Compartilhar via


Configurar a política de entrega avançada para simulações de phishing de terceiros e entrega de e-mail para caixas de correio secOps

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Para manter a sua organização segura por predefinição, Proteção do Exchange Online (EOP) não permite listas seguras ou filtragem desativação para mensagens identificadas como software maligno ou phishing de alta confiança. No entanto, existem cenários específicos que requerem a entrega de mensagens não filtradas. Por exemplo:

  • Simulações de phishing de terceiros: os ataques simulados podem ajudá-lo a identificar e preparar utilizadores vulneráveis antes de um ataque real afetar a sua organização.
  • Caixas de correio de operações de segurança (SecOps): caixas de correio dedicadas que são utilizadas pelas equipas de segurança para recolher e analisar mensagens não filtradas (boas e más).

Utilize a política de entrega avançada na EOP para impedir que as mensagens de entrada nestes cenários específicos sejam filtradas¹. A política de entrega avançada garante que as mensagens nestes cenários alcançam os seguintes resultados:

As mensagens identificadas pela política de entrega avançada não são ameaças de segurança, pelo que as mensagens são marcadas com substituições do sistema. Administração experiências mostram estas mensagens como simulação de phishing ou substituições do sistema de caixa de correio SecOps. Os administradores podem utilizar estes valores para filtrar e analisar mensagens nas seguintes experiências:

  • Explorer de ameaças (Explorer) ou deteções em tempo real no Defender para Office 365: os administradores podem filtrar na origem de substituição do sistema e selecionar Simulação de phishing ou Caixa de Correio SecOps.
  • A página da entidade Email: os administradores podem ver uma mensagem que foi permitida pela política da organização pela caixa de correio SecOps ou simulação de phishing em Substituição de inquilino na secção Substituição(s).
  • O relatório status Proteção contra ameaças: Administração pode filtrar por visualização de dados por Substituição do sistema no menu pendente e selecionar para ver mensagens permitidas devido a uma substituição do sistema de simulação de phishing. Para ver as mensagens permitidas pela substituição da caixa de correio SecOps, pode selecionar a discriminação do gráfico por localização de entrega na lista pendente discriminação do gráfico por motivo .
  • Investigação avançada no Microsoft Defender para Ponto de Extremidade: simulação de phishing e substituições do sistema de caixa de correio SecOps são opções em OrgLevelPolicy em EmailEvents.
  • Vistas de Campanha: Administração pode filtrar na origem de substituição do sistema e selecionar Simulação de phishing ou Caixa de Correio SecOps.

Do que você precisa saber para começar?

  • Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

    • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).

    • Email & permissões de colaboração no portal do Microsoft Defender e permissões de Exchange Online:

      • Criar, modificar ou remover definições configuradas na política de entrega avançada: associação nos grupos de funções Administrador de Segurança no RBAC de colaboração Email & e associação no grupo de funções Gestão da Organização no Exchange Online RBAC.
      • Acesso só de leitura à política de entrega avançada: associação aos grupos de funções Leitor Global ou Leitor de Segurança no RBAC de colaboração Email &.
        • View-Only Organization Management in Exchange Online RBAC.
    • permissões de Microsoft Entra: a associação nas funções Administrador* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

      Importante

      * A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Utilizar o portal Microsoft Defender para configurar caixas de correio SecOps na política de entrega avançada

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

    Na página Entrega avançada , verifique se o separador da caixa de correio SecOps está selecionado.

  2. No separador da caixa de correio SecOps , selecione o botão Adicionar na área Sem Caixas de correio SecOps configuradas da página.

    Se já existirem entradas no separador da caixa de correio SecOps , selecione Editar (o botão Adicionar não está disponível).

  3. Na lista de opções Adicionar caixas de correio SecOps que é aberta, introduza uma caixa de correio Exchange Online existente que pretenda designar como caixa de correio SecOps ao efetuar um dos seguintes passos:

    • Clique na caixa, deixe a lista de caixas de correio resolve e, em seguida, selecione a caixa de correio.

