Hvis du vil tillate nettadresser for phishing som er en del av opplæringen for angrepssimulering fra tredjeparter, bruker du konfigurasjonen for avansert levering til å angi nettadressene. Ikke bruk leierens tillatelses-/blokkeringsliste.
I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan du være uenig i EOP eller Microsoft Defender for Office 365 filtreringsdom. En god melding kan for eksempel merkes som ugyldig (en falsk positiv), eller en ugyldig melding kan tillates gjennom (en falsk negativ).
Leierens tillatelses-/blokkeringsliste i Microsoft Defender-portalen gir deg mulighet til å overstyre de Defender for Office 365 eller EOP-filtreringsdommene manuelt. Listen brukes under e-postflyten eller tidspunktet for klikk for innkommende meldinger fra eksterne avsendere.
Oppføringer for domener og e-postadresser og falske avsendere gjelder for interne meldinger som sendes i organisasjonen. Blokker oppføringer for domener og e-postadresser hindrer også brukere i organisasjonen i å sende e-post til de blokkerte domenene og adressene.
Tillatelses-/blokkeringslisten for leieren er tilgjengelig i Microsoft Defender-portalen på https://security.microsoft.com avsnittet Policyer for e-post & samarbeid>& regler>for trusselpolicyer>.>Leier tillater/blokkerer Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.
Hvis du vil ha instruksjoner for bruk og konfigurasjon, kan du se følgende artikler:
Disse artiklene inneholder prosedyrer i Microsoft Defender-portalen og i PowerShell.
Blokkere oppføringer i leierens tillatelses-/blokkeringsliste
Tips
Blokker oppføringer i tillatelses-/blokkeringslisten for leier har forrang over tillatte oppføringer.
Bruk innsendingssiden (også kalt administratorinnsending) til https://security.microsoft.com/reportsubmission å opprette blokkoppføringer for følgende typer elementer når du sender dem inn som falske negativer til Microsoft:
E-postmeldinger fra disse avsenderne merkes som phishing med høy visshet og flyttes deretter til karantene.
Brukere i organisasjonen kan ikke sende e-post til disse blokkerte domenene og adressene. De mottar følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.
Tips
Blokkering av en bestemt avsender eller et domene i leierens tillatelses-/blokkeringsliste behandler disse meldingene som phishing med høy visshet. Hvis du vil behandle disse meldingene som søppelpost, legger du til avsenderen i listen over blokkerte avsendere eller blokkerte domener i policyer for søppelpost.
Filer: E-postmeldinger som inneholder disse blokkerte filene, blokkeres som skadelig programvare. Meldinger som inneholder blokkerte filer, settes i karantene.
URL-adresser: E-postmeldinger som inneholder disse blokkerte nettadressene, blokkeres som phishing med høy visshet. Meldinger som inneholder de blokkerte URL-adressene, settes i karantene.
Du kan også opprette blokkeringsoppføringer for følgende typer elementer direkte i tillat-/blokkeringslisten for leieren:
Forfalskede avsendere: Hvis du overstyrer en eksisterende tillatelsesdom fra forfalskningsintelligens manuelt, blir den blokkerte forfalskede avsenderen en manuell blokkoppføring som bare vises på fanen Forfalskede avsendere i leierens tillatelses-/blokkeringsliste.
IP-adresser: Hvis du oppretter en blokkoppføring manuelt, slettes alle innkommende e-postmeldinger fra denne IP-adressen på kanten av tjenesten.
Som standard utløper blokkoppføringer for domener og e-postadresser, filer og nettadresser etter 30 dager, men du kan angi at de skal utløpe 90 dager eller aldri utløpe.
Tillat oppføringer i leierens tillatelses-/blokkeringsliste
Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som kan ha blitt filtrert av systemet, så det finnes begrensninger for å opprette tillatte oppføringer direkte i leiers tillatelses-/blokkeringsliste:
Domener og e-postadresser og nettadresser: Du kan opprette tillatelsesoppføringer direkte i leierens tillatelses-/blokkeringsliste for å overstyre følgende vurderinger:
Masseutsendelse
Søppelpost
Søppelpost med høy konfidens
Phishing (ikke phishing med høy visshet)
For skadelig programvare og phishing-dommer med høy visshet kan du ikke opprette tillatelsesoppføringer direkte i leierens tillatelses-/blokkeringsliste. Bruk i stedet innsendingssiden på https://security.microsoft.com/reportsubmission for å sende inn e-postmeldingen eller nettadressen til Microsoft. Når du har valgt At jeg har bekreftet at den er ren, kan du deretter velge Tillat denne meldingen eller Tillat denne nettadressen å opprette en tillatelsesoppføring for domener og e-postadresser eller nettadresser.
Filer: Du kan ikke opprette tillatelsesoppføringer direkte i leierens tillatelses-/blokkeringsliste. Bruk i stedet innsendingssiden på https://security.microsoft.com/reportsubmission for å sende inn e-postvedlegget til Microsoft. Når du har valgt Jeg har bekreftet at det er rent, kan du deretter velge Tillat denne filen å opprette en tillatelsesoppføring for filene.
IP-adresser: Du kan proaktivt opprette en tillatelsesoppføring for en IP-adresse på FANEN IP-adresser i tillat-/blokkeringslisten for leier for å overstyre IP-filtrene for innkommende meldinger.
Listen nedenfor beskriver hva som skjer i leierens tillatelses-/blokkeringsliste når du sender noe til Microsoft som en falsk positiv verdi på siden Innsendinger :
E-postvedlegg og nettadresser: En tillatelsesoppføring opprettes, og oppføringen vises på fanen Filer eller nettadresser i tillat-/blokkeringslisten for leieren.
For URL-adresser som rapporteres som falske positiver, tillater vi etterfølgende meldinger som inneholder variasjoner av den opprinnelige nettadressen. Du kan for eksempel bruke innsendingssiden til å rapportere url-adressen www.contoso.com/abcsom er blokkert feil. Hvis organisasjonen senere mottar en melding som inneholder nettadressen (for eksempel ikke begrenset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, eller www.contoso.com/abc/whatever), blokkeres ikke meldingen basert på URL-adressen. Du trenger med andre ord ikke å rapportere flere variasjoner av samme nettadresse som god til Microsoft.
E-post: Hvis en melding ble blokkert av EOP eller Defender for Office 365 filtreringsstakk, kan det opprettes en tillatelsesoppføring i tillat-/blokkeringslisten for leieren:
Hvis meldingen ble blokkert av forfalskningsintelligens, opprettes en tillatelsesoppføring for avsenderen, og oppføringen vises på fanen Falske avsendere i tillat-/blokkeringslisten for tenanten.
Hvis meldingen ble blokkert på grunn av filbaserte filtre, opprettes en tillatelsesoppføring for filen, og oppføringen vises på Filer-fanen i leierens tillatelses-/blokkeringsliste.
Hvis meldingen ble blokkert på grunn av nettadressebaserte filtre, opprettes en tillatelsesoppføring for nettadressen, og oppføringen vises på nettadressefanen i tillat-/blokkeringslisten for tenanten.
Hvis meldingen ble blokkert av en annen grunn, opprettes en tillat-oppføring for avsenderens e-postadresse eller domene, og oppføringen vises på fanen Domener & adresser i tillat-/blokkeringslisten for leier.
Hvis meldingen ikke ble blokkert på grunn av filtrering, opprettes ingen tillatte oppføringer hvor som helst.
Tips
Tillat at oppføringer fra innsendinger legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen er skadelig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.
Hvis meldinger som inneholder enhetene i tillatelsesoppføringene, sender andre kontroller i filtreringsstakken under e-postflyt eller klikktidspunkt, leveres meldingene (alle filtre som er knyttet til de tillatte enhetene, hoppes over). Hvis en melding for eksempel sender kontroller for e-postgodkjenning, filtrering av nettadresse og filfiltrering, leveres en melding fra en tillatt avsenders e-postadresse hvis den også er fra en tillatt avsender.
Hva du kan forvente etter at du har lagt til en tillatelses- eller blokkoppføring
Når du har lagt til en tillatelsesoppføring på innsendingssiden eller en blokkoppføring i leierens tillatelses-/blokkeringsliste, skal oppføringen begynne å fungere umiddelbart (innen 5 minutter).
Hvis Microsoft lærte av tillatelsesoppføringen, genererer den innebygde varslingspolicyenmed navnet Fjernet en oppføring i tillat/blokkeringsliste for leier et varsel når (nå unødvendig) tillatelsesoppføringen fjernes.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
Demonstrere det grunnleggende om datasikkerhet, livssyklusadministrasjon, informasjonssikkerhet og samsvar for å beskytte en Microsoft 365-distribusjon.
Administratorer kan lære hvordan de bruker innsendingssiden i Microsoft Defender-portalen til å sende meldinger, nettadresser og e-postvedlegg til Microsoft for analyse. Årsaker til innsending inkluderer: legitime meldinger som ble blokkert, mistenkelige meldinger som var tillatt, mistenkt phishing-e-post, søppelpost, skadelig programvare og andre potensielt skadelige meldinger.