Gerenciar a lista de Permissões/Bloqueios do Locatário

Observação

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como você pode avaliar e testar Microsoft 365 Defender.

Aplica-se a

Em Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomas) sem caixas de correio Exchange Online, você pode discordar do veredicto de filtragem do EOP. Por exemplo, uma boa mensagem pode ser marcada como ruim (um falso positivo) ou uma mensagem incorreta pode ser permitida (um falso negativo).

A Lista de Permissões/Bloqueios de Locatários no portal Microsoft 365 Defender oferece uma maneira de substituir manualmente os Microsoft 365 de filtragem. A Lista de Permissões/Bloqueios de Locatário é usada durante o fluxo de emails para mensagens de entrada (não se aplica a mensagens dentro da organização) e no momento dos cliques do usuário. Você pode especificar os seguintes tipos de substituições:

  • URLs a serem bloqueados.
  • Arquivos a serem bloqueados.
  • Emails ou domínios de remetente a serem bloqueados.
  • Remetentes falsificados para permitir ou bloquear. Se você substituir o veredicto de permissão ou bloqueio no insight de inteligência de falsificação, o remetente falsificado se tornará uma entrada manual de permissão ou bloqueio que só aparece na guia Falsificação na Lista de Permissões/Bloqueios do Locatário. Você também pode criar manualmente entradas de permissão ou bloqueio para remetentes falsificados aqui antes que eles são detectados pela inteligência contra falsificação.
  • URLs a serem permitidos.
  • Arquivos a serem permitidos.
  • Emails ou domínios de remetente a serem permitidos.

Este artigo descreve como configurar entradas na Lista de Permissões/Bloqueios de Locatário no portal do Microsoft 365 Defender ou no PowerShell (Exchange Online PowerShell para organizações do Microsoft 365 com caixas de correio no Exchange Online; PowerShell do EOP autônomo para organizações sem Exchange Online caixas de correio).

Do que você precisa saber para começar?

  • Abra o portal do Microsoft 365 Defender em https://security.microsoft.com. Para ir diretamente para a página Permitir/Bloquear Listas de Locatários, use https://security.microsoft.com/tenantAllowBlockList.

  • Especifique arquivos usando o valor de hash SHA256 do arquivo. Para localizar o valor de hash SHA256 de um arquivo no Windows, execute o seguinte comando em um Prompt de Comando:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    Um valor de exemplo é 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Não há suporte para valores de hash perceptual (pHash).

  • Os valores de URL disponíveis são descritos na sintaxe de URL para a seção Lista de Permissões/Bloqueios de Locatário posteriormente neste artigo.

  • A Lista de Permissões/Bloqueios de Locatário permite um máximo de 500 entradas para remetentes, 500 entradas para URLs, 500 entradas para hashes de arquivo e 1024 entradas para falsificação (remetentes falsificados).

  • O número máximo de caracteres para cada entrada é:

    • Hashes de arquivo = 64
    • URL = 250
  • Uma entrada deve estar ativa dentro de 30 minutos.

  • Por padrão, as entradas na Lista de Permissões/Bloqueios de Locatário expirarão após 30 dias. Você pode especificar uma data ou defini-la para nunca expirar.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

  • Você precisa de permissões em Exchange Online antes de poder realizar os procedimentos neste artigo:

    • Remetentes, URLs e arquivos:
      • Para adicionar e remover valores da Lista de Permissões/Bloqueios de Locatários, você precisa ser membro do
        • Grupo de função Gerenciamento da Organização ou Administrador de Segurança (função de administrador de segurança)
        • Grupo de função Operador de Segurança (Gerenciador allowBlockList de locatário).
      • Para acesso somente leitura à Lista de Permissões/Bloqueios do Locatário, você precisa ser membro do
        • Grupo de função Leitor Global
        • Grupo de função Leitor de Segurança
    • Falsificação: uma das seguintes combinações:
      • Organization Management
      • Administrador de segurança e configuração somente exibição ou gerenciamento de organização somente exibição.

    Para obter mais informações, confira Permissões no Exchange Online.

    Observação

    • Adicionar usuários à função correspondente do Azure Active Directory no centro de administração do Microsoft 365 concede aos usuários as permissões necessárias e as permissões para outros recursos no Microsoft 365. Para obter mais informações, confira o artigo Sobre funções administrativas.
    • O grupo de função Gerenciamento de Organização Somente para Exibição no Exchange Online também fornece acesso somente leitura ao recurso.

Configurar a lista de permissões/bloqueios de locatário

Usar o portal Microsoft 365 Defender

No portal Microsoft 365 Defender em , > > vá https://security.microsoft.compara Políticas & regras de locatário de políticas de ameaça listas de permissão / bloqueio na seção Regras. Para ir diretamente para a página Permitir/Bloquear Listas de Locatários, use https://security.microsoft.com/tenantAllowBlockList.

Para adicionar todos os blocos, consulte Adicionar blocos na Lista de Permissões/Blocos do Locatário.

Para adicionar todas as permissões, consulte Adicionar permissões na Lista de Permissões/Bloqueios do Locatário.

Para modificar e remover todos os blocos e permissões, consulte Modificar e remover entradas na Lista de Permissões/Blocos de Locatários.

Usar Exchange Online PowerShell ou PowerShell do EOP autônomo

Para gerenciar todas as permissões e blocos, consulte Adicionar blocos na Lista de Permissões /Bloqueios de Locatário, Adicionar permissões na Lista de Permissões /Bloqueios de Locatário e Modificar e remover entradas na Lista de Permissões /Blocos do Locatário.

Exibir entradas na Lista de Permissões/Bloqueios do Locatário

  1. No portal Microsoft 365 Defender em , > > vá https://security.microsoft.compara Políticas & regras de locatário de políticas de ameaça listas de permissão / bloqueio na seção Regras. Ou, para ir diretamente para a página Permitir /Bloquear Listas de Locatários, use https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione a guia desejada. As colunas disponíveis dependem da guia selecionada:

    • Remetentes:
      • Valor: o domínio do remetente ou o endereço de email.
      • Ação: o valor Permitir ou Bloquear.
      • Modificado por
      • Última atualização
      • Remover em
      • Anotações
    • Falsificação
      • Usuário falsificado
      • Enviando infraestrutura
      • Tipo de falsificação: o valor Interno ou Externo.
      • Ação: o valor Bloquear ou Permitir.
    • URLs:
      • Valor: a URL.
      • Ação: o valor Permitir ou Bloquear.
      • Modificado por
      • Última atualização
      • Remover em
      • Anotações
    • Files
      • Valor: o hash do arquivo.
      • Ação: o valor Permitir ou Bloquear.
      • Modificado por
      • Última atualização
      • Remover em
      • Anotações

    Você pode clicar em um título de coluna para classificar em ordem crescente ou decrescente.

    Você pode clicar em Agrupar para agrupar os resultados. Os valores disponíveis dependem da guia selecionada:

    • Remetentes: você pode agrupar os resultados por Ação.
    • Falsificação: você pode agrupar os resultados por tipo de Ação ou Falsificação.
    • URLs: você pode agrupar os resultados por Ação.
    • Arquivos: você pode agrupar os resultados por Ação.

    Clique em Pesquisar, insira todo ou parte de um valor e pressione ENTER para localizar um valor específico. Quando terminar, clique no ícone Limpar pesquisa. Limpe a pesquisa.

    Clique em Filtrar para filtrar os resultados. Os valores disponíveis no submenu Filtro exibido dependem da guia selecionada:

    • Remetentes
      • Action
      • Nunca expirar
      • Data da última atualização
      • Remover em
    • Falsificação
      • Action
      • Tipo de falsificação
    • Urls
      • Action
      • Nunca expirar
      • Data da última atualização
      • Remover em
    • Files
      • Action
      • Nunca expirar
      • Última atualização
      • Remover em

    Quando terminar, clique em Aplicar. Para limpar os filtros existentes, clique em Filtrar e, no submenu Filtro exibido, clique em Limpar filtros.

  3. Quando terminar, clique em Adicionar.

Exibir entradas de remetente, arquivo ou URL na Lista de Permissões/Blocos do Locatário

Para exibir entradas de remetente, arquivo ou URL de bloco na Lista de Permissões/Blocos de Locatários, use a seguinte sintaxe:

Get-TenantAllowBlockListItems -ListType <Sender | FileHash | URL> [-Entry <SenderValue | FileHashValue | URLValue>] [<-ExpirationDate Date | -NoExpiration>]

Este exemplo retorna informações para o valor de hash de arquivo especificado.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Este exemplo retorna todas as URLs bloqueadas.

Get-TenantAllowBlockListItems -ListType Url -Block

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListItems.

Exibir entradas de remetente falsificadas

Para exibir entradas de remetente falsificadas na Lista de Permissões/Blocos de Locatários, use a seguinte sintaxe:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Este exemplo retorna todas as entradas de remetente falsificadas na Lista de Permissões/Blocos de Locatários.

Get-TenantAllowBlockListSpoofItems

Este exemplo retorna todas as entradas de remetente de permissão falsificadas que são internas.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Este exemplo retorna todas as entradas de remetente falsificadas bloqueadas que são externas.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListSpoofItems.

Sintaxe de URL para a Lista de Permissões/Bloqueios do Locatário

  • Os endereços IPv4 e IPv6 são permitidos, mas as portas TCP/UDP não são.

  • Extensões de nome de arquivo não são permitidas (por exemplo, test.pdf).

  • Não há suporte para Unicode, mas Punycode é.

  • Os nomes de host serão permitidos se todas as instruções a seguir forem verdadeiras:

    • O nome do host contém um ponto.
    • Há pelo menos um caractere à esquerda do ponto.
    • Há pelo menos dois caracteres à direita do período.

    Por exemplo, t.co é permitido; .com ou contoso. não são permitidos.

  • Subcaminhos não estão implícitos para permissões.

    Por exemplo, contoso.com não inclui contoso.com/a.

  • Caracteres curinga (*) são permitidos nos seguintes cenários:

    • Um curinga esquerdo deve ser seguido por um ponto para especificar um subdomínio. (aplicável somente a blocos)

      Por exemplo, *.contoso.com é permitido; *contoso.com não é permitido.

    • Um curinga direito deve seguir uma barra (/) para especificar um caminho.

      Por exemplo, contoso.com/* é permitido; contoso.com* ou contoso.com/ab* não são permitidos.

    • *.com* é inválido (não é um domínio resolvível e o curinga direito não segue uma barra).

    • Caracteres curinga não são permitidos em endereços IP.

  • O caractere til (~) está disponível nos seguintes cenários:

    • Um til esquerdo implica um domínio e todos os subdomínios.

      Por exemplo, ~contoso.com inclui contoso.com e *.contoso.com.

  • Um nome de usuário ou senha não tem suporte ou é necessário.

  • Aspas (' ou ") são caracteres inválidos.

  • Uma URL deve incluir todos os redirecionamentos sempre que possível.

Cenários de entrada de URL

Entradas de URL válidas e seus resultados são descritos nas seções a seguir.

Cenário: sem caracteres curinga

Entrada: contoso.com

Cenário: curinga esquerdo (subdomínio)

Observação

Esse cenário se aplica somente a blocos.

Entrada: *.contoso.com

Cenário: curinga direito na parte superior do caminho

Entrada: contoso.com/a/*

  • Permitir correspondência e bloquear correspondência:

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com
  • Permitir não correspondido e Bloquear não correspondido:

Cenário: bloco esquerdo

Entrada: ~contoso.com

  • Permitir correspondência e bloquear correspondência:

  • Permitir não correspondido e Bloquear não correspondido:

Cenário: sufixo curinga à direita

Entrada: contoso.com/*

  • Permitir correspondência e bloquear correspondência:

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba
  • Permitir não correspondido e Bloquear não correspondido: contoso.com

Cenário: subdomínio curinga esquerdo e sufixo curinga direito

Observação

Esse cenário se aplica somente a blocos.

Entrada: *.contoso.com/*

Cenário: bloco esquerdo e direito

Entrada: ~contoso.com~

  • Permitir correspondência e bloquear correspondência:

  • Permitir não correspondido e Bloquear não correspondido:

    • 123contoso.com
    • contoso.org

Cenário: endereço IP

Entrada: 1.2.3.4

  • Permitir correspondência e bloquear correspondência: 1.2.3.4

  • Permitir não correspondido e Bloquear não correspondido:

    • 1.2.3.4/a
    • 11.2.3.4/a

Endereço IP com curinga à direita

Entrada: 1.2.3.4/*

  • Permitir correspondência e bloquear correspondência:

    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Exemplos de entradas inválidas

As seguintes entradas são inválidas:

  • Valores de domínio ausentes ou inválidos:

    • Contoso
    • *.contoso.*
    • *.com
    • *.pdf
  • Curinga em texto ou sem caracteres de espaçamento:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*
  • Endereços IP com portas:

    • contoso.com:443
    • abc.contoso.com:25
  • Curingas não descritivos:

    • *
    • *.*
  • Curingas intermediários:

    • conto* so.com
    • conto~so.com
  • Caracteres curinga duplos

    • contoso.com/**
    • contoso.com/*/*

Sintaxe de par de domínio para entradas de remetente falsificadas na Lista de Permissões/Blocos de Locatários

Um par de domínios para um remetente falsificado na Lista de Permissões/Blocos de Locatários usa a seguinte sintaxe: <Spoofed user>, <Sending infrastructure>.

  • Usuário falsificado: esse valor envolve o endereço de email do usuário falsificado exibido na caixa De em clientes de email. Esse endereço também é conhecido como o 5322.From endereço. Os valores válidos incluem:

    • Um endereço de email individual (por exemplo, chris@contoso.com).
    • Um domínio de email (por exemplo, contoso.com).
    • O caractere curinga (por exemplo, *).
  • Infraestrutura de envio: esse valor indica a origem das mensagens do usuário falsificado. Os valores válidos incluem:

    • O domínio encontrado em uma pesquisa inversa de DNS (registro PTR) do endereço IP do servidor de email de origem (por exemplo, fabrikam.com).
    • Se o endereço IP de origem não tiver nenhum registro PTR, <source IP>a infraestrutura de envio será identificada como /24 (por exemplo, 192.168.100.100/24).

Aqui estão alguns exemplos de pares de domínio válidos para identificar remetentes falsificados:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

O número máximo de entradas de remetente falsificado é 1000.

Adicionar um par de domínios só permite ou bloqueia a combinação do usuário falsificado e da infraestrutura de envio. Ele não permite emails do usuário falsificado de nenhuma fonte, nem permite emails da fonte de infraestrutura de envio para qualquer usuário falsificado.

Por exemplo, você adiciona uma entrada de permissão para o seguinte par de domínio:

  • Domínio: gmail.com
  • Infraestrutura: tms.mx.com

Somente mensagens desse domínio e do par de infraestrutura de envio têm permissão para falsificar. Outros remetentes que tentam falsificar gmail.com não são permitidos. As mensagens de remetentes em outros domínios provenientes tms.mx.com são verificadas pela inteligência contra falsificação.

O que esperar depois de adicionar uma entrada de permissão ou bloqueio

Depois de adicionar uma entrada de permissão por meio do portal de Envios ou de uma entrada de bloco na Lista de Permissões/Blocos de Locatários, a entrada deverá começar a funcionar imediatamente.

É recomendável permitir que as entradas expirem automaticamente após 30 dias para ver se o sistema aprendeu sobre a permissão ou o bloqueio. Caso contrário, você deve fazer outra entrada para dar ao sistema mais 30 dias para aprender.