Настройка доставки сторонних симуляций фишинга пользователям и нефильтрованных сообщений в почтовые ящики SecOps

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

• Exchange Online Protection
• Microsoft Defender для Office 365 (план 1 и план 2)
• Microsoft 365 Defender

Чтобы обеспечить безопасность организации по умолчанию, Exchange Online Protection (EOP) не разрешает безопасные списки или обход фильтров для сообщений, которые идентифицируются как вредоносные программы или фишинг с высокой степенью достоверности. Но существуют определенные сценарии, в которых требуется доставка нефильтрованных сообщений. Например:

• Симуляция фишинга сторонних разработчиков. Смоделированные атаки помогут вам определить уязвимых пользователей до того, как реальная атака повлияет на вашу организацию.
• Почтовые ящики операций безопасности (SecOps): выделенные почтовые ящики, используемые командами безопасности для сбора и анализа нефильтрованных сообщений (как хороших, так и плохих).

Вы используете расширенную политику доставки в Microsoft 365, чтобы предотвратить фильтрацию^* входящих сообщений в этих конкретных сценариях. Расширенная политика доставки гарантирует, что сообщения в этих сценариях достигают следующих результатов:

• Фильтры в EOP и Microsoft Defender для Office 365 не принимают никаких действий для этих сообщений.^*
• Очистка нулевого часа (ZAP) для спама и фишинга не выполняет никаких действий с этими сообщениями^**.
• Для этих сценариев системные оповещения по умолчанию не активируются.
• AIR и кластеризация в Defender для Office 365 игнорирует эти сообщения.
• Специально для симуляции фишинга сторонних производителей:
  • Администратор отправки генерирует автоматический ответ о том, что сообщение является частью кампании имитации фишинга и не представляет реальной угрозы. Оповещения и AIR не будут активированы. В интерфейсе отправки администратором эти сообщения будут отображаться как имитация угрозы.
  • Когда пользователь сообщает о симуляции фишинга с помощью встроенной кнопки "Отчет" в Outlook в Интернете или надстроек "Сообщение отчета" или "Сообщить о фишинге", система не будет создавать оповещение, расследование или инцидент. Ссылки или файлы не будут детонированы, но сообщение появится на вкладке Пользователь сообщил на странице Отправки .
  • Безопасные ссылки в Defender для Office 365 не блокируют и не детонируют конкретные URL-адреса в этих сообщениях во время щелчка. URL-адреса по-прежнему упаковываются, но не блокируются.
  • Безопасные вложения в Defender для Office 365 не детонируют вложения в этих сообщениях.

^* Вы не можете обойти фильтрацию вредоносных программ.

^** Вы можете обойти ZAP для вредоносных программ, создав политику защиты от вредоносных программ для почтового ящика SecOps, где отключена программа ZAP для вредоносных программ. Инструкции см . в разделе Настройка политик защиты от вредоносных программ в EOP.

Сообщения, определенные расширенной политикой доставки, не представляют угрозы безопасности, поэтому сообщения помечаются системными переопределениями. Администратор интерфейсах эти сообщения будут отображаться как из-за переопределения системы моделирования фишинга или переопределения системы почтовых ящиков SecOps. Администраторы могут фильтровать и анализировать эти системные переопределения в следующих интерфейсах:

• Обозреватель угроз или обнаружение в режиме реального времени в Defender для Office 365 плане 2: Администратор может фильтровать источник переопределения системы и выбрать имитацию фишинга или почтовый ящик SecOps.
• Страница сущностей Email в обозревателе угроз или обнаружения в режиме реального времени: Администратор может просматривать сообщение, разрешенное политикой организации почтовым ящиком SecOps или имитацией фишинга в разделе Переопределение клиента в разделе Переопределение клиента.
• Отчет о состоянии защиты от угроз: Администратор может фильтровать данные по переопределению системы в раскрывающемся меню и выбрать, чтобы просмотреть сообщения, разрешенные из-за переопределения системы имитации фишинга. Чтобы просмотреть сообщения, разрешенные переопределением почтового ящика SecOps, можно выбрать разбивку диаграммы по расположению доставки в раскрывающемся меню разбивки диаграммы по причине .
• Расширенная охота в Microsoft Defender для конечной точки: имитация фишинга и переопределения системы почтовых ящиков SecOps будут отображаться в качестве параметров в OrgLevelPolicy в EmailEvents.
• Представления кампании: Администратор может фильтровать источник переопределения системы и выбрать имитацию фишинга или почтовый ящик SecOps.

