Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Ważna
Aby zezwolić na wyłudzanie informacji o adresach URL, które są częścią trenowania symulacji ataków innych firm, użyj zaawansowanej konfiguracji dostarczania , aby określić adresy URL. Nie używaj listy dozwolonych/zablokowanych dzierżaw.
W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w organizacjach Exchange Online lub autonomicznych organizacji Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych może się nie zgadzać z operacją EOP lub Ochrona usługi Office 365 w usłudze Microsoft Defender werdykt filtrowania. Na przykład dobra wiadomość może być oznaczona jako zła (fałszywie dodatnia) lub zła wiadomość może zostać przepuszczona (fałszywie ujemna).
Lista dozwolonych/zablokowanych dzierżaw w portalu Microsoft Defender umożliwia ręczne zastąpienie werdyktów filtrowania Ochrona usługi Office 365 w usłudze Defender lub EOP. Lista jest używana podczas przepływu poczty lub czasu kliknięcia dla wiadomości przychodzących od nadawców zewnętrznych.
Wpisy domen i adresów e-mail oraz sfałszowanych nadawców mają zastosowanie do wewnętrznych wiadomości wysyłanych w organizacji. Blokowanie wpisów dla domen i adresów e-mail uniemożliwia również użytkownikom w organizacji wysyłanie wiadomości e-mail do zablokowanych domen i adresów.
Lista Zezwalaj/blokuj dzierżawy jest dostępna w portalu Microsoft Defender pod adresem https://security.microsoft.comEmail & zasady współpracy>& reguły> zasadzagrożeń>sekcja>Zezwalaj na dzierżawę/Blokuj Listy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.
Aby uzyskać instrukcje dotyczące użycia i konfiguracji, zobacz następujące artykuły:
- Domeny i adresy e-mail oraz sfałszowane nadawcy: zezwalaj lub blokuj wiadomości e-mail przy użyciu listy dozwolonych/zablokowanych dzierżaw
- Pliki: zezwalaj na pliki lub blokuj przy użyciu listy dozwolonych/zablokowanych dzierżaw
- Adresy URL: zezwalaj na adresy URL lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw.
- Adresy IP: zezwalaj lub blokuj adresy IP przy użyciu listy dozwolonych/zablokowanych dzierżaw.
Te artykuły zawierają procedury w portalu Microsoft Defender i w programie PowerShell.
Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw
Porada
Na liście zezwalania/blokowania dzierżawy wpisy blokowe mają pierwszeństwo przed wpisami dozwolonymi.
Strona Przesłane (znana również jako przesyłanie przez administratora) w witrynie https://security.microsoft.com/reportsubmission umożliwia tworzenie wpisów blokowych dla następujących typów elementów podczas przesyłania ich jako fałszywych negatywów do firmy Microsoft:
-
- Email wiadomości od tych nadawców są oznaczone jako wyłudzanie informacji o wysokim poziomie zaufania, a następnie przenoszone do kwarantanny.
- Użytkownicy w organizacji nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Otrzymują następujący raport o braku dostarczania (znany również jako komunikat NDR lub bounce):
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli w wpisie bloku zdefiniowano tylko jeden adres e-mail lub domenę adresata.
Porada
Aby zablokować tylko spam od określonego nadawcy, dodaj adres e-mail lub domenę do listy zablokowanych w zasadach ochrony przed spamem. Aby zablokować wszystkie wiadomości e-mail od nadawcy, użyj domen i adresów e-mail na liście dozwolonych /zablokowanych dzierżaw.
Pliki: Email komunikaty zawierające te zablokowane pliki są blokowane jako złośliwe oprogramowanie. Komunikaty zawierające zablokowane pliki są poddawane kwarantannie.
Adresy URL: Email wiadomości zawierające te zablokowane adresy URL są blokowane jako wyłudzanie informacji o wysokim poziomie ufności. Komunikaty zawierające zablokowane adresy URL są poddawane kwarantannie.
Na liście zezwalania/blokowania dzierżawy można również bezpośrednio tworzyć wpisy blokowe dla następujących typów elementów:
Fałszowani nadawcy: jeśli ręcznie zastąpisz istniejący werdykt zezwalający na fałszowanie analizy, zablokowany sfałszowany nadawca stanie się ręcznym wpisem bloku, który pojawia się tylko na karcie Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżawców.
Adresy IP: jeśli ręcznie utworzysz wpis blokowy, wszystkie przychodzące wiadomości e-mail z tego adresu IP zostaną porzucone na krawędzi usługi.
Domyślnie blokuj wpisy dla domen i adresów e-mail, plików i adresów URL wygasają po 30 dniach, ale możesz ustawić, aby wygasały 90 dni lub nigdy nie wygasały.
Blokuj wpisy dla sfałszowanych nadawców i adresów IP , które nigdy nie wygasają.
Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw
W większości przypadków nie można bezpośrednio tworzyć wpisów dozwolonych na liście dozwolonych/zablokowanych dzierżaw. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które mogły zostać przefiltrowane przez system.
Domeny i adresy e-mail, pliki i adresy URL: nie można tworzyć wpisów dozwolonych bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego użyjesz strony Przesłane pod adresem https://security.microsoft.com/reportsubmission , aby przesłać wiadomość e-mail, załącznik wiadomości e-mail lub adres URL do firmy Microsoft. Po wybraniu pozycji Potwierdzam, że jest on czysty, możesz wybrać pozycję Zezwalaj na ten komunikat, Zezwalaj na ten plik lub Zezwalaj na tworzenie wpisu zezwalania dla domen i adresów e-mail, plików lub adresów URL.
Sfałszowane nadawcy:
- Jeśli analiza podróbek już zablokowała wiadomość jako fałszowanie, użyj strony Przesłane pod https://security.microsoft.com/reportsubmission adresem, aby zgłosić wiadomość e-mail do firmy Microsoft , ponieważ potwierdziłem, że jest ona czysta, a następnie wybierz pozycję Zezwalaj na tę wiadomość.
- Możesz proaktywnie utworzyć wpis zezwalania dla sfałszowanego nadawcy na karcie Spoofed sender (Spoofed sender ) na liście zezwalania/blokowania dzierżawy przed zidentyfikowaniem i zablokowaniem komunikatu jako fałszowania.
Adresy IP: możesz proaktywnie utworzyć wpis zezwalania dla adresu IP na karcie Adresy IP na liście dozwolonych/zablokowanych dzierżaw w celu zastąpienia filtrów IP dla komunikatów przychodzących.
Na poniższej liście opisano, co dzieje się na liście dozwolonych/zablokowanych dzierżaw po przesłaniu czegoś do firmy Microsoft jako wynik fałszywie dodatni na stronie Przesłane :
Email załączników i adresów URL: zostanie utworzony wpis zezwalania, a wpis zostanie wyświetlony odpowiednio na karcie Pliki lub adresy URL na liście dozwolonych/zablokowanych dzierżaw.
W przypadku adresów URL zgłaszanych jako fałszywie dodatnie zezwalamy na kolejne komunikaty zawierające odmiany oryginalnego adresu URL. Na przykład użyjesz strony Przesłane , aby zgłosić nieprawidłowo zablokowany adres URL
www.contoso.com/abc. Jeśli organizacja później otrzyma komunikat zawierający adres URL (na przykładwww.contoso.com/abc: ,www.contoso.com/abc?id=1,www.contoso.com/abc/def/gty/uyt?id=5, lubwww.contoso.com/abc/whatever), komunikat nie jest blokowany na podstawie adresu URL. Innymi słowy, nie musisz zgłaszać firmie Microsoft wielu odmian tego samego adresu URL, co dobry.Email: Jeśli komunikat został zablokowany przez stos filtrowania EOP lub Ochrona usługi Office 365 w usłudze Defender, wpis zezwalania może zostać utworzony na liście dozwolonych/zablokowanych dzierżaw:
- Jeśli wiadomość została zablokowana przez analizę fałszowania, zostanie utworzony wpis zezwalania dla nadawcy, a wpis zostanie wyświetlony na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżaw.
- Jeśli wiadomość została zablokowana przez ochronę personifikacji użytkownika (lub grafu) w Ochrona usługi Office 365 w usłudze Defender, pozycja zezwalania nie zostanie utworzona na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego domena lub nadawca jest dodawana do sekcji Zaufani nadawcy i domeny w zasadach ochrony przed wyłudzaniem informacji , które wykryły komunikat.
- Jeśli komunikat został zablokowany z powodu filtrów opartych na plikach, zostanie utworzony wpis zezwalania dla pliku, a wpis zostanie wyświetlony na karcie Pliki na liście zezwalania/blokowania dzierżawy.
- Jeśli komunikat został zablokowany z powodu filtrów opartych na adresach URL, zostanie utworzony wpis zezwalania na adres URL, a wpis zostanie wyświetlony na karcie Adres URL na liście dozwolonych/zablokowanych dzierżaw.
- Jeśli wiadomość została zablokowana z innego powodu, zostanie utworzony wpis zezwalania na adres e-mail nadawcy lub domenę, a wpis zostanie wyświetlony na karcie Domeny & adresy na liście dozwolonych/zablokowanych dzierżaw.
- Jeśli komunikat nie został zablokowany z powodu filtrowania, w dowolnym miejscu nie są tworzone żadne wpisy zezwalające.
Porada
Zezwalaj na wpisy przesyłane są dodawane podczas przepływu poczty na podstawie filtrów, które ustaliły, że wiadomość była złośliwa. Jeśli na przykład adres e-mail nadawcy i adres URL w wiadomości zostaną uznane za złośliwe, dla nadawcy (adresu e-mail lub domeny) i adresu URL zostanie utworzony wpis zezwalania.
Podczas przepływu poczty lub czasu kliknięcia, jeśli komunikaty zawierające jednostki we wpisach dozwolonych przechodzą inne kontrole w stosie filtrowania, komunikaty są dostarczane (wszystkie filtry skojarzone z dozwolonymi jednostkami są pomijane). Jeśli na przykład wiadomość przekazuje testy uwierzytelniania poczty e-mail, filtrowanie adresów URL i filtrowanie plików, komunikat z dozwolonego adresu e-mail nadawcy jest dostarczany, jeśli jest również od dozwolonego nadawcy.
Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL są przechowywane przez 45 dni, po tym jak system filtrowania określi, że jednostka jest czysta, a następnie pozycja zezwalania zostanie usunięta. Możesz też ustawić opcję zezwalania na wygaśnięcie wpisów do 30 dni po ich utworzeniu. Zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.
Czego można oczekiwać po dodaniu wpisu zezwalania lub blokowania
Po dodaniu wpisu zezwalania na stronie Przesłane lub wpisu bloku na liście dozwolonych/zablokowanych dzierżawcy wpis powinien zacząć działać natychmiast (w ciągu 5 minut).
Jeśli firma Microsoft dowiedziała się z wpisu zezwalania, wbudowane zasady alertów o nazwie Usunięto wpis na liście dozwolonych/zablokowanych dzierżawy generują alert po usunięciu (teraz niepotrzebnego) wpisu zezwalania.