Konfigurowanie zaawansowanych zasad dostarczania dla symulacji wyłudzania informacji i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Aby zapewnić bezpieczeństwo organizacji domyślnie, platforma Microsoft 365 nie zezwala na listy dozwolonych ani filtrowanie pomijania komunikatów zidentyfikowanych jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania. Istnieją jednak konkretne scenariusze, które wymagają dostarczania niefiltrowanych komunikatów. Przykład:

• Symulacje wyłudzania informacji spoza firmy Microsoft: symulowane ataki mogą pomóc zidentyfikować i wytrenować narażonych użytkowników, zanim rzeczywisty atak wpłynie na organizację.
• Skrzynki pocztowe operacji zabezpieczeń (SecOps): dedykowane skrzynki pocztowe używane przez zespoły zabezpieczeń do zbierania i analizowania niefiltrowanych wiadomości (zarówno dobrych, jak i złych).

Użyj zaawansowanych zasad dostarczania w usłudze Microsoft 365, aby zapobiec filtrowaniu komunikatów przychodzących w tych i innych obsługiwanych scenariuszach. Zaawansowane zasady dostarczania zapewniają, że komunikaty w tych scenariuszach osiągną następujące wyniki:

• Filtry w usłudze Microsoft 365 nie podejmują żadnych działań w przypadku tych komunikatów. Filtrowanie złośliwego oprogramowania jest pomijane tylko dla skrzynek pocztowych SecOps.
• Automatyczne przeczyszczanie bez godziny (ZAP) w przypadku spamu i wyłudzania informacji nie podejmuje żadnych działań w przypadku tych wiadomości. Zap dla złośliwego oprogramowania jest pomijany tylko dla skrzynek pocztowych SecOps.
• Bezpieczne linki w Ochrona usługi Office 365 w usłudze Defender nie blokują ani nie detonują określonych adresów URL w tych komunikatach w momencie kliknięcia. Adresy URL są nadal opakowane, ale nie są blokowane.
• Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Defender nie detonują załączników w tych komunikatach.
• Domyślne alerty systemowe nie są wyzwalane dla tych scenariuszy.
• Funkcja AIR i klastrowanie w Ochrona usługi Office 365 w usłudze Defender ignoruje te komunikaty.
• W szczególności w przypadku symulacji wyłudzania informacji spoza firmy Microsoft:
  • Administracja przesyłanie generuje automatyczną odpowiedź z informacją, że wiadomość jest częścią kampanii symulacji wyłudzania informacji i nie stanowi rzeczywistego zagrożenia. Alerty i air nie są wyzwalane. Środowisko przesyłania przez administratora pokazuje te komunikaty jako symulowane zagrożenie.
  • Gdy użytkownik zgłasza komunikat symulacji wyłudzania informacji przy użyciu wbudowanego przycisku Raport w programie Outlook, system nie generuje alertu, badania ani zdarzenia. Linki lub pliki nie są detonowane, ale komunikat jest wyświetlany na karcie Zgłaszane przez użytkownika na stronie Przesłane .

Komunikaty identyfikowane przez zaawansowane zasady dostarczania nie są zagrożeniami bezpieczeństwa, dlatego komunikaty są oznaczone przesłonięciami systemu. Administracja środowiska pokazują te komunikaty jako symulację wyłudzania informacji lub przesłonięcia systemu skrzynek pocztowych SecOps. Administratorzy mogą używać tych wartości do filtrowania i analizowania komunikatów w następujących środowiskach:

• Eksplorator zagrożeń (Eksplorator) lub wykrywanie w czasie rzeczywistym w Ochrona usługi Office 365 w usłudze Defender: administratorzy mogą filtrować źródło zastąpienia systemu i wybierać symulację wyłudzania informacji lub skrzynkę pocztową SecOps.
• Strona jednostki Email: Administratorzy mogą wyświetlić komunikat dozwolony przez zasady organizacji przez skrzynkę pocztową SecOps lub symulację wyłudzania informacji w obszarze Zastępowanie dzierżawy w sekcji Przesłonięcia.
• Raport o stanie ochrony przed zagrożeniami: Administracja może filtrować według wyświetlania danych według zastąpienia systemu w menu rozwijanym i wybrać opcję wyświetlenia komunikatów dozwolonych z powodu zastąpienia systemu symulacji wyłudzania informacji. Aby wyświetlić komunikaty dozwolone przez zastąpienie skrzynki pocztowej SecOps, możesz wybrać podział wykresu według lokalizacji dostarczania na liście rozwijanej Podział wykresu według przyczyny .
• Zaawansowane wyszukiwanie zagrożeń w Ochrona punktu końcowego w usłudze Microsoft Defender: symulacja wyłudzania informacji i przesłonięcia systemu skrzynek pocztowych SecOps to opcje w usłudze OrgLevelPolicy w usłudze EmailEvents.
• Widoki kampanii: Administracja może filtrować źródło zastąpienia systemu i wybierać symulację wyłudzania informacji lub skrzynkę pocztową SecOps.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zaawansowane dostarczanie , użyj polecenia https://security.microsoft.com/advanceddelivery.

• Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

  • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

  • Email & uprawnienia do współpracy w portalu Microsoft Defender i uprawnienia Exchange Online:

    • Utwórz, zmodyfikuj lub usuń skonfigurowane ustawienia w zaawansowanych zasadach dostarczania: Członkostwo w grupach ról administratora zabezpieczeń w Email & współpracy RBAC i członkostwo w grupie ról Zarządzanie organizacją w Exchange Online RBAC.
    • Dostęp tylko do odczytu do zaawansowanych zasad dostarczania: członkostwo w grupach ról Czytelnik globalny lub Czytelnik zabezpieczeń w Email & współpracy RBAC.
      • Zarządzanie organizacją tylko do wyświetlania w Exchange Online RBAC.

  • uprawnienia Microsoft Entra: członkostwo w rolach administratora^* globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

    Ważna

    ^* Firma Microsoft zdecydowanie opowiada się za zasadą najniższych uprawnień. Przypisanie kont tylko minimalnych uprawnień niezbędnych do wykonywania ich zadań pomaga zmniejszyć zagrożenia bezpieczeństwa i wzmocnić ogólną ochronę organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, którą należy ograniczyć do scenariuszy awaryjnych lub gdy nie możesz użyć innej roli.

Konfigurowanie skrzynek pocztowych SecOps w zaawansowanych zasadach dostarczania przy użyciu portalu Microsoft Defender

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>— zaawansowanedostarczanie w > sekcji Reguły. Aby przejść bezpośrednio do strony Dostarczanie zaawansowane , użyj polecenia https://security.microsoft.com/advanceddelivery.

   Na stronie Zaawansowane dostarczanie sprawdź, czy wybrano kartę Skrzynka pocztowa SecOps .

2. Na karcie Skrzynka pocztowa SecOps wybierz przycisk Dodaj w obszarze Skonfigurowane skrzynki pocztowe No SecOps na stronie.

   Jeśli na karcie Skrzynka pocztowa SecOps istnieją już wpisy, wybierz pozycję Edytuj (przycisk Dodaj jest niedostępny).

3. W wyświetlonym okienku wysuwnym Dodawanie skrzynek pocztowych SecOps wprowadź istniejącą skrzynkę pocztową Exchange Online, którą chcesz wyznaczyć jako skrzynkę pocztową SecOps, wykonując jedną z następujących czynności:

   • Kliknij w polu, niech lista skrzynek pocztowych rozpoznać, a następnie wybierz skrzynkę pocztową.

   • Kliknij w polu, aby rozpocząć wpisywanie identyfikatora skrzynki pocztowej (nazwa, nazwa wyświetlana, alias, adres e-mail, nazwa konta itp.), a następnie wybierz skrzynkę pocztową (nazwę wyświetlaną) z wyników.

     Powtórz ten krok tyle razy, ile jest to konieczne. Grupy dystrybucyjne nie są dozwolone.

     Aby usunąć istniejącą wartość, wybierz pozycję usuń obok wartości.

4. Po zakończeniu pracy z wysuwaną pozycją Dodaj skrzynki pocztowe SecOps wybierz pozycję Dodaj.

5. Przejrzyj informacje w obszarze Zmiany w usłudze SecOps, przesłoń zapisany wysuwany element, a następnie wybierz pozycję Zamknij.

Na karcie Skrzynka pocztowa SecOps są teraz wyświetlane skonfigurowane wpisy skrzynki pocztowej SecOps:

• Kolumna Nazwa wyświetlana zawiera nazwę wyświetlaną skrzynek pocztowych.
• Kolumna Email zawiera adres e-mail dla każdego wpisu.
• Aby zmienić listę wpisów z normalnego na kompaktowy, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Modyfikowanie lub usuwanie skrzynek pocztowych Usługi SecOps w zaawansowanych zasadach dostarczania za pomocą portalu Microsoft Defender

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>— zaawansowanedostarczanie w > sekcji Reguły. Aby przejść bezpośrednio do strony Dostarczanie zaawansowane , użyj polecenia https://security.microsoft.com/advanceddelivery.

   Na stronie Zaawansowane dostarczanie sprawdź, czy wybrano kartę Skrzynka pocztowa SecOps .

2. Na karcie Skrzynka pocztowa SecOps wybierz pozycję Edytuj.

3. W obszarze Edytowanie wysuwanych skrzynek pocztowych SecOps, które zostanie otwarte, dodaj lub usuń skrzynki pocztowe zgodnie z opisem w kroku 3 w portalu Microsoft Defender, aby skonfigurować skrzynki pocztowe Usługi SecOps w sekcji zaawansowanych zasad dostarczania.

   Aby usunąć wszystkie skrzynki pocztowe, wybierz pozycję usuń obok każdej wartości, dopóki nie zostaną wybrane żadne więcej skrzynek pocztowych.

4. Po zakończeniu pracy z wysuwaną pozycją Edytuj skrzynki pocztowe SecOps wybierz pozycję Zapisz.

5. Przejrzyj informacje w obszarze Zmiany w usłudze SecOps, przesłoń zapisany wysuwany element, a następnie wybierz pozycję Zamknij.

Na karcie Skrzynka pocztowa SecOps zostaną wyświetlone skonfigurowane wpisy skrzynki pocztowej SecOps. Jeśli usuniesz wszystkie wpisy, lista będzie pusta.

Konfigurowanie symulacji wyłudzania informacji innych niż microsoft w zaawansowanych zasadach dostarczania za pomocą portalu Microsoft Defender

Aby skonfigurować symulację wyłudzania informacji spoza firmy Microsoft, należy podać następujące informacje:

• Co najmniej jedna domena: domena z adresu MAIL FROM (znana również jako 5321.MailFrom adres, nadawca P1 lub nadawca koperty), która jest używana w transmisji SMTP wiadomości lub domeny DKIM określonej przez dostawcę symulacji wyłudzania informacji.
• Co najmniej jeden adres IP wysyłania.
• W przypadku symulacji wyłudzania informacji spoza poczty e-mail (na przykład komunikatów usługi Microsoft Teams, dokumentów Word lub arkuszy kalkulacyjnych programu Excel) możesz opcjonalnie zidentyfikować adresy URL symulacji, aby umożliwić, że nie powinny być traktowane jako rzeczywiste zagrożenia w momencie kliknięcia: adresy URL nie są blokowane ani detonowane, a alerty kliknięcia adresu URL lub wynikowe zdarzenia nie są generowane. Adresy URL są opakowane w momencie kliknięcia, ale nie są blokowane.

Musi istnieć dopasowanie co najmniej jednej domeny i jednego wysyłającego adresu IP, ale nie jest utrzymywane żadne skojarzenie między wartościami.

Jeśli rekord MX nie wskazuje platformy Microsoft 365, adres IP w nagłówku Authentication-results musi być zgodny z adresem IP w zaawansowanych zasadach dostarczania. Jeśli adresy IP nie są zgodne, może być konieczne skonfigurowanie rozszerzonego filtrowania dla łączników w celu wykrycia poprawnego adresu IP.

Uwaga

• Rozszerzone filtrowanie łączników nie działa w przypadku symulacji wyłudzania informacji innych niż microsoft w następującym scenariuszu routingu wiadomości e-mail w poziomie:

  Internetowe > środowisko lokalne platformy Microsoft 365 > lub usługa > zabezpieczeń innych firm z powrotem na platformę Microsoft 365

  Ten scenariusz został opisany w temacie Integracja za pośrednictwem routingu poczty in-and-out.

  Platforma Microsoft 365 nie może zidentyfikować prawdziwego adresu IP źródła wiadomości. Nie próbuj obejść tego ograniczenia, dodając adresy IP lokalnej lub niebędącej firmą Microsoft wysyłającą infrastrukturę do symulacji wyłudzania informacji spoza firmy Microsoft. W ten sposób skutecznie pomija filtrowanie spamu dla każdego nadawcy internetowego, który personifikuje domenę określoną w symulacji wyłudzania informacji spoza firmy Microsoft.

• Obecnie zaawansowane zasady dostarczania symulacji wyłudzania informacji innych niż microsoft nie obsługują symulacji w tej samej organizacji (DIR:INT), zwłaszcza gdy poczta e-mail jest kierowana przez bramę Exchange Server przed platformą Microsoft 365 w hybrydowym przepływie poczty. Aby obejść ten problem, dostępne są następujące opcje:

  • Utwórz dedykowany łącznik odbierania , który nie uwierzytelnia komunikatów symulacji wyłudzania informacji jako wewnętrznych.
  • Skonfiguruj symulację wyłudzania informacji, aby pominąć infrastrukturę Exchange Server i skierować pocztę bezpośrednio do rekordu microsoft 365 MX (na przykład contoso-com.mail.protection.outlook.com).
  • Nie zalecamy ustawiania skanowania wiadomości wewnątrz organizacji na brak w zasadach ochrony przed spamem , ponieważ ma to wpływ na inne wiadomości e-mail.

• Jeśli używasz wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony lub niestandardowe zasady bezpiecznych linków mają ustawienie Nie przepisuj ponownie adresów URL, sprawdzaj tylko za pośrednictwem interfejsu API SafeLinks włączone, czas ochrony przed kliknięciami nie traktuje linków symulacji wyłudzania informacji w wiadomościach e-mail jako zagrożeń w Outlook w sieci Web, programie Outlook dla systemów iOS i Android, programie Outlook dla systemu Windows w wersji 16.0.15317.10000 lub nowszej Outlook dla komputerów Mac w wersji 16.74 (23061100) lub nowszej. Jeśli używasz starszych wersji programu Outlook, rozważ wyłączenie adresów URL Nie przepisuj ponownie, sprawdzaj tylko za pośrednictwem interfejsu API SafeLinks w niestandardowych zasadach bezpiecznych łączy.

• Dodanie adresów URL symulacji wyłudzania informacji do sekcji Nie przepisuj ponownie następujących adresów URL w sekcji Wiadomości e-mail w zasadach bezpiecznych linków może spowodować niepożądane alerty dotyczące kliknięć adresów URL. Adresy URL symulacji wyłudzania informacji w wiadomościach e-mail są automatycznie dozwolone zarówno podczas przepływu poczty, jak i w momencie kliknięcia.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>— zaawansowanedostarczanie w > sekcji Reguły. Aby przejść bezpośrednio do strony Dostarczanie zaawansowane , użyj polecenia https://security.microsoft.com/advanceddelivery.

   Na stronie Dostarczanie zaawansowane wybierz kartę Symulacja wyłudzania informacji .

2. Na karcie Symulacja wyłudzania informacji wybierz przycisk Dodaj w obszarze Nie skonfigurowano symulacji wyłudzania informacji innych firm na stronie.

   Jeśli na karcie Symulacja wyłudzania informacji istnieją już wpisy, wybierz pozycję Edytuj (przycisk Dodaj jest niedostępny).

3. W wyświetlonym wysuwu Dodawanie symulacji wyłudzania informacji innych firm skonfiguruj następujące ustawienia:

   • Domena: rozwiń to ustawienie i wprowadź co najmniej jedną domenę adresu e-mail. Kliknij w polu, wprowadź wartość (na przykład contoso.com), a następnie naciśnij ENTER lub wybierz wartość poniżej pola. Powtórz ten krok tyle razy, ile jest to konieczne. Możesz dodać maksymalnie 50 wpisów. Użyj jednej z następujących wartości:

     • Domena w adresie 5321.MailFrom (znana również jako adres MAIL FROM , nadawca P1 lub nadawca koperty), która jest używana w transmisji SMTP wiadomości.
     • Domena DKIM określona przez dostawcę symulacji wyłudzania informacji.

   • Wysyłanie adresu IP: rozwiń to ustawienie i wprowadź co najmniej jeden prawidłowy adres IPv4. Kliknij w polu, wprowadź wartość, a następnie naciśnij ENTER lub wybierz wartość poniżej pola. Powtórz ten krok tyle razy, ile jest to konieczne. Możesz dodać maksymalnie 10 wpisów. Prawidłowe wartości to:

     • Pojedynczy adres IP: na przykład 192.168.1.1.
     • Zakres adresów IP: na przykład 192.168.0.1-192.168.0.254.
     • Adres IP CIDR: na przykład 192.168.0.1/25.

   • Dozwolone adresy URL symulacji: to ustawienie nie jest wymagane w przypadku linków w symulacjach wyłudzania informacji za pomocą poczty e-mail. To ustawienie umożliwia opcjonalne identyfikowanie linków w symulacjach wyłudzania informacji innych niż wiadomości e-mail (linki w wiadomościach usługi Teams lub w dokumentach pakietu Office), które nie powinny być traktowane jako rzeczywiste zagrożenia w momencie kliknięcia.

