Condividi tramite


Configurare i criteri di recapito avanzati per simulazioni di phishing di terze parti e recapito di posta elettronica alle cassette postali SecOps

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Per proteggere l'organizzazione per impostazione predefinita, Exchange Online Protection (EOP) non consente elenchi sicuri o bypass di filtro per i messaggi identificati come malware o phishing ad alta attendibilità. Esistono tuttavia scenari specifici che richiedono il recapito di messaggi non filtrati. Ad esempio:

  • Simulazioni di phishing di terze parti: gli attacchi simulati possono aiutare a identificare e formare gli utenti vulnerabili prima che un attacco reale influenzi l'organizzazione.
  • Cassette postali delle operazioni di sicurezza (SecOps): cassette postali dedicate usate dai team di sicurezza per raccogliere e analizzare i messaggi non filtrati (sia buoni che non validi).

Usare i criteri di recapito avanzati in EOP per impedire che i messaggi in ingresso in questi scenari specifici vengano filtrati¹. I criteri di recapito avanzati garantiscono che i messaggi in questi scenari ottengano i risultati seguenti:

I messaggi identificati dai criteri di recapito avanzati non sono minacce alla sicurezza, quindi i messaggi sono contrassegnati con sostituzioni di sistema. Amministrazione esperienze mostrano questi messaggi come simulazioni di phishing o sostituzioni del sistema delle cassette postali SecOps. Gli amministratori possono usare questi valori per filtrare e analizzare i messaggi nelle esperienze seguenti:

  • Esplora minacce (Esplora minacce) o rilevamenti in tempo reale in Defender per Office 365: gli amministratori possono filtrare in base all'origine di sostituzione del sistema e selezionare Simulazione di phishing o Cassetta postale SecOps.
  • Pagina dell'entità Email: gli amministratori possono visualizzare un messaggio consentito dai criteri dell'organizzazione dalla cassetta postale SecOps o dalla simulazione di phishing in Override tenant nella sezione Sostituzioni.
  • Report sullo stato di Protezione dalle minacce: Amministrazione può filtrare in base alla visualizzazione dei dati in base all'override del sistema nel menu a discesa e selezionare per visualizzare i messaggi consentiti a causa di un override del sistema di simulazione del phishing. Per visualizzare i messaggi consentiti dall'override della cassetta postale SecOps, è possibile selezionare la suddivisione del grafico in base alla posizione di recapito nell'elenco a discesa grafico per motivo .
  • Ricerca avanzata in Microsoft Defender per endpoint: la simulazione del phishing e le sostituzioni del sistema delle cassette postali SecOps sono opzioni all'interno di OrgLevelPolicy in EmailEvents.
  • Visualizzazioni campagna: Amministrazione può filtrare in base all'origine di sostituzione del sistema e selezionare Simulazione di phishing o Cassetta postale SecOps.

Che cosa è necessario sapere prima di iniziare?

  • Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Recapito avanzato , usare https://security.microsoft.com/advanceddelivery.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

    • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).

    • Email & le autorizzazioni di collaborazione nel portale di Microsoft Defender e le autorizzazioni di Exchange Online:

      • Creare, modificare o rimuovere le impostazioni configurate nei criteri di recapito avanzati: appartenenza ai gruppi di ruoli Amministratore della sicurezza in Email & controllo degli accessi in base al ruolo di collaborazione e appartenenza al gruppo di ruoli Gestione organizzazione in Exchange Online controllo degli accessi in base al ruolo.
      • Accesso in sola lettura ai criteri di recapito avanzati: appartenenza ai gruppi di ruoli Lettore globale o Lettore di sicurezza nel controllo degli accessi in base al ruolo di collaborazione Email &.
        • Gestione dell'organizzazione di sola visualizzazione in Exchange Online controllo degli accessi in base al ruolo.
    • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

      Importante

      * Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Usare il portale di Microsoft Defender per configurare le cassette postali SecOps nei criteri di recapito avanzati

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Recapito avanzato deicriteri> di minaccia nella sezione Regole. In alternativa, per passare direttamente alla pagina Recapito avanzato , usare https://security.microsoft.com/advanceddelivery.

    Nella pagina Recapito avanzato verificare che sia selezionata la scheda Cassetta postale SecOps .

