Configurar a política de entrega avançada para simulações de phishing de terceiros e a entrega de email para caixas de correio SecOps

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Para manter sua organização segura por padrão, Proteção do Exchange Online (EOP) não permite listas seguras nem filtragem de bypass para mensagens identificadas como malware ou phishing de alta confiança. Mas, há cenários específicos que exigem a entrega de mensagens não filtradas. Por exemplo:

• Simulações de phishing de terceiros: ataques simulados podem ajudá-lo a identificar e treinar usuários vulneráveis antes que um ataque real impacte sua organização.
• Caixas de correio SecOps (operações de segurança): caixas de correio dedicadas que são usadas pelas equipes de segurança para coletar e analisar mensagens não filtradas (boas e ruins).

Use a política de entrega avançada no EOP para impedir que mensagens de entrada nesses cenários específicos sejam filtradas¹. A política de entrega avançada garante que as mensagens nesses cenários alcancem os seguintes resultados:

• Os filtros no EOP e Defender para Office 365 não tomam nenhuma ação nessas mensagens. A filtragem de malware é ignorada apenas para caixas de correio SecOps.
• O ZAP (Purgatório de Horas Zero) para spam e phishing não toma nenhuma ação nessas mensagens. O ZAP para malware é ignorado apenas para caixas de correio SecOps.
• Os Links Seguros no Defender para Office 365 não bloqueiam ou detonam as URLs especificadas nessas mensagens no momento do clique. As URLs ainda estão encapsuladas, mas não estão bloqueadas.
• Anexos seguros no Defender para Office 365 não detona anexos nessas mensagens.
• Os alertas padrão do sistema não são disparados para esses cenários.
• AIR e clustering no Defender para Office 365 ignora essas mensagens.
• Especificamente para simulações de phishing de terceiros:
  • Administração envio gera uma resposta automática dizendo que a mensagem faz parte de uma campanha de simulação de phishing e não é uma ameaça real. Os alertas e o AIR não são disparados. A experiência de envios de administrador mostra essas mensagens como uma ameaça simulada.
  • Quando um usuário relata uma mensagem de simulação de phishing usando o botão Relatório interno em Outlook na Web ou os suplementos Mensagem de Relatório da Microsoft ou Phishing de Relatório, o sistema não gera um alerta, investigação ou incidente. Os links ou arquivos não são detonados, mas a mensagem é exibida na guia Usuário relatado da página Envios .

As mensagens identificadas pela política de entrega avançada não são ameaças à segurança, portanto, as mensagens são marcadas com substituições do sistema. Administração experiências mostram essas mensagens como simulação de phishing ou substituições do sistema de caixa de correio SecOps. Os administradores podem usar esses valores para filtrar e analisar mensagens nas seguintes experiências:

• Detecções de Explorer de ameaças (Explorer) ou em tempo real no Defender para Office 365: os administradores podem filtrar na origem da substituição do sistema e selecionar simulação de phishing ou caixa de correio SecOps.
• A página entidade Email: os administradores podem exibir uma mensagem que foi permitida pela política de organização pela caixa de correio secOps ou simulação de phishing em Substituição de locatário na seção Substituição(s).
• O relatório status proteção contra ameaças: Administração pode filtrar exibindo dados por substituição do sistema no menu suspenso e selecionar para ver mensagens permitidas devido a uma substituição do sistema de simulação de phishing. Para ver as mensagens permitidas pela substituição da caixa de correio SecOps, você pode selecionar a divisão do gráfico pelo local de entrega na lista suspensa por motivo .
• Caça avançada em Microsoft Defender para Ponto de Extremidade: simulação de phishing e substituições do sistema de caixa de correio SecOps são opções dentro de OrgLevelPolicy no EmailEvents.
• Exibições de campanha: Administração pode filtrar na origem da substituição do sistema e selecionar simulação de phishing ou caixa de correio SecOps.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página de entrega avançada , use https://security.microsoft.com/advanceddelivery.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): configurações e configurações de segurança/Configurações de segurança principal/configurações de segurança principal (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de Segurança Principal (leitura).
  • Email & permissões de colaboração no portal Microsoft Defender e nas permissões de Exchange Online:
    • Create, modifique ou remova as configurações configuradas na política de entrega avançada: Associação aos grupos de funções do Administrador de Segurança no RBAC de colaboração Email & e associação ao grupo de funções gerenciamento de organização em Exchange Online RBAC.
    • Acesso somente leitura à política de entrega avançada: associação aos grupos de funções leitor global ou leitor de segurança no RBAC de colaboração Email &.
      • Gerenciamento de organização somente exibição em Exchange Online RBAC.
  • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

