Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Чтобы обеспечить безопасность организации по умолчанию, Microsoft 365 не разрешает списки разрешений или обход фильтров для сообщений, которые определены как вредоносные программы или фишинг с высокой степенью достоверности. Но существуют определенные сценарии, в которых требуется доставка нефильтрованных сообщений. Например, вы можете:
- Симуляция фишинга сторонних организаций. Имитация атак помогает выявлять и обучать уязвимых пользователей до того, как реальные атаки повлияют на вашу организацию.
- Почтовые ящики операций безопасности (SecOps): выделенные почтовые ящики, используемые командами безопасности для сбора и анализа нефильтрованных сообщений (как хороших, так и плохих).
Используйте политику расширенной доставки в Microsoft 365, чтобы входящие сообщения не фильтровались в фишинговых симуляциях, не относящихся к Microsoft, в почтовых ящиках SecOps и в других сценариях, требующих обхода фильтрации. Политика расширенной доставки гарантирует, что сообщения в сценариях симуляции фишинга, отличной от Microsoft, и в сценариях почтового ящика SecOps приводят к следующим результатам:
- Фильтры в Microsoft 365 не применяют никаких действий к этим сообщениям. Фильтрация вредоносных программ не применяется только к почтовым ящикам SecOps.
- Автоматическая очистка за нулевой час (ZAP) для спама и фишинга не выполняет никаких действий с этими сообщениями. ZAP для вредоносного ПО не применяется только к почтовым ящикам SecOps.
- Безопасные ссылки в Defender для Office 365 не блокируют и не детонируют указанные URL-адреса в этих сообщениях во время щелчка. URL-адреса по-прежнему упаковываются, но не блокируются.
- Безопасные вложения в Defender для Office 365 не детонируют вложения в этих сообщениях.
- Системные оповещения по умолчанию не активируются для сценариев моделирования фишинга без Microsoft и почтовых ящиков SecOps.
- AIR и кластеризация в Defender для Office 365 игнорируют эти сообщения.
- Специально для симуляций фишинга, не относящихся к Microsoft:
- Отправка администратором создает автоматический ответ о том, что сообщение является частью кампании по имитации фишинга и не является реальной угрозой. Оповещения и AIR не активируются. В интерфейсе отправки администратором эти сообщения отображаются как имитация угрозы.
- Когда пользователь сообщает о симуляции фишинга с помощью встроенной кнопки "Отчет" в Outlook, система не создает оповещение, расследование или инцидент. Ссылки или файлы не детонируются, но сообщение отображается на вкладке Пользователь сообщается на странице Отправки .
Сообщения, определенные расширенной политикой доставки, не являются угрозами безопасности, поэтому сообщения помечаются системными переопределениями. В интерфейсе администратора отображаются сообщения, идентифицированные политикой расширенной доставки как системные переопределения Имитация фишинга или Почтовый ящик SecOps. Администраторы могут использовать имитацию фишинга и переопределить значения системы почтовых ящиков SecOps для фильтрации и анализа сообщений в следующих интерфейсах:
- Threat Explorer (Explorer) или Real-time detections в Defender для Office 365: администраторы могут фильтровать по параметру Источник переопределения системы и выбирать симуляция фишинга или почтовый ящик SecOps.
- Страница сущности Email. Администраторы могут просматривать сообщение, разрешенное политикой организации почтовым ящиком SecOps или имитацией фишинга, в разделе Переопределение клиента в разделе Переопределениеклиента.
- Отчет о состоянии защиты от угроз: администратор может в раскрывающемся меню отфильтровать данные по параметру Просмотр данных по системному переопределению и выбрать его, чтобы просмотреть сообщения, разрешенные из-за системного переопределения для имитации фишинга. Чтобы просмотреть сообщения, разрешенные переопределением почтового ящика SecOps, можно выбрать разбивку диаграммы по расположению доставки в раскрывающемся списке Разбивка диаграммы по причине .
- Расширенный поиск угроз в Microsoft Defender для конечных точек: Имитация фишинга и переопределения системы почтовых ящиков SecOps являются параметрами в OrgLevelPolicy в таблице EmailEvents.
