Jaa


Haittaohjelmien torjuntakäytäntöjen määrittäminen EOP:ssa

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa ilman Exchange Online postilaatikoita, EOP suojaa sähköpostiviestit automaattisesti haittaohjelmilta. EOP käyttää haittaohjelmien torjuntakäytäntöjä haittaohjelmien torjunta-asetuksiin. Lisätietoja on artikkelissa Haittaohjelmien torjunta.

Vihje

Suosittelemme, että otat käyttöön ja lisäät kaikki käyttäjät vakio- ja/tai strict-suojauskäytäntöihin. Lisätietoja on kohdassa Suojauskäytäntöjen määrittäminen.

Oletusarvoinen haittaohjelmien torjuntakäytäntö koskee automaattisesti kaikkia vastaanottajia. Rakeisuuden lisäämiseksi voit myös luoda mukautettuja haittaohjelmien torjuntakäytäntöjä, jotka koskevat organisaatiosi tiettyjä käyttäjiä, ryhmiä tai toimialueita.

Huomautus

Oletusarvoinen haittaohjelmien torjuntakäytäntö koskee saapuvia ja lähteviä sähköpostiviestejä. Mukautetut haittaohjelmien torjuntakäytännöt koskevat vain saapuvaa sähköpostia.

Voit määrittää haittaohjelmien torjuntakäytäntöjä Microsoft Defender portaalissa tai PowerShellissä (Exchange Online PowerShell Microsoft 365 -organisaatioille, joissa on postilaatikoita Exchange Online; erillinen EOP PowerShell organisaatioille, joilla ei ole Exchange Online postilaatikoita).

Mitä on hyvä tietää ennen aloittamista?

Haittaohjelmien torjuntakäytäntöjen luominen Microsoft Defender portaalin avulla

  1. Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comSähköposti & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Haittaohjelmien torjunta Käytännöt-osiossa. Jos haluat siirtyä suoraan haittaohjelmien torjuntasivulle, käytä .https://security.microsoft.com/antimalwarev2

  2. Valitse Haittaohjelmien torjunta -sivulla Luo avataksesi uuden haittaohjelmien torjuntakäytännön ohjatun toiminnon.

  3. Määritä käytäntösivun Nimi-kohdassa seuraavat asetukset:

    • Nimi: Anna käytännölle yksilöllinen, kuvaava nimi.
    • Kuvaus: Kirjoita käytännön valinnainen kuvaus.

    Kun olet valmis Nimeä käytäntö - sivulla, valitse Seuraava.

  4. Tunnista Käyttäjät ja toimialueet -sivulla sisäiset vastaanottajat , joita käytäntö koskee (vastaanottajan ehdot):

    • Käyttäjät: Määritetyt postilaatikot, sähköpostin käyttäjät tai sähköpostin yhteystiedot.
    • Ryhmät:
      • Määritettyjen jakeluryhmien tai sähköpostia käyttävien käyttöoikeusryhmien jäsenet (dynaamisia jakeluryhmiä ei tueta).
      • Määritetty Microsoft 365 -ryhmät.
    • Toimialueet: Kaikki organisaation vastaanottajat, joilla on ensisijainen sähköpostiosoite määritetyssä hyväksytyssä toimialueessa.

    Napsauta sopivaa ruutua, ala kirjoittaa arvoa ja valitse haluamasi arvo tuloksista. Toista tämä prosessi niin monta kertaa kuin on tarpeen. Jos haluat poistaa olemassa olevan arvon, valitse arvon vieristä.

    Käyttäjille tai ryhmille voit käyttää useimpia tunnisteita (nimi, näyttönimi, alias, sähköpostiosoite, tilin nimi jne.), mutta vastaava näyttönimi näkyy tuloksissa. Jos kyseessä on käyttäjä tai ryhmä, kirjoita tähti (*) itsekseen, jotta näet kaikki käytettävissä olevat arvot.

    Voit käyttää ehtoa vain kerran, mutta ehto voi sisältää useita arvoja:

    • Useat saman ehdonarvot käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <vastaanottaja2>). Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä sovelletaan niihin.

    • Erityyppiset ehdot käyttävät AND-logiikkaa. Vastaanottajan on vastattava kaikkia määritettyjä ehtoja, jotta käytäntöä voidaan soveltaa niihin. Voit esimerkiksi määrittää ehdon seuraavilla arvoilla:

      • Käyttäjät: romain@contoso.com
      • Ryhmät: Johtajat

      Käytäntöä romain@contoso.com sovelletaan vain, jos hän on myös Johtajat-ryhmän jäsen. Muuten käytäntöä ei sovelleta häneen.

    • Jätä pois nämä käyttäjät, ryhmät ja toimialueet: Jos haluat lisätä poikkeuksia sisäisille vastaanottajille, joita käytäntö koskee (vastaanottajapoikkeukset), valitse tämä vaihtoehto ja määritä poikkeukset.

      Voit käyttää poikkeusta vain kerran, mutta poikkeus voi sisältää useita arvoja:

      • Saman poikkeuksen useat arvot käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <vastaanottaja2>). Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä ei käytetä niihin.
      • ERI poikkeustyypit käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <group1>:n jäsen tai <toimialueen1> jäsen). Jos vastaanottaja vastaa jotakin määritetyistä poikkeusarvoista, käytäntöä ei sovelleta niihin.

    Kun olet valmis Käyttäjät ja toimialueet -sivulla, valitse Seuraava.

  5. Määritä Suojausasetukset-sivulla seuraavat asetukset:

    • Suojausasetukset-osa :

      • Ota käyttöön yleisten liitteiden suodatin: Jos valitset tämän vaihtoehdon, viestejä, joissa on määritetyt liitteet, käsitellään haittaohjelmistona, ja ne asetetaan automaattisesti karanteeniin. Voit muokata luetteloa valitsemalla Mukauta tiedostotyyppejä ja valitsemalla luettelosta arvot tai poistamalla niiden valinnan.

        Katso oletusarvot ja käytettävissä olevat arvot kohdasta Yleiset liitteet suodatetaan haittaohjelmien torjuntakäytännöissä.

        Kun näitä tyyppejä löytyy: Valitse jokin seuraavista arvoista:

        • Hylkää viesti toimittamattomalla raportilla (NDR) (tämä on oletusarvo)
        • Aseta viesti karanteeniin
      • Ota käyttöön nolla tunnin automaattinen haittaohjelmien puhdistus: Jos valitset tämän vaihtoehdon, ZAP asettaa haittaohjelmaviestit karanteeniin, jotka on jo toimitettu. Lisätietoja on kohdassa Nollatuntinen automaattinen puhdistus (ZAP) haittaohjelmien poistamiseksi.

      • Karanteenikäytäntö: Valitse karanteenikäytäntö, joka koskee viestejä, jotka on asetettu karanteeniin haittaohjelmaksi. Oletusarvoisesti karanteenikäytäntöä nimeltä AdminOnlyAccessPolicy käytetään haittaohjelmien tunnistamiseen. Lisätietoja tästä karanteenikäytännöstä on kohdassa Karanteenikäytännön anatomia.

        Vihje

        Karanteeniilmoitukset on poistettu käytöstä käytännössä nimeltä AdminOnlyAccessPolicy. Jos haluat ilmoittaa vastaanottajille, joiden viestit on asetettu karanteeniin haittaohjelmistona, luo tai käytä aiemmin luotua karanteenikäytäntöä, jossa karanteeniilmoitukset on otettu käyttöön. Katso ohjeet kohdasta Karanteenikäytäntöjen luominen Microsoft Defender portaalissa.

        Käyttäjät eivät voi julkaista omia viestejään, jotka on asetettu karanteeniin haittaohjelmien torjuntakäytäntöjen avulla, riippumatta siitä, miten karanteenikäytäntö on määritetty. Jos käytäntö sallii käyttäjien julkaista omia karanteeniin asetettuja viestejään, käyttäjät voivat sen sijaan pyytää karanteeniin asetettujen haittaohjelmaviestiensä vapauttamista.

    • Ilmoitukset-osa :

      • Hallinta ilmoitusosio: Valitse ei mitään, yksi tai molemmat seuraavista vaihtoehdoista:

        • Ilmoita järjestelmänvalvojalle sisäisten lähettäjien toimittamattomista viesteistä: Jos valitset tämän vaihtoehdon, kirjoita vastaanottajan sähköpostiosoite näkyviin Hallinta sähköpostiosoitteen ruutuun.
        • Ilmoita järjestelmänvalvojalle ulkoisten lähettäjien toimittamattomista viesteistä: Jos valitset tämän vaihtoehdon, kirjoita vastaanottajan sähköpostiosoite näkyviin Hallinta sähköpostiosoitteen ruutuun.

        Vihje

        Hallinta ilmoituksia lähetetään vain haittaohjelmaksi luokiteltuihin liitteisiin.

        Haittaohjelmien torjuntakäytännölle määritetty karanteenikäytäntö määrittää, saavatko vastaanottajat sähköposti-ilmoituksia viesteistä, jotka on asetettu karanteeniin haittaohjelmaksi.

      • Mukauta ilmoituksia -osa: Tämän osan asetusten avulla voit mukauttaa järjestelmänvalvojan ilmoituksissa käytettäviä viestin ominaisuuksia.

        • Käytä mukautettua ilmoitustekstiä: Jos valitset tämän vaihtoehdon, määritä lähettäjän nimi ja sähköpostiosoite järjestelmänvalvojan ilmoitusviestejä varten käyttämällä Lähettäjän nimi - ja Lähettäjä-osoiteruutuja .

        • Mukauta sisäisten lähettäjien viestien ilmoituksia: Jos olet aiemmin valinnut Ilmoita järjestelmänvalvojalle sisäisten lähettäjien toimittamattomista viesteistä, määritä järjestelmänvalvojan ilmoitusviestien aihe- ja viestirunko tässä osassa näkyvien Aihe- ja Viesti-ruutujen avulla.

        • Mukauta ulkoisten lähettäjien viestien ilmoituksia: Jos olet aiemmin valinnut Ilmoita järjestelmänvalvojalle ulkoisten lähettäjien toimittamattomista viesteistä, määritä järjestelmänvalvojan ilmoitusviestien aihe- ja viestirunko tässä osassa näkyvien Aihe- ja Viesti-ruutujen avulla.

    Kun olet valmis Suojausasetukset-sivulla , valitse Seuraava.

  6. Tarkista asetukset Tarkista-sivulla . Voit muokata -osan asetuksia valitsemalla kussakin osiossa Muokkaa . Voit myös valita Takaisin tai haluamasi sivun ohjatussa toiminnossa.

    Kun olet valmis Tarkista-sivulla , valitse Lähetä.

  7. Luotu uusi haittaohjelmien torjuntakäytäntö -sivulla voit valita linkit tarkastellaksesi käytäntöä, tarkastellaksesi haittaohjelmien torjuntakäytäntöjä ja oppiaksesi lisää haittaohjelmien torjuntakäytännöistä.

    Kun olet valmis , valitse Luotu uusi haittaohjelmien torjunta -käytäntösivullaValmis.

    Haittaohjelmien torjunta -sivulla näkyy uusi käytäntö.

Microsoft Defender portaalin avulla voit tarkastella haittaohjelmien torjuntakäytännön tietoja

Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comSähköposti & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Haittaohjelmien torjunta Käytännöt-osiossa. Tai jos haluat siirtyä suoraan haittaohjelmien torjuntasivulle, käytä .https://security.microsoft.com/antimalwarev2

Haittaohjelmien torjunta -sivulla seuraavat ominaisuudet näkyvät haittaohjelmien torjuntakäytäntöjen luettelossa:

Jos haluat muuttaa käytäntöluettelon normaalista tiivistettyyn välistykseen, valitse Muuta luettelon välistys tiivistettyyn tai normaaliin ja valitse sitten Järjestä luettelo.

Etsi tietyt haittaohjelmien torjuntakäytännöt hakuruudun ja sitä vastaavan arvon avulla.

Vie käytäntöluettelo CSV-tiedostoon Vie-toiminnolla.

Valitse käytäntö napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua, jolloin käytännön tiedot-pikaikkuna avautuu.

Vihje

Jos haluat nähdä lisätietoja muista haittaohjelmien torjuntakäytännöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

Microsoft Defender portaalin avulla voit ryhtyä toimiin haittaohjelmien torjuntakäytännöissä

Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comSähköposti & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Haittaohjelmien torjunta Käytännöt-osiossa. Jos haluat siirtyä suoraan haittaohjelmien torjuntasivulle, käytä .https://security.microsoft.com/antimalwarev2

Valitse haittaohjelmien torjunta -sivulla haittaohjelmien torjuntakäytäntö jommallakummalla seuraavista menetelmistä:

  • Valitse käytäntö luettelosta valitsemalla sen nimen vieressä oleva valintaruutu. Seuraavat toiminnot ovat käytettävissä avattavassa Lisää toimintoja - luettelossa:

    • Ota valitut käytännöt käyttöön.
    • Poista valitut käytännöt käytöstä.
    • Poista valitut käytännöt.

    Haittaohjelmien torjuntasivu, jossa käytäntö on valittuna, ja Lisää toimintoja -ohjausobjekti on laajennettu.

  • Valitse käytäntö luettelosta napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua. Jotkin tai kaikki seuraavat toiminnot ovat käytettävissä avautuvassa tiedot-pikaikkunassa:

    • Muokkaa käytäntöasetuksia valitsemalla kussakin osassa Muokkaa (mukautetut käytännöt tai oletuskäytäntö)
    • Ota käyttöön tai poista käytöstä (vain mukautetut käytännöt)
    • Kasvata prioriteettia tai pienennä prioriteettia (vain mukautetut käytännöt)
    • Poista käytäntö (vain mukautetut käytännöt)

    Mukautetun haittaohjelmien torjuntakäytännön tiedot-pikaikkuna.

Toiminnot kuvataan seuraavissa alikohdissa.

Microsoft Defender portaalin avulla voit muokata haittaohjelmien torjuntakäytäntöjä

Kun valitset oletusarvoisen haittaohjelmien torjuntakäytännön tai mukautetun käytännön napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua, käytäntöasetukset näkyvät avautuvassa tiedot-pikaikkunassa. Muokkaa osan asetuksia valitsemalla kussakin osiossa Muokkaa . Lisätietoja asetuksista on tämän artikkelin kohdassa Haittaohjelmien torjuntakäytäntöjen luominen .

Oletuskäytännön osalta et voi muokata käytännön nimeä, eikä vastaanottajien suodattimia ole määritettävä (käytäntö koskee kaikkia vastaanottajia). Voit kuitenkin muokata kaikkia muita käytännön asetuksia.

Haittaohjelmien torjuntakäytännöissä, joiden nimi on Vakio esiasetattu suojauskäytäntö ja Tiukka ennalta määritetty suojauskäytäntö , jotka liittyvät valmiiksi määritettyihin suojauskäytäntöihin, et voi muokata käytäntöasetuksia tiedot-pikaikkunassa. Sen sijaan valitset Näytä ennalta määritetyt suojauskäytännöt tiedot-pikaikkunassa siirtyäksesi Esiaseta suojauskäytännöt -sivulle osoitteessa https://security.microsoft.com/presetSecurityPolicies muokataksesi valmiiksi määritettyjä suojauskäytäntöjä.

Microsoft Defender portaalin avulla voit ottaa käyttöön tai poistaa käytöstä mukautettuja haittaohjelmien torjuntakäytäntöjä

Et voi poistaa käytöstä oletusarvoista haittaohjelmien torjuntakäytäntöä (se on aina käytössä).

Et voi ottaa käyttöön tai poistaa käytöstä haittaohjelmien torjuntakäytäntöjä, jotka on liitetty vakio- ja strict-suojauskäytäntöihin. Voit ottaa käyttöön tai poistaa käytöstä vakio- tai strict-suojauskäytännöt Esiaseta suojauskäytännöt -sivulla osoitteessa https://security.microsoft.com/presetSecurityPolicies.

Kun olet valinnut käytössä olevan mukautetun haittaohjelmien torjuntakäytännön ( Tila-arvo on Käytössä), poista se käytöstä jommallakummalla seuraavista tavoista:

  • Haittaohjelmien torjunta -sivulla: Valitse Lisää toimintoja>Poista valitut käytännöt käytöstä.
  • Käytännön tiedot-pikaikkunassa: Valitse Poista käytöstä pikaikkunan yläosasta.

Kun olet valinnut käytöstä poistetun mukautetun haittaohjelmien torjuntakäytännön ( Tila-arvo on Ei käytössä), ota se käyttöön jommallakummalla seuraavista tavoista:

  • Haittaohjelmien torjunta -sivulla: Valitse Lisää toimintoja>Ota valitut käytännöt käyttöön.
  • Käytännön tiedot-pikaikkunassa: Valitse Ota käyttöön pikaikkunan yläosassa.

Haittaohjelmien torjunta -sivulla käytännön Tila-arvo on nyt käytössä tai poissa käytöstä.

Microsoft Defender portaalin avulla voit määrittää mukautettujen haittaohjelmien torjuntakäytäntöjen prioriteetin

Haittaohjelmien torjuntakäytännöt käsitellään siinä järjestyksessä, jossa ne näytetään haittaohjelmien torjuntasivulla :

  • Haittaohjelmien torjuntakäytäntöä nimeltä Strict Preset Security Policy , joka liittyy Strict preset security policy -käytäntöön, sovelletaan aina ensin (jos Strict preset security policy on käytössä).
  • Haittaohjelmien torjuntakäytäntöä nimeltä Vakio esiasetetun suojauksen käytäntö , joka liittyy vakiomuotoiseen esiasetetun suojauksen käytäntöön, sovelletaan aina seuraavaksi (jos vakioasetusten suojauskäytäntö on käytössä).
  • Mukautettuja haittaohjelmien torjuntakäytäntöjä sovelletaan seuraavaksi prioriteettijärjestyksessä (jos ne ovat käytössä):
    • Pienempi prioriteettiarvo tarkoittaa suurempaa prioriteettia (0 on suurin).
    • Oletusarvoisesti luodaan uusi käytäntö, jonka prioriteetti on pienempi kuin pienin olemassa oleva mukautettu käytäntö (ensimmäinen on 0, seuraava on 1 jne.).
    • Kahdella käytännöllä ei voi olla samaa prioriteettiarvoa.
  • Oletusarvon mukaisella haittaohjelmien torjuntakäytännöllä on aina prioriteettiarvo Pienin, etkä voi muuttaa sitä.

Haittaohjelmien torjunta pysähtyy vastaanottajalle ensimmäisen käytännön käyttöönoton jälkeen (kyseisen vastaanottajan suurin prioriteettikäytäntö). Lisätietoja on artikkelissa Sähköpostin suojauksen järjestys ja käsittelyjärjestys.

Kun olet valinnut mukautetun haittaohjelmien torjuntakäytännön napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua, voit suurentaa tai pienentää käytännön prioriteettia avautuvassa Tiedot-pikaikkunassa:

  • Haittaohjelmien torjunta -sivun mukautetulla käytännöllä, jonka Prioriteetti-arvo on 0, on Pienennä prioriteettia -toiminto tietojen pikaikkunan yläosassa.
  • Mukautetulla käytännöllä, jolla on pienin prioriteetti (suurin prioriteettiarvo , esimerkiksi 3), on Lisää prioriteetti -toiminto tietoikkunan yläosassa.
  • Jos sinulla on vähintään kolme käytäntöä, prioriteetin 0 ja pienimmän prioriteetin välisillä käytännöillä on sekä Suurenna prioriteettia- että Pienennä prioriteettia -toiminnot tietojen pikaikkunan yläosassa.

Kun olet valmis käytäntötietojen pikaikkunassa, valitse Sulje.

Haittaohjelmien torjunta -sivulla luettelon käytäntö vastaa päivitettyä Prioriteetti-arvoa.

Mukautettujen haittaohjelmien torjuntakäytäntöjen poistaminen Microsoft Defender portaalin avulla

Et voi poistaa oletusarvoista haittaohjelmien torjuntakäytäntöä tai haittaohjelmien torjuntakäytäntöjä nimeltä Vakiosuojauskäytäntö ja Tiukka ennalta määritetty suojauskäytäntö , jotka liittyvät ennalta määritettyihin suojauskäytäntöihin.

Kun olet valinnut mukautetun haittaohjelmien torjuntakäytännön, poista se jommallakummalla seuraavista tavoista:

  • Haittaohjelmien torjunta -sivulla: Valitse Lisää toimintoja>Poista valitut käytännöt.
  • Käytännön tiedot-pikaikkunassa: Valitse Poista käytäntö pikaikkunan yläosasta.

Valitse Kyllä avautuvasta varoitusikkunasta.

Poistettua käytäntöä ei enää luetella haittaohjelmien torjuntasivulla .

Exchange Online PowerShellin tai erillisen EOP PowerShellin avulla voit määrittää haittaohjelmien torjuntakäytännöt

PowerShellissä haittaohjelmien torjuntakäytännön peruselementtejä ovat seuraavat:

  • Haittaohjelmasuodatinkäytäntö: Määrittää vastaanottajan ilmoituksen, lähettäjän ja järjestelmänvalvojan ilmoituksen, ZAP:n ja yleiset liitteiden suodatinasetukset.
  • Haittaohjelmasuodatinsääntö: Määrittää haittaohjelmasuodatinkäytännön prioriteetin ja vastaanottajasuodattimet (joita käytäntö koskee).

Näiden kahden elementin välinen ero ei ole ilmeinen, kun hallitset haittaohjelmien torjuntakäytäntöjä Microsoft Defender portaalissa:

  • Kun luot haittaohjelmien torjuntakäytännön Defender-portaalissa, luot itse asiassa haittaohjelmasuodatinsäännön ja siihen liittyvän haittaohjelmasuodatinkäytännön samalla kertaa käyttämällä samaa nimeä kummallekin.
  • Kun muokkaat haittaohjelmien torjuntakäytäntöä Defender-portaalissa, sen nimeen, prioriteettiin, käyttöön otettuihin tai poistettuihin asetuksiin liittyvät asetukset ja vastaanottajasuodattimet muokkaavat haittaohjelmasuodatinsääntöä. Muut asetukset (vastaanottajailmoitus, lähettäjän ja järjestelmänvalvojan ilmoitus, ZAP ja yleinen liitesuodatin) muokkaavat liittyvää haittaohjelmasuodatinkäytäntöä.
  • Kun poistat haittaohjelmien torjuntakäytännön Defender-portaalista, haittaohjelmasuodatinsääntö ja siihen liittyvä haittaohjelmasuodatinkäytäntö poistetaan samanaikaisesti.

Exchange Online PowerShellissä tai erillisessä EOP PowerShellissä haittaohjelmasuodatinkäytäntöjen ja haittaohjelmasuodatinsääntöjen välinen ero on ilmeinen. Voit hallita haittaohjelmasuodatinkäytäntöjä * -MalwareFilterPolicy cmdlet-komentojen avulla ja hallitat haittaohjelmasuodatinsääntöjä * -MalwareFilterRule cmdlet-komentojen avulla.

  • PowerShellissä luot ensin haittaohjelmasuodatinkäytännön ja sitten luot haittaohjelmasuodatinsäännön, joka tunnistaa käytännön, jota sääntö koskee.
  • PowerShellissä muokkaat haittaohjelmasuodatinkäytännön ja haittaohjelmasuodatinsäännön asetuksia erikseen.
  • Kun poistat haittaohjelmasuodatinkäytännön PowerShellistä, vastaavaa haittaohjelmasuodatinsääntöä ei poisteta automaattisesti ja päinvastoin.

Haittaohjelmien torjuntakäytäntöjen luominen PowerShellin avulla

Haittaohjelmien torjuntakäytännön luominen PowerShellissä on kaksivaiheinen prosessi:

  1. Luo haittaohjelmasuodatinkäytäntö.
  2. Luo haittaohjelmasuodatinsääntö, joka määrittää haittaohjelmasuodatinkäytännön, jota sääntö koskee.

Huomautukset:

  • Voit luoda uuden haittaohjelmasuodatinsäännön ja määrittää sille aiemmin luodun, liittämättömän haittaohjelmasuodatinkäytännön. Haittaohjelmasuodatinsääntöä ei voi liittää useampaan kuin yhteen haittaohjelmasuodatinkäytäntöön.
  • PowerShellin uusissa haittaohjelmien torjuntakäytännöissä voi määrittää kaksi asetusta, jotka eivät ole käytettävissä Microsoft Defender portaalissa ennen käytännön luomista:
    • Luo uusi käytäntö poistettuna käytöstä (Käytössä$falseNew-MalwareFilterRule cmdlet-komennossa ).
    • Määritä käytännön prioriteetti luonnin aikana (prioriteettinumero<>) New-MalwareFilterRule cmdlet-komennossa).
  • Uusi haittaohjelmasuodatinkäytäntö, jonka luot PowerShellissä, ei näy Microsoft Defender-portaalissa, ennen kuin määrität käytännön haittaohjelmasuodatinsääntöön.

Vaihe 1: Haittaohjelmasuodatinkäytännön luominen PowerShellin avulla

Jos haluat luoda haittaohjelmasuodatinkäytännön, käytä tätä syntaksia:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

Tässä esimerkissä luodaan uusi haittaohjelmasuodatinkäytäntö nimeltä Contoso Malware Filter Policy seuraavilla asetuksilla:

  • Ilmoita admin@contoso.com , kun sisäisen lähettäjän viestissä havaitaan haittaohjelmia.
  • Yleinen liitesuodatin on käytössä (-EnableFileFilter $true) ja käytetään oletusluetteloa tiedostotyypeistä ( Tiedostotyypit-parametria ei käytetä).
  • Yleisten liitteiden suodattimen havaitsemat viestit hylätään NDR:n kanssa ( FileTypeAction-parametria ei käytetä, ja oletusarvo on Reject).
  • Käytetään haittaohjelmien tunnistuksen oletuskaranteenikäytäntöä ( quarantineTag-parametria ei käytetä).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Lisätietoja syntaksista ja parametrista on kohdassa New-MalwareFilterPolicy.

Vaihe 2: Haittaohjelmasuodatinsäännön luominen PowerShellin avulla

Jos haluat luoda haittaohjelmasuodatinsäännön, käytä tätä syntaksia:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Tässä esimerkissä luodaan uusi haittaohjelmasuodatinsääntö nimeltä Contoso-vastaanottajat seuraavilla asetuksilla:

  • Sääntöön liittyy haittaohjelmasuodatinkäytäntö nimeltä Contoso Malware Filter Policy.
  • Sääntö koskee contoso.com toimialueen vastaanottajia.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Lisätietoja syntaksista ja parametrista on kohdassa New-MalwareFilterRule.

Haittaohjelmasuodatinkäytäntöjen tarkasteleminen PowerShellin avulla

Jos haluat palauttaa yhteenvetoluettelon kaikista haittaohjelmasuodatinkäytännöistä, suorita tämä komento:

Get-MalwareFilterPolicy

Jos haluat palauttaa yksityiskohtaisia tietoja tietystä haittaohjelmasuodatinkäytännöstä, käytä tätä syntaksia:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Tässä esimerkissä palautetaan kaikki haittaohjelmasuodatinkäytännön ominaisuusarvot nimeltä Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Tämä esimerkki palauttaa vain saman käytännön määritetyt ominaisuudet.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-MalwareFilterPolicy.

Haittaohjelmasuodatinsääntöjen tarkasteleminen PowerShellin avulla

Voit palauttaa yhteenvetoluettelon kaikista haittaohjelmasuodatinsäännöistä suorittamalla tämän komennon:

Get-MalwareFilterRule

Jos haluat suodattaa luettelon käytössä olevien tai käytöstä poistettujen sääntöjen mukaan, suorita seuraavat komennot:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Jos haluat palauttaa yksityiskohtaisia tietoja tietystä haittaohjelmasuodatinsäännöstä, käytä tätä syntaksia:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Tässä esimerkissä palautetaan kaikki executives-nimisen haittaohjelmasuodatinsäännön ominaisuusarvot.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Tämä esimerkki palauttaa vain saman säännön määritetyt ominaisuudet.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-MalwareFilterRule.

Haittaohjelmasuodatinkäytäntöjen muokkaaminen PowerShellin avulla

Seuraavia kohteita lukuun ottamatta samat asetukset ovat käytettävissä, kun muokkaat haittaohjelmasuodatinkäytäntöä PowerShellissä kuin luodessasi käytännön tämän artikkelin aiemmassa vaiheessa 1: Haittaohjelmasuodatinkäytännön luominen PowerShellin avulla kuvatulla tavalla.

  • MakeDefault-kytkin, joka muuttaa määritetyn käytännön oletuskäytännöksi (koskee kaikkia, muokkaamaton pienin prioriteetti, etkä voi poistaa sitä) on käytettävissä vain, kun muokkaat haittaohjelmasuodatinkäytäntöä PowerShellissä.
  • Et voi nimetä uudelleen haittaohjelmasuodatinkäytäntöä (Set-MalwareFilterPolicy cmdlet-komennolla ei ole Name-parametria). Kun nimeät haittaohjelmien torjuntakäytännön uudelleen Microsoft Defender-portaalissa, nimeät vain haittaohjelmasuodatinsäännön uudelleen.

Jos haluat muokata haittaohjelmasuodatinkäytäntöä, käytä tätä syntaksia:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Lisätietoja syntaksista ja parametrista on kohdassa Set-MalwareFilterPolicy.

Vihje

Yksityiskohtaiset ohjeet haittaohjelmien suodatuskäytännössä käytettävän karanteenikäytännön määrittämiseen ovat kohdassa Haittaohjelmien torjuntakäytäntöjen karanteenikäytännön määrittäminen PowerShellin avulla.

Haittaohjelmasuodatinsääntöjen muokkaaminen PowerShellin avulla

Ainoa asetus, joka ei ole käytettävissä, kun muokkaat haittaohjelmasuodatinsääntöä PowerShellissä, on Käytössä-parametri , jonka avulla voit luoda käytöstä poistetun säännön. Jos haluat ottaa käyttöön tai poistaa käytöstä aiemmin luotuja haittaohjelmasuodatinsääntöjä, katso seuraava osio.

Muussa tapauksessa mitään lisäasetuksia ei ole käytettävissä, kun muokkaat haittaohjelmasuodatinsääntöä PowerShellissä. Samat asetukset ovat käytettävissä, kun luot säännön, joka on kuvattu tämän artikkelin aiemmassa vaiheessa 2: Haittaohjelmasuodatinsäännön luominen PowerShellin avulla .

Jos haluat muokata haittaohjelmasuodatinsääntöä, käytä tätä syntaksia:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Lisätietoja syntaksista ja parametrista on kohdassa Set-MalwareFilterRule.

Haittaohjelmasuodatinsääntöjen ottaminen käyttöön tai poistaminen käytöstä PowerShellin avulla

Haittaohjelmasuodatinsäännön ottaminen käyttöön tai poistaminen käytöstä PowerShellissä ottaa käyttöön tai poistaa käytöstä koko haittaohjelmien torjuntakäytännön (haittaohjelmasuodatinsääntö ja määritetty haittaohjelmasuodatinkäytäntö). Et voi ottaa käyttöön tai poistaa käytöstä oletusarvoista haittaohjelmien torjuntakäytäntöä (sitä käytetään aina kaikille vastaanottajille).

Jos haluat ottaa käyttöön tai poistaa käytöstä haittaohjelmasuodatinsäännön PowerShellissä, käytä tätä syntaksia:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Tässä esimerkissä poistetaan käytöstä haittaohjelmasuodatinsääntö, jonka nimi on Markkinointiosasto.

Disable-MalwareFilterRule -Identity "Marketing Department"

Tässä esimerkissä käytetään samaa sääntöä.

Enable-MalwareFilterRule -Identity "Marketing Department"

Lisätietoja syntaksista ja parametrista on kohdassa Enable-MalwareFilterRule ja Disable-MalwareFilterRule.

Haittaohjelmasuodatinsääntöjen prioriteetin määrittäminen PowerShellin avulla

Säännölle voi määrittää suurimman prioriteetin arvon 0. Pienin arvo, jonka voit määrittää, riippuu sääntöjen määrästä. Jos sinulla on esimerkiksi viisi sääntöä, voit käyttää prioriteettiarvoja 0–4. Olemassa olevan säännön prioriteetin muuttamisella voi olla johdannaisvaikutus muihin sääntöihin. Jos sinulla on esimerkiksi viisi mukautettua sääntöä (prioriteetit 0–4) ja muutat säännön prioriteetiksi 2, olemassa oleva sääntö, jonka prioriteetti on 2, muutetaan prioriteetiksi 3 ja prioriteetti 3 sääntö prioriteetiksi 4.

Jos haluat määrittää haittaohjelmasuodatinsäännön prioriteetin PowerShellissä, käytä seuraavaa syntaksia:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Tässä esimerkissä markkinointiosasto-säännön prioriteetiksi määritetään 2. Kaikki olemassa olevat säännöt, joiden prioriteetti on pienempi tai yhtä suuri kuin 2, pienenevät 1:llä (niiden prioriteettilukuja suurenevat 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Vihje

Jos haluat määrittää uuden säännön prioriteetin, kun luot sen, käytä Sen sijaan Priority-parametria New-MalwareFilterRule cmdlet-komennossa.

Haittaohjelmasuodattimen oletuskäytännöllä ei ole vastaavaa haittaohjelmasuodatinsääntöä, ja sillä on aina muokkaamaton prioriteettiarvo Pienin.

Haittaohjelmasuodatinkäytäntöjen poistaminen PowerShellin avulla

Kun poistat haittaohjelmasuodatinkäytännön PowerShellin avulla, vastaavaa haittaohjelmasuodatinsääntöä ei poisteta.

Jos haluat poistaa haittaohjelmasuodatinkäytännön PowerShellissä, käytä tätä syntaksia:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Tässä esimerkissä poistetaan haittaohjelmasuodatinkäytäntö nimeltä Markkinointiosasto.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-MalwareFilterPolicy.

Haittaohjelmasuodatinsääntöjen poistaminen PowerShellin avulla

Kun käytät PowerShelliä haittaohjelmasuodatinsäännön poistamiseen, vastaavaa haittaohjelmasuodatinkäytäntöä ei poisteta.

Jos haluat poistaa haittaohjelmasuodatinsäännön PowerShellissä, käytä tätä syntaksia:

Remove-MalwareFilterRule -Identity "<PolicyName>"

Tässä esimerkissä poistetaan haittaohjelmasuodatinsääntö nimeltä Markkinointiosasto.

Remove-MalwareFilterRule -Identity "Marketing Department"

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-MalwareFilterRule.

Mistä tiedät, että nämä toimenpiteet toimivat?

Tarkista haittaohjelmien torjuntakäytännön asetukset EICAR.TXT tiedoston avulla

Tärkeää

EICAR.TXT tiedosto ei ole virus. European Institute for Computer Antivirus Research (EICAR) kehitti tämän tiedoston virustentorjuntaratkaisujen turvalliseen testaamiseen.

  1. Avaa Muistio ja liitä seuraava teksti tyhjään tiedostoon:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Varmista, että nämä merkit ovat tiedoston ainoa teksti. Tiedoston koon on oltava 68 tavua.

  2. Tallenna tiedosto nimellä EICAR.TXT

    Muista sulkea EICAR.TXT pois virustentorjuntaohjelmassasi (muussa tapauksessa tiedosto asetetaan karanteeniin).

  3. Lähetä sähköpostiviesti, joka sisältää EICAR.TXT -tiedoston liitteenä, sähköpostiasiakkaalla, joka ei automaattisesti estä tiedostoa, ja sähköpostipalvelulla, joka ei automaattisesti estä lähtevää roskapostia. Haittaohjelmien torjuntakäytäntöasetusten avulla voit määrittää seuraavat testiskenaariot:

    • Sähköposti sisäisestä postilaatikosta sisäiselle vastaanottajalle.
    • Sähköposti sisäisestä postilaatikosta ulkoiselle vastaanottajalle.
    • Ulkoisen postilaatikon sähköpostiosoite sisäiselle vastaanottajalle.
  4. Varmista, että viesti on asetettu karanteeniin, ja tarkista järjestelmänvalvojan ilmoitustulokset haittaohjelmien torjuntakäytäntöasetustesi perusteella. Esimerkiksi määrittämääsi järjestelmänvalvojan sähköpostiosoitetta ilmoitetaan sisäisten tai ulkoisten viestien lähettäjistä sekä oletus- tai mukautetuista ilmoitusviesteistä.

  5. Poista EICAR.TXT tiedosto testauksen jälkeen (joten se ei hälytä muita käyttäjiä tarpeettomasti).