Настройка политик защиты от фишинга в Microsoft Defender для Office 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях с Microsoft Defender для Office 365 политики защиты от фишинга предоставляют следующие типы защиты:
- Та же защита от спуфингом, которая доступна в Exchange Online Protection (EOP). Дополнительные сведения см. в разделе Параметры подделки.
- Защита от олицетворения от других типов фишинговых атак. Дополнительные сведения см. в статье Монопольные параметры в политиках защиты от фишинга в Microsoft Defender для Office 365.
Политика защиты от фишинга по умолчанию автоматически применяется ко всем получателям. Для повышения детализации можно также создать настраиваемые политики защиты от фишинга, которые применяются к определенным пользователям, группам или доменам в вашей организации.
Вы настраиваете политики защиты от фишинга на портале Microsoft Defender или в Exchange Online PowerShell.
Процедуры политики защиты от фишинга в организациях без Defender для Office 365 см. в статье Настройка политик защиты от фишинга в EOP.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
-
- Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
- Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Рекомендуемые параметры для политик защиты от фишинга в Defender для Office 365 см. в разделе Политика защиты от фишинга в параметрах Defender для Office 365.
Совет
Параметры в политиках защиты от фишинга по умолчанию или пользовательских политиках защиты от фишинга игнорируются, если получатель также включен в стандартные или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.
До 30 минут до применения новой или обновленной политики.
Создание политик защиты от фишинга с помощью портала Microsoft Defender
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к Email & Политики совместной работы>& Правила>Политики> Защиты отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.
На странице Защита от фишинга выберите Создать , чтобы открыть новый мастер политики защиты от фишинга.
На странице Имя политики настройте следующие параметры:
- Имя. Укажите уникальное, описательное имя политики.
- Описание. По желанию введите описание политики.
Завершив работу на странице Имя политики , нажмите кнопку Далее.
На странице Пользователи, группы и домены определите внутренних получателей, к которым применяется политика (условия получателя):
- Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
-
Группы.
- Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
- Указанные Группы Microsoft 365.
- Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.
Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .
Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.
Условие можно использовать только один раз, но условие может содержать несколько значений:
Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.
Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:
- Пользователей:
romain@contoso.com
- Группы: Руководители
Политика применяется только в
romain@contoso.com
том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.- Пользователей:
Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения.
Исключение можно использовать только один раз, но исключение может содержать несколько значений:
- Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
- Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
Завершив работу на странице Пользователи, группы и домены , нажмите кнопку Далее.
На странице Пороговое значение фишинга & защиты настройте следующие параметры:
Пороговое значение фишинга по электронной почте. Используйте ползунок, чтобы выбрать одно из следующих значений:
- 1 — стандартный (это значение по умолчанию).
- 2 — агрессивный
- 3 — более агрессивный
- 4 — наиболее агрессивный
Дополнительные сведения об этом параметре см. в разделе Расширенные пороговые значения фишинга в политиках защиты от фишинга в Microsoft Defender для Office 365.
Олицетворение. Эти параметры являются условиями для политики, которая определяет конкретных отправителей для поиска (по отдельности или по домену) в адресе от входящих сообщений. Дополнительные сведения см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.
Включить защиту пользователей. Этот параметр не выбран по умолчанию. Чтобы включить защиту олицетворения пользователя, выберите поле проверка, а затем щелкните ссылку Управление отправителями (nn). Действие для обнаружения олицетворения пользователя определяется на следующей странице.
Вы определяете внутренних и внешних отправителей, которые необходимо защитить, с помощью сочетания их отображаемого имени и адреса электронной почты.
Выберите Добавить пользователя. Во всплывающем окне Добавление пользователя выполните следующие действия.
Внутренние пользователи. Щелкните в поле Добавить допустимый адрес электронной почты или начните вводить адрес электронной почты пользователя. Выберите адрес электронной почты в появившемся раскрывающемся списке Рекомендуемые контакты . Отображаемое имя пользователя добавляется в поле Добавить имя (которое можно изменить). Завершив выбор пользователя, нажмите кнопку Добавить.
Внешние пользователи. Введите полный адрес электронной почты внешнего пользователя в поле Добавить допустимый адрес электронной почты , а затем выберите адрес электронной почты в раскрывающемся списке Рекомендуемые контакты . Адрес электронной почты также добавляется в поле Добавление имени (которое можно изменить на отображаемое имя).
Добавленные пользователи отображаются во всплывающем окне Добавление пользователя по имени и Email адресу. Чтобы удалить пользователя, щелкните рядом с записью.
По завершении во всплывающем окне Добавление пользователя нажмите кнопку Добавить.
Во всплывающем окне Управление отправителями для защиты олицетворения выбранные пользователи отображаются в списке Отображаемое имя и Адрес электронной почты отправителя.
Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск для поиска записей во всплывающем элементе.
Чтобы добавить записи, выберите Добавить пользователя и повторите предыдущие шаги.
Чтобы удалить записи, выполните одно из следующих действий.
- Выберите одну или несколько записей, выбрав круглое поле проверка, которое отображается в пустой области рядом со значением отображаемого имени.
- Выделите все записи одновременно, выбрав круглое поле проверка, которое отображается в пустой области рядом с заголовком столбца Отображаемое имя.
Завершив работу с всплывющим элементом Управление отправителями для защиты олицетворения , нажмите кнопку Готово , чтобы вернуться на страницу Пороговое значение фишинга & защиты .
Примечание.
Вы можете указать не более 350 пользователей для защиты от олицетворения пользователей в каждой политике защиты от фишинга.
Защита олицетворения пользователя не работает, если отправитель и получатель ранее сообщили по электронной почте. Если отправитель и получатель никогда не связывался по электронной почте, сообщение можно определить как попытку олицетворения.
Если вы попытаетесь добавить пользователя в защиту олицетворения пользователя, если этот адрес электронной почты уже указан для защиты от олицетворения пользователя в другой политике защиты от фишинга, может появиться сообщение об ошибке "Адрес электронной почты уже существует". Эта ошибка возникает только на портале Defender. Вы не получите ошибку, если используете соответствующий параметр TargetedUsersToProtect в командлетах New-AntiPhishPolicy или Set-AntiPhishPolicy в Exchange Online PowerShell.
Включить защиту доменов. Этот параметр не выбран по умолчанию. Чтобы включить защиту олицетворения домена, выберите поле проверка, а затем настройте один или оба из указанных ниже параметров. Действие для обнаружения олицетворения домена определяется на следующей странице.
Включите домены, которые я владею. Чтобы включить этот параметр, выберите поле проверка. Чтобы просмотреть принадлежащие вам домены, выберите Просмотреть мои домены.
Включить личные домены. Чтобы включить этот параметр, выберите поле проверка, а затем щелкните ссылку Управление личными доменами (nn). Во всплывающем окне Управление личными доменами для защиты олицетворения выполните следующие действия.
Выберите Добавить домены.
Во всплывающем окне Добавление личных доменов щелкните поле Домен , введите значение домена, а затем выберите значение, которое отображается под полем. Повторите этот шаг нужное количество раз.
Добавленные домены перечислены во всплывающем окне Добавление личных доменов . Чтобы удалить домен, щелкните рядом со значением .
По завершении во всплывающем окне Добавление личных доменов выберите Добавить домены.
Если вернуться к всплывающему элементу Управление личными доменами для защиты олицетворения , будут перечислены введенные домены.
Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск для поиска записей во всплывающем элементе.
Чтобы добавить записи, выберите Добавить домены и повторите предыдущие шаги.
Чтобы удалить записи, выполните одно из следующих действий.
- Выберите одну или несколько записей, выбрав круглое поле проверка, которое отображается в пустой области рядом со значением домена.
- Выделите все записи одновременно, выбрав круглое поле проверка, которое отображается в пустой области рядом с заголовком столбца Домены.
Завершив работу с всплывающего меню Управление личными доменами для защиты от олицетворения , выберите Готово , чтобы вернуться на страницу Пороговое значение фишинга & защиты .
Добавление доверенных отправителей и доменов. Укажите исключения защиты олицетворения для политики, выбрав Управление (nn) доверенными отправителями и доменами. Во всплывающем окне Управление личными доменами для защиты олицетворения введите отправителей на вкладке Отправитель и домены на вкладке Домен .
Примечание.
Максимальное число записей доверенного отправителя и домена — 1024.
Вкладка Отправитель. Выберите Добавить отправителей.
Во всплывающем окне Добавление доверенных отправителей введите адрес электронной почты в поле Добавить допустимый адрес электронной почты и нажмите кнопку Добавить. Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, выберите ее.
По завершении во всплывающем окне Добавление доверенных отправителей выберите Добавить.
На вкладке Отправитель будут перечислены введенные вами отправители.
Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск для поиска записей во всплывающем элементе.
Чтобы добавить записи, выберите Добавить отправителей и повторите предыдущие шаги.
Чтобы удалить записи, выполните одно из следующих действий.
- Выберите одну или несколько записей, выбрав круглое поле проверка, которое отображается в пустой области рядом со значением отправителя.
- Выделите все записи одновременно, выбрав круглое поле проверка, которое отображается в пустой области рядом с заголовком столбца Отправитель.
