Configurar a política de entrega avançada para simulações de phishing de terceiros e entrega de e-mail para caixas de correio secOps

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Para manter a sua organização segura por predefinição, Proteção do Exchange Online (EOP) não permite listas seguras ou filtragem desativação para mensagens identificadas como software maligno ou phishing de alta confiança. No entanto, existem cenários específicos que requerem a entrega de mensagens não filtradas. Por exemplo:

• Simulações de phishing de terceiros: os ataques simulados podem ajudá-lo a identificar e preparar utilizadores vulneráveis antes de um ataque real afetar a sua organização.
• Caixas de correio de operações de segurança (SecOps): caixas de correio dedicadas que são utilizadas pelas equipas de segurança para recolher e analisar mensagens não filtradas (boas e más).

Utilize a política de entrega avançada na EOP para impedir que as mensagens de entrada nestes cenários específicos sejam filtradas¹. A política de entrega avançada garante que as mensagens nestes cenários alcançam os seguintes resultados:

• Os filtros na EOP e Defender para Office 365 não efetuam nenhuma ação nestas mensagens. A filtragem de software maligno é ignorada apenas para caixas de correio SecOps.
• A Remoção de Horas Zero (ZAP) para spam e phishing não efetua qualquer ação nestas mensagens. O ZAP para software maligno é ignorado apenas para caixas de correio SecOps.
• As Ligações Seguras no Defender para Office 365 não bloqueiam nem detonam os URLs especificados nestas mensagens no momento do clique. Os URLs ainda estão encapsulados, mas não estão bloqueados.
• Os Anexos Seguros no Defender para Office 365 não detonam anexos nestas mensagens.
• Os alertas de sistema predefinidos não são acionados para estes cenários.
• O AIR e o clustering no Defender para Office 365 ignoram estas mensagens.
• Especificamente para simulações de phishing de terceiros:
  • Administração submissão gera uma resposta automática dizendo que a mensagem faz parte de uma campanha de simulação de phishing e não é uma ameaça real. Os alertas e o AIR não são acionados. A experiência de submissões de administrador mostra estas mensagens como uma ameaça simulada.
  • Quando um utilizador comunica uma mensagem de simulação de phishing com o botão Relatório incorporado no Outlook na Web ou os suplementos Microsoft Report Message ou Report Phishing, o sistema não gera um alerta, investigação ou incidente. As ligações ou ficheiros não são detonados, mas a mensagem é apresentada no separador Utilizador comunicado da página Submissões .

As mensagens identificadas pela política de entrega avançada não são ameaças de segurança, pelo que as mensagens são marcadas com substituições do sistema. Administração experiências mostram estas mensagens como simulação de phishing ou substituições do sistema de caixa de correio SecOps. Os administradores podem utilizar estes valores para filtrar e analisar mensagens nas seguintes experiências:

• Explorador de Ameaças (Explorador) ou Deteções em tempo real no Defender para Office 365: os administradores podem filtrar na origem de substituição do sistema e selecionar Simulação de phishing ou Caixa de Correio SecOps.
• A página da entidade Email: os administradores podem ver uma mensagem que foi permitida pela política da organização pela caixa de correio SecOps ou simulação de phishing em Substituição de inquilino na secção Substituição(s).
• O relatório Estado da proteção contra ameaças: Administração pode filtrar por visualização de dados por Substituição do sistema no menu pendente e selecionar para ver mensagens permitidas devido a uma substituição do sistema de simulação de phishing. Para ver as mensagens permitidas pela substituição da caixa de correio SecOps, pode selecionar a discriminação do gráfico por localização de entrega na lista pendente discriminação do gráfico por motivo .
• Investigação avançada no Microsoft Defender para Endpoint: simulação de phishing e substituições do sistema de caixa de correio SecOps são opções em OrgLevelPolicy em EmailEvents.
• Vistas de Campanha: Administração pode filtrar na origem de substituição do sistema e selecionar Simulação de phishing ou Caixa de Correio SecOps.

O que precisa de saber antes de começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

• Para ligar ao Exchange Online PowerShell, veja Ligar ao Exchange Online PowerShell.

• Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Afeta apenas o portal do Defender e não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).
  • Email & permissões de colaboração no portal do Microsoft Defender e permissões de Exchange Online:
    • Create, modifique ou remova as definições configuradas na política de entrega avançada: associação nos grupos de funções administrador de segurança no RBAC de colaboração Email & e associação no grupo de funções Gestão da Organização no Exchange Online RBAC.
    • Acesso só de leitura à política de entrega avançada: associação aos grupos de funções Leitor Global ou Leitor de Segurança no RBAC de colaboração Email &.
      • View-Only Organization Management in Exchange Online RBAC.
  • Microsoft Entra permissões: as funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança concedem aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

Utilizar o portal Microsoft Defender para configurar caixas de correio SecOps na política de entrega avançada

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

   Na página Entrega avançada , verifique se o separador da caixa de correio SecOps está selecionado.

2. No separador da caixa de correio SecOps , selecione o botão Adicionar na área Sem Caixas de correio SecOps configuradas da página.

   Se já existirem entradas no separador da caixa de correio SecOps , selecione Editar (o botão Adicionar não está disponível).

3. Na lista de opções Adicionar caixas de correio SecOps que é aberta, introduza uma caixa de correio Exchange Online existente que pretenda designar como caixa de correio SecOps ao efetuar um dos seguintes passos:

   • Clique na caixa, deixe a lista de caixas de correio resolver e, em seguida, selecione a caixa de correio.

   • Clique na caixa comece a escrever um identificador para a caixa de correio (nome, nome a apresentar, alias, endereço de e-mail, nome da conta, etc.) e selecione a caixa de correio (nome a apresentar) nos resultados.

     Repita este passo quantas vezes for necessário. Os grupos de distribuição não são permitidos.

     Para remover um valor existente, selecione remover junto ao valor.

4. Quando tiver terminado na lista de opções Adicionar caixas de correio SecOps , selecione Adicionar..

5. Reveja as informações na lista de opções Alterações à caixa de correio SecOps guardadas e, em seguida, selecione Fechar.

Novamente no separador da caixa de correio secOps , as entradas da caixa de correio SecOps que configurou estão agora listadas:

• A coluna Nome a apresentar contém o nome a apresentar das caixas de correio.
• A coluna Email contém o endereço de e-mail de cada entrada.
• Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compacto ou normal e, em seguida, selecione Compactar lista.

Utilizar o portal Microsoft Defender para modificar ou remover caixas de correio SecOps na política de entrega avançada

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

   Na página Entrega avançada , verifique se o separador da caixa de correio SecOps está selecionado.

2. No separador da caixa de correio SecOps , selecione Editar.

3. Na lista de opções Editar caixas de correio secOps que é aberta, adicione ou remova caixas de correio conforme descrito no Passo 3 no portal Utilizar o Microsoft Defender para configurar caixas de correio SecOps na secção de política de entrega avançada.

   Para remover todas as caixas de correio, selecione remover junto a cada valor até que não existam mais caixas de correio selecionadas.

4. Quando tiver terminado na lista de opções Editar caixas de correio do SecOps , selecione Guardar.

5. Reveja as informações na lista de opções Alterações à caixa de correio SecOps guardadas e, em seguida, selecione Fechar.

Novamente no separador da caixa de correio SecOps , são apresentadas as entradas da caixa de correio SecOps que configurou. Se tiver removido todas as entradas, a lista estará vazia.

Utilizar o portal Microsoft Defender para configurar simulações de phishing de terceiros na política de entrega avançada

Para configurar uma simulação de phishing de terceiros, tem de fornecer as seguintes informações:

• Pelo menos um Domínio: o domínio do endereço MAIL FROM (também conhecido como endereço 5321.MailFrom , remetente P1 ou remetente de envelope) que é utilizado na transmissão SMTP da mensagem ou um domínio DKIM, conforme especificado pelo fornecedor de simulação de phishing.
• Pelo menos um IP de Envio.
• Para simulações de phishing sem e-mail (por exemplo, mensagens do Microsoft Teams, Word documentos ou folhas de cálculo do Excel), pode, opcionalmente, identificar os URLs de Simulação para permitir que não devem ser tratados como ameaças reais no momento do clique: os URLs não são bloqueados ou detonados e não são gerados alertas de clique de URL ou incidentes resultantes. Os URLs são moldados no momento do clique, mas não são bloqueados.

