Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w usłudze Microsoft Defender XDR dla usługi Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Usługi Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Ważna

Aby zezwolić na wyłudzanie informacji o adresach URL, które są częścią trenowania symulacji ataków innych firm, użyj zaawansowanej konfiguracji dostarczania , aby określić adresy URL. Nie używaj listy dozwolonych/zablokowanych dzierżaw.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w usłudze Exchange Online lub autonomicznych organizacjach programu Exchange Online Protection (EOP) bez skrzynek pocztowych usługi Exchange Online możesz nie zgadzać się z werdyktem filtrowania EOP lub Microsoft Defender for Office 365. Na przykład dobra wiadomość może być oznaczona jako zła (fałszywie dodatnia) lub zła wiadomość może zostać przepuszczona (fałszywie ujemna).

Lista dozwolonych/zablokowanych dzierżaw w portalu usługi Microsoft Defender umożliwia ręczne zastąpienie werdyktów filtrowania usługi Defender for Office 365 lub EOP. Lista jest używana podczas przepływu poczty dla wiadomości przychodzących od nadawców zewnętrznych.

Lista dozwolonych/zablokowanych dzierżaw nie ma zastosowania do komunikatów wewnętrznych wysyłanych w organizacji. Ale wpisy blokowe dla domen i adresów e-mail również uniemożliwiają użytkownikom w organizacji wysyłanie wiadomości e-mail do zablokowanych domen i adresów.

Lista Zezwalaj na dzierżawę/Blokuj jest dostępna w portalu usługi Microsoft Defender pod adresem https://security.microsoft.come-mail & zasad współpracy>& reguł>zasadzagrożeń> w sekcji >Zezwalaj/blokuj listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj/blokuj listy dzierżawy , użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Aby uzyskać instrukcje dotyczące użycia i konfiguracji, zobacz następujące artykuły:

• Domeny i adresy e-mail oraz sfałszowane nadawcy: zezwalaj lub blokuj wiadomości e-mail przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Pliki: zezwalaj na pliki lub blokuj przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Adresy URL: zezwalaj na adresy URL lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw.

Te artykuły zawierają procedury w portalu usługi Microsoft Defender i w programie PowerShell.

Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw

Porada

Na liście zezwalania/blokowania dzierżawy wpisy blokowe mają pierwszeństwo przed wpisami dozwolonymi.

Strona Przesłane (znana również jako przesyłanie przez administratora) w witrynie https://security.microsoft.com/reportsubmission umożliwia tworzenie wpisów blokowych dla następujących typów elementów podczas przesyłania ich jako fałszywych negatywów do firmy Microsoft:

• Domeny i adresy e-mail:

  • Wiadomości e-mail od tych nadawców są oznaczone jako wyłudzanie informacji o wysokim poziomie zaufania , a następnie przenoszone do kwarantanny.
  • Użytkownicy w organizacji nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Otrzymują następujący raport o braku dostarczania (znany również jako komunikat NDR lub bounce): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli w wpisie bloku zdefiniowano tylko jeden adres e-mail lub domenę adresata.

  Porada

  Aby zablokować tylko spam od określonego nadawcy, dodaj adres e-mail lub domenę do listy zablokowanych w zasadach ochrony przed spamem. Aby zablokować wszystkie wiadomości e-mail od nadawcy, użyj domen i adresów e-mail na liście dozwolonych /zablokowanych dzierżaw.

• Pliki: Wiadomości e-mail zawierające te zablokowane pliki są blokowane jako złośliwe oprogramowanie. Komunikaty zawierające zablokowane pliki są poddawane kwarantannie.

• Adresy URL: Wiadomości e-mail zawierające te zablokowane adresy URL są blokowane jako wyłudzanie informacji o wysokim poziomie ufności. Komunikaty zawierające zablokowane adresy URL są poddawane kwarantannie.

Na liście zezwalania/blokowania dzierżawy można również bezpośrednio tworzyć wpisy blokowe dla następujących typów elementów:

• Domeny i adresy e-mail, pliki i adresy URL.

• Fałszowani nadawcy: jeśli ręcznie zastąpisz istniejący werdykt zezwalający na fałszowanie analizy, zablokowany sfałszowany nadawca stanie się ręcznym wpisem bloku, który pojawia się tylko na karcie Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżawców.

Domyślnie blokuj wpisy dla domen i adresów e-mail, plików i adresów URL wygasają po 30 dniach, ale możesz ustawić, aby wygasały 90 dni lub nigdy nie wygasały. Blokowanie wpisów dla sfałszowanych nadawców nigdy nie wygasa.

Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw

W większości przypadków nie można bezpośrednio tworzyć wpisów dozwolonych na liście dozwolonych/zablokowanych dzierżaw. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które mogły zostać przefiltrowane przez system.

• Domeny i adresy e-mail, pliki i adresy URL: nie można tworzyć wpisów dozwolonych bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego użyjesz strony Przesłane pod adresem https://security.microsoft.com/reportsubmission , aby przesłać wiadomość e-mail, załącznik wiadomości e-mail lub adres URL do firmy Microsoft. Po wybraniu pozycji Potwierdzam, że jest on czysty, możesz wybrać pozycję Zezwalaj na ten komunikat, Zezwalaj na ten plik lub Zezwalaj na tworzenie wpisu zezwalania dla domen i adresów e-mail, plików lub adresów URL.