     Dodaj wpisy adresu URL, rozwijając to ustawienie, klikając w polu, wprowadzając wartość, a następnie naciskając ENTER lub wybierając wartość wyświetlaną poniżej pola. Możesz dodać maksymalnie 30 wpisów. Aby uzyskać składnię adresu URL, zobacz Składnia adresu URL listy dozwolonych/zablokowanych dzierżaw.

   Aby usunąć istniejącą wartość domeny, adresu IP lub adresu URL, wybierz pozycję usuń obok wartości.

   Rozważmy następujący przykład:

   Authentication-Results: spf=pass (sender IP is 172.17.17.7)
   smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
   header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
   
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
   s=selector1;
   h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
   bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
   

   • Adres IP łączący się to 172.17.17.7.
   • Domena w adresie MAIL FROM (smtp.mailfrom) jest contoso.com.
   • Domena DKIM (header.d) jest contoso-simulation.com.

   W tym przykładzie można użyć jednej z następujących kombinacji, aby skonfigurować symulację wyłudzania informacji spoza firmy Microsoft:

   Domena: contoso.com
   Adres IP wysyłania: 172.17.17.7

   Domena: contoso-simulation.com
   Adres IP wysyłania: 172.17.17.7

4. Po zakończeniu pracy z wysuwem Dodawanie symulacji wyłudzania informacji innych firm wybierz pozycję Dodaj.

5. Przejrzyj informacje w wysuwce Zmiany w symulacji wyłudzania informacji , a następnie wybierz pozycję Zamknij.

Na karcie Symulacja wyłudzania informacji są teraz wyświetlane skonfigurowane wpisy symulacji wyłudzania informacji innych niż Microsoft:

• Kolumna Wartość zawiera wpis domeny, adresu IP lub adresu URL.
• Kolumna Typ zawiera wartość Wysyłanie adresu IP, domeny lub dozwolonego adresu URL symulacji dla każdego wpisu.
• Kolumna Date (Data ) pokazuje, kiedy wpis został utworzony.
• Aby zmienić listę wpisów z normalnego na kompaktowy, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Modyfikowanie lub usuwanie symulacji wyłudzania informacji innych niż microsoft w zaawansowanych zasadach dostarczania za pomocą portalu Microsoft Defender

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>— zaawansowanedostarczanie w > sekcji Reguły. Aby przejść bezpośrednio do strony Dostarczanie zaawansowane , użyj polecenia https://security.microsoft.com/advanceddelivery.

   Na stronie Dostarczanie zaawansowane wybierz kartę Symulacja wyłudzania informacji .

2. Na karcie Symulacja wyłudzania informacji wybierz pozycję Edytuj.

3. W oknie wysuwnym Edytuj symulację wyłudzania informacji innych niż Microsoft, która otwiera, dodaj lub usuń wpisy dla adresów URL domen, adresów IP wysyłania i symulacji zgodnie z opisem w kroku 3 w portalu Microsoft Defender, aby skonfigurować skrzynki pocztowe SecOps w sekcji zaawansowanych zasad dostarczania.

   Aby usunąć wszystkie wpisy, wybierz pozycję usuń obok każdej wartości, dopóki nie zostanie wybrana żadna więcej domen, adresów IP lub adresów URL.

4. Po zakończeniu pracy z wysuwaną symulacją wyłudzania informacji spoza firmy Microsoft wybierz pozycję Zapisz.

5. Przejrzyj informacje w wysuwce Zmiany w symulacji wyłudzania informacji , a następnie wybierz pozycję Zamknij.

Na karcie Symulacja wyłudzania informacji zostaną wyświetlone skonfigurowane wpisy symulacji wyłudzania informacji innych niż Microsoft. Jeśli usuniesz wszystkie wpisy, lista będzie pusta.

Inne scenariusze wymagające obejścia filtrowania

Oprócz dwóch scenariuszy, w których mogą pomóc zaawansowane zasady dostarczania, istnieją inne scenariusze, w których może być konieczne obejście filtrowania komunikatów:

• Filtry innych niż Microsoft: jeśli rekord MX domeny nie wskazuje na Office 365 (komunikaty są najpierw kierowane gdzie indziej), zabezpieczenia domyślnienie są dostępne. Jeśli chcesz dodać ochronę, musisz włączyć rozszerzone filtrowanie dla łączników (nazywane również pomijaniem listy). Aby uzyskać więcej informacji, zobacz Manage mail flow using a non-Microsoft cloud service with Exchange Online (Zarządzanie przepływem poczty przy użyciu usługi w chmurze innej niż Microsoft z Exchange Online). Jeśli nie chcesz rozszerzonego filtrowania dla łączników, użyj reguł przepływu poczty (znanych również jako reguły transportu), aby pominąć filtrowanie przez firmę Microsoft wiadomości, które zostały już ocenione przez usługę filtrowania innych firm. Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do ustawiania listy SCL w wiadomościach.
• Wyniki fałszywie dodatnie w trakcie przeglądu: Możesz tymczasowo zezwolić na nieprawidłowo zidentyfikowane dobre komunikaty jako złe (fałszywie dodatnie), które zostały zgłoszone za pośrednictwem przesłanych przez administratora do firmy Microsoft, a te komunikaty są analizowane. Podobnie jak w przypadku wszystkich zastąpień, zdecydowanie zalecamy, aby te dodatki były tymczasowe.

Procedury programu PowerShell dla skrzynek pocztowych SecOps w zaawansowanych zasadach dostarczania

W programie PowerShell podstawowe elementy skrzynek pocztowych SecOps w zaawansowanych zasadach dostarczania to:

• Zasady zastępowania secops: kontrolowane przez polecenia cmdlet *-SecOpsOverridePolicy .
• Reguła zastąpienia SecOps: kontrolowana przez polecenia cmdlet *-ExoSecOpsOverrideRule .

To zachowanie ma następujące wyniki:

• Najpierw tworzysz zasady, a następnie tworzysz regułę identyfikującą zasady, do których ma zastosowanie reguła.
• Po usunięciu zasad z programu PowerShell odpowiednia reguła również zostanie usunięta.
• Po usunięciu reguły z programu PowerShell odpowiednie zasady nie zostaną usunięte. Odpowiednie zasady należy usunąć ręcznie.

Konfigurowanie skrzynek pocztowych Usługi SecOps przy użyciu programu PowerShell

Konfigurowanie skrzynki pocztowej SecOps w zaawansowanych zasadach dostarczania w programie PowerShell jest procesem dwuetapowym:

1. Utwórz zasady zastępowania usługi SecOps.
2. Utwórz regułę zastąpienia SecOps określającą zasady, do których ma zastosowanie reguła.

Krok 1. Tworzenie zasad zastępowania usługi SecOps przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Bez względu na określoną wartość Nazwa nazwa zasad to SecOpsOverridePolicy, więc możesz również użyć tej wartości.

W tym przykładzie są tworzone zasady skrzynki pocztowej SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-SecOpsOverridePolicy.

Krok 2. Tworzenie reguły zastąpienia secops przy użyciu programu PowerShell

W Exchange Online programu PowerShell uruchom następujące polecenie:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Niezależnie od podanej wartości Nazwa nazwa reguły to _Exe:SecOpsOverrid:<GUID\> [sic], gdzie <identyfikator GUID> jest unikatową wartością identyfikatora GUID (na przykład 312c23cf-0377-4162-b93d-6548a9977efb9).

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-ExoSecOpsOverrideRule.

Wyświetlanie zasad zastępowania secops przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład zwraca szczegółowe informacje o zasadach skrzynki pocztowej secops.

Get-SecOpsOverridePolicy

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-SecOpsOverridePolicy.

Wyświetlanie reguł zastępowania secops przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład zwraca szczegółowe informacje o regułach zastępowania usługi SecOps.

Get-ExoSecOpsOverrideRule

Mimo że poprzednie polecenie powinno zwracać tylko jedną regułę, reguła oczekująca na usunięcie może również zostać uwzględniona w wynikach.

W tym przykładzie zidentyfikowano prawidłową regułę (jedną) i wszystkie nieprawidłowe reguły.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Po zidentyfikowaniu nieprawidłowych reguł można je usunąć za pomocą polecenia cmdlet Remove-ExoSecOpsOverrideRule zgodnie z opisem w dalszej części tego artykułu.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-ExoSecOpsOverrideRule.

Modyfikowanie zasad zastępowania usługi SecOps przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

W tym przykładzie secops2@contoso.com dodano zasady zastępowania usługi SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Uwaga

Jeśli istnieje skojarzona prawidłowa reguła zastąpienia SecOps, adresy e-mail w regule również zostaną zaktualizowane.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-SecOpsOverridePolicy.