Tem de existir uma correspondência em, pelo menos, um Domínio e um IP de Envio, mas não é mantida nenhuma associação entre valores.

Se o seu registo MX não apontar para o Microsoft 365, o endereço IP no Authentication-results cabeçalho tem de corresponder ao endereço IP na política de entrega avançada. Se os endereços IP não corresponderem, poderá ter de configurar a Filtragem Avançada para Conectores para que seja detetado o endereço IP correto.

Nota

A Filtragem Avançada de Conectores não funciona para simulações de phishing de terceiros em cenários complexos de encaminhamento de e-mail (por exemplo, o e-mail da Internet é encaminhado para o Microsoft 365, depois para um ambiente no local ou para um serviço de segurança de terceiros e, em seguida, para o Microsoft 365). A EOP não consegue identificar o endereço IP verdadeiro da origem da mensagem. Não tente contornar esta limitação ao adicionar os endereços IP da infraestrutura de envio no local ou de terceiros à simulação de phishing de terceiros. Ao fazê-lo, ignora eficazmente a filtragem de spam para qualquer remetente da Internet que represente o domínio especificado na simulação de phishing de terceiros.

Atualmente, a política de entrega avançada para simulações de phishing de terceiros não suporta simulações dentro da mesma organização (DIR:INT), especialmente quando o e-mail é encaminhado através de um gateway de Exchange Server antes do Microsoft 365 no fluxo de correio híbrido. Para resolver este problema, tem as seguintes opções:

• Create um conector de envio dedicado que não autentica as mensagens de simulação de phishing como internas.
• Configure a simulação de phishing para ignorar a infraestrutura de Exchange Server e encaminhar o correio diretamente para o seu registo MX do Microsoft 365 (por exemplo, contoso-com.mail.protection.outlook.com).
• Embora possa definir a análise de mensagens intra-organização como Nenhuma em políticas antisspam , não recomendamos esta opção porque afeta outras mensagens de e-mail.

Se estiver a utilizar a política de segurança predefinida de proteção incorporada ou se as suas políticas de Ligações Seguras personalizadas tiverem a definição Não reescrever URLs, efetuar verificações através da API SafeLinks apenas ativada, a proteção de tempo de clique não trata as ligações de simulação de phishing no e-mail como ameaças no Outlook na Web, Outlook para iOS e Android, Outlook para Windows v16.0.15317.10000 ou posterior e Outlook para Mac v16.74.23061100 ou posterior. Se estiver a utilizar versões mais antigas do Outlook, considere desativar a definição Não reescrever URLs, efetuar verificações através da definição apenas da API De Ligações Seguras nas políticas de Ligações Seguras personalizadas.

Adicionar URLs de simulação de phishing à secção Não reescrever os seguintes URLs no e-mail em Políticas de Ligações Seguras pode resultar em alertas indesejados para cliques de URL. Os URLs de simulação de phishing em mensagens de e-mail são automaticamente permitidos durante o fluxo de correio e no momento do clique.

Atualmente, a política de entrega avançada para caixas de correio SecOps não suporta mensagens intra-organizacionais (DIR:INT) e estas mensagens serão colocadas em quarentena. Como solução, pode utilizar uma política anti-spam separada para caixas de correio SecOps que não coloca em quarentena mensagens intra-organizacionais. Não recomendamos a desativação da proteção intra-organização para todas as caixas de correio.

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

   Na página Entrega avançada , selecione o separador Simulação de phishing .

2. No separador Simulação de phishing , selecione o botão Adicionar na área Nenhuma simulação de phishing de terceiros configurada da página.

   Se já existirem entradas no separador Simulação de phishing , selecione Editar (o botão Adicionar não está disponível).