    • Clique na caixa comece a escrever um identificador para a caixa de correio (nome, nome a apresentar, alias, endereço de e-mail, nome da conta, etc.) e selecione a caixa de correio (nome a apresentar) nos resultados.

      Repita essa etapa quantas vezes forem necessárias. Os grupos de distribuição não são permitidos.

      Para remover um valor existente, selecione remover junto ao valor.

  4. Quando tiver terminado na lista de opções Adicionar caixas de correio SecOps , selecione Adicionar..

  5. Reveja as informações na lista de opções Alterações à caixa de correio SecOps guardadas e, em seguida, selecione Fechar.

Novamente no separador da caixa de correio secOps , as entradas da caixa de correio SecOps que configurou estão agora listadas:

  • A coluna Nome a apresentar contém o nome a apresentar das caixas de correio.
  • A coluna Email contém o endereço de e-mail de cada entrada.
  • Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compacto ou normal e, em seguida, selecione Compactar lista.

Utilizar o portal Microsoft Defender para modificar ou remover caixas de correio SecOps na política de entrega avançada

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

    Na página Entrega avançada , verifique se o separador da caixa de correio SecOps está selecionado.

  2. No separador da caixa de correio SecOps , selecione Editar.

  3. Na lista de opções Editar caixas de correio secOps que é aberta, adicione ou remova caixas de correio conforme descrito no Passo 3 no portal Utilizar o Microsoft Defender para configurar caixas de correio SecOps na secção de política de entrega avançada.

    Para remover todas as caixas de correio, selecione remover junto a cada valor até que não existam mais caixas de correio selecionadas.

  4. Quando tiver terminado na lista de opções Editar caixas de correio do SecOps , selecione Guardar.

  5. Reveja as informações na lista de opções Alterações à caixa de correio SecOps guardadas e, em seguida, selecione Fechar.

Novamente no separador da caixa de correio SecOps , são apresentadas as entradas da caixa de correio SecOps que configurou. Se tiver removido todas as entradas, a lista estará vazia.

Utilizar o portal Microsoft Defender para configurar simulações de phishing de terceiros na política de entrega avançada

Para configurar uma simulação de phishing de terceiros, tem de fornecer as seguintes informações:

  • Pelo menos um Domínio: o domínio do endereço MAIL FROM (também conhecido como endereço 5321.MailFrom , remetente P1 ou remetente de envelope) que é utilizado na transmissão SMTP da mensagem ou um domínio DKIM, conforme especificado pelo fornecedor de simulação de phishing.
  • Pelo menos um IP de Envio.
  • Para simulações de phishing sem e-mail (por exemplo, mensagens do Microsoft Teams, Word documentos ou folhas de cálculo do Excel), pode, opcionalmente, identificar os URLs de Simulação para permitir que não devem ser tratados como ameaças reais no momento do clique: os URLs não são bloqueados ou detonados e não são gerados alertas de clique de URL ou incidentes resultantes. Os URLs são moldados no momento do clique, mas não são bloqueados.

Tem de existir uma correspondência em, pelo menos, um Domínio e um IP de Envio, mas não é mantida nenhuma associação entre valores.

Se o seu registo MX não apontar para o Microsoft 365, o endereço IP no Authentication-results cabeçalho tem de corresponder ao endereço IP na política de entrega avançada. Se os endereços IP não corresponderem, poderá ter de configurar a Filtragem Avançada para Conectores para que seja detetado o endereço IP correto.

Observação

A Filtragem Avançada para Conectores não funciona para simulações de phishing de terceiros em cenários de encaminhamento de e-mail que envolvam o envio de correio para o Exchange online duas vezes (por exemplo, e-mail de Internet encaminhado para o Microsoft 365 e, em seguida, para um ambiente no local ou serviço de segurança de terceiros e, em seguida, regressar ao Microsoft 365). A EOP não consegue identificar o endereço IP verdadeiro da origem da mensagem. Não tente contornar esta limitação ao adicionar os endereços IP da infraestrutura de envio no local ou de terceiros à simulação de phishing de terceiros. Ao fazê-lo, ignora eficazmente a filtragem de spam para qualquer remetente da Internet que represente o domínio especificado na simulação de phishing de terceiros. Os cenários de encaminhamento em que o registo MX aponta para um serviço de terceiros e, em seguida, o correio é encaminhado para Exchange Online são suportados se a Filtragem Avançada de Conectores estiver configurada.

Atualmente, a política de entrega avançada para simulações de phishing de terceiros não suporta simulações dentro da mesma organização (DIR:INT), especialmente quando o e-mail é encaminhado através de um gateway de Exchange Server antes do Microsoft 365 no fluxo de correio híbrido. Para resolver este problema, tem as seguintes opções:

  • Crie um conector de envio dedicado que não autentice as mensagens de simulação de phishing como internas.
  • Configure a simulação de phishing para ignorar a infraestrutura de Exchange Server e encaminhar o correio diretamente para o seu registo MX do Microsoft 365 (por exemplo, contoso-com.mail.protection.outlook.com).
  • Embora possa definir a análise de mensagens intra-organização como Nenhuma em políticas antisspam , não recomendamos esta opção porque afeta outras mensagens de e-mail.

Se estiver a utilizar a política de segurança predefinida de proteção incorporada ou se as suas políticas de Ligações Seguras personalizadas tiverem a definição Não reescrever URLs, efetuar verificações através da API De Ligações Seguras apenas ativada, a proteção de tempo de clique não trata as ligações de simulação de phishing no e-mail como ameaças no Outlook na Web, Outlook para iOS e Android, Outlook para Windows v16.0.15317.10000 ou posterior e Outlook para Mac v16.74 (23061100) ou posterior. Se estiver a utilizar versões mais antigas do Outlook, considere desativar a definição Não reescrever URLs, efetuar verificações através da definição apenas da API De Ligações Seguras nas políticas de Ligações Seguras personalizadas.

Adicionar URLs de simulação de phishing à secção Não reescrever os seguintes URLs no e-mail em Políticas de Ligações Seguras pode resultar em alertas indesejados para cliques de URL. Os URLs de simulação de phishing em mensagens de e-mail são automaticamente permitidos durante o fluxo de correio e no momento do clique.

Atualmente, a política de entrega avançada para caixas de correio SecOps não suporta mensagens intra-organizacionais (DIR:INT) e estas mensagens serão colocadas em quarentena. Como solução, pode utilizar uma política anti-spam separada para caixas de correio SecOps que não coloca em quarentena mensagens intra-organizacionais. Não recomendamos a desativação da proteção intra-organização para todas as caixas de correio.

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

    Na página Entrega avançada , selecione o separador Simulação de phishing .

  2. No separador Simulação de phishing , selecione o botão Adicionar na área Nenhuma simulação de phishing de terceiros configurada da página.

    Se já existirem entradas no separador Simulação de phishing , selecione Editar (o botão Adicionar não está disponível).

  3. Na lista de opções Adicionar simulações de phishing de terceiros que é aberta, configure as seguintes definições:

    • Domínio: expanda esta definição e introduza pelo menos um domínio de endereço de e-mail clicando na caixa, introduzindo um valor (por exemplo, contoso.com) e, em seguida, premindo a tecla ENTER ou selecionando o valor apresentado abaixo da caixa. Repita essa etapa quantas vezes forem necessárias. Pode adicionar até 50 entradas. Use um dos valores a seguir:

      • O domínio no 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) que é utilizado na transmissão SMTP da mensagem.
      • O domínio DKIM, conforme especificado pelo fornecedor de simulação de phishing.
    • Enviar IP: expanda esta definição e introduza pelo menos um endereço IPv4 válido clicando na caixa, introduzindo um valor e, em seguida, premindo a tecla ENTER ou selecionando o valor apresentado abaixo da caixa. Repita essa etapa quantas vezes forem necessárias. Pode adicionar até 10 entradas. Os valores válidos são:

