Konfigurera den avancerade leveransprincipen för nätfiskesimuleringar från tredje part och e-postleverans till SecOps-postlådor
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
För att hålla din organisation säker som standard tillåter Exchange Online Protection (EOP) inte säkra listor eller kringgår filtrering för meddelanden som identifieras som skadlig kod eller nätfiske med hög konfidens. Men det finns specifika scenarier som kräver leverans av ofiltrerade meddelanden. Till exempel:
- Nätfiskesimuleringar från tredje part: Simulerade attacker kan hjälpa dig att identifiera och träna sårbara användare innan en verklig attack påverkar din organisation.
- Säkerhetsåtgärder (SecOps) postlådor: Dedikerade postlådor som används av säkerhetsteam för att samla in och analysera ofiltrerade meddelanden (både bra och dåliga).
Använd den avancerade leveransprincipen i EOP för att förhindra att inkommande meddelanden i dessa specifika scenarier filtreras 1. Den avancerade leveransprincipen säkerställer att meddelanden i dessa scenarier uppnår följande resultat:
- Filter i EOP och Defender för Office 365 inte vidta några åtgärder för dessa meddelanden. Filtrering av skadlig kod kringgås endast för SecOps-postlådor.
- Rensning utan timme (ZAP) för skräppost och nätfiske vidtar inga åtgärder för dessa meddelanden. ZAP för skadlig kod kringgås endast för SecOps-postlådor.
- Säkra länkar i Defender för Office 365 blockerar eller detonerar inte de angivna URL:erna i dessa meddelanden när du klickar. URL:er är fortfarande omslutna, men de blockeras inte.
- Säkra bifogade filer i Defender för Office 365 detonerar inte bifogade filer i dessa meddelanden.
- Standardsystemaviseringar utlöses inte för dessa scenarier.
- AIR och klustring i Defender för Office 365 ignorerar dessa meddelanden.
- Specifikt för nätfiskesimuleringar från tredje part:
- Admin överföring genererar ett automatiskt svar som säger att meddelandet är en del av en kampanj för nätfiskesimulering och inte är ett verkligt hot. Aviseringar och AIR utlöses inte. Funktionen för administratörsöverföringar visar dessa meddelanden som ett simulerat hot.
- När en användare rapporterar ett nätfiskesimuleringsmeddelande med hjälp av den inbyggda rapportknappen i Outlook eller Microsoft-rapportmeddelandet eller rapport-phishing-tilläggen genererar systemet inte någon avisering, undersökning eller incident. Länkarna eller filerna detoneras inte, men meddelandet visas på fliken Användarrapporterad på sidan Inskickade filer .
Meddelanden som identifieras av den avancerade leveransprincipen är inte säkerhetshot, så meddelandena markeras med system åsidosättningar. Admin funktioner visar dessa meddelanden som åsidosättningar för nätfiskesimulering eller SecOps-postlådesystem. Administratörer kan använda dessa värden för att filtrera och analysera meddelanden i följande upplevelser:
- Hotutforskaren (Explorer) eller realtidsidentifieringar i Defender för Office 365: Administratörer kan filtrera på system åsidosättningskälla och välja Nätfiskesimulering eller SecOps-postlåda.
- Sidan Email entitet: Administratörer kan visa ett meddelande som tillåts av en organisationsprincip av SecOps-postlådan eller nätfiskesimulering under Åsidosättning av klientorganisation i avsnittet Åsidosättningar.
- Statusrapport för skydd mot hot: Admin kan filtrera efter att visa data efter system åsidosättning i den nedrullningsbara menyn och välja att se meddelanden som tillåts på grund av åsidosättning av ett nätfiskesimuleringssystem. Om du vill se meddelanden som tillåts av åsidosättningen av SecOps-postlådan kan du välja diagramuppdelning efter leveransplats i listrutan för diagramuppdelning efter orsak .