3. Na lista de opções Adicionar simulações de phishing de terceiros que é aberta, configure as seguintes definições:

   • Domínio: expanda esta definição e introduza pelo menos um domínio de endereço de e-mail clicando na caixa, introduzindo um valor (por exemplo, contoso.com) e, em seguida, premindo a tecla ENTER ou selecionando o valor apresentado abaixo da caixa. Repita este passo quantas vezes for necessário. Pode adicionar até 50 entradas. Utilize um dos seguintes valores:

     • O domínio no 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) que é utilizado na transmissão SMTP da mensagem.
     • O domínio DKIM, conforme especificado pelo fornecedor de simulação de phishing.

   • Enviar IP: expanda esta definição e introduza pelo menos um endereço IPv4 válido clicando na caixa, introduzindo um valor e, em seguida, premindo a tecla ENTER ou selecionando o valor apresentado abaixo da caixa. Repita este passo quantas vezes for necessário. Pode adicionar até 10 entradas. Os valores válidos são:

     • IP único: por exemplo, 192.168.1.1.
     • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
     • IP CIDR: por exemplo, 192.168.0.1/25.

   • URLs de simulação a permitir: esta definição não é necessária para ligações em simulações de phishing de e-mail. Utilize esta definição para identificar opcionalmente ligações em simulações de phishing não enviadas por e-mail (ligações em mensagens do Teams ou em documentos do Office) que não devem ser tratadas como ameaças reais no momento do clique.

     Adicione entradas de URL ao expandir esta definição, clicar na caixa, introduzir um valor e, em seguida, premir a tecla ENTER ou selecionar o valor apresentado abaixo da caixa. Pode adicionar até 30 entradas. Para obter a sintaxe do URL, veja Sintaxe de URL para a Lista de Permissões/Bloqueios do Inquilino.

   Para remover um domínio, IP ou valor de URL existente, selecione remover junto ao valor.

   Considere o seguinte exemplo:

   Authentication-Results: spf=pass (sender IP is 172.17.17.7)
   smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
   header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
   
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
   s=selector1;
   h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
   bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
   

   • O endereço IP de ligação é 172.17.17.7.
   • O domínio no endereço MAIL FROM (smtp.mailfrom) é contoso.com.
   • O domínio DKIM (header.d) é contoso-simulation.com.

   No exemplo, pode utilizar uma das seguintes combinações para configurar uma simulação de phishing de terceiros:

   Domínio: contoso.com
   A enviar IP: 172.17.17.7

   Domínio: contoso-simulation.com
   A enviar IP: 172.17.17.7

4. Quando tiver terminado a lista de opções Adicionar simulações de phishing de terceiros , selecione Adicionar.

5. Reveja as informações na lista de opções Alterações à simulação de phishing e, em seguida, selecione Fechar.

Novamente no separador Simulação de phishing , as entradas de simulação de phishing de terceiros que configurou estão agora listadas:

• A coluna Valor contém o domínio, o endereço IP ou a entrada de URL.
• A coluna Tipo contém o valor IP de Envio, Domínio ou URL de simulação permitido para cada entrada.
• A coluna Data mostra quando a entrada foi criada.
• Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compacto ou normal e, em seguida, selecione Compactar lista.

Utilizar o portal Microsoft Defender para modificar ou remover simulações de phishing de terceiros na política de entrega avançada

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email & &políticas> de ameaçasde regras>Entrega avançada na secção Regras. Em alternativa, para aceder diretamente à página Entrega avançada , utilize https://security.microsoft.com/advanceddelivery.

   Na página Entrega avançada , selecione o separador Simulação de phishing .

2. No separador Simulação de phishing , selecione Editar.

3. Na lista de opções Editar simulação de phishing de terceiros que é aberta, adicione ou remova entradas para URLs de Domínio, Envio de IP e Simulação, conforme descrito no Passo 3, na secção Utilizar o portal Microsoft Defender para configurar caixas de correio SecOps na secção política de entrega avançada.

   Para remover todas as entradas, selecione Remover junto a cada valor até que não existam mais domínios, IPs ou URLs selecionados.

4. Quando tiver terminado na lista de opções Editar simulação de phishing de terceiros , selecione Guardar.

5. Reveja as informações na lista de opções Alterações à simulação de phishing e, em seguida, selecione Fechar.

Novamente no separador Simulação de phishing , são apresentadas as entradas de simulação de phishing de terceiros que configurou. Se tiver removido todas as entradas, a lista estará vazia.

