Bestanden toestaan of blokkeren met behulp van de acceptatie-/blokkeringslijst voor tenants

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, kunnen beheerders vermeldingen maken en beheren voor bestanden in de lijst tenant toestaan/blokkeren. Zie Toestaan en blokkeren beheren in de lijst Tenant toestaan/blokkeren voor meer informatie over de lijst Met toestaan/blokkeren van tenants.

In dit artikel wordt beschreven hoe beheerders vermeldingen voor bestanden kunnen beheren in de Microsoft Defender-portal en in Exchange Online PowerShell.

Wat moet u weten voordat u begint?

  • U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten wilt gaan, gebruikt u https://security.microsoft.com/tenantAllowBlockList. Als u rechtstreeks naar de pagina Inzendingen wilt gaan, gebruikt u https://security.microsoft.com/reportsubmission.

  • Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell. Zie Verbinding maken met Exchange Online Protection PowerShell als je verbinding wilt maken met zelfstandige EOP PowerShell.

  • U geeft bestanden op met behulp van de SHA256-hashwaarde van het bestand. Als u de SHA256-hashwaarde van een bestand in Windows wilt vinden, voert u de volgende opdracht uit in een opdrachtprompt:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Een voorbeeldwaarde is 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. PHash-waarden (perceptual hash) worden niet ondersteund.

  • Invoerlimieten voor bestanden:

    • Exchange Online Protection: Het maximum aantal toegestane vermeldingen is 500 en het maximum aantal blokvermeldingen is 500 (in totaal 1000 bestandsvermeldingen).
    • Defender voor Office 365 Abonnement 1: Het maximum aantal toegestane vermeldingen is 1000 en het maximum aantal blokvermeldingen is 1000 (in totaal 2000 bestandsvermeldingen).
    • Defender voor Office 365 Abonnement 2: Het maximum aantal toegestane vermeldingen is 5000 en het maximum aantal blokvermeldingen is 10000 (in totaal 15000 bestandsvermeldingen).

  • U kunt maximaal 64 tekens invoeren in een bestandsvermelding.

  • Een vermelding moet binnen 5 minuten actief zijn.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U hebt de volgende opties:

    • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell): Autorisatie en instellingen/Beveiligingsinstellingen/Beveiligingsinstellingen/Detectie afstemmen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).
    • Exchange Online machtigingen:
      • Vermeldingen toevoegen en verwijderen uit de lijst Tenant toestaan/blokkeren: Lidmaatschap in een van de volgende rolgroepen:
        • Organisatiebeheer of Beveiligingsbeheerder (rol beveiligingsbeheerder).
        • Beveiligingsoperator (Tenant AllowBlockList Manager).
      • Alleen-lezentoegang tot de lijst Tenant toestaan/blokkeren: Lidmaatschap in een van de volgende rollengroepen:
        • Globale lezer
        • Beveiligingslezer
        • Configuratie alleen weergeven
        • Organisatiebeheer alleen weergeven
    • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

  • Het tabblad Bestanden is alleen beschikbaar op de pagina Inzendingen in organisaties met Microsoft Defender XDR of Microsoft Defender voor Eindpunt Abonnement 2. Zie Bestanden verzenden in Microsoft Defender voor Eindpunt voor informatie en instructies voor het verzenden van bestanden vanaf het tabblad Bestanden.

Creatie vermeldingen voor bestanden toestaan

U kunt geen toegestane vermeldingen maken voor bestanden rechtstreeks in de lijst Tenant toestaan/blokkeren. Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die door het systeem zou zijn gefilterd.

In plaats daarvan gebruikt u het tabblad Email bijlagen op de pagina Inzendingen op https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Wanneer u een geblokkeerd bestand indient als Moet niet zijn geblokkeerd (fout-positief), kunt u Dit bestand toestaan selecteren om een machtigingsvermelding toe te voegen voor het bestand op het tabblad Bestanden op de pagina Tenant toestaan/blokkeren Lijsten. Zie Goede e-mailbijlagen verzenden naar Microsoft voor instructies.

Opmerking

Vermeldingen toestaan worden toegevoegd op basis van de filters die hebben vastgesteld dat het bericht schadelijk was tijdens de e-mailstroom. Als bijvoorbeeld het e-mailadres van de afzender en een bestand in het bericht als ongeldig zijn vastgesteld, wordt er een acceptatievermelding gemaakt voor de afzender (e-mailadres of domein) en het bestand.

Wanneer de entiteit in de vermelding Toestaan opnieuw wordt aangetroffen (tijdens de e-mailstroom of tijdens het klikken), worden alle filters die aan die entiteit zijn gekoppeld, overschreven.

Standaard bestaan toegestane vermeldingen voor bestanden 30 dagen. Gedurende deze 30 dagen leert Microsoft van de toegestane vermeldingen en verwijdert ze of breidt ze automatisch uit. Nadat Microsoft kennis heeft genomen van de verwijderde toegestane vermeldingen, worden berichten die deze entiteiten bevatten bezorgd, tenzij iets anders in het bericht wordt gedetecteerd als schadelijk.

Als tijdens de e-mailstroom berichten met de toegestane entiteit andere controles in de filterstack doorstaan, worden de berichten bezorgd. Als een bericht bijvoorbeeld e-mailverificatiecontroles doorstaat, wordt het bericht bezorgd als het ook een toegestaan bestand bevat.

Tijdens het klikken overschrijft het toestaan van het bestand alle filters die zijn gekoppeld aan de bestandsentiteit, waardoor gebruikers toegang hebben tot het bestand.

vermeldingen voor bestanden Creatie blokkeren

Email berichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware. Berichten die de geblokkeerde bestanden bevatten, worden in quarantaine geplaatst.

Gebruik een van de volgende methoden om blokvermeldingen voor bestanden te maken:

Gebruik de Microsoft Defender portal om blokvermeldingen te maken voor bestanden in de lijst Tenant toestaan/blokkeren

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer op de pagina Tenant toestaan/blokkeren Lijsten het tabblad Bestanden.

  3. Selecteer op het tabblad Bestanden de optie Blokkeren.

  4. Configureer in de flyout Bestanden blokkeren die wordt geopend de volgende instellingen:

    • Bestandshashes toevoegen: voer één SHA256-hashwaarde per regel in, maximaal 20.

    • Blokvermelding verwijderen na: Selecteer uit de volgende waarden:

      • 1 dag
      • 7 dagen
      • 30 dagen (standaard)
      • Nooit verlopen
      • Specifieke datum: De maximumwaarde is 90 dagen vanaf vandaag.

    • Optionele opmerking: voer een beschrijvende tekst in voor de reden waarom u de bestanden blokkeert.

    Wanneer u klaar bent in de flyout Bestanden blokkeren , selecteert u Toevoegen.

Op het tabblad Bestanden wordt de vermelding weergegeven.

PowerShell gebruiken om blokvermeldingen te maken voor bestanden in de lijst Met toestaan/blokkeren van tenants

Gebruik in Exchange Online PowerShell de volgende syntaxis:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In dit voorbeeld wordt een blokvermelding toegevoegd voor de opgegeven bestanden die nooit verloopt.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Zie New-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen weer te geven voor bestanden in de lijst Tenant toestaan/blokkeren

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Beleidsregels & regels>Bedreigingsbeleid>Tenant toestaan/blokkeren Lijsten in de sectie Regels. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

Selecteer het tabblad Bestanden .

Op het tabblad Bestanden kunt u de vermeldingen sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:

  • Waarde: de bestands-hash.
  • Actie: De beschikbare waarden zijn Toestaan of Blokkeren.
  • Gewijzigd door
  • Laatst bijgewerkt
  • Laatst gebruikte datum: de datum waarop de vermelding voor het laatst is gebruikt in het filtersysteem om het oordeel te overschrijven.
  • Verwijderen op: de vervaldatum.
  • Opmerkingen

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

  • Actie: De beschikbare waarden zijn Toestaan en Blokkeren.
  • Verloopt nooit: of
  • Laatst bijgewerkt: selecteer Datums Van en Tot .
  • Datum laatst gebruikt: selecteer Datums Van en Tot .
  • Verwijderen op: selecteer datums Van en Tot .

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Search en een bijbehorende waarde om specifieke vermeldingen te zoeken.

Als u de vermeldingen wilt groepeer, selecteert u Groep en vervolgens Actie. Als u de groepering van de vermeldingen wilt opheffen, selecteert u Geen.

PowerShell gebruiken om vermeldingen weer te geven voor bestanden in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

In dit voorbeeld worden alle toegestane en geblokkeerde bestanden geretourneerd.

Get-TenantAllowBlockListItems -ListType FileHash

In dit voorbeeld wordt informatie geretourneerd voor de opgegeven hash-waarde van het bestand.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

In dit voorbeeld worden de resultaten gefilterd op geblokkeerde bestanden.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Zie Get-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender portal om vermeldingen te wijzigen voor bestanden in de lijst Voor toestaan/blokkeren van tenants

In bestaande bestandsvermeldingen kunt u de vervaldatum en notitie wijzigen.

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer het tabblad Bestanden

  3. Selecteer op het tabblad Bestanden de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en vervolgens de actie Bewerken te selecteren die wordt weergegeven.

  4. In de flyout Bestand bewerken die wordt geopend, zijn de volgende instellingen beschikbaar:

    • Vermeldingen blokkeren:
      • Blokvermelding verwijderen na: Selecteer uit de volgende waarden:
        • 1 dag
        • 7 dagen
        • 30 dagen
        • Nooit verlopen
        • Specifieke datum: De maximumwaarde is 90 dagen vanaf vandaag.
      • Optionele opmerking
    • Vermeldingen toestaan:
      • Vermelding toestaan verwijderen na: Selecteer uit de volgende waarden:
        • 1 dag
        • 7 dagen
        • 30 dagen
        • Specifieke datum: De maximumwaarde is 30 dagen vanaf vandaag.
      • Optionele opmerking

    Wanneer u klaar bent in de flyout Bestand bewerken , selecteert u Opslaan.

Tip

In de flyout details van een item op het tabblad Bestanden gebruikt u Inzending weergeven boven aan de flyout om naar de details van het bijbehorende item op de pagina Inzendingen te gaan. Deze actie is beschikbaar als een inzending verantwoordelijk was voor het maken van de vermelding in de lijst Tenant toestaan/blokkeren.

PowerShell gebruiken om bestaande vermeldingen voor bestanden in de lijst Toestaan/blokkeren van tenants te wijzigen

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In dit voorbeeld wordt de vervaldatum van de opgegeven bestandsblokvermelding gewijzigd.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Zie Set-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen voor bestanden te verwijderen uit de lijst voor toestaan/blokkeren van tenants

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer het tabblad Bestanden .

  3. Voer op het tabblad Bestanden een van de volgende stappen uit:

    • Selecteer de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en selecteer vervolgens de actie Verwijderen die wordt weergegeven.

    • Selecteer de vermelding in de lijst door op een andere plaats in de rij dan het selectievakje te klikken. Selecteer in de flyout details die wordt geopend de optie Verwijderen boven aan de flyout.

      Tip

      Als u details over andere vermeldingen wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.

  4. Selecteer Verwijderen in het waarschuwingsdialoogvenster dat wordt geopend.

Terug op het tabblad Bestanden wordt de vermelding niet meer weergegeven.

Tip

U kunt meerdere vermeldingen selecteren door elk selectievakje in te schakelen of alle vermeldingen te selecteren door het selectievakje naast de kolomkop Waarde in te schakelen.

PowerShell gebruiken om vermeldingen voor bestanden te verwijderen uit de lijst voor toestaan/blokkeren van tenants

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

In dit voorbeeld wordt het opgegeven bestandsblok verwijderd uit de lijst Tenant toestaan/blokkeren.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Zie Remove-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.