Configurer la stratégie de remise avancée pour les simulations d’hameçonnage tierces et la remise d’e-mails aux boîtes aux lettres SecOps
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Pour assurer la sécurité de vos organization par défaut, Exchange Online Protection (EOP) n’autorise pas les listes sécurisées ou le filtrage de contournement pour les messages identifiés comme des programmes malveillants ou des hameçonnages à haut niveau de confiance. Toutefois, il existe des scénarios spécifiques qui nécessitent la remise de messages non filtrés. Par exemple :
- Simulations d’hameçonnage tierces : les attaques simulées peuvent vous aider à identifier et à former les utilisateurs vulnérables avant qu’une attaque réelle n’affecte votre organization.
- Boîtes aux lettres d’opérations de sécurité (SecOps) : boîtes aux lettres dédiées utilisées par les équipes de sécurité pour collecter et analyser les messages non filtrés (bons et mauvais).
Utilisez la stratégie de remise avancée dans EOP pour empêcher le filtrage des messages entrants dans ces scénarios spécifiques ¹. La stratégie de remise avancée garantit que les messages dans ces scénarios obtiennent les résultats suivants :
- Les filtres dans EOP et Defender for Office 365 n’effectuent aucune action sur ces messages. Le filtrage des programmes malveillants est ignoré pour les boîtes aux lettres SecOps uniquement.
- Le vidage de zéro heure (ZAP) pour le courrier indésirable et l’hameçonnage n’effectuent aucune action sur ces messages. ZAP pour les programmes malveillants est contourné uniquement pour les boîtes aux lettres SecOps.
- Liens fiables dans Defender for Office 365 ne bloque pas ou n’explose pas les URL spécifiées dans ces messages au moment du clic. Les URL sont toujours encapsulées, mais elles ne sont pas bloquées.
- Pièces jointes sécurisées dans Defender for Office 365 n’explose pas les pièces jointes dans ces messages.
- Les alertes système par défaut ne sont pas déclenchées pour ces scénarios.
- AIR et clustering dans Defender for Office 365 ignorent ces messages.
- Spécifiquement pour les simulations d’hameçonnage tierces :
- Administration soumission génère une réponse automatique indiquant que le message fait partie d’une campagne de simulation de hameçonnage et n’est pas une menace réelle. Les alertes et AIR ne sont pas déclenchées. L’expérience des soumissions d’administrateur montre ces messages comme une menace simulée.
- Lorsqu’un utilisateur signale un message de simulation d’hameçonnage à l’aide du bouton intégré Rapport dans Outlook ou des compléments Message de rapport Microsoft ou Signaler l’hameçonnage, le système ne génère pas d’alerte, d’investigation ou d’incident. Les liens ou fichiers ne sont pas détonés, mais le message s’affiche sous l’onglet Utilisateur signalé de la page Soumissions .
Les messages identifiés par la stratégie de remise avancée ne sont pas des menaces de sécurité. Par conséquent, les messages sont marqués avec des remplacements système. Administration expériences affichent ces messages en tant que simulation de hameçonnage ou remplacements de système de boîte aux lettres SecOps. Les administrateurs peuvent utiliser ces valeurs pour filtrer et analyser les messages dans les expériences suivantes :
- Détections de Explorer de menaces (Explorer) ou en temps réel dans Defender for Office 365 : les administrateurs peuvent filtrer sur la source de remplacement du système et sélectionner simulation de hameçonnage ou Boîte aux lettres SecOps.
- Page d’entité Email : les administrateurs peuvent afficher un message autorisé par organization stratégie par boîte aux lettres SecOps ou simulation de hameçonnage sous Remplacement de locataire dans la section Remplacement(s).
- Le rapport protection contre les menaces status : Administration pouvez filtrer les données par remplacement système dans le menu déroulant et sélectionner pour afficher les messages autorisés en raison d’un remplacement du système de simulation de hameçonnage. Pour afficher les messages autorisés par la substitution de boîte aux lettres SecOps, vous pouvez sélectionner répartition du graphique par emplacement de remise dans la liste déroulante Répartition du graphique par raison .
- Repérage avancé dans Microsoft Defender pour point de terminaison : la simulation de hameçonnage et les remplacements de système de boîte aux lettres SecOps sont des options dans OrgLevelPolicy dans EmailEvents.
- Affichages de campagne : Administration pouvez filtrer sur la source de remplacement du système et sélectionner simulation de hameçonnage ou Boîte aux lettres SecOps.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Remise avancée , utilisez https://security.microsoft.com/advanceddelivery.
Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .
Email & les autorisations de collaboration dans le portail Microsoft Defender et les autorisations Exchange Online :
- Créer, modifier ou supprimer des paramètres configurés dans la stratégie de remise avancée : appartenance aux groupes de rôles Administrateur de la sécurité dans Email & RBAC collaboration et appartenance au groupe de rôles Gestion de l’organisation dans Exchange Online RBAC.
-
Accès en lecture seule à la stratégie de remise avancée : appartenance aux groupes de rôles Lecteur général ou Lecteur de sécurité dans Email & RBAC de collaboration.
- Afficher uniquement la gestion de l’organisation dans Exchange Online RBAC.
autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Utiliser le portail Microsoft Defender pour configurer des boîtes aux lettres SecOps dans la stratégie de remise avancée
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de>menace Remise avancée dans la section Règles. Ou, pour accéder directement à la page Livraison avancée , utilisez https://security.microsoft.com/advanceddelivery.
Dans la page Remise avancée , vérifiez que l’onglet Boîte aux lettres SecOps est sélectionné.
Sous l’onglet Boîte aux lettres SecOps , sélectionnez le bouton Ajouter dans la zone Aucune boîte aux lettres SecOps configurée de la page.
S’il existe déjà des entrées sous l’onglet Boîte aux lettres SecOps , sélectionnez Modifier (le bouton Ajouter n’est pas disponible).
Dans le menu volant Ajouter des boîtes aux lettres SecOps qui s’ouvre, entrez une boîte aux lettres Exchange Online existante que vous souhaitez désigner comme boîte aux lettres SecOps en effectuant l’une des étapes suivantes :
Cliquez dans la zone, laissez la liste des boîtes aux lettres se résoudre, puis sélectionnez la boîte aux lettres.
Cliquez dans la zone commencer à taper un identificateur pour la boîte aux lettres (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), puis sélectionnez la boîte aux lettres (nom d’affichage) dans les résultats.
Répétez cette étape autant de fois que nécessaire. Les groupes de distribution ne sont pas autorisés.
Pour supprimer une valeur existante, sélectionnez Supprimer en regard de la valeur.
Lorsque vous avez terminé dans le menu volant Ajouter des boîtes aux lettres SecOps , sélectionnez Ajouter.
Passez en revue les informations contenues dans le menu volant Modifications apportées au remplacement de la boîte aux lettres SecOps enregistré, puis sélectionnez Fermer.
De retour sous l’onglet Boîte aux lettres SecOps , les entrées de boîte aux lettres SecOps que vous avez configurées sont désormais répertoriées :
- La colonne Nom d’affichage contient le nom complet des boîtes aux lettres.
- La colonne Email contient l’adresse e-mail de chaque entrée.
- Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.
Utiliser le portail Microsoft Defender pour modifier ou supprimer des boîtes aux lettres SecOps dans la stratégie de remise avancée
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de>menace Remise avancée dans la section Règles. Ou, pour accéder directement à la page Livraison avancée , utilisez https://security.microsoft.com/advanceddelivery.
Dans la page Remise avancée , vérifiez que l’onglet Boîte aux lettres SecOps est sélectionné.
Sous l’onglet Boîte aux lettres SecOps , sélectionnez Modifier.
Dans le menu volant Modifier les boîtes aux lettres SecOps qui s’ouvre, ajoutez ou supprimez des boîtes aux lettres comme décrit à l’étape 3 de la section Utiliser le portail Microsoft Defender pour configurer des boîtes aux lettres SecOps dans la stratégie de remise avancée.
Pour supprimer toutes les boîtes aux lettres, sélectionnez Supprimer en regard de chaque valeur jusqu’à ce qu’il n’y ait plus de boîtes aux lettres sélectionnées.
Lorsque vous avez terminé dans le menu volant Modifier les boîtes aux lettres SecOps , sélectionnez Enregistrer.
Passez en revue les informations contenues dans le menu volant Modifications apportées au remplacement de la boîte aux lettres SecOps enregistré, puis sélectionnez Fermer.
Sous l’onglet Boîte aux lettres SecOps , les entrées de boîte aux lettres SecOps que vous avez configurées s’affichent. Si vous avez supprimé toutes les entrées, la liste est vide.
Utiliser le portail Microsoft Defender pour configurer des simulations d’hameçonnage tierces dans la stratégie de livraison avancée
Pour configurer une simulation d’hameçonnage tierce, vous devez fournir les informations suivantes :
- Au moins un domaine : domaine de l’adresse MAIL FROM (également appelée
5321.MailFrom
adresse, expéditeur P1 ou expéditeur d’enveloppe) utilisée dans la transmission SMTP du message ou d’un domaine DKIM tel que spécifié par le fournisseur de simulation d’hameçonnage. - Au moins une adresse IP d’envoi.
- Pour les simulations d’hameçonnage non-e-mail (par exemple, les messages Microsoft Teams, les documents Word ou les feuilles de calcul Excel), vous pouvez éventuellement identifier les URL de simulation afin d’autoriser qu’elles ne doivent pas être traitées comme des menaces réelles au moment du clic : les URL ne sont pas bloquées ou détonées, et aucune alerte de clic d’URL ni aucun incident résultant n’est généré. Les URL sont encapsulées au moment du clic, mais elles ne sont pas bloquées.
Il doit y avoir une correspondance sur au moins un domaine et une adresse IP d’envoi, mais aucune association entre les valeurs n’est conservée.
Si votre enregistrement MX ne pointe pas vers Microsoft 365, l’adresse IP dans l’en-tête Authentication-results
doit correspondre à l’adresse IP dans la stratégie de remise avancée. Si les adresses IP ne correspondent pas, vous devrez peut-être configurer le filtrage amélioré pour les connecteurs afin que l’adresse IP correcte soit détectée.
Remarque
Le filtrage amélioré pour les connecteurs ne fonctionne pas pour les simulations d’hameçonnage tierces dans les scénarios de routage des e-mails qui impliquent l’envoi de courriers électroniques à Exchange Online deux fois (par exemple, les e-mails Internet acheminés vers Microsoft 365, puis vers un environnement local ou un service de sécurité tiers, puis vers Microsoft 365). EOP ne peut pas identifier la véritable adresse IP de la source du message. N’essayez pas de contourner cette limitation en ajoutant les adresses IP de l’infrastructure d’envoi locale ou tierce à la simulation d’hameçonnage tierce. Cela contourne efficacement le filtrage du courrier indésirable pour tout expéditeur Internet qui emprunte l’identité du domaine spécifié dans la simulation d’hameçonnage tierce. Les scénarios de routage où l’enregistrement MX pointe vers un service tiers, puis le courrier est routé vers Exchange Online sont pris en charge si le filtrage amélioré pour les connecteurs est configuré.
Actuellement, la stratégie de remise avancée pour les simulations d’hameçonnage tierces ne prend pas en charge les simulations au sein de la même organization (DIR:INT
), en particulier lorsque le courrier électronique est acheminé via une passerelle Exchange Server avant Microsoft 365 dans le flux de messagerie hybride. Pour contourner ce problème, vous disposez des options suivantes :
- Créez un connecteur d’envoi dédié qui n’authentifie pas les messages de simulation de hameçonnage comme étant internes.
- Configurez la simulation d’hameçonnage pour contourner l’infrastructure Exchange Server et acheminer le courrier directement vers votre enregistrement Microsoft 365 MX (par exemple, contoso-com.mail.protection.outlook.com).
- Bien que vous puissiez définir l’analyse des messages intra-organization sur Aucun dans les stratégies anti-courrier indésirable, nous ne recommandons pas cette option, car elle affecte d’autres messages électroniques.
Si vous utilisez la stratégie de sécurité prédéfinie de protection intégrée ou vos stratégies de liens fiables personnalisées ont le paramètre Ne pas réécrire les URL, effectuer des vérifications via l’API SafeLinks uniquement activée, le temps de la protection contre les clics ne traite pas les liens de simulation d’hameçonnage dans les e-mails comme des menaces dans Outlook sur le web, Outlook pour iOS et Android, Outlook pour Windows v16.0.15317.10000 ou version ultérieure, et Outlook pour Mac version 16.74 (23061100) ou ultérieure. Si vous utilisez des versions antérieures d’Outlook, envisagez de désactiver le paramètre Ne pas réécrire les URL, effectuer des vérifications via l’API SafeLinks uniquement dans les stratégies de liens fiables personnalisées.
L’ajout d’URL de simulation de hameçonnage à la section Ne pas réécrire les URL suivantes dans l’e-mail des stratégies de liens fiables peut entraîner des alertes indésirables pour les clics d’URL. Les URL de simulation d’hameçonnage dans les messages électroniques sont automatiquement autorisées pendant le flux de messagerie et au moment du clic.
Actuellement, la stratégie de remise avancée pour les boîtes aux lettres SecOps ne prend pas en charge les messages intra-organisationnels (DIR:INT
), et ces messages sont mis en quarantaine. Comme solution de contournement, vous pouvez utiliser une stratégie anti-courrier indésirable distincte pour les boîtes aux lettres SecOps qui ne met pas en quarantaine les messages intra-organisationnelles. Nous vous déconseillons de désactiver la protection intra-organisation pour toutes les boîtes aux lettres.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de>menace Remise avancée dans la section Règles. Ou, pour accéder directement à la page Livraison avancée , utilisez https://security.microsoft.com/advanceddelivery.
Dans la page Livraison avancée , sélectionnez l’onglet Simulation de hameçonnage .
Sous l’onglet Simulation de hameçonnage , sélectionnez le bouton Ajouter dans la zone Aucune simulation de hameçonnage tierce configurée de la page.
S’il existe déjà des entrées sous l’onglet Simulation de hameçonnage , sélectionnez Modifier (le bouton Ajouter n’est pas disponible).
Dans le menu volant Ajouter des simulations d’hameçonnage tierces qui s’ouvre, configurez les paramètres suivants :
Domaine : développez ce paramètre et entrez au moins un domaine d’adresse de messagerie en cliquant dans la zone, en entrant une valeur (par exemple, contoso.com), puis en appuyant sur la touche Entrée ou en sélectionnant la valeur affichée sous la zone. Répétez cette étape autant de fois que nécessaire. Vous pouvez ajouter jusqu’à 50 entrées. Utilisez l'une des valeurs suivantes :
- Domaine dans l’adresse
5321.MailFrom
(également appelée adresse MAIL FROM , expéditeur P1 ou expéditeur d’enveloppe) utilisée dans la transmission SMTP du message. - Domaine DKIM tel que spécifié par le fournisseur de simulation de hameçonnage.
- Domaine dans l’adresse
Adresse IP d’envoi : développez ce paramètre et entrez au moins une adresse IPv4 valide en cliquant dans la zone, en entrant une valeur, puis en appuyant sur la touche Entrée ou en sélectionnant la valeur affichée sous la zone. Répétez cette étape autant de fois que nécessaire. Vous pouvez ajouter jusqu’à 10 entrées. Les valeurs valides sont les suivantes :
- Adresse IP unique : par exemple, 192.168.1.1.
- Plage d’adresses IP : par exemple, 192.168.0.1-192.168.0.254.
- ADRESSE IP CIDR : par exemple, 192.168.0.1/25.
URL de simulation à autoriser : ce paramètre n’est pas requis pour les liens dans les simulations d’hameçonnage d’e-mail. Utilisez ce paramètre pour identifier éventuellement les liens dans les simulations d’hameçonnage sans e-mail (liens dans les messages Teams ou dans les documents Office) qui ne doivent pas être traités comme des menaces réelles au moment du clic.
Ajoutez des entrées d’URL en développant ce paramètre, en cliquant dans la zone, en entrant une valeur, puis en appuyant sur la touche Entrée ou en sélectionnant la valeur affichée sous la zone. Vous pouvez ajouter jusqu’à 30 entrées. Pour obtenir la syntaxe de l’URL, consultez Syntaxe d’URL pour la liste verte/bloquée du locataire.
Pour supprimer un domaine, une adresse IP ou une valeur d’URL existant, sélectionnez Supprimer en regard de la valeur.
Prenons l'exemple suivant :
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- L’adresse IP de connexion est 172.17.17.7.
- Le domaine dans l’adresse MAIL FROM (
smtp.mailfrom
) est contoso.com. - Le domaine DKIM (
header.d
) est contoso-simulation.com.
À partir de l’exemple, vous pouvez utiliser l’une des combinaisons suivantes pour configurer une simulation d’hameçonnage tierce :
Domaine : contoso.com
Adresse IP d’envoi : 172.17.17.7Domaine : contoso-simulation.com
Adresse IP d’envoi : 172.17.17.7Lorsque vous avez terminé dans le menu volant Ajouter des simulations d’hameçonnage tierces , sélectionnez Ajouter.
Passez en revue les informations contenues dans le menu volant Modifications apportées au remplacement enregistré de la simulation de hameçonnage , puis sélectionnez Fermer.
De retour sous l’onglet Simulation de hameçonnage , les entrées de simulation de hameçonnage tierces que vous avez configurées sont désormais répertoriées :
- La colonne Valeur contient le domaine, l’adresse IP ou l’entrée d’URL.
- La colonne Type contient la valeur Adresse IP d’envoi, Domaine ou URL de simulation autorisée pour chaque entrée.
- La colonne Date indique quand l’entrée a été créée.
- Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.
Utiliser le portail Microsoft Defender pour modifier ou supprimer des simulations d’hameçonnage tierces dans la stratégie de remise avancée
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de>menace Remise avancée dans la section Règles. Ou, pour accéder directement à la page Livraison avancée , utilisez https://security.microsoft.com/advanceddelivery.
Dans la page Livraison avancée , sélectionnez l’onglet Simulation de hameçonnage .
Sous l’onglet Simulation de hameçonnage , sélectionnez Modifier.
Dans le menu volant Modifier la simulation de hameçonnage tierce qui s’ouvre, ajoutez ou supprimez des entrées pour domaine, ADRESSE IP d’envoi et URL de simulation, comme décrit à l’étape 3 de la section Utiliser le portail Microsoft Defender pour configurer des boîtes aux lettres SecOps dans la stratégie de remise avancée.
Pour supprimer toutes les entrées, sélectionnez Supprimer en regard de chaque valeur jusqu’à ce qu’il n’y ait plus de domaines, d’adresses IP ou d’URL sélectionnés.
Lorsque vous avez terminé dans le menu volant Modifier la simulation de hameçonnage tierce , sélectionnez Enregistrer.
Passez en revue les informations contenues dans le menu volant Modifications apportées au remplacement enregistré de la simulation de hameçonnage , puis sélectionnez Fermer.
De retour sous l’onglet Simulation de hameçonnage , les entrées de simulation de hameçonnage tierces que vous avez configurées s’affichent. Si vous avez supprimé toutes les entrées, la liste est vide.
Scénarios supplémentaires nécessitant un contournement de filtrage
Outre les deux scénarios que la stratégie de remise avancée peut vous aider, il existe d’autres scénarios dans lesquels vous devrez peut-être contourner le filtrage des messages :
Filtres tiers : si l’enregistrement MX de votre domaine ne pointe pas vers Office 365 (les messages sont routés ailleurs en premier), la sécurité par défautn’est pas disponible. Si vous souhaitez ajouter une protection, vous devez activer le filtrage amélioré pour les connecteurs (également appelé liste ignorée). Pour plus d’informations, consultez Gérer le flux de messagerie à l’aide d’un service cloud tiers avec Exchange Online. Si vous ne souhaitez pas un filtrage amélioré pour les connecteurs, utilisez des règles de flux de courrier (également appelées règles de transport) pour contourner le filtrage Microsoft pour les messages qui ont déjà été évalués par un filtrage tiers. Pour plus d’informations, consultez Utiliser des règles de flux de messagerie pour définir la liste SCL dans les messages.
Faux positifs en cours d’examen : vous souhaiterez peut-être autoriser temporairement les bons messages qui sont identifiés à tort comme étant mauvais (faux positifs) que vous avez signalés via des soumissions d’administrateur, mais les messages sont toujours en cours d’analyse par Microsoft. Comme pour toutes les substitutions, nous recommandons vivement que ces allocations soient temporaires.
Procédures PowerShell pour les boîtes aux lettres SecOps dans la stratégie de remise avancée
Dans PowerShell, les éléments de base des boîtes aux lettres SecOps dans la stratégie de remise avancée sont les suivants :
- Stratégie de remplacement SecOps : contrôlée par les applets de commande *-SecOpsOverridePolicy .
- Règle de remplacement SecOps : contrôlée par les applets de commande *-ExoSecOpsOverrideRule .
Ce comportement a les résultats suivants :
- Vous créez d’abord la stratégie, puis vous créez la règle qui identifie la stratégie à laquelle la règle s’applique.
- Lorsque vous supprimez une stratégie de PowerShell, la règle correspondante est également supprimée.
- Lorsque vous supprimez une règle de PowerShell, la stratégie correspondante n’est pas supprimée. Vous devez supprimer la stratégie correspondante manuellement.
Utiliser PowerShell pour configurer des boîtes aux lettres SecOps
La configuration d’une boîte aux lettres SecOps dans la stratégie de remise avancée dans PowerShell est un processus en deux étapes :
- Créez la stratégie de remplacement SecOps.
- Créez la règle de remplacement SecOps qui spécifie la stratégie à laquelle la règle s’applique.
Étape 1 : Utiliser PowerShell pour créer la stratégie de remplacement SecOps
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
Quelle que soit la valeur Name que vous spécifiez, le nom de la stratégie est SecOpsOverridePolicy. Vous pouvez donc utiliser cette valeur.
Cet exemple crée la stratégie de boîte aux lettres SecOps.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-SecOpsOverridePolicy.
Étape 2 : Utiliser PowerShell pour créer la règle de remplacement SecOps
Dans Exchange Online PowerShell, exécutez la commande suivante :
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
Quelle que soit la valeur Name que vous spécifiez, le nom de la règle sera _Exe:SecOpsOverrid:<GUID\>
[sic] où <GUID> est une valeur GUID unique (par exemple, 312c23cf-0377-4162-b93d-6548a9977efb9).
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-ExoSecOpsOverrideRule.
Utiliser PowerShell pour afficher la stratégie de remplacement SecOps
Dans Exchange Online PowerShell, cet exemple retourne des informations détaillées sur la seule et unique stratégie de boîte aux lettres SecOps.
Get-SecOpsOverridePolicy
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-SecOpsOverridePolicy.
Utiliser PowerShell pour afficher les règles de remplacement SecOps
Dans Exchange Online PowerShell, cet exemple retourne des informations détaillées sur les règles de remplacement SecOps.
Get-ExoSecOpsOverrideRule
Bien que la commande précédente ne retourne qu’une seule règle, une règle en attente de suppression peut également être incluse dans les résultats.
Cet exemple identifie la règle valide (une) et toutes les règles non valides.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
Une fois que vous avez identifié les règles non valides, vous pouvez les supprimer à l’aide de l’applet de commande Remove-ExoSecOpsOverrideRule, comme décrit plus loin dans cet article.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-ExoSecOpsOverrideRule.
Utiliser PowerShell pour modifier la stratégie de remplacement SecOps
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Cet exemple ajoute secops2@contoso.com
à la stratégie de remplacement SecOps.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Remarque
Si une règle de remplacement SecOps valide associée existe, les adresses e-mail de la règle sont également mises à jour.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-SecOpsOverridePolicy.
Utiliser PowerShell pour modifier une règle de remplacement SecOps
L’applet de commande Set-ExoSecOpsOverrideRule ne modifie pas les adresses e-mail dans la règle de remplacement SecOps. Pour modifier les adresses e-mail dans la règle de remplacement SecOps, utilisez l’applet de commande Set-SecOpsOverridePolicy .
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-ExoSecOpsOverrideRule.
Utiliser PowerShell pour supprimer la stratégie de remplacement SecOps
Dans Exchange Online PowerShell, cet exemple supprime la stratégie de boîte aux lettres SecOps et la règle correspondante.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-SecOpsOverridePolicy.
Utiliser PowerShell pour supprimer les règles de remplacement SecOps
Dans Exchange Online PowerShell, utilisez les commandes suivantes :
Supprimez toutes les règles de remplacement SecOps :
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
Supprimez la règle de remplacement SecOps spécifiée :
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-ExoSecOpsOverrideRule.
Procédures PowerShell pour les simulations d’hameçonnage tierces dans la stratégie de livraison avancée
Dans PowerShell, les éléments de base des simulations de hameçonnage tierces dans la stratégie de livraison avancée sont les suivants :
- Stratégie de remplacement de la simulation d’hameçonnage : contrôlée par les applets de commande *-PhishSimOverridePolicy .
- Règle de remplacement de la simulation d’hameçonnage : contrôlée par les applets de commande *-ExoPhishSimOverrideRule .
- URL de simulation de hameçonnage autorisées (débloquées) : contrôlées par les applets de commande *-TenantAllowBlockListItems .
Remarque
Comme décrit précédemment, l’identification des URL n’est pas nécessaire pour les liens dans les simulations d’hameçonnage basées sur l’e-mail. Vous pouvez éventuellement identifier des liens dans des simulations d’hameçonnage sans e-mail (liens dans des messages Teams ou dans des documents Office) qui ne doivent pas être traités comme des menaces réelles au moment du clic.
Ce comportement a les résultats suivants :
- Vous créez d’abord la stratégie, puis vous créez la règle qui identifie la stratégie à laquelle la règle s’applique.
- Vous modifiez les paramètres de la stratégie et de la règle séparément.
- Lorsque vous supprimez une stratégie de PowerShell, la règle correspondante est également supprimée.
- Lorsque vous supprimez une règle de PowerShell, la stratégie correspondante n’est pas supprimée. Vous devez supprimer la stratégie correspondante manuellement.
Utiliser PowerShell pour configurer des simulations d’hameçonnage tierces
La configuration d’une simulation d’hameçonnage tierce dans PowerShell est un processus en plusieurs étapes :
- Créez la stratégie de remplacement de simulation d’hameçonnage.
- Créez la règle de remplacement de simulation de hameçonnage qui spécifie :
- Stratégie à laquelle la règle s’applique.
- Adresse IP source des messages de simulation de hameçonnage.
- Si vous le souhaitez, identifiez les URL de simulation de hameçonnage dans les simulations d’hameçonnage sans e-mail (liens dans les messages Teams ou dans les documents Office) qui ne doivent pas être traitées comme des menaces réelles au moment du clic.
Étape 1 : Utiliser PowerShell pour créer la stratégie de remplacement de la simulation d’hameçonnage
Dans Exchange Online PowerShell, cet exemple crée la stratégie de remplacement de simulation de hameçonnage.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
Quelle que soit la valeur Name que vous spécifiez, le nom de la stratégie est PhishSimOverridePolicy. Vous pouvez donc utiliser cette valeur.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-PhishSimOverridePolicy.
Étape 2 : Utiliser PowerShell pour créer la règle de remplacement de la simulation d’hameçonnage
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
Quelle que soit la valeur Name que vous spécifiez, le nom de la règle sera _Exe:PhishSimOverr:<GUID\>
[sic] où <GUID> est une valeur GUID unique (par exemple, 6fed4b63-3563-495d-a481-b24a311f8329).
Une entrée d’adresse IP valide est l’une des valeurs suivantes :
- Adresse IP unique : par exemple, 192.168.1.1.
- Plage d’adresses IP : par exemple, 192.168.0.1-192.168.0.254.
- ADRESSE IP CIDR : par exemple, 192.168.0.1/25.
Cet exemple crée la règle de remplacement de simulation de hameçonnage avec les paramètres spécifiés.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-ExoPhishSimOverrideRule.
Étape 3 : (Facultatif) Utiliser PowerShell pour identifier les URL de simulation d’hameçonnage à autoriser
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Pour plus d’informations sur la syntaxe d’URL, consultez Syntaxe d’URL pour la liste verte/bloquée des locataires
Cet exemple ajoute une entrée d’autorisation d’URL pour l’URL de simulation de hameçonnage tierce spécifiée sans expiration.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListItems.
Utiliser PowerShell pour afficher la stratégie de remplacement de la simulation d’hameçonnage
Dans Exchange Online PowerShell, cet exemple retourne des informations détaillées sur la seule et unique stratégie de remplacement de simulation de hameçonnage.
Get-PhishSimOverridePolicy
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-PhishSimOverridePolicy.
Utiliser PowerShell pour afficher les règles de remplacement de la simulation d’hameçonnage
Dans Exchange Online PowerShell), cet exemple retourne des informations détaillées sur les règles de remplacement de simulation d’hameçonnage.
Get-ExoPhishSimOverrideRule
Bien que la commande précédente ne doit retourner qu’une seule règle, toutes les règles en attente de suppression peuvent également être incluses dans les résultats.
Cet exemple identifie la règle valide (une) et toutes les règles non valides.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
Après avoir identifié les règles non valides, vous pouvez les supprimer à l’aide de l’applet de commande Remove-ExoPhishSimOverrideRule , comme décrit plus loin dans cet article.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-ExoPhishSimOverrideRule.
Utiliser PowerShell pour afficher les entrées d’URL de simulation de hameçonnage autorisées
Dans Exchange Online PowerShell, exécutez la commande suivante :
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TenantAllowBlockListItems.
Utiliser PowerShell pour modifier la stratégie de remplacement de simulation d’hameçonnage
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
Cet exemple désactive la stratégie de remplacement de simulation de hameçonnage.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-PhishSimOverridePolicy.
Utiliser PowerShell pour modifier les règles de remplacement de simulation d’hameçonnage
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
ou
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Utilisez l’applet de commande Get-ExoPhishSimOverrideRule pour rechercher les <valeurs PhishSimOverrideRuleIdentity> . Le nom de la règle utilise la syntaxe suivante : _Exe:PhishSimOverr:<GUID\>
[sic] où <GUID> est une valeur GUID unique (par exemple, 6fed4b63-3563-495d-a481-b24a311f8329).
Cet exemple modifie la règle de remplacement de simulation de hameçonnage (probablement uniquement) avec les paramètres suivants :
- Ajoutez l’entrée de domaine blueyonderairlines.com.
- Supprimez l’entrée d’adresse IP 192.168.1.55.
Ces modifications n’affectent pas les entrées existantes dans la règle.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-ExoPhishSimOverrideRule.
Utiliser PowerShell pour modifier les entrées d’URL de simulation de hameçonnage autorisées
Vous ne pouvez pas modifier les valeurs d’URL directement. Vous pouvez supprimer les entrées d’URL existantes et ajouter de nouvelles entrées d’URL comme décrit dans cet article.
Dans Exchange Online PowerShell, pour modifier d’autres propriétés d’une entrée d’URL de simulation d’hameçonnage autorisée (par exemple, la date d’expiration ou les commentaires), utilisez la syntaxe suivante :
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
Vous identifiez l’entrée à modifier par ses valeurs d’URL (le paramètre Entries ) ou la valeur Identity à partir de la sortie de l’applet de commande Get-TenantAllowBlockListItems (paramètre Ids ).
Cet exemple a modifié la date d’expiration de l’entrée spécifiée.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TenantAllowBlockListItems.
Utiliser PowerShell pour supprimer une stratégie de remplacement de simulation d’hameçonnage
Dans Exchange Online PowerShell, cet exemple supprime la stratégie de remplacement de simulation de hameçonnage et la règle correspondante.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-PhishSimOverridePolicy.
Utiliser PowerShell pour supprimer les règles de remplacement de simulation d’hameçonnage
Dans Exchange Online PowerShell, utilisez les commandes suivantes :
Supprimez toutes les règles de remplacement de simulation d’hameçonnage :
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
Supprimez la règle de remplacement de simulation de hameçonnage spécifiée :
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-ExoPhishSimOverrideRule.
Utiliser PowerShell pour supprimer les entrées d’URL de simulation de hameçonnage autorisées
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
Vous identifiez l’entrée à modifier par ses valeurs d’URL (le paramètre Entries ) ou la valeur Identity à partir de la sortie de l’applet de commande Get-TenantAllowBlockListItems (paramètre Ids ).
Cet exemple a modifié la date d’expiration de l’entrée spécifiée.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-TenantAllowBlockListItems.