- Avancerad jakt i Microsoft Defender för Endpoint: Åsidosättningar för nätfiskesimulering och SecOps-postlådesystem är alternativ i OrgLevelPolicy i EmailEvents.
- Kampanjvyer: Admin kan filtrera på system åsidosättningskälla och välja antingen nätfiskesimulering eller SecOps-postlåda.
Vad behöver jag veta innan jag börjar?
Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Avancerad leverans använder du https://security.microsoft.com/advanceddelivery.
Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell.
Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:
Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
Email & samarbetsbehörigheter i Microsoft Defender-portalen och Exchange Online behörigheter:
- Skapa, ändra eller ta bort konfigurerade inställningar i den avancerade leveransprincipen: Medlemskap i rollgrupperna Säkerhetsadministratör i Email & RBAC för samarbete och medlemskap i rollgruppen Organisationshantering i Exchange Online RBAC.
-
Skrivskyddad åtkomst till den avancerade leveransprincipen: Medlemskap i rollgrupperna Global läsare eller Säkerhetsläsare i Email & RBAC för samarbete.
- Visa endast organisationshantering i Exchange Online RBAC.
Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.
Viktigt
* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Använd Microsoft Defender-portalen för att konfigurera SecOps-postlådor i den avancerade leveransprincipen
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Avancerad leverans i avsnittet Regler. Om du vill gå direkt till sidan Avancerad leverans använder du https://security.microsoft.com/advanceddelivery.
På sidan Avancerad leverans kontrollerar du att fliken SecOps-postlåda är markerad.
På fliken SecOps-postlåda väljer du knappen Lägg till i området Inga SecOps-postlådor konfigurerade på sidan.
Om det redan finns befintliga poster på fliken SecOps-postlåda väljer du Redigera (knappen Lägg till är inte tillgänglig).
I den utfällbara menyn Lägg till SecOps-postlådor som öppnas anger du en befintlig Exchange Online postlåda som du vill ange som SecOps-postlåda genom att utföra något av följande steg:
Klicka i rutan, låt listan över postlådor matcha och välj sedan postlådan.
Klicka i rutan börja skriva en identifierare för postlådan (namn, visningsnamn, alias, e-postadress, kontonamn osv.) och välj postlådan (visningsnamn) i resultatet.
Upprepa det här steget så många gånger det behövs. Distributionsgrupper tillåts inte.
Om du vill ta bort ett befintligt värde väljer du ta bort bredvid värdet.
När du är klar med den utfällbara menyn Lägg till SecOps-postlådor väljer du Lägg till..
Granska informationen i den sparade utfällbara menyn Ändringar i SecOps-postlådan och välj sedan Stäng.
På fliken SecOps-postlåda visas nu posterna i SecOps-postlådan som du har konfigurerat:
- Kolumnen Visningsnamn innehåller visningsnamnet för postlådorna.
- Kolumnen Email innehåller e-postadressen för varje post.
- Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.
Använd Microsoft Defender-portalen för att ändra eller ta bort SecOps-postlådor i den avancerade leveransprincipen
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Avancerad leverans i avsnittet Regler. Om du vill gå direkt till sidan Avancerad leverans använder du https://security.microsoft.com/advanceddelivery.
På sidan Avancerad leverans kontrollerar du att fliken SecOps-postlåda är markerad.
På fliken SecOps-postlåda väljer du Redigera.
I Den utfällbara menyn Redigera SecOps-postlådor som öppnas lägger du till eller tar bort postlådor enligt beskrivningen i Steg 3 i använd Microsoft Defender-portalen för att konfigurera SecOps-postlådor i avsnittet avancerad leveransprincip.
Om du vill ta bort alla postlådor väljer du ta bort bredvid varje värde tills inga fler postlådor har valts.
När du är klar med den utfällbara menyn Redigera SecOps-postlådor väljer du Spara.
Granska informationen i den sparade utfällbara menyn Ändringar i SecOps-postlådan och välj sedan Stäng.
På fliken SecOps-postlåda visas posterna i SecOps-postlådan som du har konfigurerat. Om du har tagit bort alla poster är listan tom.
Använd Microsoft Defender-portalen för att konfigurera nätfiskesimuleringar från tredje part i den avancerade leveransprincipen
För att konfigurera en nätfiskesimulering från tredje part måste du ange följande information:
- Minst en domän: Domänen från MAIL FROM-adressen (även kallad
5321.MailFrom
adress, P1-avsändare eller kuvertsändare) som används i SMTP-överföringen av meddelandet eller en DKIM-domän som anges av leverantören av nätfiskesimulering. - Minst en skickande IP-adress.
- För nätfiskesimuleringar utan e-post (till exempel Microsoft Teams-meddelanden, Word dokument eller Excel-kalkylblad) kan du välja att identifiera simulerings-URL:erna så att de inte ska behandlas som verkliga hot vid tidpunkten för klick: URL:erna blockeras eller detoneras inte och inga URL-klickaviseringar eller resulterande incidenter genereras. URL:erna omsluts vid klicktillfället, men de blockeras inte.
Det måste finnas en matchning på minst en domän och en skickande IP-adress, men ingen association mellan värden upprätthålls.
Om din MX-post inte pekar på Microsoft 365 måste IP-adressen i Authentication-results
huvudet matcha IP-adressen i den avancerade leveransprincipen. Om IP-adresserna inte matchar kan du behöva konfigurera utökad filtrering för anslutningsappar så att rätt IP-adress identifieras.
Obs!
Förbättrad filtrering för anslutningsappar fungerar inte för nätfiskesimuleringar från tredje part i scenarier med e-postdirigering som innebär att e-post kommer till Exchange online två gånger (till exempel internet-e-post som dirigeras till Microsoft 365, sedan till en lokal miljö eller en säkerhetstjänst från tredje part och sedan tillbaka till Microsoft 365). EOP kan inte identifiera meddelandekällans sanna IP-adress. Försök inte kringgå den här begränsningen genom att lägga till IP-adresserna för den lokala eller tredje part som skickar infrastruktur till nätfiskesimuleringen från tredje part. Detta kringgår effektivt skräppostfiltreringen för alla Internet-avsändare som personifierar domänen som anges i nätfiskesimuleringen från tredje part. Routningsscenarier där MX-posten pekar på en tjänst från tredje part och sedan dirigeras till Exchange Online stöds om utökad filtrering för anslutningsappar har konfigurerats.
För närvarande stöder inte den avancerade leveransprincipen för nätfiskesimuleringar från tredje part simuleringar inom samma organisation (DIR:INT
), särskilt när e-post dirigeras via en Exchange Server gateway före Microsoft 365 i Hybrid-e-postflöde. Du kan lösa det här problemet genom att välja mellan följande alternativ:
- Skapa en dedikerad anslutningsapp för att skicka som inte autentiserar nätfiskesimuleringsmeddelandena som interna.
- Konfigurera nätfiskesimuleringen för att kringgå Exchange Server infrastruktur och dirigera e-post direkt till din Microsoft 365 MX-post (till exempel contoso-com.mail.protection.outlook.com).
- Även om du kan ställa in genomsökning av meddelanden inom organisationen till Ingen i principer för skräppostskydd rekommenderar vi inte det här alternativet eftersom det påverkar andra e-postmeddelanden.
Om du använder den förinställda säkerhetsprincipen för inbyggt skydd eller om dina anpassade principer för säkra länkar har inställningen Skriv inte om URL:er, gör kontroller via SafeLinks API endast aktiverat, tid för klickskydd behandlar inte länkar för nätfiskesimulering i e-post som hot i Outlook på webben, Outlook för iOS och Android, Outlook för Windows v16.0.15317.10000 eller senare och Outlook för Mac v16.74 (23061100) eller senare. Om du använder äldre versioner av Outlook kan du inaktivera url:erna Skriv inte om. Gör kontroller via SafeLinks API endast i anpassade principer för säkra länkar.
Om du lägger till URL:er för nätfiskesimulering i avsnittet Skriv inte om följande URL:er i e-postavsnittet i Principer för säkra länkar kan det leda till oönskade aviseringar om URL-klick. URL:er för nätfiskesimulering i e-postmeddelanden tillåts automatiskt både under e-postflödet och vid klicktillfället.
För närvarande stöder inte den avancerade leveransprincipen för SecOps-postlådor meddelanden inom organisationen (DIR:INT
), och dessa meddelanden kommer att placeras i karantän. Som en tillfällig lösning kan du använda en separat princip för skräppostskydd för SecOps-postlådor som inte placerar meddelanden inom organisationen i karantän. Vi rekommenderar inte att du inaktiverar skyddet inom organisationen för alla postlådor.
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Avancerad leverans i avsnittet Regler. Om du vill gå direkt till sidan Avancerad leverans använder du https://security.microsoft.com/advanceddelivery.
På sidan Avancerad leverans väljer du fliken Nätfiskesimulering .
På fliken Nätfiskesimulering väljer du knappen Lägg till i området Inga nätfiskesimuleringar från tredje part konfigurerade på sidan.
Om det redan finns befintliga poster på fliken Nätfiskesimulering väljer du Redigera (knappen Lägg till är inte tillgänglig).
I den utfällbara menyn Lägg till nätfiskesimuleringar från tredje part som öppnas konfigurerar du följande inställningar:
Domän: Expandera den här inställningen och ange minst en e-postadressdomän genom att klicka i rutan, ange ett värde (till exempel contoso.com) och sedan trycka på RETUR-tangenten eller välja det värde som visas under rutan. Upprepa det här steget så många gånger det behövs. Du kan lägga till upp till 50 poster. Använd något av följande värden:
- Domänen
5321.MailFrom
i adressen (även kallad MAIL FROM-adress , P1-avsändare eller kuvertsändare) som används i SMTP-överföringen av meddelandet. - DKIM-domänen som anges av leverantören av nätfiskesimulering.
- Domänen
Skicka IP: Expandera den här inställningen och ange minst en giltig IPv4-adress genom att klicka i rutan, ange ett värde och sedan trycka på RETUR-tangenten eller välja det värde som visas under rutan. Upprepa det här steget så många gånger det behövs. Du kan lägga till upp till 10 poster. Giltiga värden är:
- Enskild IP-adress: Till exempel 192.168.1.1.
- IP-intervall: Till exempel 192.168.0.1-192.168.0.254.
- CIDR IP: Till exempel 192.168.0.1/25.
Simulerings-URL:er som ska tillåtas: Den här inställningen krävs inte för länkar i nätfiskesimuleringar för e-post. Använd den här inställningen om du vill identifiera länkar i nätfiskesimuleringar som inte är e-post (länkar i Teams-meddelanden eller i Office-dokument ) som inte ska behandlas som verkliga hot vid tidpunkten för klick.
Lägg till URL-poster genom att expandera den här inställningen, klicka i rutan, ange ett värde och sedan trycka på RETUR eller välja det värde som visas under rutan. Du kan lägga till upp till 30 poster. Url-syntaxen finns i URL-syntaxen för listan Tillåt/blockera klientorganisation.
Om du vill ta bort ett befintligt domän-, IP- eller URL-värde väljer du ta bort bredvid värdet.
Tänk dig följande exempel:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- Den anslutande IP-adressen är 172.17.17.7.
- Domänen i MAIL FROM-adressen (
smtp.mailfrom
) är contoso.com. - DKIM-domänen (
header.d
) är contoso-simulation.com.
I exemplet kan du använda någon av följande kombinationer för att konfigurera en nätfiskesimulering från tredje part:
Domän: contoso.com
Skickar IP:en: 172.17.17.7Domän: contoso-simulation.com
Skickar IP:en: 172.17.17.7När du är klar med den utfällbara menyn Lägg till nätfiskesimuleringar från tredje part väljer du Lägg till.
Granska informationen i den utfällbara menyn Ändringar av nätfiskesimulering åsidosätt sparad och välj sedan Stäng.
På fliken Nätfiskesimulering visas nu de poster för nätfiskesimulering från tredje part som du har konfigurerat:
- Kolumnen Värde innehåller posten domän, IP-adress eller URL.
- Kolumnen Typ innehåller värdet Skicka IP-adress, domän eller Tillåten simulerings-URL för varje post.
- Kolumnen Datum visar när posten skapades.
- Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.
Använd Microsoft Defender-portalen för att ändra eller ta bort nätfiskesimuleringar från tredje part i den avancerade leveransprincipen
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Avancerad leverans i avsnittet Regler. Om du vill gå direkt till sidan Avancerad leverans använder du https://security.microsoft.com/advanceddelivery.
På sidan Avancerad leverans väljer du fliken Nätfiskesimulering .
På fliken Nätfiskesimulering väljer du Redigera.
I den utfällbara menyn Redigera nätfiskesimulering från tredje part som öppnas lägger du till eller tar bort poster för domän-, sändnings-IP- och simulerings-URL:er enligt beskrivningen i steg 3 i avsnittet Använd Microsoft Defender-portalen för att konfigurera SecOps-postlådor i avsnittet avancerad leveransprincip.
Om du vill ta bort alla poster väljer du ta bort bredvid varje värde tills inga fler domäner, IP-adresser eller URL:er har valts.
När du är klar med den utfällbara menyn Redigera nätfiskesimulering från tredje part väljer du Spara.
Granska informationen i den utfällbara menyn Ändringar av nätfiskesimulering åsidosätt sparad och välj sedan Stäng.
På fliken Nätfiskesimulering visas de poster för nätfiskesimulering från tredje part som du har konfigurerat. Om du har tagit bort alla poster är listan tom.
Ytterligare scenarier som kräver förbikoppling av filtrering
Förutom de två scenarier som den avancerade leveransprincipen kan hjälpa dig med finns det andra scenarier där du kan behöva kringgå filtrering för meddelanden:
Filter från tredje part: Om domänens MX-post inte pekar på Office 365 (meddelanden dirigeras någon annanstans först) är säker som standardinte tillgänglig. Om du vill lägga till skydd måste du aktivera utökad filtrering för anslutningsappar (kallas även hoppa över lista). Mer information finns i Hantera e-postflöde med hjälp av en molntjänst från tredje part med Exchange Online. Om du inte vill ha utökad filtrering för anslutningsappar använder du e-postflödesregler (även kallade transportregler) för att kringgå Microsoft-filtrering för meddelanden som redan har utvärderats av filtrering från tredje part. Mer information finns i Använda e-postflödesregler för att ange SCL i meddelanden.
Falska positiva identifieringar under granskning: Du kanske tillfälligt vill tillåta bra meddelanden som felaktigt identifieras som dåliga (falska positiva identifieringar) som du rapporterade via administratörsöverföringar, men meddelandena analyseras fortfarande av Microsoft. Precis som med alla åsidosättningar rekommenderar vi starkt att dessa ersättningar är tillfälliga.
PowerShell-procedurer för SecOps-postlådor i den avancerade leveransprincipen
I PowerShell är de grundläggande elementen i SecOps-postlådor i den avancerade leveransprincipen:
- Åsidosättningsprincipen SecOps: Styrs av cmdletarna *-SecOpsOverridePolicy .
- Åsidosättningsregeln SecOps: Styrs av cmdletarna *-ExoSecOpsOverrideRule .
Det här beteendet har följande resultat:
- Du skapar principen först och sedan skapar du regeln som identifierar principen som regeln gäller för.
- När du tar bort en princip från PowerShell tas även motsvarande regel bort.
- När du tar bort en regel från PowerShell tas inte motsvarande princip bort. Du måste ta bort motsvarande princip manuellt.
Använda PowerShell för att konfigurera SecOps-postlådor
Att konfigurera en SecOps-postlåda i den avancerade leveransprincipen i PowerShell är en tvåstegsprocess:
- Skapa åsidosättningsprincipen för SecOps.
- Skapa den åsidosättningsregel för SecOps som anger den princip som regeln gäller för.
Steg 1: Använd PowerShell för att skapa åsidosättningsprincipen för SecOps
Använd följande syntax i Exchange Online PowerShell:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
Oavsett vilket namnvärde du anger är principnamnet SecOpsOverridePolicy, så du kan lika gärna använda det värdet.
I det här exemplet skapas secops-postlådeprincipen.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Detaljerad information om syntax och parametrar finns i New-SecOpsOverridePolicy.
Steg 2: Använd PowerShell för att skapa åsidosättningsregeln för SecOps
Kör följande kommando i Exchange Online PowerShell:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
Oavsett vilket namnvärde du anger är _Exe:SecOpsOverrid:<GUID\>
regelnamnet [sic] där <GUID> är ett unikt GUID-värde (till exempel 312c23cf-0377-4162-b93d-6548a9977efb9).
Detaljerad information om syntax och parametrar finns i New-ExoSecOpsOverrideRule.
Använd PowerShell för att visa åsidosättningsprincipen för SecOps
I Exchange Online PowerShell returnerar det här exemplet detaljerad information om en och endast SecOps-postlådeprincip.
Get-SecOpsOverridePolicy
Detaljerad information om syntax och parametrar finns i Get-SecOpsOverridePolicy.
Använda PowerShell för att visa åsidosättningsregler för SecOps
I Exchange Online PowerShell returnerar det här exemplet detaljerad information om åsidosättningsregler för SecOps.
Get-ExoSecOpsOverrideRule
Även om det tidigare kommandot bara ska returnera en regel kan en regel som väntar på borttagning också inkluderas i resultatet.
Det här exemplet identifierar den giltiga regeln (en) och eventuella ogiltiga regler.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
När du har identifierat de ogiltiga reglerna kan du ta bort dem med cmdleten Remove-ExoSecOpsOverrideRule enligt beskrivningen senare i den här artikeln.
Detaljerad information om syntax och parametrar finns i Get-ExoSecOpsOverrideRule.
Använda PowerShell för att ändra åsidosättningsprincipen för SecOps
Använd följande syntax i Exchange Online PowerShell:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Det här exemplet lägger secops2@contoso.com
till i åsidosättningsprincipen för SecOps.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Obs!
Om det finns en associerad giltig SecOps-åsidosättningsregel uppdateras även e-postadresserna i regeln.
Detaljerad information om syntax och parametrar finns i Set-SecOpsOverridePolicy.
Använda PowerShell för att ändra en åsidosättningsregel för SecOps
Cmdleten Set-ExoSecOpsOverrideRule ändrar inte e-postadresserna i åsidosättningsregeln för SecOps. Om du vill ändra e-postadresserna i åsidosättningsregeln för SecOps använder du cmdleten Set-SecOpsOverridePolicy .
Detaljerad information om syntax och parametrar finns i Set-ExoSecOpsOverrideRule.
Använda PowerShell för att ta bort åsidosättningsprincipen för SecOps
I Exchange Online PowerShell tar det här exemplet bort principen För SecOps-postlåda och motsvarande regel.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Detaljerad information om syntax och parametrar finns i Remove-SecOpsOverridePolicy.
Använda PowerShell för att ta bort åsidosättningsregler för SecOps
Använd följande kommandon i Exchange Online PowerShell:
Ta bort eventuella åsidosättningsregler för SecOps:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
Ta bort den angivna åsidosättningsregeln för SecOps:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Detaljerad information om syntax och parametrar finns i Remove-ExoSecOpsOverrideRule.
PowerShell-procedurer för nätfiskesimuleringar från tredje part i den avancerade leveransprincipen
I PowerShell är de grundläggande elementen i nätfiskesimuleringar från tredje part i den avancerade leveransprincipen:
- Åsidosättningsprincipen för nätfiskesimuleringen: Styrs av cmdletarna *-PhishSimOverridePolicy .
- Åsidosättningsregeln för nätfiskesimulering: Styrs av cmdletarna *-ExoPhishSimOverrideRule .
- Tillåtna (avblockerade) URL:er för nätfiskesimulering: Styrs av cmdletarna *-TenantAllowBlockListItems .
Obs!
Som tidigare beskrivits krävs det inte att identifiera URL:er för länkar i e-postbaserade nätfiskesimuleringar. Du kan också identifiera länkar i nätfiskesimuleringar som inte är e-post (länkar i Teams-meddelanden eller i Office-dokument ) som inte ska behandlas som verkliga hot vid tidpunkten för klick.
Det här beteendet har följande resultat:
- Du skapar principen först och sedan skapar du regeln som identifierar principen som regeln gäller för.
- Du ändrar inställningarna i principen och regeln separat.
- När du tar bort en princip från PowerShell tas även motsvarande regel bort.
- När du tar bort en regel från PowerShell tas inte motsvarande princip bort. Du måste ta bort motsvarande princip manuellt.
Använda PowerShell för att konfigurera nätfiskesimuleringar från tredje part
Att konfigurera en nätfiskesimulering från tredje part i PowerShell är en process i flera steg:
- Skapa princip för åsidosättning av nätfiskesimulering.
- Skapa åsidosättningsregeln för nätfiskesimulering som anger:
- Principen som regeln gäller för.
- Käll-IP-adressen för meddelandena för nätfiskesimulering.
- Alternativt kan du identifiera url:erna för nätfiskesimulering i nätfiskesimuleringar som inte är e-post (länkar i Teams-meddelanden eller i Office-dokument ) som inte ska behandlas som verkliga hot vid tidpunkten för klick.
Steg 1: Använd PowerShell för att skapa princip för åsidosättning av nätfiskesimulering
I Exchange Online PowerShell skapar det här exemplet åsidosättningsprincipen för nätfiskesimulering.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
Oavsett vilket namnvärde du anger är principnamnet PhishSimOverridePolicy, så du kan lika gärna använda det värdet.
Detaljerad information om syntax och parametrar finns i New-PhishSimOverridePolicy.
Steg 2: Använd PowerShell för att skapa åsidosättningsregeln för nätfiskesimulering
Använd följande syntax i Exchange Online PowerShell:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
Oavsett vilket namnvärde du anger är _Exe:PhishSimOverr:<GUID\>
regelnamnet [sic] där <GUID> är ett unikt GUID-värde (till exempel 6fed4b63-3563-495d-a481-b24a311f8329).
En giltig IP-adresspost är något av följande värden:
- Enskild IP-adress: Till exempel 192.168.1.1.
- IP-intervall: Till exempel 192.168.0.1-192.168.0.254.
- CIDR IP: Till exempel 192.168.0.1/25.
Det här exemplet skapar åsidosättningsregeln för nätfiskesimulering med de angivna inställningarna.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Detaljerad information om syntax och parametrar finns i New-ExoPhishSimOverrideRule.
Steg 3: (Valfritt) Använd PowerShell för att identifiera url:er för nätfiskesimulering som tillåts
Använd följande syntax i Exchange Online PowerShell:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Mer information om URL-syntaxen finns i URL-syntaxen för listan Tillåt/blockera klientorganisation
Det här exemplet lägger till en URL-tillåten post för den angivna url:en för nätfiskesimulering från tredje part utan förfallodatum.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListItems.
Använda PowerShell för att visa princip för åsidosättning av nätfiskesimulering
I Exchange Online PowerShell returnerar det här exemplet detaljerad information om principen för åsidosättning av en och endast nätfiskesimulering.
Get-PhishSimOverridePolicy
Detaljerad information om syntax och parametrar finns i Get-PhishSimOverridePolicy.
Använda PowerShell för att visa åsidosättningsregler för nätfiskesimulering
I Exchange Online PowerShell returnerar det här exemplet detaljerad information om åsidosättningsregler för nätfiskesimulering.
Get-ExoPhishSimOverrideRule
Även om det tidigare kommandot endast ska returnera en regel kan eventuella regler som väntar på borttagning också inkluderas i resultatet.
Det här exemplet identifierar den giltiga regeln (en) och eventuella ogiltiga regler.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
När du har identifierat de ogiltiga reglerna kan du ta bort dem med cmdleten Remove-ExoPhishSimOverrideRule enligt beskrivningen senare i den här artikeln.
Detaljerad information om syntax och parametrar finns i Get-ExoPhishSimOverrideRule.
Använd PowerShell för att visa tillåtna URL-poster för nätfiskesimulering
Kör följande kommando i Exchange Online PowerShell:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.
Använda PowerShell för att ändra åsidosättningsprincipen för nätfiskesimulering
Använd följande syntax i Exchange Online PowerShell:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
Det här exemplet inaktiverar åsidosättningsprincipen för nätfiskesimulering.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Detaljerad information om syntax och parametrar finns i Set-PhishSimOverridePolicy.
Använda PowerShell för att ändra åsidosättningsregler för nätfiskesimulering
Använd följande syntax i Exchange Online PowerShell:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
eller
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Använd cmdleten Get-ExoPhishSimOverrideRule för att hitta <värdena för PhishSimOverrideRuleIdentity> . Namnet på regeln använder följande syntax: _Exe:PhishSimOverr:<GUID\>
[sic] där <GUID> är ett unikt GUID-värde (till exempel 6fed4b63-3563-495d-a481-b24a311f8329).
I det här exemplet ändras (förmodligen endast) åsidosättningsregeln för nätfiskesimulering med följande inställningar:
- Lägg till domänposten blueyonderairlines.com.
- Ta bort IP-adressposten 192.168.1.55.
Dessa ändringar påverkar inte befintliga poster i regeln.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Detaljerad information om syntax och parametrar finns i Set-ExoPhishSimOverrideRule.
Använda PowerShell för att ändra tillåtna URL-poster för nätfiskesimulering
Du kan inte ändra URL-värdena direkt. Du kan ta bort befintliga URL-poster och lägga till nya URL-poster enligt beskrivningen i den här artikeln.
I Exchange Online PowerShell använder du följande syntax för att ändra andra egenskaper för en tillåten URL-post för nätfiskesimulering (till exempel förfallodatum eller kommentarer):
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
Du kan identifiera posten som ska ändras med dess URL-värden (parametern Poster ) eller identitetsvärdet från utdata från cmdleten Get-TenantAllowBlockListItems ( parametern Ids ).
I det här exemplet ändrades förfallodatumet för den angivna posten.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListItems.
Använda PowerShell för att ta bort en princip för åsidosättning av nätfiskesimulering
I Exchange Online PowerShell tar det här exemplet bort princip för åsidosättning av nätfiskesimulering och motsvarande regel.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Detaljerad information om syntax och parametrar finns i Remove-PhishSimOverridePolicy.
Använda PowerShell för att ta bort åsidosättningsregler för nätfiskesimulering
Använd följande kommandon i Exchange Online PowerShell:
Ta bort eventuella åsidosättningsregler för nätfiskesimulering:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
Ta bort den angivna åsidosättningsregeln för nätfiskesimulering:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Detaljerad information om syntax och parametrar finns i Remove-ExoPhishSimOverrideRule.
Använd PowerShell för att ta bort tillåtna URL-poster för nätfiskesimulering
Använd följande syntax i Exchange Online PowerShell:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
Du kan identifiera posten som ska ändras med dess URL-värden (parametern Poster ) eller identitetsvärdet från utdata från cmdleten Get-TenantAllowBlockListItems ( parametern Ids ).
I det här exemplet ändrades förfallodatumet för den angivna posten.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListItems.