Oktatás
Modul
This module examines how to manage Safe Links in your tenant by creating and configuring policies and using transport rules to disable a policy from taking effect in certain scenarios. MS-102
A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek SecOps-postaládákba történő kézbesítéséhez
Tipp.
Tudta, hogy ingyenesen kipróbálhatja Office 365-höz készült Microsoft Defender 2. csomag funkcióit? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
A szervezet biztonságának megőrzése érdekében a Exchange Online Védelmi szolgáltatás (EOP) nem engedélyezi a biztonságos listákat és a szűrési megkerülést a kártevőként vagy megbízható adathalászatként azonosított üzenetek esetében. Vannak azonban olyan forgatókönyvek, amelyekhez szűretlen üzenetek kézbesítése szükséges. Például:
- Külső adathalászati szimulációk: A szimulált támadások segíthetnek a sebezhető felhasználók azonosításában és betanításában, mielőtt egy valós támadás hatással lenne a szervezetre.
- Biztonsági műveletek (SecOps) postaládák: Dedikált postaládák, amelyeket a biztonsági csapatok a szűretlen üzenetek gyűjtésére és elemzésére használnak (jó és rossz egyaránt).
Az EOP speciális kézbesítési szabályzatával megakadályozhatja a bejövő üzenetek szűrését ezekben az esetekben ¹. A speciális kézbesítési szabályzat biztosítja, hogy ezekben a forgatókönyvekben az üzenetek a következő eredményeket érjék el:
- Az EOP és a Office 365-höz készült Defender szűrői nem hajtanak végre semmilyen műveletet ezeken az üzeneteken. A kártevőszűrés csak SecOps-postaládák esetén kerüli meg.
- A levélszemét és az adathalászat nulla órás végleges törlése (ZAP) nem hajt végre semmilyen műveletet ezeken az üzeneteken. A kártevők zap-fájlját csak a SecOps-postaládák esetében kerüli meg a rendszer.
- A biztonságos hivatkozások a Office 365-höz készült Defender nem blokkolják vagy robbantják fel a megadott URL-címeket ezekben az üzenetekben a kattintáskor. Az URL-címek továbbra is be vannak csomagolva, de nincsenek letiltva.
- A biztonságos mellékletek a Office 365-höz készült Defender nem robbantják fel a mellékleteket ezekben az üzenetekben.
- Ezekhez a forgatókönyvekhez nem aktiválódnak alapértelmezett rendszerriasztások.
- Az AIR és a fürtözés a Office 365-höz készült Defender figyelmen kívül hagyja ezeket az üzeneteket.
- Kifejezetten külső adathalász szimulációkhoz:
- Rendszergazda beküldés automatikus választ hoz létre, amely szerint az üzenet egy adathalász szimulációs kampány része, és nem valódi fenyegetés. A riasztások és az AIR nem aktiválódik. A rendszergazdai beküldési felület szimulált fenyegetésként jeleníti meg ezeket az üzeneteket.
- Ha egy felhasználó adathalász szimulációs üzenetet jelent az Outlook beépített Jelentés gombjának használatával, a rendszer nem hoz létre riasztást, vizsgálatot vagy incidenst. A hivatkozások vagy fájlok nem robbannak fel, de az üzenet megjelenik a Beküldések lap Felhasználó jelentett lapján.
A speciális kézbesítési szabályzat által azonosított üzenetek nem jelentenek biztonsági fenyegetést, ezért az üzenetek rendszer felülbírálásokkal vannak megjelölve. Rendszergazda felületek adathalász szimulációként vagy SecOps postaládarendszer-felülbírálásként jelenítik meg ezeket az üzeneteket. A rendszergazdák ezeket az értékeket használhatják az üzenetek szűrésére és elemzésére a következő szolgáltatásokban:
- Fenyegetéskezelő (Explorer) vagy valós idejű észlelések Office 365-höz készült Defender: A rendszergazdák szűrhetnek a rendszer felülbírálási forrására, és kiválaszthatják az Adathalász szimuláció vagy a SecOps-postaláda lehetőséget.
- Az Email entitáslap: A rendszergazdák megtekinthetik azOkat az üzeneteket, amelyeket a SecOps-postaláda vagy az adathalászati szimuláció engedélyezett a Szervezet házirendje által a Felülbírálás(ok) szakasz Bérlői felülbírálás szakaszában.
