התרה או חסימה של קבצים באמצעות רשימת התרה/חסימה של דייר

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, מנהלי מערכת יכולים ליצור ולנהל ערכים עבור קבצים ברשימת התרה/חסימה של דיירים. לקבלת מידע נוסף אודות רשימת התרה/חסימה של דיירים, ראה ניהול מאפשר וחסימה ברשימת התרה/חסימה של דייר.

מאמר זה מתאר כיצד מנהלי מערכת יכולים לנהל ערכים עבור קבצים בפורטל Microsoft Defender וב- Exchange Online PowerShell.

מה עליך לדעת לפני שתתחיל?

  • פתח את Microsoft Defender ב- https://security.microsoft.com. כדי לעבור ישירות אל הדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList. כדי לעבור ישירות לדף 'הגשות ', השתמש ב- https://security.microsoft.com/reportsubmission.

  • כדי להתחבר אל Exchange Online PowerShell, ראה התחברות Exchange Online PowerShell. כדי להתחבר ל- EOP PowerShell עצמאי, ראה התחברות Exchange Online Protection PowerShell.

  • ציין קבצים באמצעות ערך ה- Hash של SHA256 של הקובץ. כדי למצוא את ערך ה- Hash של SHA256 של קובץ ב- Windows, הפעל את הפקודה הבאה בשורת פקודה:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    ערך לדוגמה הוא 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. ערכי Hash קבועים (pHash) אינם נתמכים.

  • מגבלות כניסה עבור קבצים:

    • Exchange Online Protection: המספר המרבי של ערכי התרה הוא 500, והמספר המרבי של ערכי בלוק הוא 500 (1000 ערכי קובץ בסך הכל).
    • Defender עבור Office 365 תוכנית 1: המספר המרבי של ערכי התרה הוא 1000, והמספר המרבי של ערכי בלוק הוא 1000 (2,000 ערכי קובץ בסך הכל).
    • Defender עבור Office 365 תוכנית 2: המספר המרבי של ערכי התרה הוא 5000, והמספר המרבי של ערכי בלוק הוא 10000 (15,000 ערכי קובץ בסך הכל).

  • באפשרותך להזין עד 64 תווים בערך קובץ.

  • ערך אמור להיות פעיל תוך 5 דקות.

  • עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:

    • Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (משפיעה על פורטל Defender בלבד, לא על PowerShell): הגדרות הרשאה והגדרות/הגדרות אבטחה/כוונון זיהוי (ניהול) או הרשאה והגדרות/הגדרות אבטחה/הגדרות אבטחה ליבה (קריאה).
    • Exchange Online נוספות:
      • הוסף והסר ערכים מרשימת התרה/חסימה של דייר: חברות באחת מקבוצות התפקידים הבאות:
        • ניהול ארגון או מנהל אבטחה (תפקיד מנהל אבטחה).
        • אופרטור אבטחה (מנהל Tenant AllowBlockList).
      • גישה לקריאה בלבד לרשימת התרה/חסימה של דייר: חברות באחת מקבוצות התפקידים הבאות:
        • קורא כללי
        • קורא אבטחה
        • תצורת תצוגה בלבד
        • ניהול ארגון בתצוגה בלבד
    • Microsoft Entra: החברות בתפקידים 'מנהל מערכת כללי', 'מנהל אבטחה', 'קורא כללי' או 'קורא אבטחה' מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.

  • הכרטיסיה קבצים זמינה בדף 'הגשות' רק בארגונים בעלי Microsoft Defender XDR או Microsoft Defender עבור נקודת קצה תוכנית 2. לקבלת מידע והוראות לשליחת קבצים מהכרטיסיה קבצים, ראה שליחת קבצים Microsoft Defender עבור נקודת קצה.

Create לאפשר ערכים עבור קבצים

לא ניתן ליצור ערכי התרה עבור קבצים ישירות ברשימת התרת הדיירים/חסימות. ערכים שאינם נחוצים מאפשרים לחשוף את הארגון שלך לדואר אלקטרוני זדוני שמערכת היתה מסננת.

במקום זאת, עליך להשתמש בכרטיסיה קבצים מצורפים לדואר אלקטרוני בדף הגשות ב- https://security.microsoft.com/reportsubmission?viewid=emailAttachment. בעת שליחת קובץ חסום כקובץ שלא היה אמור להיחסם (חיובי כוזבת), באפשרותך לבחור אפשר לקובץ זה להוסיף ערך אפשר עבור הקובץ בכרטיסיה קבצים בדף מתן אפשרות/חסימה של דייר רשימות זה. לקבלת הוראות, ראה שליחת קבצים מצורפים טובים לדואר אלקטרוני ל- Microsoft.

הערה

הערכים 'אפשר' מתווספים בהתבסס על המסננים שקבעו שההודעה היתה זדונית במהלך זרימת הדואר. לדוגמה, אם כתובת הדואר האלקטרוני של השולח וקובץ בהודעה נקבעו כקובץ שגוי, נוצר ערך היתר עבור השולח (כתובת דואר אלקטרוני או תחום) והקובץ.

כאשר הישות בערך אפשר מופיעה שוב (במהלך זרימת דואר או בעת לחיצה), כל המסננים המשויכים לישות זו מוחלפים.

כברירת מחדל, אפשר ערכים עבור קבצים קיימים במשך 30 יום. במהלך 30 יום אלה, Microsoft לומדת מתוך ערכי 'אפשר' ומסירה אותם או מררחבת אותם באופן אוטומטי. לאחר ש- Microsoft לומדת מהערכים שהוסרו אפשרו, הודעות המכילות ישויות אלה נמסרות, אלא אם כן משהו אחר בהודעה מזוהה כסדון.

במהלך זרימת דואר, אם הודעות המכילות את הישות המותרת מעבירות את ההבדקות האחרות במחסנית הסינון, ההודעות נמסרות. לדוגמה, אם הודעה עוברת בדיקות אימות דואר אלקטרוני, ההודעה נמסרת אם היא מכילה גם קובץ מותר.

במהלך לחיצה, הקובץ מאפשר כניסה עוקף את כל המסננים המשויכים לישות הקובץ, מה שמאפשר למשתמשים לגשת לקובץ.

Create ערכי חסימה עבור קבצים

הודעות דואר אלקטרוני המכילות קבצים חסומים אלה נחסמות כתוכנות זדוניות. הודעות המכילות את הקבצים החסומים בהסגר.

כדי ליצור ערכי חסימה עבור קבצים, השתמש באחת מהשיטות הבאות:

השתמש בפורטל Microsoft Defender כדי ליצור ערכי חסימה עבור קבצים ברשימת התרה/חסימה של דייר

  1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל כללי מדיניות כללי מדיניות &>>> כללי מדיניות של איומים מקטע רשיון/חסימת דיירים רשימות. לחלופין, כדי לעבור ישירות לדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

  2. בדף Tenant Allow/Block רשימות, בחר את הכרטיסיה Files.

  3. בכרטיסיה קבצים, בחר חסום.

  4. בתפריט הנשלף חסום קבצים שנפתח, קבע את תצורת ההגדרות הבאות:

    • הוספת Hash של קבצים: הזן ערך Hash אחד של SHA256 לכל שורה, עד 20 לכל היותר.

    • הסר ערך בלוק לאחר: בחר מתוך הערכים הבאים:

      • יום אחד
      • 7 ימים
      • 30 יום (ברירת מחדל)
      • לעולם לא יפוג
      • תאריך ספציפי: הערך המרבי הוא 90 יום מהיום.

    • הערה אופציונלית: הזן טקסט תיאורי עבור הסיבות לחסימת הקבצים.

    לאחר שתסיים בתפריט הנשלף חסום קבצים , בחר הוסף.

בחזרה בכרטיסיה קבצים , הערך יופיע.

שימוש ב- PowerShell ליצירת ערכי חסימה עבור קבצים ברשימת החסימה/החסימה של הדייר

ב Exchange Online PowerShell, השתמש בתחביר הבא:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

דוגמה זו מוסיפה ערך בלוק עבור הקבצים שצוינו שתוקפו לעולם לא יפוג.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-TenantAllowBlockListItems.

השתמש בפורטל Microsoft Defender כדי להציג ערכים עבור קבצים ברשימת הדיירים 'אפשר/חסום'

בפורטל Microsoft Defender בhttps://security.microsoft.com- , עבור אל כללי מדיניות &>> כללי מדיניות איומים רשיון/חסימתדיירים רשימותבמקטע כללים. לחלופין, כדי לעבור ישירות לדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

בחר את הכרטיסיה קבצים.

בכרטיסיה קבצים, באפשרותך למיין את הערכים על-ידי לחיצה על כותרת עמודה זמינה. העמודות הבאות זמינות:

  • ערך: קוד ה- Hash של הקובץ.
  • פעולה: הערכים הזמינים הם אפשר אוחסום.
  • שונה על-ידי
  • עודכן לאחרונה
  • תאריך שימוש אחרון: התאריך האחרון שבו נעשה שימוש בערך במערכת הסינון כדי לעקוף את גזר הדין.
  • הסר ב: תאריך התפוגה.
  • הערות

כדי לסנן את הערכים, בחר סנן. המסננים הבאים זמינים בתפריט הנשלף Filter שנפתח:

  • פעולה: הערכים הזמינים הם אפשר וחסום.
  • לעולם לא יפוג: או
  • עודכן לאחרונה: בחר תאריכי 'מ' ו'עד'.
  • תאריך אחרון בשימוש: בחר תאריכי 'מ' ו'עד'.
  • הסר ב: בחר תאריכי 'מ' ו'עד'.

לאחר שתסיים בתפריט הנשלף מסנן , בחר החל. כדי לנקות את המסננים, בחר נקה מסננים.

השתמש חיפוש וערך תואם כדי למצוא ערכים ספציפיים.

כדי לקבץ את הערכים, בחר קבץ ולאחר מכן בחר פעולה. כדי לפרק את קבוצת הערכים, בחר ללא.

שימוש ב- PowerShell להצגת ערכים עבור קבצים ברשימת החסימה/החסימה של הדייר

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

דוגמה זו מחזירה את כל הקבצים המותרים והחסומים.

Get-TenantAllowBlockListItems -ListType FileHash

דוגמה זו מחזירה מידע עבור ערך ה- Hash של הקובץ שצוין.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

דוגמה זו מסננת את התוצאות על-ידי קבצים חסומים.

Get-TenantAllowBlockListItems -ListType FileHash -Block

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-TenantAllowBlockListItems.

השתמש בפורטל Microsoft Defender כדי לשנות ערכים עבור קבצים ברשימת הדיירים אפשר/חסום

ערכי קובץ קיימים מאפשרים לך לשנות את תאריך התפוגה ואת ההערה.

  1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל כללי מדיניות כללי מדיניות &>>> כללי מדיניות של איומים מקטע רשיון/חסימת דיירים רשימות. לחלופין, כדי לעבור ישירות לדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

  2. בחר את הכרטיסיה 'קבצים '

  3. בכרטיסיה קבצים, בחר את הערך מהרשימה על-ידי בחירה בתיבת הסימון לצד העמודה הראשונה ולאחר מכן בחר את הפעולה ערוך שמופיעה.

  4. בתפריט הנשלף עריכת קובץ שנפתח, ההגדרות הבאות זמינות:

    • ערכי בלוק:
      • הסר ערך בלוק לאחר: בחר מתוך הערכים הבאים:
        • יום אחד
        • 7 ימים
        • ‏‏30 יום
        • לעולם לא יפוג
        • תאריך ספציפי: הערך המרבי הוא 90 יום מהיום.
      • הערה אופציונלית
    • אפשר ערכים:
      • הסר ערך אפשר לאחר: בחר מתוך הערכים הבאים:
        • יום אחד
        • 7 ימים
        • ‏‏30 יום
        • תאריך ספציפי: הערך המרבי הוא 30 יום מהיום.
      • הערה אופציונלית

    לאחר שתסיים בתפריט הנשלף ערוך קובץ, בחר שמור.

עצה

בתפריט הנשלף של הפרטים של ערך בכרטיסיה קבצים, השתמש באפשרות הצג הגשה בחלק העליון של התפריט הנשלף כדי לעבור אל הפרטים של הערך המתאים בדף 'הגשות'. פעולה זו זמינה אם הגשה היתה אחראית ליצירת הערך ברשימת התרה/חסימה של דייר.

שימוש ב- PowerShell כדי לשנות ערכי 'אפשר' או 'חסום' קיימים עבור קבצים ברשימת התרה/חסימה של דייר

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

דוגמה זו משנה את תאריך התפוגה של ערך בלוק הקובץ שצוין.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-TenantAllowBlockListItems.

השתמש בפורטל Microsoft Defender כדי להסיר ערכים עבור קבצים מרשימת התרה/חסימה של דייר

  1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל כללי מדיניות כללי מדיניות &>>> כללי מדיניות של איומים מקטע רשיון/חסימת דיירים רשימות. לחלופין, כדי לעבור ישירות לדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

  2. בחר את הכרטיסיה קבצים.

  3. בכרטיסיה קבצים , בצע אחד מהפעולות הבאות:

    • בחר את הערך מהרשימה על-ידי בחירה בתיבת הסימון לצד העמודה הראשונה ולאחר מכן בחר את הפעולה מחק שמופיעה.

    • בחר את הערך מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון. בתפריט הנשלף של הפרטים שנפתח, בחר מחק בחלק העליון של התפריט הנשלף.

      עצה

      כדי להציג פרטים אודות ערכים אחרים מבלי לעזוב את התפריט הנשלף של הפרטים, השתמש בפריט הקודם ובפריט הבא בחלק העליון של התפריט הנשלף.

  4. בתיבת הדו-שיח של האזהרה שנפתחת, בחר מחק.

בחזרה בכרטיסיה קבצים , הערך כבר לא מופיע ברשימה.

עצה

באפשרותך לבחור ערכים מרובים על-ידי בחירה בכל תיבת סימון, או לבחור את כל הערכים על-ידי בחירה בתיבת הסימון לצד כותרת העמודה ערך .

שימוש ב- PowerShell להסרת ערכים עבור קבצים מרשימת החסימה/החסימה של הדייר

ב Exchange Online PowerShell, השתמש בתחביר הבא:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

דוגמה זו מסירה את בלוק הקובץ שצוין מרשימת היתרים/חסימות של דיירים.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-TenantAllowBlockListItems.