I Microsoft 365-organisasjoner med Microsoft Defender for Office 365 Plan 2 identifiserer og kategoriserer kampanjene koordinerte phishing- og malware-e-postangrep. Microsofts kategorisering av e-postangrep i diskrete kampanjer hjelper deg med å:
Undersøk og svar effektivt på e-postangrep.
Bedre forståelse av omfanget av e-postangrepet som er rettet mot organisasjonen.
Vis verdien av Microsoft Defender for Office 365 til beslutningstakere for å forhindre e-posttrusler.
Med kampanjefunksjonen kan du se det generelle bildet av et e-postangrep raskere og mer fullstendig enn noe menneske.
Se denne korte videoen om hvordan kampanjer i Microsoft Defender for Office 365 hjelpe deg med å forstå koordinerte e-postangrep som er rettet mot organisasjonen.
Hva er en kampanje?
En kampanje er et koordinert e-postangrep mot én eller mange organisasjoner. E-postangrep som stjeler legitimasjon og firmadata, er en stor og lukrativ bransje. Etter hvert som teknologiene øker for å stoppe angrep, endrer angriperne metodene sine for å sikre fortsatt suksess.
Microsoft bruker de enorme mengdene av data om anti-phishing, søppelpost og skadelig programvare fra hele tjenesten for å identifisere kampanjer. Vi analyserer og klassifiserer angrepsinformasjonen i henhold til flere faktorer. Eksempel:
Angrepskilde: Kilde-IP-adressene og avsenderens e-postdomener.
Meldingsegenskaper: Innholdet, stilen og tonen i meldingene.
Meldingsmottakere: Hvordan mottakere er relatert. For eksempel mottakerdomener, mottakerjobbfunksjoner (administratorer, ledere osv.), firmatyper (store, små, offentlige, private osv.) og bransjer.
Nyttelast for angrep: Skadelige koblinger, vedlegg eller andre nyttelaster i meldingene.
En kampanje kan være kortvarig, eller kan strekke seg over flere dager, uker eller måneder med aktive og inaktive perioder. En kampanje kan startes spesielt mot organisasjonen din, eller organisasjonen kan være en del av en større kampanje på tvers av flere firmaer.
Nødvendige lisenser og tillatelser
Kampanjefunksjonen er tilgjengelig i organisasjoner med Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5).
Du må være tilordnet tillatelser for å vise informasjon om kampanjer som beskrevet i denne artikkelen. Du har følgende alternativer:
Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Sikkerhetsoperasjoner/rådata (e-post & samarbeid)/meldingshoder for e-postmeldinger (lest).
Microsoft Entra tillatelser: Medlemskap i rollene global administrator*, sikkerhetsadministrator eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.
Viktig
* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Et diagramområde der du kan bruke de tilgjengelige pivotene til å organisere diagrammet på forskjellige måter. Diagrammet bruker som standard pivot for kampanjetype , selv om denne pivoten ikke ser ut til å være valgt.
Et detaljområde som er satt til Kampanje-fanen som standard
Tips
Hvis du ikke ser noen kampanjedata eller svært begrensede data, kan du prøve å endre datointervallet eller filtrene.
Fanen Kampanje for alle e-postmeldinger> i detaljområdet under diagrammet.
Fanen Kampanje for > skadelig programvare vises i detaljområdet under diagrammet.
Fanen Phish-visningskampanje> i detaljområdet under diagrammet.
Hvis du har et Microsoft Defender for endepunkt abonnement, er kampanjeinformasjon knyttet til Microsoft Defender for endepunkt.
Diagramområde på Kampanje-siden
Diagramområdet viser et stolpediagram på Kampanje-siden som viser antall mottakere per dag. Grafen viser som standard både skadelig programvare og phish-data .
Hvis du vil filtrere informasjonen som vises i diagrammet og i detaljtabellen, endrer du filtrene.
Endre organiseringen av diagrammet ved å velge Kampanjetype, og velg deretter én av følgende verdier i rullegardinlisten:
Kampanjenavn
Kampanjeundertype
Avsenderdomene
IP-adresse for avsender
Leveringshandling
Gjenkjenningsteknologi
Fullstendig URL-adresse
NETTADRESSEdomene
URL-adressedomene og -bane
Bruk Eksporter diagramdata til å eksportere dataene i diagrammet til en CSV-fil.
Hvis du vil fjerne diagrammet fra siden (som maksimerer størrelsen på detaljområdet), gjør du ett av følgende trinn:
Velg listevisning for diagram> øverst på siden.
Velg Vis listevisning mellom diagrammet og visningene for detaljtabellen.
Detaljer-området på Kampanjer-siden
Hvis du vil filtrere informasjonen som vises i diagrammet og i detaljtabellen, endrer du filtrene.
Kampanje-fanen nedenfor diagrammet viser følgende informasjon i detaljtabellen på Kampanje-siden:
Navn
Eksempelemne: Emnelinjen i én av meldingene i kampanjen. Alle meldinger i kampanjen har ikke nødvendigvis samme emne.
Målrettet: Prosentandelen som beregnes av: (antall kampanjemottakere i organisasjonen) / (totalt antall mottakere i kampanjen på tvers av alle organisasjoner i tjenesten). Denne verdien angir i hvilken grad kampanjen bare er rettet mot organisasjonen (en høyere verdi) kontra også rettet mot andre organisasjoner i tjenesten (en lavere verdi).
Type: Verdien er enten Phish eller Malware.
Undertype: Verdien inneholder flere detaljer om kampanjen. Eksempel:
Phish: Hvor tilgjengelig, merket som blir phished av denne kampanjen. For eksempel, Microsoft, 365, Unknown, Outlookeller DocuSign. Når gjenkjenningen drives av Defender for Office 365 teknologi, legges prefikset ATP- til undertypeverdien.
Skadelig programvare: For eksempel, W32/<MalwareFamilyName> eller VBS/<MalwareFamilyName>.
Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Mottakere: Antall brukere som ble målrettet av denne kampanjen.
Innbokslagt: Antall brukere som mottok meldinger fra denne kampanjen i innboksen (ikke levert til søppelpostmappen).
Klikket: Antall brukere som valgte url-adressen eller åpnet vedlegget i phishing-meldingen.
Klikkfrekvens: I phishing-kampanjer, prosentandelen som beregnes av «Klikket / innboks». Denne verdien er en indikator på effektiviteten til kampanjen. Var mottakerne med andre ord i stand til å identifisere meldingen som phishing, og derfor unngikk nyttelastnettadressen?
Klikkfrekvens brukes ikke i kampanjer for skadelig programvare.
Besøkt: Hvor mange brukere som faktisk kom seg til nyttelastnettstedet. Hvis det finnes klikkede verdier, men klarerte koblinger har blokkert tilgang til nettstedet, er denne verdien null.
Velg en kolonneoverskrift som skal sorteres etter denne kolonnen. Hvis du vil fjerne kolonner, velger du Tilpass kolonner. Som standard er alle tilgjengelige kolonner valgt.
Bruk Eksporter til å eksportere dataene i detaljtabellen til en CSV-fil.
Fanen Kampanjeopprinnelse under diagrammet viser meldingskildene på et verdenskart på Kampanje-siden.
Filtre på Kampanje-siden
Øverst på kampanjesiden finnes det flere filterinnstillinger som hjelper deg med å finne og isolere bestemte kampanjer. Filtrene du velger, påvirker diagrammet og detaljtabellen.
Visningen filtreres som standard etter i går og i dag. Hvis du vil endre datofilteret, velger du datointervallet og velger deretter verdiene for startdato og sluttdato for opptil 30 dager siden.
Du kan også filtrere resultatene etter én eller flere meldings- eller kampanjeegenskaper. Den grunnleggende syntaksen er:
<Egenskap><lik noen av | lik ingen av><egenskapsverdiene eller verdiene>
Velg meldingen eller kampanjeegenskapen fra rullegardinlisten Kampanjetype (Kampanjetype er standardverdien som er valgt).
Egenskapsverdiene du må angi, er helt avhengige av egenskapen. Noen egenskaper tillater frihåndstekst med flere verdier atskilt med komma, og noen egenskaper tillater flere verdier valgt fra en liste.
De tilgjengelige egenskapene og de tilknyttede verdiene er beskrevet i følgende tabell:
Eiendom
Type:
Basic
Kampanjetype
Velg én eller flere verdier¹:
Skadelig programvare
Phish
Kampanjenavn
Tekst. Skill flere verdier med komma.
Kampanjeundertype
Tekst. Skill flere verdier med komma.
Avsenderadresse
Tekst. Skill flere verdier med komma.
Mottakere
Tekst. Skill flere verdier med komma.
Avsenderdomene
Tekst. Skill flere verdier med komma.
Mottakerdomene
Tekst. Skill flere verdier med komma.
Emne
Tekst. Skill flere verdier med komma.
Visningsnavn for avsender
Tekst. Skill flere verdier med komma.
Avsender e-post fra adresse
Tekst. Skill flere verdier med komma.
Avsender e-post fra domene
Tekst. Skill flere verdier med komma.
Malware familie
Tekst. Skill flere verdier med komma.
Tags
Tekst. Skill flere verdier med komma.
Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Forfalsking av eksternt domene: Forfalskning av e-postadresser for avsender ved hjelp av et domene som er eksternt for organisasjonen.
Spoof intra-org: Forfalskning av avsenderens e-postadresse ved hjelp av et domene som er internt i organisasjonen.
Nettadressedetonasjon: Klarerte koblinger oppdaget en ondsinnet nettadresse i meldingen under detonasjonsanalyse.
Omdømme for nettadressedetonasjon
Skadelig omdømme for nettadresse: URL-adresser som tidligere ble oppdaget av Safe Links-detonasjoner i andre Microsoft 365-organisasjoner.
Opprinnelig leveringssted
Velg én eller flere verdier¹:
Slettede elementer-mappen
Falt
Mislyktes
Innboks/mappe
Søppelpostmappe
Lokal/ekstern
Karantene
Ukjent
Siste leveringssted
Samme verdier som opprinnelig leveringssted
Systemoverstyringer
Velg én eller flere verdier¹:
Tillatt av brukerpolicy
Blokkert av brukerpolicy
Tillatt av organisasjonspolicy
Blokkert av organisasjonspolicy
Filtype blokkert av organisasjonspolicy
Ingen
Systemoverstyringskilde
Velg én eller flere verdier¹:
Tredjepartsfilter
Admin initierte tidsreiser (ZAP)
Policy for beskyttelse mot skadelig programvare blokkeres etter filtype
Innstillinger for søppelpostpolicy
Tilkoblingspolicy
Exchange-transportregel (e-postflytregel)
Filtrering hoppet over på grunn av lokal organisasjon
IP-områdefilter fra policy
Språkfilter fra policy
Phishing-simulering
Frigi karantene
SecOPs-postboks
Avsenderadresseliste (overstyring av administrator)
Avsenderadresseliste (brukeroverstyring)
Liste over avsenderdomene (overstyring av administrator)
Avansert
ID for Internett-melding
Tekst. Skill flere verdier med komma.
Tilgjengelig i meldings-ID-topptekstfeltet i meldingshodet. En eksempelverdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (merk vinkelparentesene).
Nettverksmeldings-ID
Tekst. Skill flere verdier med komma.
En GUID-verdi som er tilgjengelig i topptekstfeltet X-MS-Exchange-Organization-Network-Message-Id i meldingshodet.
IP-adresse for avsender
Tekst. Skill flere verdier med komma.
Vedlegg SHA256
Tekst. Skill flere verdier med komma.
Hvis du vil finne SHA256-hash-verdien for en fil, kjører du følgende kommando i PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Klynge-ID
Tekst. Skill flere verdier med komma.
Varsel-ID
Tekst. Skill flere verdier med komma.
ID for varselpolicy
Tekst. Skill flere verdier med komma.
Kampanje-ID
Tekst. Skill flere verdier med komma.
ZAP URL-signal
Tekst. Skill flere verdier med komma.
Nettadresser
NETTADRESSEdomene
Tekst. Skill flere verdier med komma.
URL-adressedomene og -bane
Tekst. Skill flere verdier med komma.
URL-adresse
Tekst. Skill flere verdier med komma.
URL-bane
Tekst. Skill flere verdier med komma.
Klikk dommen
Velg én eller flere verdier¹:
Tillatt
Blokkoverstyrt
Blokkert
Feil
Fiasko
Ingen
Venter på dom
Venter på dom forbigått
Fil
Filnavn for vedlegg
Tekst. Skill flere verdier med komma.
¹ Bruk ikke dette egenskapsfilteret eller bruk av dette egenskapsfilteret uten valgte verdier har samme resultat som å bruke dette egenskapsfilteret med alle verdier valgt.
Når du har valgt en egenskap fra rullegardinlisten Kampanjetype , velger du Lik hvilken som helst ellerIkke lik noen av, og deretter angir eller velger en verdi i egenskapsboksen, vises filterspørringen under filterområdet.
Hvis du vil legge til flere betingelser, velger du et annet egenskaps-/verdipar, og deretter velger du OG eller ELLER. Gjenta disse trinnene så mange ganger det er nødvendig.
Hvis du vil fjerne eksisterende egenskaps-/verdipar, velger du ved siden av oppføringen.
Når du er ferdig med å bygge filterspørringen, velger du Oppdater.
Hvis du vil lagre filterspørringen, velger du Lagre spørringforspørring>. Konfigurer følgende innstillinger i undermenyen Lagre spørring som åpnes:
Spørringsnavn: Skriv inn en unik verdi.
Velg én av følgende verdier:
Nøyaktige datoer: Velg datointervallet.
Relative datoer: Velg mellom én og 30 dager.
Spor denne spørringen
Når du er ferdig i undermenyen Lagre spørring , velger du Lagre og deretter OK i bekreftelsesdialogboksen.
Når du går tilbake til Kampanjeer-siden , kan du laste inn et lagret filter ved å velge Lagre spørringsinnstillinger>for lagrede spørringer.
Kampanjedetaljer
Når du velger en oppføring fra detaljtabellen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet, åpnes en undermeny som inneholder detaljer om kampanjen.
Det som vises i undermenyen for kampanjedetaljer, er beskrevet i følgende underseksjoner.
Kampanjeinformasjon
Øverst i undermenyen for kampanjedetaljer er følgende kampanjeinformasjon tilgjengelig:
Kampanje-ID: Den unike kampanjeidentifikatoren.
Aktivitet: Kampanjens varighet og aktivitet.
Følgende data for datointervallfilteret du valgte (eller som du velger på tidslinjen):
Innvirkning
Meldinger: Totalt antall mottakere.
Innboks: Antall meldinger som ble levert til innboksen, ikke til Søppelpost-mappen.
Klikk på koblingen: Hvor mange brukere som valgte nettadressen for nyttelast i phishing-meldingen.
Besøkt kobling: Hvor mange brukere besøkte nettadressen.
Målrettet(%): Prosentandelen som beregnes av: (antall kampanjemottakere i organisasjonen) / (totalt antall mottakere i kampanjen på tvers av alle organisasjoner i tjenesten). Denne verdien beregnes i løpet av hele kampanjens levetid, og endres ikke etter datofiltre.
Filtre for startdato/-klokkeslett og sluttdata/klokkeslett for kampanjeflyten, som beskrevet i neste del.
En interaktiv tidslinje for kampanjeaktivitet: Tidslinjen viser aktivitet gjennom hele kampanjens levetid. Du kan holde pekeren over datapunktene i grafen for å se antall oppdagede meldinger.
Kampanjeflyt
Midt i undermenyen for kampanjedetaljer presenteres viktige detaljer om kampanjen i et vannrett flytskjema (kjent som et Sankey-diagram ). Disse detaljene hjelper deg med å forstå elementene i kampanjen og den potensielle innvirkningen i organisasjonen.
Tips
Informasjonen som vises i flytskjemaet, kontrolleres av datointervallfilteret på tidslinjen, som beskrevet i forrige del.
Hvis du holder pekeren over et vannrett bånd i diagrammet, ser du antall relaterte meldinger (for eksempel meldinger fra en bestemt kilde-IP, meldinger fra kilde-IP-adressen som bruker det angitte avsenderdomenet osv.).
Diagrammet inneholder følgende informasjon:
Avsender-IP-er
Avsenderdomener
Filtervurderinger: Vurderingsverdier er relatert til de tilgjengelige dommene for phishing- og søppelpostfiltrering, som beskrevet i meldingshoder mot søppelpost. De tilgjengelige verdiene er beskrevet i følgende tabell:
Verdi
Dom for søppelpostfilter
Beskrivelse
Tillatt
SFV:SKN
<Br/ SFV:SKI
Meldingen ble merket som ikke søppelpost og/eller hoppet over filtrering før den ble evaluert av søppelpostfiltrering. Meldingen ble for eksempel merket som ikke søppelpost av en regel for e-postflyt (også kjent som en transportregel).
<br/ Meldingen hoppet over filtrering av søppelpost av andre årsaker. Avsenderen og mottakeren ser for eksempel ut til å være i samme organisasjon.
Blokkert
SFV:SKS
Meldingen ble merket som søppelpost før den ble evaluert av søppelpostfiltrering. For eksempel etter en e-postflytregel.
Oppdaget
SFV:SPM
Meldingen ble merket som søppelpost ved filtrering av søppelpost.
Ikke oppdaget
SFV:NSPM
Meldingen ble merket som ikke søppelpost ved filtrering av søppelpost.
Utgitt
SFV:SKQ
Meldingen hoppet over filtrering av søppelpost fordi den ble frigitt fra karantene.
Leier tillat¹
SFV:SKA
Meldingen hoppet over filtrering av søppelpost på grunn av innstillingene i en søppelpostpolicy. Avsenderen var for eksempel i listen over tillatte avsendere eller en tillatt domeneliste.
Tenant block²
SFV:SKA
Meldingen ble blokkert av søppelpostfiltrering på grunn av innstillingene i en søppelpostpolicy. Avsenderen var for eksempel i listen over tillatte avsendere eller en tillatt domeneliste.
Tillat bruker¹
SFV:SFE
Meldingen hoppet over filtrering av søppelpost fordi avsenderen var i en brukers liste over klarerte avsendere.
Brukerblokk²
SFV:BLK
Meldingen ble blokkert av søppelpostfiltrering fordi avsenderen var i en brukers liste over blokkerte avsendere.
¹ Se gjennom policyene for søppelpost, fordi den tillatte meldingen sannsynligvis ville blitt blokkert av tjenesten.
² Se gjennom policyene for søppelpost, fordi disse meldingene bør settes i karantene, ikke leveres.
Meldingsmål: Undersøk meldinger som ble levert til mottakere (enten til innboksen eller søppelpostmappen), selv om brukerne ikke valgte nettadressen for nyttelast i meldingen. Du kan også fjerne meldinger i karantene fra karantene. Hvis du vil ha mer informasjon, kan du se e-postmeldinger i karantene i EOP.
Slettet mappe
Falt
Ekstern: Mottakeren befinner seg i den lokale e-postorganisasjonen i hybridmiljøer.
Mislyktes
Videresendt
Innboks
Søppelpostmappe
Karantene
Ukjent
Nettadresseklikk: Disse verdiene beskrives i neste del.
Obs!
I alle lag som inneholder mer enn 10 elementer, vises de 10 øverste elementene, mens resten er samlet sammen i Andre.
Nettadresseklikk
Når en phishing-melding leveres til mottakerens innboks eller søppelpostmappe, er det alltid en sjanse for at brukeren velger nettadressen for nyttelast. Det å ikke velge nettadressen er et lite mål på suksess, men du må finne ut hvorfor phishing-meldingen ble levert til postboksen i utgangspunktet.
Hvis en bruker har valgt nettadressen for nyttelast i phishing-meldingen, vises handlingene i området for nettadresseklikk i diagrammet i visningen for kampanjedetaljer.
Tillatt
BlockPage: Mottakeren valgte nettadressen for nyttelast, men tilgangen til det skadelige nettstedet ble blokkert av en policy for klarerte koblinger i organisasjonen.
BlockPageOverride: Mottakeren valgte nettadressen for nyttelast i meldingen, klarerte koblinger prøvde å stoppe dem, men de fikk lov til å overstyre blokken. Undersøk policyene for klarerte koblinger for å se hvorfor brukere har tillatelse til å overstyre dommen over klarerte koblinger og fortsette til det skadelige nettstedet.
PendingDetonationPage: Klarerte vedlegg i Microsoft Defender for Office 365 åpnes og undersøker nyttelastnettadressen i et virtuelt miljø.
PendingDetonationPageOverride: Mottakeren fikk tillatelse til å overstyre prosessen for nyttelastdetonasjon og åpne URL-adressen uten å vente på resultatene.
Kategoriene
Tips
Informasjonen som vises på fanene, kontrolleres av datointervallfilteret i undermenyen for kampanjedetaljer, som beskrevet i delen Kampanjeinformasjon .
Fanene i undermenyen for kampanjedetaljer lar deg undersøke kampanjen ytterligere. Følgende faner er tilgjengelige:
URL-adresseklikk: Hvis brukerne ikke valgte nettadressen for nyttelast i meldingen, er denne delen tom. Hvis en bruker kunne velge nettadressen, fylles følgende verdier ut:
Bruker*
Tags
URL-adresse*
Klikktid
Klikk dommen
Avsender-IP-er
IP-adresse for avsender*
Totalt antall
Innboks
Ikke innboks
SPF sendt: Avsenderen ble godkjent av struktur for avsenderpolicy (SPF). En avsender som ikke består SPF-validering, angir en uautorisert avsender, eller meldingen forfalsetter en legitim avsender.
Avsendere
Avsender: Dette er den faktiske avsenderadressen i SMTP MAIL FROM-kommandoen , som ikke nødvendigvis er Fra: -e-postadressen som brukerne ser i e-postklienter.
Totalt antall
Innboks
Ikke innboks
DKIM passerte: Avsenderen ble godkjent av Domenenøkler identifisert e-post (DKIM). En avsender som ikke består DKIM-validering, angir en uautorisert avsender, eller meldingen forfalsker en legitim avsender.
* Hvis du velger denne verdien, åpnes en ny undermeny som inneholder flere detaljer om det angitte elementet (bruker, nettadresse osv.) øverst i visningen for kampanjedetaljer. Hvis du vil gå tilbake til undermenyen for kampanjedetaljer, velger du Ferdig i den nye undermenyen.
Velg en kolonneoverskrift på hver fane for å sortere etter denne kolonnen. Hvis du vil fjerne kolonner, velger du Tilpass kolonner. Som standard er alle tilgjengelige kolonner på hver fane valgt.
Flere handlinger
Med handlingene nederst i undermenyen for kampanjedetaljer kan du undersøke og registrere detaljer om kampanjen:
Velg Ja eller Nei i Tror du denne kampanjen har gruppert disse meldingene nøyaktig?
Utforsk meldinger: Bruk kraften i Trusselutforsker til å undersøke kampanjen ytterligere ved å velge én av følgende verdier i rullegardinlisten:
Alle meldinger: Åpner en ny søkefane i Trusselutforsker ved hjelp av kampanje-ID-verdien som søkefilter.
Innboksmeldinger: Åpner en ny søkefane i Trusselutforsker ved hjelp av kampanje-ID - og leveringsplasseringen: Innboks som søkefilter.
Interne meldinger: Åpner en ny søkefane i Trusselutforsker ved hjelp av kampanje-ID og retning: Intra-organisasjon som søkefilter.
Last ned trusselrapport: Last ned kampanjedetaljene til et Word dokument (som standard kalt CampaignReport.docx). Nedlastingen inneholder detaljer gjennom hele kampanjens levetid (ikke bare datofilteret du valgte).
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.