      • IP único: por exemplo, 192.168.1.1.
      • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
      • IP CIDR: por exemplo, 192.168.0.1/25.
    • URLs de simulação a permitir: esta definição não é necessária para ligações em simulações de phishing de e-mail. Utilize esta definição para identificar opcionalmente ligações em simulações de phishing não enviadas por e-mail (ligações em mensagens do Teams ou em documentos do Office) que não devem ser tratadas como ameaças reais no momento do clique.

      Adicione entradas de URL ao expandir esta definição, clicar na caixa, introduzir um valor e, em seguida, premir a tecla ENTER ou selecionar o valor apresentado abaixo da caixa. Pode adicionar até 30 entradas. Para obter a sintaxe do URL, veja Sintaxe de URL para a Lista de Permissões/Bloqueios do Inquilino.

    Para remover um domínio, IP ou valor de URL existente, selecione remover junto ao valor.

    Considere o exemplo seguinte:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
    smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
    header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
    
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
    s=selector1;
    h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
    bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    
    • O endereço IP de ligação é 172.17.17.7.
    • O domínio no endereço MAIL FROM (smtp.mailfrom) é contoso.com.
    • O domínio DKIM (header.d) é contoso-simulation.com.

    No exemplo, pode utilizar uma das seguintes combinações para configurar uma simulação de phishing de terceiros:

    Domínio: contoso.com
    A enviar IP: 172.17.17.7

    Domínio: contoso-simulation.com
    A enviar IP: 172.17.17.7

  4. Quando tiver terminado a lista de opções Adicionar simulações de phishing de terceiros , selecione Adicionar.

  5. Reveja as informações na lista de opções Alterações à simulação de phishing e, em seguida, selecione Fechar.

Novamente no separador Simulação de phishing , as entradas de simulação de phishing de terceiros que configurou estão agora listadas:

  • A coluna Valor contém o domínio, o endereço IP ou a entrada de URL.
  • A coluna Tipo contém o valor IP de Envio, Domínio ou URL de simulação permitido para cada entrada.
  • A coluna Data mostra quando a entrada foi criada.
  • Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compacto ou normal e, em seguida, selecione Compactar lista.

Utilizar o portal Microsoft Defender para modificar ou remover simulações de phishing de terceiros na política de entrega avançada

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

    Na página Entrega avançada , selecione o separador Simulação de phishing .

  2. No separador Simulação de phishing , selecione Editar.

  3. Na lista de opções Editar simulação de phishing de terceiros que é aberta, adicione ou remova entradas para URLs de Domínio, Envio de IP e Simulação, conforme descrito no Passo 3, na secção Utilizar o portal Microsoft Defender para configurar caixas de correio SecOps na secção política de entrega avançada.

    Para remover todas as entradas, selecione Remover junto a cada valor até que não existam mais domínios, IPs ou URLs selecionados.

  4. Quando tiver terminado na lista de opções Editar simulação de phishing de terceiros , selecione Guardar.

  5. Reveja as informações na lista de opções Alterações à simulação de phishing e, em seguida, selecione Fechar.

Novamente no separador Simulação de phishing , são apresentadas as entradas de simulação de phishing de terceiros que configurou. Se tiver removido todas as entradas, a lista estará vazia.

Cenários adicionais que requerem a desaprovisionamento da filtragem

Além dos dois cenários com os quais a política de entrega avançada pode ajudá-lo, existem outros cenários em que poderá ter de ignorar a filtragem de mensagens:

  • Filtros de terceiros: se o registo MX do seu domínio não apontar para Office 365 (as mensagens são encaminhadas para outro local primeiro), a proteção por predefiniçãonão está disponível. Se quiser adicionar proteção, tem de ativar a Filtragem Avançada para Conectores (também conhecido como ignorar listagem). Para obter mais informações, consulte Gerir o fluxo de correio através de um serviço cloud de terceiros com Exchange Online. Se não pretender a Filtragem Avançada para Conectores, utilize regras de fluxo de correio (também conhecidas como regras de transporte) para ignorar a filtragem da Microsoft para mensagens que já foram avaliadas pela filtragem de terceiros. Para obter mais informações, consulte Utilizar regras de fluxo de correio para definir o SCL nas mensagens.

