Настройка политик защиты от фишинга в Microsoft Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

• Microsoft Defender для Office 365 (план 1 и план 2)
• Microsoft 365 Defender

Политики защиты от фишинга в Microsoft Defender для Office 365 помогают защитить организацию от вредоносных фишинговых атак на основе олицетворения и других типов фишинговых атак. Дополнительные сведения о различиях между политиками защиты от фишинга в Exchange Online Protection (EOP) и политиками защиты от фишинга в Microsoft Defender для Office 365 см. в разделе Защита от фишинга.

Администраторы могут просматривать, изменять и настраивать (но не удалять) политику защиты от фишинга по умолчанию. Для повышения детализации можно также создать настраиваемые политики защиты от фишинга, которые применяются к определенным пользователям, группам или доменам в вашей организации. Настраиваемые политики всегда имеют приоритет перед политикой по умолчанию, но вы можете изменить приоритеты (порядок применения) своих настраиваемых политик.

Политики защиты от фишинга можно настроить в Defender для Office 365 на портале Microsoft 365 Defender или в Exchange Online PowerShell.

Сведения о настройке более ограниченных политик защиты от фишинга, доступных в Exchange Online Protection (то есть организаций без Defender для Office 365), см. в статье Настройка политик защиты от фишинга в EOP.

Ниже перечислены основные элементы политики защиты от фишинга.

• Политика защиты от фишинга: указывает защиту от фишинга для включения или отключения, а также действия для применения параметров.
• Правило защиты от фишинга: указывает приоритет и фильтры получателей (к которым применяется политика) для политики защиты от фишинга.

Разница между этими двумя элементами не очевидна при управлении политиками защиты от фишинга на портале Microsoft 365 Defender:

• При создании политики вы фактически создаете правило защиты от фишинга и связанную политику защиты от фишинга одновременно, используя одно и то же имя для обоих.
• При изменении политики параметры, связанные с именем, приоритетом, включенным или отключенным, а также фильтрами получателей, изменяют правило защиты от фишинга. Все остальные параметры изменяют связанную политику защиты от фишинга.
• При удалении политики правило защиты от фишинга и связанная политика защиты от фишинга удаляются.

В Exchange Online PowerShell вы управляете политикой и правилом отдельно. Дополнительные сведения см. в разделе Использование Exchange Online PowerShell для настройки политик защиты от фишинга далее в этой статье.

Каждая организация Defender для Office 365 имеет встроенную политику защиты от фишинга с именем Office 365 AntiPhish Default, которая имеет следующие свойства:

• Политика применяется ко всем получателям в организации, даже если с ней не связано правило защиты от фишинга (фильтры получателей).
• Для политики задано специальное значение приоритета Самый низкий, которое невозможно изменить (эта политика всегда применяется последней). Все созданные специальные политики всегда имеют более высокий приоритет.
• Эта политика является стандартной (для свойства IsDefault задано значение True), и удалить стандартную политику невозможно.

Чтобы повысить эффективность защиты от фишинга в Defender для Office 365, можно создать пользовательские политики защиты от фишинга с более строгими параметрами, применяемыми к конкретным пользователям или группам пользователей.

Что нужно знать перед началом работы

• Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft 365 Defender управление доступом на основе ролей (RBAC):конфигурация или безопасность (управление) или конфигурация и безопасность (чтение). В настоящее время для этого параметра требуется членство в программе предварительной версии Microsoft 365 Defender.
  • Exchange Online RBAC:
    • Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
  • Azure AD RBAC: членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

• Рекомендуемые параметры для политик защиты от фишинга в Defender для Office 365 см. в разделе Политика защиты от фишинга в параметрах Defender для Office 365.

• До 30 минут до применения новой или обновленной политики.

• Сведения о том, где применяются политики защиты от фишинга в конвейере фильтрации, см. в разделе Порядок и приоритет защиты электронной почты.

Создание политик защиты от фишинга с помощью портала Microsoft 365 Defender

При создании настраиваемой политики защиты от фишинга на портале Microsoft 365 Defender одновременно создается правило защиты от фишинга и связанная политика защиты от фишинга, используя одно и то же имя для обоих.

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы &>& Email Политики>защиты> отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

2. На странице Защита от фишинга щелкните Создать.

3. Откроется мастер политик. На странице Имя политики настройте следующие параметры:

   • Имя. Укажите уникальное, описательное имя политики.
   • Описание. По желанию введите описание политики.

   По завершении нажмите кнопку Далее.

4. На открывшейся странице Пользователи, группы и домены определите внутренних получателей, к которым применяется политика (условия получателей):

   • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
   • Группы.
     • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
     • Указанные Группы Microsoft 365.
   • Домены: все получатели в указанных обслуживаемых доменах в вашей организации.

   Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

   Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

   Указать несколько значений в одном условии можно с помощью оператора OR (например, <получатель1> or <получатель2>). Между разными условиями используется оператор AND (например, <получатель1> and <участник группы 1>).

   • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения. Настройки и поведение такие же, как в разделе условий.

   Важно!

   Несколько различных типов условий или исключений не являются аддитивными; они являются инклюзивными. Политика применяется только к тем получателям, которые соответствуют всем указанным фильтрам получателей. Например, вы настраиваете условие фильтра получателя в политике со следующими значениями:

   • Пользователей: romain@contoso.com
   • Группы: руководители

   Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика к нему не применяется.

   Аналогичным образом, если вы используете тот же фильтр получателей в качестве исключения для политики, политика не применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика все-таки применяется к нему.

   По завершении нажмите кнопку Далее.

5. На появиющейся странице Защиты от фишинга с пороговым значением & настройте следующие параметры:

   • Пороговое значение фишинга электронной почты. Используйте ползунок, чтобы выбрать одно из следующих значений:

     • 1 — стандартный (это значение по умолчанию).
     • 2 — агрессивный
     • 3 — более агрессивный
     • 4 — наиболее агрессивный

     Дополнительные сведения см. в разделе Расширенные пороговые значения фишинга в политиках защиты от фишинга в Microsoft Defender для Office 365.

   • Олицетворение. Эти параметры являются условием для политики, которая определяет конкретных отправителей для поиска (по отдельности или по домену) в адресе от входящих сообщений. Дополнительные сведения см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.

     • Включение защиты пользователей. Значение по умолчанию выключено (не выбрано). Чтобы включить его, установите флажок и щелкните появиющуюся ссылку Управление (nn) отправителями .

       Во всплывающем окне Управление отправителями для защиты олицетворения выполните следующие действия.

       • Внутренние отправители. Щелкните Выберите внутренний. Во всплывающем окне Добавление внутренних отправителей щелкните поле и выберите в списке внутреннего пользователя. Список можно отфильтровать, введя пользователя, а затем выбрав пользователя из результатов. Можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах отображается соответствующее отображаемое имя.

         Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

         По завершении нажмите кнопку Добавить.

       • Внешние отправители. Щелкните Выберите внешний. В появившемся всплывающем окне Добавление внешних отправителей введите отображаемое имя в поле Добавить имя и адрес электронной почты в поле Добавить неуявный адрес электронной почты , а затем нажмите кнопку Добавить.

         Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

         По завершении нажмите кнопку Добавить.

       Примечание.

       Вы можете указать не более 350 пользователей для защиты от олицетворения пользователей в каждой политике защиты от фишинга.

       Защита олицетворения пользователя не работает, если отправитель и получатель ранее сообщили по электронной почте. Если отправитель и получатель никогда не связывался по электронной почте, сообщение можно определить как попытку олицетворения.

       Если вы попытаетесь добавить пользователя в защиту олицетворения пользователя, если этот адрес электронной почты уже указан для защиты от олицетворения пользователя в другой политике защиты от фишинга, может появиться сообщение об ошибке "Адрес электронной почты уже существует". Эта ошибка возникает только на портале Defender. Вы не получите ошибку, если используете соответствующий параметр TargetedUsersToProtect в командлетах New-AntiPhishPolicy или Set-AntiPhishPolicy в Exchange Online PowerShell.

