Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Ważna

Aby zezwolić na wyłudzanie informacji o adresach URL, które są częścią trenowania symulacji ataków innych firm, użyj zaawansowanej konfiguracji dostarczania , aby określić adresy URL. Nie używaj listy dozwolonych/zablokowanych dzierżaw.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w organizacjach Exchange Online lub autonomicznych organizacji Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych może się nie zgadzać z operacją EOP lub Ochrona usługi Office 365 w usłudze Microsoft Defender werdykt filtrowania. Na przykład dobra wiadomość może być oznaczona jako zła (fałszywie dodatnia) lub zła wiadomość może zostać przepuszczona (fałszywie ujemna).

Lista dozwolonych/zablokowanych dzierżaw w portalu Microsoft Defender umożliwia ręczne zastąpienie werdyktów filtrowania Ochrona usługi Office 365 w usłudze Defender lub EOP. Lista jest używana podczas przepływu poczty dla wiadomości przychodzących od nadawców zewnętrznych.

Lista dozwolonych/zablokowanych dzierżaw nie ma zastosowania do komunikatów wewnętrznych w organizacji. Jednak wpisy blokowe dla domen i adresów e-mail uniemożliwiają użytkownikom w organizacji wysyłanie wiadomości e-mail do zablokowanych domen i adresów.

Lista Zezwalaj/blokuj dzierżawy jest dostępna w portalu Microsoft Defender w https://security.microsoft.com> sekcji Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Aby przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Aby uzyskać instrukcje dotyczące użycia i konfiguracji, zobacz następujące artykuły:

• Domeny i adresy e-mail oraz sfałszowane nadawcy: zezwalaj lub blokuj wiadomości e-mail przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Pliki: zezwalaj na pliki lub blokuj przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Adresy URL: zezwalaj na adresy URL lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw.

Te artykuły zawierają procedury w portalu Microsoft Defender i w programie PowerShell.

Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw

Uwaga

Na liście zezwalania/blokowania dzierżawy wpisy blokowe mają pierwszeństwo przed wpisami dozwolonymi.

Użyj strony Przesłane (nazywanej również przesyłaniem przez administratora) w witrynie https://security.microsoft.com/reportsubmission , aby utworzyć wpisy blokowe dla następujących typów elementów podczas zgłaszania ich jako fałszywie ujemnych dla firmy Microsoft:

• Domeny i adresy e-mail:

  • Email wiadomości od tych nadawców są oznaczone jako wyłudzanie informacji o wysokim poziomie zaufania, a następnie przenoszone do kwarantanny.
  • Użytkownicy w organizacji nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Otrzymują następujący raport o braku dostarczania (znany również jako komunikat NDR lub bounce): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli w wpisie bloku zdefiniowano tylko jeden adres e-mail lub domenę adresata.

  Porada

  Aby zablokować tylko spam od określonego nadawcy, dodaj adres e-mail lub domenę do listy zablokowanych w zasadach ochrony przed spamem. Aby zablokować wszystkie wiadomości e-mail od nadawcy, użyj domen i adresów e-mail na liście dozwolonych /zablokowanych dzierżaw.

• Pliki: Email komunikaty zawierające te zablokowane pliki są blokowane jako złośliwe oprogramowanie. Komunikaty zawierające zablokowane pliki są poddawane kwarantannie.

• Adresy URL: Email wiadomości zawierające te zablokowane adresy URL są blokowane jako wyłudzanie informacji o wysokim poziomie ufności. Komunikaty zawierające zablokowane adresy URL są poddawane kwarantannie.

Na liście zezwalania/blokowania dzierżawy można również bezpośrednio tworzyć wpisy blokowe dla następujących typów elementów:

• Domeny i adresy e-mail, pliki i adresy URL.

• Fałszowani nadawcy: jeśli ręcznie zastąpisz istniejący werdykt zezwalający na fałszowanie analizy, zablokowany sfałszowany nadawca stanie się ręcznym wpisem bloku, który pojawia się tylko na karcie Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżawców.

Domyślnie blokuj wpisy dla domen i adresów e-mail, plików i adresów URL wygasają po 30 dniach, ale możesz ustawić, aby wygasały 90 dni lub nigdy nie wygasały. Blokowanie wpisów dla sfałszowanych nadawców nigdy nie wygasa.

Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw

W większości przypadków nie można bezpośrednio tworzyć wpisów dozwolonych na liście dozwolonych/zablokowanych dzierżaw:

• Domeny i adresy e-mail, pliki i adresy URL: nie można tworzyć wpisów dozwolonych bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego używasz strony Przesłane pod adresem https://security.microsoft.com/reportsubmission , aby zgłosić wiadomość e-mail, załącznik wiadomości e-mail lub adres URL do firmy Microsoft, ponieważ nie powinno być zablokowane (fałszywie dodatnie).

• Sfałszowane nadawcy:

  • Jeśli analiza podróbek już zablokowała wiadomość jako fałszowanie, użyj strony Przesłane pod https://security.microsoft.com/reportsubmission adresem, aby zgłosić wiadomość e-mail do firmy Microsoft, ponieważ nie powinno być zablokowane (fałszywie dodatnie).
  • Możesz proaktywnie utworzyć wpis zezwalania dla sfałszowanego nadawcy na karcie Spoofed sender (Spoofed sender ) na liście zezwalania/blokowania dzierżawy przed zidentyfikowaniem i zablokowaniem komunikatu jako fałszowania.

