Jaa


Kehittyneiden toimituskäytäntöjen määrittäminen kolmannen osapuolen tietojenkalastelusimulaatioille ja sähköpostin toimittamiselle SecOps-postilaatikoihin

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Exchange Online Protection (EOP) ei salli turvallisia luetteloita tai suodatuksen ohitusta haittaohjelmistoksi tai erittäin luotettavaksi tietojenkalasteluksi tunnistettujen viestien suojaamiseksi oletusarvoisesti. On kuitenkin olemassa tiettyjä skenaarioita, jotka edellyttävät suodattamattomien viestien toimittamista. Esimerkki:

  • Kolmannen osapuolen tietojenkalastelusimulaatiot: Simuloidut hyökkäykset voivat auttaa tunnistamaan ja kouluttamaan haavoittuvassa asemassa olevia käyttäjiä, ennen kuin todellinen hyökkäys vaikuttaa organisaatioosi.
  • Suojaustoimintojen postilaatikot: Varatut postilaatikot, joita suojaustiimit käyttävät suodattamattomien viestien (sekä hyvien että huonojen) keräämiseen ja analysointiin.

EOP:n kehittyneen toimituksen käytännön avulla voit estää näissä tietyissä tilanteissa saapuvien viestien suodattamisen ¹. Tarkennetun toimituksen käytäntö varmistaa, että näissä skenaarioissa sanomat saavuttavat seuraavat tulokset:

Lisätoimituskäytännön tunnistamat viestit eivät ole suojausuhkia, joten viestit on merkitty järjestelmän ohituksilla. Hallinta kokemukset näyttävät nämä viestit tietojenkalastelusimulaationa tai SecOps-postilaatikkojärjestelmän ohituksena. Järjestelmänvalvojat voivat käyttää näitä arvoja viestien suodattamiseen ja analysointiin seuraavissa käyttökokemuksissa:

  • Threat Explorer (Explorer) tai reaaliaikaiset tunnistukset Defender for Office 365: Järjestelmänvalvojat voivat suodattaa järjestelmän ohituslähteen ja valita tietojenkalastelusimulaation tai SecOps-postilaatikon.
  • Sähköposti-entiteettisivu: Järjestelmänvalvojat voivat tarkastella organisaatiokäytännön sallimaa viestiä SecOps-postilaatikossa tai tietojenkalastelusimulaatiossaVuokraajan ohitus-kohdassa Ohitukset-osassa.
  • Uhkien suojauksen tilaraportti: Hallinta voi suodattaa tietojen perusteella järjestelmän ohituksen mukaan avattavassa valikossa ja valita, jos haluat nähdä tietojenkalastelusimulaatiojärjestelmän ohituksen vuoksi sallitut viestit. Jos haluat nähdä SecOps-postilaatikon sallimat viestit, voit valita kaavion erittelyn toimitussijainnin mukaankaavion erittely syyn mukaan -avattavasta luettelosta.
  • Kehittynyt metsästys Microsoft Defender for Endpoint: Tietojenkalastelun simulointi ja SecOps-postilaatikkojärjestelmän ohitukset ovat OrgLevelPolicy-asetuksen vaihtoehtoja EmailEventsissa.
  • Kampanjanäkymät: Hallinta voivat suodattaa järjestelmän ohituslähteen mukaan ja valita joko tietojenkalastelusimulaation tai SecOps-postilaatikon.

Mitä on hyvä tietää ennen aloittamista?

  • Avaat Microsoft Defender -portaalin osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan Lisätoimitus-sivulle, käytä -https://security.microsoft.com/advanceddelivery

  • Jos haluat muodostaa yhteyden Exchange Online PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online PowerShelliin.

  • Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

    • Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (hallinta) tai Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).

    • Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender-portaalissa ja Exchange Online käyttöoikeudet:

      • Lisätoimituskäytännön määritettyjen asetusten luominen, muokkaaminen tai poistaminen: Jäsenyys sähköpostin & yhteiskäytön RBAC:n suojauksen järjestelmänvalvojan rooliryhmässä ja Exchange Online RBAC:n Organisaation hallinta -rooliryhmän jäsenyys.
      • Vain luku -käyttöoikeus kehittyneen toimituksen käytäntöön: Yleinen lukija - tai Suojauksen lukija -rooliryhmien jäsenyys kohdassa Sähköposti & yhteistyö RBAC.
        • Vain tarkastelu -organisaation hallinta Exchange Online RBAC:ssä.
    • Microsoft Entra oikeudet: Yleisen järjestelmänvalvojan*, suojauksen järjestelmänvalvojan, yleisen lukijan tai suojauksen lukija -roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.