       Вернувшись к всплывающему элементу Управление отправителями для олицетворения , вы можете удалить записи, выбрав одну или несколько записей из списка. Вы можете искать записи с помощью Поле поиска.

       После выбора хотя бы одной записи Появится значок Удалить выбранных пользователей, который можно использовать для удаления выбранных записей.

       По завершении нажмите кнопку Готово.

     • Включить защиту доменов. Значение по умолчанию выключено (не выбрано). Чтобы включить его, установите флажок и настройте один или оба из указанных ниже параметров:

       • Включите домены, которые я владею. Чтобы включить этот параметр, установите флажок. Чтобы просмотреть принадлежащие вам домены, щелкните Просмотреть мои домены.

       • Включить личные домены. Чтобы включить этот параметр, установите флажок и щелкните ссылку Управление (nn) личными доменами . Во всплывающем окне Управление личными доменами для защиты олицетворения щелкните Добавление доменов.

         Во всплывающем окне Добавление личных доменов щелкните поле Домен , введите значение, а затем нажмите клавишу ВВОД или выберите значение, отображаемое под полем. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

         По завершении нажмите кнопку Добавить домены.

         Примечание.

         Вы можете указать не более 50 личных доменов для защиты от олицетворения домена в каждой политике защиты от фишинга.

       Во всплывающем меню Управление личными доменами для олицетворения можно удалить записи, выбрав одну или несколько записей в списке. Вы можете искать записи с помощью Поле поиска.

       После выбора хотя бы одной записи Появится значок удаления, который можно использовать для удаления выбранных записей.

   • Добавление доверенных отправителей и доменов. Укажите исключения защиты олицетворения для политики, щелкнув Управление (nn) доверенными отправителями и доменами. Во всплывающем окне Управление личными доменами для защиты олицетворения настройте следующие параметры:

     • Отправители. Убедитесь, что выбрана вкладка Отправитель, и нажмите кнопку Во всплывающем окне Добавление доверенных отправителей введите адрес электронной почты в поле и нажмите кнопку Добавить. Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, щелкните для записи.

       Когда вы закончите, нажмите Добавить.

     • Домены. Перейдите на вкладку Домен и щелкните

       Во всплывающем окне Добавление доверенных доменов щелкните поле Домен , введите значение, а затем нажмите клавишу ВВОД или выберите значение, отображаемое под полем. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

       Когда вы закончите, нажмите Добавить.

     Примечание.

     Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.

     Если системные сообщения Microsoft 365 от следующих отправителей идентифицируются как попытки олицетворения, вы можете добавить отправителей в список доверенных отправителей:

     • noreply@email.teams.microsoft.com
     • noreply@emeaemail.teams.microsoft.com
     • no-reply@sharepointonline.com

     Во всплывающем меню Управление личными доменами для олицетворения можно удалить записи на вкладках Отправитель и Домен , выбрав одну или несколько записей в списке. Вы можете искать записи с помощью Поле поиска.

     После выбора хотя бы одной записи появится значок Удалить , который можно использовать для удаления выбранных записей.

     По завершении нажмите кнопку Готово.

     Примечание.

     Максимальное количество записей отправителя и домена — 1024.

   • Включить аналитику почтовых ящиков. Значение по умолчанию включено (выбрано), и рекомендуется оставить его включено. Чтобы отключить его, снимите флажок.

     • Включить защиту олицетворения на основе аналитики. Этот параметр доступен только в том случае, если включен параметр Включить аналитику почтовых ящиков (выбрано). Этот параметр позволяет аналитике почтовых ящиков принимать меры с сообщениями, которые определены как попытки олицетворения. Вы указываете действие, выполняемое в параметре Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя на следующей странице.

       Рекомендуется включить этот параметр, установив флажок. Чтобы отключить этот параметр, снимите флажок.

       Примечание.