Cenários adicionais que requerem a desaprovisionamento da filtragem

Além dos dois cenários com os quais a política de entrega avançada pode ajudá-lo, existem outros cenários em que poderá ter de ignorar a filtragem de mensagens:

• Filtros de terceiros: se o registo MX do seu domínio não apontar para Office 365 (as mensagens são encaminhadas para outro local primeiro), a proteção por predefiniçãonão está disponível. Se quiser adicionar proteção, tem de ativar a Filtragem Avançada para Conectores (também conhecido como ignorar listagem). Para obter mais informações, consulte Gerir o fluxo de correio através de um serviço cloud de terceiros com Exchange Online. Se não pretender a Filtragem Avançada para Conectores, utilize regras de fluxo de correio (também conhecidas como regras de transporte) para ignorar a filtragem da Microsoft para mensagens que já foram avaliadas pela filtragem de terceiros. Para obter mais informações, consulte Utilizar regras de fluxo de correio para definir o SCL nas mensagens.

• Falsos positivos em análise: poderá querer permitir temporariamente boas mensagens identificadas incorretamente como incorretas (falsos positivos) que comunicou através de submissões de administradores, mas as mensagens ainda estão a ser analisadas pela Microsoft. Tal como acontece com todas as substituições, recomendamos vivamente que estas licenças sejam temporárias.

Procedimentos do PowerShell para caixas de correio SecOps na política de entrega avançada

No PowerShell, os elementos básicos das caixas de correio secOps na política de entrega avançada são:

• A política de substituição secOps: controlada pelos cmdlets *-SecOpsOverridePolicy .
• A regra de substituição secOps: controlada pelos cmdlets *-ExoSecOpsOverrideRule .

Este comportamento tem os seguintes resultados:

• Primeiro, crie a política e, em seguida, crie a regra que identifica a política à qual a regra se aplica.
• Quando remove uma política do PowerShell, a regra correspondente também é removida.
• Quando remove uma regra do PowerShell, a política correspondente não é removida. Tem de remover a política correspondente manualmente.

Utilizar o PowerShell para configurar caixas de correio secOps

Configurar uma caixa de correio SecOps na política de entrega avançada no PowerShell é um processo de dois passos:

1. Create a política de substituição do SecOps.
2. Create a regra de substituição secOps que especifica a política a que a regra se aplica.

Passo 1: Utilizar o PowerShell para criar a política de substituição do SecOps

No Exchange Online PowerShell, utilize a seguinte sintaxe:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Independentemente do valor de Nome que especificar, o nome da política é SecOpsOverridePolicy, pelo que poderá muito bem utilizar esse valor.

Este exemplo cria a política de caixa de correio SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-SecOpsOverridePolicy.

Passo 2: Utilizar o PowerShell para criar a regra de substituição do SecOps

No Exchange Online PowerShell, execute o seguinte comando:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Independentemente do valor de Nome especificado, o nome da regra será _Exe:SecOpsOverrid:<GUID\> [sic] em <que GUID> é um valor GUID exclusivo (por exemplo, 312c23cf-0377-4162-b93d-6548a9977efb9).

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-ExoSecOpsOverrideRule.

Utilizar o PowerShell para ver a política de substituição do SecOps

No Exchange Online PowerShell, este exemplo devolve informações detalhadas sobre a política de caixa de correio um e apenas SecOps.

Get-SecOpsOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-SecOpsOverridePolicy.

Utilizar o PowerShell para ver as regras de substituição do SecOps

No Exchange Online PowerShell, este exemplo devolve informações detalhadas sobre as regras de substituição do SecOps.

Get-ExoSecOpsOverrideRule

Embora o comando anterior deva devolver apenas uma regra, uma regra que está pendente de eliminação também pode ser incluída nos resultados.

Este exemplo identifica a regra válida (uma) e quaisquer regras inválidas.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Depois de identificar as regras inválidas, pode removê-las com o cmdlet Remove-ExoSecOpsOverrideRule , conforme descrito mais à frente neste artigo.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-ExoSecOpsOverrideRule.

Utilizar o PowerShell para modificar a política de substituição do SecOps

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Este exemplo adiciona secops2@contoso.com à política de substituição secOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Nota

Se existir uma regra de substituição de SecOps válida associada, os endereços de e-mail na regra também serão atualizados.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-SecOpsOverridePolicy.

Utilizar o PowerShell para modificar uma regra de substituição do SecOps

O cmdlet Set-ExoSecOpsOverrideRule não modifica os endereços de e-mail na regra de substituição do SecOps. Para modificar os endereços de e-mail na regra de substituição do SecOps, utilize o cmdlet Set-SecOpsOverridePolicy .

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-ExoSecOpsOverrideRule.

Utilizar o PowerShell para remover a política de substituição do SecOps

No Exchange Online PowerShell, este exemplo remove a política caixa de correio secOps e a regra correspondente.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-SecOpsOverridePolicy.

Utilizar o PowerShell para remover regras de substituição do SecOps

No Exchange Online PowerShell, utilize os seguintes comandos:

• Remova quaisquer regras de substituição do SecOps:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• Remova a regra de substituição de SecOps especificada:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ExoSecOpsOverrideRule.

Procedimentos do PowerShell para simulações de phishing de terceiros na política de entrega avançada

No PowerShell, os elementos básicos das simulações de phishing de terceiros na política de entrega avançada são:

• A política de substituição da simulação de phishing: controlada pelos cmdlets *-PhishSimOverridePolicy .
• A regra de substituição da simulação de phishing: controlada pelos cmdlets *-ExoPhishSimOverrideRule .
• Os URLs de simulação de phishing permitidos (desbloqueados): controlados pelos cmdlets *-TenantAllowBlockListItems .

Nota

Conforme descrito anteriormente, a identificação de URLs não é necessária para ligações em simulações de phishing baseadas em e-mail. Opcionalmente, pode identificar ligações em simulações de phishing não enviadas por e-mail (ligações em mensagens do Teams ou em documentos do Office) que não devem ser tratadas como ameaças reais no momento do clique.

Este comportamento tem os seguintes resultados:

• Primeiro, crie a política e, em seguida, crie a regra que identifica a política à qual a regra se aplica.
• Pode modificar as definições na política e na regra separadamente.
• Quando remove uma política do PowerShell, a regra correspondente também é removida.
• Quando remove uma regra do PowerShell, a política correspondente não é removida. Tem de remover a política correspondente manualmente.

Utilizar o PowerShell para configurar simulações de phishing de terceiros

Configurar uma simulação de phishing de terceiros no PowerShell é um processo de vários passos:

1. Create a política de substituição da simulação de phishing.
2. Create a regra de substituição da simulação de phishing que especifica:
   • A política a que a regra se aplica.
   • O endereço IP de origem das mensagens de simulação de phishing.
3. Opcionalmente, pode identificar os URLs de simulação de phishing em simulações de phishing não enviadas por e-mail (ligações em mensagens do Teams ou em documentos do Office) que não devem ser tratados como ameaças reais no momento do clique.

Passo 1: Utilizar o PowerShell para criar a política de substituição de simulação de phishing

No Exchange Online PowerShell, este exemplo cria a política de substituição de simulação de phishing.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Independentemente do valor nome que especificar, o nome da política é PhishSimOverridePolicy, pelo que pode muito bem utilizar esse valor.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-PhishSimOverridePolicy.

Passo 2: Utilizar o PowerShell para criar a regra de substituição da simulação de phishing

No Exchange Online PowerShell, utilize a seguinte sintaxe:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Independentemente do valor de Nome especificado, o nome da regra será _Exe:PhishSimOverr:<GUID\> [sic] em <que GUID> é um valor GUID exclusivo (por exemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Uma entrada de endereço IP válida é um dos seguintes valores:

• IP único: por exemplo, 192.168.1.1.
• Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
• IP CIDR: por exemplo, 192.168.0.1/25.

Este exemplo cria a regra de substituição da simulação de phishing com as definições especificadas.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-ExoPhishSimOverrideRule.

Passo 3: (Opcional) Utilize o PowerShell para identificar os URLs de simulação de phishing a permitir

No Exchange Online PowerShell, utilize a seguinte sintaxe:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Para obter detalhes sobre a sintaxe do URL, veja Sintaxe de URL para a Lista de Permissões/Bloqueios do Inquilino

Este exemplo adiciona uma entrada de permissão de URL para o URL de simulação de phishing de terceiros especificado sem expiração.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-TenantAllowBlockListItems.

Utilizar o PowerShell para ver a política de substituição da simulação de phishing

No Exchange Online PowerShell, este exemplo devolve informações detalhadas sobre a política de substituição de simulação de phishing única e única.

Get-PhishSimOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-PhishSimOverridePolicy.

Utilizar o PowerShell para ver regras de substituição de simulação de phishing

No Exchange Online PowerShell), este exemplo devolve informações detalhadas sobre regras de substituição de simulação de phishing.

Get-ExoPhishSimOverrideRule

Embora o comando anterior deva devolver apenas uma regra, quaisquer regras que estejam pendentes de eliminação também podem ser incluídas nos resultados.

Este exemplo identifica a regra válida (uma) e quaisquer regras inválidas.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Depois de identificar as regras inválidas, pode removê-las com o cmdlet Remove-ExoPhishSimOverrideRule , conforme descrito mais à frente neste artigo.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-ExoPhishSimOverrideRule.

Utilizar o PowerShell para ver as entradas de URL de simulação de phishing permitidas

No Exchange Online PowerShell, execute o seguinte comando:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-TenantAllowBlockListItems.

Utilizar o PowerShell para modificar a política de substituição da simulação de phishing

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Este exemplo desativa a política de substituição da simulação de phishing.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-PhishSimOverridePolicy.

Utilizar o PowerShell para modificar regras de substituição de simulação de phishing

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

ou

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Utilize o cmdlet Get-ExoPhishSimOverrideRule para localizar os <valores PhishSimOverrideRuleIdentity> . O nome da regra utiliza a seguinte sintaxe: _Exe:PhishSimOverr:<GUID\> [sic] em <que GUID> é um valor GUID exclusivo (por exemplo, 6fed4b63-3563-495d-a481-b24a311f8329).

Este exemplo modifica a regra de substituição da simulação de phishing (presumivelmente apenas) com as seguintes definições:

• Adicione a entrada de domínio blueyonderairlines.com.
• Remova a entrada de endereço IP 192.168.1.55.

Estas alterações não afetam as entradas existentes na regra.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-ExoPhishSimOverrideRule.

Utilizar o PowerShell para modificar as entradas de URL de simulação de phishing permitidas

Não pode modificar os valores de URL diretamente. Pode remover entradas de URL existentes e adicionar novas entradas de URL , conforme descrito neste artigo.

No Exchange Online PowerShell, para modificar outras propriedades de uma entrada de URL de simulação de phishing permitida (por exemplo, a data de expiração ou comentários), utilize a seguinte sintaxe:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Identifica a entrada a modificar pelos respetivos valores de URL (o parâmetro Entradas ) ou o valor identidade da saída do cmdlet Get-TenantAllowBlockListItems (o parâmetro Ids ).

Este exemplo modificou a data de expiração da entrada especificada.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-TenantAllowBlockListItems.

Utilizar o PowerShell para remover uma política de substituição de simulação de phishing

No Exchange Online PowerShell, este exemplo remove a política de substituição da simulação de phishing e a regra correspondente.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-PhishSimOverridePolicy.

Utilizar o PowerShell para remover regras de substituição de simulação de phishing

No Exchange Online PowerShell, utilize os seguintes comandos:

• Remova quaisquer regras de substituição de simulação de phishing:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• Remova a regra de substituição da simulação de phishing especificada:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ExoPhishSimOverrideRule.

Utilizar o PowerShell para remover as entradas de URL de simulação de phishing permitidas

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Identifica a entrada a modificar pelos respetivos valores de URL (o parâmetro Entradas ) ou o valor identidade da saída do cmdlet Get-TenantAllowBlockListItems (o parâmetro Ids ).

Este exemplo modificou a data de expiração da entrada especificada.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-TenantAllowBlockListItems.