e-mail-forgalom során és a kattintáskor is.

A SecOps-postaládák speciális kézbesítési szabályzata jelenleg nem támogatja a szervezeten belüli üzeneteket (DIR:INT), és ezek az üzenetek karanténba kerülnek. Áthidaló megoldásként használhat külön levélszemét-ellenes házirendet olyan SecOps-postaládákhoz, amelyek nem karanténba helyezik a szervezeten belüli üzeneteket. Nem javasoljuk a szervezeten belüli védelem letiltását az összes postaládában.

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

    A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.

  2. Az Adathalászati szimuláció lapon válassza a Hozzáadás gombot a lap Nincs külső adathalász szimuláció konfigurált területén.

    Ha már vannak bejegyzések az Adathalászat szimulációja lapon, válassza a Szerkesztés lehetőséget (a Hozzáadás gomb nem érhető el).

  3. A megnyíló Külső adathalász szimulációk hozzáadása úszó panelen konfigurálja a következő beállításokat:

    • Tartomány: Bontsa ki ezt a beállítást, és adjon meg legalább egy e-mail-címtartományt. Ehhez kattintson a mezőbe, adjon meg egy értéket (például contoso.com), majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 50 bejegyzést adhat hozzá. Használja az alábbi értékek egyikét:

      • Az üzenet SMTP-továbbításához használt tartomány a címben 5321.MailFrom (más néven MAIL FROM cím, P1 feladó vagy borítékküldő).
      • Az adathalász szimuláció szállítója által megadott DKIM-tartomány.

    • IP-cím küldése: Bontsa ki ezt a beállítást, és adjon meg legalább egy érvényes IPv4-címet. Ehhez kattintson a mezőbe, írjon be egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 10 bejegyzést adhat hozzá. Az érvényes értékek a következők:

      • Egyetlen IP-cím: Például: 192.168.1.1.
      • IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
      • CIDR IP: Például: 192.168.0.1/25.

    • Engedélyezendő szimulációs URL-címek: Ez a beállítás nem szükséges az adathalász e-mail-szimulációk hivatkozásaihoz. Ezzel a beállítással opcionálisan azonosíthatja a nem e-mailes adathalász szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban lévő hivatkozásokban található hivatkozásokat), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

      Url-bejegyzések hozzáadásához bontsa ki ezt a beállítást, kattintson a mezőbe, adjon meg egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Legfeljebb 30 bejegyzést adhat hozzá. Az URL-szintaxist a Bérlői engedélyezési/tiltólista URL-szintaxisa című témakörben találja.

    Ha el szeretne távolítani egy meglévő tartományt, IP-címet vagy URL-címet, válassza az eltávolítás lehetőséget az érték mellett.

    Vegyük az alábbi példát:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    • A csatlakozó IP-cím a 172.17.17.7.
    • A MAIL FROM cím (smtp.mailfrom) tartománya contoso.com.
    • A DKIM-tartomány (header.d) contoso-simulation.com.

    A példában az alábbi kombinációk egyikével konfigurálhat egy külső adathalász szimulációt:

    Tartomány: contoso.com
    Ip-cím küldése: 172.17.17.7

    Tartomány: contoso-simulation.com
    Ip-cím küldése: 172.17.17.7

  4. Ha végzett a Harmadik féltől származó adathalász szimulációk hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.

  5. Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

Az Adathalászati szimuláció lapra visszatérve az Ön által konfigurált, harmadik féltől származó adathalász szimuláció bejegyzései a következők:

  • Az Érték oszlop tartalmazza a tartományt, az IP-címet vagy az URL-címet.
  • A Típus oszlop minden bejegyzéshez tartalmazza a Küldési IP-címet, a Tartományt vagy az Engedélyezett szimulációs URL-címet .
  • A Date (Dátum ) oszlopban látható, hogy mikor jött létre a bejegyzés.
  • Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Microsoft Defender portálon módosíthatja vagy eltávolíthatja a külső adathalász szimulációkat a speciális kézbesítési szabályzatban

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

    A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.