       Защита аналитики почтовых ящиков не работает, если отправитель и получатель ранее связывались по электронной почте. Если отправитель и получатель никогда не связывался по электронной почте, сообщение будет идентифицироваться как попытка олицетворения с помощью аналитики почтовых ящиков.

   • Спуфинга. В этом разделе используйте флажок Включить подделательную логику , чтобы включить или отключить подделывательную аналитику. Значение по умолчанию включено (выбрано), и рекомендуется оставить его не включено. Вы указываете действие для выполнения сообщений от заблокированных спуфинированных отправителей в параметре Если сообщение обнаружено как подделаное на следующей странице.

     Чтобы отключить подделывательную аналитику, снимите флажок.

     Примечание.

     Вам не нужно отключать защиту от спуфингов, если запись MX не указывает на Microsoft 365; Вместо этого вы включите расширенную фильтрацию для соединителей. Инструкции см. в статье Расширенная фильтрация для соединителей в Exchange Online.

   По завершении нажмите кнопку Далее.

6. В открывшемся окне Действия настройте следующие параметры:

   • Действия с сообщениями. Настройте следующие действия в этом разделе:

     • Если сообщение обнаружено как олицетворенный пользователь. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить защиту пользователей . Выберите одно из следующих действий в раскрывающемся списке для сообщений, где отправитель является одним из защищенных пользователей, указанных на предыдущей странице:

       • Не применяйте никаких действий

       • Перенаправление сообщения на другие адреса электронной почты

       • Перемещение сообщения в папки нежелательной Email получателей

       • Поместить сообщение в карантин. Если выбрано это действие, появится поле Применить политику карантина , где вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин защитой олицетворения пользователя. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в статье Политики карантина.

         Пустое значение Применить политику карантина означает, что используется политика карантина по умолчанию (DefaultFullAccessPolicy для обнаружения олицетворения пользователя). При последующем изменении политики защиты от фишинга или просмотре параметров отображается имя политики карантина по умолчанию.

       • Добавьте сообщение и добавьте другие адреса в строку ск.

       • Удаление сообщения перед его доставкой

     • Если сообщение обнаружено как олицетворенный домен. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить защиту доменов . Выберите одно из следующих действий в раскрывающемся списке для сообщений, где адрес электронной почты отправителя находится в одном из защищенных доменов, указанных на предыдущей странице:

       • Не применяйте никаких действий

       • Перенаправление сообщения на другие адреса электронной почты

       • Перемещение сообщения в папки нежелательной Email получателей

       • Поместить сообщение в карантин. Если выбрано это действие, появится поле Применить политику карантина , в котором вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты олицетворения домена.

         Пустое значение Применить политику карантина означает, что используется политика карантина по умолчанию (DefaultFullAccessPolicy для обнаружения олицетворения домена). При последующем изменении политики защиты от фишинга или просмотре параметров отображается имя политики карантина по умолчанию.

       • Добавьте сообщение и добавьте другие адреса в строку ск.

       • Удаление сообщения перед его доставкой

     • Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику для защиты олицетворения . Выберите одно из следующих действий в раскрывающемся списке для сообщений, которые были определены как попытки олицетворения с помощью аналитики почтовых ящиков:

       • Не применяйте никаких действий

       • Перенаправление сообщения на другие адреса электронной почты

       • Перемещение сообщения в папки нежелательной Email получателей

       • Поместить сообщение в карантин. Если вы выберете это действие, появится поле Применить политику карантина , где вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты аналитики почтовых ящиков. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в статье Политики карантина.

         Пустое значение Применить политику карантина означает, что используется политика карантина по умолчанию (DefaultFullAccessPolicy для обнаружения аналитики почтовых ящиков). При последующем изменении политики защиты от фишинга или просмотре параметров отображается имя политики карантина по умолчанию.

       • Добавьте сообщение и добавьте другие адреса в строку ск.

       • Удаление сообщения перед его доставкой

     • Если сообщение обнаружено как спуфинга: этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику подделок . Выберите одно из следующих действий в раскрывающемся списке для сообщений от заблокированных подделанных отправителей:

       • Перемещение сообщения в папки нежелательной Email получателей

       • Поместить сообщение в карантин. Если выбрано это действие, появится поле Применить политику карантина , в котором вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты от подделки аналитики. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в статье Политики карантина.