Na poniższej liście opisano, co dzieje się na liście dozwolonych/zablokowanych dzierżaw, gdy zgłaszasz coś firmie Microsoft jako wynik fałszywie dodatni na stronie Przesłane :

• Email załączników i adresów URL: zostanie utworzony wpis zezwalania, a wpis zostanie wyświetlony odpowiednio na karcie Pliki lub adresy URL na liście dozwolonych/zablokowanych dzierżaw.

  W przypadku adresów URL zgłaszanych jako fałszywie dodatnie będziemy zezwalać na kolejne komunikaty zawierające odmiany oryginalnego adresu URL. Na przykład użyjesz strony Przesłane , aby zgłosić nieprawidłowo zablokowany adres URL www.contoso.com/abc. Jeśli organizacja otrzyma później komunikat zawierający adres URL (na przykład, ale nie tylko: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, lub www.contoso.com/abc/whatever), komunikat nie zostanie zablokowany na podstawie adresu URL. Innymi słowy, nie musisz zgłaszać firmie Microsoft wielu odmian tego samego adresu URL, co dobry.

• Email: Jeśli komunikat został zablokowany przez stos filtrowania EOP lub Ochrona usługi Office 365 w usłudze Defender, wpis zezwalania może zostać utworzony na liście dozwolonych/zablokowanych dzierżaw:

  • Jeśli wiadomość została zablokowana przez analizę fałszowania, zostanie utworzony wpis zezwalania dla nadawcy, a wpis zostanie wyświetlony na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli wiadomość została zablokowana przez ochronę personifikacji użytkownika (lub grafu) w Ochrona usługi Office 365 w usłudze Defender, pozycja zezwalania nie zostanie utworzona na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego domena lub nadawca jest dodawana do sekcji Zaufani nadawcy i domeny w zasadach ochrony przed wyłudzaniem informacji , które wykryły komunikat.
  • Jeśli komunikat został zablokowany z powodu filtrów opartych na plikach, zostanie utworzony wpis zezwalania dla pliku, a wpis zostanie wyświetlony na karcie Pliki na liście zezwalania/blokowania dzierżawy.
  • Jeśli komunikat został zablokowany z powodu filtrów opartych na adresach URL, zostanie utworzony wpis zezwalania na adres URL, a wpis zostanie wyświetlony na karcie Adres URL na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli wiadomość została zablokowana z innego powodu, zostanie utworzony wpis zezwalania na adres e-mail nadawcy lub domenę, a wpis zostanie wyświetlony na karcie Domeny & adresy na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli komunikat nie został zablokowany z powodu filtrowania, w dowolnym miejscu nie są tworzone żadne wpisy zezwalające.

Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL istnieją przez 30 dni. W ciągu tych 30 dni firma Microsoft uczy się z wpisów dozwolonych i usuwa je lub automatycznie je rozszerza. Po zapoznaniu się przez firmę Microsoft z usuniętych wpisów dozwolonych komunikaty zawierające te jednostki zostaną dostarczone, chyba że coś innego w komunikacie zostanie wykryte jako złośliwe. Domyślnie zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.

Ważna

Firma Microsoft nie zezwala na bezpośrednie tworzenie dozwolonych wpisów. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które mogły zostać przefiltrowane przez system.

Firma Microsoft zarządza tworzeniem wpisów dozwolonych na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission. Zezwalaj na wpisy są dodawane podczas przepływu poczty na podstawie filtrów, które ustaliły, że wiadomość była złośliwa. Jeśli na przykład adres e-mail nadawcy i adres URL w wiadomości zostały uznane za nieprawidłowe, dla nadawcy (adresu e-mail lub domeny) i adresu URL zostanie utworzony wpis zezwalania.

Po ponownym napotkaniu jednostki (podczas przepływu poczty lub czasu kliknięcia) wszystkie filtry skojarzone z tą jednostką są pomijane.

Jeśli podczas przepływu poczty wiadomości zawierające dozwoloną jednostkę przejdą inne kontrole w stosie filtrowania, komunikaty zostaną dostarczone. Jeśli na przykład komunikat przejdzie testy uwierzytelniania poczty e-mail, filtrowanie adresów URL i filtrowanie plików, zostanie dostarczona wiadomość z dozwolonego adresu e-mail nadawcy.

Czego można oczekiwać po dodaniu wpisu zezwalania lub blokowania

Po dodaniu wpisu zezwalania na stronie Przesłane lub wpisu bloku na liście dozwolonych/zablokowanych dzierżawcy wpis powinien zacząć działać natychmiast (w ciągu 5 minut).

Jeśli firma Microsoft dowiedziała się z wpisu zezwalania, wpis zostanie usunięty. Zostanie wyświetlony alert o usunięciu niepotrzebnego wpisu zezwalania z wbudowanych zasad alertów o nazwie Usunięto wpis na liście dozwolonych/zablokowanych dzierżaw.