Что нужно знать перед началом работы

• Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на страницу Расширенная доставка , откройте https://security.microsoft.com/advanceddelivery.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft 365 Defender управление доступом на основе ролей (RBAC):конфигурация или безопасность (управление) или конфигурация и безопасность (чтение). В настоящее время для этого параметра требуется членство в программе предварительной версии Microsoft 365 Defender.
  • & Email RBAC для совместной работы на портале Microsoft 365 Defender и Exchange Online RBAC:
    • Создание, изменение или удаление настроенных параметров в расширенной политике доставки: членство в группах ролей "Администратор безопасности" & в Email совместной работы RBAC и членство в группе ролей "Управление организацией" в Exchange Online RBAC.
    • Доступ только для чтения к расширенной политике доставки: членство в группах ролей "Глобальный читатель" или "Читатель безопасности" в Email & совместной работы RBAC.
      • Управление организацией только для просмотра в Exchange Online RBAC.
  • Azure AD RBAC: членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Использование портала Microsoft 365 Defender для настройки почтовых ящиков SecOps в расширенной политике доставки

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к Email &Политики &совместной работы > Политики > Политикиугрозы>Расширенная доставка в разделе Правила. Чтобы перейти непосредственно на страницу Расширенная доставка, используйте .https://security.microsoft.com/advanceddelivery

2. На странице Расширенная доставка убедитесь, что выбрана вкладка Почтовый ящик SecOps , а затем выполните одно из следующих действий:

   • Щелкните Изменить.
   • Если почтовые ящики SecOps не настроены, нажмите кнопку Добавить.

3. Во всплывающем окне Изменение почтовых ящиков SecOps введите существующий почтовый ящик Exchange Online, который необходимо назначить в качестве почтового ящика SecOps, выполнив одно из следующих действий:

   • Щелкните поле, разрешите список почтовых ящиков, а затем выберите почтовый ящик.

   • Щелкните поле Начать вводить идентификатор почтового ящика (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.) и выберите почтовый ящик (отображаемое имя) в результатах.

     Повторите этот шаг нужное количество раз. Группы рассылки запрещены.

     Чтобы удалить существующее значение, щелкните Рядом со значением.

4. По завершении нажмите кнопку Добавить, а затем нажмите кнопку Закрыть.

Настроенные записи почтового ящика SecOps отображаются на вкладке Почтовый ящик SecOps .

Использование портала Microsoft 365 Defender для изменения или удаления почтовых ящиков SecOps в расширенной политике доставки

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к Email &Политики &совместной работы > Политики > Политикиугрозы>Расширенная доставка в разделе Правила. Чтобы перейти непосредственно на страницу Расширенная доставка, используйте .https://security.microsoft.com/advanceddelivery

2. На странице Расширенная доставка убедитесь, что выбрана вкладка Почтовый ящик SecOps, а затем щелкните Изменить.

3. Во всплывающем окне Изменение почтовых ящиков SecOps вы добавляете или удаляете почтовые ящики, как описано в предыдущем разделе.

   Чтобы удалить все почтовые ящики, щелкните Рядом с каждым значением, пока не будет выбрано больше почтовых ящиков.

4. После завершения нажмите Сохранить и Закрыть.

Настроенные записи почтового ящика SecOps отображаются на вкладке Почтовый ящик SecOps . Если удалить все записи почтового ящика SecOps, список будет пустым.

Использование портала Microsoft 365 Defender для настройки симуляции фишинга сторонних производителей в расширенной политике доставки

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к Email &Политики &совместной работы > Политики > Политикиугрозы>Расширенная доставка в разделе Правила. Чтобы перейти непосредственно на страницу Расширенная доставка, используйте .https://security.microsoft.com/advanceddelivery

2. На странице Расширенная доставка выберите вкладку Имитация фишинга и выполните одно из следующих действий.

   • Щелкните Изменить.
   • Если симуляция фишинга не настроена, нажмите кнопку Добавить.

3. В открывающемся всплывающем окне Изменение стороннего фишинга симуляции настройте следующие параметры:

   • Домен. Разверните этот параметр и введите по крайней мере один домен адреса электронной почты (например, contoso.com), щелкнув поле, введя значение, а затем нажав клавишу ВВОД или выбрав значение, отображаемое под полем. Повторите этот шаг нужное количество раз. Можно добавить до 20 записей.

     Примечание.

     Используйте домен с 5321.MailFrom адреса (также известного как адрес MAIL FROM , P1 или отправитель конверта), который используется при передаче сообщения SMTP , или домене DomainKeys Identified Mail (DKIM), как указано поставщиком имитации фишинга.

   • Отправка IP-адреса. Разверните этот параметр и введите по крайней мере один допустимый IPv4-адрес, щелкнув поле, введя значение, а затем нажав клавишу ВВОД или выбрав значение, отображаемое под полем. Повторите этот шаг нужное количество раз. Можно добавить до 10 записей. Допустимые значения:

     • Один IP-адрес: например, 192.168.1.1.
     • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
     • IP-адрес CIDR: например, 192.168.0.1/25.

   • Разрешенные URL-адреса имитации. Разверните этот параметр и введите определенные URL-адреса, которые являются частью кампании имитации фишинга, которые не должны быть заблокированы или детонированы, щелкнув поле, введя значение, а затем нажав клавишу ВВОД или выбрав значение, отображаемое под полем. Можно добавить до 30 записей. Синтаксис URL-адреса см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов. Эти URL-адреса помещаются в оболочку во время щелчка, но не блокируются.

   Чтобы удалить существующее значение, щелкните Рядом со значением.

4. По завершении нажмите кнопку Добавить, а затем нажмите кнопку Закрыть.

Настроенные записи симуляции фишинга сторонних разработчиков отображаются на вкладке Моделирование фишинга .

Важно!

Чтобы настроить стороннее моделирование фишинга в Расширенной доставке, необходимо указать следующие сведения:

• По крайней мере один домен из одного из следующих источников:
  • Адрес 5321.MailFrom (также известный как почтовый адрес, отправитель P1 или отправитель конверта).
  • Домен DKIM.
• По крайней мере один IP-адрес отправки.

Кроме того, следует добавить URL-адреса, которые будут использоваться в сообщениях имитации фишинга в URL-адресах имитации. Это действие гарантирует, что эти URL-адреса не будут рассматриваться как реальные угрозы во время щелчка: URL-адреса не будут заблокированы или детонированы, и оповещения о щелчке по URL-адресу или связанные с ними инциденты не будут созданы. Можно указать до 30 записей URL-адресов и использовать подстановочные знаки (*), как описано в синтаксисе URL-адреса для списка разрешенных и заблокированных клиентов далее в этой статье.

Должно быть совпадение по крайней мере для одного домена и одного IP-адреса отправки, но связь между значениями не поддерживается.

Если запись MX не указывает на Microsoft 365, IP-адрес в заголовке Authentication-results должен соответствовать IP-адресу в расширенной политике доставки. Если IP-адреса не совпадают, может потребоваться настроить расширенную фильтрацию для соединителей , чтобы обнаружить правильный IP-адрес.

Использование портала Microsoft 365 Defender для изменения или удаления сторонних симуляций фишинга в расширенной политике доставки

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к Email &Политики &совместной работы > Политики > Политикиугрозы>Расширенная доставка в разделе Правила. Чтобы перейти непосредственно на страницу Расширенная доставка, используйте .https://security.microsoft.com/advanceddelivery

2. На странице Расширенная доставка выберите вкладку Имитация фишинга и щелкните Изменить.

3. Во всплывающем окне Изменение симуляции фишинга сторонних разработчиков вы добавляете или удаляете записи для доменов, IP-адресов отправки и URL-адресов имитации , как описано в предыдущем разделе.

   Чтобы удалить все записи, нажмите Рядом с каждым значением не будет выбрано больше доменов, IP-адресов или URL-адресов.

4. После завершения нажмите Сохранить и Закрыть.

Дополнительные сценарии, требующие обхода фильтрации

Помимо двух сценариев, с которыми может помочь расширенная политика доставки, существуют и другие сценарии, в которых может потребоваться обойти фильтрацию:

• Сторонние фильтры. Если запись MX вашего домена не указывает на Office 365 (сначала сообщения направляются куда-то в другое место), защита по умолчаниюнедоступна. Если вы хотите добавить защиту, необходимо включить расширенную фильтрацию для соединителей (также известную как пропустить список). Дополнительные сведения см. в статье Управление потоком обработки почты с помощью сторонней облачной службы с помощью Exchange Online. Если вы не хотите использовать расширенную фильтрацию для соединителей, используйте правила потока обработки почты (также называемые правилами транспорта), чтобы обойти фильтрацию Майкрософт для сообщений, которые уже были оценены с помощью фильтрации сторонних производителей. Дополнительные сведения см . в разделе Использование правил потока обработки почты для задания SCL в сообщениях.

• Проверяемые ложные срабатывания. Возможно, вы захотите временно разрешить некоторым сообщениям, которые по-прежнему анализируются корпорацией Майкрософт через отправки администратора , сообщать об известных хороших сообщениях, которые неправильно помечены как плохие (ложноположительные). Как и во всех переопределениях, мы настоятельно рекомендовали , чтобы эти надбавки были временными.

Процедуры PowerShell для почтовых ящиков SecOps в расширенной политике доставки

В PowerShell основные элементы почтовых ящиков SecOps в расширенной политике доставки:

• Политика переопределения SecOps: управляется командлетами *-SecOpsOverridePolicy .
• Правило переопределения SecOps: управляется командлетами *-SecOpsOverrideRule .

Это поведение приводит к следующим результатам:

• Сначала создается политика, а затем — правило, определяющее политику, к которому применяется правило.
• При удалении политики из PowerShell также удаляется соответствующее правило.
• При удалении правила из PowerShell соответствующая политика не удаляется. Соответствующую политику необходимо удалить вручную.

Настройка почтовых ящиков SecOps с помощью PowerShell

Настройка почтового ящика SecOps в расширенной политике доставки в PowerShell состоит из двух этапов:

1. Создайте политику переопределения SecOps.
2. Создайте правило переопределения SecOps, указывающее политику, к которому применяется правило.

Шаг 1. Создание политики переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Примечание.

Независимо от указанного значения Name, имя политики будет иметь значение SecOpsOverridePolicy, поэтому вы также можете использовать это значение.

В этом примере создается политика почтовых ящиков SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Подробные сведения о синтаксисе и параметрах см. в разделе New-SecOpsOverridePolicy.

Шаг 2. Создание правила переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell выполните следующую команду:

New-SecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Примечание.

Независимо от указанного значения Name, имя правила будет иметь идентификатор GUID SecOpsOverrideRule<, где <GUID> — это уникальное значение GUID (например, 6fed4b63-3563-495d-a481-b24a311f8329).>

Подробные сведения о синтаксисе и параметрах см. в разделе New-SecOpsOverrideRule.

Использование PowerShell для просмотра политики переопределения SecOps

В этом примере Exchange Online PowerShell возвращаются подробные сведения об одной и только политике почтовых ящиков SecOps.

Get-SecOpsOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Get-SecOpsOverridePolicy.

Использование PowerShell для просмотра правил переопределения SecOps

В этом примере Exchange Online PowerShell возвращаются подробные сведения о правилах переопределения SecOps.

Get-SecOpsOverrideRule

Хотя предыдущая команда должна возвращать только одно правило, все правила, ожидающие удаления, также могут быть включены в результаты.

В этом примере определяется допустимое правило (одно) и любые недопустимые правила.

Get-SecOpsOverrideRule | Format-Table Name,Mode

После определения недопустимых правил их можно удалить с помощью командлета Remove-SecOpsOverrideRule , как описано далее в этой статье.

Подробные сведения о синтаксисе и параметрах см. в разделе Get-SecOpsOverrideRule.

Изменение политики переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

В этом примере добавляется secops2@contoso.com политика переопределения SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Примечание.

Если существует связанное допустимое правило переопределения SecOps, адреса электронной почты в правиле также будут обновлены.

Подробные сведения о синтаксисе и параметрах см. в разделе Set-SecOpsOverridePolicy.

Изменение правила переопределения SecOps с помощью PowerShell

Командлет Set-SecOpsOverrideRule не изменяет адреса электронной почты в правиле переопределения SecOps. Чтобы изменить адреса электронной почты в правиле переопределения SecOps, используйте командлет Set-SecOpsOverridePolicy .

Подробные сведения о синтаксисе и параметрах см. в разделе Set-SecOpsOverrideRule.

Удаление политики переопределения SecOps с помощью PowerShell

В этом примере Exchange Online PowerShell удаляется политика почтовых ящиков SecOps и соответствующее правило.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-SecOpsOverridePolicy.

Использование PowerShell для удаления правил переопределения SecOps

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-SecOpsOverrideRule -Identity <RuleIdentity>

В этом примере удаляется указанное правило переопределения SecOps.

Remove-SecOpsOverrideRule -Identity SecOpsOverrideRule6fed4b63-3563-495d-a481-b24a311f8329

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-SecOpsOverrideRule.

Процедуры PowerShell для моделирования фишинга сторонних производителей в расширенной политике доставки

В PowerShell основные элементы моделирования фишинга сторонних разработчиков в расширенной политике доставки:

• Политика переопределения имитации фишинга: управляется командлетами *-PhishSimOverridePolicy .
• Правило переопределения имитации фишинга: управляется командлетами *-PhishSimOverrideRule .
• Разрешенные (разблокированные) URL-адреса имитации фишинга: управляется командлетами *-TenantAllowBlockListItems .

Это поведение приводит к следующим результатам:

• Сначала создается политика, а затем — правило, определяющее политику, к которому применяется правило.
• Параметры в политике и правиле изменяются отдельно.
• При удалении политики из PowerShell также удаляется соответствующее правило.
• При удалении правила из PowerShell соответствующая политика не удаляется. Соответствующую политику необходимо удалить вручную.

Использование PowerShell для настройки сторонних симуляций фишинга

Настройка стороннего моделирования фишинга в PowerShell — это многоэтапный процесс:

1. Создайте политику переопределения имитации фишинга.
2. Создайте правило переопределения имитации фишинга, указывающее:
   • Политика, к которому применяется правило.
   • Исходный IP-адрес фишинговых сообщений имитации.
3. При необходимости удостоверяйте URL-адреса имитации фишинга, которые должны быть разрешены (т. е. не заблокированы или сканированы).

Шаг 1. Создание политики переопределения имитации фишинга с помощью PowerShell

В этом примере в PowerShell для соответствия требованиям безопасности &создается политика переопределения имитации фишинга.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Примечание. Независимо от указанного значения Name, имя политики будет PhishSimOverridePolicy, поэтому вы также можете использовать это значение.

Подробные сведения о синтаксисе и параметрах см. в разделе New-PhishSimOverridePolicy.

Шаг 2. Создание правила переопределения имитации фишинга с помощью PowerShell

В PowerShell для обеспечения соответствия требованиям безопасности &используйте следующий синтаксис:

New-PhishSimOverrideRule -Name PhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Независимо от указанного значения Name, имя правила будет иметь значение GUID PhishSimOverrideRule<, где <GUID> — это уникальное значение GUID (например, a0eae53e-d755-4a42-9320-b9c6b55c5011).>

Допустимая запись IP-адреса является одним из следующих значений:

• Один IP-адрес: например, 192.168.1.1.
• Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
• IP-адрес CIDR: например, 192.168.0.1/25.

В этом примере создается правило переопределения имитации фишинга с указанными параметрами.

New-PhishSimOverrideRule -Name PhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Подробные сведения о синтаксисе и параметрах см. в разделе New-PhishSimOverrideRule.

Шаг 3. (необязательно) Используйте PowerShell для определения РАЗРЕШЕНных URL-адресов имитации фишинга

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Дополнительные сведения о синтаксисе URL-адресов см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов.

В этом примере добавляется запись разрешения URL-адреса для указанного стороннего URL-адреса имитации фишинга без истечения срока действия.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Использование PowerShell для просмотра политики переопределения имитации фишинга

В powerShell для соответствия требованиям безопасности &этот пример возвращает подробные сведения о политике переопределения только симуляции фишинга.

Get-PhishSimOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Get-PhishSimOverridePolicy.

Использование PowerShell для просмотра правил переопределения имитации фишинга

В этом примере в PowerShell для обеспечения соответствия безопасности &возвращаются подробные сведения о правилах переопределения имитации фишинга.

Get-PhishSimOverrideRule

Хотя предыдущая команда должна возвращать только одно правило, все правила, ожидающие удаления, также могут быть включены в результаты.

В этом примере определяется допустимое правило (одно) и любые недопустимые правила.

Get-PhishSimOverrideRule | Format-Table Name,Mode

После определения недопустимых правил их можно удалить с помощью командлета Remove-PhishSimOverrideRule , как описано далее в этой статье.

Подробные сведения о синтаксисе и параметрах см. в разделе Get-PhishSimOverrideRule.

Использование PowerShell для просмотра разрешенных записей URL-адреса имитации фишинга

В Exchange Online PowerShell выполните следующую команду:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Изменение политики переопределения имитации фишинга с помощью PowerShell

В PowerShell для обеспечения соответствия требованиям безопасности &используйте следующий синтаксис:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

В этом примере отключается политика переопределения имитации фишинга.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Подробные сведения о синтаксисе и параметрах см. в разделе Set-PhishSimOverridePolicy.

Использование PowerShell для изменения правил переопределения имитации фишинга

В PowerShell для обеспечения соответствия требованиям безопасности &используйте следующий синтаксис:

Set-PhishSimOverrideRule -Identity PhishSimOverrideRulea0eae53e-d755-4a42-9320-b9c6b55c5011 [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

В этом примере изменяется указанное правило переопределения имитации фишинга со следующими параметрами:

• Добавьте blueyonderairlines.com записи домена.
• Удалите запись IP-адреса 192.168.1.55.

Обратите внимание, что эти изменения не влияют на существующие записи.

Set-PhishSimOverrideRule -Identity PhishSimOverrideRulea0eae53e-d755-4a42-9320-b9c6b55c5011 -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Подробные сведения о синтаксисе и параметрах см. в разделе Set-PhishSimOverrideRule.

Использование PowerShell для изменения разрешенных записей URL-адреса имитации фишинга

Вы не можете изменить значения URL-адреса напрямую. Вы можете удалить существующие записи URL-адресов и добавить новые записи URL-адресов , как описано в этой статье.

В Exchange Online PowerShell, чтобы изменить другие свойства разрешенной записи URL-адреса имитации фишинга (например, дату окончания срока действия или примечания), используйте следующий синтаксис:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity>> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Запись для изменения определяется по значениям URL-адреса ( параметру Entries ) или значению Identity из выходных данных командлета Get-TenantAllowBlockListItems (параметр Ids ).

В этом примере изменена дата окончания срока действия указанной записи.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Использование PowerShell для удаления политики переопределения имитации фишинга

В powerShell для обеспечения соответствия требованиям безопасности &в этом примере удаляется политика переопределения имитации фишинга и соответствующее правило.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-PhishSimOverridePolicy.

Использование PowerShell для удаления правил переопределения имитации фишинга

В PowerShell для обеспечения соответствия требованиям безопасности &используйте следующий синтаксис:

Remove-PhishSimOverrideRule -Identity <RuleIdentity>

В этом примере удаляется указанное правило переопределения имитации фишинга.

Remove-PhishSimOverrideRule -Identity PhishSimOverrideRulea0eae53e-d755-4a42-9320-b9c6b55c5011

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-PhishSimOverrideRule.

Использование PowerShell для удаления разрешенных записей URL-адреса имитации фишинга

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity>> -ListType URL -ListSubType AdvancedDelivery

Запись для изменения определяется по значениям URL-адреса ( параметру Entries ) или значению Identity из выходных данных командлета Get-TenantAllowBlockListItems (параметр Ids ).

В этом примере изменена дата окончания срока действия указанной записи.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.