• Sfałszowane nadawcy:

  • Jeśli analiza podróbek już zablokowała wiadomość jako fałszowanie, użyj strony Przesłane pod https://security.microsoft.com/reportsubmission adresem, aby zgłosić wiadomość e-mail do firmy Microsoft , ponieważ potwierdziłem, że jest ona czysta, a następnie wybierz pozycję Zezwalaj na tę wiadomość.
  • Możesz proaktywnie utworzyć wpis zezwalania dla sfałszowanego nadawcy na karcie Spoofed sender (Spoofed sender ) na liście zezwalania/blokowania dzierżawy przed zidentyfikowaniem i zablokowaniem komunikatu jako fałszowania.

Na poniższej liście opisano, co dzieje się na liście dozwolonych/zablokowanych dzierżaw po przesłaniu czegoś do firmy Microsoft jako wynik fałszywie dodatni na stronie Przesłane :

• Załączniki i adresy URLwiadomości e-mail: zostanie utworzony wpis zezwalania, a wpis zostanie wyświetlony odpowiednio na karcie Pliki lub adresy URL na liście dozwolonych/zablokowanych dzierżaw.

  W przypadku adresów URL zgłaszanych jako fałszywie dodatnie zezwalamy na kolejne komunikaty zawierające odmiany oryginalnego adresu URL. Na przykład użyjesz strony Przesłane , aby zgłosić nieprawidłowo zablokowany adres URL www.contoso.com/abc. Jeśli organizacja później otrzyma komunikat zawierający adres URL (na przykład www.contoso.com/abc: , www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, lub www.contoso.com/abc/whatever), komunikat nie jest blokowany na podstawie adresu URL. Innymi słowy, nie musisz zgłaszać firmie Microsoft wielu odmian tego samego adresu URL, co dobry.

• Wiadomość e-mail: Jeśli wiadomość została zablokowana przez stos filtrowania EOP lub Defender dla usługi Office 365, na liście dozwolonych/zablokowanych dzierżaw może zostać utworzony wpis zezwalania:

  • Jeśli wiadomość została zablokowana przez analizę fałszowania, zostanie utworzony wpis zezwalania dla nadawcy, a wpis zostanie wyświetlony na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli wiadomość została zablokowana przez ochronę personifikacji użytkownika (lub grafu) w usłudze Defender dla usługi Office 365, pozycja zezwalania nie zostanie utworzona na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego domena lub nadawca jest dodawana do sekcji Zaufani nadawcy i domeny w zasadach ochrony przed wyłudzaniem informacji , które wykryły komunikat.
  • Jeśli komunikat został zablokowany z powodu filtrów opartych na plikach, zostanie utworzony wpis zezwalania dla pliku, a wpis zostanie wyświetlony na karcie Pliki na liście zezwalania/blokowania dzierżawy.
  • Jeśli komunikat został zablokowany z powodu filtrów opartych na adresach URL, zostanie utworzony wpis zezwalania na adres URL, a wpis zostanie wyświetlony na karcie Adres URL na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli wiadomość została zablokowana z innego powodu, zostanie utworzony wpis zezwalania na adres e-mail nadawcy lub domenę, a wpis zostanie wyświetlony na karcie Domeny & adresy na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli komunikat nie został zablokowany z powodu filtrowania, w dowolnym miejscu nie są tworzone żadne wpisy zezwalające.

Porada

Zezwalaj na wpisy przesyłane są dodawane podczas przepływu poczty na podstawie filtrów, które ustaliły, że wiadomość była złośliwa. Jeśli na przykład adres e-mail nadawcy i adres URL w wiadomości zostaną uznane za złośliwe, dla nadawcy (adresu e-mail lub domeny) i adresu URL zostanie utworzony wpis zezwalania.

Podczas przepływu poczty lub czasu kliknięcia, jeśli komunikaty zawierające jednostki we wpisach dozwolonych przechodzą inne kontrole w stosie filtrowania, komunikaty są dostarczane (wszystkie filtry skojarzone z dozwolonymi jednostkami są pomijane). Jeśli na przykład wiadomość przekazuje testy uwierzytelniania poczty e-mail, filtrowanie adresów URL i filtrowanie plików, komunikat z dozwolonego adresu e-mail nadawcy jest dostarczany, jeśli jest również od dozwolonego nadawcy.

Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL są przechowywane przez 45 dni, po tym jak system filtrowania określi, że jednostka jest czysta, a następnie pozycja zezwalania zostanie usunięta. Możesz też ustawić opcję zezwalania na wygaśnięcie wpisów do 30 dni po ich utworzeniu. Zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.

Czego można oczekiwać po dodaniu wpisu zezwalania lub blokowania

Po dodaniu wpisu zezwalania na stronie Przesłane lub wpisu bloku na liście dozwolonych/zablokowanych dzierżawcy wpis powinien zacząć działać natychmiast (w ciągu 5 minut).

Jeśli firma Microsoft dowiedziała się z wpisu zezwalania, wbudowane zasady alertów o nazwie Usunięto wpis na liście dozwolonych/zablokowanych dzierżawy generują alert po usunięciu (teraz niepotrzebnego) wpisu zezwalania.