         Пустое значение Применить политику карантина означает, что используется политика карантина по умолчанию (DefaultFullAccessPolicy для обнаружения спуфинга). При последующем изменении политики защиты от фишинга или просмотре параметров отображается имя политики карантина по умолчанию.

   • Индикаторы советов по & безопасности. Настройте следующие параметры:

     • Показать совет по безопасности первого контакта. Дополнительные сведения см. в разделе Совет по безопасности первого контакта.
     • Показать совет по безопасности олицетворения пользователя. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Разрешить пользователям защищать .
     • Показать совет по безопасности олицетворения домена. Этот параметр доступен, только если на предыдущей странице выбран параметр Включить защиту доменов .
     • Отображение олицетворения пользователя необычных символов подсказка безопасности Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить защиту пользователей или Включить защиту доменов .
     • Показать (?) для не прошедших проверку подлинности отправителей для спуфинга. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику подделки . Добавляет вопросительный знак (?) на фотографию отправителя в поле От в Outlook, если сообщение не проходит проверки SPF или DKIM и сообщение не проходит DMARC или составную проверку подлинности.
     • Показать тег "via". Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику спуфинга . Добавляет тег via (chris@contoso.com через fabrikam.com) к адресу From, если он отличается от домена в подписи DKIM или адреса MAIL FROM . Значение по умолчанию включено (выбрано). Чтобы отключить его, снимите флажок.

     Чтобы включить параметр, установите флажок. Чтобы отключить его, снимите флажок.

   По завершении нажмите кнопку Далее.

7. На странице Просмотр просмотрите параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете щелкнуть Назад или выбрать определенную страницу в мастере.

   По завершении нажмите Отправить.

8. На странице подтверждения, которая откроется, нажмите кнопку Готово.

Используйте портал Microsoft 365 Defender для просмотра политик защиты от фишинга

1. На портале Microsoft 365 Defender перейдите к Email &Политики &совместной работы > Политики >Политики> Защитыот фишинга в разделе Политики.

2. На странице Защита от фишинга в списке политик защиты от фишинга отображаются следующие свойства:

   • Имя
   • Состояние
   • Приоритет
   • Дата последнего изменения

3. При выборе политики, щелкнув имя, параметры политики отображаются во всплывающем элементе.

Изменение политик защиты от фишинга с помощью портала Microsoft 365 Defender

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы &>& Email Политики>защиты> отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

2. На странице Защита от фишинга выберите политику из списка, щелкнув имя.

3. Параметры политики будут показаны во всплывающем окне. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Дополнительные сведения о параметрах см. в разделе Создание политик защиты от фишинга с помощью портала Microsoft 365 Defender выше в этой статье.

   Для политики защиты от фишинга по умолчанию раздел Пользователи, группы и домены недоступен (политика применяется ко всем пользователям), и вы не можете переименовать политику.

Чтобы включить или отключить политику или установить порядок приоритета политики, см. следующие разделы.

Включение или отключение настраиваемых политик защиты от фишинга

Вы не можете отключить политику защиты от фишинга по умолчанию.

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы &>& Email Политики>защиты> отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

2. На странице Защита от фишинга выберите пользовательскую политику из списка, щелкнув имя.

3. Появится всплывающее окно со сведениями о политике. В верхней его части вы увидите одно из следующих значений:

   • Политика отключена. Чтобы включить политику, щелкните Включите параметр .
   • Политика включена: чтобы отключить политику, щелкните Выключите.

4. В диалоговом окне подтверждения нажмите кнопку Включить или Отключить.

5. Во всплывающем окне сведений о политике нажмите Закрыть.

Когда вы вернетесь на главную страницу политики, значение параметра Состояние этой политики будет Включена или Выключена.

Установка приоритета настраиваемых политик защиты от фишинга

По умолчанию политикам защиты от фишинга присваивается приоритет, основанный на порядке их создания (новые политики имеют более низкий приоритет, чем старые политики). Чем ниже значение, тем выше приоритет политики (0 — наивысший приоритет), а порядок обработки политик зависит от их приоритетов (политики с высоким приоритетом обрабатываются раньше, чем политики с низким приоритетом). Никакие две политики не могут иметь одинаковый приоритет, и обработка политики прекращается после применения первой политики.

Чтобы изменить приоритет политики, нажмите кнопку Увеличить приоритет или Уменьшить приоритет в свойствах политики (вы не можете напрямую изменить числовое значение параметра Приоритет на портале Microsoft 365 Defender). Изменение приоритета политики имеет смысл, только если у вас несколько политик.

Примечания.

• На портале Microsoft 365 Defender вы можете изменить приоритет политики защиты от фишинга только после ее создания. В PowerShell можно переопределить приоритет по умолчанию при создании правила защиты от фишинга (которое может повлиять на приоритет существующих правил).
• Политики защиты от фишинга обрабатываются в том порядке, в котором они отображаются (первая политика имеет значение Приоритет 0). Политика защиты от фишинга по умолчанию имеет значение приоритета Наименьшее, и изменить его невозможно.

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы &>& Email Политики>защиты> отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

2. На странице Защита от фишинга выберите пользовательскую политику из списка, щелкнув имя.

3. Появится всплывающее окно со сведениями о политике. В верхней его части вы увидите одно из следующих значений: Увеличить приоритет или Уменьшить приоритет в зависимости от текущего значения приоритета и количества настраиваемых политик:

   • В политике со значением приоритета0 доступен только параметр Уменьшить приоритет .
   • Для политики с наименьшим значением приоритета (например, 3) доступен только параметр Увеличить приоритет .
   • Если у вас есть три или более политик, для политик между значениями наивысшего и наименьшего приоритета доступны параметры Увеличение приоритета и Уменьшение приоритета .

   Щелкните Увеличить приоритет или уменьшить приоритет, чтобы изменить значение Приоритета.

4. Закончив, нажмите Закрыть во всплывающем окне сведений о политике.

Использование портала Microsoft 365 Defender для удаления настраиваемых политик защиты от фишинга

При использовании портала Microsoft 365 Defender для удаления настраиваемой политики защиты от фишинга правило защиты от фишинга и соответствующая политика защиты от фишинга удаляются. Вы не можете удалить политику защиты от фишинга по умолчанию.

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы &>& Email Политики>защиты> отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

2. На странице Защита от фишинга выберите пользовательскую политику из списка, щелкнув имя политики.

3. В верхней части всплывающего окна сведений о политике щелкните Дополнительные действия>".

4. В диалоговом окне подтверждения нажмите Да.

Настройка политик защиты от фишинга с помощью Exchange Online PowerShell

Как упоминалось ранее, политика защиты от нежелательной почты состоит из политики защиты от фишинга и правила защиты от фишинга.

В Exchange Online PowerShell разница между политиками защиты от фишинга и правилами защиты от фишинга очевидна. Вы управляете политиками защиты от фишинга с помощью командлетов *-AntiPhishPolicy , а правила защиты от фишинга — с помощью командлетов *-AntiPhishRule .

• В PowerShell сначала создается политика защиты от фишинга, а затем — правило защиты от фишинга, которое определяет политику, к которому применяется правило.
• В PowerShell параметры политики защиты от фишинга и правила защиты от фишинга изменяются отдельно.
• При удалении политики защиты от фишинга из PowerShell соответствующее правило защиты от фишинга не удаляется автоматически, и наоборот.

Создание политик защиты от фишинга с помощью PowerShell

Создание политики защиты от фишинга в PowerShell состоит из двух этапов:

1. Создайте политику защиты от фишинга.
2. Создайте правило защиты от фишинга, указывающее политику защиты от фишинга, к которому применяется правило.

Примечания.

• Вы можете создать новое правило защиты от фишинга и назначить ему существующую политику защиты от фишинга без связи. Правило защиты от фишинга не может быть связано с несколькими политиками защиты от фишинга.
• Вы можете настроить следующие параметры для новых политик защиты от фишинга в PowerShell, которые недоступны на портале Microsoft 365 Defender до создания политики:
  • Создайте новую политику как отключенную (включено$false в командлете New-AntiPhishRule ).
  • Задайте приоритет политики во время создания (номер> приоритета<) в командлете New-AntiPhishRule.
• Новая политика защиты от фишинга, созданная в PowerShell, не отображается на портале Microsoft 365 Defender, пока вы не назначите ее правилу защиты от фишинга.

Шаг 1. Создание политики защиты от фишинга с помощью PowerShell

Чтобы создать политику защиты от фишинга, используйте следующий синтаксис:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

В этом примере создается политика защиты от фишинга с именем Research Quarantine со следующими параметрами:

• Политика включена (мы не используем параметр Enabled , а значение по умолчанию — $true).
• Описание: Политика отдела исследований.
• Изменяет действие по умолчанию для обнаружения спуфинга на Карантин и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр SpoofQuarantineTag ).
• Включает защиту доменов организации для всех принятых доменов и защиту целевых доменов для fabrikam.com.
• Указывает карантин в качестве действия для обнаружения олицетворения домена и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр TargetedDomainQuarantineTag ).
• Указывает Mai Fujito (mfujito@fabrikam.com) в качестве пользователя для защиты от олицетворения.
• Указывает карантин в качестве действия для обнаружения олицетворения пользователя и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр TargetedUserQuarantineTag ).
• Включает аналитику почтовых ящиков (EnableMailboxIntelligence), позволяет защите аналитики почтовых ящиков принимать меры с сообщениями (EnableMailboxIntelligenceProtection), указывает карантин в качестве действия для обнаруженных сообщений и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр MailboxIntelligenceQuarantineTag ).
• Включает все советы по безопасности.

New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Подробные сведения о синтаксисе и параметрах см. в разделе New-AntiPhishPolicy.

Примечание.

Подробные инструкции по указанию политик карантина для использования в политике защиты от фишинга см . в статье Использование PowerShell для указания политики карантина в политиках защиты от фишинга.

Шаг 2. Создание правила защиты от фишинга с помощью PowerShell

Чтобы создать правило защиты от фишинга, используйте следующий синтаксис:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

В этом примере создается правило защиты от фишинга с именем Research Department со следующими условиями:

• Правило связано с политикой защиты от фишинга с именем Research Quarantine.
• Правило применяется к членам группы "Research Department".
• Так как мы не используем параметр Priority , используется приоритет по умолчанию.

New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Подробные сведения о синтаксисе и параметрах см. в разделе New-AntiPhishRule.

Использование PowerShell для просмотра политик защиты от фишинга

Чтобы просмотреть существующие политики защиты от фишинга, используйте следующий синтаксис:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

В этом примере возвращается сводный список всех политик защиты от фишинга вместе с указанными свойствами.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

В этом примере возвращаются все значения свойств для политики защиты от фишинга с именем Executives.

Get-AntiPhishPolicy -Identity "Executives"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-AntiPhishPolicy.

Использование PowerShell для просмотра правил защиты от фишинга

Чтобы просмотреть существующие правила защиты от фишинга, используйте следующий синтаксис:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

В этом примере возвращается сводный список всех правил защиты от фишинга вместе с указанными свойствами.

Get-AntiPhishRule | Format-Table Name,Priority,State

Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority

Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

В этом примере возвращаются все значения свойств для правила защиты от фишинга с именем Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-AntiPhishRule.

Изменение политик защиты от фишинга с помощью PowerShell

Помимо указанных ниже элементов, при изменении политики защиты от фишинга в PowerShell доступны те же параметры, что и при создании политики, как описано в разделе Шаг 1. Использование PowerShell для создания политики защиты от фишинга ранее в этой статье.

