Aracılığıyla paylaş


Üçüncü taraf kimlik avı simülasyonları ve SecOps posta kutularına e-posta teslimi için gelişmiş teslim ilkesini yapılandırma

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Kuruluşunuzun varsayılan olarak güvenli kalmasını sağlamak için Exchange Online Protection (EOP), kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olarak tanımlanan iletiler için güvenli listelere veya filtreleme atlamalarına izin vermez. Ancak, filtrelenmemiş iletilerin teslimini gerektiren belirli senaryolar vardır. Örneğin:

  • Üçüncü taraf kimlik avı simülasyonları: Sanal saldırılar, kuruluşunuzu gerçek bir saldırı etkilemeden önce savunmasız kullanıcıları belirlemenize ve eğitmenize yardımcı olabilir.
  • Güvenlik işlemleri (SecOps) posta kutuları: Güvenlik ekipleri tarafından filtrelenmemiş iletileri (hem iyi hem de kötü) toplamak ve çözümlemek için kullanılan ayrılmış posta kutuları.

Bu belirli senaryolardaki gelen iletilerin filtrelenmesini önlemek için EOP'deki gelişmiş teslim ilkesini kullanın¹. Gelişmiş teslim ilkesi, bu senaryolardaki iletilerin aşağıdaki sonuçları elde etmesini sağlar:

Gelişmiş teslim ilkesi tarafından tanımlanan iletiler güvenlik tehditleri olmadığından, iletiler sistem geçersiz kılmalarıyla işaretlenir. Yönetici deneyimler bu iletileri Kimlik Avı benzetimi veya SecOps posta kutusu sistemi geçersiz kılmaları olarak gösterir. Yöneticiler, aşağıdaki deneyimlerdeki iletileri filtrelemek ve analiz etmek için bu değerleri kullanabilir:

  • Office 365 için Defender'da Tehdit Gezgini (Gezgin) veya Gerçek zamanlı algılamalar: Yöneticiler Sistem geçersiz kılma kaynağını filtreleyebilir ve Kimlik Avı simülasyonu veya SecOps Posta Kutusu'ni seçebilir.
  • Email varlık sayfası: Yöneticiler, Geçersiz Kılmalar bölümündeki Kiracı geçersiz kılma altında SecOps posta kutusu veya Kimlik Avı benzetimi tarafından kuruluş ilkesi tarafından izin verilen bir iletiyi görüntüleyebilir.
  • Tehdit koruması durum raporu: Yönetici, açılan menüde Sistem geçersiz kılmaya göre verileri görüntüleyebilir ve kimlik avı simülasyon sistemi geçersiz kılma nedeniyle izin verilen iletileri görmeyi seçebilir. SecOps posta kutusu geçersiz kılma tarafından izin verilen iletileri görmek için, nedene göre grafik dökümü açılan listesinden teslim konumuna göregrafik dökümünü seçebilirsiniz.
  • Uç Nokta için Microsoft Defender gelişmiş avcılık: Kimlik avı simülasyonu ve SecOps posta kutusu sistem geçersiz kılmaları, EmailEvents'teki OrgLevelPolicy'deki seçeneklerdir.
  • Kampanya Görünümleri: Yönetici Sistem geçersiz kılma kaynağında filtreleyebilir ve Kimlik Avı benzetimi veya SecOps Posta Kutusu'nı seçebilir.

Başlamadan önce bilmeniz gerekenler

  • Microsoft Defender portalını adresinde https://security.microsoft.comaçarsınız. Doğrudan Gelişmiş teslim sayfasına gitmek için kullanın https://security.microsoft.com/advanceddelivery.

  • Exchange Online PowerShell'e bağlanmak için bkz. Exchange Online PowerShell'e bağlanma.

  • Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Seçenekleriniz şunlardır:

    • Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. PowerShell'i değil yalnızca Defender portalını etkiler: Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (yönet) veya Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (okuma).

    • Microsoft Defender portalında işbirliği izinlerini ve Exchange Onlineizinlerini Email &:

      • Gelişmiş teslim ilkesinde yapılandırılmış ayarları oluşturun, değiştirin veya kaldırın: Email & işbirliği RBAC'sinde Güvenlik Yöneticisi rol gruplarında üyelik ve Exchange Online RBAC'deki Kuruluş Yönetimi rol grubu üyeliği.
      • Gelişmiş teslim ilkesine salt okunur erişim: Email & işbirliği RBAC'sinde Genel Okuyucu veya Güvenlik Okuyucusu rol gruplarında üyelik.
        • Exchange Online RBAC'de Salt Görüntüleme Kuruluş Yönetimi.
    • Microsoft Entra izinleri: Genel Yönetici*, Güvenlik Yöneticisi, Genel Okuyucu veya Güvenlik Okuyucusu rollerindeki üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.

      Önemli

      * Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Gelişmiş teslim ilkesinde SecOps posta kutularını yapılandırmak için Microsoft Defender portalını kullanma

  1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Kurallar bölümünde Email & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Gelişmiş teslim bölümüne gidin. Veya doğrudan Gelişmiş teslim sayfasına gitmek için kullanın https://security.microsoft.com/advanceddelivery.

    Gelişmiş teslim sayfasında SecOps posta kutusu sekmesinin seçili olduğunu doğrulayın.

  2. SecOps posta kutusu sekmesinde, sayfanın SecOps posta kutuları yapılandırılmadı alanında Ekle düğmesini seçin.

    SecOps posta kutusu sekmesinde zaten var olan girdiler varsa Düzenle'yi seçin (Ekle düğmesi kullanılamaz).

  3. Açılan SecOps posta kutuları ekle açılır penceresine, aşağıdaki adımlardan birini uygulayarak SecOps posta kutusu olarak ayarlamak istediğiniz mevcut bir Exchange Online posta kutusu girin:

    • Kutuya tıklayın, posta kutusu listesinin çözümlenmesine izin verin ve ardından posta kutusunu seçin.

    • Kutuya tıklayın, posta kutusu için bir tanımlayıcı yazmaya başlayın (ad, görünen ad, diğer ad, e-posta adresi, hesap adı vb.) ve sonuçlardan posta kutusunu (görünen ad) seçin.

      Bu adımı gerektiği kadar tekrarlayın. Dağıtım gruplarına izin verilmez.

      Mevcut bir değeri kaldırmak için değerin yanındaki kaldır'ı seçin.

  4. SecOps posta kutuları ekle açılır öğesinde işiniz bittiğinde Ekle... öğesini seçin.

  5. SecOps posta kutusunda yapılan değişiklikler posta kutusu geçersiz kılma açılır öğesindeki bilgileri gözden geçirin ve kapat'ı seçin.

SecOps posta kutusu sekmesine döndüğünüzde, yapılandırdığınız SecOps posta kutusu girişleri listelenir:

  • Görünen ad sütunu, posta kutularının görünen adını içerir.
  • Email sütunu her girişin e-posta adresini içerir.
  • Girdi listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Gelişmiş teslim ilkesinde SecOps posta kutularını değiştirmek veya kaldırmak için Microsoft Defender portalını kullanma

  1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Kurallar bölümünde Email & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Gelişmiş teslim bölümüne gidin. Veya doğrudan Gelişmiş teslim sayfasına gitmek için kullanın https://security.microsoft.com/advanceddelivery.

    Gelişmiş teslim sayfasında SecOps posta kutusu sekmesinin seçili olduğunu doğrulayın.

  2. SecOps posta kutusu sekmesinde Düzenle'yi seçin.

  3. Açılan SecOps posta kutularını düzenle açılır penceresinde, Gelişmiş teslim ilkesi bölümündeki SecOps posta kutularını yapılandırmak için Microsoft Defender portalını kullanma bölümündeki 3. Adım'da açıklandığı gibi posta kutularını ekleyin veya kaldırın.

    Tüm posta kutularını kaldırmak için, seçili başka posta kutusu kalmayıncaya kadar her değerin yanındaki Kaldır'ı seçin.

  4. SecOps posta kutularını düzenle açılır öğesinde işiniz bittiğinde Kaydet'i seçin.

  5. SecOps posta kutusunda yapılan değişiklikler posta kutusu geçersiz kılma açılır öğesindeki bilgileri gözden geçirin ve kapat'ı seçin.

SecOps posta kutusu sekmesine döndüğünüzde, yapılandırdığınız SecOps posta kutusu girişleri görüntülenir. Tüm girişleri kaldırdıysanız, liste boş olur.

Gelişmiş teslim ilkesinde üçüncü taraf kimlik avı simülasyonlarını yapılandırmak için Microsoft Defender portalını kullanın

Üçüncü taraf kimlik avı benzetimi yapılandırmak için aşağıdaki bilgileri sağlamanız gerekir:

  • En az bir Etki Alanı: Kimlik avı simülasyonu satıcısı tarafından belirtilen iletinin SMTP iletiminde veya DKIM etki alanında kullanılan MAIL FROM adresinden (adres, P1 gönderen veya zarf gönderen olarak da bilinir5321.MailFrom) etki alanı.
  • En az bir Ip Gönderiliyor.
  • E-posta olmayan kimlik avı simülasyonları (örneğin, Microsoft Teams iletileri, Word belgeleri veya Excel elektronik tabloları) için isteğe bağlı olarak, tıklama sırasında gerçek tehdit olarak değerlendirilmemesi gereken Simülasyon URL'lerini tanımlayabilirsiniz: URL'ler engellenmez veya patlamaz ve URL tıklama uyarıları veya sonuçta ortaya çıkan olaylar oluşturulmaz. URL'ler tıklandığında kaydırılır, ancak engellenmez.

En az bir Etki Alanı ve bir Gönderme IP'sinde eşleşme olması gerekir, ancak değerler arasındaki ilişki korunmaz.

MX kaydınız Microsoft 365'e işaret etmiyorsa, üst bilgideki Authentication-results IP adresi gelişmiş teslim ilkesindeki IP adresiyle eşleşmelidir. IP adresleri eşleşmiyorsa, doğru IP adresinin algılanması için Bağlayıcılar için Gelişmiş Filtreleme'yi yapılandırmanız gerekebilir.

Not

Bağlayıcılar için Gelişmiş Filtreleme, exchange online'a iki kez posta gelmesini içeren e-posta yönlendirme senaryolarında üçüncü taraf kimlik avı simülasyonları için çalışmaz (örneğin, Microsoft 365'e yönlendirilen İnternet e-postası, şirket içi ortama veya üçüncü taraf güvenlik hizmetine ve ardından Microsoft 365'e geri döner). EOP, ileti kaynağının gerçek IP adresini belirleyemiyor. Şirket içi veya üçüncü taraf gönderme altyapısının IP adreslerini üçüncü taraf kimlik avı benzetimine ekleyerek bu sınırlamaya geçici bir çözüm bulmaya çalışmayın. Bunu yapmak, üçüncü taraf kimlik avı simülasyonunda belirtilen etki alanının kimliğine bürünen tüm İnternet gönderenleri için istenmeyen posta filtrelemesini etkili bir şekilde atlar. MX kaydının üçüncü taraf bir hizmete işaret ettiği ve postanın Exchange Online yönlendirildiği yönlendirme senaryoları, Bağlayıcılar için Gelişmiş Filtreleme yapılandırılırsa desteklenir.

Şu anda, üçüncü taraf kimlik avı simülasyonları için gelişmiş teslim ilkesi, özellikle e-posta Karma posta akışında Microsoft 365'in öncesinde bir Exchange Server ağ geçidi üzerinden yönlendirildiğinde, aynı kuruluştaki (DIR:INT ) simülasyonları desteklememektedir. Bu sorunu geçici olarak çözmek için aşağıdaki seçeneklere sahipsiniz:

  • Kimlik avı benzetimi iletilerinin kimliğini dahili olarak doğrulamayan ayrılmış bir gönderme bağlayıcısı oluşturun.
  • kimlik avı benzetimini Exchange Server altyapısını atlayacak ve postaları doğrudan Microsoft 365 MX kaydınıza yönlendirecek şekilde yapılandırın (örneğin, contoso-com.mail.protection.outlook.com).
  • İstenmeyen postadan koruma ilkelerinde kuruluş içi ileti taramayı Yok olarak ayarlayabilirsiniz ancak diğer e-posta iletilerini etkilediğinden bu seçeneği önermeyiz.

Yerleşik koruma önayarlı güvenlik ilkesini kullanıyorsanız veya özel Güvenli Bağlantılar ilkelerinizde URL'leri yeniden yazma ayarı varsa, yalnızca SafeLinks API'si aracılığıyla denetimler yapın etkinse, tıklama zamanı koruması e-postadaki kimlik avı benzetimi bağlantılarını Web üzerinde Outlook, iOS ve Android için Outlook, Windows için Outlook v16.0.15317.10000 veya sonraki sürümlerinde tehdit olarak kabul etmez ve v16.74 (23061100) veya üzerini Mac için Outlook. Outlook'un eski sürümlerini kullanıyorsanız URL'leri yeniden yazma, yalnızca özel Güvenli Bağlantılar ilkelerinde SafeLinks API'si aracılığıyla denetimler yapma ayarını devre dışı bırakmayı göz önünde bulundurun.

Güvenli Bağlantılar ilkelerindeki E-postada aşağıdaki URL'leri yeniden yazma bölümüne kimlik avı benzetimi URL'leri eklemek, URL tıklamaları için istenmeyen uyarılara neden olabilir. E-posta iletilerindeki kimlik avı benzetimi URL'lerine hem posta akışı sırasında hem de tıklama sırasında otomatik olarak izin verilir.

Şu anda, SecOps posta kutuları için gelişmiş teslim ilkesi kuruluş içi iletileri (DIR:INT ) desteklemez ve bu iletiler karantinaya alınır. Geçici bir çözüm olarak, kuruluş içi iletileri karantinaya almayan SecOps posta kutuları için ayrı bir istenmeyen posta önleme ilkesi kullanabilirsiniz. Tüm posta kutuları için kuruluş içi korumayı devre dışı bırakmanızı önermeyiz.

  1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Kurallar bölümünde Email & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Gelişmiş teslim bölümüne gidin. Veya doğrudan Gelişmiş teslim sayfasına gitmek için kullanın https://security.microsoft.com/advanceddelivery.

    Gelişmiş teslim sayfasında Kimlik avı simülasyonu sekmesini seçin.

  2. Kimlik avı simülasyonu sekmesinde, sayfanın Üçüncü taraf kimlik avı simülasyonları yapılandırılmadı alanında Ekle düğmesini seçin.

    Kimlik Avı benzetimi sekmesinde zaten var olan girdiler varsa Düzenle'yi seçin (Ekle düğmesi kullanılamaz).

  3. Açılan Üçüncü taraf kimlik avı simülasyonları ekle açılır penceresinde aşağıdaki ayarları yapılandırın:

    • Etki alanı: Bu ayarı genişletin ve kutuya tıklayıp bir değer girerek (örneğin, contoso.com) ve enter tuşuna basarak veya kutunun altında görüntülenen değeri seçerek en az bir e-posta adresi etki alanı girin. Bu adımı gerektiği kadar tekrarlayın. En fazla 50 giriş ekleyebilirsiniz. Aşağıdaki değerlerden birini kullanın:

      • İletinin 5321.MailFrom SMTP iletiminde kullanılan adresteki etki alanı ( POSTA KIMDEN adresi, P1 gönderen veya zarf gönderen olarak da bilinir).
      • Kimlik avı simülasyonu satıcısı tarafından belirtilen DKIM etki alanı.
    • IP gönderme: Bu ayarı genişletin ve kutuya tıklayıp bir değer girip ENTER tuşuna basarak veya kutunun altında görüntülenen değeri seçerek en az bir geçerli IPv4 adresi girin. Bu adımı gerektiği kadar tekrarlayın. En fazla 10 giriş ekleyebilirsiniz. Geçerli değerler şunlardır:

      • Tek IP: Örneğin, 192.168.1.1.
      • IP aralığı: Örneğin, 192.168.0.1-192.168.0.254.
      • CIDR IP: Örneğin, 192.168.0.1/25.
    • İzin vermek için simülasyon URL'leri: Bu ayar e-posta kimlik avı simülasyonlarındaki bağlantılar için gerekli değildir. E-posta olmayan kimlik avı simülasyonlarındaki (Teams iletilerindeki veya Office belgelerindeki bağlantılar) tıklama sırasında gerçek tehdit olarak değerlendirilmemesi gereken bağlantıları isteğe bağlı olarak tanımlamak için bu ayarı kullanın.

      Bu ayarı genişleterek, kutuya tıklayarak, bir değer girerek ve enter tuşuna basarak veya kutunun altında görüntülenen değeri seçerek URL girdileri ekleyin. En fazla 30 giriş ekleyebilirsiniz. URL söz dizimi için bkz. Kiracı İzin Ver/Engelle Listesi için URL söz dizimi.

    Var olan bir etki alanı, IP veya URL değerini kaldırmak için değerin yanındaki kaldır'ı seçin.

    Aşağıdaki örneği göz önünde bulundurun:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
    smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
    header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
    
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
    s=selector1;
    h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
    bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    
    • Bağlanan IP adresi 172.17.17.7'dir.
    • MAIL FROM adresinde (smtp.mailfrom) etki alanı contoso.com.
    • DKIM etki alanı (header.d) contoso-simulation.com.

    Örnekten, üçüncü taraf kimlik avı simülasyonunu yapılandırmak için aşağıdaki bileşimlerden birini kullanabilirsiniz:

    Etki alanı: contoso.com
    IP Gönderiliyor: 172.17.17.7

    Etki alanı: contoso-simulation.com
    IP Gönderiliyor: 172.17.17.7

  4. Üçüncü taraf kimlik avı simülasyonları ekle açılır öğesinde işiniz bittiğinde Ekle'yi seçin.

  5. Kimlik avı benzetimi geçersiz kılma değişiklikleri açılır öğesindeki bilgileri gözden geçirin ve kapat'ı seçin.

Kimlik avı simülasyonu sekmesine döndüğünüzde, yapılandırdığınız üçüncü taraf kimlik avı benzetimi girdileri listelenir:

  • Değer sütunu etki alanı, IP adresi veya URL girişini içerir.
  • Tür sütunu, her giriş için IP, Etki Alanı veya İzin verilen simülasyon URL'si gönderme değerini içerir.
  • Date sütunu girişin ne zaman oluşturulduğunu gösterir.
  • Girdi listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Gelişmiş teslim ilkesinde üçüncü taraf kimlik avı simülasyonlarını değiştirmek veya kaldırmak için Microsoft Defender portalını kullanın

  1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Kurallar bölümünde Email & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Gelişmiş teslim bölümüne gidin. Veya doğrudan Gelişmiş teslim sayfasına gitmek için kullanın https://security.microsoft.com/advanceddelivery.

    Gelişmiş teslim sayfasında Kimlik avı simülasyonu sekmesini seçin.

  2. Kimlik avı simülasyonu sekmesinde Düzenle'yi seçin.

  3. Gelişmiş teslim ilkesi bölümündeki SecOps posta kutularını yapılandırmak için Microsoft Defender portalını kullanma bölümündeki 3. Adım'da açıklandığı gibi, Açılan Üçüncü taraf kimlik avı simülasyonunu düzenle açılır penceresinde Etki Alanı, Ip Gönderme ve Benzetim URL'leri için girdileri ekleyin veya kaldırın.

    Tüm girişleri kaldırmak için, başka etki alanı, IP veya URL seçilinceye kadar her değerin yanındaki kaldır'ı seçin.

  4. Üçüncü taraf kimlik avı simülasyonunu düzenle açılır öğesinde işiniz bittiğinde Kaydet'i seçin.

  5. Kimlik avı benzetimi geçersiz kılma değişiklikleri açılır öğesindeki bilgileri gözden geçirin ve kapat'ı seçin.

Kimlik avı simülasyonu sekmesine döndüğünüzde, yapılandırdığınız üçüncü taraf kimlik avı benzetimi girişleri görüntülenir. Tüm girişleri kaldırdıysanız, liste boş olur.

Filtreleme atlama gerektiren ek senaryolar

Gelişmiş teslim ilkesinin size yardımcı olabileceği iki senaryoya ek olarak, iletiler için filtrelemeyi atlamanız gerekebilecek başka senaryolar da vardır:

  • Üçüncü taraf filtreleri: Etki alanınızın MX kaydı Office 365 işaret etmiyorsa (iletiler önce başka bir yere yönlendirilir), varsayılan olarak güvenlikullanılamaz. Koruma eklemek istiyorsanız Bağlayıcılar için Gelişmiş Filtreleme'yi ( atlama listesi olarak da bilinir) etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. Exchange Online ile üçüncü taraf bulut hizmeti kullanarak posta akışını yönetme. Bağlayıcılar için Gelişmiş Filtreleme istemiyorsanız, üçüncü taraf filtreleme tarafından zaten değerlendirilmiş iletiler için Microsoft filtrelemesini atlamak için posta akışı kurallarını (aktarım kuralları olarak da bilinir) kullanın. Daha fazla bilgi için bkz. İletilerde SCL'yi ayarlamak için posta akışı kurallarını kullanma.

  • Gözden geçirilen hatalı pozitifler: Yönetici gönderimleri aracılığıyla bildirdiğiniz hatalı (hatalı pozitifler) olarak yanlış olarak tanımlanan iyi iletilere geçici olarak izin vermek isteyebilirsiniz, ancak iletiler Microsoft tarafından analiz edilmeye devam etmektedir. Tüm geçersiz kılmalarda olduğu gibi, bu izinlerin de geçici olması kesinlikle önerilir .

Gelişmiş teslim ilkesinde SecOps posta kutuları için PowerShell yordamları

PowerShell'de, gelişmiş teslim ilkesindeki SecOps posta kutularının temel öğeleri şunlardır:

  • SecOps geçersiz kılma ilkesi: *-SecOpsOverridePolicy cmdlet'leri tarafından denetlenir.
  • SecOps geçersiz kılma kuralı: *-ExoSecOpsOverrideRule cmdlet'leri tarafından denetlenir.

Bu davranış aşağıdaki sonuçlara sahiptir:

  • İlkeyi önce siz oluşturursunuz, ardından kuralın uygulandığı ilkeyi tanımlayan kuralı oluşturursunuz.
  • PowerShell'den bir ilkeyi kaldırdığınızda, ilgili kural da kaldırılır.
  • PowerShell'den bir kuralı kaldırdığınızda, ilgili ilke kaldırılmaz. İlgili ilkeyi el ile kaldırmanız gerekir.

SecOps posta kutularını yapılandırmak için PowerShell kullanma

PowerShell'de gelişmiş teslim ilkesinde SecOps posta kutusunu yapılandırmak iki adımlı bir işlemdir:

  1. SecOps geçersiz kılma ilkesini oluşturun.
  2. Kuralın uygulandığı ilkeyi belirten SecOps geçersiz kılma kuralını oluşturun.

1. Adım: SecOps geçersiz kılma ilkesini oluşturmak için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Belirttiğiniz Ad değerinden bağımsız olarak, ilke adı SecOpsOverridePolicy olduğundan bu değeri de kullanabilirsiniz.

Bu örnek SecOps posta kutusu ilkesini oluşturur.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-SecOpsOverridePolicy.

2. Adım: SecOps geçersiz kılma kuralını oluşturmak için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki komutu çalıştırın:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Belirttiğiniz Ad değerinden bağımsız olarak, kural adı [sic] olur _Exe:SecOpsOverrid:<GUID\> ; burada <GUID> benzersiz bir GUID değeridir (örneğin, 312c23cf-0377-4162-b93d-6548a9977efb9).

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-ExoSecOpsOverrideRule.

SecOps geçersiz kılma ilkesini görüntülemek için PowerShell kullanma

Exchange Online PowerShell'de bu örnek, tek ve tek SecOps posta kutusu ilkesi hakkında ayrıntılı bilgiler döndürür.

Get-SecOpsOverridePolicy

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-SecOpsOverridePolicy.

SecOps geçersiz kılma kurallarını görüntülemek için PowerShell kullanma

Exchange Online PowerShell'de, bu örnek SecOps geçersiz kılma kuralları hakkında ayrıntılı bilgi döndürür.

Get-ExoSecOpsOverrideRule

Önceki komutun yalnızca bir kural döndürmesi gerekse de, silinmeyi bekleyen bir kural da sonuçlara eklenebilir.

Bu örnek geçerli kuralı (bir) ve geçersiz kuralları tanımlar.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Geçersiz kuralları tanımladıktan sonra, bu makalenin devamında açıklandığı gibi Remove-ExoSecOpsOverrideRule cmdlet'ini kullanarak bunları kaldırabilirsiniz.

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-ExoSecOpsOverrideRule.

SecOps geçersiz kılma ilkesini değiştirmek için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Bu örnek SecOps geçersiz kılma ilkesine eklenir secops2@contoso.com .

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Not

İlişkili, geçerli bir SecOps geçersiz kılma kuralı varsa, kuraldaki e-posta adresleri de güncelleştirilir.

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-SecOpsOverridePolicy.

SecOps geçersiz kılma kuralını değiştirmek için PowerShell kullanma

Set-ExoSecOpsOverrideRule cmdlet'i SecOps geçersiz kılma kuralındaki e-posta adreslerini değiştirmez. SecOps geçersiz kılma kuralındaki e-posta adreslerini değiştirmek için Set-SecOpsOverridePolicy cmdlet'ini kullanın.

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-ExoSecOpsOverrideRule.

SecOps geçersiz kılma ilkesini kaldırmak için PowerShell kullanma

Exchange Online PowerShell'de bu örnek SecOps Posta Kutusu ilkesini ve ilgili kuralı kaldırır.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-SecOpsOverridePolicy.

SecOps geçersiz kılma kurallarını kaldırmak için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki komutları kullanın:

  • Tüm SecOps geçersiz kılma kurallarını kaldırın:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
    
  • Belirtilen SecOps geçersiz kılma kuralını kaldırın:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
    

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-ExoSecOpsOverrideRule.

Gelişmiş teslim ilkesinde üçüncü taraf kimlik avı simülasyonları için PowerShell yordamları

PowerShell'de, gelişmiş teslim ilkesindeki üçüncü taraf kimlik avı simülasyonlarının temel öğeleri şunlardır:

  • Kimlik avı simülasyonu geçersiz kılma ilkesi: *-PhishSimOverridePolicy cmdlet'leri tarafından denetlenir.
  • Kimlik avı simülasyonu geçersiz kılma kuralı: *-ExoPhishSimOverrideRule cmdlet'leri tarafından denetlenir.
  • İzin verilen (engellenmemiş) kimlik avı benzetimi URL'leri: *-TenantAllowBlockListItems cmdlet'leri tarafından denetlenir.

Not

Daha önce açıklandığı gibi, e-posta tabanlı kimlik avı simülasyonlarındaki bağlantılar için URL'leri tanımlamak gerekli değildir. İsteğe bağlı olarak, tıklama sırasında gerçek tehdit olarak değerlendirilmemesi gereken e-posta olmayan kimlik avı simülasyonlarındaki (Teams iletilerindeki veya Office belgelerindeki bağlantılar) bağlantıları tanımlayabilirsiniz.

Bu davranış aşağıdaki sonuçlara sahiptir:

  • İlkeyi önce siz oluşturursunuz, ardından kuralın uygulandığı ilkeyi tanımlayan kuralı oluşturursunuz.
  • İlkedeki ve kuraldaki ayarları ayrı ayrı değiştirirsiniz.
  • PowerShell'den bir ilkeyi kaldırdığınızda, ilgili kural da kaldırılır.
  • PowerShell'den bir kuralı kaldırdığınızda, ilgili ilke kaldırılmaz. İlgili ilkeyi el ile kaldırmanız gerekir.

Üçüncü taraf kimlik avı simülasyonlarını yapılandırmak için PowerShell kullanma

PowerShell'de üçüncü taraf kimlik avı simülasyonu yapılandırmak çok adımlı bir işlemdir:

  1. Kimlik avı benzetimi geçersiz kılma ilkesini oluşturun.
  2. Aşağıdakileri belirten kimlik avı benzetimi geçersiz kılma kuralını oluşturun:
    • Kuralın uygulandığı ilke.
    • Kimlik avı benzetimi iletilerinin kaynak IP adresi.
  3. İsteğe bağlı olarak, tıklama sırasında gerçek tehdit olarak değerlendirilmemesi gereken e-posta olmayan kimlik avı simülasyonlarında (Teams iletilerindeki veya Office belgelerindeki bağlantılar) kimlik avı simülasyonu URL'lerini belirleyin.

1. Adım: Kimlik avı benzetimi geçersiz kılma ilkesini oluşturmak için PowerShell kullanma

Exchange Online PowerShell'de bu örnek, kimlik avı benzetimi geçersiz kılma ilkesini oluşturur.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Belirttiğiniz Ad değerinden bağımsız olarak ilke adı PhishSimOverridePolicy olduğundan bu değeri de kullanabilirsiniz.

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-PhishSimOverridePolicy.

2. Adım: Kimlik avı benzetimi geçersiz kılma kuralını oluşturmak için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Belirttiğiniz Ad değerinden bağımsız olarak, kural adı [sic] olur _Exe:PhishSimOverr:<GUID\> ; burada <GUID> benzersiz bir GUID değeridir (örneğin, 6fed4b63-3563-495d-a481-b24a311f8329).

Geçerli bir IP adresi girişi aşağıdaki değerlerden biridir:

  • Tek IP: Örneğin, 192.168.1.1.
  • IP aralığı: Örneğin, 192.168.0.1-192.168.0.254.
  • CIDR IP: Örneğin, 192.168.0.1/25.

Bu örnek, belirtilen ayarlarla kimlik avı benzetimi geçersiz kılma kuralını oluşturur.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-ExoPhishSimOverrideRule.

3. Adım: (İsteğe bağlı) İzin vermek üzere kimlik avı benzetimi URL'lerini tanımlamak için PowerShell kullanın

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

URL söz dizimi hakkında ayrıntılı bilgi için bkz. Kiracı İzin Ver/Engelle Listesi için URL söz dizimi

Bu örnek, belirtilen üçüncü taraf kimlik avı benzetimi URL'si için süre sonu olmayan bir URL izin girişi ekler.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-TenantAllowBlockListItems.

Kimlik avı benzetimi geçersiz kılma ilkesini görüntülemek için PowerShell kullanma

Exchange Online PowerShell'de bu örnek, tek ve tek kimlik avı benzetimi geçersiz kılma ilkesi hakkında ayrıntılı bilgi döndürür.

Get-PhishSimOverridePolicy

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-PhishSimOverridePolicy.

Kimlik avı benzetimi geçersiz kılma kurallarını görüntülemek için PowerShell kullanma

Exchange Online PowerShell' de), bu örnek kimlik avı benzetimi geçersiz kılma kuralları hakkında ayrıntılı bilgi döndürür.

Get-ExoPhishSimOverrideRule

Önceki komutun yalnızca bir kural döndürmesi gerekse de, silinmeyi bekleyen tüm kurallar da sonuçlara eklenebilir.

Bu örnek geçerli kuralı (bir) ve geçersiz kuralları tanımlar.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Geçersiz kuralları tanımladıktan sonra, bu makalenin devamında açıklandığı gibi Remove-ExoPhishSimOverrideRule cmdlet'ini kullanarak bunları kaldırabilirsiniz.

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-ExoPhishSimOverrideRule.

İzin verilen kimlik avı benzetimi URL girişlerini görüntülemek için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki komutu çalıştırın:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-TenantAllowBlockListItems.

Kimlik avı benzetimi geçersiz kılma ilkesini değiştirmek için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Bu örnek, kimlik avı benzetimi geçersiz kılma ilkesini devre dışı bırakır.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-PhishSimOverridePolicy.

Kimlik avı benzetimi geçersiz kılma kurallarını değiştirmek için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

veya

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

PhishSimOverrideRuleIdentity> değerlerini bulmak <için Get-ExoPhishSimOverrideRule cmdlet'ini kullanın. Kuralın adı şu söz dizimini kullanır: _Exe:PhishSimOverr:<GUID\> [sic] burada <GUID> benzersiz bir GUID değeridir (örneğin, 6fed4b63-3563-495d-a481-b24a311f8329).

Bu örnek, kimlik avı benzetimi geçersiz kılma kuralını (muhtemelen yalnızca) aşağıdaki ayarlarla değiştirir:

  • Etki alanı girdisini blueyonderairlines.com ekleyin.
  • 192.168.1.55 IP adresi girişini kaldırın.

Bu değişiklikler kuraldaki mevcut girişleri etkilemez.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-ExoPhishSimOverrideRule.

İzin verilen kimlik avı benzetimi URL girişlerini değiştirmek için PowerShell kullanma

URL değerlerini doğrudan değiştiremezsiniz. Var olan URL girdilerini kaldırabilir ve bu makalede açıklandığı gibi yeni URL girdileri ekleyebilirsiniz.

Exchange Online PowerShell'de, izin verilen bir kimlik avı benzetimi URL girişinin diğer özelliklerini (örneğin, son kullanma tarihi veya açıklamalar) değiştirmek için aşağıdaki söz dizimini kullanın:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Değiştirileceği girdiyi URL değerlerine ( Entrys parametresi) veya Get-TenantAllowBlockListItems cmdlet'inin ( Ids parametresi) çıkışındaki Identity değerine göre tanımlarsınız.

Bu örnek, belirtilen girişin sona erme tarihini değiştirdi.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-TenantAllowBlockListItems.

Kimlik avı benzetimi geçersiz kılma ilkesini kaldırmak için PowerShell kullanma

Exchange Online PowerShell'de bu örnek, kimlik avı benzetimi geçersiz kılma ilkesini ve buna karşılık gelen kuralı kaldırır.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-PhishSimOverridePolicy.

Kimlik avı benzetimi geçersiz kılma kurallarını kaldırmak için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki komutları kullanın:

  • Tüm kimlik avı benzetimi geçersiz kılma kurallarını kaldırın:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
    
  • Belirtilen kimlik avı benzetimi geçersiz kılma kuralını kaldırın:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
    

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-ExoPhishSimOverrideRule.

İzin verilen kimlik avı benzetimi URL girişlerini kaldırmak için PowerShell kullanma

Exchange Online PowerShell'de aşağıdaki söz dizimini kullanın:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Değiştirileceği girdiyi URL değerlerine ( Entrys parametresi) veya Get-TenantAllowBlockListItems cmdlet'inin ( Ids parametresi) çıkışındaki Identity değerine göre tanımlarsınız.

Bu örnek, belirtilen girişin sona erme tarihini değiştirdi.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-TenantAllowBlockListItems.