Het geavanceerde leveringsbeleid configureren voor phishingsimulaties van derden en e-mailbezorging naar SecOps-postvakken
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Om uw organisatie standaard veilig te houden, staat Exchange Online Protection (EOP) geen veilige lijsten of filteren bypass toe voor berichten die zijn geïdentificeerd als malware of phishing met hoge betrouwbaarheid. Er zijn echter specifieke scenario's waarin niet-gefilterde berichten moeten worden bezorgd. Bijvoorbeeld:
- Phishingsimulaties van derden: met gesimuleerde aanvallen kunt u kwetsbare gebruikers identificeren en trainen voordat een echte aanval van invloed is op uw organisatie.
- SecOps-postvakken (beveiligingsbewerkingen): toegewezen postvakken die door beveiligingsteams worden gebruikt voor het verzamelen en analyseren van niet-gefilterde berichten (zowel goede als slechte).
Gebruik het geavanceerde bezorgingsbeleid in EOP om te voorkomen dat inkomende berichten in deze specifieke scenario's worden gefilterd¹. Het geavanceerde bezorgingsbeleid zorgt ervoor dat berichten in deze scenario's de volgende resultaten opleveren:
- Filters in EOP en Defender voor Office 365 geen actie ondernemen op deze berichten. Malwarefiltering wordt alleen overgeslagen voor SecOps-postvakken.
- Zero-hour Purge (ZAP) voor spam en phishing onderneemt geen actie op deze berichten. ZAP voor malware wordt alleen overgeslagen voor SecOps-postvakken.
- Veilige koppelingen in Defender voor Office 365 blokkeert of ontploft de opgegeven URL's in deze berichten niet op het moment van klikken. URL's worden nog steeds verpakt, maar worden niet geblokkeerd.
- Veilige bijlagen in Defender voor Office 365 ontploft geen bijlagen in deze berichten.
- Standaardsysteemwaarschuwingen worden niet geactiveerd voor deze scenario's.
- Air en clustering in Defender voor Office 365 negeert deze berichten.
- Specifiek voor phishingsimulaties van derden:
- Beheer inzending genereert een automatisch antwoord met de mededeling dat het bericht deel uitmaakt van een phishingsimulatiecampagne en geen echte bedreiging is. Waarschuwingen en AIR worden niet geactiveerd. In de ervaring voor het indienen van beheerders worden deze berichten weergegeven als een gesimuleerde bedreiging.
- Wanneer een gebruiker een phishingsimulatiebericht rapporteert met behulp van de ingebouwde knop Rapport in Outlook of de invoegtoepassing Microsoft Report Message of Report Phishing, genereert het systeem geen waarschuwing, onderzoek of incident. De koppelingen of bestanden worden niet ontplofd, maar het bericht wordt weergegeven op het tabblad Gebruiker gerapporteerd van de pagina Inzendingen .
Berichten die zijn geïdentificeerd door het geavanceerde bezorgingsbeleid zijn geen beveiligingsrisico's, dus de berichten worden gemarkeerd met systeemoverschrijvingen. Beheer ervaringen tonen deze berichten als phishingsimulatie of overschrijvingen van het SecOps-postvaksysteem. Beheerders kunnen deze waarden gebruiken om berichten in de volgende ervaringen te filteren en te analyseren:
- Threat Explorer (Explorer) of realtime detecties in Defender voor Office 365: beheerders kunnen filteren op systeemoverschrijvende bron en phishingsimulatie of SecOps-postvak selecteren.
- De pagina Email entiteit: Beheerders kunnen een bericht bekijken dat is toegestaan door het organisatiebeleid door het SecOps-postvak of phishingsimulatie onder Tenantoverschrijven in de sectie Onderdrukking(en).
- Het rapport Bedreigingsbeveiligingsstatus: Beheer kunt filteren op gegevens weergeven op systeemoverschrijving in de vervolgkeuzelijst en selecteren om berichten te zien die zijn toegestaan vanwege een onderdrukking van het phishingsimulatiesysteem. Als u berichten wilt zien die zijn toegestaan door de onderdrukking van het SecOps-postvak, kunt u grafiekuitsplitsing op bezorgingslocatie selecteren in de uitsplitsing op reden vervolgkeuzelijst.
