Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A microsoftos 365-ös szervezetekben, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben találhatók, és nem Exchange Online postaládákat, a rendszergazdák fájlbejegyzéseket hozhatnak létre és kezelhetnek a bérlői engedélyezési/letiltási listában. A bérlők engedélyezési/tiltólistájáról további információt az Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában című témakörben talál.

Ez a cikk azt ismerteti, hogyan kezelhetik a rendszergazdák a fájlok bejegyzéseit a Microsoft Defender portálon és Exchange Online PowerShellben.

Mit kell tudnia a kezdés előtt?

  • A Microsoft Defender portált a címen nyithatja meg.https://security.microsoft.com Ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: . Ha közvetlenül a Beküldések lapra szeretne lépni, használja a parancsot https://security.microsoft.com/reportsubmission.

  • Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez. A különálló EOP PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online Védelmi szolgáltatás PowerShellhez.

  • A fájl SHA256 kivonatértékével adhatja meg a fájlokat. Ha meg szeretné keresni egy fájl SHA256 kivonatértékét a Windowsban, futtassa a következő parancsot egy parancssorban:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Példaérték: 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. A perceptuális kivonat (pHash) értékei nem támogatottak.

  • Fájlok belépési korlátai:

    • Exchange Online Védelmi szolgáltatás: Az engedélyezett bejegyzések maximális száma 500, a blokkbejegyzések maximális száma pedig 500 (összesen 1000 fájlbejegyzés).
    • Office 365-höz készült Defender 1. csomag: Az engedélyezett bejegyzések maximális száma 1000, a blokkbejegyzések maximális száma pedig 1000 (összesen 2000 fájlbejegyzés).
    • Office 365-höz készült Defender 2. csomag: Az engedélyezett bejegyzések maximális száma 5000, a blokkbejegyzések maximális száma pedig 10000 (összesen 15000 fájlbejegyzés).

  • A fájlbejegyzésekben legfeljebb 64 karaktert adhat meg.

  • Egy bejegyzésnek 5 percen belül aktívnak kell lennie.

  • Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

    • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (csak a Defender portált érinti, nem a PowerShellt): Engedélyezés és beállítások/Biztonsági beállítások/Észlelés finomhangolása (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
    • Exchange Online engedélyek:
      • Bejegyzéseket adhat hozzá és távolíthat el a bérlői engedélyezési/tiltólistából: Tagság az alábbi szerepkörcsoportok egyikében:
        • Szervezetfelügyelet vagy biztonsági rendszergazda (biztonsági rendszergazdai szerepkör).
        • Biztonsági operátor (bérlői AllowBlockList Manager).
      • Csak olvasási hozzáférés a bérlő engedélyezési/tiltólistájához: Tagság az alábbi szerepkörcsoportok egyikében:
        • Globális olvasó
        • Biztonsági olvasó
        • Csak megtekintési konfiguráció
        • Csak megtekintésre használható szervezetkezelés
    • Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználók számára a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

  • A Fájlok lap csak azokban a szervezetekben érhető el a Beküldések lapon, Microsoft Defender XDR vagy Végponthoz készült Microsoft Defender 2. csomaggal. A fájlok Fájlok lapról való elküldésével kapcsolatos információkért és utasításokért lásd: Fájlok küldése Végponthoz készült Microsoft Defender.

fájlok bejegyzéseinek Létrehozás engedélyezése

A fájlokhoz nem hozhatók létre engedélyezési bejegyzések közvetlenül a Bérlői engedélyezés/tiltás listában. A szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrt volna.

Ehelyett használja a Email mellékletek lapot a Beküldések lapon.https://security.microsoft.com/reportsubmission?viewid=emailAttachment Ha a letiltott fájlt a Nem lett letiltva (Hamis pozitív) értékre küldi, aBérlő engedélyezése/blokkolása lap Fájlok lapján a Fájl engedélyezése/letiltása Listák lehetőséget választva adhat hozzá egy engedélyezési bejegyzést a fájlhoz. Útmutatásért lásd: Jó e-mail-mellékletek küldése a Microsoftnak.

Megjegyzés:

Az engedélyezési bejegyzések azon szűrők alapján vannak hozzáadva, amelyek megállapították, hogy az üzenet kártékony volt az e-mail-forgalom során. Ha például a feladó e-mail-címe és az üzenet egyik fájlja hibás, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és a fájl számára.

Amikor az engedélyezési bejegyzés entitása újra megjelenik (az e-mail-forgalom során vagy kattintáskor), az entitáshoz társított összes szűrő felül lesz bírálva.

Alapértelmezés szerint a fájlok bejegyzéseinek engedélyezése 30 napig létezik. E 30 nap alatt a Microsoft tanul az engedélyezési bejegyzésekből, és eltávolítja őket, vagy automatikusan kiterjeszti őket. Miután a Microsoft tudomást szerez az eltávolított engedélyezési bejegyzésekről, az ezeket az entitásokat tartalmazó üzeneteket a rendszer kézbesíti, kivéve, ha az üzenetben valami mást észlel rosszindulatúként.

Ha az e-mail-forgalom során az engedélyezett entitást tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, a rendszer kézbesíti az üzeneteket. Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az üzenet akkor lesz kézbesítve, ha az egy engedélyezett fájlt is tartalmaz.

A kattintás ideje alatt a fájl engedélyezése bejegyzés felülbírálja a fájlentitáshoz társított összes szűrőt, így a felhasználók hozzáférhetnek a fájlhoz.

Fájlok blokkbejegyzéseinek Létrehozás

Email blokkolt fájlokat tartalmazó üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.

Blokkbejegyzések fájlokhoz való létrehozásához használja az alábbi módszerek egyikét:

A Microsoft Defender portál használatával blokkbejegyzéseket hozhat létre a bérlői engedélyezési/tiltólistán lévő fájlokhoz

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezés/blokkolás Listák szakaszára.> Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

  2. A Bérlő engedélyezése/letiltása Listák lapon válassza a Fájlok lapot.

  3. A Fájlok lapon válassza a Blokkolás lehetőséget.

  4. A megnyíló Fájlok blokkolása úszó panelen konfigurálja a következő beállításokat:

    • Fájlkivonatok hozzáadása: Soronként legfeljebb 20 SHA256 kivonatértéket adjon meg.

    • A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:

      • 1 nap
      • 7 nap
      • 30 nap (alapértelmezett)
      • Soha ne járjon le
      • Konkrét dátum: A maximális érték a mai naptól számított 90 nap.

    • Nem kötelező megjegyzés: Adjon meg leíró szöveget, hogy miért blokkolja a fájlokat.

    Ha végzett a Fájlok blokkolása úszó panelen, válassza a Hozzáadás lehetőséget.

A Fájlok lapra visszatérve megjelenik a bejegyzés.

Blokkbejegyzések létrehozása a bérlői engedélyezési/blokkolási listában lévő fájlokhoz a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Ez a példa egy blokkbejegyzést ad hozzá a megadott fájlokhoz, amelyek soha nem járnak le.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.

A Microsoft Defender portál használatával megtekintheti a bérlői engedélyezési/tiltólista fájljainak bejegyzéseit

A Microsoft Defender portálon https://security.microsoft.comlépjen a Szabályzatok & szabályok>Veszélyforrás-szabályzatok>bérlői engedélyezése/letiltása Listák a Szabályok szakaszban. Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

Válassza a Fájlok lapot.

A Fájlok lapon az elérhető oszlopfejlécre kattintva rendezheti a bejegyzéseket. A következő oszlopok érhetők el:

  • Érték: A fájlkivonat.
  • Művelet: Az elérhető értékek az Engedélyezés vagy a Letiltás.
  • Módosította:
  • Legutóbb frissítve
  • Utolsó használat dátuma: Az a dátum, amikor a bejegyzést utoljára használták a szűrőrendszerben az ítélet felülbírálásához.
  • Eltávolítás ekkor: A lejárat dátuma.
  • Megjegyzések

A bejegyzések szűréséhez válassza a Szűrés lehetőséget. A megnyíló Szűrő úszó panelen a következő szűrők érhetők el:

  • Művelet: Az elérhető értékek az Engedélyezés és a Letiltás.
  • Soha ne járjon le: vagy
  • Legutóbb frissítve: Válassza a Kezdő és a Záró dátum lehetőséget.
  • Legutóbb használt dátum: Válassza a Feladó és a Záró dátum lehetőséget.
  • Eltávolítás ekkor: Válassza a Kezdő és a Záró dátum lehetőséget.