Завершив работу на вкладке Отправитель всплывающего меню Управление личными доменами для защиты от олицетворения , перейдите на вкладку Домен , чтобы добавить домены, или нажмите кнопку Готово , чтобы вернуться на страницу Пороговое значение фишинга & защиты .
Совет
Если системные сообщения Microsoft 365 от следующих отправителей идентифицируются как попытки олицетворения, вы можете добавить отправителей в список доверенных отправителей:
noreply@email.teams.microsoft.com
noreply@emeaemail.teams.microsoft.com
no-reply@sharepointonline.com
noreply@planner.office365.com
Вкладка Домен . Выберите Добавить домены. В открывающемся всплывающем окне Добавление доверенных доменов введите домен в поле Домен , а затем выберите домен в раскрывающемся списке. Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, выберите ее.
По завершении во всплывающем окне Добавление доверенных доменов выберите Добавить домены.
На вкладке Домен добавленные домены будут перечислены.
Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск для поиска записей на вкладке.
Чтобы добавить записи, выберите Добавить домены и повторите предыдущие шаги.
Чтобы удалить записи, выполните одно из следующих действий.
- Выберите одну или несколько записей, выбрав круглое поле проверка, которое отображается в пустой области рядом со значением домена.
- Выделите все записи одновременно, выбрав круглое поле проверка, которое отображается в пустой области рядом с заголовком столбца Домен.
Завершив работу на вкладке Домен во всплывающем окне Управление личными доменами для защиты от олицетворения , перейдите на вкладку Отправитель , чтобы добавить отправителей, или нажмите кнопку Готово , чтобы вернуться на страницу Пороговое значение фишинга & защиты .
Примечание.
Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.
Завершив работу во всплывающем окне Управление личными доменами для защиты олицетворения , выберите Готово, чтобы вернуться на страницу Пороговое значение фишинга & защиты .
Включить аналитику почтовых ящиков. Этот параметр выбран по умолчанию, поэтому рекомендуется оставить его выбранным. Чтобы отключить аналитику почтовых ящиков, снимите флажок проверка.
Включить аналитику для защиты олицетворения. Этот параметр доступен только в том случае, если выбран параметр Включить аналитику почтовых ящиков . Этот параметр позволяет аналитике почтовых ящиков принимать меры с сообщениями, которые определены как попытки олицетворения. На следующей странице необходимо указать действие для обнаружения аналитики почтовых ящиков.
Примечание.
Защита от аналитики почтовых ящиков не работает, если отправитель и получатель ранее связывались по электронной почте. Если отправитель и получатель никогда не связывался по электронной почте, сообщение можно определить как попытку олицетворения с помощью аналитики почтовых ящиков.
Чтобы включить защиту от аналитики почтовых ящиков, выберите поле проверка. Действие для обнаружения аналитики почтовых ящиков указывается на следующей странице.
Раздел Спуфинга. Используйте поле Включить проверка спуфинга интеллектуального анализа, чтобы включить или выключить подделательную аналитику. Этот параметр выбран по умолчанию, и мы рекомендуем оставить его выбранным. На следующей странице необходимо указать действие для выполнения сообщений от заблокированных подделанных отправителей.
Чтобы отключить подделывательную аналитику, очистите поле проверка.
Примечание.
Если запись MX не указывает на Microsoft 365, вам не нужно отключать спуфинга. Вместо этого вы включите расширенную фильтрацию для соединителей. Инструкции см. в статье Расширенная фильтрация для соединителей в Exchange Online.
Завершив работу на странице Пороговое значение фишинга & защиты , нажмите кнопку Далее.
На странице Действия настройте следующие параметры:
Раздел Действия с сообщениями. Настройте следующие действия:
Если сообщение обнаружено как олицетворение пользователя: этот параметр доступен только в том случае, если на предыдущей странице вы выбрали параметр Включить защиту пользователей . Выберите одно из следующих действий в раскрывающемся списке:
Не применяйте никаких действий (по умолчанию)
Перенаправление сообщения на другие адреса электронной почты
Перемещение сообщения в папки нежелательной Email получателей
Поместить сообщение в карантин. Если выбрано это действие, появится поле Применить политику карантина , где вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин защитой олицетворения пользователя. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения о политиках карантина см. в разделе Анатомия политики карантина.
Если политика карантина не выбрана, используется политика карантина по умолчанию для обнаружения олицетворения пользователя (DefaultFullAccessPolicy). При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.
Добавьте сообщение и добавьте другие адреса в строку ск.
Удаление сообщения перед его доставкой
Если сообщение обнаружено как олицетворенный домен. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить защиту доменов . Выберите одно из следующих действий в раскрывающемся списке:
Не применяйте никаких действий (по умолчанию)
Перенаправление сообщения на другие адреса электронной почты
Перемещение сообщения в папки нежелательной Email получателей
Поместить сообщение в карантин. Если выбрано это действие, появится поле Применить политику карантина , в котором вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты олицетворения домена.
Если политика карантина не выбрана, используется политика карантина по умолчанию для обнаружения олицетворения домена (DefaultFullAccessPolicy). При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.
Добавьте сообщение и добавьте другие адреса в строку ск.
Удаление сообщения перед его доставкой
Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику для защиты олицетворения . Выберите одно из следующих действий в раскрывающемся списке:
Не применяйте никаких действий (по умолчанию)
Перенаправление сообщения на другие адреса электронной почты
Перемещение сообщения в папки нежелательной Email получателей
Поместить сообщение в карантин. Если выбрать это действие, появится поле Применить политику карантина , в котором вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты аналитики почтовых ящиков.
Если политика карантина не выбрана, используется политика карантина по умолчанию для обнаружения аналитики почтовых ящиков (DefaultFullAccessPolicy). При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.
Добавьте сообщение и добавьте другие адреса в строку ск.
Удаление сообщения перед его доставкой
Соблюдайте политику записей DMARC при обнаружении сообщения как подделанного. Этот параметр выбран по умолчанию и позволяет управлять тем, что происходит с сообщениями, когда отправитель не выполняет явные проверки DMARC , а политика DMARC имеет значение
p=quarantine
илиp=reject
:Если сообщение обнаружено как подделаное, а политика DMARC задана как p=quarantine: выберите одно из следующих действий:
- Поместите сообщение в карантин: это значение по умолчанию.
- Перемещение сообщения в папки нежелательной Email получателей
Если сообщение обнаружено как подделаное, а политика DMARC задана как p=reject, выберите одно из следующих действий:
- Поместить сообщение в карантин
- Отклонить сообщение. Это значение по умолчанию.
Дополнительные сведения см. в статье Защита от подделки и политики DMARC отправителя.
Если сообщение обнаружено как подделываемое с помощью спуфинга: этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику подделок . Выберите одно из следующих действий в раскрывающемся списке для сообщений от заблокированных подделанных отправителей:
Перемещение сообщения в папки нежелательной Email получателей (по умолчанию)
Поместить сообщение в карантин. Если вы выберете это действие, появится поле Применить политику карантина , в котором вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты от подделки аналитики.
Если политика карантина не выбрана, используется политика карантина по умолчанию для обнаружения спуфинга (DefaultFullAccessPolicy). При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.
Советы по безопасности & индикаторы . Настройте следующие параметры:
- Показать совет по безопасности первого контакта. Дополнительные сведения см. в разделе Совет по безопасности первого контакта.
- Показать совет по безопасности олицетворения пользователя. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Разрешить пользователям защищать .
- Показать совет по безопасности олицетворения домена. Этот параметр доступен, только если на предыдущей странице выбран параметр Включить защиту доменов .
- Отображение олицетворения пользователя необычных символов подсказка безопасности Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить защиту пользователей или Включить защиту доменов .
- Показать (?) для не прошедших проверку подлинности отправителей для спуфинга. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику подделки . Добавляет вопросительный знак (?) на фотографию отправителя в поле От в Outlook, если сообщение не проходит проверки SPF или DKIM и сообщение не проходит DMARC или составную проверку подлинности. Этот параметр включен по умолчанию.
- Показать тег "via". Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику спуфинга . Добавляет тег с именем (chris@contoso.com через fabrikam.com) в адрес From, если он отличается от домена в подписи DKIM или адреса MAIL FROM . Этот параметр включен по умолчанию.
Чтобы включить параметр, выберите поле проверка. Чтобы отключить его, очистите поле проверка.
Завершив работу на странице Действия , нажмите кнопку Далее.
На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.
Завершив работу на странице Рецензирование , нажмите кнопку Отправить.
На странице Создание новой политики защиты от фишинга можно выбрать ссылки, чтобы просмотреть политику, просмотреть политики защиты от фишинга и узнать больше о политиках защиты от фишинга.
Завершив работу на странице Создание новой политики защиты от фишинга , нажмите кнопку Готово.
На странице Защиты от фишинга отобразится новая политика.
Используйте портал Microsoft Defender для просмотра сведений о политике защиты от фишинга
На портале Microsoft Defender перейдите к Email & Политики совместной работы>& Правила>Политики> угрозЗащита от фишинга в разделе Политики. Или, чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.
На странице Защита от фишинга в списке политик защиты от фишинга отображаются следующие свойства:
- Название
-
Состояние: значения:
- Всегда включено для политики защиты от фишинга по умолчанию.
- Включено или выключено для других политик защиты от нежелательной почты.
- Приоритет. Дополнительные сведения см. в разделе Установка приоритета настраиваемых политик защиты от нежелательной почты . Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Выберите Фильтр , чтобы отфильтровать политики по диапазону времени (дате создания) или состоянию.
Используйте поле Поиск и соответствующее значение для поиска определенных политик защиты от фишинга.
Экспорт используется для экспорта списка политик в CSV-файл.
Выберите политику, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.
Совет
Чтобы просмотреть сведения о других политиках защиты от фишинга, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Использование портала Microsoft Defender для принятия мер по борьбе с фишинговыми политиками
На портале Microsoft Defender перейдите к Email & Политики совместной работы>& Правила>Политики> угрозЗащита от фишинга в разделе Политики. Или, чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.
На странице Защита от фишинга выберите политику защиты от фишинга с помощью любого из следующих методов:
Выберите политику из списка, выбрав поле проверка рядом с именем. В раскрывающемся списке Дополнительные действия доступны следующие действия:
- Включите выбранные политики.
- Отключите выбранные политики.
- Удалите выбранные политики.
Выберите политику из списка, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Некоторые или все следующие действия доступны в открываемом всплывающем меню со сведениями:
- Измените параметры политики, выбрав Изменить в каждом разделе (пользовательские политики или политика по умолчанию).
- Включение или отключение (только пользовательские политики)
- Повышение приоритета или уменьшение приоритета (только для пользовательских политик)
- Удаление политики (только пользовательские политики)
Действия описаны в следующих подразделах.
Изменение политик защиты от фишинга с помощью портала Microsoft Defender
После выбора политики защиты от фишинга по умолчанию или настраиваемой политики, щелкнув в любом месте строки, кроме поля проверка рядом с именем, параметры политики отображаются во всплывающем всплывающем окне сведений. Выберите Изменить в каждом разделе, чтобы изменить параметры в разделе. Дополнительные сведения о параметрах см. в разделе Создание политик защиты от фишинга ранее в этой статье.
Для политики по умолчанию нельзя изменить имя политики, и нет фильтров получателей для настройки (политика применяется ко всем получателям). Но вы можете изменить все остальные параметры в политике.
Для политик защиты от фишинга с именами "Стандартная предустановленная политика безопасности " и "Строгая предустановленная политика безопасности ", связанные с предустановленными политиками безопасности, вы не можете изменить параметры политики во всплывающем меню сведений. Вместо этого выберите Просмотреть предустановленные политики безопасности во всплывающем окне сведений, чтобы перейти на страницу Предустановленные политики безопасности , https://security.microsoft.com/presetSecurityPolicies чтобы изменить предустановленные политики безопасности.
Использование портала Microsoft Defender для включения или отключения настраиваемых политик защиты от фишинга
Вы не можете отключить политику защиты от фишинга по умолчанию (она всегда включена).
Вы не можете включить или отключить политики защиты от фишинга, связанные со стандартными и строгими предустановленными политиками безопасности. Вы включаете или отключаете стандартные или строгие предустановленные политики безопасности на странице Предустановленные политики безопасности по адресу https://security.microsoft.com/presetSecurityPolicies.
После выбора включенной настраиваемой политики защиты от фишинга (значение Состояниевключено), используйте один из следующих методов, чтобы отключить ее:
- На странице Защита от фишинга выберите Дополнительные действия>Отключите выбранные политики.
- Во всплывающем окне сведений о политике выберите Отключить в верхней части всплывающего окна.
После выбора отключенной настраиваемой политики защиты от фишинга (значение Состояние — Выкл.) используйте один из следующих методов, чтобы включить ее:
- На странице Защита от фишинга выберите Дополнительные действия>Включить выбранные политики.
- Во всплывающем окне сведений о политике выберите Включить в верхней части всплывающего окна.
На странице Защита от фишинга для параметра Состояние политики теперь задано значение Включено или Выключено.
Использование портала Microsoft Defender для задания приоритета настраиваемых политик защиты от фишинга
Политики защиты от фишинга обрабатываются в том порядке, в котором они отображаются на странице Защиты от фишинга :
- Политика защиты от фишинга с именем Strict Preset Security Policy , связанная с политикой безопасности strict preset, всегда применяется первым (если включена политика строгой предустановки безопасности).
- Политика защиты от фишинга с именем Стандартная предустановленная политика безопасности , связанная со стандартной предустановленной политикой безопасности, всегда применяется далее (если включена стандартная предустановленная политика безопасности).
- Пользовательские политики защиты от фишинга применяются далее в порядке приоритета (если они включены):
- Более низкое значение приоритета указывает на более высокий приоритет (0 — самый высокий).
- По умолчанию создается новая политика с приоритетом ниже, чем самая низкая существующая пользовательская политика (первая — 0, следующая — 1 и т. д.).
- Ни одна из двух политик не может иметь одинаковое значение приоритета.
- Политика защиты от фишинга по умолчанию всегда имеет значение приоритета Наименьшее, и изменить его невозможно.
Защита от фишинга останавливается для получателя после применения первой политики (политика с наивысшим приоритетом для этого получателя). Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.
После выбора настраиваемой политики защиты от фишинга, щелкнув в любом месте строки, кроме поля проверка рядом с именем, вы можете увеличить или уменьшить приоритет политики во всплывающем меню сведений:
- Настраиваемая политика со значением приоритета 0 на странице Защита от фишинга имеет действие Уменьшить приоритет в верхней части всплывающего окна сведений.
- Настраиваемая политика с наименьшим приоритетом (наивысшее значение приоритета, например 3) содержит действие Увеличить приоритет в верхней части всплывающего окна сведений.
- Если у вас есть три или более политик, политики между приоритетом 0 и наименьшим приоритетом имеют как действия Увеличение приоритета, так и Уменьшение приоритета в верхней части всплывающего окна сведений.
Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.
На странице Защиты от фишинга порядок политики в списке соответствует обновленному значению Priority .
Использование портала Microsoft Defender для удаления пользовательских политик защиты от фишинга
Вы не можете удалить политику защиты от фишинга по умолчанию или политики защиты от фишинга с именем Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности , связанные с предустановленными политиками безопасности.
После выбора настраиваемой политики защиты от фишинга используйте один из следующих методов, чтобы удалить ее:
- На странице Защита от фишинга выберите Дополнительные действия>Удалить выбранные политики.
- Во всплывающем окне сведений о политике выберите Удалить политику в верхней части всплывающего окна.
Выберите Да в открывшемся диалоговом окне предупреждения.
На странице Защита от фишинга удаленная политика больше не указана.
Настройка политик защиты от фишинга с помощью Exchange Online PowerShell
В PowerShell основные элементы политики защиты от фишинга:
- Политика защиты от фишинга: указывает защиту от фишинга для включения или отключения, действия, применяемые к этим защитам, и другие параметры.
- Правило защиты от фишинга: указывает приоритет и фильтры получателей (к которым применяется политика) для связанной политики защиты от фишинга.
Разница между этими двумя элементами не очевидна при управлении политиками защиты от фишинга на портале Microsoft Defender:
- При создании политики на портале Defender вы фактически создаете правило защиты от фишинга и связанную политику защиты от фишинга одновременно, используя одно и то же имя для обоих.
- При изменении политики на портале Defender параметры, связанные с именем, приоритетом, включенным или отключенным фильтром и фильтрами получателей, изменяют правило защиты от фишинга. Все остальные параметры изменяют связанную политику защиты от фишинга.
- При удалении политики на портале Defender одновременно удаляются правило защиты от фишинга и связанная политика защиты от фишинга.
В Exchange Online PowerShell разница между политиками защиты от фишинга и правилами защиты от фишинга очевидна. Вы управляете политиками защиты от фишинга с помощью командлетов *-AntiPhishPolicy , а правила защиты от фишинга — с помощью командлетов *-AntiPhishRule .
- В PowerShell сначала создается политика защиты от фишинга, а затем — правило защиты от фишинга, которое определяет связанную политику, к которой применяется правило.
- В PowerShell параметры политики защиты от фишинга и правила защиты от фишинга изменяются отдельно.
- При удалении политики защиты от фишинга из PowerShell соответствующее правило защиты от фишинга не удаляется автоматически, и наоборот.
Создание политик защиты от фишинга с помощью PowerShell
Создание политики защиты от фишинга в PowerShell состоит из двух этапов:
- Создайте политику защиты от фишинга.
- Создайте правило защиты от фишинга, указывающее политику защиты от фишинга, к которому применяется правило.
Примечания.
- Вы можете создать новое правило защиты от фишинга и назначить ему существующую политику защиты от фишинга без связи. Правило защиты от фишинга не может быть связано с несколькими политиками защиты от фишинга.
- Вы можете настроить следующие параметры для новых политик защиты от фишинга в PowerShell, которые недоступны на портале Microsoft Defender до создания политики:
- Создайте новую политику как отключенную (включено
$false
в командлете New-AntiPhishRule ). - Задайте приоритет политики во время создания (номер> приоритета<) в командлете New-AntiPhishRule.
- Создайте новую политику как отключенную (включено
- Новая политика защиты от фишинга, созданная в PowerShell, не отображается на портале Microsoft Defender, пока вы не назначите ее правилу защиты от фишинга.
Шаг 1. Создание политики защиты от фишинга с помощью PowerShell
Чтобы создать политику защиты от фишинга, используйте следующий синтаксис:
New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>
В этом примере создается политика защиты от фишинга с именем Research Quarantine со следующими параметрами:
- Политика включена (мы не используем параметр Enabled , а значение по умолчанию —
$true
). - Описание: Политика отдела исследований.
- Включает защиту доменов организации для всех принятых доменов и защиту целевых доменов для fabrikam.com.
- Указывает карантин в качестве действия для обнаружения олицетворения домена и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр TargetedDomainQuarantineTag ).
- Указывает Mai Fujito (mfujito@fabrikam.com) в качестве пользователя для защиты от олицетворения.
- Указывает карантин в качестве действия для обнаружения олицетворения пользователя и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр TargetedUserQuarantineTag ).
- Включает аналитику почтовых ящиков (EnableMailboxIntelligence), позволяет защите аналитики почтовых ящиков принимать меры с сообщениями (EnableMailboxIntelligenceProtection), указывает карантин в качестве действия для обнаруженных сообщений и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр MailboxIntelligenceQuarantineTag ).
- Изменяет действие по умолчанию для обнаружения спуфинга на Карантин и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр SpoofQuarantineTag ).
- По умолчанию выполняется проверка
p=quarantine
иp=reject
в политиках DMARC отправителя (мы не используем параметр HonorDmarcPolicy , а значение по умолчанию —$true
).- Сообщения, которые не выполняют DMARC, где политика DMARC отправителя находится
p=quarantine
в карантине (мы не используем параметр DmarcQuarantineAction , а значение по умолчанию — Карантин). - Сообщения, которые завершаются ошибкой DMARC с политикой
p=reject
DMARC отправителя, отклоняются (мы не используем параметр DmarcRejectAction , а значение по умолчанию — Отклонить).
- Сообщения, которые не выполняют DMARC, где политика DMARC отправителя находится
- Включает все советы по безопасности.
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction -AuthenticationFailAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true
Подробные сведения о синтаксисе и параметрах см. в разделе New-AntiPhishPolicy.
Совет
Подробные инструкции по указанию политик карантина для использования в политике защиты от фишинга см . в статье Использование PowerShell для указания политики карантина в политиках защиты от фишинга.
Шаг 2. Создание правила защиты от фишинга с помощью PowerShell
Чтобы создать правило защиты от фишинга, используйте следующий синтаксис:
New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
В этом примере создается правило защиты от фишинга с именем Research Department со следующими условиями:
- Это правило связано с политикой защиты от фишинга с именем Research Quarantine.
- Правило применяется к членам группы "Research Department".
- Так как мы не используем параметр Priority , используется приоритет по умолчанию.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"
Подробные сведения о синтаксисе и параметрах см. в разделе New-AntiPhishRule.
Использование PowerShell для просмотра политик защиты от фишинга
Чтобы просмотреть существующие политики защиты от фишинга, используйте следующий синтаксис:
Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
В этом примере возвращается сводный список всех политик защиты от фишинга вместе с указанными свойствами.
Get-AntiPhishPolicy | Format-Table Name,IsDefault
В этом примере возвращаются все значения свойств для политики защиты от фишинга с именем Executives.
Get-AntiPhishPolicy -Identity "Executives"
Подробные сведения о синтаксисе и параметрах см. в разделе Get-AntiPhishPolicy.
Использование PowerShell для просмотра правил защиты от фишинга
Чтобы просмотреть существующие правила защиты от фишинга, используйте следующий синтаксис:
Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]
В этом примере возвращается сводный список всех правил защиты от фишинга вместе с указанными свойствами.
Get-AntiPhishRule | Format-Table Name,Priority,State
Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:
Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority
В этом примере возвращаются все значения свойств для правила защиты от фишинга с именем Contoso Executives.
Get-AntiPhishRule -Identity "Contoso Executives"
Подробные сведения о синтаксисе и параметрах см. в разделе Get-AntiPhishRule.
Изменение политик защиты от фишинга с помощью PowerShell
Помимо указанных ниже элементов, при изменении политики защиты от фишинга в PowerShell доступны те же параметры, что и при создании политики, как описано в разделе Шаг 1. Использование PowerShell для создания политики защиты от фишинга ранее в этой статье.
Параметр MakeDefault , который преобразует указанную политику в политику по умолчанию (применяется ко всем, всегда самый низкий приоритет, и вы не можете удалить его), доступен только при изменении политики защиты от фишинга в PowerShell.
Вы не можете переименовать политику защиты от фишинга (командлет Set-AntiPhishPolicy не имеет параметра Name ). При переименовании политики защиты от фишинга на портале Microsoft Defender вы только переименоваете правило защиты от фишинга.
Чтобы изменить политику защиты от фишинга, используйте следующий синтаксис:
Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>
Подробные сведения о синтаксисе и параметрах см. в разделе Set-AntiPhishPolicy.
Совет
Подробные инструкции по указанию политик карантина для использования в политике защиты от фишинга см . в статье Использование PowerShell для указания политики карантина в политиках защиты от фишинга.
Изменение правил защиты от фишинга с помощью PowerShell
Единственным параметром, который недоступен при изменении правила защиты от фишинга в PowerShell, является параметр Enabled , позволяющий создать отключенное правило. Сведения о включении или отключении существующих правил защиты от фишинга см. в следующем разделе.
В противном случае дополнительные параметры не будут доступны при изменении правила защиты от фишинга в PowerShell. Те же параметры доступны при создании правила, как описано в разделе Шаг 2. Использование PowerShell для создания правила защиты от фишинга ранее в этой статье.
Чтобы изменить правило защиты от фишинга, используйте следующий синтаксис:
Set-AntiPhishRule -Identity "<RuleName>" <Settings>
Подробные сведения о синтаксисе и параметрах см. в разделе Set-AntiPhishRule.
Включение или отключение правил защиты от фишинга с помощью PowerShell
Включение или отключение правила защиты от фишинга в PowerShell включает или отключает всю политику защиты от фишинга (правило защиты от фишинга и назначенную политику защиты от фишинга). Вы не можете включить или отключить политику защиты от фишинга по умолчанию (она всегда применяется ко всем получателям).
Чтобы включить или отключить правило защиты от фишинга в PowerShell, используйте следующий синтаксис:
<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"
В этом примере отключается правило защиты от фишинга с именем Marketing Department.
Disable-AntiPhishRule -Identity "Marketing Department"
В этом примере включается то же правило.
Enable-AntiPhishRule -Identity "Marketing Department"
Подробные сведения о синтаксисе и параметрах см. в разделах Enable-AntiPhishRule и Disable-AntiPhishRule.
Использование PowerShell для задания приоритета правил защиты от фишинга
Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.
Чтобы задать приоритет правила защиты от фишинга в PowerShell, используйте следующий синтаксис:
Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>
В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).
Set-AntiPhishRule -Identity "Marketing Department" -Priority 2
Примечания.
- Чтобы задать приоритет нового правила при его создании, используйте параметр Priority в командлете New-AntiPhishRule .
- Политика защиты от фишинга по умолчанию не имеет соответствующего правила защиты от фишинга и всегда имеет неизменяемое значение приоритета Наименьшее.
Удаление политик защиты от фишинга с помощью PowerShell
При использовании PowerShell для удаления политики защиты от фишинга соответствующее правило защиты от фишинга не удаляется.
Чтобы удалить политику защиты от фишинга в PowerShell, используйте следующий синтаксис:
Remove-AntiPhishPolicy -Identity "<PolicyName>"
В этом примере удаляется политика защиты от фишинга с именем Marketing Department.
Remove-AntiPhishPolicy -Identity "Marketing Department"
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AntiPhishPolicy.
Использование PowerShell для удаления правил защиты от фишинга
При использовании PowerShell для удаления правила защиты от фишинга соответствующая политика защиты от фишинга не удаляется.
Чтобы удалить правило защиты от фишинга в PowerShell, используйте следующий синтаксис:
Remove-AntiPhishRule -Identity "<PolicyName>"
В этом примере удаляется правило защиты от фишинга с именем Marketing Department.
Remove-AntiPhishRule -Identity "Marketing Department"
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AntiPhishRule.
Как проверить, что эти процедуры выполнены?
Чтобы убедиться, что политики защиты от фишинга успешно настроены в Defender для Office 365, выполните одно из следующих действий.
На странице Защита от фишинга на портале Microsoft Defender по адресу https://security.microsoft.com/antiphishingпроверьте список политик, их значения состояния и приоритета. Чтобы просмотреть дополнительные сведения, выберите политику из списка, щелкнув в любом месте строки, кроме поля проверка рядом с именем и просмотрев сведения во всплывающем меню.
В Exchange Online PowerShell замените <Name> именем политики или правила и выполните следующую команду и проверьте параметры:
Get-AntiPhishPolicy -Identity "<Name>"
Get-AntiPhishRule -Identity "<Name>"