  2. Az Adathalászat szimulációja lapon válassza a Szerkesztés lehetőséget.

  3. A megnyíló Külső adathalász szimuláció szerkesztése úszó panelen adjon hozzá vagy távolítson el bejegyzéseket a Tartomány, az IP-cím küldése és a Szimulációs URL-címek esetében a Speciális kézbesítési szabályzat szakasz SecOps-postaládák konfigurálása az Microsoft Defender portálon című szakaszának 3. lépésében leírtak szerint.

    Az összes bejegyzés eltávolításához válassza az eltávolítás lehetőséget az egyes értékek mellett, amíg nincs több tartomány, IP-cím vagy URL-cím kijelölve.

  4. Ha végzett a Külső adathalász szimuláció szerkesztése úszó panelen, válassza a Mentés lehetőséget.

  5. Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

Az Adathalászati szimuláció lapra visszatérve megjelennek az Ön által konfigurált, harmadik féltől származó adathalász szimulációs bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.

További forgatókönyvek, amelyek szűrés megkerülését igénylik

A speciális kézbesítési szabályzat által támogatott két forgatókönyv mellett más forgatókönyvekben is előfordulhat, hogy meg kell kerülnie az üzenetek szűrését:

  • Külső szűrők: Ha a tartomány MX rekordja nem Office 365 mutat (az üzeneteket először máshová irányítja), alapértelmezés szerintnem érhető el biztonságos. Ha védelmet szeretne hozzáadni, engedélyeznie kell az összekötők továbbfejlesztett szűrését (más néven kihagyási listát). További információ: E-mail-forgalom kezelése külső felhőszolgáltatással Exchange Online. Ha nem szeretné az összekötők továbbfejlesztett szűrését, használjon levélforgalmi szabályokat (más néven átviteli szabályokat) az olyan üzenetek Microsoft-szűrésének megkerüléséhez, amelyeket már kiértékelt harmadik féltől származó szűrés. További információ: Az SCL beállítása levélforgalmi szabályokkal az üzenetekben.

  • Felülvizsgálat alatt álló téves pozitívok: Ideiglenesen engedélyezni szeretné a rendszergazdai beküldéseken keresztül jelentett rosszként (hamis pozitívként) azonosított jó üzeneteket, de az üzeneteket a Microsoft még elemzi. Mint minden felülbírálás esetében, javasoljuk , hogy ezek a kibocsátási egységek ideiglenesek legyenek.

PowerShell-eljárások SecOps-postaládákhoz a speciális kézbesítési szabályzatban

A PowerShellben a SecOps-postaládák alapvető elemei a speciális kézbesítési szabályzatban a következők:

  • A SecOps felülbírálási szabályzata: A *-SecOpsOverridePolicy parancsmagok vezérlik.
  • A SecOps felülbírálási szabálya: Az *-ExoSecOpsOverrideRule parancsmagok vezérlik.

Ennek a viselkedésnek a következő eredményei vannak:

  • Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
  • Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
  • Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.

SecOps-postaládák konfigurálása a PowerShell használatával

A SecOps-postaláda konfigurálása a Speciális kézbesítési szabályzatban a PowerShellben két lépésből áll:

  1. Létrehozás a SecOps felülbírálási szabályzatát.
  2. Létrehozás a SecOps felülbírálási szabályát, amely meghatározza azt a szabályzatot, amelyre a szabály vonatkozik.

1. lépés: A SecOps felülbírálási szabályzatának létrehozása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

A megadott Név értéktől függetlenül a házirend neve SecOpsOverridePolicy, így ezt az értéket is használhatja.

Ez a példa létrehozza a SecOps postaláda-házirendet.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Részletes szintaxis- és paraméterinformációkért lásd: New-SecOpsOverridePolicy.

2. lépés: A SecOps felülbírálási szabályának létrehozása a PowerShell használatával

Az Exchange Online PowerShellben futtassa a következő parancsot:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:SecOpsOverrid:<GUID\> , ahol <a GUID> egyedi GUID-érték (például 312c23cf-0377-4162-b93d-6548a9977efb9).

Részletes szintaxis- és paraméterinformációkért lásd: New-ExoSecOpsOverrideRule.

A SecOps felülbírálási szabályzatának megtekintése a PowerShell használatával

A Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egy és csak a SecOps postaláda-házirendről.