  • Falsos positivos em análise: poderá querer permitir temporariamente boas mensagens identificadas incorretamente como incorretas (falsos positivos) que comunicou através de submissões de administradores, mas as mensagens ainda estão a ser analisadas pela Microsoft. Tal como acontece com todas as substituições, recomendamos vivamente que estas licenças sejam temporárias.

Procedimentos do PowerShell para caixas de correio SecOps na política de entrega avançada

No PowerShell, os elementos básicos das caixas de correio secOps na política de entrega avançada são:

  • A política de substituição secOps: controlada pelos cmdlets *-SecOpsOverridePolicy .
  • A regra de substituição secOps: controlada pelos cmdlets *-ExoSecOpsOverrideRule .

Este comportamento tem os seguintes resultados:

  • Primeiro, crie a política e, em seguida, crie a regra que identifica a política à qual a regra se aplica.
  • Quando remove uma política do PowerShell, a regra correspondente também é removida.
  • Quando remove uma regra do PowerShell, a política correspondente não é removida. Tem de remover a política correspondente manualmente.

Utilizar o PowerShell para configurar caixas de correio secOps

Configurar uma caixa de correio SecOps na política de entrega avançada no PowerShell é um processo de dois passos:

  1. Crie a política de substituição do SecOps.
  2. Crie a regra de substituição secOps que especifica a política a que a regra se aplica.

Passo 1: Utilizar o PowerShell para criar a política de substituição do SecOps

No Exchange Online PowerShell, utilize a seguinte sintaxe:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Independentemente do valor de Nome que especificar, o nome da política é SecOpsOverridePolicy, pelo que poderá muito bem utilizar esse valor.

Este exemplo cria a política de caixa de correio SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-SecOpsOverridePolicy.

Passo 2: Utilizar o PowerShell para criar a regra de substituição do SecOps

No Exchange Online PowerShell, execute o seguinte comando:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Independentemente do valor de Nome especificado, o nome da regra será _Exe:SecOpsOverrid:<GUID\> [sic] em <que GUID> é um valor GUID exclusivo (por exemplo, 312c23cf-0377-4162-b93d-6548a9977efb9).

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-ExoSecOpsOverrideRule.

Utilizar o PowerShell para ver a política de substituição do SecOps

No Exchange Online PowerShell, este exemplo devolve informações detalhadas sobre a política de caixa de correio um e apenas SecOps.

Get-SecOpsOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-SecOpsOverridePolicy.

Utilizar o PowerShell para ver as regras de substituição do SecOps

No Exchange Online PowerShell, este exemplo devolve informações detalhadas sobre as regras de substituição do SecOps.

Get-ExoSecOpsOverrideRule

Embora o comando anterior deva devolver apenas uma regra, uma regra que está pendente de eliminação também pode ser incluída nos resultados.

Este exemplo identifica a regra válida (uma) e quaisquer regras inválidas.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Depois de identificar as regras inválidas, pode removê-las com o cmdlet Remove-ExoSecOpsOverrideRule , conforme descrito mais à frente neste artigo.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-ExoSecOpsOverrideRule.

Utilizar o PowerShell para modificar a política de substituição do SecOps

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Este exemplo adiciona secops2@contoso.com à política de substituição secOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Observação

Se existir uma regra de substituição de SecOps válida associada, os endereços de e-mail na regra também serão atualizados.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-SecOpsOverridePolicy.

Utilizar o PowerShell para modificar uma regra de substituição do SecOps

O cmdlet Set-ExoSecOpsOverrideRule não modifica os endereços de e-mail na regra de substituição do SecOps. Para modificar os endereços de e-mail na regra de substituição do SecOps, utilize o cmdlet Set-SecOpsOverridePolicy .

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-ExoSecOpsOverrideRule.

Utilizar o PowerShell para remover a política de substituição do SecOps

No Exchange Online PowerShell, este exemplo remove a política caixa de correio secOps e a regra correspondente.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-SecOpsOverridePolicy.

Utilizar o PowerShell para remover regras de substituição do SecOps

No Exchange Online PowerShell, utilize os seguintes comandos:

  • Remova quaisquer regras de substituição do SecOps:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
    
  • Remova a regra de substituição de SecOps especificada:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
    

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ExoSecOpsOverrideRule.

Procedimentos do PowerShell para simulações de phishing de terceiros na política de entrega avançada

No PowerShell, os elementos básicos das simulações de phishing de terceiros na política de entrega avançada são:

  • A política de substituição da simulação de phishing: controlada pelos cmdlets *-PhishSimOverridePolicy .
  • A regra de substituição da simulação de phishing: controlada pelos cmdlets *-ExoPhishSimOverrideRule .
  • Os URLs de simulação de phishing permitidos (desbloqueados): controlados pelos cmdlets *-TenantAllowBlockListItems .

Observação

Conforme descrito anteriormente, a identificação de URLs não é necessária para ligações em simulações de phishing baseadas em e-mail. Opcionalmente, pode identificar ligações em simulações de phishing não enviadas por e-mail (ligações em mensagens do Teams ou em documentos do Office) que não devem ser tratadas como ameaças reais no momento do clique.

Este comportamento tem os seguintes resultados:

  • Primeiro, crie a política e, em seguida, crie a regra que identifica a política à qual a regra se aplica.
  • Pode modificar as definições na política e na regra separadamente.
  • Quando remove uma política do PowerShell, a regra correspondente também é removida.
  • Quando remove uma regra do PowerShell, a política correspondente não é removida. Tem de remover a política correspondente manualmente.

Utilizar o PowerShell para configurar simulações de phishing de terceiros

Configurar uma simulação de phishing de terceiros no PowerShell é um processo de vários passos:

  1. Crie a política de substituição da simulação de phishing.
  2. Crie a regra de substituição da simulação de phishing que especifica:
    • A política a que a regra se aplica.
    • O endereço IP de origem das mensagens de simulação de phishing.
  3. Opcionalmente, pode identificar os URLs de simulação de phishing em simulações de phishing não enviadas por e-mail (ligações em mensagens do Teams ou em documentos do Office) que não devem ser tratados como ameaças reais no momento do clique.

Passo 1: Utilizar o PowerShell para criar a política de substituição de simulação de phishing

No Exchange Online PowerShell, este exemplo cria a política de substituição de simulação de phishing.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Independentemente do valor nome que especificar, o nome da política é PhishSimOverridePolicy, pelo que pode muito bem utilizar esse valor.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-PhishSimOverridePolicy.

Passo 2: Utilizar o PowerShell para criar a regra de substituição da simulação de phishing

No Exchange Online PowerShell, utilize a seguinte sintaxe:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Independentemente do valor de Nome especificado, o nome da regra será _Exe:PhishSimOverr:<GUID\> [sic] em <que GUID> é um valor GUID exclusivo (por exemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Uma entrada de endereço IP válida é um dos seguintes valores:

  • IP único: por exemplo, 192.168.1.1.
  • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
  • IP CIDR: por exemplo, 192.168.0.1/25.

Este exemplo cria a regra de substituição da simulação de phishing com as definições especificadas.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-ExoPhishSimOverrideRule.

Passo 3: (Opcional) Utilize o PowerShell para identificar os URLs de simulação de phishing a permitir

No Exchange Online PowerShell, utilize a seguinte sintaxe:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Para obter detalhes sobre a sintaxe do URL, veja Sintaxe de URL para a Lista de Permissões/Bloqueios do Inquilino

Este exemplo adiciona uma entrada de permissão de URL para o URL de simulação de phishing de terceiros especificado sem expiração.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-TenantAllowBlockListItems.