- Geavanceerde opsporing in Microsoft Defender voor Eindpunt: phishingsimulatie en overschrijvingen van SecOps-postvaksysteem zijn opties in OrgLevelPolicy in EmailEvents.
- Campagneweergaven: Beheer kunt filteren op systeemoverschrijvende bron en phishingsimulatie of SecOps-postvak selecteren.
Wat moet u weten voordat u begint?
U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Geavanceerde bezorging wilt gaan, gebruikt u https://security.microsoft.com/advanceddelivery.
Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell.
Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U beschikt tevens over de volgende opties:
Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell: Autorisatie en instellingen/Beveiligingsinstellingen/Basisbeveiligingsinstellingen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).
Email & machtigingen voor samenwerking in de Microsoft Defender-portal en Exchange Online machtigingen:
- Geconfigureerde instellingen maken, wijzigen of verwijderen in het geavanceerde leveringsbeleid: Lidmaatschap van de rolgroepen Beveiligingsbeheerder in Email & RBAC voor samenwerking en lidmaatschap van de rollengroep Organisatiebeheer in Exchange Online RBAC.
-
Alleen-lezentoegang tot het geavanceerde leveringsbeleid: lidmaatschap van de rolgroepen Globale lezer of Beveiligingslezer in Email & samenwerkings-RBAC.
- Organisatiebeheer alleen weergeven in Exchange Online RBAC.
Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder*, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.
Belangrijk
* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
De Microsoft Defender-portal gebruiken om SecOps-postvakken te configureren in het geavanceerde leveringsbeleid
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Geavanceerde levering in de sectie Regels. Als u rechtstreeks naar de pagina Geavanceerde levering wilt gaan, gebruikt u https://security.microsoft.com/advanceddelivery.
Controleer op de pagina Geavanceerde bezorging of het tabblad SecOps-postvak is geselecteerd.
Selecteer op het tabblad SecOps-postvak de knop Toevoegen in het gebied Geen SecOps-postvakken geconfigureerd van de pagina.
Als er al vermeldingen zijn op het tabblad SecOps-postvak , selecteert u Bewerken (de knop Toevoegen is niet beschikbaar).
Voer in de flyout SecOps-postvakken toevoegen die wordt geopend een bestaand Exchange Online postvak in dat u wilt aanwijzen als SecOps-postvak door een van de volgende stappen uit te voeren:
Klik in het vak, laat de lijst met postvakken oplossen en selecteer het postvak.
Klik in het vak begin met het typen van een id voor het postvak (naam, weergavenaam, alias, e-mailadres, accountnaam, enzovoort) en selecteer het postvak (weergavenaam) in de resultaten.
Herhaal deze stap zo vaak als nodig is. Distributiegroepen zijn niet toegestaan.
Als u een bestaande waarde wilt verwijderen, selecteert u verwijderen naast de waarde.
Wanneer u klaar bent in de flyout SecOps-postvakken toevoegen , selecteert u Toevoegen..
Controleer de informatie in de flyout Wijzigingen in SecOps-postvak overschrijven opgeslagen en selecteer vervolgens Sluiten.
Op het tabblad SecOps-postvak worden de secops-postvakvermeldingen die u hebt geconfigureerd, nu weergegeven:
- De kolom Weergavenaam bevat de weergavenaam van de postvakken.
- De kolom Email bevat het e-mailadres voor elke vermelding.
- Als u de lijst met vermeldingen wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u vervolgens Lijst comprimeren.
Gebruik de Microsoft Defender-portal om SecOps-postvakken in het geavanceerde leveringsbeleid te wijzigen of te verwijderen
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Geavanceerde levering in de sectie Regels. Als u rechtstreeks naar de pagina Geavanceerde levering wilt gaan, gebruikt u https://security.microsoft.com/advanceddelivery.
Controleer op de pagina Geavanceerde bezorging of het tabblad SecOps-postvak is geselecteerd.
Selecteer bewerken op het tabblad SecOps-postvak.
In De flyout SecOps-postvakken bewerken die worden geopend, kunt u postvakken toevoegen of verwijderen, zoals beschreven in Stap 3 in de sectie De Microsoft Defender portal gebruiken om SecOps-postvakken te configureren in de sectie Geavanceerd leveringsbeleid.
Als u alle postvakken wilt verwijderen, selecteert u verwijderen naast elke waarde totdat er geen postvakken meer zijn geselecteerd.