Get-SecOpsOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Get-SecOpsOverridePolicy.

SecOps-felülbírálási szabályok megtekintése a PowerShell használatával

A Exchange Online PowerShellben ez a példa részletes információkat ad vissza a SecOps felülbírálási szabályairól.

Get-ExoSecOpsOverrideRule

Bár az előző parancsnak csak egy szabályt kell visszaadnia, előfordulhat, hogy egy törlésre váró szabály is szerepel az eredmények között.

Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Miután azonosította az érvénytelen szabályokat, a Remove-ExoSecOpsOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.

Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoSecOpsOverrideRule.

A SecOps felülbírálási szabályzatának módosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Ez a példa hozzáadja secops2@contoso.com a SecOps felülbírálási szabályzatához.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Megjegyzés:

Ha létezik társított, érvényes SecOps-felülbírálási szabály, a szabályban szereplő e-mail-címek is frissülnek.

Részletes szintaxis- és paraméterinformációkért lásd: Set-SecOpsOverridePolicy.

SecOps-felülbírálási szabály módosítása a PowerShell használatával

A Set-ExoSecOpsOverrideRule parancsmag nem módosítja a SecOps felülbírálási szabályában szereplő e-mail-címeket. A SecOps felülbírálási szabályban szereplő e-mail-címek módosításához használja a Set-SecOpsOverridePolicy parancsmagot.

Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoSecOpsOverrideRule.

A SecOps felülbírálási szabályzatának eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben ez a példa eltávolítja a SecOps Postaláda házirendet és a megfelelő szabályt.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Remove-SecOpsOverridePolicy.

SecOps-felülbírálási szabályok eltávolítása a PowerShell használatával

A Exchange Online PowerShellben használja a következő parancsokat:

  • Távolítsa el a SecOps-felülbírálási szabályokat:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule

  • Távolítsa el a megadott SecOps felülbírálási szabályt:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"

Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoSecOpsOverrideRule.

PowerShell-eljárások külső adathalász szimulációkhoz a speciális kézbesítési szabályzatban

A PowerShellben a fejlett kézbesítési szabályzatban a külső adathalászati szimulációk alapvető elemei a következők:

  • Az adathalászati szimuláció felülbírálási szabályzata: A *-PhishSimOverridePolicy parancsmagok vezérlik.
  • Az adathalászati szimuláció felülbírálási szabálya: Az *-ExoPhishSimOverrideRule parancsmagok vezérlik.
  • Az engedélyezett (feloldott) adathalászszimulációs URL-címek: A *-TenantAllowBlockListItems parancsmagok vezérlik.

Megjegyzés:

Ahogy korábban említettem, az e-mail-alapú adathalászati szimulációkban lévő hivatkozásokhoz nincs szükség az URL-címek azonosítására. A nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban található hivatkozások) is azonosíthatja azokat a hivatkozásokat, amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

Ennek a viselkedésnek a következő eredményei vannak:

  • Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
  • A házirend és a szabály beállításait külön módosíthatja.
  • Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
  • Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.

Külső adathalász szimulációk konfigurálása a PowerShell használatával

Egy harmadik féltől származó adathalász szimuláció konfigurálása a PowerShellben egy többlépéses folyamat:

  1. Létrehozás az adathalász szimuláció felülbírálási szabályzatát.
  2. Létrehozás adathalászati szimuláció felülbírálási szabályát, amely a következőket határozza meg:
    • Az a szabályzat, amelyre a szabály vonatkozik.
    • Az adathalász szimulációs üzenetek forrás IP-címe.
  3. Igény szerint azonosíthatja az adathalász szimulációs URL-címeket a nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

1. lépés: Az adathalász szimuláció felülbírálási szabályzatának létrehozása a PowerShell használatával

Ez a példa Exchange Online PowerShellben létrehozza az adathalász szimuláció felülbírálási szabályzatát.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

A megadott Név értéktől függetlenül a szabályzat neve PhishSimOverridePolicy, így ezt az értéket is használhatja.

Részletes szintaxis- és paraméterinformációkért lásd: New-PhishSimOverridePolicy.