- A Veszélyforrások elleni védelem állapotjelentése: Rendszergazda szűrhet az adatok megtekintése alapján a legördülő menüben a Rendszer felülbírálása szerint, és kiválaszthatja az adathalász szimulációs rendszer felülbírálása miatt engedélyezett üzenetek megtekintését. A SecOps-postaláda felülbírálása által engedélyezett üzenetek megtekintéséhez a diagram ok szerinti legördülő listájában kiválaszthatja a diagram kézbesítési hely szerinti lebontását.
- Speciális veszélyforrás-keresés Végponthoz készült Microsoft Defender: Az adathalász szimuláció és a SecOps postaládarendszer-felülbírálások az OrgLevelPolicy beállításai az EmailEventsben.
- Kampánynézetek: Rendszergazda szűrhet a rendszer felülbírálási forrására, és kiválaszthatja az Adathalászati szimuláció vagy a SecOps-postaláda lehetőséget.
A Microsoft Defender portált a címen nyithatja meg.https://security.microsoft.com Ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Office 365-höz készült Defender az engedélyek Aktívak
. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).Email & együttműködési engedélyeket a Microsoft Defender portálon, és Exchange Online engedélyeket:
- Konfigurált beállítások létrehozása, módosítása vagy eltávolítása a speciális kézbesítési szabályzatban: Tagság a biztonsági rendszergazda szerepkörcsoportjaiban Email & együttműködési RBAC-ben, valamint tagság a szervezetfelügyeleti szerepkörcsoportban Exchange Online RBAC-ben.
-
Csak olvasási hozzáférés a speciális kézbesítési szabályzathoz: Tagság a globális olvasó vagy a biztonsági olvasó szerepkörcsoportban Email & együttműködési RBAC-ben.
- Csak megtekintésre használható szervezetkezelés Exchange Online RBAC-ben.
Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
SecOps-postaládák konfigurálása a speciális kézbesítési szabályzatban a Microsoft Defender portál használatával
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.
A SecOps postaláda lapon válassza a Hozzáadás gombot a lap Nincs SecOps-postaládák konfigurált területén.
Ha már vannak bejegyzések a SecOps postaláda lapon, válassza a Szerkesztés lehetőséget
(a Hozzáadás gomb nem érhető el).A megnyíló SecOps-postaládák hozzáadása úszó panelen adjon meg egy meglévő Exchange Online postaládát, amelyet SecOps-postaládaként szeretne kijelölni az alábbi lépések egyikével:
Kattintson a mezőbe, oldja fel a postaládák listáját, majd jelölje ki a postaládát.
Kattintson a mezőbe, és kezdje el beírni a postaláda azonosítóját (név, megjelenítendő név, alias, e-mail-cím, fióknév stb.), majd válassza ki a postaládát (megjelenítendő nevet) az eredmények közül.
Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. A terjesztési csoportok nem engedélyezettek.
Meglévő érték eltávolításához válassza az eltávolítás
lehetőséget az érték mellett.
Ha végzett a SecOps-postaládák hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.
Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
A SecOps postaláda lapra visszatérve az Ön által konfigurált SecOps-postaláda-bejegyzések a következők:
- A Megjelenítendő név oszlop a postaládák megjelenítendő nevét tartalmazza.
- A Email oszlop tartalmazza az egyes bejegyzések e-mail-címét.
- Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza
a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget
.
SecOps-postaládák módosítása vagy eltávolítása a speciális kézbesítési szabályzatban a Microsoft Defender portál használatával
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.
A SecOps postaláda lapon válassza a Szerkesztés lehetőséget
.A megnyíló SecOps-postaládák szerkesztése úszó panelen vegyen fel vagy távolítson el postaládákat a Speciális kézbesítési házirend szakasz A Microsoft Defender portál használata a SecOps-postaládák konfigurálásához című szakaszának 3. lépésében leírtak szerint.
Az összes postaláda eltávolításához válassza az eltávolítás
lehetőséget az egyes értékek mellett, amíg nincs több kijelölt postaláda.Ha végzett a SecOps-postaládák szerkesztése úszó panelen, válassza a Mentés lehetőséget.
Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
A SecOps postaláda lapra visszatérve megjelennek az Ön által konfigurált SecOps-postaláda-bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.