Wanneer u klaar bent in de flyout SecOps-postvakken bewerken , selecteert u Opslaan.
Controleer de informatie in de flyout Wijzigingen in SecOps-postvak overschrijven opgeslagen en selecteer vervolgens Sluiten.
Op het tabblad SecOps-postvak worden de SecOps-postvakvermeldingen weergegeven die u hebt geconfigureerd. Als u alle vermeldingen hebt verwijderd, is de lijst leeg.
Gebruik de Microsoft Defender-portal om phishingsimulaties van derden te configureren in het geavanceerde leveringsbeleid
Als u een phishingsimulatie van derden wilt configureren, moet u de volgende informatie opgeven:
- Ten minste één domein: het domein van het MAIL FROM-adres (ook wel het adres, P1-afzender
5321.MailFrom
of envelopafzender genoemd) dat wordt gebruikt in de SMTP-verzending van het bericht of een DKIM-domein zoals opgegeven door de phishingsimulatieleverancier. - Ten minste één verzendend IP-adres.
- Voor phishingsimulaties zonder e-mail (bijvoorbeeld Microsoft Teams-berichten, Word documenten of Excel-spreadsheets), kunt u desgewenst de simulatie-URL's identificeren zodat deze niet als echte bedreigingen mogen worden behandeld op het moment van klikken: de URL's worden niet geblokkeerd of ontplofd en er worden geen URL-klikwaarschuwingen of resulterende incidenten gegenereerd. De URL's worden verpakt op het moment van klikken, maar ze worden niet geblokkeerd.
Er moet een overeenkomst zijn voor ten minste één domein en één verzendend IP-adres, maar er wordt geen koppeling tussen waarden onderhouden.
Als uw MX-record niet verwijst naar Microsoft 365, moet het IP-adres in de Authentication-results
header overeenkomen met het IP-adres in het geavanceerde leveringsbeleid. Als de IP-adressen niet overeenkomen, moet u mogelijk Uitgebreide filtering voor connectors configureren, zodat het juiste IP-adres wordt gedetecteerd.
Opmerking
Verbeterde filtering voor connectors werkt niet voor phishingsimulaties van derden in scenario's voor e-mailroutering waarbij e-mail twee keer naar Exchange online komt (bijvoorbeeld internet-e-mail gerouteerd naar Microsoft 365, vervolgens naar een on-premises omgeving of beveiligingsservice van derden en vervolgens terug naar Microsoft 365). EOP kan het echte IP-adres van de berichtbron niet identificeren. Probeer deze beperking niet te omzeilen door de IP-adressen van de on-premises of externe verzendinfrastructuur toe te voegen aan de phishingsimulatie van derden. Als u dit doet, wordt spamfiltering effectief overgeslagen voor elke internetzender die het domein imiteert dat is opgegeven in de phishingsimulatie van derden. Routeringsscenario's waarbij de MX-record naar een service van derden verwijst en vervolgens e-mail wordt doorgestuurd naar Exchange Online worden ondersteund als Verbeterde filtering voor connectors is geconfigureerd.
Momenteel biedt het geavanceerde leveringsbeleid voor phishingsimulaties van derden geen ondersteuning voor simulaties binnen dezelfde organisatie (DIR:INT
), met name wanneer e-mail wordt gerouteerd via een Exchange Server gateway vóór Microsoft 365 in hybride e-mailstroom. U hebt de volgende opties om dit probleem te omzeilen:
- Maak een toegewezen verzendconnector die de phishingsimulatieberichten niet verifieert als intern.
- Configureer de phishingsimulatie om de Exchange Server infrastructuur te omzeilen en e-mail rechtstreeks naar uw Microsoft 365 MX-record te routeren (bijvoorbeeld contoso-com.mail.protection.outlook.com).
- Hoewel u het scannen van berichten binnen de organisatie kunt instellen op Geen in antispambeleid , raden we deze optie niet aan omdat deze van invloed is op andere e-mailberichten.
Als u het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging gebruikt of als uw aangepaste beleidsregels voor veilige koppelingen de instelling URL's niet opnieuw schrijven, alleen controles uitvoeren via de SafeLinks-API is ingeschakeld, worden phishingsimulatiekoppelingen in e-mail niet behandeld als bedreigingen in webversie van Outlook, Outlook voor iOS en Android, Outlook voor Windows v16.0.15317.10000 of hoger, en Outlook voor Mac versie 16.74 (23061100) of hoger. Als u oudere versies van Outlook gebruikt, kunt u overwegen om de instelling URL's niet opnieuw schrijven, alleen controles uitvoeren via SafeLinks-API uit te schakelen in aangepaste beleidsregels voor veilige koppelingen.
Het toevoegen van phishingsimulatie-URL's aan de sectie De volgende URL's in e-mail niet herschrijven in het beleid voor veilige koppelingen kan leiden tot ongewenste waarschuwingen voor URL-klikken. Phishingsimulatie-URL's in e-mailberichten zijn automatisch toegestaan, zowel tijdens de e-mailstroom als tijdens het klikken.
Momenteel biedt het geavanceerde bezorgingsbeleid voor SecOps-postvakken geen ondersteuning voor berichten binnen de organisatie (DIR:INT
) en worden deze berichten in quarantaine geplaatst. Als tijdelijke oplossing kunt u een afzonderlijk antispambeleid voor SecOps-postvakken gebruiken dat berichten binnen de organisatie niet in quarantaine plaatst. Het wordt afgeraden om beveiliging binnen de organisatie uit te schakelen voor alle postvakken.
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Geavanceerde levering in de sectie Regels. Als u rechtstreeks naar de pagina Geavanceerde levering wilt gaan, gebruikt u https://security.microsoft.com/advanceddelivery.
Selecteer op de pagina Geavanceerde levering het tabblad Phishingsimulatie .
Selecteer op het tabblad Phishingsimulatie de knop Toevoegen in het gebied Geen phishingsimulaties van derden geconfigureerd van de pagina.
Als er al vermeldingen zijn op het tabblad Phishingsimulatie , selecteert u Bewerken (de knop Toevoegen is niet beschikbaar).
Configureer in de flyout Phishingsimulaties van derden toevoegen die wordt geopend de volgende instellingen:
Domein: vouw deze instelling uit en voer ten minste één e-mailadresdomein in door in het vak te klikken, een waarde in te voeren (bijvoorbeeld contoso.com) en vervolgens op ENTER te drukken of de waarde te selecteren die onder het vak wordt weergegeven. Herhaal deze stap zo vaak als nodig is. U kunt maximaal 50 vermeldingen toevoegen. Gebruik een van de volgende waarden:
- Het domein in het
5321.MailFrom
adres (ook wel het MAIL FROM-adres , P1-afzender of envelopafzender genoemd) dat wordt gebruikt bij de SMTP-verzending van het bericht. - Het DKIM-domein zoals opgegeven door de phishingsimulatieleverancier.
- Het domein in het
IP-adres verzenden: vouw deze instelling uit en voer ten minste één geldig IPv4-adres in door in het vak te klikken, een waarde in te voeren en vervolgens op Enter te drukken of de waarde te selecteren die onder het vak wordt weergegeven. Herhaal deze stap zo vaak als nodig is. U kunt maximaal 10 vermeldingen toevoegen. Geldige waarden zijn:
- Enkel IP-adres: bijvoorbeeld 192.168.1.1.
- IP-bereik: bijvoorbeeld 192.168.0.1-192.168.0.254.
- CIDR IP: bijvoorbeeld 192.168.0.1/25.
Simulatie-URL's die moeten worden toegestaan: deze instelling is niet vereist voor koppelingen in e-mailphishingsimulaties. Gebruik deze instelling om optioneel koppelingen te identificeren in phishingsimulaties zonder e-mail (koppelingen in Teams-berichten of in Office-documenten ) die op het moment van klikken niet als echte bedreigingen moeten worden behandeld.
Voeg URL-vermeldingen toe door deze instelling uit te vouwen, in het vak te klikken, een waarde in te voeren en vervolgens op ENTER te drukken of de waarde te selecteren die onder het vak wordt weergegeven. U kunt maximaal 30 vermeldingen toevoegen. Zie URL-syntaxis voor de lijst Tenant toestaan/blokkeren voor de URL-syntaxis.
Als u een bestaande domein-, IP- of URL-waarde wilt verwijderen, selecteert u verwijderen naast de waarde.
Bekijk het volgende voorbeeld:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- Het IP-adres van de verbinding is 172.17.17.7.
- Het domein in het MAIL FROM-adres (
smtp.mailfrom
) is contoso.com. - Het DKIM-domein (
header.d
) is contoso-simulation.com.
In het voorbeeld kunt u een van de volgende combinaties gebruiken om een phishingsimulatie van derden te configureren:
Domein: contoso.com
Ip-adres verzenden: 172.17.17.7Domein: contoso-simulation.com
Ip-adres verzenden: 172.17.17.7Wanneer u klaar bent in de flyout Phishingsimulaties van derden toevoegen , selecteert u Toevoegen.
Controleer de informatie in de flyout Wijzigingen in phishingsimulatie overschrijven opgeslagen en selecteer vervolgens Sluiten.
Op het tabblad Phishingsimulatie worden de phishingsimulatievermeldingen van derden die u hebt geconfigureerd, nu weergegeven:
- De kolom Waarde bevat het domein, HET IP-adres of de URL-vermelding.
- De kolom Type bevat de waarde Ip verzenden, Domein of Toegestane simulatie-URL voor elke vermelding.
- In de kolom Date wordt weergegeven wanneer de vermelding is gemaakt.
- Als u de lijst met vermeldingen wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u vervolgens Lijst comprimeren.
Gebruik de Microsoft Defender portal om phishingsimulaties van derden te wijzigen of te verwijderen in het geavanceerde leveringsbeleid
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Geavanceerde levering in de sectie Regels. Als u rechtstreeks naar de pagina Geavanceerde levering wilt gaan, gebruikt u https://security.microsoft.com/advanceddelivery.
Selecteer op de pagina Geavanceerde levering het tabblad Phishingsimulatie .
Selecteer op het tabblad Phishingsimulatie de optie Bewerken.
In de flyout Voor phishingsimulatie van derden bewerken die wordt geopend, kunt u vermeldingen toevoegen of verwijderen voor URL's voor domein, IP-adres verzenden en simulatie, zoals beschreven in Stap 3 in de sectie De Microsoft Defender portal gebruiken om SecOps-postvakken te configureren in de sectie Geavanceerd leveringsbeleid.
Als u alle vermeldingen wilt verwijderen, selecteert u verwijderen naast elke waarde totdat er geen domeinen, IP-adressen of URL's meer zijn geselecteerd.
Wanneer u klaar bent in de flyout Phishingsimulatie van derden bewerken , selecteert u Opslaan.
Controleer de informatie in de flyout Wijzigingen in phishingsimulatie overschrijven opgeslagen en selecteer vervolgens Sluiten.
Op het tabblad Phishingsimulatie worden de phishingsimulatievermeldingen van derden weergegeven die u hebt geconfigureerd. Als u alle vermeldingen hebt verwijderd, is de lijst leeg.
Aanvullende scenario's waarvoor het overslaan van filters is vereist
Naast de twee scenario's waarmee het geavanceerde leveringsbeleid u kan helpen, zijn er andere scenario's waarin u mogelijk het filteren van berichten moet overslaan:
Filters van derden: als de MX-record van uw domein niet verwijst naar Office 365 (berichten worden eerst ergens anders gerouteerd), is beveiliging standaardniet beschikbaar. Als u beveiliging wilt toevoegen, moet u Verbeterde filtering voor connectors inschakelen (ook wel vermelding overslaan genoemd). Zie E-mailstroom beheren met behulp van een cloudservice van derden met Exchange Online voor meer informatie. Als u verbeterde filtering voor connectors niet wilt, gebruikt u regels voor e-mailstromen (ook wel transportregels genoemd) om microsoft-filtering te omzeilen voor berichten die al zijn geëvalueerd door filters van derden. Zie E-mailstroomregels gebruiken om de SCL in berichten in te stellen voor meer informatie.
Fout-positieven die worden beoordeeld: mogelijk wilt u tijdelijk goede berichten toestaan die onjuist zijn geïdentificeerd als slecht (fout-positieven) die u hebt gerapporteerd via inzendingen van beheerders, maar de berichten worden nog steeds geanalyseerd door Microsoft. Zoals bij alle onderdrukkingen, raden we ten zeerste aan dat deze vergoedingen tijdelijk zijn.
PowerShell-procedures voor SecOps-postvakken in het geavanceerde leveringsbeleid
In PowerShell zijn de basiselementen van SecOps-postvakken in het geavanceerde leveringsbeleid:
- Het SecOps-onderdrukkingsbeleid: Beheerd door de cmdlets *-SecOpsOverridePolicy .
- De Regel voor SecOps-onderdrukking: Beheerd door de cmdlets *-ExoSecOpsOverrideRule .
Dit gedrag heeft de volgende resultaten:
- U maakt eerst het beleid en vervolgens maakt u de regel waarmee het beleid wordt geïdentificeerd waarop de regel van toepassing is.
- Wanneer u een beleid verwijdert uit PowerShell, wordt de bijbehorende regel ook verwijderd.
- Wanneer u een regel uit PowerShell verwijdert, wordt het bijbehorende beleid niet verwijderd. U moet het bijbehorende beleid handmatig verwijderen.
PowerShell gebruiken om SecOps-postvakken te configureren
Het configureren van een SecOps-postvak in het geavanceerde leveringsbeleid in PowerShell bestaat uit twee stappen:
- Maak het SecOps-onderdrukkingsbeleid.
- Maak de Regel secOps-onderdrukking die het beleid specificeert waarop de regel van toepassing is.
Stap 1: PowerShell gebruiken om het SecOps-onderdrukkingsbeleid te maken
Gebruik in Exchange Online PowerShell de volgende syntaxis:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
Ongeacht de waarde naam die u opgeeft, is de beleidsnaam SecOpsOverridePolicy, dus u kunt deze waarde net zo goed gebruiken.
In dit voorbeeld wordt het SecOps-postvakbeleid gemaakt.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Zie New-SecOpsOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
Stap 2: PowerShell gebruiken om de regel voor secops-onderdrukking te maken
Voer in Exchange Online PowerShell de volgende opdracht uit:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
Ongeacht de naamwaarde die u opgeeft, is _Exe:SecOpsOverrid:<GUID\>
de regelnaam [sic] waarbij <GUID> een unieke GUID-waarde is (bijvoorbeeld 312c23cf-0377-4162-b93d-6548a9977efb9).
Zie New-ExoSecOpsOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om het SecOps-onderdrukkingsbeleid weer te geven
In Exchange Online PowerShell retourneert dit voorbeeld gedetailleerde informatie over het enige secops-postvakbeleid.
Get-SecOpsOverridePolicy
Zie Get-SecOpsOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om SecOps-onderdrukkingsregels weer te geven
In Exchange Online PowerShell retourneert dit voorbeeld gedetailleerde informatie over SecOps-onderdrukkingsregels.
Get-ExoSecOpsOverrideRule
Hoewel de vorige opdracht slechts één regel moet retourneren, kan een regel die in behandeling is om te worden verwijderd, ook worden opgenomen in de resultaten.
In dit voorbeeld worden de geldige regel (één) en eventuele ongeldige regels geïdentificeerd.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
Nadat u de ongeldige regels hebt geïdentificeerd, kunt u deze verwijderen met behulp van de cmdlet Remove-ExoSecOpsOverrideRule , zoals verderop in dit artikel wordt beschreven.
Zie Get-ExoSecOpsOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om het SecOps-onderdrukkingsbeleid te wijzigen
Gebruik in Exchange Online PowerShell de volgende syntaxis:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
In dit voorbeeld wordt secops2@contoso.com
toegevoegd aan het beleid voor het negeren van SecOps.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Opmerking
Als er een bijbehorende, geldige SecOps-onderdrukkingsregel bestaat, worden de e-mailadressen in de regel ook bijgewerkt.
Zie Set-SecOpsOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om een SecOps-onderdrukkingsregel te wijzigen
De cmdlet Set-ExoSecOpsOverrideRule wijzigt de e-mailadressen in de Regel voor het overschrijven van SecOps niet. Gebruik de cmdlet Set-SecOpsOverridePolicy om de e-mailadressen in de regel Voor onderdrukking van SecOps te wijzigen.
Zie Set-ExoSecOpsOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om het SecOps-onderdrukkingsbeleid te verwijderen
In Exchange Online PowerShell wordt in dit voorbeeld het Beleid voor SecOps-postvak en de bijbehorende regel verwijderd.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Zie Remove-SecOpsOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om SecOps-onderdrukkingsregels te verwijderen
Gebruik in Exchange Online PowerShell de volgende opdrachten:
Verwijder eventuele SecOps-onderdrukkingsregels:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
Verwijder de opgegeven regel voor secops-onderdrukking:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Zie Remove-ExoSecOpsOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell-procedures voor phishingsimulaties van derden in het geavanceerde leveringsbeleid
In PowerShell zijn de basiselementen van phishingsimulaties van derden in het geavanceerde leveringsbeleid:
- Het onderdrukkingsbeleid voor phishingsimulatie: Beheerd door de cmdlets *-PhishSimOverridePolicy .
- De onderdrukkingsregel voor phishingsimulatie: Beheerd door de cmdlets *-ExoPhishSimOverrideRule .
- De toegestane (gedeblokkeerde) phishingsimulatie-URL's: Beheerd door de cmdlets *-TenantAllowBlockListItems .
Opmerking
Zoals eerder beschreven, is het identificeren van URL's niet vereist voor koppelingen in phishingsimulaties op basis van e-mail. U kunt optioneel koppelingen identificeren in phishingsimulaties zonder e-mail (koppelingen in Teams-berichten of in Office-documenten ) die op het moment van klikken niet als echte bedreigingen moeten worden behandeld.
Dit gedrag heeft de volgende resultaten:
- U maakt eerst het beleid en vervolgens maakt u de regel waarmee het beleid wordt geïdentificeerd waarop de regel van toepassing is.
- U wijzigt de instellingen in het beleid en de regel afzonderlijk.
- Wanneer u een beleid verwijdert uit PowerShell, wordt de bijbehorende regel ook verwijderd.
- Wanneer u een regel uit PowerShell verwijdert, wordt het bijbehorende beleid niet verwijderd. U moet het bijbehorende beleid handmatig verwijderen.
PowerShell gebruiken om phishingsimulaties van derden te configureren
Het configureren van een phishingsimulatie van derden in PowerShell is een proces met meerdere stappen:
- Maak het onderdrukkingsbeleid voor phishingsimulaties.
- Maak de onderdrukkingsregel voor phishingsimulatie waarmee het volgende wordt opgegeven:
- Het beleid waarop de regel van toepassing is.
- Het bron-IP-adres van de phishingsimulatieberichten.
- Optioneel kunt u de phishingsimulatie-URL's in niet-e-mail phishing-simulaties (koppelingen in Teams-berichten of in Office-documenten ) die niet als echte bedreigingen moeten worden behandeld op het moment van klikken.
Stap 1: PowerShell gebruiken om het onderdrukkingsbeleid voor phishingsimulaties te maken
In Exchange Online PowerShell wordt in dit voorbeeld het onderdrukkingsbeleid voor phishingsimulaties gemaakt.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
Ongeacht de naamwaarde die u opgeeft, is de beleidsnaam PhishSimOverridePolicy, dus u kunt deze waarde net zo goed gebruiken.
Zie New-PhishSimOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
Stap 2: PowerShell gebruiken om de onderdrukkingsregel voor phishingsimulaties te maken
Gebruik in Exchange Online PowerShell de volgende syntaxis:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
Ongeacht de naamwaarde die u opgeeft, is _Exe:PhishSimOverr:<GUID\>
de regelnaam [sic] waarbij <GUID een unieke GUID-waarde> is (bijvoorbeeld 6fed4b63-3563-495d-a481-b24a311f8329).
Een geldige IP-adresvermelding is een van de volgende waarden:
- Enkel IP-adres: bijvoorbeeld 192.168.1.1.
- IP-bereik: bijvoorbeeld 192.168.0.1-192.168.0.254.
- CIDR IP: bijvoorbeeld 192.168.0.1/25.
In dit voorbeeld wordt de onderdrukkingsregel voor phishingsimulatie gemaakt met de opgegeven instellingen.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Zie New-ExoPhishSimOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
Stap 3: (optioneel) PowerShell gebruiken om de phishingsimulatie-URL's te identificeren die moeten worden toegestaan
Gebruik in Exchange Online PowerShell de volgende syntaxis:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Zie URL-syntaxis voor de lijst Tenant toestaan/blokkeren voor meer informatie over de URL-syntaxis
In dit voorbeeld wordt een URL-toegestane vermelding toegevoegd voor de opgegeven phishingsimulatie-URL van derden zonder verloopdatum.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Zie New-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om het onderdrukkingsbeleid voor phishingsimulaties weer te geven
In Exchange Online PowerShell retourneert dit voorbeeld gedetailleerde informatie over het onderdrukkingsbeleid voor phishingsimulaties.
Get-PhishSimOverridePolicy
Zie Get-PhishSimOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om onderdrukkingsregels voor phishingsimulatie weer te geven
In Exchange Online PowerShell) retourneert dit voorbeeld gedetailleerde informatie over onderdrukkingsregels voor phishingsimulatie.
Get-ExoPhishSimOverrideRule
Hoewel de vorige opdracht slechts één regel moet retourneren, kunnen alle regels die in behandeling zijn om te worden verwijderd, ook worden opgenomen in de resultaten.
In dit voorbeeld worden de geldige regel (één) en eventuele ongeldige regels geïdentificeerd.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
Nadat u de ongeldige regels hebt geïdentificeerd, kunt u deze verwijderen met behulp van de cmdlet Remove-ExoPhishSimOverrideRule , zoals verderop in dit artikel wordt beschreven.
Zie Get-ExoPhishSimOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om de toegestane url's voor phishingsimulatie weer te geven
Voer in Exchange Online PowerShell de volgende opdracht uit:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Zie Get-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om het onderdrukkingsbeleid voor phishingsimulaties te wijzigen
Gebruik in Exchange Online PowerShell de volgende syntaxis:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
In dit voorbeeld wordt het onderdrukkingsbeleid voor phishingsimulatie uitgeschakeld.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Zie Set-PhishSimOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om regels voor het onderdrukken van phishingsimulaties te wijzigen
Gebruik in Exchange Online PowerShell de volgende syntaxis:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
of
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Gebruik de cmdlet Get-ExoPhishSimOverrideRule om de <PhishSimOverrideRuleIdentity-waarden> te vinden. De naam van de regel gebruikt de volgende syntaxis: _Exe:PhishSimOverr:<GUID\>
[sic] waarbij <GUID> een unieke GUID-waarde is (bijvoorbeeld 6fed4b63-3563-495d-a481-b24a311f8329).
In dit voorbeeld wordt de onderdrukkingsregel voor phishingsimulatie (vermoedelijk alleen) gewijzigd met de volgende instellingen:
- Voeg de domeinvermelding toe blueyonderairlines.com.
- Verwijder de IP-adresvermelding 192.168.1.55.
Deze wijzigingen zijn niet van invloed op bestaande vermeldingen in de regel.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Zie Set-ExoPhishSimOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om de toegestane url-vermeldingen voor phishingsimulatie te wijzigen
U kunt de URL-waarden niet rechtstreeks wijzigen. U kunt bestaande URL-vermeldingen verwijderen en nieuwe URL-vermeldingen toevoegen , zoals beschreven in dit artikel.
Als u in Exchange Online PowerShell andere eigenschappen van een toegestane phishingsimulatie-URL wilt wijzigen (bijvoorbeeld de vervaldatum of opmerkingen), gebruikt u de volgende syntaxis:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
U identificeert de vermelding die u wilt wijzigen door de URL-waarden (de parameter Entries ) of de id-waarde uit de uitvoer van de cmdlet Get-TenantAllowBlockListItems (de parameter Ids ).
In dit voorbeeld is de vervaldatum van de opgegeven vermelding gewijzigd.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Zie Set-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om een onderdrukkingsbeleid voor phishingsimulaties te verwijderen
In Exchange Online PowerShell wordt in dit voorbeeld het onderdrukkingsbeleid voor phishingsimulatie en de bijbehorende regel verwijderd.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Zie Remove-PhishSimOverridePolicy voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om regels voor het onderdrukken van phishingsimulaties te verwijderen
Gebruik in Exchange Online PowerShell de volgende opdrachten:
Verwijder eventuele onderdrukkingsregels voor phishingsimulatie:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
Verwijder de opgegeven onderdrukkingsregel voor phishingsimulatie:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Zie Remove-ExoPhishSimOverrideRule voor gedetailleerde syntaxis- en parameterinformatie.
PowerShell gebruiken om de toegestane url-vermeldingen voor phishingsimulatie te verwijderen
Gebruik in Exchange Online PowerShell de volgende syntaxis:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
U identificeert de vermelding die u wilt wijzigen door de URL-waarden (de parameter Entries ) of de id-waarde uit de uitvoer van de cmdlet Get-TenantAllowBlockListItems (de parameter Ids ).
In dit voorbeeld is de vervaldatum van de opgegeven vermelding gewijzigd.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Zie Remove-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.