      Tärkeää

      * Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Microsoft Defender portaalin avulla voit määrittää SecOps-postilaatikot laajennetun toimituksen käytännössä

  1. Siirry Microsoft Defender portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Kehittynyt toimitusSäännöt-osassa. Voit myös siirtyä suoraan Lisätoimitus-sivulle valitsemalla https://security.microsoft.com/advanceddelivery.

    Varmista Lisätoimitus-sivulla , että SecOps-postilaatikko-välilehti on valittuna.

  2. Valitse SecOps-postilaatikko-välilehdenLisää-painike sivun Ei secops-postilaatikoita määritetyllä alueella.

    Jos SecOps-postilaatikko-välilehdellä on jo merkintöjä, valitse Muokkaa ( Lisää-painike ei ole käytettävissä).

  3. Kirjoita avautuvaan Lisää secops-postilaatikoita -pikaikkunaan aiemmin luotu Exchange Online postilaatikko, jonka haluat määrittää SecOps-postilaatikoksi tekemällä jommankumman seuraavista toimista:

    • Napsauta -ruutua, anna postilaatikoiden luettelon ratketa ja valitse sitten postilaatikko.

    • Napsauta ruutua ja ala kirjoittaa postilaatikon tunnusta (nimi, näyttönimi, alias, sähköpostiosoite, tilin nimi jne.) ja valitse tuloksista postilaatikko (näyttönimi).

      Toista tämä vaihe niin monta kertaa kuin on tarpeen. Jakeluryhmiä ei sallita.

      Jos haluat poistaa olemassa olevan arvon, valitse poista arvon vieristä.

  4. Kun olet valmis Lisää secops-postilaatikot -pikaikkunassa, valitse Lisää..

  5. Tarkista Muutokset SecOps-postilaatikkoon -kohdassa olevat tiedot ohita tallennettu pikaikkuna ja valitse sitten Sulje.

SecOps-postilaatikon välilehdellä on nyt lueteltu SecOps-postilaatikon merkinnät, jotka määritit:

  • Näyttönimi-sarake sisältää postilaatikoiden näyttönimen.
  • Sähköposti-sarake sisältää kunkin merkinnän sähköpostiosoitteen.
  • Jos haluat muuttaa merkintöjen luettelon normaalista tiivistettyyn välistykseen, valitse Muuta luettelon välistys tiivistettyyn tai normaaliin ja valitse sitten Järjestä luettelo.

Microsoft Defender portaalin avulla voit muokata tai poistaa SecOps-postilaatikoita laajennetun toimituksen käytännössä

  1. Siirry Microsoft Defender portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Kehittynyt toimitusSäännöt-osassa. Voit myös siirtyä suoraan Lisätoimitus-sivulle valitsemalla https://security.microsoft.com/advanceddelivery.

    Varmista Lisätoimitus-sivulla , että SecOps-postilaatikko-välilehti on valittuna.

  2. Valitse SecOps-postilaatikko-välilehdessäMuokkaa.

  3. Lisää tai poista avautuvassa Muokkaa secops-postilaatikoita -pikaikkunassa postilaatikoita kohdan Käytä Microsoft Defender portaalia vaiheessa 3 kuvatulla tavalla SecOps-postilaatikoiden määrittämiseksi laajennetun toimituksen käytäntöosiossa.

    Jos haluat poistaa kaikki postilaatikot, valitse poista kunkin arvon vieressä, kunnes yhtään postilaatikkoa ei enää ole valittuna.

  4. Kun olet valmis Muokkaa SecOps-postilaatikoita -pikaikkunassa, valitse Tallenna.

  5. Tarkista Muutokset SecOps-postilaatikkoon -kohdassa olevat tiedot ohita tallennettu pikaikkuna ja valitse sitten Sulje.

SecOps-postilaatikon välilehdellä näkyvät Määrittämäsi SecOps-postilaatikon merkinnät. Jos poistit kaikki merkinnät, luettelo on tyhjä.

Microsoft Defender portaalin avulla voit määrittää kolmannen osapuolen tietojenkalastelusimulaatioita laajennetun toimituksen käytännössä

Jos haluat määrittää kolmannen osapuolen tietojenkalastelusimuloinnin, sinun on annettava seuraavat tiedot:

  • Vähintään yksi toimialue: Toimialue MAIL FROM -osoitteesta (kutsutaan myös osoitteeksi, P1-lähettäjäksi tai kirjekuoren lähettäjäksi 5321.MailFrom ), jota käytetään viestin SMTP-lähetyksessä tai tietojenkalastelusimuloinnin toimittajan määrittämässä DKIM-toimialueessa.
  • Vähintään yksi lähettävä IP-osoite.
  • Muissa kuin sähköpostin tietojenkalastelusimulaatioissa (esimerkiksi Microsoft Teams -viesteissä, Word asiakirjoissa tai Excel-laskentataulukoissa) voit halutessasi tunnistaa simuloinnin URL-osoitteet, jotta niitä ei tule käsitellä todellisina uhkina napsautushetkellä: URL-osoitteita ei estetä tai räjäytetä eikä URL-napsautusilmoituksia tai niistä johtuvia tapauksia luoda. URL-osoitteet rivitetään napsautuksen yhteydessä, mutta niitä ei ole estetty.

Vähintään yhdessä toimialueessa ja yhdessä lähettävässä IP-osoitteessa on oltava vastaavuus, mutta arvojen välistä yhteyttä ei säilytetä.

Jos MX-tietue ei osoita Microsoft 365:een, otsikossa olevan Authentication-results IP-osoitteen on vastattava laajennetun toimituksen käytännön IP-osoitetta. Jos IP-osoitteet eivät vastaa toisiaan, sinun on ehkä määritettävä yhdistimien parannettu suodatus , jotta oikea IP-osoite havaitaan.

Huomautus

Parannettu liittimien suodatus ei toimi kolmannen osapuolen tietojenkalastelusimulaatioissa sähköpostin reititysskenaariossa, johon liittyy Exchange Onlineen kahdesti tulevaa sähköpostia (esimerkiksi Microsoft 365:een reititetty Internet-sähköposti, sitten paikalliseen ympäristöön tai kolmannen osapuolen suojauspalveluun ja sitten takaisin Microsoft 365:een). EOP ei pysty tunnistamaan viestilähteen todellista IP-osoitetta. Älä yritä kiertää tätä rajoitusta lisäämällä paikallisen tai kolmannen osapuolen lähettämän infrastruktuurin IP-osoitteet kolmannen osapuolen tietojenkalastelusimulaatioon. Tämä ohittaa tehokkaasti roskapostisuodattimen mille tahansa Internet-lähettäjälle, joka tekeytyy kolmannen osapuolen tietojenkalastelusimulaatiossa määritetyksi verkkotunnuksi. Reititysskenaarioita, joissa MX-tietue osoittaa kolmannen osapuolen palveluun ja sitten postia reititetään Exchange Online tuetaan, jos yhdistimien parannettu suodatus on määritetty.

Tällä hetkellä kolmannen osapuolen tietojenkalastelusimulaatioiden edistynyt toimituskäytäntö ei tue simulaatioita samassa organisaatiossa (DIR:INT), varsinkaan silloin, kun sähköposti reititetään Exchange Server yhdyskäytävän kautta ennen Microsoft 365:tä Hybridisähköpostityönkulussa. Voit kiertää tämän ongelman seuraavien vaihtoehtojen avulla:

  • Luo erillinen lähetysliitin , joka ei todenna tietojenkalastelusimulointiviestejä sisäisiksi.
  • Määritä tietojenkalastelusimulaatio ohittamaan Exchange Server infrastruktuuri ja reitittämään sähköpostit suoraan Microsoft 365 MX -tietueeseen (esimerkiksi contoso-com.mail.protection.outlook.com).
  • Vaikka voit määrittää organisaation sisäisen viestien tarkistuksen arvoksi Ei mitään roskapostin vastaisissa käytännöissä , emme suosittele tätä vaihtoehtoa, koska se vaikuttaa muihin sähköpostiviesteihin.

Jos käytät sisäistä suojauksen valmiiksi määritettyä suojauskäytäntöä tai mukautetuissa Turvalliset linkit -käytännöissä on asetus Älä kirjoita URL-osoitteita uudelleen, tee tarkistukset vain SafeLinks-ohjelmointirajapinnan kautta, napsautussuojauksen aika ei käsittele tietojenkalastelun simulointilinkkejä sähköpostissa uhkina Outlookin verkkoversio, Outlook for iOS:ssä ja Androidissa, Outlook for Windows v16.0.15317.10000:ssa tai sitä uudemmissa versioissa ja Outlook for Mac versio 16.74 (23061100) tai uudempi versio. Jos käytät Outlookin vanhempia versioita, harkitse Älä kirjoita uudelleen -URL-osoitteiden poistamista käytöstä. Tarkista vain SafeLinks-ohjelmointirajapinnan avulla mukautetut Turvalliset linkit -käytännöissä.

Tietojenkalastelusimulaatioiden URL-osoitteiden lisääminen Älä kirjoita seuraavia URL-osoitteita uudelleen sähköpostiosioon Turvalliset linkit -käytännöissä saattaa aiheuttaa ei-toivottuja ilmoituksia URL-napsautuksille. Sähköpostiviestien tietojenkalastelusimulaatioiden URL-osoitteet sallitaan automaattisesti sekä postinkulun aikana että napsautushetkellä.

Tällä hetkellä SecOps-postilaatikoiden kehittynyt toimituskäytäntö ei tue organisaation sisäisiä viestejä (DIR:INT), ja nämä viestit asetetaan karanteeniin. Vaihtoehtoisena menetelmänä voit käyttää erillistä roskapostin torjuntakäytäntöä SecOps-postilaatikoille, jotka eivät aseta organisaation sisäisiä viestejä karanteeniin. Emme suosittele organisaation sisäisen suojauksen poistamista käytöstä kaikissa postilaatikoissa.

  1. Siirry Microsoft Defender portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Kehittynyt toimitusSäännöt-osassa. Voit myös siirtyä suoraan Lisätoimitus-sivulle valitsemalla https://security.microsoft.com/advanceddelivery.

    Valitse Lisätoimitus-sivullaTietojenkalastelun simulointi -välilehti.

  2. Valitse tietojenkalastelusimulaatio-välilehdenLisää-painike sivun Ei kolmannen osapuolen tietojenkalastelusimulaatioita määritetyllä alueella.

    Jos tietojenkalastelusimuloinnin välilehdellä on jo merkintöjä, valitse Muokkaa ( Lisää-painike ei ole käytettävissä).

  3. Määritä avautuvassa Lisää kolmannen osapuolen tietojenkalastelusimulaatioita -pikaikkunassa seuraavat asetukset:

    • Toimialue: Laajenna tämä asetus ja kirjoita vähintään yksi sähköpostiosoitetoimialue napsauttamalla ruutua, antamalla arvo (esimerkiksi contoso.com) ja painamalla ENTER-näppäintä tai valitsemalla ruudun alapuolella näkyvä arvo. Toista tämä vaihe niin monta kertaa kuin on tarpeen. Voit lisätä enintään 50 merkintää. Käytä jotakin seuraavista arvoista:

      • Sen osoitteen toimialue 5321.MailFrom (tunnetaan myös nimellä MAIL FROM -osoite, P1-lähettäjä tai kirjekuoren lähettäjä), jota käytetään viestin SMTP-lähetyksessä.
      • Tietojenkalastelusimulaation toimittajan määrittämä DKIM-toimialue.
    • Ip-osoitteen lähettäminen: Laajenna tämä asetus ja kirjoita vähintään yksi kelvollinen IPv4-osoite napsauttamalla -ruutua, kirjoittamalla arvo ja painamalla ENTER-näppäintä tai valitsemalla ruudun alla näkyvä arvo. Toista tämä vaihe niin monta kertaa kuin on tarpeen. Voit lisätä enintään 10 merkintää. Kelvolliset arvot ovat:

      • Yksittäinen IP-osoite: esimerkiksi 192.168.1.1.
      • IP-alue: Esimerkiksi 192.168.0.1-192.168.0.254.
      • CIDR IP: Esimerkiksi 192.168.0.1/25.
    • Sallivat simuloinnin URL-osoitteet: Tätä asetusta ei tarvita sähköpostin tietojenkalastelusimulaatioiden linkeissä. Tämän asetuksen avulla voit halutessasi tunnistaa linkit muissa kuin sähköpostin tietojenkalastelusimulaatioissa (linkit Teams-viesteissä tai Office-asiakirjoissa ), joita ei tule kohdella todellisina uhkina napsautushetkellä.

      Lisää URL-osoitteita laajentamalla tämä asetus, napsauttamalla -ruutua, kirjoittamalla arvo ja painamalla ENTER-näppäintä tai valitsemalla ruudun alla näkyvä arvo. Voit lisätä enintään 30 merkintää. URL-syntaksi on vuokraajan sallittujen ja estettyjen luettelon URL-syntaksin kohdassa.

    Jos haluat poistaa aiemmin luodun toimialue-, IP- tai URL-arvon, valitse arvon vierestä Poista .

    Katso seuraavaa esimerkkiä:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
    smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
    header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
    
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
    s=selector1;
    h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
    bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    
    • Yhteyden muodostava IP-osoite on 172.17.17.7.
    • MAIL FROM -osoitteen (smtp.mailfrom) toimialue on contoso.com.
    • DKIM-toimialue (header.d) on contoso-simulation.com.

    Esimerkissä voit käyttää jotakin seuraavista yhdistelmistä kolmannen osapuolen tietojenkalastelusmuloinnin määrittämiseen:

    Toimialue: contoso.com
    Lähetetään IP-osoite: 172.17.17.7

    Toimialue: contoso-simulation.com
    Lähetetään IP-osoite: 172.17.17.7

  4. Kun olet valmis Lisää kolmannen osapuolen tietojenkalastelusimulaatioita -pikaikkunassa, valitse Lisää.

  5. Tarkista tietojenkalastelusimulaation muutosten ohituksen tallennetun pikaikkunan tiedot ja valitse sitten Sulje.

Tietojenkalastelusimulaatio-välilehdellä on nyt luettelo kolmannen osapuolen tietojenkalastelusimulaatiomerkinnöistä, jotka olet määrittänyt:

  • Value-sarake sisältää toimialueen, IP-osoitteen tai URL-merkinnän.
  • Type-sarake sisältää arvon Lähetys-IP, Toimialue tai Sallittu simuloinnin URL-osoite kullekin merkinnälle.
  • Päivämäärä-sarakkeessa näkyy, milloin merkintä luotiin.
  • Jos haluat muuttaa merkintöjen luettelon normaalista tiivistettyyn välistykseen, valitse Muuta luettelon välistys tiivistettyyn tai normaaliin ja valitse sitten Järjestä luettelo.

Microsoft Defender portaalin avulla voit muokata tai poistaa kolmannen osapuolen tietojenkalastelusimulaatioita laajennetun toimituksen käytännössä

  1. Siirry Microsoft Defender portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Kehittynyt toimitusSäännöt-osassa. Voit myös siirtyä suoraan Lisätoimitus-sivulle valitsemalla https://security.microsoft.com/advanceddelivery.

    Valitse Lisätoimitus-sivullaTietojenkalastelun simulointi -välilehti.

  2. Valitse Tietojenkalastelusimulaatio-välilehdessäMuokkaa.

  3. Lisää tai poista toimialueen, ip:n ja simuloinnin URL-osoitteiden muokkaamisen kolmannen osapuolen tietojenkalastelusimuloinnin pikaikkunassa Toimialueen, IP:n lähettämisen ja simuloinnin URL-osoitteiden merkintöjä kohdan Käytä Microsoft Defender portaalia kohdassa SecOps-postilaatikoiden määrittäminen laajennetun toimituksen käytäntöosiossa kuvatulla tavalla.

    Jos haluat poistaa kaikki merkinnät, valitse poista kunkin arvon viereistä, kunnes valittuja toimialueita, URL-osoitteita tai URL-osoitteita ei enää ole.

  4. Kun olet valmis Muokkaa kolmannen osapuolen tietojenkalastelusimulaatiota - pikaikkunassa, valitse Tallenna.

  5. Tarkista tietojenkalastelusimulaation muutosten ohituksen tallennetun pikaikkunan tiedot ja valitse sitten Sulje.

Tietojenkalastelusimulaatio-välilehdellä näytetään kolmannen osapuolen tietojenkalastelusimulaatiomerkinnät, jotka olet määrittänyt. Jos poistit kaikki merkinnät, luettelo on tyhjä.

Lisäskenaariot, jotka edellyttävät suodatusta, ohitus

Sen lisäksi, että kehittyneen toimituksen käytäntö voi auttaa sinua, on myös muita tilanteita, joissa saatat joutua ohittamaan viestien suodatuksen:

  • Kolmannen osapuolen suodattimet: Jos toimialueesi MX-tietue ei osoita Office 365 (viestit reititetään ensin muualle), oletusarvoisesti suojattuei ole käytettävissä. Jos haluat lisätä suojauksen, sinun on otettava käyttöön parannettu suodatus liittimiä varten (kutsutaan myös ohita luettelo). Lisätietoja on artikkelissa Postinkulun hallinta kolmannen osapuolen pilvipalvelun avulla Exchange Online kanssa. Jos et halua yhdistimien parannettua suodatusta, käytä postinkulun sääntöjä (joita kutsutaan myös siirtosäännöiksi) ohittaaksesi Microsoftin suodatuksen viesteille, jotka on jo arvioitu kolmannen osapuolen suodatuksella. Jos haluat lisätietoja, katso SCL:n määrittäminen viesteissä postinkulun sääntöjen avulla.

  • Virheelliset positiiviset tiedot, joita tarkastellaan: Haluat ehkä tilapäisesti sallia hyvät viestit, jotka on virheellisesti tunnistettu virheellisiksi (virheellisiksi positiivisiksi), jotka olet ilmoittanut järjestelmänvalvojan lähettämissä lähetyksissä, mutta Microsoft analysoi edelleen viestejä. Kuten kaikkien ohitteiden kohdalla, suosittelimme erittäin paljon , että nämä korvaukset ovat väliaikaisia.

PowerShell-toimintosarjoja SecOps-postilaatikoille laajennetun toimituksen käytännössä

PowerShellissä Lisätoimituskäytännön SecOps-postilaatikoiden peruselementit ovat seuraavat:

  • SecOps-ohituskäytäntö: Ohjaus: *-SecOpsOverridePolicy cmdlets.
  • SecOps-ohitussääntö: * -ExoSecOpsOverrideRule cmdlet-komentojen hallinnoima.

Tällä toiminnolla on seuraavat tulokset:

  • Luo käytäntö ensin ja luo sitten sääntö, joka määrittää käytännön, jota sääntö koskee.
  • Kun poistat käytännön PowerShellistä, myös vastaava sääntö poistetaan.
  • Kun poistat säännön PowerShellistä, vastaavaa käytäntöä ei poisteta. Vastaava käytäntö on poistettava manuaalisesti.

Määritä SecOps-postilaatikot PowerShellin avulla

SecOps-postilaatikon määrittäminen Kehittyneen toimituksen käytäntöön PowerShellissä on kaksivaiheinen prosessi:

  1. Luo SecOps-ohituskäytäntö.
  2. Luo SecOps-ohitussääntö, joka määrittää käytännön, jota sääntö koskee.

Vaihe 1: SecOps-ohituskäytännön luominen PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Määrittämästäsi Name-arvosta riippumatta käytännön nimi on SecOpsOverridePolicy, joten voit yhtä hyvin käyttää kyseistä arvoa.

Tämä esimerkki luo SecOps-postilaatikkokäytännön.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-SecOpsOverridePolicy.

Vaihe 2: SecOps-ohitussäännön luominen PowerShellin avulla

Suorita seuraava komento Exchange Online PowerShellissä:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Määrittämästäsi Nimi-arvosta riippumatta säännön nimi on _Exe:SecOpsOverrid:<GUID\> [sic], jossa <GUID> on yksilöivä GUID-arvo (esimerkiksi 312c23cf-0377-4162-b93d-6548a9977efb9).

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-ExoSecOpsOverrideRule.

Tarkastele SecOps-ohituskäytäntöä PowerShellin avulla

PowerShellin Exchange Online tämä esimerkki palauttaa yksityiskohtaisia tietoja vain SecOps -postilaatikkokäytännöstä.

Get-SecOpsOverridePolicy

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-SecOpsOverridePolicy.

Tarkastele SecOps-ohitussääntöjä PowerShellin avulla

PowerShellin Exchange Online tämä esimerkki palauttaa yksityiskohtaisia tietoja SecOps-ohitussäännöistä.

Get-ExoSecOpsOverrideRule

Vaikka edellisen komennon tulisi palauttaa vain yksi sääntö, myös poistamista odottava sääntö saattaa sisältyä tuloksiin.

Tässä esimerkissä määritetään kelvollinen sääntö (yksi) ja mahdolliset virheelliset säännöt.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Kun olet tunnistanut virheelliset säännöt, voit poistaa ne käyttämällä Remove-ExoSecOpsOverrideRule cmdlet-komentoa , joka kuvataan myöhemmin tässä artikkelissa.

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-ExoSecOpsOverrideRule.

Muokkaa SecOps-ohituskäytäntöä PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Tämä esimerkki lisää secops2@contoso.com SecOps-ohituskäytäntöön.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Huomautus

Jos liitetty, kelvollinen SecOps-ohitussääntö on olemassa, myös säännön sähköpostiosoitteet päivitetään.

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-SecOpsOverridePolicy.

SecOps-ohitussäännön muokkaaminen PowerShellin avulla

Set-ExoSecOpsOverrideRule cmdlet-komento ei muokkaa SecOps-ohitussäännön sähköpostiosoitteita. Jos haluat muokata SecOps-ohitussäännön sähköpostiosoitteita, käytä Set-SecOpsOverridePolicy cmdlet-komentoa .

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-ExoSecOpsOverrideRule.

Poista SecOps-ohituskäytäntö PowerShellin avulla

Tässä esimerkissä Exchange Online PowerShellissä poistetaan SecOps-postilaatikkokäytäntö ja sitä vastaava sääntö.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-SecOpsOverridePolicy.

SecOps-ohitussääntöjen poistaminen PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavia komentoja:

  • Poista kaikki SecOps-ohitussäännöt:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
    
  • Poista määritetty SecOps-ohitussääntö:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
    

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-ExoSecOpsOverrideRule.

Kolmannen osapuolen tietojenkalastelusimulaatioiden PowerShell-menettelyt laajennetun toimituksen käytännössä

PowerShellissä kolmannen osapuolen tietojenkalastelusimulaatioiden peruselementit kehittyneen toimituksen käytännössä ovat seuraavat:

  • Tietojenkalastelusimulaation ohituskäytäntö: Hallitse * -PhishSimOverridePolicy-cmdlet-komentoja .
  • Tietojenkalastelusimulaation ohitussääntö: Ohjaus: *-ExoPhishSimOverrideRule-cmdlet-komennot .
  • Sallitut (estottomat) tietojenkalastelun simuloinnin URL-osoitteet: * -TenantAllowBlockListItems-cmdlet-komentojen ohjaama.

Huomautus

Kuten aiemmin kuvattiin, URL-osoitteiden tunnistamista ei tarvita linkeissä sähköpostipohjaisissa tietojenkalastelusimulaatioissa. Voit myös tunnistaa linkit muissa kuin sähköpostin tietojenkalastelusimulaatioissa (linkit Teams-viesteissä tai Office-asiakirjoissa), joita ei tule käsitellä todellisina uhkina napsautushetkellä.

Tällä toiminnolla on seuraavat tulokset:

  • Luo käytäntö ensin ja luo sitten sääntö, joka määrittää käytännön, jota sääntö koskee.
  • Muokkaat käytännön ja säännön asetuksia erikseen.
  • Kun poistat käytännön PowerShellistä, myös vastaava sääntö poistetaan.
  • Kun poistat säännön PowerShellistä, vastaavaa käytäntöä ei poisteta. Vastaava käytäntö on poistettava manuaalisesti.

Kolmannen osapuolen tietojenkalastelusimulaatioiden määrittäminen PowerShellin avulla

Kolmannen osapuolen tietojenkalastelusmuloinnin määrittäminen PowerShellissä on monivaiheinen prosessi:

  1. Luo tietojenkalastelusimulaation ohituskäytäntö.
  2. Luo tietojenkalastelusimulaation ohitussääntö, joka määrittää:
    • Käytäntö, jota sääntö koskee.
    • Tietojenkalastelusimulaatioviestien IP-lähdeosoite.
  3. Vaihtoehtoisesti voit määrittää tietojenkalastelusimulaatioiden URL-osoitteet muissa kuin sähköpostin tietojenkalastelusimulaatioissa (linkit Teams-viesteissä tai Office-asiakirjoissa), joita ei tule käsitellä todellisina uhkina napsautushetkellä.

Vaihe 1: Tietojenkalastelusimulaation ohituskäytännön luominen PowerShellin avulla

PowerShellin Exchange Online tämä esimerkki luo tietojenkalastelusimulaation ohituskäytännön.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Määrittämästäsi Name-arvosta riippumatta käytännön nimi on PhishSimOverridePolicy, joten voit myös käyttää kyseistä arvoa.

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-PhishSimOverridePolicy.

Vaihe 2: Tietojenkalastelusimulaation ohitussäännön luominen PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Määrittämästäsi Nimi-arvosta riippumatta säännön nimi on _Exe:PhishSimOverr:<GUID\> [sic], jossa <GUID> on yksilöivä GUID-arvo (esimerkiksi 6fed4b63-3563-495d-a481-b24a311f8329).

Kelvollinen IP-osoitemerkintä on jokin seuraavista arvoista:

  • Yksittäinen IP-osoite: esimerkiksi 192.168.1.1.
  • IP-alue: Esimerkiksi 192.168.0.1-192.168.0.254.
  • CIDR IP: Esimerkiksi 192.168.0.1/25.

Tämä esimerkki luo tietojenkalastelusmuloinnin ohitussäännön määritetyillä asetuksilla.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-ExoPhishSimOverrideRule.

Vaihe 3: (Valinnainen) Käytä PowerShelliä tietojenkalastelusimuloinnin URL-osoitteiden tunnistamiseen, jotta

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Lisätietoja URL-syntaksista on vuokraajan sallittujen ja estettyjen kohteiden luettelon URL-syntaksissa

Tässä esimerkissä lisätään URL-osoite, joka sallii syöttämisen määritetylle kolmannen osapuolen tietojenkalastelusimuloinnin URL-osoitteelle ilman vanhentumista.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Tarkat syntaksi- ja parametritiedot ovat kohdassa New-TenantAllowBlockListItems.

Tietojenkalastelusimulaation ohituskäytännön tarkasteleminen PowerShellin avulla

PowerShellin Exchange Online tämä esimerkki palauttaa yksityiskohtaisia tietoja tietojenkalastelusimulaatioiden ohituskäytännöstä.

Get-PhishSimOverridePolicy

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-PhishSimOverridePolicy.

Tietojenkalastelusimuloinnin ohitussääntöjen tarkasteleminen PowerShellin avulla

Tässä esimerkissä Exchange Online PowerShellissä palautetaan yksityiskohtaisia tietoja tietojenkalastelusimuloinnin ohitussäännöistä.

Get-ExoPhishSimOverrideRule

Vaikka edellisen komennon tulisi palauttaa vain yksi sääntö, kaikki poistamista odottavat säännöt voidaan myös sisällyttää tuloksiin.

Tässä esimerkissä määritetään kelvollinen sääntö (yksi) ja mahdolliset virheelliset säännöt.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Kun olet tunnistanut virheelliset säännöt, voit poistaa ne käyttämällä Remove-ExoPhishSimOverrideRule cmdlet-komentoa , joka kuvataan myöhemmin tässä artikkelissa.

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-ExoPhishSimOverrideRule.

PowerShellin avulla voit tarkastella sallittuja tietojenkalastelun simuloinnin URL-merkintöjä

Suorita seuraava komento Exchange Online PowerShellissä:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-TenantAllowBlockListItems.

Tietojenkalastelusimulaation ohituskäytännön muokkaaminen PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Tässä esimerkissä poistetaan käytöstä tietojenkalastelusimulaation ohituskäytäntö.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-PhishSimOverridePolicy.

Tietojenkalastelusimuloinnin ohitussääntöjen muokkaaminen PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

TAI

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Etsi PhishSimOverrideRule-cmdlet-komennolla Get-ExoPhishSimOverrideRuleIdentity-arvot>.< Säännön nimi käyttää seuraavaa syntaksia: _Exe:PhishSimOverr:<GUID\> [sic], jossa <GUID> on yksilöivä GUID-arvo (esimerkiksi 6fed4b63-3563-495d-a481-b24a311f8329).

Tämä esimerkki muokkaa (oletettavasti vain) tietojenkalastelusimulaation ohitussääntöä seuraavilla asetuksilla:

  • Lisää toimialuemerkinnän blueyonderairlines.com.
  • Poista IP-osoitemerkintä 192.168.1.55.

Nämä muutokset eivät vaikuta säännön nykyisiin merkintöihin.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-ExoPhishSimOverrideRule.

PowerShellin avulla voit muokata sallittuja tietojenkalastelun simuloinnin URL-merkintöjä

Et voi muokata URL-arvoja suoraan. Voit poistaa aiemmin luotuja URL-osoitteita ja lisätä uusia URL-osoitteita tässä artikkelissa kuvatulla tavalla.

Jos haluat muokata powershellin Exchange Online sallitun tietojenkalastelusimoinnin URL-merkinnän muita ominaisuuksia (esimerkiksi vanhentumispäivämäärää tai kommentteja), käytä seuraavaa syntaksia:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Tunnistat merkinnän, jota muokataan sen URL-arvojen ( Merkinnät-parametri ) tai Identity-arvon mukaan Get-TenantAllowBlockListItems-cmdlet-komennon ( Ids-parametri ) tuloksen mukaan.

Tässä esimerkissä muokattiin määritetyn merkinnän vanhentumispäivää.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-TenantAllowBlockListItems.

Tietojenkalastelusimulaation ohituskäytännön poistaminen PowerShellin avulla

Tässä esimerkissä Exchange Online PowerShellissä poistetaan tietojenkalastelusimulaation ohituskäytäntö ja sitä vastaava sääntö.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-PhishSimOverridePolicy.

Tietojenkalastelusimuloinnin ohitussääntöjen poistaminen PowerShellin avulla

Käytä Exchange Online PowerShellissä seuraavia komentoja:

  • Poista tietojenkalastelusimulaation ohitussäännöt:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
    
  • Poista määritetty tietojenkalastelusimulaation ohitussääntö:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
    

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-ExoPhishSimOverrideRule.

PowerShellin avulla voit poistaa sallitut tietojenkalastelun simuloinnin URL-merkinnät

Käytä Exchange Online PowerShellissä seuraavaa syntaksia:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Tunnistat merkinnän, jota muokataan sen URL-arvojen ( Merkinnät-parametri ) tai Identity-arvon mukaan Get-TenantAllowBlockListItems-cmdlet-komennon ( Ids-parametri ) tuloksen mukaan.

Tässä esimerkissä muokattiin määritetyn merkinnän vanhentumispäivää.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-TenantAllowBlockListItems.