2. lépés: Az adathalász szimuláció felülbírálási szabályának létrehozása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:PhishSimOverr:<GUID\> , ahol <a GUID> egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).

Az érvényes IP-címbejegyzés az alábbi értékek egyike:

  • Egyetlen IP-cím: Például: 192.168.1.1.
  • IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
  • CIDR IP: Például: 192.168.0.1/25.

Ez a példa létrehozza az adathalász szimuláció felülbírálási szabályát a megadott beállításokkal.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Részletes szintaxis- és paraméterinformációkért lásd: New-ExoPhishSimOverrideRule.

3. lépés: (Nem kötelező) Az adathalász szimulációs URL-címek azonosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Az URL-szintaxissal kapcsolatos részletekért tekintse meg a bérlői engedélyezési/letiltáslista URL-szintaxisát ismertető cikket.

Ez a példa hozzáad egy URL-engedélyezési bejegyzést a megadott külső adathalász szimulációs URL-címhez lejárat nélkül.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.

Az adathalász szimuláció felülbírálási szabályzatának megtekintése a PowerShell használatával

Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egyetlen adathalászszimulációs felülbírálási szabályzatról.

Get-PhishSimOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Get-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak megtekintése a PowerShell használatával

A Exchange Online PowerShellben ez a példa részletes információkat ad vissza az adathalász szimuláció felülbírálási szabályairól.

Get-ExoPhishSimOverrideRule

Bár az előző parancsnak csak egy szabályt kell visszaadnia, a törlésre váró szabályok is megjelenhetnek az eredmények között.

Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Miután azonosította az érvénytelen szabályokat, a Remove-ExoPhishSimOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.

Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoPhishSimOverrideRule.

Az adathalász szimuláció engedélyezett URL-bejegyzéseinek megtekintése a PowerShell használatával

Az Exchange Online PowerShellben futtassa a következő parancsot:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.

Az adathalász szimuláció felülbírálási szabályzatának módosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Ez a példa letiltja az adathalász szimuláció felülbírálási szabályzatát.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Részletes szintaxis- és paraméterinformációkért lásd: Set-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak módosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

vagy

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

A Get-ExoPhishSimOverrideRule parancsmaggal keresse meg a <PhishSimOverrideRuleIdentity> értékeket. A szabály neve a következő szintaxist használja: _Exe:PhishSimOverr:<GUID\> [sic], ahol <a GUID> egy egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).

Ez a példa az (feltehetően csak) adathalász szimuláció felülbírálási szabályt módosítja az alábbi beállításokkal:

  • Adja hozzá a tartománybejegyzést blueyonderairlines.com.
  • Távolítsa el a 192.168.1.55 IP-címbejegyzést.

Ezek a módosítások nincsenek hatással a szabály meglévő bejegyzéseire.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoPhishSimOverrideRule.

Az adathalász szimuláció engedélyezett URL-címeinek módosítása a PowerShell használatával

Az URL-értékek nem módosíthatók közvetlenül. Eltávolíthatja a meglévő URL-bejegyzéseket, és új URL-bejegyzéseket adhat hozzá a jelen cikkben leírtak szerint.

Az Exchange Online PowerShellben az engedélyezett adathalász szimulációs URL-bejegyzések egyéb tulajdonságainak (például a lejárati dátumnak vagy a megjegyzéseknek) módosításához használja az alábbi szintaxist:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.

Ez a példa módosította a megadott bejegyzés lejárati dátumát.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.

Adathalászszimulációs felülbírálási szabályzat eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben ez a példa eltávolítja az adathalász szimuláció felülbírálási szabályzatát és a megfelelő szabályt.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Remove-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak eltávolítása a PowerShell használatával

A Exchange Online PowerShellben használja a következő parancsokat:

  • Távolítsa el az adathalász szimuláció felülbírálási szabályait:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule

  • Távolítsa el a megadott adathalász szimuláció felülbírálási szabályát:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"

Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoPhishSimOverrideRule.

Az adathalász szimulációs URL-címek engedélyezett bejegyzéseinek eltávolítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.

Ez a példa módosította a megadott bejegyzés lejárati dátumát.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.