Utilizar o PowerShell para ver a política de substituição da simulação de phishing

No Exchange Online PowerShell, este exemplo devolve informações detalhadas sobre a política de substituição de simulação de phishing única e única.

Get-PhishSimOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-PhishSimOverridePolicy.

Utilizar o PowerShell para ver regras de substituição de simulação de phishing

No Exchange Online PowerShell), este exemplo devolve informações detalhadas sobre regras de substituição de simulação de phishing.

Get-ExoPhishSimOverrideRule

Embora o comando anterior deva devolver apenas uma regra, quaisquer regras que estejam pendentes de eliminação também podem ser incluídas nos resultados.

Este exemplo identifica a regra válida (uma) e quaisquer regras inválidas.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Depois de identificar as regras inválidas, pode removê-las com o cmdlet Remove-ExoPhishSimOverrideRule , conforme descrito mais à frente neste artigo.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-ExoPhishSimOverrideRule.

Utilizar o PowerShell para ver as entradas de URL de simulação de phishing permitidas

No Exchange Online PowerShell, execute o seguinte comando:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-TenantAllowBlockListItems.

Utilizar o PowerShell para modificar a política de substituição da simulação de phishing

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Este exemplo desativa a política de substituição da simulação de phishing.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-PhishSimOverridePolicy.

Utilizar o PowerShell para modificar regras de substituição de simulação de phishing

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

ou

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Utilize o cmdlet Get-ExoPhishSimOverrideRule para localizar os <valores PhishSimOverrideRuleIdentity> . O nome da regra utiliza a seguinte sintaxe: _Exe:PhishSimOverr:<GUID\> [sic] em <que GUID> é um valor GUID exclusivo (por exemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Este exemplo modifica a regra de substituição da simulação de phishing (presumivelmente apenas) com as seguintes definições:

  • Adicione a entrada de domínio blueyonderairlines.com.
  • Remova a entrada de endereço IP 192.168.1.55.

Estas alterações não afetam as entradas existentes na regra.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-ExoPhishSimOverrideRule.

Utilizar o PowerShell para modificar as entradas de URL de simulação de phishing permitidas

Não pode modificar os valores de URL diretamente. Pode remover entradas de URL existentes e adicionar novas entradas de URL , conforme descrito neste artigo.

No Exchange Online PowerShell, para modificar outras propriedades de uma entrada de URL de simulação de phishing permitida (por exemplo, a data de expiração ou comentários), utilize a seguinte sintaxe:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Identifica a entrada a modificar pelos respetivos valores de URL (o parâmetro Entradas ) ou o valor identidade da saída do cmdlet Get-TenantAllowBlockListItems (o parâmetro Ids ).

Este exemplo modificou a data de expiração da entrada especificada.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-TenantAllowBlockListItems.

Utilizar o PowerShell para remover uma política de substituição de simulação de phishing

No Exchange Online PowerShell, este exemplo remove a política de substituição da simulação de phishing e a regra correspondente.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-PhishSimOverridePolicy.

Utilizar o PowerShell para remover regras de substituição de simulação de phishing

No Exchange Online PowerShell, utilize os seguintes comandos:

  • Remova quaisquer regras de substituição de simulação de phishing:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
    
  • Remova a regra de substituição da simulação de phishing especificada:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
    

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ExoPhishSimOverrideRule.

Utilizar o PowerShell para remover as entradas de URL de simulação de phishing permitidas

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Identifica a entrada a modificar pelos respetivos valores de URL (o parâmetro Entradas ) ou o valor identidade da saída do cmdlet Get-TenantAllowBlockListItems (o parâmetro Ids ).

Este exemplo modificou a data de expiração da entrada especificada.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-TenantAllowBlockListItems.