  2. Nella scheda Cassetta postale SecOps selezionare il pulsante Aggiungi nell'area Nessuna cassetta postale secOps configurata della pagina.

    Se nella scheda Cassetta postale SecOps sono già presenti voci, selezionare Modifica (il pulsante Aggiungi non è disponibile).

  3. Nel riquadro a comparsa Aggiungi cassette postali SecOps visualizzato immettere una cassetta postale di Exchange Online esistente da designare come cassetta postale SecOps eseguendo una delle operazioni seguenti:

    • Fare clic nella casella, consentire la risoluzione dell'elenco delle cassette postali e quindi selezionare la cassetta postale.

    • Fare clic nella casella per iniziare a digitare un identificatore per la cassetta postale (nome, nome visualizzato, alias, indirizzo di posta elettronica, nome account e così via) e selezionare la cassetta postale (nome visualizzato) dai risultati.

      Ripetere questo passaggio tutte le volte necessarie. I gruppi di distribuzione non sono consentiti.

      Per rimuovere un valore esistente, selezionare Rimuovi accanto al valore.

  4. Al termine del riquadro a comparsa Aggiungi cassette postali SecOps , selezionare Aggiungi.

  5. Esaminare le informazioni nel riquadro a comparsa Modifiche alla cassetta postale SecOps ignorare il riquadro a comparsa salvato e quindi selezionare Chiudi.

Nella scheda Cassetta postale SecOps sono elencate le voci della cassetta postale SecOps configurate:

  • La colonna Nome visualizzato contiene il nome visualizzato delle cassette postali.
  • La colonna Email contiene l'indirizzo di posta elettronica per ogni voce.
  • Per modificare l'elenco delle voci da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.

Usare il portale Microsoft Defender per modificare o rimuovere cassette postali SecOps nei criteri di recapito avanzati

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Recapito avanzato deicriteri> di minaccia nella sezione Regole. In alternativa, per passare direttamente alla pagina Recapito avanzato , usare https://security.microsoft.com/advanceddelivery.

    Nella pagina Recapito avanzato verificare che sia selezionata la scheda Cassetta postale SecOps .

  2. Nella scheda Cassetta postale SecOps selezionare Modifica.

  3. Nel riquadro a comparsa Modifica cassette postali secOps che viene aperto, aggiungere o rimuovere cassette postali come descritto nel passaggio 3 della sezione Usare il portale di Microsoft Defender per configurare le cassette postali SecOps nella sezione Criteri di recapito avanzati.

    Per rimuovere tutte le cassette postali, selezionare Rimuovi accanto a ogni valore fino a quando non sono selezionate altre cassette postali.

  4. Al termine, nel riquadro a comparsa Modifica cassette postali SecOps selezionare Salva.

  5. Esaminare le informazioni nel riquadro a comparsa Modifiche alla cassetta postale SecOps ignorare il riquadro a comparsa salvato e quindi selezionare Chiudi.

Nella scheda Cassetta postale SecOps vengono visualizzate le voci della cassetta postale SecOps configurate. Se sono state rimosse tutte le voci, l'elenco è vuoto.

Usare il portale di Microsoft Defender per configurare simulazioni di phishing di terze parti nei criteri di recapito avanzati

Per configurare una simulazione di phishing di terze parti, è necessario fornire le informazioni seguenti:

  • Almeno un dominio: il dominio dell'indirizzo MAIL FROM (noto anche come 5321.MailFrom indirizzo, mittente P1 o mittente della busta) usato nella trasmissione SMTP del messaggio o in un dominio DKIM come specificato dal fornitore della simulazione di phishing.
  • Almeno un indirizzo IP di invio.
  • Per le simulazioni di phishing non tramite posta elettronica (ad esempio, messaggi di Microsoft Teams, documenti Word o fogli di calcolo di Excel), è possibile identificare facoltativamente gli URL di simulazione per consentire che non devono essere considerati come minacce reali al momento del clic: gli URL non vengono bloccati o esplosi e non vengono generati avvisi di clic url o eventi imprevisti risultanti. Gli URL vengono avvolti al momento del clic, ma non sono bloccati.

Deve essere presente una corrispondenza in almeno un dominio e un indirizzo IP di invio, ma non viene mantenuta alcuna associazione tra i valori.