Ha végzett a Szűrő úszó panelen, válassza az Alkalmaz lehetőséget. A szűrők törléséhez válassza a Szűrők törlése lehetőséget.

A Keresés mező és egy megfelelő érték használatával kereshet meg bizonyos bejegyzéseket.

A bejegyzések csoportosításához válassza a Csoportosítás, majd a Művelet lehetőséget. A bejegyzések csoportosításának megszüntetéséhez válassza a Nincs lehetőséget.

Fájlok bejegyzéseinek megtekintése a Bérlők engedélyezési/blokkolási listájában a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Ez a példa az összes engedélyezett és letiltott fájlt visszaadja.

Get-TenantAllowBlockListItems -ListType FileHash

Ez a példa a megadott fájlkivonat-érték adatait adja vissza.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Ez a példa letiltott fájlok alapján szűri az eredményeket.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.

A Microsoft Defender portálon módosíthatja a bérlői engedélyezési/blokkolási listában szereplő fájlok bejegyzéseit

A meglévő fájlbejegyzésekben módosíthatja a lejárati dátumot és a megjegyzést.

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezés/blokkolás Listák szakaszára.> Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

  2. A Fájlok lap kiválasztása

  3. A Fájlok lapon jelölje ki a bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza a megjelenő Szerkesztés műveletet.

  4. A megnyíló Fájl szerkesztése úszó panelen a következő beállítások érhetők el:

    • Blokkbejegyzések:
      • A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
        • 1 nap
        • 7 nap
        • 30 nap
        • Soha ne járjon le
        • Konkrét dátum: A maximális érték a mai naptól számított 90 nap.
      • Nem kötelező megjegyzés
    • Bejegyzések engedélyezése:
      • Távolítsa el az engedélyezési bejegyzést a következő után: Válasszon az alábbi értékek közül:
        • 1 nap
        • 7 nap
        • 30 nap
        • Konkrét dátum: A maximális érték a mai naptól számított 30 nap.
      • Nem kötelező megjegyzés

    Ha végzett a Fájl szerkesztése úszó panelen, válassza a Mentés lehetőséget.

Tipp

A Fájlok lap egy bejegyzésének részletes úszó paneljén az úszó panel tetején található Beküldés megtekintése paranccsal lépjen a Megfelelő bejegyzés részleteire a Beküldések lapon. Ez a művelet akkor érhető el, ha a bérlői engedélyezési/letiltási listában egy beküldés volt a felelős a bejegyzés létrehozásáért.

A Bérlői engedélyezés/tiltás listában lévő fájlok meglévő engedélyezési vagy letiltott bejegyzéseinek módosítása a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Ez a példa módosítja a megadott fájlblokk-bejegyzés lejárati dátumát.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.

A Microsoft Defender portál használatával távolítsa el a fájlok bejegyzéseit a bérlői engedélyezési/tiltólistáról

  1. A Microsoft Defender portálon https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezés/blokkolás Listák szakaszára.> Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

  2. Válassza a Fájlok lapot.

  3. A Fájlok lapon hajtsa végre az alábbi lépések egyikét:

    • Jelölje ki a bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza a megjelenő Törlés műveletet.

    • Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint. A megnyíló részletes úszó panelen válassza a Törlés lehetőséget az úszó panel tetején.

      Tipp

      Ha a részleteket tartalmazó úszó panel elhagyása nélkül szeretné megtekinteni a többi bejegyzés részleteit, használja az Előző és a Következő elemet az úszó panel tetején.

  4. A megnyíló figyelmeztető párbeszédpanelen válassza a Törlés lehetőséget.

A Fájlok lapra visszatérve a bejegyzés már nem szerepel a listában.

Tipp

Több bejegyzést is kijelölhet, ha bejelöli az egyes jelölőnégyzeteket, vagy kijelöli az összes bejegyzést az Érték oszlopfejléc melletti jelölőnégyzet bejelölésével.

Fájlok bejegyzéseinek eltávolítása a Bérlők engedélyezési/tiltólistájáról a PowerShell használatával

A Exchange Online PowerShellben használja az alábbi szintaxist:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Ez a példa eltávolítja a megadott fájlblokkot a bérlői engedélyezési/blokkolási listából.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.