Use o portal Microsoft Defender para configurar caixas de correio SecOps na política de entrega avançada

1. No portal do Microsoft Defender no https://security.microsoft.com, acesse políticas de colaboração>Email & políticas de & regras>de ameaça>Entrega avançada na seção Regras. Ou, para ir diretamente para a página de entrega avançada , use https://security.microsoft.com/advanceddelivery.

   Na página de entrega avançada , verifique se a guia caixa de correio SecOps está selecionada.

2. Na guia Caixa de correio SecOps , selecione o botão Adicionar na área configurada sem caixas de correio SecOps da página.

   Se já houver entradas existentes na guia caixa de correio SecOps , selecione Editar (o botão Adicionar não está disponível).

3. No flyout Adicionar caixas de correio do SecOps que é aberto, insira uma caixa de correio Exchange Online existente que você deseja designar como caixa de correio SecOps fazendo qualquer uma das seguintes etapas:

   • Clique na caixa, deixe a lista de caixas de correio resolve e selecione a caixa de correio.

   • Clique na caixa para começar a digitar um identificador para a caixa de correio (nome, nome de exibição, alias, endereço de email, nome da conta etc.) e selecione a caixa de correio (nome de exibição) nos resultados.

     Repita essa etapa quantas vezes forem necessárias. Grupos de distribuição não são permitidos.

     Para remover um valor existente, selecione remover ao lado do valor.

4. Quando você terminar no flyout Adicionar caixas de correio SecOps , selecione Adicionar..

5. Examine as informações na caixa de correio Alterações em SecOps sobrepor o flyout salvo e selecione Fechar.

De volta à guia caixa de correio SecOps , as entradas da caixa de correio SecOps configuradas agora estão listadas:

• A coluna Nome de exibição contém o nome de exibição das caixas de correio.
• A coluna Email contém o endereço de email para cada entrada.
• Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

Use o portal Microsoft Defender para modificar ou remover caixas de correio SecOps na política de entrega avançada

1. No portal do Microsoft Defender no https://security.microsoft.com, acesse políticas de colaboração>Email & políticas de & regras>de ameaça>Entrega avançada na seção Regras. Ou, para ir diretamente para a página de entrega avançada , use https://security.microsoft.com/advanceddelivery.

   Na página de entrega avançada , verifique se a guia caixa de correio SecOps está selecionada.

2. Na guia Caixa de correio SecOps , selecione Editar.

3. Em Editar caixas de correio SecOps que abre, adicione ou remova caixas de correio conforme descrito na Etapa 3 no portal Usar o Microsoft Defender para configurar caixas de correio SecOps na seção política de entrega avançada.

   Para remover todas as caixas de correio, selecione remover ao lado de cada valor até que não haja mais caixas de correio selecionadas.

4. Quando terminar no flyout Editar caixas de correio SecOps , selecione Salvar.

5. Examine as informações na caixa de correio Alterações em SecOps sobrepor o flyout salvo e selecione Fechar.

De volta à guia caixa de correio SecOps , as entradas da caixa de correio SecOps que você configurou são exibidas. Se você removeu todas as entradas, a lista estará vazia.

Use o portal Microsoft Defender para configurar simulações de phishing de terceiros na política de entrega avançada

Para configurar uma simulação de phishing de terceiros, você precisa fornecer as seguintes informações:

• Pelo menos um domínio: o domínio do endereço MAIL FROM (também conhecido como 5321.MailFrom endereço, remetente P1 ou remetente de envelope) usado na transmissão SMTP da mensagem ou um domínio DKIM, conforme especificado pelo fornecedor de simulação de phishing.
• Pelo menos um IP de envio.
• Para simulações de phishing não por email (por exemplo, mensagens do Microsoft Teams, documentos Word ou planilhas do Excel), você pode opcionalmente identificar as URLs de Simulação para permitir que isso não seja tratado como ameaças reais no momento do clique: as URLs não são bloqueadas ou detonadas e nenhuma URL clica em alertas ou incidentes resultantes. As URLs são encapsuladas no momento do clique, mas não estão bloqueadas.