Se il record MX non punta a Microsoft 365, l'indirizzo IP nell'intestazione Authentication-results deve corrispondere all'indirizzo IP nei criteri di recapito avanzati. Se gli indirizzi IP non corrispondono, potrebbe essere necessario configurare il filtro avanzato per i connettori in modo che venga rilevato l'indirizzo IP corretto.

Nota

Il filtro avanzato per i connettori non funziona per simulazioni di phishing di terze parti in scenari di routing della posta elettronica che prevedono la ricezione di posta elettronica in Exchange online due volte (ad esempio, la posta elettronica Internet instradata a Microsoft 365, quindi a un ambiente locale o a un servizio di sicurezza di terze parti e quindi a Microsoft 365). EOP non è in grado di identificare il vero indirizzo IP dell'origine del messaggio. Non tentare di ovviare a questa limitazione aggiungendo gli indirizzi IP dell'infrastruttura di invio locale o di terze parti alla simulazione di phishing di terze parti. In questo modo si ignora in modo efficace il filtro della posta indesiderata per qualsiasi mittente Internet che rappresenta il dominio specificato nella simulazione di phishing di terze parti. Gli scenari di routing in cui il record MX punta a un servizio di terze parti e quindi la posta viene instradata a Exchange Online sono supportati se è configurato il filtro avanzato per i connettori.

Attualmente, i criteri di recapito avanzati per le simulazioni di phishing di terze parti non supportano le simulazioni all'interno della stessa organizzazione (DIR:INT), soprattutto quando la posta elettronica viene instradata attraverso un gateway di Exchange Server prima di Microsoft 365 nel flusso di posta ibrida. Per risolvere questo problema, sono disponibili le opzioni seguenti:

  • Creare un connettore di invio dedicato che non autentica i messaggi di simulazione di phishing come interni.
  • Configurare la simulazione di phishing per ignorare l'infrastruttura di Exchange Server e instradare la posta direttamente al record Microsoft 365 MX (ad esempio, contoso-com.mail.protection.outlook.com).
  • Anche se è possibile impostare l'analisi dei messaggi all'interno dell'organizzazione su Nessuno nei criteri di protezione dalla posta indesiderata , questa opzione non è consigliabile perché influisce su altri messaggi di posta elettronica.

Se si usano i criteri di sicurezza predefiniti per la protezione predefinita o i criteri di collegamenti sicuri personalizzati hanno l'impostazione Non riscrivere gli URL, eseguire controlli solo tramite l'API SafeLinks, la protezione con il tempo di clic non considera i collegamenti di simulazione di phishing nella posta elettronica come minacce in Outlook sul web, Outlook per iOS e Android, Outlook per Windows v16.0.15317.10000 o versioni successive e Outlook per Mac v16.74 (23061100) o versione successiva. Se si usano versioni precedenti di Outlook, provare a disabilitare l'impostazione Non riscrivere gli URL, eseguire controlli solo tramite l'API SafeLinks nei criteri di collegamenti sicuri personalizzati.

L'aggiunta di URL di simulazione di phishing alla sezione Non riscrivere gli URL seguenti nella posta elettronica nei criteri collegamenti sicuri potrebbe generare avvisi indesiderati per i clic sull'URL. Gli URL di simulazione del phishing nei messaggi di posta elettronica sono consentiti automaticamente sia durante il flusso di posta che al momento del clic.

Attualmente, i criteri di recapito avanzati per le cassette postali SecOps non supportano i messaggi all'interno dell'organizzazione (DIR:INT) e questi messaggi verranno messi in quarantena. Come soluzione alternativa, è possibile usare un criterio di protezione dalla posta indesiderata separato per le cassette postali SecOps che non mette in quarantena i messaggi all'interno dell'organizzazione. Non è consigliabile disabilitare la protezione all'interno dell'organizzazione per tutte le cassette postali.

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Recapito avanzato deicriteri> di minaccia nella sezione Regole. In alternativa, per passare direttamente alla pagina Recapito avanzato , usare https://security.microsoft.com/advanceddelivery.

    Nella pagina Recapito avanzato selezionare la scheda Simulazione phishing .

  2. Nella scheda Simulazione di phishing selezionare il pulsante Aggiungi nell'area Nessuna simulazione di phishing di terze parti configurata della pagina.

