Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Fontos
A külső támadásszimulációs betanítás részét képező adathalász URL-címek engedélyezéséhez használja a speciális kézbesítési konfigurációt az URL-címek megadásához. Ne használja a bérlő engedélyezési/tiltólistáját.
A postaládák Exchange Online nélküli, Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben postaládával rendelkező Microsoft 365-szervezetekben nem ért egyet az EOP-val, vagy Office 365-höz készült Microsoft Defender a szűrési ítéletet. Előfordulhat például, hogy egy jó üzenet rosszként (hamis pozitívként) van megjelölve, vagy egy rossz üzenet engedélyezett (hamis negatív).
A Microsoft Defender portál bérlői engedélyezési/letiltási listája lehetővé teszi a Office 365-höz készült Defender vagy az EOP-szűrési ítéletek manuális felülbírálását. A lista a külső feladóktól érkező üzenetek e-mail-folyamata során használatos.
A bérlői engedélyezési/letiltási lista nem vonatkozik a szervezeten belüli belső üzenetekre. A tartományok és e-mail-címek letiltott bejegyzései azonban megakadályozzák, hogy a szervezet felhasználói e-mailt küldjenek a letiltott tartományoknak és címeknek.
A Bérlők engedélyezése/tiltása lista a Microsoft Defender portálOnhttps://security.microsoft.com>, a Szabályok & szabályok>Veszélyforrás-szabályzatok>Bérlői engedélyezési/blokkolási Listák a Szabályok szakaszban érhető el. Ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .
A használati és konfigurációs utasításokért tekintse meg a következő cikkeket:
- Tartományok, e-mail-címek és hamis feladók: E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- Fájlok: Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- URL-címek: Engedélyezze vagy tiltsa le az URL-címeket a bérlői engedélyezési/tiltólistával.
Ezek a cikkek a Microsoft Defender portálon és a PowerShellben található eljárásokat tartalmazzák.
Letiltott bejegyzések a bérlői engedélyezési/tiltólistán
Megjegyzés:
A bérlői engedélyezési/tiltólistán a blokkbejegyzések elsőbbséget élveznek az engedélyezési bejegyzésekkel szemben.
A Beküldések (más néven rendszergazdai beküldés) https://security.microsoft.com/reportsubmission lapon blokkbejegyzéseket hozhat létre a következő típusú elemekhez, amikor hamis negatívként jelenti őket a Microsoftnak:
Tartományok és e-mail-címek:
- Email feladóktól érkező üzenetek megbízható adathalászatként vannak megjelölve, majd karanténba kerülnek.
- A szervezet felhasználói nem küldhetnek e-mailt ezekre a letiltott tartományokra és címekre. A következő sikertelen kézbesítésről szóló jelentést kapják (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetet):
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
A teljes üzenet le lesz tiltva az üzenet összes belső és külső címzettje számára, még akkor is, ha egy blokkbejegyzésben csak egy címzett e-mail-címe vagy tartománya van megadva.
Tipp
Ha csak egy adott feladó levélszemétét szeretné letiltani, vegye fel az e-mail-címet vagy tartományt a levélszemét-ellenes házirendek tiltólistájára. A feladótól érkező összes e-mail letiltásához használja a Tartományok és e-mail-címek elemet a bérlő engedélyezési/letiltó listájában.
Fájlok: Email blokkolt fájlokat tartalmazó üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.
URL-címek: Email blokkolt URL-címeket tartalmazó üzenetek nagy megbízhatóságú adathalászatként lesznek blokkolva. A letiltott URL-címeket tartalmazó üzenetek karanténba kerülnek.
A Bérlői engedélyezés/tiltás listában közvetlenül is létrehozhat blokkbejegyzéseket a következő típusú elemekhez:
Tartományok és e-mail-címek, fájlok és URL-címek.
Hamisított feladók: Ha manuálisan felülbírál egy meglévő engedélyezési ítéletet a hamis felderítésből, a letiltott hamisított feladó manuális blokkbejegyzéssé válik, amely csak a Bérlői engedélyezési/letiltási lista Hamisított feladók lapján jelenik meg.
Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek bejegyzéseinek letiltása 30 nap elteltével lejár, de beállíthatja, hogy 90 nap elteltével lejárjanak, vagy soha ne járjanak le. A hamisított feladók bejegyzéseinek blokkolása soha nem jár le.
Engedélyezési bejegyzések a bérlői engedélyezési/tiltólistán
A legtöbb esetben nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában:
Tartományok és e-mail-címek, fájlok és URL-címek: Nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. Ehelyett a Címen található Beküldések oldalon https://security.microsoft.com/reportsubmission jelentheti az e-mailt, az e-mail-mellékletet vagy az URL-címet a Microsoftnak, mert nem lett volna blokkolva (hamis pozitív).
Hamisított feladók:
- Ha a hamis felderítés már letiltotta az üzenetet hamisításként, a címen található Beküldések oldalon https://security.microsoft.com/reportsubmission jelentse az e-mailt a Microsoftnak, ha nem lett volna blokkolva (hamis pozitív).
- Proaktív módon létrehozhat egy engedélyezési bejegyzést a hamisított feladók számára a Bérlői engedélyezési/letiltási lista Hamisított feladó lapján, mielőtt a hamisítási intelligencia azonosítja és letiltja az üzenetet hamisításként.
Az alábbi lista azt ismerteti, hogy mi történik a bérlői engedélyezési/letiltási listában, amikor hamis pozitívként jelent valamit a Microsoftnak a Beküldések lapon:
mellékletek és URL-címek Email: Létrejön egy engedélyezési bejegyzés, és a bejegyzés megjelenik a Bérlői engedélyezési/tiltólista Fájlok vagy URL-címek lapján.
A téves pozitívként jelentett URL-címek esetében engedélyezzük az eredeti URL-cím variációit tartalmazó későbbi üzeneteket. A Beküldések lapon például a helytelenül blokkolt URL-címet
www.contoso.com/abc
jelenti. Ha a szervezet később olyan üzenetet kap, amely tartalmazza az URL-címet (például, de nem kizárólagosan:www.contoso.com/abc
,www.contoso.com/abc?id=1
,www.contoso.com/abc/def/gty/uyt?id=5
vagywww.contoso.com/abc/whatever
), az üzenet nem lesz blokkolva az URL-cím alapján. Más szóval nem kell ugyanazon URL-cím több változatát is jelentenie a Microsoftnak.Email: Ha az EOP vagy Office 365-höz készült Defender szűrési verem blokkolt egy üzenetet, a bérlő engedélyezési/letiltási listájában létrehozhat egy engedélyezési bejegyzést:
- Ha az üzenetet hamis felderítés blokkolta, létrejön egy engedélyezési bejegyzés a feladó számára, és a bejegyzés megjelenik a Hamisított feladók lapon a Bérlői engedélyezési/tiltólistán.
- Ha az üzenetet a felhasználó (vagy a gráf) megszemélyesítés elleni védelme blokkolta Office 365-höz készült Defender, a bérlői engedélyezési/letiltási listában nem jön létre engedélyezési bejegyzés. Ehelyett a rendszer hozzáadja a tartományt vagy a feladót az üzenetet észlelő adathalászat elleni szabályzatMegbízható feladók és tartományok szakaszához.
- Ha az üzenet fájlalapú szűrők miatt le lett tiltva, létrejön egy engedélyezési bejegyzés a fájlhoz, és a bejegyzés megjelenik a Bérlői engedélyezési/letiltási lista Fájlok lapján.
- Ha az üzenetet URL-alapú szűrők blokkolták, létrejön egy engedélyezési bejegyzés az URL-címhez, és a bejegyzés megjelenik a bérlői engedélyezési/letiltási lista URL-lapján .
- Ha az üzenet bármilyen más okból le lett tiltva, létrejön egy engedélyezési bejegyzés a feladó e-mail-címéhez vagy tartományához, és a bejegyzés megjelenik a Tartományok & címek lapon a Bérlői engedélyezés/tiltás listában.
- Ha az üzenet szűrés miatt nem lett letiltva, a rendszer sehol nem hoz létre engedélyezési bejegyzéseket.
Alapértelmezés szerint a tartományok, e-mail-címek, fájlok és URL-címek bejegyzéseinek engedélyezése 30 napig érvényes. E 30 nap alatt a Microsoft tanul az engedélyezési bejegyzésekből, és eltávolítja őket, vagy automatikusan kiterjeszti őket. Miután a Microsoft tudomást szerez az eltávolított engedélyezési bejegyzésekről, a rendszer az ezeket az entitásokat tartalmazó üzeneteket kézbesíti, kivéve, ha az üzenetben valami mást észlel rosszindulatúként. Alapértelmezés szerint a hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.
Fontos
A Microsoft nem engedélyezi, hogy közvetlenül engedélyezési bejegyzéseket hozzon létre. A szükségtelen engedélyezési bejegyzések rosszindulatú e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrhetett volna.
A Microsoft kezeli az engedélyezési bejegyzések létrehozását a Beküldések oldalon.https://security.microsoft.com/reportsubmission Az e-mail-forgalom során az üzenet kártékonynak ítélt szűrők alapján kerülnek hozzáadásra. Ha például a feladó e-mail-címe és az üzenetben szereplő URL-cím hibás, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és az URL-cím számára.
Amikor az entitás újra megjelenik (az e-mail-forgalom vagy a kattintás ideje alatt), a rendszer kihagyja az entitáshoz társított összes szűrőt.
Ha az e-mail-forgalom során az engedélyezett entitást tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, a rendszer kézbesíti az üzeneteket. Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az URL-szűrésnek és a fájlszűrésnek, a rendszer egy engedélyezett feladó e-mail-címéről küld üzenetet.
Mi várható egy engedélyezési vagy blokkbejegyzés hozzáadása után?
Miután hozzáadott egy engedélyezési bejegyzést a Beküldések lapon vagy egy blokkbejegyzést a Bérlők engedélyezési/letiltási listájában, a bejegyzésnek azonnal működnie kell (5 percen belül).
Ha a Microsoft tanult az engedélyezési bejegyzésből, a bejegyzés el lesz távolítva. A bérlői engedélyezési/tiltólista egy bejegyzésének eltávolítása nevű beépített riasztási szabályzatból értesítést kap a most már szükségtelenül engedélyezett bejegyzés eltávolításáról.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: