Konfigurer den avanserte leveringspolicyen for tredjeparts phishing-simuleringer og e-postlevering til SecOps-postbokser
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Hvis du vil holde organisasjonen sikker som standard, tillater ikke Exchange Online Protection (EOP) klarerte lister eller filtreringsforbikobling for meldinger som identifiseres som skadelig programvare eller phishing med høy visshet. Det finnes imidlertid bestemte scenarioer som krever levering av ufiltrerte meldinger. Eksempel:
- Tredjeparts phishing-simuleringer: Simulerte angrep kan hjelpe deg med å identifisere og lære opp sårbare brukere før et reelt angrep påvirker organisasjonen.
- Postbokser for sikkerhetsoperasjoner (SecOps): Dedikerte postbokser som brukes av sikkerhetsteam til å samle inn og analysere ufiltrerte meldinger (både gode og dårlige).
Bruk den avanserte leveringspolicyen i EOP for å hindre at innkommende meldinger i disse bestemte scenariene filtreres ¹. Den avanserte leveringspolicyen sikrer at meldinger i disse scenariene oppnår følgende resultater:
- Filtre i EOP og Defender for Office 365 ikke gjøre noe med disse meldingene. Filtrering av skadelig programvare omgås bare for SecOps-postbokser.
- Nulltimers tømming (ZAP) for søppelpost og phishing utfører ingen handling på disse meldingene. ZAP for skadelig programvare omgås bare for SecOps-postbokser.
- Klarerte koblinger i Defender for Office 365 blokkerer eller detonerer ikke de angitte URL-adressene i disse meldingene når du klikker. URL-adresser er fortsatt brutt, men de er ikke blokkert.
- Klarerte vedlegg i Defender for Office 365 detonerer ikke vedlegg i disse meldingene.
- Standard systemvarsler utløses ikke for disse scenariene.
- LUFT og klynger i Defender for Office 365 ignorerer disse meldingene.
- Spesielt for tredjeparts phishing-simuleringer:
- Admin innsending genererer et automatisk svar som sier at meldingen er en del av en phishing-simuleringskampanje og ikke er en reell trussel. Varsler og LUFT utløses ikke. Opplevelsen for administratorinnsendinger viser disse meldingene som en simulert trussel.
- Når en bruker rapporterer en phishing-simuleringsmelding ved hjelp av den innebygde rapportknappen i Outlook eller microsoft-rapportmeldingen eller Phishing-tilleggene for rapporter, genererer ikke systemet et varsel, en undersøkelse eller en hendelse. Koblingene eller filene detoneres ikke, men meldingen vises på fanen Bruker rapportert på siden Innsendinger .
Meldinger som identifiseres av den avanserte leveringspolicyen, er ikke sikkerhetstrusler, så meldingene er merket med systemoverstyringer. Admin-opplevelser viser disse meldingene som overstyringer av Phishing-simulering eller SecOps-postbokssystem. Administratorer kan bruke disse verdiene til å filtrere og analysere meldinger i følgende opplevelser:
- Trusselutforsker (Explorer) eller sanntidsregistreringer i Defender for Office 365: Administratorer kan filtrere etter systemoverstyringskilde og velge Phishing-simulering eller SecOps-postboks.
- E-postenhetssiden: Administratorer kan vise en melding som ble tillatt av organisasjonspolicyen av SecOps-postboksen eller Phishing-simuleringen under Overstyring i overstyringsdelen(e).
- Statusrapporten trusselbeskyttelse: Admin kan filtrere etter visningsdata etter systemoverstyring i rullegardinmenyen og velge å se meldinger som er tillatt på grunn av overstyring av et phishing-simuleringssystem. Hvis du vil se meldinger som tillates av SecOps-postboksoverstyringen, kan du velge diagramoversikt etter leveringsplassering i diagrammets nedbryting etter rullegardinliste for årsak.
- Avansert jakt i Microsoft Defender for endepunkt: Phishing-simulering og SecOps-postbokssystemoverstyringer er alternativer i OrgLevelPolicy i EmailEvents.