    Se sono già presenti voci nella scheda Simulazione phishing , selezionare Modifica (il pulsante Aggiungi non è disponibile).

  3. Nel riquadro a comparsa Aggiungi simulazioni di phishing di terze parti visualizzato configurare le impostazioni seguenti:

    • Dominio: espandere questa impostazione e immettere almeno un dominio indirizzo di posta elettronica facendo clic nella casella, immettendo un valore (ad esempio, contoso.com) e quindi premendo INVIO o selezionando il valore visualizzato sotto la casella. Ripetere questo passaggio tutte le volte necessarie. È possibile aggiungere fino a 50 voci. Utilizzare uno dei seguenti valori:

      • Dominio nell'indirizzo 5321.MailFrom (noto anche come indirizzo MAIL FROM , mittente P1 o mittente della busta) usato nella trasmissione SMTP del messaggio.
      • Dominio DKIM come specificato dal fornitore della simulazione di phishing.
    • Indirizzo IP di invio: espandere questa impostazione e immettere almeno un indirizzo IPv4 valido facendo clic nella casella, immettendo un valore e quindi premendo INVIO o selezionando il valore visualizzato sotto la casella. Ripetere questo passaggio tutte le volte necessarie. È possibile aggiungere fino a 10 voci. I valori validi sono:

      • IP singolo: ad esempio, 192.168.1.1.
      • Intervallo IP: ad esempio, 192.168.0.1-192.168.0.254.
      • IP CIDR: ad esempio, 192.168.0.1/25.
    • URL di simulazione da consentire: questa impostazione non è necessaria per i collegamenti nelle simulazioni di phishing tramite posta elettronica. Usare questa impostazione per identificare facoltativamente i collegamenti nelle simulazioni di phishing non tramite posta elettronica (collegamenti nei messaggi di Teams o nei documenti di Office) che non devono essere considerati come minacce reali al momento del clic.

      Aggiungere voci URL espandendo questa impostazione, facendo clic nella casella, immettendo un valore e quindi premendo INVIO o selezionando il valore visualizzato sotto la casella. È possibile aggiungere fino a 30 voci. Per la sintassi dell'URL, vedere sintassi URL per l'elenco tenant consentiti/bloccati.

    Per rimuovere un valore di dominio, IP o URL esistente, selezionare Rimuovi accanto al valore.

    Si prenda in considerazione l'esempio riportato di seguito.

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
    smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
    header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
    
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
    s=selector1;
    h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
    bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    
    • L'indirizzo IP di connessione è 172.17.17.7.
    • Il dominio nell'indirizzo MAIL FROM (smtp.mailfrom) è contoso.com.
    • Il dominio DKIM (header.d) è contoso-simulation.com.

    Nell'esempio è possibile usare una delle combinazioni seguenti per configurare una simulazione di phishing di terze parti:

    Dominio: contoso.com
    Indirizzo IP di invio: 172.17.17.7

    Dominio: contoso-simulation.com
    Indirizzo IP di invio: 172.17.17.7

  4. Al termine del riquadro a comparsa Aggiungi simulazioni di phishing di terze parti , selezionare Aggiungi.

  5. Esaminare le informazioni nel riquadro a comparsa Modifiche alla simulazione di phishing sostituire il riquadro a comparsa salvato e quindi selezionare Chiudi.

Nella scheda Simulazione di phishing sono ora elencate le voci di simulazione di phishing di terze parti configurate:

  • La colonna Valore contiene il dominio, l'indirizzo IP o la voce URL.
  • La colonna Tipo contiene il valore Invio di IP, dominio o URL di simulazione consentito per ogni voce.
  • La colonna Data mostra quando è stata creata la voce.
  • Per modificare l'elenco delle voci da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.

Usare il portale di Microsoft Defender per modificare o rimuovere simulazioni di phishing di terze parti nei criteri di recapito avanzati

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Recapito avanzato deicriteri> di minaccia nella sezione Regole. In alternativa, per passare direttamente alla pagina Recapito avanzato , usare https://security.microsoft.com/advanceddelivery.

    Nella pagina Recapito avanzato selezionare la scheda Simulazione phishing .

