Behandle tillatelser og blokker i leierens tillatelses-/blokkeringsliste

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Viktig

Hvis du vil tillate nettadresser for phishing som er en del av opplæringen for angrepssimulering fra tredjeparter, bruker du konfigurasjonen for avansert levering til å angi nettadressene. Ikke bruk leierens tillatelses-/blokkeringsliste.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan du være uenig i EOP eller Microsoft Defender for Office 365 filtreringsdom. En god melding kan for eksempel merkes som ugyldig (en falsk positiv), eller en ugyldig melding kan tillates gjennom (en falsk negativ).

Leierens tillatelses-/blokkeringsliste i Microsoft Defender-portalen gir deg mulighet til å overstyre de Defender for Office 365 eller EOP-filtreringsdommene manuelt. Listen brukes under e-postflyten for innkommende meldinger fra eksterne avsendere.

Leierens tillatelses-/blokkeringsliste gjelder ikke for interne meldinger i organisasjonen. Blokker oppføringer for domener og e-postadresser hindrer imidlertid brukere i organisasjonen i å sende e-post til de blokkerte domenene og adressene.

Leierens tillatelses-/blokkeringsliste er tilgjengelig i Microsoft Defender-portalen på https://security.microsoft.com>Policyer & regler>Trusselpolicyer>Leier tillater/blokkerer Lister i Regler-delen. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, bruker https://security.microsoft.com/tenantAllowBlockListdu .

Hvis du vil ha instruksjoner for bruk og konfigurasjon, kan du se følgende artikler:

Disse artiklene inneholder prosedyrer i Microsoft Defender-portalen og i PowerShell.

Blokkere oppføringer i leierens tillatelses-/blokkeringsliste

Obs!

Blokker oppføringer i tillatelses-/blokkeringslisten for leier har forrang over tillatte oppføringer.

Bruk innsendingssiden (også kalt administratorinnsending) til https://security.microsoft.com/reportsubmission å opprette blokkoppføringer for følgende elementtyper når du rapporterer dem som falske negativer til Microsoft:

  • Domener og e-postadresser:

    • E-postmeldinger fra disse avsenderne merkes som phishing med høy visshet og flyttes deretter til karantene.
    • Brukere i organisasjonen kan ikke sende e-post til disse blokkerte domenene og adressene. De mottar følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.

    Tips

    Hvis du bare vil blokkere søppelpost fra en bestemt avsender, legger du til e-postadressen eller domenet i blokkeringslisten i policyer for søppelpost. Hvis du vil blokkere all e-post fra avsenderen, bruker du domener og e-postadresser i leierens tillatelses-/blokkeringsliste.

  • Filer: E-postmeldinger som inneholder disse blokkerte filene, blokkeres som skadelig programvare. Meldinger som inneholder blokkerte filer, settes i karantene.

  • URL-adresser: E-postmeldinger som inneholder disse blokkerte nettadressene, blokkeres som phishing med høy visshet. Meldinger som inneholder de blokkerte URL-adressene, settes i karantene.

Du kan også opprette blokkeringsoppføringer for følgende typer elementer direkte i tillat-/blokkeringslisten for leieren:

  • Domener og e-postadresser, filer og nettadresser.

  • Forfalskede avsendere: Hvis du overstyrer en eksisterende tillatelsesdom fra forfalskningsintelligens manuelt, blir den blokkerte forfalskede avsenderen en manuell blokkoppføring som bare vises på fanen Forfalskede avsendere i leierens tillatelses-/blokkeringsliste.

Som standard utløper blokkoppføringer for domener og e-postadresser, filer og nettadresser etter 30 dager, men du kan angi at de skal utløpe 90 dager eller aldri utløpe. Blokkoppføringer for falske avsendere utløper aldri.

Tillat oppføringer i leierens tillatelses-/blokkeringsliste

I de fleste tilfeller kan du ikke opprette tillatelsesoppføringer direkte i leierens tillatelses-/blokkeringsliste:

  • Domener og e-postadresser, filer og nettadresser: Du kan ikke opprette tillatelsesoppføringer direkte i tillatelses-/blokkeringslisten for leieren. I stedet bruker du Innsendinger-sidenhttps://security.microsoft.com/reportsubmission for å rapportere e-post, e-postvedlegg eller nettadresse til Microsoft som ikke burde vært blokkert (usann positiv).

  • Falske avsendere:

    • Hvis forfalskingsintelligens allerede har blokkert meldingen som forfalskning, kan du bruke innsendingssidenhttps://security.microsoft.com/reportsubmission til å rapportere e-postmeldingen til Microsoft som ikke burde vært blokkert (falsk positiv).
    • Du kan proaktivt opprette en tillatelsesoppføring for en forfalsket avsender på fanen Forfalsket avsender i leierens tillatelses-/blokkeringsliste før forfalskningsintelligens identifiserer og blokkerer meldingen som forfalskning.

Listen nedenfor beskriver hva som skjer i leierens tillatelses-/blokkeringsliste når du rapporterer noe til Microsoft som en falsk positiv på innsendingssiden :

  • E-postvedlegg og nettadresser: En tillatelsesoppføring opprettes, og oppføringen vises på fanen Filer eller nettadresser i tillat-/blokkeringslisten for leieren.

    For URL-adresser som rapporteres som falske positiver, tillater vi etterfølgende meldinger som inneholder variasjoner av den opprinnelige nettadressen. Du kan for eksempel bruke innsendingssiden til å rapportere url-adressen www.contoso.com/abcsom er blokkert feil. Hvis organisasjonen senere mottar en melding som inneholder nettadressen (for eksempel ikke begrenset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, eller www.contoso.com/abc/whatever), blokkeres ikke meldingen basert på URL-adressen. Du trenger med andre ord ikke å rapportere flere variasjoner av samme nettadresse som god til Microsoft.

  • E-post: Hvis en melding ble blokkert av EOP eller Defender for Office 365 filtreringsstakk, kan det opprettes en tillatelsesoppføring i tillat-/blokkeringslisten for leieren:

    • Hvis meldingen ble blokkert av forfalskningsintelligens, opprettes en tillatelsesoppføring for avsenderen, og oppføringen vises på fanen Falske avsendere i tillat-/blokkeringslisten for tenanten.
    • Hvis meldingen ble blokkert av bruker (eller graf) representasjonsbeskyttelse i Defender for Office 365, opprettes ikke en tillatelsesoppføring i listen over tillatte/blokkerende leiere. I stedet legges domenet eller avsenderen til i delen Klarerte avsendere og domener i policyen for anti-phishing som oppdaget meldingen.
    • Hvis meldingen ble blokkert på grunn av filbaserte filtre, opprettes en tillatelsesoppføring for filen, og oppføringen vises på Filer-fanen i leierens tillatelses-/blokkeringsliste.
    • Hvis meldingen ble blokkert på grunn av nettadressebaserte filtre, opprettes en tillatelsesoppføring for nettadressen, og oppføringen vises på nettadressefanen i tillat-/blokkeringslisten for tenanten.
    • Hvis meldingen ble blokkert av en annen grunn, opprettes en tillat-oppføring for avsenderens e-postadresse eller domene, og oppføringen vises på fanen Domener & adresser i tillat-/blokkeringslisten for leier.
    • Hvis meldingen ikke ble blokkert på grunn av filtrering, opprettes ingen tillatte oppføringer hvor som helst.

Som standard finnes det oppføringer for domener og e-postadresser, filer og nettadresser i 30 dager. I løpet av disse 30 dagene lærer Microsoft fra de tillatte oppføringene og fjerner dem eller utvider dem automatisk. Når Microsoft har lært av de fjernede tillatelsesoppføringene, vil meldinger som inneholder disse enhetene, bli levert, med mindre noe annet i meldingen oppdages som skadelig. Tillat som standard at oppføringer for falske avsendere aldri utløper.

Viktig

Microsoft tillater ikke at du oppretter tillatelsesoppføringer direkte. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som kan ha blitt filtrert av systemet.

Microsoft administrerer opprettingen av tillatte oppføringer fra innsendingssidenhttps://security.microsoft.com/reportsubmission. Tillat oppføringer legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen ble funnet å være ugyldig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.

Når enheten oppdages på nytt (under e-postflyt eller klikktid), hoppes alle filtre som er knyttet til denne enheten, over.

Hvis meldinger som inneholder den tillatte enheten, sender andre kontroller i filtreringsstakken under e-postflyten, blir meldingene levert. Hvis en melding for eksempel sender e-postgodkjenningskontroller, nettadressefiltrering og filfiltrering, vil en melding fra en tillatt avsender-e-postadresse bli levert.

Hva du kan forvente etter at du har lagt til en tillatelses- eller blokkoppføring

Når du har lagt til en tillatelsesoppføring på innsendingssiden eller en blokkoppføring i leierens tillatelses-/blokkeringsliste, skal oppføringen begynne å fungere umiddelbart (innen 5 minutter).

Hvis Microsoft har lært av tillatelsesoppføringen, fjernes oppføringen. Du får et varsel om fjerning av den nå unødvendige tillatelsesoppføringen fra den innebygde varslingspolicyensom heter Fjernet en oppføring i tillatelses-/blokkeringslisten for tenant.