- Представления кампаний: администратор может фильтровать по источнику системного переопределения и выбрать либо симуляцию фишинга, либо почтовый ящик SecOps.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Расширенной доставки, используйте .https://security.microsoft.com/advanceddelivery
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:
Microsoft Defender XDR: единое управление доступом на основе ролей (RBAC) (если для Электронная почта & совместная работа>Defender для Office 365 разрешение имеет значение
Active. Влияет только на портал Defender, но не на PowerShell): Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).Разрешения для электронной почты и совместной работы на портале Microsoft Defender и разрешения в Exchange Online:
- Создавать, изменять или удалять настроенные параметры в расширенной политике доставки: членство в группах ролей Security Administrator в модели RBAC для электронной почты и совместной работы и членство в группе ролей "Управление организацией" в модели RBAC Exchange Online.
-
Доступ к расширенной политике доставки только для чтения: членство в группах ролей «Глобальный читатель» или «Читатель безопасности» в RBAC для электронной почты и совместной работы.
- Управление организацией только для просмотра в Exchange Online RBAC.
Разрешения Microsoft Entra: Членство в ролях Глобальный администратор*, Администратор безопасности, Глобальный читатель или Читатель безопасности предоставляет пользователям необходимые разрешения, а также разрешения для использования других функций Microsoft 365.
Важно!
* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
Настройка почтовых ящиков SecOps в расширенной политике доставки с помощью портала Microsoft Defender
Чтобы добавить почтовые ящики SecOps в расширенную политику доставки на портале Microsoft Defender, выполните следующие действия.
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта & совместная работа>Политики & правила>Политики угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.
На странице Расширенная доставка убедитесь, что выбрана вкладка Почтовый ящик SecOps .
На вкладке Почтовый ящик SecOps нажмите кнопку Добавить в области Нет настроенных почтовых ящиков SecOps на странице.
Если на вкладке почтового ящика SecOps уже есть записи, выберите
Изменить (кнопка Добавить недоступна).Во всплывающем окне Добавление почтовых ящиков SecOps введите существующий почтовый ящик Exchange Online, который нужно назначить в качестве почтового ящика SecOps, выполнив одно из следующих действий.
Щелкните в поле, дождитесь отображения списка почтовых ящиков, а затем выберите нужный почтовый ящик.
Щелкните поле Начать вводить идентификатор почтового ящика (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.) и выберите почтовый ящик (отображаемое имя) в результатах.
Повторите этот шаг нужное количество раз. Группы рассылки запрещены.
Чтобы удалить существующее значение, щелкните удалить
рядом со значением .
По завершении во всплывающем окне Добавление почтовых ящиков SecOps нажмите кнопку Добавить.
Просмотрите информацию во всплывающей панели Изменения в переопределении почтового ящика SecOps сохранены, а затем нажмите Закрыть.
На вкладке Почтовый ящик SecOps теперь перечислены настроенные записи почтового ящика SecOps:
- Столбец Отображаемое имя содержит отображаемое имя почтовых ящиков.
- Столбец Email содержит адрес электронной почты для каждой записи.
- Чтобы изменить список записей с обычного на компактный, выберите
Изменить интервал списка на компактный или обычный, а затем выберите
Компактный список.
Использование портала Microsoft Defender для изменения или удаления почтовых ящиков SecOps в расширенной политике доставки
Чтобы изменить или удалить почтовые ящики SecOps на портале Microsoft Defender, выполните следующие действия.
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в Электронная почта & совместная работа>Политики & правила>Политики угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.
На странице Расширенная доставка убедитесь, что выбрана вкладка Почтовый ящик SecOps .
На вкладке Почтовый ящик SecOps выберите
Изменить.Во всплывающем окне Изменение почтовых ящиков SecOps добавьте или удалите почтовые ящики, как описано в шаге 3 в разделе Использование портала Microsoft Defender для настройки почтовых ящиков SecOps в разделе расширенная политика доставки.
Чтобы удалить все почтовые ящики, выберите удалить
рядом с каждым значением, пока не будет выбрано больше почтовых ящиков.По завершении во всплывающем окне Изменение почтовых ящиков SecOps нажмите кнопку Сохранить.
Просмотрите информацию на всплывающей панели Переопределение для почтового ящика SecOps сохранено, а затем выберите Закрыть.
На вкладке Почтовый ящик SecOps отображаются настроенные записи почтового ящика SecOps. Если удалить все записи, список будет пустым.
Использование портала Microsoft Defender для настройки симуляции фишинга сторонних поставщиков в расширенной политике доставки
Чтобы настроить симуляцию фишинга, не относящуюся к Microsoft, необходимо предоставить следующую информацию:
- По крайней мере один домен: домен из адреса MAIL FROM (также известного как адрес
5321.MailFrom, отправитель P1 или отправитель конверта), который используется при SMTP-передаче сообщения, или домен DKIM, указанный поставщиком средства имитации фишинга. Для международных доменных имен (IDNA) используйте Punycode. - По крайней мере один IP-адрес отправки.
- Для моделирования фишинга, отличного от электронной почты (например, сообщений Microsoft Teams, Word документов или электронных таблиц Excel), при необходимости можно определить URL-адреса имитации, чтобы их не следует рассматривать как реальные угрозы при щелчке: URL-адреса не блокируются и не детонируются, а оповещения о щелчках по URL-адресу или возникающие инциденты не создаются. URL-адреса помещаются в оболочку при щелчке, но не блокируются.
Должно быть совпадение по крайней мере для одного домена и одного IP-адреса отправки, но связь между значениями не поддерживается.
Если запись MX не указывает на Microsoft 365, IP-адрес в заголовке Authentication-results должен соответствовать IP-адресу в расширенной политике доставки. Если IP-адреса не совпадают, может потребоваться настроить расширенную фильтрацию для соединителей , чтобы обнаружить правильный IP-адрес.
Примечание.
В настоящее время IPv6-адреса поддерживаются только в PowerShell. Сведения об использовании PowerShell для настройки имитаций фишинга без Microsoft в расширенной политике доставки см. в статье "Использование PowerShell для настройки не Microsoft имитаций фишинга".
Расширенная фильтрация для соединителей не работает с симуляциями фишинга не от Microsoft при следующем сценарии входящей и исходящей маршрутизации электронной почты:
Интернет > Microsoft 365 > локальная среда или сторонняя служба безопасности > обратно в Microsoft 365
Этот сценарий описан в разделе Интеграция с помощью маршрутизации почты.
Microsoft 365 не может определить истинный IP-адрес источника сообщения. Не пытайтесь обойти это ограничение, добавляя IP-адреса локальной или не относящейся к Microsoft инфраструктуры отправки в симуляцию фишинга, не относящуюся к Microsoft. Таким образом эффективно обходится фильтрация спама для любого отправителя в Интернете, который подделывает домен, указанный в сторонней симуляции фишинга.
В настоящее время расширенная политика доставки для имитаций фишинга, не относящихся к Microsoft, не поддерживает имитации в пределах одной организации (
DIR:INT), особенно когда электронная почта маршрутизируется через шлюз Exchange Server до попадания в Microsoft 365 в гибридном почтовом потоке. Чтобы обойти эту проблему, можно выбрать следующие варианты:- Создайте выделенный коннектор получения, который не будет распознавать сообщения имитации фишинговой атаки как внутренние.
- Настройте имитацию фишинга, чтобы обойти инфраструктуру Exchange Server и направить почту непосредственно в запись MX Microsoft 365 (например,
contoso-com.mail.protection.outlook.com). - Не рекомендуется устанавливать для проверки сообщений внутри организации значение Нет в политиках защиты от нежелательной почты , так как это влияет на другие сообщения электронной почты.
Если вы используете предустановленную политику безопасности “Встроенная защита” или в ваших настраиваемых политиках безопасных ссылок включен параметр Не переписывать URL-адреса, выполнять проверки только через API SafeLinks, защита на момент перехода по ссылке не рассматривает ссылки для имитации фишинга в электронной почте как угрозы в Outlook в Интернете, Outlook для iOS и Android, Outlook для Windows версии 16.0.15317.10000 или более поздней, а также Outlook для Mac версии 16.74 (23061100) или более поздней. Если вы используете более старые версии Outlook, попробуйте отключить параметр Не перезаписывать URL-адреса, выполнять проверки с помощью API SafeLinks только в настраиваемых политиках безопасных ссылок.
Добавление URL-адресов имитации фишинга в раздел Не переписывать следующие URL-адреса в электронной почте в политиках безопасных ссылок может привести к нежелательным оповещениям при щелчках URL-адреса. URL-адреса для симуляции фишинга в сообщениях электронной почты автоматически разрешены как при прохождении почты, так и в момент нажатия на ссылку.
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в Электронная почта & совместная работа>Политики & правила>Политики угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.
На странице Расширенная доставка выберите вкладку Моделирование фишинга .
На вкладке Моделирование фишинга нажмите кнопку Добавить в области Нет сторонних фишинговых симуляций на странице.
Если на вкладке Имитация фишинга уже есть записи, выберите
Изменить (кнопка Добавить недоступна).Во всплывающей панели Добавить сторонние симуляции фишинга, которая откроется, настройте следующие параметры:
Домен. Разверните этот параметр и введите по крайней мере один домен адреса электронной почты. Щелкните поле, введите значение (например, contoso.com), а затем нажмите клавишу ВВОД или выберите значение под полем. Повторите этот шаг нужное количество раз. Можно добавить до 50 записей. Используйте одно из следующих значений:
- Домен в адресе
5321.MailFrom(также известном как адрес MAIL FROM, отправитель P1 или отправитель конверта), используемый при SMTP-передаче сообщения. - Домен DKIM, указанный поставщиком имитации фишинга.
- Домен в адресе
Отправка IP-адреса. Разверните этот параметр и введите по крайней мере один допустимый IPv4-адрес. Щелкните поле, введите значение, а затем нажмите клавишу ВВОД или выберите значение под полем. Повторите этот шаг нужное количество раз. Можно добавить до 10 записей. Допустимые значения:
- Один IP-адрес: например, 192.168.1.1.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
- IP-адрес CIDR: например, 192.168.0.1/25.
Разрешенные URL-адреса имитации. Этот параметр не требуется для ссылок в имитации фишинга электронной почты. Используйте этот параметр, чтобы при необходимости определить ссылки в имитациях фишинга, не относящихся к электронной почте (ссылки в сообщениях Teams или в документах Office), которые не должны рассматриваться как реальные угрозы во время щелчка.
Добавьте URL-адреса, развернув этот параметр, щелкнув в поле, введя значение, а затем нажав клавишу ENTER или выбрав значение, отображаемое ниже поля. Можно добавить до 30 записей. Синтаксис URL-адреса см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов.
Чтобы удалить существующий домен, IP-адрес или значение URL-адреса, нажмите удалить
рядом со значением .В следующем примере приведен образец заголовка аутентификации из сообщения для моделирования фишинга, не относящегося к Microsoft. Проверьте значения заголовков, чтобы определить IP-адрес отправки, домен MAIL FROM и домен DKIM, необходимый для расширенной конфигурации политики доставки:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;- IP-адрес подключения — 172.17.17.7.
- Домен в адресе MAIL FROM (
smtp.mailfrom): contoso.com. - Домен DKIM (
header.d) является contoso-simulation.com.
В этом примере можно использовать одно из следующих сочетаний для настройки имитации фишинга, отличной от Корпорации Майкрософт:
Домен: contoso.com
IP-адрес отправки: 172.17.17.7Домен: contoso-simulation.com
IP-адрес отправки: 172.17.17.7Завершив работу во всплывающей панели Добавить сторонние симуляции фишинга, выберите Добавить.
Просмотрите сведения во всплывающей панели Изменения в переопределении симуляции фишинга сохранены, а затем выберите Закрыть.
Вернувшись на вкладку Моделирование фишинга, вы увидите, что теперь отображаются настроенные вами записи моделирования фишинга, не относящиеся к Microsoft:
- Столбец Значение содержит домен, IP-адрес или запись URL-адреса.
- Столбец Тип содержит значение Отправляющие IP-адрес, Домен или Разрешенный URL-адрес имитации для каждой записи.
- В столбце Дата отображается время создания записи.
- Чтобы изменить список записей с обычного на компактный, выберите
Изменить интервал списка на компактный или обычный, а затем выберите
Компактный список.
Использование портала Microsoft Defender для изменения или удаления симуляции фишинга сторонних поставщиков в расширенной политике доставки
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.
На странице Расширенная доставка выберите вкладку Моделирование фишинга .
На вкладке Имитация фишинга выберите
Изменить.На открывшейся всплывающей панели Редактирование симуляции фишинга, отличной от Microsoft добавьте или удалите записи для Домена, IP-адреса отправителя и URL-адресов симуляции, как описано в шаге 3 раздела Использование портала Microsoft Defender для настройки симуляций фишинга, отличных от Microsoft, в политике расширенной доставки.
Чтобы удалить все записи, выбирайте удалить
рядом с каждым значением, пока не останется выбранных доменов, IP-адресов или URL-адресов.Закончив работу на всплывающей панели Изменение симуляции фишинга, не связанной с Microsoft, нажмите кнопку Сохранить.
Просмотрите информацию во всплывающей панели Изменения в переопределении симуляции фишинга сохранены, а затем выберите Закрыть.
Вернувшись на вкладку Моделирование фишинга, вы увидите настроенные вами записи моделирования фишинга не от Microsoft. Если удалить все записи, список будет пустым.
Другие сценарии, требующие обхода фильтрации
Помимо имитаций фишинга, не относящихся к Microsoft, и почтовых ящиков SecOps, для которых может помочь политика расширенной доставки, существуют и другие сценарии, в которых может потребоваться обходить фильтрацию сообщений:
- Фильтры сторонних поставщиков. Если запись MX вашего домена не указывает на Office 365 (сначала сообщения направляются куда-то в другое место), защита по умолчаниюнедоступна. Если вы хотите добавить защиту, необходимо включить расширенную фильтрацию для соединителей (также известную как пропустить список). Дополнительные сведения см. в статье Управление потоком обработки почты с помощью облачной службы сторонних разработчиков с помощью Exchange Online. Если вы не хотите использовать расширенную фильтрацию для соединителей, используйте правила потока обработки почты (также известные как правила транспорта), чтобы обойти фильтрацию Майкрософт для сообщений, которые уже оценила служба фильтрации сторонних поставщиков. Дополнительные сведения см. в разделе Использование правил обработки почтового потока для задания SCL в сообщениях.
- Ложные срабатывания на проверке: Возможно, вам потребуется временно разрешить доставку корректных сообщений, ошибочно помеченных как нежелательные (ложные срабатывания), о которых вы сообщили в Microsoft через отправки администратором, и эти сообщения все еще анализируются. Как и во всех переопределениях, мы настоятельно рекомендовали , чтобы эти надбавки были временными.
Процедуры PowerShell для почтовых ящиков SecOps в расширенной политике доставки
В PowerShell основными элементами почтовых ящиков SecOps в политике расширенной доставки являются:
- Политика переопределения SecOps: управляется командлетами *-SecOpsOverridePolicy .
- Правило SecOps Override: контролируется командлетами *-ExoSecOpsOverrideRule.
Это поведение приводит к следующим результатам:
- Сначала создается политика, а затем — правило, определяющее политику, к которому применяется правило.
- При удалении политики из PowerShell также удаляется соответствующее правило.
- При удалении правила из PowerShell соответствующая политика не удаляется. Соответствующую политику необходимо удалить вручную.
Настройка почтовых ящиков SecOps с помощью PowerShell
Настройка почтового ящика SecOps в расширенной политике доставки в PowerShell состоит из двух этапов:
- Создайте политику переопределения SecOps.
- Создайте правило переопределения SecOps, в котором указана политика, к которой применяется это правило.
Шаг 1. Создание политики переопределения SecOps с помощью PowerShell
В Exchange Online PowerShell создайте политику переопределения SecOps, чтобы назначить почтовые ящики, сообщения которых должны обходить фильтрацию для проверки SecOps:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
Независимо от указанного значения Name, имя политики — SecOpsOverridePolicy, поэтому вы также можете использовать это значение.
В этом примере создается политика почтовых ящиков SecOps.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
Подробные сведения о синтаксисе и параметрах см. в разделе New-SecOpsOverridePolicy.
Шаг 2. Создание правила переопределения SecOps с помощью PowerShell
В Exchange Online PowerShell выполните следующую команду:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
Независимо от указанного значения Name, имя правила — _Exe:SecOpsOverrid:<GUID\> [sic], где <GUID> — это уникальное значение GUID (например, 312c23cf-0377-4162-b93d-6548a9977efb9).
Подробные сведения о синтаксисе и параметрах см. в разделе New-ExoSecOpsOverrideRule.
Использовать PowerShell для просмотра политики переопределений SecOps
В этом примере Exchange Online PowerShell возвращаются подробные сведения об одной и только политике почтовых ящиков SecOps.
Get-SecOpsOverridePolicy
Подробные сведения о синтаксисе и параметрах см. в разделе Get-SecOpsOverridePolicy.
Используйте PowerShell, чтобы просмотреть правила переопределения SecOps
В Exchange Online PowerShell этот пример возвращает подробные сведения о правилах переопределения SecOps.
Get-ExoSecOpsOverrideRule
Хотя предыдущая команда должна возвращать только одно правило, в результаты также может быть включено правило, ожидающее удаления.
В этом примере определяется допустимое правило (одно) и любые недопустимые правила.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
После определения недопустимых правил их можно удалить с помощью командлета Remove-ExoSecOpsOverrideRule , как описано в разделе "Использование PowerShell для удаления правил переопределения SecOps".
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ExoSecOpsOverrideRule.
Изменение политики переопределения SecOps с помощью PowerShell
В Exchange Online PowerShell добавьте или удалите электронные адреса почтовых ящиков SecOps в существующей политике переопределения:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
Этот пример добавляет secops2@contoso.com в существующий список получателей политики переопределения SecOps.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
Примечание.
Если существует связанное допустимое правило переопределения SecOps, адреса электронной почты в правиле также обновляются.
Подробные сведения о синтаксисе и параметрах см. в разделе Set-SecOpsOverridePolicy.
Изменение правила переопределения SecOps с помощью PowerShell
Командлет Set-ExoSecOpsOverrideRule не изменяет адреса электронной почты в правиле переопределения SecOps. Чтобы изменить адреса электронной почты в правиле переопределения для SecOps, используйте командлет Set-SecOpsOverridePolicy.
Подробные сведения о синтаксисе и параметрах см. в разделе Set-ExoSecOpsOverrideRule.
Удаление политики переопределения SecOps с помощью PowerShell
В Exchange Online PowerShell в этом примере удаляется политика почтового ящика SecOps и соответствующее правило, когда обход фильтрации почтовых ящиков SecOps больше не нужен.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-SecOpsOverridePolicy.
Используйте PowerShell для удаления правил переопределения SecOps
В Exchange Online PowerShell используйте следующие команды:
Удалите все правила переопределения SecOps:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRuleУдалите указанное правило переопределения SecOps:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-ExoSecOpsOverrideRule.
Процедуры PowerShell для имитаций фишинга, не относящихся к Microsoft, в политике расширенной доставки
В среде PowerShell основными элементами симуляций фишинга, не относящихся к Microsoft, в политике расширенной доставки являются:
- Политика переопределения имитации фишинга: управляется командлетами *-PhishSimOverridePolicy .
- Правило переопределения имитации фишинга: управляется с помощью командлетов *-ExoPhishSimOverrideRule.
- Разрешённые (не заблокированные) URL-адреса для имитации фишинга: управляются с помощью командлетов *-TenantAllowBlockListItems.
Примечание.
Определение URL-адресов не требуется для ссылок в имитации фишинга на основе электронной почты. При необходимости можно определить ссылки в имитациях фишинга, не относящихся к электронной почте (ссылки в сообщениях Teams или в документах Office), которые не следует рассматривать как реальные угрозы при щелчке.
Это поведение приводит к следующим результатам:
- Сначала создается политика, а затем — правило, определяющее политику, к которому применяется правило.
- Параметры в политике и правиле изменяются отдельно.
- При удалении политики из PowerShell также удаляется соответствующее правило.
- При удалении правила из PowerShell соответствующая политика не удаляется. Соответствующую политику необходимо удалить вручную.
Использование PowerShell для настройки симуляции фишинга сторонних корпораций
Настройка симуляции фишинга сторонних корпораций в PowerShell — это многоэтапный процесс:
- Создайте политику переопределения имитации фишинга.
- Создайте правило переопределения для симуляции фишинга, в котором указывается:
- Политика, к которой применяется правило.
- IP-адрес отправителя IPv4 или IPv6 для сообщений, имитирующих фишинг.
- При необходимости удостоверяйте URL-адреса имитации фишинга в симуляциях фишинга, отличных от электронной почты (ссылки в сообщениях Teams или в документах Office), которые не следует рассматривать как реальные угрозы во время щелчка.
Шаг 1. Создание политики переопределения имитации фишинга с помощью PowerShell
В этом примере Exchange Online PowerShell создается политика переопределения имитации фишинга.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
Независимо от указанного значения Name, имя политики — PhishSimOverridePolicy, поэтому вы также можете использовать это значение.
Подробные сведения о синтаксисе и параметрах см. в разделе New-PhishSimOverridePolicy.
Шаг 2. Создание правила переопределения имитации фишинга с помощью PowerShell
В Exchange Online PowerShell используйте следующий синтаксис:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
Независимо от указанного значения Name, имя правила — _Exe:PhishSimOverr:<GUID\> [sic], где <GUID> — это уникальное значение GUID (например, 6fed4b63-3563-495d-a481-b24a311f8329).
Допустимая запись адреса IPv4 или IPv6 является одним из следующих значений:
- Один IP-адрес: например, 192.168.1.1.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
- IP-адрес CIDR: например, 192.168.0.1/25.
В этом примере создается правило переопределения имитации фишинга с указанными параметрами.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
Подробные сведения о синтаксисе и параметрах см. в разделе New-ExoPhishSimOverrideRule.
Шаг 3. (Необязательно) Используйте PowerShell, чтобы определить URL-адреса имитации фишинга, которые нужно разрешить
В Exchange Online PowerShell используйте следующий синтаксис:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
Дополнительные сведения о синтаксисе URL-адресов см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов.
В этом примере добавляется запись в список разрешённых URL-адресов для указанного URL-адреса имитации фишинга, не относящегося к Microsoft, без срока действия.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
Подробные сведения о синтаксисе и параметрах см. в статье New-TenantAllowBlockListItems.
Используйте PowerShell, чтобы просмотреть политику переопределения имитации фишинга
В Exchange Online PowerShell этот пример возвращает подробные сведения о единственной политике переопределения для имитации фишинга.
Get-PhishSimOverridePolicy
Подробные сведения о синтаксисе и параметрах см. в разделе Get-PhishSimOverridePolicy.
С помощью PowerShell просматривайте правила исключения для имитации фишинга
В Exchange Online PowerShell) этот пример возвращает подробные сведения о правилах переопределения имитации фишинга.
Get-ExoPhishSimOverrideRule
Хотя предыдущая команда должна возвращать только одно правило, все правила, ожидающие удаления, также могут быть включены в результаты.
В этом примере определяется допустимое правило (одно) и любые недопустимые правила.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
После того как вы определите недействительные правила, их можно удалить с помощью командлета Remove-ExoPhishSimOverrideRule, как описано в разделе "Использование PowerShell для удаления правил переопределения для имитации фишинга".
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ExoPhishSimOverrideRule.
Просмотр разрешенных URL-адресов для симуляции фишинга с помощью PowerShell
В Exchange Online PowerShell выведите список записей, разрешающих текущий URL-адрес, настроенных для расширенного моделирования фишинга доставки, чтобы можно было просматривать или идентифицировать элементы для изменения или удаления:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.
Изменение политики переопределения имитации фишинга с помощью PowerShell
В Exchange Online PowerShell обновите комментарий или состояние включения существующей политики-исключения для имитации фишинга:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
Этот пример отключает политику переопределения имитации фишинга.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
Подробные сведения о синтаксисе и параметрах см. в разделе Set-PhishSimOverridePolicy.
Изменение правил переопределения симуляции фишинга с помощью PowerShell
В Exchange Online PowerShell добавьте или удалите домены отправителей и диапазоны IP-адресов в существующем правиле переопределения для имитации фишинга. Используйте конвейерную форму, чтобы обновить правило, полученное с помощью Get-ExoPhishSimOverrideRule:
Get-ExoPhishSimOverrideRule | Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Или вы можете обновить конкретное правило переопределения симуляции фишинга по значению его идентификатора:
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Используйте командлет Get-ExoPhishSimOverrideRule, чтобы найти значение идентификатора правила, которое используется с параметром <PhishSimOverrideRuleIdentity>. Имя правила использует следующий синтаксис: [sic], _Exe:PhishSimOverr:<GUID\> где <GUID> является уникальным значением GUID (например, 6fed4b63-3563-495d-a481-b24a311f8329).
В этом примере обновляется существующее правило переопределения для имитации фишинга путем добавления домена blueyonderairlines.com и удаления IP-адреса 192.168.1.55. Эти изменения не влияют на другие существующие записи в правиле.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
Подробные сведения о синтаксисе и параметрах см. в разделе Set-ExoPhishSimOverrideRule.
Используйте PowerShell, чтобы изменить разрешённые записи URL-адресов для имитации фишинга
Вы не можете изменить значения URL-адреса напрямую. Вы можете удалить существующие записи URL-адреса и добавить новые записи URL-адреса.
В Exchange Online PowerShell, чтобы изменить другие свойства разрешенной записи URL-адреса имитации фишинга (например, дату окончания срока действия или примечания), используйте следующий синтаксис:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
Запись, которую нужно изменить, определяется по значениям URL (параметр Entries) или по значению Identity из выходных данных командлета Get-TenantAllowBlockListItems (параметр Ids).
В этом примере изменяется срок действия существующей разрешённой записи URL-адреса для имитации фишинга.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.
Используйте PowerShell, чтобы удалить политику-исключение для имитации фишинга
В этом примере для Exchange Online PowerShell показано, как удалить политику переопределения для имитации фишинга и соответствующее ей правило.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-PhishSimOverridePolicy.
Используйте PowerShell, чтобы удалить правила переопределения для симуляции фишинга
В Exchange Online PowerShell используйте следующие команды:
Удалите все правила переопределения симуляции фишинга:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRuleУдалите указанное правило переопределения имитации фишинга:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-ExoPhishSimOverrideRule.
Используйте PowerShell, чтобы удалить разрешённые записи URL-адресов для симуляции фишинга
В Exchange Online PowerShell удалите URL-адреса в списке разрешённых для расширенной доставки, указав значения URL-адресов (параметр Entries) или значение идентификатора (параметр Ids):
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
Запись, которую нужно изменить, определяется по значениям URL (параметр Entries) или по значению Identity из выходных данных командлета Get-TenantAllowBlockListItems (параметр Ids).
В этом примере удаляется указанный URL-адрес разрешения расширенной доставки из списка разрешений или блокировок клиента.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
Подробные сведения о синтаксисе и параметрах см. в статье Remove-TenantAllowBlockListItems.