Modyfikowanie reguły zastępowania secops przy użyciu programu PowerShell

Polecenie cmdlet Set-ExoSecOpsOverrideRule nie modyfikuje adresów e-mail w regule zastępowania secops. Aby zmodyfikować adresy e-mail w regule zastępowania secops, użyj polecenia cmdlet Set-SecOpsOverridePolicy .

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-ExoSecOpsOverrideRule.

Usuwanie zasad zastępowania secops przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład usuwa zasady skrzynki pocztowej SecOps i odpowiednią regułę.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-SecOpsOverridePolicy.

Usuwanie reguł zastępowania secops przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następujących poleceń:

• Usuń wszelkie reguły zastępowania secops:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• Usuń określoną regułę zastąpienia SecOps:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-ExoSecOpsOverrideRule.

Procedury programu PowerShell dla symulacji wyłudzania informacji innych niż microsoft w zaawansowanych zasadach dostarczania

W programie PowerShell podstawowe elementy symulacji wyłudzania informacji innych niż microsoft w zaawansowanych zasadach dostarczania to:

• Zasady zastępowania symulacji wyłudzania informacji: kontrolowane przez polecenia cmdlet *-PhishSimOverridePolicy .
• Reguła zastępowania symulacji wyłudzania informacji: kontrolowana przez polecenia cmdlet *-ExoPhishSimOverrideRule .
• Dozwolone (odblokowane) adresy URL symulacji wyłudzania informacji: kontrolowane przez polecenia cmdlet *-TenantAllowBlockListItems .

Uwaga

Zgodnie z wcześniejszym opisem identyfikowanie adresów URL nie jest wymagane w przypadku linków w symulacjach wyłudzania informacji opartych na wiadomościach e-mail. Opcjonalnie możesz zidentyfikować linki w symulacjach wyłudzania informacji innych niż wiadomości e-mail (linki w wiadomościach usługi Teams lub w dokumentach pakietu Office), które nie powinny być traktowane jako rzeczywiste zagrożenia w momencie kliknięcia.

To zachowanie ma następujące wyniki:

• Najpierw tworzysz zasady, a następnie tworzysz regułę identyfikującą zasady, do których ma zastosowanie reguła.
• Ustawienia zasad i reguły są modyfikowane oddzielnie.
• Po usunięciu zasad z programu PowerShell odpowiednia reguła również zostanie usunięta.
• Po usunięciu reguły z programu PowerShell odpowiednie zasady nie zostaną usunięte. Odpowiednie zasady należy usunąć ręcznie.

Konfigurowanie symulacji wyłudzania informacji innych niż microsoft przy użyciu programu PowerShell

Konfigurowanie symulacji wyłudzania informacji innych niż microsoft w programie PowerShell jest procesem wieloetapowym:

1. Utwórz zasady zastępowania symulacji wyłudzania informacji.
2. Utwórz regułę zastąpienia symulacji wyłudzania informacji, która określa:
   • Zasady, do których ma zastosowanie reguła.
   • Źródłowy adres IP komunikatów symulacji wyłudzania informacji.
3. Opcjonalnie należy tożsamości adresów URL symulacji wyłudzania informacji w symulacjach wyłudzania informacji innych niż wiadomości e-mail (linki w wiadomościach usługi Teams lub w dokumentach pakietu Office), które nie powinny być traktowane jako rzeczywiste zagrożenia w momencie kliknięcia.

Krok 1. Tworzenie zasad zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład tworzy zasady zastępowania symulacji wyłudzania informacji.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Bez względu na określoną wartość Nazwa nazwa zasad to PhishSimOverridePolicy, więc możesz również użyć tej wartości.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-PhishSimOverridePolicy.

Krok 2. Tworzenie reguły zastąpienia symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Niezależnie od określonej wartości Nazwa nazwa reguły to _Exe:PhishSimOverr:<GUID\> [sic], gdzie <identyfikator GUID> jest unikatową wartością identyfikatora GUID (na przykład 6fed4b63-3563-495d-a481-b24a311f8329).

Prawidłowy wpis adresu IP to jedna z następujących wartości:

• Pojedynczy adres IP: na przykład 192.168.1.1.
• Zakres adresów IP: na przykład 192.168.0.1-192.168.0.254.
• Adres IP CIDR: na przykład 192.168.0.1/25.

W tym przykładzie zostanie utworzona reguła zastąpienia symulacji wyłudzania informacji z określonymi ustawieniami.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-ExoPhishSimOverrideRule.