- Kampanjevisninger: Admin kan filtrere etter systemoverstyringskilde og velge enten Phishing-simulering eller SecOps-postboks.
Hva må du vite før du begynner?
Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til avansert levering-siden , bruker https://security.microsoft.com/advanceddeliverydu .
Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.
Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:
Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
E-post & samarbeidstillatelser i Microsoft Defender-portalen og Exchange Online tillatelser:
- Opprett, endre eller fjern konfigurerte innstillinger i den avanserte leveringspolicyen: Medlemskap i rollegruppene for sikkerhetsadministrator i e-& samarbeids-RBAC og medlemskap i rollegruppen organisasjonsadministrasjon i Exchange Online RBAC.
-
Skrivebeskyttet tilgang til den avanserte leveringspolicyen: Medlemskap i rollegruppene global leser eller sikkerhetsleser i rbac for e-&-samarbeid.
- Skrivebeskyttet organisasjonsadministrasjon i Exchange Online RBAC.
Microsoft Entra tillatelser: Medlemskap i rollene global administrator*, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.
Viktig
* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Bruk Microsoft Defender-portalen til å konfigurere SecOps-postbokser i den avanserte leveringspolicyen
Gå til E-post & Samarbeidspolicyer>& Regler>Trusselpolicyer>Avansert levering i Regler-delen i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til avansert levering-siden , kan du bruke https://security.microsoft.com/advanceddelivery.
Kontroller at fanen SecOps-postboks er valgt på avansert levering-siden.
Velg Legg til-knappen i det konfigurerte området for Ingen SecOps-postbokser på fanen SecOps-postboks.
Hvis det allerede finnes oppføringer på SecOps-postboksfanen , velger du Rediger ( Legg til-knappen er ikke tilgjengelig).
Skriv inn en eksisterende Exchange Online postboks som du vil angi som SecOps-postboks, i undermenyen Legg til SecOps-postbokser som åpnes:
Klikk i boksen, la listen over postbokser løses, og velg deretter postboksen.
Klikk i boksen begynn å skrive inn en identifikator for postboksen (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), og velg postboksen (visningsnavnet) fra resultatene.
Gjenta dette trinnet så mange ganger det er nødvendig. Distribusjonsgrupper er ikke tillatt.
Hvis du vil fjerne en eksisterende verdi, velger du Fjern ved siden av verdien.
Når du er ferdig i undermenyen Legg til SecOps-postbokser , velger du Legg til..
Se gjennom informasjonen i overstyringen av lagret undermeny for Endringer i SecOps-postboksen , og velg deretter Lukk.
Tilbake på SecOps-postboksfanen er SecOps-postboksoppføringene du konfigurerte, nå oppført:
- Kolonnen Visningsnavn inneholder visningsnavnet for postboksene.
- E-post-kolonnen inneholder e-postadressen for hver oppføring.
- Hvis du vil endre listen over oppføringer fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.
Bruk Microsoft Defender-portalen til å endre eller fjerne SecOps-postbokser i den avanserte leveringspolicyen
Gå til E-post & Samarbeidspolicyer>& Regler>Trusselpolicyer>Avansert levering i Regler-delen i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til avansert levering-siden , kan du bruke https://security.microsoft.com/advanceddelivery.
Kontroller at fanen SecOps-postboks er valgt på avansert levering-siden.
Velg Rediger på Fanen SecOps-postboks.
I undermenyen Rediger SecOps-postbokser som åpnes, legger du til eller fjerner postbokser som beskrevet i trinn 3 i Bruk Microsoft Defender-portalen til å konfigurere SecOps-postbokser i delen for avansert leveringspolicy.
Hvis du vil fjerne alle postboksene, velger du Fjern ved siden av hver verdi til det ikke er valgt flere postbokser.
Når du er ferdig i undermenyen Rediger SecOps-postbokser , velger du Lagre.
Se gjennom informasjonen i overstyringen av lagret undermeny for Endringer i SecOps-postboksen , og velg deretter Lukk.
Tilbake på SecOps-postboksfanen vises SecOps-postboksoppføringene du konfigurerte. Hvis du fjernet alle oppføringene, er listen tom.
Bruk Microsoft Defender-portalen til å konfigurere tredjeparts phishing-simuleringer i den avanserte leveringspolicyen
Hvis du vil konfigurere en tredjeparts phishing-simulering, må du oppgi følgende informasjon:
- Minst ett domene: Domenet fra MAIL FROM-adressen (også kjent som
5321.MailFrom
adresse, P1-avsender eller konvoluttavsender) som brukes i SMTP-overføringen av meldingen eller et DKIM-domene, som angitt av leverandøren av phishing-simulering. - Minst én sending av IP.
- For phishing-simuleringer som ikke er via e-post (for eksempel Microsoft Teams-meldinger, Word dokumenter eller Excel-regneark), kan du eventuelt identifisere simuleringsnettadressene slik at de ikke skal behandles som reelle trusler ved klikk: NETTADRESSEne blokkeres eller detoneres ikke, og ingen varsler om nettadresseklikk eller resulterende hendelser genereres. URL-adressene brytes når du klikker, men de blokkeres ikke.
Det må være et treff på minst ett domene og én ip for sending, men ingen tilknytning mellom verdier opprettholdes.
Hvis MX-posten ikke peker til Microsoft 365, må IP-adressen i Authentication-results
hodet samsvare med IP-adressen i den avanserte leveringspolicyen. Hvis IP-adressene ikke samsvarer, må du kanskje konfigurere utvidet filtrering for koblinger slik at riktig IP-adresse oppdages.
Obs!
Forbedret filtrering for koblinger fungerer ikke for tredjeparts phishing-simuleringer i e-postrutingsscenarioer som involverer at e-post kommer til Exchange online to ganger (for eksempel Internett-e-post rutet til Microsoft 365, deretter til et lokalt miljø eller en tredjeparts sikkerhetstjeneste, og deretter tilbake til Microsoft 365). EOP kan ikke identifisere den sanne IP-adressen til meldingskilden. Ikke prøv å omgå denne begrensningen ved å legge til IP-adressene til den lokale eller tredjeparts sendeinfrastrukturen til tredjeparts phishing-simulering. Dette omgår effektivt søppelpostfiltrering for alle Internett-avsendere som utgir seg for å være domenet som er angitt i tredjeparts phishing-simulering. Rutingscenarioer der MX-posten peker til en tredjepartstjeneste, og deretter rutes e-post til Exchange Online, hvis utvidet filtrering for koblinger er konfigurert.
For øyeblikket støtter ikke den avanserte leveringspolicyen for tredjeparts phishing-simuleringer simuleringer i samme organisasjon (DIR:INT
spesielt når e-post rutes gjennom en Exchange Server gateway før Microsoft 365 i hybrid e-postflyt. Hvis du vil omgå dette problemet, har du følgende alternativer:
- Opprett en dedikert send-kobling som ikke godkjenner phishing-simuleringsmeldingene som interne.
- Konfigurer phishing-simuleringen for å omgå Exchange Server infrastruktur og rute e-post direkte til Microsoft 365 MX-posten (for eksempel contoso-com.mail.protection.outlook.com).
- Selv om du kan angi at meldingsskanning på intraorganisasjon skal skannes til Ingen i policyer for søppelpost , anbefaler vi ikke dette alternativet fordi det påvirker andre e-postmeldinger.
Hvis du bruker den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse eller de egendefinerte policyene for klarerte koblinger, har innstillingen Ikke skriv nettadresser på nytt, gjør kontroller via Bare SafeLinks API aktivert, og tidspunktet for klikkbeskyttelsen behandler ikke phishing-simuleringskoblinger i e-post som trusler i Outlook på nettet, Outlook for iOS og Android, Outlook for Windows v16.0.15317.10000 eller nyere, og Outlook for Mac v16.74 (23061100) eller nyere. Hvis du bruker eldre versjoner av Outlook, bør du vurdere å deaktivere URL-adresser for ikke å skrive om, utføre kontroller via API for SafeLinks som bare er angitt i egendefinerte policyer for klarerte koblinger.