Deve haver uma correspondência em pelo menos um Domínio e um IP de Envio, mas nenhuma associação entre valores é mantida.

Se o registro MX não apontar para o Microsoft 365, o endereço IP no Authentication-results cabeçalho deverá corresponder ao endereço IP na política de entrega avançada. Se os endereços IP não corresponderem, talvez seja necessário configurar a Filtragem Aprimorada para Conectores para que o endereço IP correto seja detectado.

Observação

A filtragem aprimorada para conectores não funciona para simulações de phishing de terceiros em cenários complexos de roteamento de email (por exemplo, o email da Internet é roteado para o Microsoft 365, depois para um ambiente local ou serviço de segurança de terceiros e, em seguida, de volta para o Microsoft 365). O EOP não consegue identificar o endereço IP verdadeiro da origem da mensagem. Não tente contornar essa limitação adicionando os endereços IP da infraestrutura de envio local ou de terceiros à simulação de phishing de terceiros. Isso ignora efetivamente a filtragem de spam para qualquer remetente da Internet que representa o domínio especificado na simulação de phishing de terceiros.

Atualmente, a política de entrega avançada para simulações de phishing de terceiros não dá suporte a simulações na mesma organização (DIR:INT), especialmente quando o email é roteado por um gateway de Exchange Server antes do Microsoft 365 no fluxo de email híbrido. Para resolver esse problema, você tem as seguintes opções:

• Create um conector de envio dedicado que não autentica as mensagens de simulação de phishing como internas.
• Configure a simulação de phishing para ignorar a infraestrutura Exchange Server e encaminhar emails diretamente para o registro do Microsoft 365 MX (por exemplo, contoso-com.mail.protection.outlook.com).
• Embora você possa definir a verificação de mensagens intra-organização como Nenhum em políticas anti-spam , não recomendamos essa opção porque ela afeta outras mensagens de email.

Se você estiver usando a política de segurança predefinida de proteção interna ou suas políticas personalizadas de Links Seguros tiverem a configuração Não reescrever URLs, faça verificações por meio da API SafeLinks habilitada apenas, o tempo de proteção de clique não tratará links de simulação de phishing no email como ameaças em Outlook na Web, Outlook para iOS e Android, Outlook para Windows v16.0.15317.10000 ou posterior, e Outlook para Mac v16.74.23061100 ou posterior. Se você estiver usando versões mais antigas do Outlook, considere desabilitar as URLs Não reescrever, faça verificações por meio da configuração da API do SafeLinks apenas em políticas personalizadas de Links Seguros.

Adicionar URLs de simulação de phishing à seção Não reescrever as URLs a seguir em políticas de Links Seguros pode resultar em alertas indesejados para cliques de URL. As URLs de simulação de phishing em mensagens de email são permitidas automaticamente durante o fluxo de email e no momento do clique.

Atualmente, a política de entrega avançada para caixas de correio SecOps não dá suporte a mensagens intra-organizacionais (DIR:INT) e essas mensagens serão colocadas em quarentena. Como solução alternativa, você pode usar uma política anti-spam separada para caixas de correio SecOps que não coloca em quarentena mensagens intra-organizacionais. Não recomendamos desabilitar a proteção intra-org para todas as caixas de correio.

1. No portal do Microsoft Defender no https://security.microsoft.com, acesse políticas de colaboração>Email & políticas de & regras>de ameaça>Entrega avançada na seção Regras. Ou, para ir diretamente para a página de entrega avançada , use https://security.microsoft.com/advanceddelivery.

   Na página de entrega avançada , selecione a guia Simulação de phishing .

2. Na guia Simulação de phishing , selecione o botão Adicionar na área configurada Sem simulações de phishing de terceiros da página.

   Se já houver entradas existentes na guia simulação de phishing , selecione Editar (o botão Adicionar não está disponível).

3. No flyout Adicionar simulações de phishing de terceiros que é aberto, configure as seguintes configurações:

   • Domínio: expanda essa configuração e insira pelo menos um domínio de endereço de email clicando na caixa, inserindo um valor (por exemplo, contoso.com) e pressionando a chave ENTER ou selecionando o valor exibido abaixo da caixa. Repita essa etapa quantas vezes forem necessárias. Você pode adicionar até 50 entradas. Use um dos valores a seguir:

     • O domínio no 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) usado na transmissão SMTP da mensagem.
     • O domínio DKIM conforme especificado pelo fornecedor de simulação de phishing.

   • Enviar IP: expanda essa configuração e insira pelo menos um endereço IPv4 válido clicando na caixa, inserindo um valor e pressionando a chave ENTER ou selecionando o valor exibido abaixo da caixa. Repita essa etapa quantas vezes forem necessárias. Você pode adicionar até 10 entradas. Os valores válidos são:

     • IP único: por exemplo, 192.168.1.1.
     • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
     • IP CIDR: por exemplo, 192.168.0.1/25.

   • URLs de simulação para permitir: essa configuração não é necessária para links em simulações de phishing de email. Use essa configuração para identificar opcionalmente links em simulações de phishing não-email (links em mensagens do Teams ou em documentos do Office) que não devem ser tratados como ameaças reais no momento do clique.

     Adicione entradas de URL expandindo essa configuração, clicando na caixa, inserindo um valor e pressionando a chave ENTER ou selecionando o valor exibido abaixo da caixa. Você pode adicionar até 30 entradas. Para obter a sintaxe de URL, consulte Sintaxe de URL para a Lista de Permissões/Blocos do Locatário.

   Para remover um valor de DOMÍNIO, IP ou URL existente, selecione remover ao lado do valor.

   Considere o exemplo seguinte:

   Authentication-Results: spf=pass (sender IP is 172.17.17.7)
   smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
   header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
   
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
   s=selector1;
   h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
   bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
   

   • O endereço IP de conexão é 172.17.17.7.
   • O domínio no endereço MAIL FROM (smtp.mailfrom) é contoso.com.
   • O domínio DKIM (header.d) é contoso-simulation.com.

   No exemplo, você pode usar uma das seguintes combinações para configurar uma simulação de phishing de terceiros:

   Domínio: contoso.com
   Envio de IP: 172.17.17.7

   Domínio: contoso-simulation.com
   Envio de IP: 172.17.17.7

4. Quando você terminar no flyout Adicionar simulações de phishing de terceiros , selecione Adicionar.

5. Examine as informações na simulação de alterações na simulação de phishing sobrepor o flyout salvo e selecione Fechar.

De volta à guia simulação de phishing , as entradas de simulação de phishing de terceiros que você configurou agora estão listadas:

• A coluna Valor contém o domínio, o endereço IP ou a entrada de URL.
• A coluna Tipo contém o valor Enviar URL de simulação de IP, Domínio ou Permissão para cada entrada.
• A coluna Data mostra quando a entrada foi criada.
• Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

Use o portal Microsoft Defender para modificar ou remover simulações de phishing de terceiros na política de entrega avançada

1. No portal do Microsoft Defender no https://security.microsoft.com, acesse políticas de colaboração>Email & políticas de & regras>de ameaça>Entrega avançada na seção Regras. Ou, para ir diretamente para a página de entrega avançada , use https://security.microsoft.com/advanceddelivery.

   Na página de entrega avançada , selecione a guia Simulação de phishing .

2. Na guia Simulação de phishing , selecione Editar.

3. No flyout Editar simulação de phishing de terceiros que abre, adicione ou remova entradas para URLs de Domínio, Envio de IP e Simulação, conforme descrito na Etapa 3 no portal Usar o Microsoft Defender para configurar caixas de correio SecOps na seção política de entrega avançada.

   Para remover todas as entradas, selecione remover ao lado de cada valor até que não haja mais domínios, IPs ou URLs selecionados.

4. Quando terminar no flyout editar simulação de phishing de terceiros , selecione Salvar.

5. Examine as informações na simulação de alterações na simulação de phishing sobrepor o flyout salvo e selecione Fechar.

De volta à guia simulação de phishing , as entradas de simulação de phishing de terceiros que você configurou são exibidas. Se você removeu todas as entradas, a lista estará vazia.

Cenários adicionais que exigem bypass de filtragem

Além dos dois cenários com os quais a política de entrega avançada pode ajudá-lo, há outros cenários em que talvez seja necessário ignorar a filtragem de mensagens:

• Filtros de terceiros: se o registro MX do domínio não apontar para Office 365 (as mensagens são roteadas para outro lugar primeiro), a segurança por padrãonão estará disponível. Se você quiser adicionar proteção, precisará habilitar a Filtragem Aprimorada para Conectores (também conhecida como listagem de ignorar). Para obter mais informações, consulte Gerenciar fluxo de email usando um serviço de nuvem de terceiros com Exchange Online. Se você não quiser Filtragem Aprimorada para Conectores, use regras de fluxo de email (também conhecidas como regras de transporte) para ignorar a filtragem da Microsoft para mensagens que já foram avaliadas pela filtragem de terceiros. Para obter mais informações, consulte Usar regras de fluxo de email para definir a SCL em mensagens.

• Falsos positivos em análise: talvez você queira permitir temporariamente boas mensagens identificadas incorretamente como más (falsos positivos) que você relatou por meio de envios de administradores, mas as mensagens ainda estão sendo analisadas pela Microsoft. Como em todas as substituições, recomendamos que esses subsídios sejam temporários.

Procedimentos do PowerShell para caixas de correio SecOps na política de entrega avançada

No PowerShell, os elementos básicos das caixas de correio SecOps na política de entrega avançada são:

• A política de substituição do SecOps: controlada pelos cmdlets *-SecOpsOverridePolicy .
• A regra de substituição do SecOps: controlada pelos cmdlets *-ExoSecOpsOverrideRule .

Esse comportamento tem os seguintes resultados:

• Você cria a política primeiro, depois cria a regra que identifica a política à qual a regra se aplica.
• Quando você remove uma política do PowerShell, a regra correspondente também é removida.
• Quando você remove uma regra do PowerShell, a política correspondente não é removida. Você precisa remover a política correspondente manualmente.

Usar o PowerShell para configurar caixas de correio SecOps

Configurar uma caixa de correio SecOps na política de entrega avançada no PowerShell é um processo de duas etapas:

1. Create a política de substituição do SecOps.
2. Create a regra de substituição do SecOps que especifica a política à qual a regra se aplica.

Etapa 1: usar o PowerShell para criar a política de substituição do SecOps

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Independentemente do valor name especificado, o nome da política é SecOpsOverridePolicy, portanto, você pode muito bem usar esse valor.

Este exemplo cria a política de caixa de correio SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-SecOpsOverridePolicy.

Etapa 2: usar o PowerShell para criar a regra de substituição do SecOps

Em Exchange Online PowerShell, execute o seguinte comando:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Independentemente do valor name especificado, o nome da regra será _Exe:SecOpsOverrid:<GUID\> [sic] em que <GUID> é um valor GUID exclusivo (por exemplo, 312c23cf-0377-4162-b93d-6548a9977efb9).

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-ExoSecOpsOverrideRule.

Usar o PowerShell para exibir a política de substituição do SecOps

Em Exchange Online PowerShell, este exemplo retorna informações detalhadas sobre a única política de caixa de correio do SecOps.

Get-SecOpsOverridePolicy

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-SecOpsOverridePolicy.

Usar o PowerShell para exibir regras de substituição do SecOps

Em Exchange Online PowerShell, este exemplo retorna informações detalhadas sobre as regras de substituição do SecOps.

Get-ExoSecOpsOverrideRule

Embora o comando anterior deva retornar apenas uma regra, uma regra pendente de exclusão também pode ser incluída nos resultados.

Este exemplo identifica a regra válida (uma) e todas as regras inválidas.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Depois de identificar as regras inválidas, você pode removê-las usando o cmdlet Remove-ExoSecOpsOverrideRule , conforme descrito posteriormente neste artigo.

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-ExoSecOpsOverrideRule.

Usar o PowerShell para modificar a política de substituição do SecOps

Em Exchange Online PowerShell, use a seguinte sintaxe:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Este exemplo adiciona secops2@contoso.com à política de substituição do SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Observação

Se existir uma regra de substituição de SecOps associada e válida, os endereços de email na regra também serão atualizados.

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-SecOpsOverridePolicy.

Usar o PowerShell para modificar uma regra de substituição do SecOps

O cmdlet Set-ExoSecOpsOverrideRule não modifica os endereços de email na regra de substituição do SecOps. Para modificar os endereços de email na regra de substituição do SecOps, use o cmdlet Set-SecOpsOverridePolicy .

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-ExoSecOpsOverrideRule.

Usar o PowerShell para remover a política de substituição do SecOps

Em Exchange Online PowerShell, este exemplo remove a política da Caixa de Correio secOps e a regra correspondente.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-SecOpsOverridePolicy.

Usar o PowerShell para remover regras de substituição do SecOps

Em Exchange Online PowerShell, use os seguintes comandos:

• Remova todas as regras de substituição do SecOps:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• Remova a regra de substituição de SecOps especificada:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ExoSecOpsOverrideRule.

Procedimentos do PowerShell para simulações de phishing de terceiros na política de entrega avançada

No PowerShell, os elementos básicos de simulações de phishing de terceiros na política de entrega avançada são:

• A política de substituição de simulação de phishing: controlada pelos cmdlets *-PhishSimOverridePolicy .
• A regra de substituição de simulação de phishing: controlada pelos cmdlets *-ExoPhishSimOverrideRule .
• As URLs de simulação de phishing permitidas (desbloqueadas): controladas pelos cmdlets *-TenantAllowBlockListItems .

Observação

Conforme descrito anteriormente, a identificação de URLs não é necessária para links em simulações de phishing baseadas em email. Opcionalmente, você pode identificar links em simulações de phishing não-email (links em mensagens do Teams ou em documentos do Office) que não devem ser tratados como ameaças reais no momento do clique.

Esse comportamento tem os seguintes resultados:

• Você cria a política primeiro, depois cria a regra que identifica a política à qual a regra se aplica.
• Você modifica as configurações na política e na regra separadamente.
• Quando você remove uma política do PowerShell, a regra correspondente também é removida.
• Quando você remove uma regra do PowerShell, a política correspondente não é removida. Você precisa remover a política correspondente manualmente.

Usar o PowerShell para configurar simulações de phishing de terceiros

Configurar uma simulação de phishing de terceiros no PowerShell é um processo de várias etapas:

1. Create a política de substituição de simulação de phishing.
2. Create a regra de substituição de simulação de phishing que especifica:
   • A política à qual a regra se aplica.
   • O endereço IP de origem das mensagens de simulação de phishing.
3. Opcionalmente, identifique as URLs de simulação de phishing em simulações de phishing não-email (links em mensagens do Teams ou em documentos do Office) que não devem ser tratadas como ameaças reais no momento do clique.

Etapa 1: usar o PowerShell para criar a política de substituição de simulação de phishing

Em Exchange Online PowerShell, este exemplo cria a política de substituição de simulação de phishing.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Independentemente do valor name especificado, o nome da política é PhishSimOverridePolicy, portanto, você pode muito bem usar esse valor.

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-PhishSimOverridePolicy.

Etapa 2: usar o PowerShell para criar a regra de substituição de simulação de phishing

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Independentemente do valor name especificado, o nome da regra será _Exe:PhishSimOverr:<GUID\> [sic] em que <GUID> é um valor GUID exclusivo (por exemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Uma entrada de endereço IP válida é um dos seguintes valores:

• IP único: por exemplo, 192.168.1.1.
• Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
• IP CIDR: por exemplo, 192.168.0.1/25.

Este exemplo cria a regra de substituição de simulação de phishing com as configurações especificadas.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-ExoPhishSimOverrideRule.

Etapa 3: (Opcional) Usar o PowerShell para identificar as URLs de simulação de phishing para permitir

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Para obter detalhes sobre a sintaxe da URL, confira Sintaxe de URL para a Lista de Permissões/Blocos de Locatários

Este exemplo adiciona uma entrada de permissão de URL para a URL de simulação de phishing de terceiros especificada sem expiração.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TenantAllowBlockListItems.

Usar o PowerShell para exibir a política de substituição de simulação de phishing

Em Exchange Online PowerShell, este exemplo retorna informações detalhadas sobre a única política de substituição de simulação de phishing.

Get-PhishSimOverridePolicy

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-PhishSimOverridePolicy.

Usar o PowerShell para exibir regras de substituição de simulação de phishing

Em Exchange Online PowerShell), este exemplo retorna informações detalhadas sobre regras de substituição de simulação de phishing.

Get-ExoPhishSimOverrideRule

Embora o comando anterior deva retornar apenas uma regra, todas as regras pendentes de exclusão também podem ser incluídas nos resultados.

Este exemplo identifica a regra válida (uma) e todas as regras inválidas.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Depois de identificar as regras inválidas, você pode removê-las usando o cmdlet Remove-ExoPhishSimOverrideRule , conforme descrito posteriormente neste artigo.

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-ExoPhishSimOverrideRule.

Usar o PowerShell para exibir as entradas de URL de simulação de phishing permitidas

Em Exchange Online PowerShell, execute o seguinte comando:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListItems.

Usar o PowerShell para modificar a política de substituição de simulação de phishing

Em Exchange Online PowerShell, use a seguinte sintaxe:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Este exemplo desabilita a política de substituição de simulação de phishing.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-PhishSimOverridePolicy.

Usar o PowerShell para modificar regras de substituição de simulação de phishing

Em Exchange Online PowerShell, use a seguinte sintaxe:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

ou

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Use o cmdlet Get-ExoPhishSimOverrideRule para localizar os <valores phishSimOverrideRuleIdentity> . O nome da regra usa a seguinte sintaxe: _Exe:PhishSimOverr:<GUID\> [sic] em que <GUID> é um valor GUID exclusivo (por exemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Este exemplo modifica a regra de substituição de simulação de phishing (presumivelmente somente) com as seguintes configurações:

• Adicione o blueyonderairlines.com de entrada de domínio.
• Remova a entrada de endereço IP 192.168.1.55.

Essas alterações não afetam as entradas existentes na regra.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-ExoPhishSimOverrideRule.

Usar o PowerShell para modificar as entradas de URL de simulação de phishing permitidas

Você não pode modificar os valores de URL diretamente. Você pode remover entradas de URL existentes e adicionar novas entradas de URL , conforme descrito neste artigo.

Em Exchange Online PowerShell, para modificar outras propriedades de uma entrada de URL de simulação de phishing permitida (por exemplo, a data de validade ou comentários), use a seguinte sintaxe:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Você identifica a entrada a ser modificada por seus valores de URL (o parâmetro Entradas ) ou o valor identity da saída do cmdlet Get-TenantAllowBlockListItems (o parâmetro Ids ).

Este exemplo modificou a data de validade da entrada especificada.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-TenantAllowBlockListItems.

Usar o PowerShell para remover uma política de substituição de simulação de phishing

Em Exchange Online PowerShell, este exemplo remove a política de substituição de simulação de phishing e a regra correspondente.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-PhishSimOverridePolicy.

Usar o PowerShell para remover regras de substituição de simulação de phishing

Em Exchange Online PowerShell, use os seguintes comandos:

• Remover todas as regras de substituição de simulação de phishing:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• Remova a regra de substituição de simulação de phishing especificada:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ExoPhishSimOverrideRule.

Usar o PowerShell para remover as entradas de URL de simulação de phishing permitidas

Em Exchange Online PowerShell, use a seguinte sintaxe:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Você identifica a entrada a ser modificada por seus valores de URL (o parâmetro Entradas ) ou o valor identity da saída do cmdlet Get-TenantAllowBlockListItems (o parâmetro Ids ).

Este exemplo modificou a data de validade da entrada especificada.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-TenantAllowBlockListItems.