• Параметр MakeDefault , который преобразует указанную политику в политику по умолчанию (применяется ко всем, всегда самый низкий приоритет, и вы не можете удалить его), доступен только при изменении политики защиты от фишинга в PowerShell.

• Вы не можете переименовать политику защиты от фишинга (командлет Set-AntiPhishPolicy не имеет параметра Name ). При переименовании политики защиты от фишинга на портале Microsoft 365 Defender вы только переименоваете правило защиты от фишинга.

Чтобы изменить политику защиты от фишинга, используйте следующий синтаксис:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AntiPhishPolicy.

Примечание.

Подробные инструкции по указанию политик карантина для использования в политике защиты от фишинга см . в статье Использование PowerShell для указания политики карантина в политиках защиты от фишинга.

Изменение правил защиты от фишинга с помощью PowerShell

Единственным параметром, который недоступен при изменении правила защиты от фишинга в PowerShell, является параметр Enabled , позволяющий создать отключенное правило. Сведения о включении или отключении существующих правил защиты от фишинга см. в следующем разделе.

В противном случае дополнительные параметры не будут доступны при изменении правила защиты от фишинга в PowerShell. Те же параметры доступны при создании правила, как описано в разделе Шаг 2. Использование PowerShell для создания правила защиты от фишинга ранее в этой статье.

Чтобы изменить правило защиты от фишинга, используйте следующий синтаксис:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AntiPhishRule.

Включение или отключение правил защиты от фишинга с помощью PowerShell

Включение или отключение правила защиты от фишинга в PowerShell включает или отключает всю политику защиты от фишинга (правило защиты от фишинга и назначенную политику защиты от фишинга). Вы не можете включить или отключить политику защиты от фишинга по умолчанию (она всегда применяется ко всем получателям).

Чтобы включить или отключить правило защиты от фишинга в PowerShell, используйте следующий синтаксис:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

В этом примере отключается правило защиты от фишинга с именем Marketing Department.

Disable-AntiPhishRule -Identity "Marketing Department"

В этом примере включается то же правило.

Enable-AntiPhishRule -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в разделах Enable-AntiPhishRule и Disable-AntiPhishRule.

Использование PowerShell для задания приоритета правил защиты от фишинга

Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.

Чтобы задать приоритет правила защиты от фишинга в PowerShell, используйте следующий синтаксис:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Примечания.

• Чтобы задать приоритет нового правила при его создании, используйте параметр Priority в командлете New-AntiPhishRule .

• Политика защиты от фишинга по умолчанию не имеет соответствующего правила защиты от фишинга и всегда имеет неизменяемое значение приоритета Наименьшее.

Удаление политик защиты от фишинга с помощью PowerShell

При использовании PowerShell для удаления политики защиты от фишинга соответствующее правило защиты от фишинга не удаляется.

Чтобы удалить политику защиты от фишинга в PowerShell, используйте следующий синтаксис:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

В этом примере удаляется политика защиты от фишинга с именем Marketing Department.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AntiPhishPolicy.

Использование PowerShell для удаления правил защиты от фишинга

При использовании PowerShell для удаления правила защиты от фишинга соответствующая политика защиты от фишинга не удаляется.

Чтобы удалить правило защиты от фишинга в PowerShell, используйте следующий синтаксис:

Remove-AntiPhishRule -Identity "<PolicyName>"

В этом примере удаляется правило защиты от фишинга с именем Marketing Department.

Remove-AntiPhishRule -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AntiPhishRule.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что политики защиты от фишинга успешно настроены в Defender для Office 365, выполните одно из следующих действий.

• На странице Защита от фишинга на портале Microsoft 365 Defender по адресу https://security.microsoft.com/antiphishingпроверьте список политик, их значения состояния и приоритета. Чтобы просмотреть дополнительные сведения, выберите политику в списке, щелкнув имя и просмотрев сведения во всплывающем меню.

• В Exchange Online PowerShell замените <Name> именем политики или правила и выполните следующую команду и проверьте параметры:

  Get-AntiPhishPolicy -Identity "<Name>"
  

  Get-AntiPhishRule -Identity "<Name>"