Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Fontos

A külső támadásszimulációs betanítás részét képező adathalász URL-címek engedélyezéséhez használja a speciális kézbesítési konfigurációt az URL-címek megadásához. Ne használja a bérlő engedélyezési/tiltólistáját.

A postaládák Exchange Online nélküli, Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben postaládával rendelkező Microsoft 365-szervezetekben nem ért egyet az EOP-val, vagy Office 365-höz készült Microsoft Defender a szűrési ítéletet. Előfordulhat például, hogy egy jó üzenet rosszként (hamis pozitívként) van megjelölve, vagy egy rossz üzenet engedélyezett (hamis negatív).

A Microsoft Defender portál bérlői engedélyezési/letiltási listája lehetővé teszi a Office 365-höz készült Defender vagy az EOP-szűrési ítéletek manuális felülbírálását. A lista a külső feladóktól érkező üzenetek e-mail-folyamata során használatos.

A bérlői engedélyezési/letiltási lista nem vonatkozik a szervezeten belüli belső üzenetekre. A tartományok és e-mail-címek letiltott bejegyzései azonban megakadályozzák, hogy a szervezet felhasználói e-mailt küldjenek a letiltott tartományoknak és címeknek.

A Bérlők engedélyezése/tiltása lista a Microsoft Defender portálOnhttps://security.microsoft.com>, a Szabályok & szabályok>Veszélyforrás-szabályzatok>Bérlői engedélyezési/blokkolási Listák a Szabályok szakaszban érhető el. Ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

A használati és konfigurációs utasításokért tekintse meg a következő cikkeket:

Ezek a cikkek a Microsoft Defender portálon és a PowerShellben található eljárásokat tartalmazzák.

Letiltott bejegyzések a bérlői engedélyezési/tiltólistán

Megjegyzés:

A bérlői engedélyezési/tiltólistán a blokkbejegyzések elsőbbséget élveznek az engedélyezési bejegyzésekkel szemben.

A Beküldések (más néven rendszergazdai beküldés) https://security.microsoft.com/reportsubmission lapon blokkbejegyzéseket hozhat létre a következő típusú elemekhez, amikor hamis negatívként jelenti őket a Microsoftnak:

  • Tartományok és e-mail-címek:

    • Email feladóktól érkező üzenetek megbízható adathalászatként vannak megjelölve, majd karanténba kerülnek.
    • A szervezet felhasználói nem küldhetnek e-mailt ezekre a letiltott tartományokra és címekre. A következő sikertelen kézbesítésről szóló jelentést kapják (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. A teljes üzenet le lesz tiltva az üzenet összes belső és külső címzettje számára, még akkor is, ha egy blokkbejegyzésben csak egy címzett e-mail-címe vagy tartománya van megadva.

    Tipp

    Ha csak egy adott feladó levélszemétét szeretné letiltani, vegye fel az e-mail-címet vagy tartományt a levélszemét-ellenes házirendek tiltólistájára. A feladótól érkező összes e-mail letiltásához használja a Tartományok és e-mail-címek elemet a bérlő engedélyezési/letiltó listájában.

  • Fájlok: Email blokkolt fájlokat tartalmazó üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.

  • URL-címek: Email blokkolt URL-címeket tartalmazó üzenetek nagy megbízhatóságú adathalászatként lesznek blokkolva. A letiltott URL-címeket tartalmazó üzenetek karanténba kerülnek.

A Bérlői engedélyezés/tiltás listában közvetlenül is létrehozhat blokkbejegyzéseket a következő típusú elemekhez:

  • Tartományok és e-mail-címek, fájlok és URL-címek.

  • Hamisított feladók: Ha manuálisan felülbírál egy meglévő engedélyezési ítéletet a hamis felderítésből, a letiltott hamisított feladó manuális blokkbejegyzéssé válik, amely csak a Bérlői engedélyezési/letiltási lista Hamisított feladók lapján jelenik meg.

Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek bejegyzéseinek letiltása 30 nap elteltével lejár, de beállíthatja, hogy 90 nap elteltével lejárjanak, vagy soha ne járjanak le. A hamisított feladók bejegyzéseinek blokkolása soha nem jár le.

Engedélyezési bejegyzések a bérlői engedélyezési/tiltólistán

A legtöbb esetben nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában:

  • Tartományok és e-mail-címek, fájlok és URL-címek: Nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. Ehelyett a Címen található Beküldések oldalon https://security.microsoft.com/reportsubmission jelentheti az e-mailt, az e-mail-mellékletet vagy az URL-címet a Microsoftnak, mert nem lett volna blokkolva (hamis pozitív).

  • Hamisított feladók:

    • Ha a hamis felderítés már letiltotta az üzenetet hamisításként, a címen található Beküldések oldalon https://security.microsoft.com/reportsubmission jelentse az e-mailt a Microsoftnak, ha nem lett volna blokkolva (hamis pozitív).
    • Proaktív módon létrehozhat egy engedélyezési bejegyzést a hamisított feladók számára a Bérlői engedélyezési/letiltási lista Hamisított feladó lapján, mielőtt a hamisítási intelligencia azonosítja és letiltja az üzenetet hamisításként.