Hvis du legger til nettadresser for phishing-simulering i delen Ikke skriv om følgende nettadresser i e-post i policyer for klarerte koblinger, kan det føre til uønskede varsler for nettadresseklikk. Nettadresser for phishing-simulering i e-postmeldinger tillates automatisk både under e-postflyten og ved klikk.
For øyeblikket støtter ikke den avanserte leveringspolicyen for SecOps-postbokser intraorganisasjonsmeldinger (DIR:INT
), og disse meldingene blir satt i karantene. Som en midlertidig løsning kan du bruke en separat policy for søppelpost for SecOps-postbokser som ikke setter intraorganisasjonsmeldinger i karantene. Vi anbefaler ikke at du deaktiverer intra-org-beskyttelse for alle postbokser.
Gå til E-post & Samarbeidspolicyer>& Regler>Trusselpolicyer>Avansert levering i Regler-delen i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til avansert levering-siden , kan du bruke https://security.microsoft.com/advanceddelivery.
Velg Phishing-simuleringsfanen på avansert levering-siden.
Velg Legg til-knappen i området For phishing-simuleringer som er konfigurert av ingen tredjeparter, på fanen Phishing-simulering.
Hvis det allerede finnes oppføringer på Phishing-simuleringsfanen , velger du Rediger ( Legg til-knappen er ikke tilgjengelig).
Konfigurer følgende innstillinger i undermenyen Legg til tredjeparts phishing-simuleringer som åpnes:
Domene: Utvid denne innstillingen, og skriv inn minst ett e-postadressedomene ved å klikke i boksen, skrive inn en verdi (for eksempel contoso.com), og deretter trykke ENTER eller velge verdien som vises under boksen. Gjenta dette trinnet så mange ganger det er nødvendig. Du kan legge til opptil 50 oppføringer. Bruk én av følgende verdier:
- Domenet i
5321.MailFrom
adressen (også kjent som MAIL FROM-adressen , P1-avsenderen eller konvoluttavsenderen) som brukes i SMTP-overføringen av meldingen. - DKIM-domenet som angitt av leverandøren av phishing-simulering.
- Domenet i
Sender IP: Utvid denne innstillingen, og angi minst én gyldig IPv4-adresse ved å klikke i boksen, skrive inn en verdi og deretter trykke ENTER eller velge verdien som vises under boksen. Gjenta dette trinnet så mange ganger det er nødvendig. Du kan legge til opptil ti oppføringer. Gyldige verdier er:
- Enkel IP-adresse: For eksempel 192.168.1.1.
- IP-område: For eksempel 192.168.0.1-192.168.0.254.
- CIDR IP: For eksempel 192.168.0.1/25.
Simulerings-NETTADRESSEr som skal tillates: Denne innstillingen er ikke nødvendig for koblinger i phishing-simuleringer i e-post. Bruk denne innstillingen til å identifisere koblinger i phishing-simuleringer uten e-post (koblinger i Teams-meldinger eller i Office-dokumenter ) som ikke skal behandles som reelle trusler ved klikk.
Legg til url-adresseoppføringer ved å utvide denne innstillingen, klikke i boksen, skrive inn en verdi og deretter trykke ENTER eller velge verdien som vises under boksen. Du kan legge til opptil 30 oppføringer. Hvis du vil se syntaksen for URL-adressen, kan du se url-syntaksen for leierens tillatelses-/blokkeringsliste.
Hvis du vil fjerne en eksisterende domene-, IP- eller URL-verdi, velger du Fjern ved siden av verdien.
Vurder følgende eksempel:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- IP-adressen for tilkoblingen er 172.17.17.7.
- Domenet i MAIL FROM-adressen (
smtp.mailfrom
) er contoso.com. - DKIM-domenet (
header.d
) er contoso-simulation.com.
Fra eksemplet kan du bruke én av følgende kombinasjoner til å konfigurere en tredjeparts phishing-simulering:
Domene: contoso.com
Sender IP: 172.17.17.7Domene: contoso-simulation.com
Sender IP: 172.17.17.7Når du er ferdig med undermenyen Legg til tredjeparts phishing-simuleringer , velger du Legg til.
Se gjennom informasjonen i overstyringen av lagrede undermenyer for endringer i phishingsimulering , og velg deretter Lukk.
Når du er tilbake på Phishing-simuleringsfanen , er tredjeparts phishing-simuleringsoppføringer som du konfigurerte, nå oppført:
- Verdikolonnen inneholder domenet, IP-adressen eller URL-adressen.
- Type-kolonnen inneholder verdien sending av IP, domene eller tillatt simuleringsnettadresse for hver oppføring.
- Dato-kolonnen viser når oppføringen ble opprettet.
- Hvis du vil endre listen over oppføringer fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.
Bruk Microsoft Defender-portalen til å endre eller fjerne tredjeparts phishing-simuleringer i den avanserte leveringspolicyen
Gå til E-post & Samarbeidspolicyer>& Regler>Trusselpolicyer>Avansert levering i Regler-delen i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til avansert levering-siden , kan du bruke https://security.microsoft.com/advanceddelivery.
Velg Phishing-simuleringsfanen på avansert levering-siden.
Velg Rediger på Phishing-simuleringsfanen.
I undermenyen Rediger tredjeparts phishing-simulering som åpnes, legger du til eller fjerner oppføringer for nettadresser for domene, sending av IP og simulering, som beskrevet i trinn 3 i Bruk Microsoft Defender-portalen til å konfigurere SecOps-postbokser i delen for avansert leveringspolicy.
Hvis du vil fjerne alle oppføringene, velger du Fjern ved siden av hver verdi til det ikke er valgt flere domener, IP-er eller URL-adresser.
Når du er ferdig med undermenyen Rediger tredjeparts phishing-simulering , velger du Lagre.
Se gjennom informasjonen i overstyringen av lagrede undermenyer for endringer i phishingsimulering , og velg deretter Lukk.
Når du er tilbake på Phishing-simuleringsfanen , vises tredjeparts phishing-simuleringsoppføringer som du konfigurerte. Hvis du fjernet alle oppføringene, er listen tom.
Flere scenarioer som krever filtrerings omgåelse
I tillegg til de to scenariene som den avanserte leveringspolicyen kan hjelpe deg med, finnes det andre scenarioer der du kanskje må hoppe over filtrering for meldinger:
Tredjepartsfiltre: Hvis domenets MX-post ikke peker til Office 365 (meldinger rutes et annet sted først), er ikkesikker som standard tilgjengelig. Hvis du vil legge til beskyttelse, må du aktivere utvidet filtrering for koblinger (også kjent som hopp over oppføring). Hvis du vil ha mer informasjon, kan du se Administrere e-postflyt ved hjelp av en tredjeparts skytjeneste med Exchange Online. Hvis du ikke vil ha utvidet filtrering for koblinger, kan du bruke regler for e-postflyt (også kalt transportregler) til å omgå Microsoft-filtrering for meldinger som allerede er evaluert av tredjepartsfiltrering. Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å angi SCL i meldinger.
Falske positiver under gjennomgang: Du vil kanskje midlertidig tillate gode meldinger som feilaktig identifiseres som dårlige (falske positiver) som du rapporterte via administratorinnsendinger, men meldingene analyseres fortsatt av Microsoft. Som med alle overstyringer anbefalte vi på det sterkeste at disse kvotene er midlertidige.
PowerShell-prosedyrer for SecOps-postbokser i den avanserte leveringspolicyen
I PowerShell er de grunnleggende elementene i SecOps-postbokser i den avanserte leveringspolicyen:
- SecOps-overstyringspolicyen: Kontrollert av cmdletene *-SecOpsOverridePolicy .
- SecOps-overstyringsregelen: Kontrollert av cmdletene *-ExoSecOpsOverrideRule .
Denne virkemåten har følgende resultater:
- Du oppretter policyen først, og deretter oppretter du regelen som identifiserer policyen som regelen gjelder for.
- Når du fjerner en policy fra PowerShell, fjernes også den tilsvarende regelen.
- Når du fjerner en regel fra PowerShell, fjernes ikke den tilsvarende policyen. Du må fjerne den tilsvarende policyen manuelt.
Bruke PowerShell til å konfigurere SecOps-postbokser
Konfigurering av en SecOps-postboks i den avanserte leveringspolicyen i PowerShell er en totrinnsprosess:
- Opprett policyen for overstyring av SecOps.
- Opprett SecOps-overstyringsregelen som angir policyen som regelen gjelder for.
Trinn 1: Bruk PowerShell til å opprette policyen for overstyring av SecOps
Bruk følgende syntaks i Exchange Online PowerShell:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
Uavhengig av navneverdien du angir, er policynavnet SecOpsOverridePolicy, så du kan like godt bruke denne verdien.
Dette eksemplet oppretter postbokspolicyen SecOps.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-SecOpsOverridePolicy.
Trinn 2: Bruke PowerShell til å opprette SecOps-overstyringsregelen
Kjør følgende kommando i Exchange Online PowerShell:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
Uavhengig av navneverdien du angir, vil regelnavnet være _Exe:SecOpsOverrid:<GUID\>
[sic] der <GUID> er en unik GUID-verdi (for eksempel 312c23cf-0377-4162-b93d-6548a9977efb9).
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-ExoSecOpsOverrideRule.
Bruk PowerShell til å vise policyen for overstyring av SecOps
I Exchange Online PowerShell returnerer dette eksemplet detaljert informasjon om én og bare Policy for SecOps-postboks.
Get-SecOpsOverridePolicy
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-SecOpsOverridePolicy.
Bruk PowerShell til å vise Overstyringsregler for SecOps
I Exchange Online PowerShell returnerer dette eksemplet detaljert informasjon om SecOps-overstyringsregler.
Get-ExoSecOpsOverrideRule
Selv om den forrige kommandoen bare skal returnere én regel, kan en regel som venter på sletting, også inkluderes i resultatene.
Dette eksemplet identifiserer den gyldige regelen (én) og eventuelle ugyldige regler.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
Når du har identifisert de ugyldige reglene, kan du fjerne dem ved hjelp av cmdleten Remove-ExoSecOpsOverrideRule som beskrevet senere i denne artikkelen.
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-ExoSecOpsOverrideRule.
Bruk PowerShell til å endre overstyringspolicyen for SecOps
Bruk følgende syntaks i Exchange Online PowerShell:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Dette eksemplet legger secops2@contoso.com
til secops-overstyringspolicyen.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Obs!
Hvis det finnes en tilknyttet, gyldig SecOps-overstyringsregel, oppdateres også e-postadressene i regelen.
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-SecOpsOverridePolicy.
Bruke PowerShell til å endre en SecOps-overstyringsregel
Cmdleten Set-ExoSecOpsOverrideRule endrer ikke e-postadressene i SecOps-overstyringsregelen. Hvis du vil endre e-postadressene i SecOps-overstyringsregelen, bruker du cmdleten Set-SecOpsOverridePolicy .
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-ExoSecOpsOverrideRule.
Bruk PowerShell til å fjerne policyen for overstyring av SecOps
I Exchange Online PowerShell fjerner dette eksemplet Policyen for SecOps-postboks og tilsvarende regel.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-SecOpsOverridePolicy.
Bruke PowerShell til å fjerne SecOps-overstyringsregler
Bruk følgende kommandoer i Exchange Online PowerShell:
Fjern eventuelle SecOps-overstyringsregler:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
Fjern den angitte SecOps-overstyringsregelen:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-ExoSecOpsOverrideRule.
PowerShell-prosedyrer for tredjeparts phishing-simuleringer i den avanserte leveringspolicyen
I PowerShell er de grunnleggende elementene i tredjeparts phishing-simuleringer i den avanserte leveringspolicyen:
- Policyen for overstyring av phishing-simulering: Kontrollert av cmdletene *-PhishSimOverridePolicy .
- Overstyringsregelen for phishing-simulering: Kontrollert av cmdletene *-ExoPhishSimOverrideRule .
- Tillatte (ublokkerte) nettadresser for phishing-simulering: Kontrollert av cmdletene *-TenantAllowBlockListItems .
Obs!
Som tidligere beskrevet er det ikke nødvendig å identifisere nettadresser for koblinger i e-postbaserte phishing-simuleringer. Du kan eventuelt identifisere koblinger i phishing-simuleringer uten e-post (koblinger i Teams-meldinger eller i Office-dokumenter ) som ikke skal behandles som reelle trusler ved klikk.
Denne virkemåten har følgende resultater:
- Du oppretter policyen først, og deretter oppretter du regelen som identifiserer policyen som regelen gjelder for.
- Du endrer innstillingene i policyen og regelen separat.
- Når du fjerner en policy fra PowerShell, fjernes også den tilsvarende regelen.
- Når du fjerner en regel fra PowerShell, fjernes ikke den tilsvarende policyen. Du må fjerne den tilsvarende policyen manuelt.
Bruke PowerShell til å konfigurere tredjeparts phishing-simuleringer
Konfigurering av en tredjeparts phishing-simulering i PowerShell er en flertrinnsprosess:
- Opprett policyen for overstyring av phishing-simulering.
- Opprett regelen for overstyring av phishing-simulering som angir:
- Policyen som regelen gjelder for.
- Kilde-IP-adressen til phishing-simuleringsmeldingene.
- Du kan eventuelt identifisere nettadressene for phishing-simuleringer i phishing-simuleringer uten e-post (koblinger i Teams-meldinger eller i Office-dokumenter ) som ikke skal behandles som reelle trusler når du klikker.
Trinn 1: Bruk PowerShell til å opprette policyen for overstyring av phishing-simulering
I Exchange Online PowerShell oppretter dette eksemplet policyen for overstyring av phishing-simulering.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
Uavhengig av navneverdien du angir, er policynavnet PhishSimOverridePolicy, så du kan like godt bruke den verdien.
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-PhishSimOverridePolicy.
Trinn 2: Bruk PowerShell til å opprette regelen for overstyring av phishing-simulering
Bruk følgende syntaks i Exchange Online PowerShell:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
Uavhengig av navneverdien du angir, vil regelnavnet være _Exe:PhishSimOverr:<GUID\>
[sic] der <GUID> er en unik GUID-verdi (for eksempel 6fed4b63-3563-495d-a481-b24a311f8329).
En gyldig IP-adresseoppføring er én av følgende verdier:
- Enkel IP-adresse: For eksempel 192.168.1.1.
- IP-område: For eksempel 192.168.0.1-192.168.0.254.
- CIDR IP: For eksempel 192.168.0.1/25.
Dette eksemplet oppretter phishing-simuleringsoverstyringsregelen med de angitte innstillingene.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-ExoPhishSimOverrideRule.
Trinn 3: (Valgfritt) Bruk PowerShell til å identifisere nettadressene for phishing-simulering som skal tillates
Bruk følgende syntaks i Exchange Online PowerShell:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Hvis du vil ha mer informasjon om syntaksen for nettadressen, kan du se syntaksen for nettadressen for leierens tillatelses-/blokkeringsliste
Dette eksemplet legger til en url-adresse som tillater oppføring for den angitte url-adressen for phishing-simulering fra tredjepart uten utløpsdato.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListItems.
Bruk PowerShell til å vise policyen for overstyring av phishing-simulering
I Exchange Online PowerShell returnerer dette eksemplet detaljert informasjon om policyen for overstyring av én og bare phishingsimulering.
Get-PhishSimOverridePolicy
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-PhishSimOverridePolicy.
Bruk PowerShell til å vise overstyringsregler for phishing-simulering
I Exchange Online PowerShell) returnerer dette eksemplet detaljert informasjon om overstyringsregler for phishing-simulering.
Get-ExoPhishSimOverrideRule
Selv om den forrige kommandoen bare skal returnere én regel, kan alle regler som venter på sletting, også inkluderes i resultatene.
Dette eksemplet identifiserer den gyldige regelen (én) og eventuelle ugyldige regler.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
Når du har identifisert de ugyldige reglene, kan du fjerne dem ved hjelp av cmdleten Remove-ExoPhishSimOverrideRule som beskrevet senere i denne artikkelen.
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-ExoPhishSimOverrideRule.
Bruk PowerShell til å vise de tillatte nettadressene for phishing-simulering
Kjør følgende kommando i Exchange Online PowerShell:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TenantAllowBlockListItems.
Bruk PowerShell til å endre policyen for overstyring av phishing-simulering
Bruk følgende syntaks i Exchange Online PowerShell:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
Dette eksemplet deaktiverer policyen for overstyring av phishing-simulering.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-PhishSimOverridePolicy.
Bruk PowerShell til å endre overstyringsregler for phishing-simulering
Bruk følgende syntaks i Exchange Online PowerShell:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
eller
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Bruk cmdleten Get-ExoPhishSimOverrideRule til å finne <PhishSimOverrideRuleIdentity-verdiene> . Navnet på regelen bruker følgende syntaks: _Exe:PhishSimOverr:<GUID\>
[sic] der <GUID> er en unik GUID-verdi (for eksempel 6fed4b63-3563-495d-a481-b24a311f8329).
Dette eksemplet endrer (antagelig bare) phishing-simuleringsoverstyringsregelen med følgende innstillinger:
- Legg til domeneoppføringen blueyonderairlines.com.
- Fjern IP-adresseoppføringen 192.168.1.55.
Disse endringene påvirker ikke eksisterende oppføringer i regelen.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-ExoPhishSimOverrideRule.
Bruk PowerShell til å endre tillatte nettadresseoppføringer for phishing-simulering
Du kan ikke endre url-verdiene direkte. Du kan fjerne eksisterende url-oppføringer og legge til nye URL-adresseoppføringer som beskrevet i denne artikkelen.
Hvis du vil endre andre egenskaper for en tillatt url-oppføring for phishing-simulering (for eksempel utløpsdatoen eller kommentarer), bruker du følgende syntaks i Exchange Online PowerShell:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
Du identifiserer oppføringen som skal endres av url-verdiene (parameteren Entries ) eller identitetsverdien fra utdataene til cmdleten Get-TenantAllowBlockListItems ( ID-parameteren ).
Dette eksemplet endret utløpsdatoen for den angitte oppføringen.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TenantAllowBlockListItems.
Bruke PowerShell til å fjerne en policy for overstyring av phishing-simulering
I Exchange Online PowerShell fjerner dette eksemplet policyen for overstyring av phishing-simulering og tilsvarende regel.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-PhishSimOverridePolicy.
Bruke PowerShell til å fjerne overstyringsregler for phishing-simulering
Bruk følgende kommandoer i Exchange Online PowerShell:
Fjern eventuelle overstyringsregler for phishing-simulering:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
Fjern den angitte overstyringsregelen for phishing-simulering:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-ExoPhishSimOverrideRule.
Bruk PowerShell til å fjerne de tillatte nettadressene for phishing-simulering
Bruk følgende syntaks i Exchange Online PowerShell:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
Du identifiserer oppføringen som skal endres av url-verdiene (parameteren Entries ) eller identitetsverdien fra utdataene til cmdleten Get-TenantAllowBlockListItems ( ID-parameteren ).
Dette eksemplet endret utløpsdatoen for den angitte oppføringen.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-TenantAllowBlockListItems.