A Microsoft Defender portál használatával külső adathalász szimulációkat konfigurálhat a speciális kézbesítési szabályzatban
Külső adathalász szimuláció konfigurálásához meg kell adnia a következő információkat:
- Legalább egy tartomány: Az üzenet SMTP-továbbításához vagy az adathalász szimuláció szállítója által megadott DKIM-tartományhoz tartozó tartomány a MAIL FROM címről (más néven
5321.MailFromcímről, P1 feladóról vagy borítékküldőről). - Legalább egy küldési IP-cím.
- Nem e-mailes adathalászati szimulációk (például Microsoft Teams-üzenetek, Word dokumentumok vagy Excel-számolótáblák) esetén opcionálisan azonosíthatja a szimulációs URL-címeket, hogy azok ne legyenek valós fenyegetésként kezelve kattintáskor: az URL-címek nincsenek blokkolva vagy robbantva, és nem jönnek létre URL-kattintási riasztások vagy az ebből eredő incidensek. Az URL-címek a kattintáskor vannak burkolva, de nincsenek letiltva.
Legalább egy tartományon és egy küldési IP-címen egyezésnek kell lennie, de az értékek között nincs társítás.
Ha az MX rekord nem a Microsoft 365-höz mutat, a fejlécben lévő Authentication-results IP-címnek meg kell egyeznie a speciális kézbesítési szabályzatBAN szereplő IP-címmel. Ha az IP-címek nem egyeznek, előfordulhat, hogy konfigurálnia kell a továbbfejlesztett szűrést az összekötőkhöz , hogy a rendszer a megfelelő IP-címet észlelje.
Megjegyzés
Az összekötők továbbfejlesztett szűrése nem működik külső adathalászati szimulációk esetében olyan e-mail-útválasztási forgatókönyvekben, amelyekben az exchange-be kétszer érkező e-mailek (például a Microsoft 365-be, majd egy helyszíni környezetbe vagy külső biztonsági szolgáltatásba, majd vissza a Microsoft 365-be) érkező e-mailek. Az EOP nem tudja azonosítani az üzenetforrás valódi IP-címét. Ne próbálja megkerülni ezt a korlátozást úgy, hogy hozzáadja a helyszíni vagy külső küldő infrastruktúra IP-címeit a külső adathalász szimulációhoz. Ezzel hatékonyan megkerüli a levélszemétszűrést minden olyan internetes feladónál, aki megszemélyesíti a külső adathalászati szimulációban megadott tartományt. Az olyan útválasztási forgatókönyvek, amelyekben az MX rekord egy külső szolgáltatásra mutat, majd a levelek Exchange Online lesznek átirányítva, támogatottak, ha konfigurálva van az összekötők továbbfejlesztett szűrése.
Jelenleg a külső adathalászati szimulációk speciális kézbesítési szabályzata nem támogatja a szimulációkat ugyanazon a szervezeten belül (DIR:INT), különösen akkor, ha az e-maileket egy Exchange Server átjárón keresztül irányítják át a Microsoft 365 előtt a hibrid levelezési folyamatban. A probléma kerülő megoldásához az alábbi lehetőségek közül választhat:
- Hozzon létre egy dedikált Fogadó összekötőt , amely nem hitelesíti az adathalász szimulációs üzeneteket belsőként.
- Konfigurálja az adathalász szimulációt úgy, hogy megkerülje a Exchange Server infrastruktúrát, és a leveleket közvetlenül a Microsoft 365 MX rekordhoz (például contoso-com.mail.protection.outlook.com) iránya.
- Bár a levélszemét-ellenes házirendekben a szervezeten belüli üzenetek vizsgálatát Nincs értékre állíthatja, ezt a beállítást nem javasoljuk, mert ez hatással van más e-mail üzenetekre.
Ha a Beépített védelem előre beállított biztonsági házirendet használja, vagy az egyéni biztonságos hivatkozások házirendjeinél az URL-címek átírásának mellőzése, az ellenőrzések csak a SafeLinks API-val engedélyezve vannak, a kattintás elleni védelem ideje nem kezeli fenyegetésként az e-mailekben található adathalász szimulációs hivatkozásokat a Webes Outlook, az iOS Outlookban és az Android Outlookban, a Windows Outlook 16.0.15317.10000-as vagy újabb verziójában, és Mac Outlook v16.74 (23061100) vagy újabb verzió. Ha az Outlook régebbi verzióit használja, fontolja meg az URL-címek átírásának mellőzése beállítást, és csak az egyéni biztonságos hivatkozások házirendjeiben végezze el az ellenőrzést a SafeLinks API-val .
Ha adathalász szimulációs URL-címeket ad hozzá a Biztonságos hivatkozások házirendek E-mailekben ne írja át az alábbi URL-címeket szakaszhoz, az nemkívánatos riasztásokat eredményezhet az URL-kattintások esetén. Az e-mailek adathalászati szimulációs URL-címei automatikusan engedélyezve vannak az e-mail-forgalom során és a kattintáskor is.
A SecOps-postaládák speciális kézbesítési szabályzata jelenleg nem támogatja a szervezeten belüli üzeneteket (DIR:INT), és ezek az üzenetek karanténba kerülnek. Áthidaló megoldásként használhat külön levélszemét-ellenes házirendet olyan SecOps-postaládákhoz, amelyek nem karanténba helyezik a szervezeten belüli üzeneteket. Nem javasoljuk a szervezeten belüli védelem letiltását az összes postaládában.
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.
Az Adathalászati szimuláció lapon válassza a Hozzáadás gombot a lap Nincs külső adathalász szimuláció konfigurált területén.
Ha már vannak bejegyzések az Adathalászat szimulációja lapon, válassza a Szerkesztés lehetőséget
(a Hozzáadás gomb nem érhető el).A megnyíló Külső adathalász szimulációk hozzáadása úszó panelen konfigurálja a következő beállításokat:
Tartomány: Bontsa ki ezt a beállítást, és adjon meg legalább egy e-mail-címtartományt. Ehhez kattintson a mezőbe, adjon meg egy értéket (például contoso.com), majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 50 bejegyzést adhat hozzá. Használja az alábbi értékek egyikét:
- Az üzenet SMTP-továbbításához használt tartomány a címben
5321.MailFrom(más néven MAIL FROM cím, P1 feladó vagy borítékküldő). - Az adathalász szimuláció szállítója által megadott DKIM-tartomány.
- Az üzenet SMTP-továbbításához használt tartomány a címben
IP-cím küldése: Bontsa ki ezt a beállítást, és adjon meg legalább egy érvényes IPv4-címet. Ehhez kattintson a mezőbe, írjon be egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 10 bejegyzést adhat hozzá. Az érvényes értékek a következők:
- Egyetlen IP-cím: Például: 192.168.1.1.
- IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
- CIDR IP: Például: 192.168.0.1/25.
Engedélyezendő szimulációs URL-címek: Ez a beállítás nem szükséges az adathalász e-mail-szimulációk hivatkozásaihoz. Ezzel a beállítással opcionálisan azonosíthatja a nem e-mailes adathalász szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban lévő hivatkozásokban található hivatkozásokat), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.
Url-bejegyzések hozzáadásához bontsa ki ezt a beállítást, kattintson a mezőbe, adjon meg egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Legfeljebb 30 bejegyzést adhat hozzá. Az URL-szintaxist a Bérlői engedélyezési/tiltólista URL-szintaxisa című témakörben találja.
Ha el szeretne távolítani egy meglévő tartományt, IP-címet vagy URL-címet, válassza az eltávolítás
lehetőséget az érték mellett.Vegyük az alábbi példát:
textAuthentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;- A csatlakozó IP-cím a 172.17.17.7.
- A MAIL FROM cím (
smtp.mailfrom) tartománya contoso.com. - A DKIM-tartomány (
header.d) contoso-simulation.com.
A példában az alábbi kombinációk egyikével konfigurálhat egy külső adathalász szimulációt:
Tartomány: contoso.com
Ip-cím küldése: 172.17.17.7Tartomány: contoso-simulation.com
Ip-cím küldése: 172.17.17.7Ha végzett a Harmadik féltől származó adathalász szimulációk hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.
Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
Az Adathalászati szimuláció lapra visszatérve az Ön által konfigurált, harmadik féltől származó adathalász szimuláció bejegyzései a következők:
- Az Érték oszlop tartalmazza a tartományt, az IP-címet vagy az URL-címet.
- A Típus oszlop minden bejegyzéshez tartalmazza a Küldési IP-címet, a Tartományt vagy az Engedélyezett szimulációs URL-címet .
- A Date (Dátum ) oszlopban látható, hogy mikor jött létre a bejegyzés.
- Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.
A Microsoft Defender portálon módosíthatja vagy eltávolíthatja a külső adathalász szimulációkat a speciális kézbesítési szabályzatban
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrásokra vonatkozó szabályzatok>Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .
A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.
Az Adathalászat szimulációja lapon válassza a Szerkesztés lehetőséget
.A megnyíló Külső adathalász szimuláció szerkesztése úszó panelen adjon hozzá vagy távolítson el bejegyzéseket a Tartomány, az IP-cím küldése és a Szimulációs URL-címek esetében a Speciális kézbesítési szabályzat szakasz SecOps-postaládák konfigurálása az Microsoft Defender portálon című szakaszának 3. lépésében leírtak szerint.
Az összes bejegyzés eltávolításához válassza az eltávolítás
lehetőséget az egyes értékek mellett, amíg nincs több tartomány, IP-cím vagy URL-cím kijelölve.Ha végzett a Külső adathalász szimuláció szerkesztése úszó panelen, válassza a Mentés lehetőséget.
Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.
Az Adathalászati szimuláció lapra visszatérve megjelennek az Ön által konfigurált, harmadik féltől származó adathalász szimulációs bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.
A speciális kézbesítési szabályzat által támogatott két forgatókönyv mellett más forgatókönyvekben is előfordulhat, hogy meg kell kerülnie az üzenetek szűrését:
Külső szűrők: Ha a tartomány MX rekordja nem Office 365 mutat (az üzeneteket először máshová irányítja), alapértelmezés szerintnem érhető el biztonságos. Ha védelmet szeretne hozzáadni, engedélyeznie kell az összekötők továbbfejlesztett szűrését (más néven kihagyási listát). További információ: E-mail-forgalom kezelése külső felhőszolgáltatással Exchange Online. Ha nem szeretné az összekötők továbbfejlesztett szűrését, használjon levélforgalmi szabályokat (más néven átviteli szabályokat) az olyan üzenetek Microsoft-szűrésének megkerüléséhez, amelyeket már kiértékelt harmadik féltől származó szűrés. További információ: Az SCL beállítása levélforgalmi szabályokkal az üzenetekben.
Felülvizsgálat alatt álló téves pozitívok: Ideiglenesen engedélyezni szeretné a rendszergazdai beküldéseken keresztül jelentett rosszként (hamis pozitívként) azonosított jó üzeneteket, de az üzeneteket a Microsoft még elemzi. Mint minden felülbírálás esetében, javasoljuk , hogy ezek a kibocsátási egységek ideiglenesek legyenek.
A PowerShellben a SecOps-postaládák alapvető elemei a speciális kézbesítési szabályzatban a következők:
- A SecOps felülbírálási szabályzata: A *-SecOpsOverridePolicy parancsmagok vezérlik.
- A SecOps felülbírálási szabálya: Az *-ExoSecOpsOverrideRule parancsmagok vezérlik.
Ennek a viselkedésnek a következő eredményei vannak:
- Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
- Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
- Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.
A SecOps-postaláda konfigurálása a Speciális kézbesítési szabályzatban a PowerShellben két lépésből áll:
- Hozza létre a SecOps felülbírálási szabályzatát.
- Hozza létre a SecOps felülbírálási szabályt, amely meghatározza azt a szabályzatot, amelyre a szabály vonatkozik.
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
A megadott Név értéktől függetlenül a házirend neve SecOpsOverridePolicy, így ezt az értéket is használhatja.
Ez a példa létrehozza a SecOps postaláda-házirendet.
PowerShell
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Részletes szintaxis- és paraméterinformációkért lásd: New-SecOpsOverridePolicy.
Az Exchange Online PowerShellben futtassa a következő parancsot:
PowerShell
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:SecOpsOverrid:<GUID\> , ahol <a GUID> egyedi GUID-érték (például 312c23cf-0377-4162-b93d-6548a9977efb9).
Részletes szintaxis- és paraméterinformációkért lásd: New-ExoSecOpsOverrideRule.
A Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egy és csak a SecOps postaláda-házirendről.
PowerShell
Get-SecOpsOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Get-SecOpsOverridePolicy.
A Exchange Online PowerShellben ez a példa részletes információkat ad vissza a SecOps felülbírálási szabályairól.
PowerShell
Get-ExoSecOpsOverrideRule
Bár az előző parancsnak csak egy szabályt kell visszaadnia, előfordulhat, hogy egy törlésre váró szabály is szerepel az eredmények között.
Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.
PowerShell
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
Miután azonosította az érvénytelen szabályokat, a Remove-ExoSecOpsOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.
Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoSecOpsOverrideRule.
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Ez a példa hozzáadja secops2@contoso.com a SecOps felülbírálási szabályzatához.
PowerShell
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Megjegyzés
Ha létezik társított, érvényes SecOps-felülbírálási szabály, a szabályban szereplő e-mail-címek is frissülnek.
Részletes szintaxis- és paraméterinformációkért lásd: Set-SecOpsOverridePolicy.
A Set-ExoSecOpsOverrideRule parancsmag nem módosítja a SecOps felülbírálási szabályában szereplő e-mail-címeket. A SecOps felülbírálási szabályban szereplő e-mail-címek módosításához használja a Set-SecOpsOverridePolicy parancsmagot.
Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoSecOpsOverrideRule.
Az Exchange Online PowerShellben ez a példa eltávolítja a SecOps Postaláda házirendet és a megfelelő szabályt.
PowerShell
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Remove-SecOpsOverridePolicy.
A Exchange Online PowerShellben használja a következő parancsokat:
Távolítsa el a SecOps-felülbírálási szabályokat:
PowerShellGet-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRuleTávolítsa el a megadott SecOps felülbírálási szabályt:
PowerShellRemove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoSecOpsOverrideRule.
A PowerShellben a fejlett kézbesítési szabályzatban a külső adathalászati szimulációk alapvető elemei a következők:
- Az adathalászati szimuláció felülbírálási szabályzata: A *-PhishSimOverridePolicy parancsmagok vezérlik.
- Az adathalászati szimuláció felülbírálási szabálya: Az *-ExoPhishSimOverrideRule parancsmagok vezérlik.
- Az engedélyezett (feloldott) adathalászszimulációs URL-címek: A *-TenantAllowBlockListItems parancsmagok vezérlik.
Megjegyzés
Ahogy korábban említettem, az e-mail-alapú adathalászati szimulációkban lévő hivatkozásokhoz nincs szükség az URL-címek azonosítására. A nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban található hivatkozások) is azonosíthatja azokat a hivatkozásokat, amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.
Ennek a viselkedésnek a következő eredményei vannak:
- Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
- A házirend és a szabály beállításait külön módosíthatja.
- Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
- Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.
Egy harmadik féltől származó adathalász szimuláció konfigurálása a PowerShellben egy többlépéses folyamat:
- Hozza létre az adathalász szimuláció felülbírálási szabályzatát.
- Hozza létre az adathalász szimuláció felülbírálási szabályát, amely a következőket határozza meg:
- Az a szabályzat, amelyre a szabály vonatkozik.
- Az adathalász szimulációs üzenetek forrás IP-címe.
- Igény szerint azonosíthatja az adathalász szimulációs URL-címeket a nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.
1. lépés: Az adathalász szimuláció felülbírálási szabályzatának létrehozása a PowerShell használatával
Ez a példa Exchange Online PowerShellben létrehozza az adathalász szimuláció felülbírálási szabályzatát.
PowerShell
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
A megadott Név értéktől függetlenül a szabályzat neve PhishSimOverridePolicy, így ezt az értéket is használhatja.
Részletes szintaxis- és paraméterinformációkért lásd: New-PhishSimOverridePolicy.
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:PhishSimOverr:<GUID\> , ahol <a GUID> egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).
Az érvényes IP-címbejegyzés az alábbi értékek egyike:
- Egyetlen IP-cím: Például: 192.168.1.1.
- IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
- CIDR IP: Például: 192.168.0.1/25.
Ez a példa létrehozza az adathalász szimuláció felülbírálási szabályát a megadott beállításokkal.
PowerShell
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Részletes szintaxis- és paraméterinformációkért lásd: New-ExoPhishSimOverrideRule.
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Az URL-szintaxissal kapcsolatos részletekért tekintse meg a bérlői engedélyezési/letiltáslista URL-szintaxisát ismertető cikket.
Ez a példa hozzáad egy URL-engedélyezési bejegyzést a megadott külső adathalász szimulációs URL-címhez lejárat nélkül.
PowerShell
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.
Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egyetlen adathalászszimulációs felülbírálási szabályzatról.
PowerShell
Get-PhishSimOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Get-PhishSimOverridePolicy.
A Exchange Online PowerShellben ez a példa részletes információkat ad vissza az adathalász szimuláció felülbírálási szabályairól.
PowerShell
Get-ExoPhishSimOverrideRule
Bár az előző parancsnak csak egy szabályt kell visszaadnia, a törlésre váró szabályok is megjelenhetnek az eredmények között.
Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.
PowerShell
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
Miután azonosította az érvénytelen szabályokat, a Remove-ExoPhishSimOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.
Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoPhishSimOverrideRule.
Az Exchange Online PowerShellben futtassa a következő parancsot:
PowerShell
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
Ez a példa letiltja az adathalász szimuláció felülbírálási szabályzatát.
PowerShell
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Részletes szintaxis- és paraméterinformációkért lásd: Set-PhishSimOverridePolicy.
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
vagy
PowerShell
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
A Get-ExoPhishSimOverrideRule parancsmaggal keresse meg a <PhishSimOverrideRuleIdentity> értékeket. A szabály neve a következő szintaxist használja: _Exe:PhishSimOverr:<GUID\> [sic], ahol <a GUID> egy egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).
Ez a példa az (feltehetően csak) adathalász szimuláció felülbírálási szabályt módosítja az alábbi beállításokkal:
- Adja hozzá a tartománybejegyzést blueyonderairlines.com.
- Távolítsa el a 192.168.1.55 IP-címbejegyzést.
Ezek a módosítások nincsenek hatással a szabály meglévő bejegyzéseire.
PowerShell
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoPhishSimOverrideRule.
Az URL-értékek nem módosíthatók közvetlenül. Eltávolíthatja a meglévő URL-bejegyzéseket, és új URL-bejegyzéseket adhat hozzá a jelen cikkben leírtak szerint.
Az Exchange Online PowerShellben az engedélyezett adathalász szimulációs URL-bejegyzések egyéb tulajdonságainak (például a lejárati dátumnak vagy a megjegyzéseknek) módosításához használja az alábbi szintaxist:
PowerShell
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.
Ez a példa módosította a megadott bejegyzés lejárati dátumát.
PowerShell
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.
Az Exchange Online PowerShellben ez a példa eltávolítja az adathalász szimuláció felülbírálási szabályzatát és a megfelelő szabályt.
PowerShell
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Részletes szintaxis- és paraméterinformációkért lásd: Remove-PhishSimOverridePolicy.
A Exchange Online PowerShellben használja a következő parancsokat:
Távolítsa el az adathalász szimuláció felülbírálási szabályait:
PowerShellGet-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRuleTávolítsa el a megadott adathalász szimuláció felülbírálási szabályát:
PowerShellRemove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoPhishSimOverrideRule.
Az adathalász szimulációs URL-címek engedélyezett bejegyzéseinek eltávolítása a PowerShell használatával
A Exchange Online PowerShellben használja az alábbi szintaxist:
PowerShell
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.
Ez a példa módosította a megadott bejegyzés lejárati dátumát.
PowerShell
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.
További források
Dokumentáció
-
Manage submissions - Microsoft Defender for Office 365
Admins can learn how to use the Submissions page in the Microsoft Defender portal to submit messages, URLs, and email attachments to Microsoft for analysis. Reasons for submission include: legitimate messages that were blocked, suspicious messages that were allowed, suspected phishing email, spam, malware, and other potentially harmful messages.
-
Configure the default connection filter policy - Microsoft Defender for Office 365
Admins can learn how to configure connection filtering in Exchange Online Protection (EOP) to allow or block emails from email servers.
-
Manage allows and blocks in the Tenant Allow/Block List - Microsoft Defender for Office 365
Learn about allow entries and block entries in the Tenant Allow/Block List in the Microsoft 365 Defender portal.