  2. Nella scheda Simulazione phishing selezionare Modifica.

  3. Nel riquadro a comparsa Modifica simulazione phishing di terze parti che apre, aggiunge o rimuove voci per URL di dominio, indirizzo IP di invio e simulazione, come descritto nel passaggio 3 del portale Di Microsoft Defender per configurare le cassette postali SecOps nella sezione Criteri di recapito avanzati.

    Per rimuovere tutte le voci, selezionare Rimuovi accanto a ogni valore fino a quando non sono selezionati altri domini, INDIRIZZI IP o URL.

  4. Al termine del riquadro a comparsa Modifica simulazione phishing di terze parti , selezionare Salva.

  5. Esaminare le informazioni nel riquadro a comparsa Modifiche alla simulazione di phishing sostituire il riquadro a comparsa salvato e quindi selezionare Chiudi.

Nella scheda Simulazione di phishing vengono visualizzate le voci di simulazione di phishing di terze parti configurate. Se sono state rimosse tutte le voci, l'elenco è vuoto.

Scenari aggiuntivi che richiedono il bypass del filtro

Oltre ai due scenari che possono essere utili per i criteri di recapito avanzati, potrebbero essere necessari altri scenari in cui potrebbe essere necessario ignorare il filtro per i messaggi:

Procedure di PowerShell per le cassette postali SecOps nei criteri di recapito avanzati

In PowerShell, gli elementi di base delle cassette postali SecOps nei criteri di recapito avanzati sono:

  • Criterio di override secOps: controllato dai cmdlet *-SecOpsOverridePolicy .
  • Regola di override SecOps: controllata dai cmdlet *-ExoSecOpsOverrideRule .

Questo comportamento ha i risultati seguenti:

  • Creare prima i criteri, quindi creare la regola che identifica i criteri a cui si applica la regola.
  • Quando si rimuove un criterio da PowerShell, viene rimossa anche la regola corrispondente.
  • Quando si rimuove una regola da PowerShell, i criteri corrispondenti non vengono rimossi. È necessario rimuovere manualmente i criteri corrispondenti.

Usare PowerShell per configurare le cassette postali SecOps

La configurazione di una cassetta postale SecOps nei criteri di recapito avanzati in PowerShell è un processo in due passaggi:

  1. Creare i criteri di sostituzione SecOps.
  2. Creare la regola di override SecOps che specifica i criteri a cui si applica la regola.

Passaggio 1: Usare PowerShell per creare i criteri di override secOps

In Exchange Online PowerShell usare la sintassi seguente:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Indipendentemente dal valore Name specificato, il nome del criterio è SecOpsOverridePolicy, quindi è possibile usare tale valore.

In questo esempio vengono creati i criteri cassetta postale SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-SecOpsOverridePolicy.

Passaggio 2: Usare PowerShell per creare la regola di override secOps

In Exchange Online PowerShell eseguire il comando seguente:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Indipendentemente dal valore Name specificato, il nome della regola sarà _Exe:SecOpsOverrid:<GUID\> [sic] dove <GUID> è un valore GUID univoco (ad esempio, 312c23cf-0377-4162-b93d-6548a9977efb9).

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ExoSecOpsOverrideRule.

Usare PowerShell per visualizzare i criteri di override secOps

In Exchange Online PowerShell questo esempio restituisce informazioni dettagliate sui criteri cassetta postale secOps uno e solo.

Get-SecOpsOverridePolicy

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-SecOpsOverridePolicy.

Usare PowerShell per visualizzare le regole di override secOps

In Exchange Online PowerShell questo esempio restituisce informazioni dettagliate sulle regole di override secOps.

Get-ExoSecOpsOverrideRule

Anche se il comando precedente deve restituire una sola regola, nei risultati potrebbe essere inclusa anche una regola in sospeso.

Questo esempio identifica la regola valida (una) e tutte le regole non valide.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Dopo aver identificato le regole non valide, è possibile rimuoverle usando il cmdlet Remove-ExoSecOpsOverrideRule , come descritto più avanti in questo articolo.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ExoSecOpsOverrideRule.

Usare PowerShell per modificare i criteri di override secOps

In Exchange Online PowerShell usare la sintassi seguente:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Questo esempio aggiunge secops2@contoso.com al criterio di override SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Nota

Se esiste una regola di override SecOps valida associata, vengono aggiornati anche gli indirizzi di posta elettronica nella regola.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-SecOpsOverridePolicy.

Usare PowerShell per modificare una regola di override secOps

Il cmdlet Set-ExoSecOpsOverrideRule non modifica gli indirizzi di posta elettronica nella regola di override SecOps. Per modificare gli indirizzi di posta elettronica nella regola di override SecOps, usare il cmdlet Set-SecOpsOverridePolicy .

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-ExoSecOpsOverrideRule.

Usare PowerShell per rimuovere i criteri di override secOps

In Exchange Online PowerShell questo esempio rimuove i criteri Cassetta postale SecOps e la regola corrispondente.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-SecOpsOverridePolicy.

Usare PowerShell per rimuovere le regole di override secOps

In Exchange Online PowerShell usare i comandi seguenti:

  • Rimuovere le regole di override secOps:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
    
  • Rimuovere la regola di override SecOps specificata:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
    

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-ExoSecOpsOverrideRule.

Procedure di PowerShell per simulazioni di phishing di terze parti nei criteri di recapito avanzati

In PowerShell, gli elementi di base delle simulazioni di phishing di terze parti nei criteri di recapito avanzati sono:

  • Il criterio di override della simulazione di phishing: controllato dai cmdlet *-PhishSimOverridePolicy .
  • Regola di override della simulazione di phishing: controllata dai cmdlet *-ExoPhishSimOverrideRule .
  • URL di simulazione di phishing consentiti (sbloccati): controllati dai cmdlet *-TenantAllowBlockListItems .

Nota

Come descritto in precedenza, l'identificazione degli URL non è necessaria per i collegamenti nelle simulazioni di phishing basate sulla posta elettronica. Facoltativamente, è possibile identificare i collegamenti nelle simulazioni di phishing non tramite posta elettronica (collegamenti nei messaggi di Teams o nei documenti di Office) che non devono essere considerati come minacce reali al momento del clic.

Questo comportamento ha i risultati seguenti:

  • Creare prima i criteri, quindi creare la regola che identifica i criteri a cui si applica la regola.
  • Le impostazioni nei criteri e nella regola verranno modificate separatamente.
  • Quando si rimuove un criterio da PowerShell, viene rimossa anche la regola corrispondente.
  • Quando si rimuove una regola da PowerShell, i criteri corrispondenti non vengono rimossi. È necessario rimuovere manualmente i criteri corrispondenti.

Usare PowerShell per configurare simulazioni di phishing di terze parti

La configurazione di una simulazione di phishing di terze parti in PowerShell è un processo in più passaggi:

  1. Creare i criteri di sostituzione della simulazione di phishing.
  2. Creare la regola di override della simulazione di phishing che specifica:
    • Criteri a cui si applica la regola.
    • Indirizzo IP di origine dei messaggi di simulazione del phishing.
  3. Facoltativamente, identificare gli URL di simulazione del phishing nelle simulazioni di phishing non tramite posta elettronica (collegamenti nei messaggi di Teams o nei documenti di Office) che non devono essere considerati come minacce reali al momento del clic.

Passaggio 1: Usare PowerShell per creare i criteri di sostituzione della simulazione di phishing

In Exchange Online PowerShell questo esempio crea i criteri di sostituzione della simulazione di phishing.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Indipendentemente dal valore Name specificato, il nome del criterio è PhishSimOverridePolicy, quindi è possibile usare tale valore.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-PhishSimOverridePolicy.

Passaggio 2: Usare PowerShell per creare la regola di override della simulazione di phishing

In Exchange Online PowerShell usare la sintassi seguente:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Indipendentemente dal valore Name specificato, il nome della regola sarà _Exe:PhishSimOverr:<GUID\> [sic] dove <GUID> è un valore GUID univoco (ad esempio, 6fed4b63-3563-495d-a481-b24a311f8329).

Una voce di indirizzo IP valida è uno dei valori seguenti:

  • IP singolo: ad esempio, 192.168.1.1.
  • Intervallo IP: ad esempio, 192.168.0.1-192.168.0.254.
  • IP CIDR: ad esempio, 192.168.0.1/25.

In questo esempio viene creata la regola di override della simulazione di phishing con le impostazioni specificate.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ExoPhishSimOverrideRule.

