Delen via


Bestanden toestaan of blokkeren met behulp van de acceptatie-/blokkeringslijst voor tenants

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, kunnen beheerders vermeldingen maken en beheren voor bestanden in de lijst tenant toestaan/blokkeren. Zie Toestaan en blokkeren beheren in de lijst Tenant toestaan/blokkeren voor meer informatie over de lijst Met toestaan/blokkeren van tenants.

In dit artikel wordt beschreven hoe beheerders vermeldingen voor bestanden kunnen beheren in de Microsoft Defender-portal en in Exchange Online PowerShell.

Wat moet u weten voordat u begint?

  • U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten wilt gaan, gebruikt u https://security.microsoft.com/tenantAllowBlockList. Als u rechtstreeks naar de pagina Inzendingen wilt gaan, gebruikt u https://security.microsoft.com/reportsubmission.

  • Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell. Zie Verbinding maken met Exchange Online Protection PowerShell als je verbinding wilt maken met zelfstandige EOP PowerShell.

  • U geeft bestanden op met behulp van de SHA256-hashwaarde van het bestand. Voer de volgende opdracht uit in PowerShell om de SHA256-hashwaarde van een bestand in Windows te vinden:

    Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
    

    Een voorbeeldwaarde is 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. PHash-waarden (perceptual hash) worden niet ondersteund.

  • Invoerlimieten voor bestanden:

    • Exchange Online Protection: Het maximum aantal toegestane vermeldingen is 500 en het maximum aantal blokvermeldingen is 500 (in totaal 1000 bestandsvermeldingen).
    • Defender voor Office 365 Abonnement 1: Het maximum aantal toegestane vermeldingen is 1000 en het maximum aantal blokvermeldingen is 1000 (in totaal 2000 bestandsvermeldingen).
    • Defender voor Office 365 Abonnement 2: Het maximum aantal toegestane vermeldingen is 5000 en het maximum aantal blokvermeldingen is 10000 (in totaal 15000 bestandsvermeldingen).
  • U kunt maximaal 64 tekens invoeren in een bestandsvermelding.

  • Een vermelding moet binnen 5 minuten actief zijn.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U beschikt tevens over de volgende opties:

    • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Exchange Online machtigingen actief zijn. Alleen van invloed op de Defender-portal, niet op PowerShell: Autorisatie en instellingen/Beveiligingsinstellingen/Detectie afstemmen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).

    • Exchange Online machtigingen:

      • Vermeldingen toevoegen en verwijderen uit de lijst Tenant toestaan/blokkeren: Lidmaatschap in een van de volgende rolgroepen:
        • Organisatiebeheer of Beveiligingsbeheerder (rol beveiligingsbeheerder).
        • Beveiligingsoperator (Tenant AllowBlockList Manager-rol): deze machtiging werkt alleen wanneer deze rechtstreeks wordt toegewezen in het Exchange-beheercentrum op https://admin.exchange.microsoft.com>Rollen>Beheer Rollen.
      • Alleen-lezentoegang tot de lijst Tenant toestaan/blokkeren: Lidmaatschap in een van de volgende rollengroepen:
        • Globale lezer
        • Beveiligingslezer
        • Configuratie alleen weergeven
        • Organisatiebeheer alleen weergeven
    • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder*, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

      Belangrijk

      * Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

  • Het tabblad Bestanden is alleen beschikbaar op de pagina Inzendingen in organisaties met Microsoft Defender XDR of Microsoft Defender voor Eindpunt Abonnement 2. Zie Bestanden verzenden in Microsoft Defender voor Eindpunt voor informatie en instructies voor het verzenden van bestanden vanaf het tabblad Bestanden.

Toegestane vermeldingen voor bestanden maken

U kunt geen toegestane vermeldingen maken voor bestanden rechtstreeks in de lijst Tenant toestaan/blokkeren. Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die door het systeem zou zijn gefilterd.

In plaats daarvan gebruikt u het tabblad Email bijlagen op de pagina Inzendingen op https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Wanneer u een geblokkeerd bestand indient omdat ik heb bevestigd dat het schoon is, kunt u Dit bestand toestaan selecteren om een vermelding voor het bestand toe te voegen op het tabblad Bestanden op de pagina Tenant toestaan/blokkeren Lijsten. Zie Goede e-mailbijlagen verzenden naar Microsoft voor instructies.

Tip

Toestaan dat vermeldingen van inzendingen worden toegevoegd tijdens de e-mailstroom op basis van de filters die hebben vastgesteld dat het bericht schadelijk was. Als bijvoorbeeld wordt vastgesteld dat het e-mailadres van de afzender en een URL in het bericht schadelijk zijn, wordt een vermelding toestaan gemaakt voor de afzender (e-mailadres of domein) en de URL.

Als tijdens de e-mailstroom of het tijdstip van klikken berichten met de entiteiten in de toegestane vermeldingen andere controles in de filterstack doorstaan, worden de berichten bezorgd (alle filters die aan de toegestane entiteiten zijn gekoppeld, worden overgeslagen). Als een bericht bijvoorbeeld e-mailverificatiecontroles, URL-filtering en bestandsfiltering doorstaat, wordt een bericht van een e-mailadres van een toegestane afzender bezorgd als het ook afkomstig is van een toegestane afzender.

Standaard worden toegestane vermeldingen voor domeinen en e-mailadressen, bestanden en URL's 45 dagen bewaard nadat het filtersysteem heeft vastgesteld dat de entiteit schoon is en vervolgens de vermelding toestaan wordt verwijderd. U kunt ook toestaan dat vermeldingen tot 30 dagen na het maken verlopen. Vermeldingen toestaan voor vervalste afzenders verlopen nooit.

Tijdens het klikken overschrijft het toestaan van het bestand alle filters die zijn gekoppeld aan de bestandsentiteit, waardoor gebruikers toegang hebben tot het bestand.

Blokvermeldingen voor bestanden maken

Email berichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware. Berichten die de geblokkeerde bestanden bevatten, worden in quarantaine geplaatst.

Gebruik een van de volgende methoden om blokvermeldingen voor bestanden te maken:

Gebruik de Microsoft Defender portal om blokvermeldingen te maken voor bestanden in de lijst Tenant toestaan/blokkeren

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer op de pagina Tenant toestaan/blokkeren Lijsten het tabblad Bestanden.

  3. Selecteer op het tabblad Bestanden de optie Blokkeren.

  4. Configureer in de flyout Bestanden blokkeren die wordt geopend de volgende instellingen:

    • Bestandshashes toevoegen: voer één SHA256-hashwaarde per regel in, maximaal 20.

    • Blokvermelding verwijderen na: Selecteer uit de volgende waarden:

      • 1 dag
      • 7 dagen
      • 30 dagen (standaard)
      • Nooit verlopen
      • Specifieke datum: De maximumwaarde is 90 dagen vanaf vandaag.
    • Optionele opmerking: voer een beschrijvende tekst in voor de reden waarom u de bestanden blokkeert.

    Wanneer u klaar bent in de flyout Bestanden blokkeren , selecteert u Toevoegen.

Op het tabblad Bestanden wordt de vermelding weergegeven.

PowerShell gebruiken om blokvermeldingen te maken voor bestanden in de lijst Met toestaan/blokkeren van tenants

Gebruik in Exchange Online PowerShell de volgende syntaxis:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In dit voorbeeld wordt een blokvermelding toegevoegd voor de opgegeven bestanden die nooit verloopt.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Zie New-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen weer te geven voor bestanden in de lijst Tenant toestaan/blokkeren

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Beleidsregels & regels>Bedreigingsbeleid>Tenant toestaan/blokkeren Lijsten in de sectie Regels. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

Selecteer het tabblad Bestanden .

Op het tabblad Bestanden kunt u de vermeldingen sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:

  • Waarde: de bestands-hash.
  • Actie: De beschikbare waarden zijn Toestaan of Blokkeren.
  • Gewijzigd door
  • Laatst bijgewerkt
  • Laatst gebruikte datum: de datum waarop de vermelding voor het laatst is gebruikt in het filtersysteem om het oordeel te overschrijven.
  • Verwijderen op: de vervaldatum.
  • Opmerkingen

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

  • Actie: De beschikbare waarden zijn Toestaan en Blokkeren.
  • Verloopt nooit: of
  • Laatst bijgewerkt: selecteer Datums Van en Tot .
  • Datum laatst gebruikt: selecteer Datums Van en Tot .
  • Verwijderen op: selecteer datums Van en Tot .

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Zoeken en een bijbehorende waarde om specifieke vermeldingen te zoeken.

Als u de vermeldingen wilt groepeer, selecteert u Groep en vervolgens Actie. Als u de groepering van de vermeldingen wilt opheffen, selecteert u Geen.

PowerShell gebruiken om vermeldingen weer te geven voor bestanden in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

In dit voorbeeld worden alle toegestane en geblokkeerde bestanden geretourneerd.

Get-TenantAllowBlockListItems -ListType FileHash

In dit voorbeeld wordt informatie geretourneerd voor de opgegeven hash-waarde van het bestand.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

In dit voorbeeld worden de resultaten gefilterd op geblokkeerde bestanden.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Zie Get-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender portal om vermeldingen te wijzigen voor bestanden in de lijst Voor toestaan/blokkeren van tenants

In bestaande bestandsvermeldingen kunt u de vervaldatum en notitie wijzigen.

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer het tabblad Bestanden

  3. Selecteer op het tabblad Bestanden de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en vervolgens de actie Bewerken te selecteren die wordt weergegeven.

  4. In de flyout Bestand bewerken die wordt geopend, zijn de volgende instellingen beschikbaar:

    • Vermeldingen blokkeren:
      • Blokvermelding verwijderen na: Selecteer uit de volgende waarden:
        • 1 dag
        • 7 dagen
        • 30 dagen
        • Nooit verlopen
        • Specifieke datum: De maximumwaarde is 90 dagen vanaf vandaag.
      • Optionele opmerking
    • Vermeldingen toestaan:
      • Vermelding toestaan verwijderen na: Selecteer uit de volgende waarden:
        • 1 dag
        • 7 dagen
        • 30 dagen
        • 45 dagen na de laatste gebruiksdatum
        • Specifieke datum: De maximumwaarde is 30 dagen vanaf vandaag.
      • Optionele opmerking

    Wanneer u klaar bent in de flyout Bestand bewerken , selecteert u Opslaan.

Tip

In de flyout details van een item op het tabblad Bestanden gebruikt u Inzending weergeven boven aan de flyout om naar de details van het bijbehorende item op de pagina Inzendingen te gaan. Deze actie is beschikbaar als een inzending verantwoordelijk was voor het maken van de vermelding in de lijst Tenant toestaan/blokkeren.

PowerShell gebruiken om bestaande vermeldingen voor bestanden in de lijst Toestaan/blokkeren van tenants te wijzigen

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In dit voorbeeld wordt de vervaldatum van de opgegeven bestandsblokvermelding gewijzigd.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Zie Set-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen voor bestanden te verwijderen uit de lijst voor toestaan/blokkeren van tenants

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer het tabblad Bestanden .

  3. Voer op het tabblad Bestanden een van de volgende stappen uit:

    • Selecteer de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en selecteer vervolgens de actie Verwijderen die wordt weergegeven.

    • Selecteer de vermelding in de lijst door op een andere plaats in de rij dan het selectievakje te klikken. Selecteer in de flyout details die wordt geopend de optie Verwijderen boven aan de flyout.

      Tip

      Als u details over andere vermeldingen wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.

  4. Selecteer Verwijderen in het waarschuwingsdialoogvenster dat wordt geopend.

Terug op het tabblad Bestanden wordt de vermelding niet meer weergegeven.

Tip

U kunt meerdere vermeldingen selecteren door elk selectievakje in te schakelen of alle vermeldingen te selecteren door het selectievakje naast de kolomkop Waarde in te schakelen.

PowerShell gebruiken om vermeldingen voor bestanden te verwijderen uit de lijst voor toestaan/blokkeren van tenants

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

In dit voorbeeld wordt het opgegeven bestandsblok verwijderd uit de lijst Tenant toestaan/blokkeren.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Zie Remove-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.