Az alábbi lista azt ismerteti, hogy mi történik a bérlői engedélyezési/letiltási listában, amikor hamis pozitívként jelent valamit a Microsoftnak a Beküldések lapon:

  • mellékletek és URL-címek Email: Létrejön egy engedélyezési bejegyzés, és a bejegyzés megjelenik a Bérlői engedélyezési/tiltólista Fájlok vagy URL-címek lapján.

    A téves pozitívként jelentett URL-címek esetében engedélyezzük az eredeti URL-cím variációit tartalmazó későbbi üzeneteket. A Beküldések lapon például a helytelenül blokkolt URL-címet www.contoso.com/abcjelenti. Ha a szervezet később olyan üzenetet kap, amely tartalmazza az URL-címet (például, de nem kizárólagosan: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5vagy www.contoso.com/abc/whatever), az üzenet nem lesz blokkolva az URL-cím alapján. Más szóval nem kell ugyanazon URL-cím több változatát is jelentenie a Microsoftnak.

  • Email: Ha az EOP vagy Office 365-höz készült Defender szűrési verem blokkolt egy üzenetet, a bérlő engedélyezési/letiltási listájában létrehozhat egy engedélyezési bejegyzést:

    • Ha az üzenetet hamis felderítés blokkolta, létrejön egy engedélyezési bejegyzés a feladó számára, és a bejegyzés megjelenik a Hamisított feladók lapon a Bérlői engedélyezési/tiltólistán.
    • Ha az üzenetet a felhasználó (vagy a gráf) megszemélyesítés elleni védelme blokkolta Office 365-höz készült Defender, a bérlői engedélyezési/letiltási listában nem jön létre engedélyezési bejegyzés. Ehelyett a rendszer hozzáadja a tartományt vagy a feladót az üzenetet észlelő adathalászat elleni szabályzatMegbízható feladók és tartományok szakaszához.
    • Ha az üzenet fájlalapú szűrők miatt le lett tiltva, létrejön egy engedélyezési bejegyzés a fájlhoz, és a bejegyzés megjelenik a Bérlői engedélyezési/letiltási lista Fájlok lapján.
    • Ha az üzenetet URL-alapú szűrők blokkolták, létrejön egy engedélyezési bejegyzés az URL-címhez, és a bejegyzés megjelenik a bérlői engedélyezési/letiltási lista URL-lapján .
    • Ha az üzenet bármilyen más okból le lett tiltva, létrejön egy engedélyezési bejegyzés a feladó e-mail-címéhez vagy tartományához, és a bejegyzés megjelenik a Tartományok & címek lapon a Bérlői engedélyezés/tiltás listában.
    • Ha az üzenet szűrés miatt nem lett letiltva, a rendszer sehol nem hoz létre engedélyezési bejegyzéseket.

Alapértelmezés szerint a tartományok, e-mail-címek, fájlok és URL-címek bejegyzéseinek engedélyezése 30 napig érvényes. E 30 nap alatt a Microsoft tanul az engedélyezési bejegyzésekből, és eltávolítja őket, vagy automatikusan kiterjeszti őket. Miután a Microsoft tudomást szerez az eltávolított engedélyezési bejegyzésekről, a rendszer az ezeket az entitásokat tartalmazó üzeneteket kézbesíti, kivéve, ha az üzenetben valami mást észlel rosszindulatúként. Alapértelmezés szerint a hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.

Fontos

A Microsoft nem engedélyezi, hogy közvetlenül engedélyezési bejegyzéseket hozzon létre. A szükségtelen engedélyezési bejegyzések rosszindulatú e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrhetett volna.

A Microsoft kezeli az engedélyezési bejegyzések létrehozását a Beküldések oldalon.https://security.microsoft.com/reportsubmission Az e-mail-forgalom során az üzenet kártékonynak ítélt szűrők alapján kerülnek hozzáadásra. Ha például a feladó e-mail-címe és az üzenetben szereplő URL-cím hibás, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és az URL-cím számára.

Amikor az entitás újra megjelenik (az e-mail-forgalom vagy a kattintás ideje alatt), a rendszer kihagyja az entitáshoz társított összes szűrőt.

Ha az e-mail-forgalom során az engedélyezett entitást tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, a rendszer kézbesíti az üzeneteket. Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az URL-szűrésnek és a fájlszűrésnek, a rendszer egy engedélyezett feladó e-mail-címéről küld üzenetet.

Mi várható egy engedélyezési vagy blokkbejegyzés hozzáadása után?

Miután hozzáadott egy engedélyezési bejegyzést a Beküldések lapon vagy egy blokkbejegyzést a Bérlők engedélyezési/letiltási listájában, a bejegyzésnek azonnal működnie kell (5 percen belül).

Ha a Microsoft tanult az engedélyezési bejegyzésből, a bejegyzés el lesz távolítva. A bérlői engedélyezési/tiltólista egy bejegyzésének eltávolítása nevű beépített riasztási szabályzatból értesítést kap a most már szükségtelenül engedélyezett bejegyzés eltávolításáról.