Passaggio 3: (Facoltativo) Usare PowerShell per identificare gli URL di simulazione del phishing per consentire

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Per informazioni dettagliate sulla sintassi dell'URL, vedere sintassi URL per l'elenco tenant consentiti/bloccati

In questo esempio viene aggiunta una voce URL allow per l'URL di simulazione di phishing di terze parti specificato senza scadenza.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListItems.

Usare PowerShell per visualizzare i criteri di sostituzione della simulazione di phishing

In Exchange Online PowerShell questo esempio restituisce informazioni dettagliate sui criteri di sostituzione di una sola simulazione di phishing.

Get-PhishSimOverridePolicy

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-PhishSimOverridePolicy.

Usare PowerShell per visualizzare le regole di sostituzione della simulazione del phishing

In Exchange Online PowerShell), questo esempio restituisce informazioni dettagliate sulle regole di sostituzione della simulazione di phishing.

Get-ExoPhishSimOverrideRule

Anche se il comando precedente deve restituire una sola regola, anche eventuali regole in sospeso potrebbero essere incluse nei risultati.

Questo esempio identifica la regola valida (una) e tutte le regole non valide.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Dopo aver identificato le regole non valide, è possibile rimuoverle usando il cmdlet Remove-ExoPhishSimOverrideRule , come descritto più avanti in questo articolo.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ExoPhishSimOverrideRule.

Usare PowerShell per visualizzare le voci di URL di simulazione di phishing consentite

In Exchange Online PowerShell eseguire il comando seguente:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListItems.

Usare PowerShell per modificare i criteri di sostituzione della simulazione di phishing

In Exchange Online PowerShell usare la sintassi seguente:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

In questo esempio vengono disabilitati i criteri di sostituzione della simulazione di phishing.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-PhishSimOverridePolicy.

Usare PowerShell per modificare le regole di override della simulazione di phishing

In Exchange Online PowerShell usare la sintassi seguente:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

o

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Usare il cmdlet Get-ExoPhishSimOverrideRule per trovare i <valori PhishSimOverrideRuleIdentity> . Il nome della regola usa la sintassi seguente: _Exe:PhishSimOverr:<GUID\> [sic] dove <GUID> è un valore GUID univoco (ad esempio, 6fed4b63-3563-495d-a481-b24a311f8329).

Questo esempio modifica la regola di override della simulazione di phishing (presumibilmente solo) con le impostazioni seguenti:

  • Aggiungere la voce di dominio blueyonderairlines.com.
  • Rimuovere la voce indirizzo IP 192.168.1.55.

Queste modifiche non influiscono sulle voci esistenti nella regola.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-ExoPhishSimOverrideRule.

Usare PowerShell per modificare le voci di URL di simulazione di phishing consentite

Non è possibile modificare direttamente i valori url. È possibile rimuovere le voci url esistenti e aggiungere nuove voci URL come descritto in questo articolo.

In Exchange Online PowerShell, per modificare altre proprietà di una voce di URL di simulazione di phishing consentita (ad esempio, la data di scadenza o i commenti), usare la sintassi seguente:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

È possibile identificare la voce da modificare in base ai relativi valori URL (il parametro Entries ) o al valore Identity dall'output del cmdlet Get-TenantAllowBlockListItems (il parametro Ids ).

In questo esempio viene modificata la data di scadenza della voce specificata.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListItems.

Usare PowerShell per rimuovere un criterio di sostituzione della simulazione di phishing

In Exchange Online PowerShell questo esempio rimuove i criteri di sostituzione della simulazione di phishing e la regola corrispondente.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-PhishSimOverridePolicy.

Usare PowerShell per rimuovere le regole di override della simulazione di phishing

In Exchange Online PowerShell usare i comandi seguenti:

  • Rimuovere le regole di override della simulazione di phishing:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
    
  • Rimuovere la regola di override della simulazione di phishing specificata:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
    

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-ExoPhishSimOverrideRule.

Usare PowerShell per rimuovere le voci di URL di simulazione di phishing consentite

In Exchange Online PowerShell usare la sintassi seguente:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

È possibile identificare la voce da modificare in base ai relativi valori URL (il parametro Entries ) o al valore Identity dall'output del cmdlet Get-TenantAllowBlockListItems (il parametro Ids ).

In questo esempio viene modificata la data di scadenza della voce specificata.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListItems.