A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek SecOps-postaládákba történő kézbesítéséhez

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft 365 Defender 2. csomagjának funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft 365 Defender portál próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A következőkre vonatkozik:

• Exchange Online Védelmi szolgáltatás
• Office 365-höz készült Microsoft Defender 1. és 2. csomag
• Microsoft 365 Defender

A szervezet biztonságának megőrzése érdekében a Exchange Online Védelmi szolgáltatás (EOP) nem engedélyezi a biztonságos listákat és a szűrési megkerülést a kártevőként vagy megbízható adathalászatként azonosított üzenetek esetében. Vannak azonban olyan forgatókönyvek, amelyekhez szűretlen üzenetek kézbesítése szükséges. Például:

• Külső adathalászati szimulációk: A szimulált támadások segíthetnek azonosítani a sebezhető felhasználókat, mielőtt egy valós támadás hatással lenne a szervezetre.
• Biztonsági műveletek (SecOps) postaládák: Dedikált postaládák, amelyeket a biztonsági csapatok a szűretlen üzenetek gyűjtésére és elemzésére használnak (jó és rossz egyaránt).

A Microsoft 365 speciális kézbesítési szabályzatával megakadályozhatja a bejövő üzenetek szűrését ezekben az esetekben ¹. A speciális kézbesítési szabályzat biztosítja, hogy ezekben a forgatókönyvekben az üzenetek a következő eredményeket érjék el:

• Az EOP és a Office 365-höz készült Defender szűrői nem hajtanak végre semmilyen műveletet ezeken az üzeneteken.¹
• A levélszemét és az adathalászat nulla órás kiürítése (ZAP) nem hajt végre semmilyen műveletet ezeken az üzeneteken².
• Ezekhez a forgatókönyvekhez nem aktiválódnak alapértelmezett rendszerriasztások.
• Az AIR és a fürtözés a Office 365-höz készült Defender figyelmen kívül hagyja ezeket az üzeneteket.
• Kifejezetten külső adathalász szimulációkhoz:
  • Rendszergazda beküldések automatikus választ hoznak létre, amely szerint az üzenet egy adathalász szimulációs kampány része, és nem valódi fenyegetés. A riasztások és az AIR nem aktiválódik. A rendszergazdai beküldési felület szimulált fenyegetésként jeleníti meg ezeket az üzeneteket.
  • Ha egy felhasználó adathalász szimulációs üzenetet jelent a Webes Outlook beépített Jelentés gombja vagy a Microsoft Report Message vagy Report Phishing bővítmények használatával, a rendszer nem hoz létre riasztást, vizsgálatot vagy incidenst. A hivatkozások vagy fájlok nem robbannak fel, de az üzenet megjelenik a Beküldések lap Felhasználó jelentett lapján.
  • A biztonságos hivatkozások a Office 365-höz készült Defender nem blokkolják vagy robbantják fel a megadott URL-címeket ezekben az üzenetekben a kattintáskor. Az URL-címek továbbra is be vannak csomagolva, de nincsenek letiltva.
  • A biztonságos mellékletek a Office 365-höz készült Defender nem robbantják fel a mellékleteket ezekben az üzenetekben.

¹ Nem kerülheti meg a kártevők szűrését.

² Megkerülheti a KÁRTEVŐK ZAP-ját, ha létrehoz egy kártevőirtó házirendet a SecOps-postaládához, ahol a kártevő ZAP ki van kapcsolva. Útmutatásért lásd: Kártevőirtó házirendek konfigurálása az EOP-ban.

A speciális kézbesítési szabályzat által azonosított üzenetek nem jelentenek biztonsági fenyegetést, ezért az üzenetek rendszer felülbírálásokkal vannak megjelölve. Rendszergazda felületek adathalász szimulációként vagy SecOps postaládarendszer-felülbírálásként jelenítik meg ezeket az üzeneteket. A rendszergazdák az alábbi felületeken szűrhetik és elemezhetik a rendszer felülbírálásait:

• Fenyegetéskezelő/valós idejű észlelések Office 365-höz készült Defender 2. csomagban: Rendszergazda szűrhet a rendszer felülbírálási forrására, és kiválaszthatja az Adathalász szimuláció vagy a SecOps-postaláda lehetőséget.
• Az Email entitás lapja a Fenyegetéskezelőben/Valós idejű észlelések: Rendszergazda megtekintheti azokat az üzeneteket, amelyeket a szervezet házirendje engedélyezett a SecOps-postaláda vagy az Adathalászat szimulációban a Felülbírálás(ok) szakasz Bérlői felülbírálás szakaszában.
• A Veszélyforrások elleni védelem állapotjelentése: Rendszergazda szűrhet az adatok megtekintése alapján a legördülő menüben a Rendszer felülbírálása szerint, és kiválaszthatja az adathalász szimulációs rendszer felülbírálása miatt engedélyezett üzenetek megtekintését. A SecOps-postaláda felülbírálása által engedélyezett üzenetek megtekintéséhez a diagram ok szerinti legördülő listájában kiválaszthatja a diagram kézbesítési hely szerinti lebontását.
• Speciális veszélyforrás-keresés Végponthoz készült Microsoft Defender: Az adathalász szimuláció és a SecOps postaládarendszer-felülbírálások az OrgLevelPolicy beállításai az EmailEventsben.
• Kampánynézetek: Rendszergazda szűrhet a rendszer felülbírálási forrására, és kiválaszthatja az Adathalászati szimuláció vagy a SecOps-postaláda lehetőséget.

Mit kell tudnia a kezdés előtt?

• A Microsoft 365 Defender portált a címen nyithatja meghttps://security.microsoft.com. Ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, nyissa meg a következőt https://security.microsoft.com/advanceddelivery: .

• Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez.

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

  • & Email együttműködési RBAC-t a Microsoft 365 Defender portálon és Exchange Online RBAC-ben:
    • Konfigurált beállítások létrehozása, módosítása vagy eltávolítása a speciális kézbesítési szabályzatban: Tagság a biztonsági rendszergazda szerepkörcsoportjaiban Email & együttműködési RBAC-ben és tagság az Exchange Online RBAC Szervezetkezelés szerepkörcsoportjában.
    • Csak olvasási hozzáférés a speciális kézbesítési szabályzathoz: Tagság a globális olvasó vagy a biztonsági olvasó szerepkörcsoportban Email & együttműködési RBAC-ben.
      • Csak megtekintésre használható szervezetkezelés Exchange Online RBAC-ben.
  • Azure AD RBAC: A globális rendszergazdai, biztonsági rendszergazdai, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználók számára a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

A Microsoft 365 Defender portál használatával konfigurálhatja a SecOps-postaládákat a speciális kézbesítési szabályzatban

1. A Microsoft 365 Defender portálon https://security.microsoft.comlépjen a Email & Együttműködési>szabályzatok & szabályai>Fenyegetési szabályzatok>Speciális teljesítésszakaszhoz a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.

2. A SecOps postaláda lapon válassza a Hozzáadás gombot a lap Nincs SecOps-postaládák konfigurált területén.

   Ha már vannak bejegyzések a SecOps postaláda lapon, válassza a Szerkesztés lehetőséget (a Hozzáadás gomb nem érhető el).

3. A megnyíló SecOps-postaládák hozzáadása úszó panelen adjon meg egy meglévő Exchange Online postaládát, amelyet SecOps-postaládaként szeretne kijelölni az alábbi lépések egyikével:

   • Kattintson a mezőbe, oldja fel a postaládák listáját, majd jelölje ki a postaládát.

   • Kattintson a mezőbe, és kezdje el beírni a postaláda azonosítóját (név, megjelenítendő név, alias, e-mail-cím, fióknév stb.), majd válassza ki a postaládát (megjelenítendő nevet) az eredmények közül.

     Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. A terjesztési csoportok nem engedélyezettek.

     Meglévő érték eltávolításához válassza az eltávolítás lehetőséget az érték mellett.

4. Ha végzett a SecOps-postaládák hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.

5. Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

A SecOps postaláda lapra visszatérve az Ön által konfigurált SecOps-postaláda-bejegyzések a következők:

• A Megjelenítendő név oszlop a postaládák megjelenítendő nevét tartalmazza.
• A Email oszlop tartalmazza az egyes bejegyzések e-mail-címét.
• Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Microsoft 365 Defender portál használatával módosíthatja vagy eltávolíthatja a SecOps-postaládákat a speciális kézbesítési szabályzatban

1. A Microsoft 365 Defender portálon https://security.microsoft.comlépjen a Email & Együttműködési>szabályzatok & szabályai>Fenyegetési szabályzatok>Speciális teljesítésszakaszhoz a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.

2. A SecOps postaláda lapon válassza a Szerkesztés lehetőséget.

3. A megnyíló SecOps-postaládák szerkesztése úszó panelen vegyen fel vagy távolítson el postaládákat a Speciális kézbesítési házirend szakasz A Microsoft 365 Defender portál használata secOps-postaládák konfigurálásához című szakaszának 3. lépésében leírtak szerint.

   Az összes postaláda eltávolításához válassza az eltávolítás lehetőséget az egyes értékek mellett, amíg nincs több kijelölt postaláda.

4. Ha végzett a SecOps-postaládák szerkesztése úszó panelen, válassza a Mentés lehetőséget.

5. Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

A SecOps postaláda lapra visszatérve megjelennek az Ön által konfigurált SecOps-postaláda-bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.

A Microsoft 365 Defender portál használatával külső adathalász szimulációkat konfigurálhat a speciális kézbesítési szabályzatban

Megjegyzés:

Külső adathalász szimuláció konfigurálásához meg kell adnia a következő információkat:

• Legalább egy tartomány.
• Legalább egy küldési IP-cím.
• Nem e-mailes adathalászati szimulációk (például Microsoft Teams-üzenetek, Word dokumentumok vagy Excel-számolótáblák) esetén opcionálisan azonosíthatja a szimulációs URL-címeket, hogy azok ne legyenek valós fenyegetésként kezelve kattintáskor: az URL-címek nincsenek blokkolva vagy robbantva, és nem jönnek létre URL-kattintási riasztások vagy az ebből eredő incidensek. Az URL-címek a kattintáskor vannak burkolva, de nincsenek letiltva.

Legalább egy tartományon és egy küldési IP-címen egyezésnek kell lennie, de az értékek között nincs társítás.

Ha az MX rekord nem a Microsoft 365-höz mutat, a fejlécben lévő Authentication-results IP-címnek meg kell egyeznie a speciális kézbesítési szabályzatBAN szereplő IP-címmel. Ha az IP-címek nem egyeznek, előfordulhat, hogy konfigurálnia kell a továbbfejlesztett szűrést az összekötőkhöz , hogy a rendszer a megfelelő IP-címet észlelje.

1. A Microsoft 365 Defender portálon https://security.microsoft.comlépjen a Email & Együttműködési>szabályzatok & szabályai>Fenyegetési szabályzatok>Speciális teljesítésszakaszhoz a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.

2. Az Adathalászati szimuláció lapon válassza a Hozzáadás gombot a lap Nincs külső adathalász szimuláció konfigurált területén.

   Ha már vannak bejegyzések az Adathalászat szimulációja lapon, válassza a Szerkesztés lehetőséget (a Hozzáadás gomb nem érhető el).

3. A megnyíló Külső adathalász szimulációk hozzáadása úszó panelen konfigurálja a következő beállításokat:

   • Tartomány: Bontsa ki ezt a beállítást, és adjon meg legalább egy e-mail-címtartományt. Ehhez kattintson a mezőbe, adjon meg egy értéket (például contoso.com), majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 20 bejegyzést adhat hozzá.

     Megjegyzés:

     Használja a tartományt az 5321.MailFrom üzenet SMTP-továbbításához használt címben (más néven MAIL FROM cím, P1 feladó vagy borítékküldő) vagy egy DKIM-tartományban, az adathalász szimuláció szállítója által megadott módon.

   • IP-cím küldése: Bontsa ki ezt a beállítást, és adjon meg legalább egy érvényes IPv4-címet. Ehhez kattintson a mezőbe, írjon be egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 10 bejegyzést adhat hozzá. Az érvényes értékek a következők:

     • Egyetlen IP-cím: Például: 192.168.1.1.
     • IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
     • CIDR IP: Például: 192.168.0.1/25.

   • Engedélyezendő szimulációs URL-címek: Ez a beállítás nem szükséges az adathalász e-mail-szimulációk hivatkozásaihoz. Ezzel a beállítással opcionálisan azonosíthatja a nem e-mailes adathalász szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban lévő hivatkozásokban található hivatkozásokat), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

     Url-bejegyzések hozzáadásához bontsa ki ezt a beállítást, kattintson a mezőbe, adjon meg egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Legfeljebb 30 bejegyzést adhat hozzá. Az URL-szintaxist a Bérlői engedélyezési/tiltólista URL-szintaxisa című témakörben találja.

   Ha el szeretne távolítani egy meglévő tartományt, IP-címet vagy URL-címet, válassza az eltávolítás lehetőséget az érték mellett.

4. Ha végzett a Harmadik féltől származó adathalász szimulációk hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.

5. Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

Az Adathalászati szimuláció lapra visszatérve az Ön által konfigurált, harmadik féltől származó adathalász szimuláció bejegyzései a következők:

• Az Érték oszlop tartalmazza a tartományt, az IP-címet vagy az URL-címet.
• A Típus oszlop minden bejegyzéshez tartalmazza a Küldési IP-címet, a Tartományt vagy az Engedélyezett szimulációs URL-címet .
• A Date (Dátum ) oszlopban látható, hogy mikor jött létre a bejegyzés.
• Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Microsoft 365 Defender portál használata külső adathalász szimulációk módosítására vagy eltávolítására a speciális kézbesítési szabályzatban

1. A Microsoft 365 Defender portálon https://security.microsoft.comlépjen a Email & Együttműködési>szabályzatok & szabályai>Fenyegetési szabályzatok>Speciális teljesítésszakaszhoz a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.

2. Az Adathalászat szimulációja lapon válassza a Szerkesztés lehetőséget.

3. A megnyíló külső adathalász szimuláció szerkesztése úszó panelen adja hozzá vagy távolítsa el a Tartomány, az IP-cím küldése és a Szimulációs URL-címek bejegyzéseit a Speciális kézbesítési házirend szakasz SecOps-postaládák konfigurálása a Microsoft 365 Defender portálon című szakaszának 3. lépésében leírtak szerint.

   Az összes bejegyzés eltávolításához válassza az eltávolítás lehetőséget az egyes értékek mellett, amíg nincs több tartomány, IP-cím vagy URL-cím kijelölve.

4. Ha végzett a Külső adathalász szimuláció szerkesztése úszó panelen, válassza a Mentés lehetőséget.

5. Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

Az Adathalászati szimuláció lapra visszatérve megjelennek az Ön által konfigurált, harmadik féltől származó adathalász szimulációs bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.

További forgatókönyvek, amelyek szűrés megkerülését igénylik

A speciális kézbesítési szabályzat által támogatott két forgatókönyv mellett más forgatókönyvekben is előfordulhat, hogy meg kell kerülnie az üzenetek szűrését:

• Külső szűrők: Ha a tartomány MX rekordja nem Office 365 mutat (az üzeneteket először máshová irányítja), alapértelmezés szerintnem érhető el biztonságos. Ha védelmet szeretne hozzáadni, engedélyeznie kell az összekötők továbbfejlesztett szűrését (más néven kihagyási listát). További információ: E-mail-forgalom kezelése külső felhőszolgáltatással Exchange Online. Ha nem szeretné az összekötők továbbfejlesztett szűrését, használjon levélforgalmi szabályokat (más néven átviteli szabályokat) az olyan üzenetek Microsoft-szűrésének megkerüléséhez, amelyeket már kiértékelt harmadik féltől származó szűrés. További információ: Az SCL beállítása levélforgalmi szabályokkal az üzenetekben.

• Felülvizsgálat alatt álló téves pozitívok: Ideiglenesen engedélyezni szeretné a rendszergazdai beküldéseken keresztül jelentett rosszként (hamis pozitívként) azonosított jó üzeneteket, de az üzeneteket a Microsoft még elemzi. Mint minden felülbírálás esetében, javasoljuk , hogy ezek a kibocsátási egységek ideiglenesek legyenek.

PowerShell-eljárások SecOps-postaládákhoz a speciális kézbesítési szabályzatban

A PowerShellben a SecOps-postaládák alapvető elemei a speciális kézbesítési szabályzatban a következők:

• A SecOps felülbírálási szabályzata: A *-SecOpsOverridePolicy parancsmagok vezérlik.
• A SecOps felülbírálási szabálya: A *-SecOpsOverrideRule parancsmagok vezérlik.

Ennek a viselkedésnek a következő eredményei vannak:

• Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
• Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
• Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.

SecOps-postaládák konfigurálása a PowerShell használatával

A SecOps-postaláda konfigurálása a Speciális kézbesítési szabályzatban a PowerShellben két lépésből áll:

1. Hozza létre a SecOps felülbírálási szabályzatát.
2. Hozza létre a SecOps felülbírálási szabályt, amely meghatározza azt a szabályzatot, amelyre a szabály vonatkozik.

1. lépés: A SecOps felülbírálási szabályzatának létrehozása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

A megadott Név értéktől függetlenül a házirend neve SecOpsOverridePolicy, így ezt az értéket is használhatja.

Ez a példa létrehozza a SecOps postaláda-házirendet.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Részletes szintaxis- és paraméterinformációkért lásd: New-SecOpsOverridePolicy.

2. lépés: A SecOps felülbírálási szabályának létrehozása a PowerShell használatával

Az Exchange Online PowerShellben futtassa a következő parancsot:

New-SecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

A megadott Név értéktől függetlenül a szabály neve SecOpsOverrideRule<GUID> , ahol <a GUID> egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).

Részletes szintaxis- és paraméterinformációkért lásd: New-SecOpsOverrideRule.

A SecOps felülbírálási szabályzatának megtekintése a PowerShell használatával

A Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egy és csak a SecOps postaláda-házirendről.

Get-SecOpsOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Get-SecOpsOverridePolicy.

SecOps-felülbírálási szabályok megtekintése a PowerShell használatával

A Exchange Online PowerShellben ez a példa részletes információkat ad vissza a SecOps felülbírálási szabályairól.

Get-SecOpsOverrideRule

Bár az előző parancsnak csak egy szabályt kell visszaadnia, a törlésre váró szabályok is megjelenhetnek az eredmények között.

Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.

Get-SecOpsOverrideRule | Format-Table Name,Mode

Miután azonosította az érvénytelen szabályokat, a Remove-SecOpsOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.

Részletes szintaxis- és paraméterinformációkért lásd: Get-SecOpsOverrideRule.

A SecOps felülbírálási szabályzatának módosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Ez a példa hozzáadja secops2@contoso.com a SecOps felülbírálási szabályzatához.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Megjegyzés:

Ha létezik társított, érvényes SecOps-felülbírálási szabály, a szabályban szereplő e-mail-címek is frissülnek.

Részletes szintaxis- és paraméterinformációkért lásd: Set-SecOpsOverridePolicy.

SecOps-felülbírálási szabály módosítása a PowerShell használatával

A Set-SecOpsOverrideRule parancsmag nem módosítja az e-mail-címeket a SecOps felülbírálási szabályában. A SecOps felülbírálási szabályban szereplő e-mail-címek módosításához használja a Set-SecOpsOverridePolicy parancsmagot.

Részletes szintaxis- és paraméterinformációkért lásd: Set-SecOpsOverrideRule.

A SecOps felülbírálási szabályzatának eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben ez a példa eltávolítja a SecOps Postaláda házirendet és a megfelelő szabályt.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Remove-SecOpsOverridePolicy.

SecOps-felülbírálási szabályok eltávolítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Remove-SecOpsOverrideRule -Identity <RuleIdentity>

Ez a példa eltávolítja a megadott SecOps felülbírálási szabályt.

Remove-SecOpsOverrideRule -Identity SecOpsOverrideRule6fed4b63-3563-495d-a481-b24a311f8329

Részletes szintaxis- és paraméterinformációkért lásd: Remove-SecOpsOverrideRule.

PowerShell-eljárások külső adathalász szimulációkhoz a speciális kézbesítési szabályzatban

A PowerShellben a fejlett kézbesítési szabályzatban a külső adathalászati szimulációk alapvető elemei a következők:

• Az adathalászati szimuláció felülbírálási szabályzata: A *-PhishSimOverridePolicy parancsmagok vezérlik.
• Az adathalászati szimuláció felülbírálási szabálya: A *-PhishSimOverrideRule parancsmagok vezérlik.
• Az engedélyezett (feloldott) adathalászszimulációs URL-címek: A *-TenantAllowBlockListItems parancsmagok vezérlik.

Megjegyzés:

Ahogy korábban említettem, az e-mail-alapú adathalászati szimulációkban lévő hivatkozásokhoz nincs szükség az URL-címek azonosítására. A nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban található hivatkozások) is azonosíthatja azokat a hivatkozásokat, amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

Ennek a viselkedésnek a következő eredményei vannak:

• Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
• A házirend és a szabály beállításait külön módosíthatja.
• Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
• Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.

Külső adathalász szimulációk konfigurálása a PowerShell használatával

Egy harmadik féltől származó adathalász szimuláció konfigurálása a PowerShellben egy többlépéses folyamat:

1. Hozza létre az adathalász szimuláció felülbírálási szabályzatát.
2. Hozza létre az adathalász szimuláció felülbírálási szabályát, amely a következőket határozza meg:
   • Az a szabályzat, amelyre a szabály vonatkozik.
   • Az adathalász szimulációs üzenetek forrás IP-címe.
3. Igény szerint azonosíthatja az adathalász szimulációs URL-címeket a nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

1. lépés: Az adathalász szimuláció felülbírálási szabályzatának létrehozása a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben ez a példa hozza létre az adathalász szimuláció felülbírálási szabályzatát.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

A megadott Név értéktől függetlenül a szabályzat neve PhishSimOverridePolicy, így ezt az értéket is használhatja.

Részletes szintaxis- és paraméterinformációkért lásd: New-PhishSimOverridePolicy.

2. lépés: Az adathalász szimuláció felülbírálási szabályának létrehozása a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben használja a következő szintaxist:

New-PhishSimOverrideRule -Name PhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

A megadott Név értéktől függetlenül a szabály neve PhishSimOverrideRule<GUID> , ahol <a GUID> egyedi GUID-érték (például a0eae53e-d755-4a42-9320-b9c6b55c5011).

Az érvényes IP-címbejegyzés az alábbi értékek egyike:

• Egyetlen IP-cím: Például: 192.168.1.1.
• IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
• CIDR IP: Például: 192.168.0.1/25.

Ez a példa létrehozza az adathalász szimuláció felülbírálási szabályát a megadott beállításokkal.

New-PhishSimOverrideRule -Name PhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Részletes szintaxis- és paraméterinformációkért lásd: New-PhishSimOverrideRule.

3. lépés: (Nem kötelező) Az adathalász szimulációs URL-címek azonosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Az URL-szintaxissal kapcsolatos részletekért tekintse meg a bérlői engedélyezési/letiltáslista URL-szintaxisát ismertető cikket.

Ez a példa hozzáad egy URL-engedélyezési bejegyzést a megadott külső adathalász szimulációs URL-címhez lejárat nélkül.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.

Az adathalász szimuláció felülbírálási szabályzatának megtekintése a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben ez a példa részletes információkat ad vissza az egyetlen adathalászszimulációs felülbírálási szabályzatról.

Get-PhishSimOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Get-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak megtekintése a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben ez a példa részletes információkat ad vissza az adathalász szimuláció felülbírálási szabályairól.

Get-PhishSimOverrideRule

Bár az előző parancsnak csak egy szabályt kell visszaadnia, a törlésre váró szabályok is megjelenhetnek az eredmények között.

Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.

Get-PhishSimOverrideRule | Format-Table Name,Mode

Az érvénytelen szabályok azonosítása után a Remove-PhishSimOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.

Részletes szintaxis- és paraméterinformációkért lásd: Get-PhishSimOverrideRule.

Az adathalász szimuláció engedélyezett URL-bejegyzéseinek megtekintése a PowerShell használatával

Az Exchange Online PowerShellben futtassa a következő parancsot:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.

Az adathalász szimuláció felülbírálási szabályzatának módosítása a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben használja a következő szintaxist:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Ez a példa letiltja az adathalász szimuláció felülbírálási szabályzatát.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Részletes szintaxis- és paraméterinformációkért lásd: Set-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak módosítása a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben használja a következő szintaxist:

Set-PhishSimOverrideRule -Identity PhishSimOverrideRulea0eae53e-d755-4a42-9320-b9c6b55c5011 [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Ez a példa a megadott adathalász szimuláció felülbírálási szabályát a következő beállításokkal módosítja:

• Adja hozzá a tartománybejegyzést blueyonderairlines.com.
• Távolítsa el a 192.168.1.55 IP-címbejegyzést.

Ezek a módosítások nincsenek hatással a meglévő bejegyzésekre.

Set-PhishSimOverrideRule -Identity PhishSimOverrideRulea0eae53e-d755-4a42-9320-b9c6b55c5011 -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Részletes szintaxis- és paraméterinformációkért lásd: Set-PhishSimOverrideRule.

Az adathalász szimuláció engedélyezett URL-címeinek módosítása a PowerShell használatával

Az URL-értékek nem módosíthatók közvetlenül. Eltávolíthatja a meglévő URL-bejegyzéseket, és új URL-bejegyzéseket adhat hozzá a jelen cikkben leírtak szerint.

Az Exchange Online PowerShellben az engedélyezett adathalász szimulációs URL-bejegyzések egyéb tulajdonságainak (például a lejárati dátumnak vagy a megjegyzéseknek) módosításához használja az alábbi szintaxist:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity>> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.

Ez a példa módosította a megadott bejegyzés lejárati dátumát.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.

Adathalászszimulációs felülbírálási szabályzat eltávolítása a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben ez a példa eltávolítja az adathalász szimuláció felülbírálási szabályzatát és a megfelelő szabályt.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Remove-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak eltávolítása a PowerShell használatával

A Biztonsági & megfelelőség PowerShellben használja a következő szintaxist:

Remove-PhishSimOverrideRule -Identity <RuleIdentity>

Ez a példa eltávolítja a megadott adathalász szimuláció felülbírálási szabályát.

Remove-PhishSimOverrideRule -Identity PhishSimOverrideRulea0eae53e-d755-4a42-9320-b9c6b55c5011

Részletes szintaxis- és paraméterinformációkért lásd: Remove-PhishSimOverrideRule.

Az adathalász szimulációs URL-címek engedélyezett bejegyzéseinek eltávolítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity>> -ListType URL -ListSubType AdvancedDelivery

A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.

Ez a példa módosította a megadott bejegyzés lejárati dátumát.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.