Krok 3. (Opcjonalnie) Używanie programu PowerShell do identyfikowania adresów URL symulacji wyłudzania informacji w celu zezwolenia

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Aby uzyskać szczegółowe informacje na temat składni adresu URL, zobacz Składnia adresu URL listy dozwolonych/zablokowanych dzierżaw

W tym przykładzie dodano adres URL zezwalania na wpis dla określonego adresu URL symulacji wyłudzania informacji innych niż Microsoft bez wygaśnięcia.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListItems.

Wyświetlanie zasad zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład zwraca szczegółowe informacje o zasadach zastępowania jedynej symulacji wyłudzania informacji.

Get-PhishSimOverridePolicy

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-PhishSimOverridePolicy.

Wyświetlanie reguł zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład zwraca szczegółowe informacje o regułach zastępowania symulacji wyłudzania informacji.

Get-ExoPhishSimOverrideRule

Mimo że poprzednie polecenie powinno zwracać tylko jedną regułę, wszystkie reguły oczekujące na usunięcie mogą również zostać uwzględnione w wynikach.

W tym przykładzie zidentyfikowano prawidłową regułę (jedną) i wszystkie nieprawidłowe reguły.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Po zidentyfikowaniu nieprawidłowych reguł można je usunąć za pomocą polecenia cmdlet Remove-ExoPhishSimOverrideRule zgodnie z opisem w dalszej części tego artykułu.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-ExoPhishSimOverrideRule.

Wyświetlanie dozwolonych wpisów adresu URL symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell uruchom następujące polecenie:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListItems.

Modyfikowanie zasad zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Ten przykład wyłącza zasady zastępowania symulacji wyłudzania informacji.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-PhishSimOverridePolicy.

Modyfikowanie reguł zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Get-ExoPhishSimOverrideRule | Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Lub

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Użyj polecenia cmdlet Get-ExoPhishSimOverrideRule , aby znaleźć <wartości PhishSimOverrideRuleIdentity> . Nazwa reguły używa następującej składni: [sic], _Exe:PhishSimOverr:<GUID\> gdzie <identyfikator GUID> jest unikatową wartością identyfikatora GUID (na przykład 6fed4b63-3563-495d-a481-b24a311f8329).

Ten przykład modyfikuje (prawdopodobnie tylko) regułę zastępowania symulacji wyłudzania informacji przy użyciu następujących ustawień:

• Dodaj wpis domeny blueyonderairlines.com.
• Usuń wpis adresu IP 192.168.1.55.

Te zmiany nie mają wpływu na istniejące wpisy w regule.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-ExoPhishSimOverrideRule.

Modyfikowanie dozwolonych wpisów adresu URL symulacji wyłudzania informacji przy użyciu programu PowerShell

Nie można bezpośrednio modyfikować wartości adresu URL. Możesz usunąć istniejące wpisy adresu URL i dodać nowe wpisy adresu URL zgodnie z opisem w tym artykule.

W Exchange Online programu PowerShell, aby zmodyfikować inne właściwości dozwolonego wpisu adresu URL symulacji wyłudzania informacji (na przykład datę wygaśnięcia lub komentarze), użyj następującej składni:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Można zidentyfikować wpis, który ma zostać zmodyfikowany przez jego wartości adresu URL (parametr Wpisy ) lub wartość Identity z danych wyjściowych polecenia cmdlet Get-TenantAllowBlockListItems ( parametrUidentyfikatora identyfikatorów ).

W tym przykładzie zmodyfikowano datę wygaśnięcia określonego wpisu.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListItems.

Usuwanie zasad zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell ten przykład usuwa zasady zastępowania symulacji wyłudzania informacji i odpowiednią regułę.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-PhishSimOverridePolicy.

Usuwanie reguł zastępowania symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następujących poleceń:

• Usuń wszelkie reguły zastępowania symulacji wyłudzania informacji:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• Usuń określoną regułę zastąpienia symulacji wyłudzania informacji:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-ExoPhishSimOverrideRule.

Usuwanie dozwolonych wpisów adresu URL symulacji wyłudzania informacji przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Można zidentyfikować wpis, który ma zostać zmodyfikowany przez jego wartości adresu URL (parametr Wpisy ) lub wartość Identity z danych wyjściowych polecenia cmdlet Get-TenantAllowBlockListItems ( parametrUidentyfikatora identyfikatorów ).

W tym przykładzie zmodyfikowano datę wygaśnięcia określonego wpisu.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListItems.