Настройка расширенной политики доставки для моделирования фишинга сторонних производителей и доставки электронной почты в почтовые ящики SecOps

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Чтобы обеспечить безопасность организации по умолчанию, Exchange Online Protection (EOP) не разрешает безопасные списки или обход фильтров для сообщений, которые идентифицируются как вредоносные программы или фишинг с высокой степенью достоверности. Но существуют определенные сценарии, в которых требуется доставка нефильтрованных сообщений. Например:

• Сторонние имитации фишинга. Имитация атак помогает выявлять и обучать уязвимых пользователей до того, как реальные атаки повлияют на вашу организацию.
• Почтовые ящики операций безопасности (SecOps): выделенные почтовые ящики, используемые командами безопасности для сбора и анализа нефильтрованных сообщений (как хороших, так и плохих).

Используйте расширенную политику доставки в EOP, чтобы предотвратить фильтрацию входящих сообщений в этих конкретных сценариях ¹. Расширенная политика доставки гарантирует, что сообщения в этих сценариях достигают следующих результатов:

• Фильтры в EOP и Defender для Office 365 не принимают никаких действий для этих сообщений. Фильтрация вредоносных программ обходится только для почтовых ящиков SecOps.
• Очистка нулевого часа (ZAP) для спама и фишинга не выполняет никаких действий с этими сообщениями. ZAP для вредоносных программ обходится только для почтовых ящиков SecOps.
• Безопасные ссылки в Defender для Office 365 не блокируют и не детонируют указанные URL-адреса в этих сообщениях во время щелчка. URL-адреса по-прежнему упаковываются, но не блокируются.
• Безопасные вложения в Defender для Office 365 не детонируют вложения в этих сообщениях.
• Для этих сценариев не активируются системные оповещения по умолчанию.
• AIR и кластеризация в Defender для Office 365 игнорируют эти сообщения.
• Специально для симуляции фишинга сторонних производителей:
  • Администратор отправке создается автоматический ответ о том, что сообщение является частью кампании имитации фишинга и не представляет реальной угрозы. Оповещения и AIR не активируются. В интерфейсе отправки администратором эти сообщения отображаются как имитация угрозы.
  • Когда пользователь сообщает о симуляции фишинга с помощью встроенной кнопки "Отчет" в Outlook в Интернете или надстроек "Сообщение отчета" или "Отчет о фишинге", система не создает оповещение, расследование или инцидент. Ссылки или файлы не детонируются, но сообщение отображается на вкладке Пользователь сообщается на странице Отправки .

Сообщения, определенные расширенной политикой доставки, не представляют угрозы безопасности, поэтому сообщения помечаются системными переопределениями. Администратор интерфейсах эти сообщения отображаются как имитация фишинга или переопределения системы почтовых ящиков SecOps. Администраторы могут использовать эти значения для фильтрации и анализа сообщений в следующих интерфейсах:

• Обнаружение угроз Обозреватель (Обозреватель) или обнаружение в режиме реального времени в Defender для Office 365. Администраторы могут фильтровать источник переопределения системы и выбирать имитацию фишинга или почтовый ящик SecOps.
• Страница сущности Email. Администраторы могут просматривать сообщение, разрешенное политикой организации почтовым ящиком SecOps или имитацией фишинга, в разделе Переопределение клиента в разделе Переопределениеклиента.
• Отчет о состоянии защиты от угроз: Администратор может фильтровать данные по переопределению системы в раскрывающемся меню и выбрать, чтобы просмотреть сообщения, разрешенные из-за переопределения системы имитации фишинга. Чтобы просмотреть сообщения, разрешенные переопределением почтового ящика SecOps, можно выбрать разбивку диаграммы по расположению доставки в раскрывающемся списке Разбивка диаграммы по причине .
• Расширенная охота в Microsoft Defender для конечной точки. Имитация фишинга и переопределения системы почтовых ящиков SecOps — это параметры в OrgLevelPolicy в EmailEvents.
• Представления кампании: Администратор может фильтровать источник переопределения системы и выбрать имитацию фишинга или почтовый ящик SecOps.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Расширенной доставки, используйте .https://security.microsoft.com/advanceddelivery

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Параметры безопасности Core (чтение).
  • Email & разрешения на совместную работу на портале Microsoft Defender и разрешения Exchange Online:
    • Создание, изменение или удаление настроенных параметров в расширенной политике доставки: членство в группах ролей администратора безопасности в Email & совместной работы RBAC и членство в группе ролей "Управление организацией" в Exchange Online RBAC.
    • Доступ только для чтения к расширенной политике доставки: членство в группах ролей "Глобальный читатель" или "Читатель безопасности" в Email & совместной работы RBAC.
      • Управление организацией только для просмотра в Exchange Online RBAC.
  • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Настройка почтовых ящиков SecOps в расширенной политике доставки с помощью портала Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Email & Политики совместной работы>& Политики>угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.

   На странице Расширенная доставка убедитесь, что выбрана вкладка Почтовый ящик SecOps .

2. На вкладке Почтовый ящик SecOps нажмите кнопку Добавить в области Нет настроенных почтовых ящиков SecOps на странице.

   Если на вкладке почтового ящика SecOps уже есть записи, выберите Изменить (кнопка Добавить недоступна).

3. Во всплывающем окне Добавление почтовых ящиков SecOps введите существующий почтовый ящик Exchange Online, который нужно назначить в качестве почтового ящика SecOps, выполнив одно из следующих действий.

   • Щелкните поле, разрешите список почтовых ящиков, а затем выберите почтовый ящик.

   • Щелкните поле Начать вводить идентификатор почтового ящика (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.) и выберите почтовый ящик (отображаемое имя) в результатах.

     Повторите этот шаг нужное количество раз. Группы рассылки запрещены.

     Чтобы удалить существующее значение, щелкните удалить рядом со значением .

4. По завершении во всплывающем окне Добавление почтовых ящиков SecOps выберите Добавить.

5. Просмотрите сведения во всплывающем окне Изменения в почтовом ящике SecOps, переопределении сохраненного , а затем нажмите кнопку Закрыть.

На вкладке Почтовый ящик SecOps теперь перечислены настроенные записи почтового ящика SecOps:

• Столбец Отображаемое имя содержит отображаемое имя почтовых ящиков.
• Столбец Email содержит адрес электронной почты для каждой записи.
• Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Использование портала Microsoft Defender для изменения или удаления почтовых ящиков SecOps в расширенной политике доставки

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Email & Политики совместной работы>& Политики>угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.

   На странице Расширенная доставка убедитесь, что выбрана вкладка Почтовый ящик SecOps .

2. На вкладке Почтовый ящик SecOps выберите Изменить.

3. Во всплывающем окне Изменение почтовых ящиков SecOps добавьте или удалите почтовые ящики, как описано в шаге 3 в разделе Использование портала Microsoft Defender для настройки почтовых ящиков SecOps в разделе расширенная политика доставки.

   Чтобы удалить все почтовые ящики, выберите удалить рядом с каждым значением, пока не будет выбрано больше почтовых ящиков.

4. По завершении во всплывающем окне Изменение почтовых ящиков SecOps нажмите кнопку Сохранить.

5. Просмотрите сведения во всплывающем окне Изменения в почтовом ящике SecOps, переопределении сохраненного , а затем нажмите кнопку Закрыть.

На вкладке Почтовый ящик SecOps отображаются настроенные записи почтового ящика SecOps. Если удалить все записи, список будет пустым.

Использование портала Microsoft Defender для настройки симуляции фишинга сторонних производителей в расширенной политике доставки

Чтобы настроить стороннее моделирование фишинга, необходимо указать следующие сведения:

• По крайней мере один домен: домен с адреса MAIL FROM (также известного 5321.MailFrom как адрес, отправитель P1 или отправитель конверта), который используется при передаче smtp сообщения или домена DKIM, как указано поставщиком имитации фишинга.
• По крайней мере один IP-адрес отправки.
• Для моделирования фишинга, отличного от электронной почты (например, сообщений Microsoft Teams, Word документов или электронных таблиц Excel), при необходимости можно определить URL-адреса имитации, чтобы их не следует рассматривать как реальные угрозы при щелчке: URL-адреса не блокируются и не детонируются, а оповещения о щелчках по URL-адресу или возникающие инциденты не создаются. URL-адреса помещаются в оболочку при щелчке, но не блокируются.

Должно быть совпадение по крайней мере для одного домена и одного IP-адреса отправки, но связь между значениями не поддерживается.

Если запись MX не указывает на Microsoft 365, IP-адрес в заголовке Authentication-results должен соответствовать IP-адресу в расширенной политике доставки. Если IP-адреса не совпадают, может потребоваться настроить расширенную фильтрацию для соединителей , чтобы обнаружить правильный IP-адрес.

Примечание.

Расширенная фильтрация для соединителей не работает для симуляции фишинга сторонних производителей в сложных сценариях маршрутизации электронной почты (например, электронная почта из Интернета направляется в Microsoft 365, затем в локальную среду или стороннюю службу безопасности, а затем обратно в Microsoft 365). EOP не может определить истинный IP-адрес источника сообщения. Не пытайтесь обойти это ограничение, добавив IP-адреса локальной или сторонней инфраструктуры отправки в стороннюю имитацию фишинга. Это эффективно обходит фильтрацию нежелательной почты для любого интернет-отправителя, который олицетворяет домен, указанный в симуляции фишинга сторонних разработчиков.

В настоящее время расширенная политика доставки для симуляции фишинга сторонних производителей не поддерживает имитацию в одной организации (DIR:INT), особенно если электронная почта направляется через шлюз Exchange Server до Microsoft 365 в гибридном потоке обработки почты. Чтобы обойти эту проблему, можно выбрать следующие варианты:

• Создайте выделенный соединитель отправки , который не проверяет подлинность фишинговых сообщений имитации как внутренние.
• Настройте имитацию фишинга, чтобы обойти инфраструктуру Exchange Server и направить почту непосредственно в запись MICROSOFT 365 MX (например, contoso-com.mail.protection.outlook.com).
• Хотя в политиках защиты от нежелательной почты для проверки сообщений внутри организации можно задать значение Нет, этот параметр не рекомендуется, так как он влияет на другие сообщения электронной почты.

Если вы используете встроенную предустановленную политику безопасности защиты или настраиваемые политики безопасных ссылок имеют параметр Не перезаписывать URL-адреса, выполнять проверки через API SafeLinks включен только, защита от щелчков по щелчку не обрабатывает фишинговые ссылки в электронной почте как угрозы в Outlook в Интернете, Outlook для iOS и Android, Outlook для Windows версии 16.0.15317.10000 или более поздней версии, и Outlook для Mac версии 16.74.23061100 или более поздней версии. Если вы используете более старые версии Outlook, попробуйте отключить параметр Не перезаписывать URL-адреса, выполнять проверки с помощью API SafeLinks только в настраиваемых политиках безопасных ссылок.

Добавление URL-адресов имитации фишинга в раздел Не переписывать следующие URL-адреса в электронной почте в политиках безопасных ссылок может привести к нежелательным оповещениям при щелчках URL-адреса. Url-адреса имитации фишинга в сообщениях электронной почты автоматически разрешаются как во время потока обработки почты, так и во время щелчка.

В настоящее время расширенная политика доставки для почтовых ящиков SecOps не поддерживает сообщения внутри организации (DIR:INT), и эти сообщения будут помещены в карантин. В качестве обходного решения можно использовать отдельную политику защиты от нежелательной почты для почтовых ящиков SecOps, которая не помещает в карантин сообщения внутри организации. Не рекомендуется отключает защиту внутри организации для всех почтовых ящиков.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Email & Политики совместной работы>& Политики>угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.

   На странице Расширенная доставка выберите вкладку Моделирование фишинга .

2. На вкладке Моделирование фишинга нажмите кнопку Добавить в области Нет сторонних фишинговых симуляций на странице.

   Если на вкладке Имитация фишинга уже есть записи, выберите Изменить (кнопка Добавить недоступна).

3. Во всплывающем окне Добавление симуляции фишинга сторонних производителей настройте следующие параметры:

   • Домен. Разверните этот параметр и введите по крайней мере один домен адреса электронной почты, щелкнув поле, введя значение (например, contoso.com), а затем нажав клавишу ВВОД или выбрав значение, отображаемое под полем. Повторите этот шаг нужное количество раз. Можно добавить до 50 записей. Используйте одно из следующих значений:

     • Домен в адресе 5321.MailFrom (также известный как АДРЕС ПОЧТЫ ОТ , отправитель P1 или отправитель конверта), который используется при передаче сообщения SMTP.
     • Домен DKIM, указанный поставщиком имитации фишинга.

   • Отправка IP-адреса. Разверните этот параметр и введите по крайней мере один допустимый IPv4-адрес, щелкнув поле, введя значение, а затем нажав клавишу ВВОД или выбрав значение, отображаемое под полем. Повторите этот шаг нужное количество раз. Можно добавить до 10 записей. Допустимые значения:

     • Один IP-адрес: например, 192.168.1.1.
     • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
     • IP-адрес CIDR: например, 192.168.0.1/25.

• Разрешенные URL-адреса имитации. Этот параметр не требуется для ссылок в имитации фишинга электронной почты. Используйте этот параметр, чтобы при необходимости определить ссылки в имитациях фишинга, не относящихся к электронной почте (ссылки в сообщениях Teams или в документах Office), которые не должны рассматриваться как реальные угрозы во время щелчка.

  Добавьте записи URL-адреса, разверните этот параметр, щелкнув поле, введя значение, а затем нажав клавишу ВВОД или выбрав значение, которое отображается под полем. Можно добавить до 30 записей. Синтаксис URL-адреса см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов.

Чтобы удалить существующий домен, IP-адрес или значение URL-адреса, нажмите удалить рядом со значением .

Рассмотрим следующий пример.

Authentication-Results: spf=pass (sender IP is 172.17.17.7)
smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;

• IP-адрес подключения — 172.17.17.7.
• Домен в адресе MAIL FROM (smtp.mailfrom) contoso.com.
• Домен DKIM (header.d) является contoso-simulation.com.

В этом примере можно использовать одно из следующих сочетаний для настройки симуляции стороннего фишинга:

Домен: contoso.com
IP-адрес отправки: 172.17.17.7

Домен: contoso-simulation.com
IP-адрес отправки: 172.17.17.7

4. По завершении во всплывающем окне Добавление симуляции фишинга сторонних производителей нажмите кнопку Добавить.

5. Просмотрите сведения во всплывающем меню Изменения в симуляции фишинга, а затем выберите Закрыть.

На вкладке Имитация фишинга теперь отображаются записи симуляции фишинга сторонних разработчиков, которые вы настроили:

• Столбец Значение содержит запись домена, IP-адреса или URL-адреса.
• Столбец Тип содержит значение Отправляющие IP-адрес, Домен или Разрешенный URL-адрес имитации для каждой записи.
• В столбце Дата отображается время создания записи.
• Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Использование портала Microsoft Defender для изменения или удаления сторонних симуляций фишинга в расширенной политике доставки

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Email & Политики совместной работы>& Политики>угроз>Расширенная доставка в разделе Правила. Или, чтобы перейти непосредственно на страницу Расширенная доставка , используйте https://security.microsoft.com/advanceddelivery.

   На странице Расширенная доставка выберите вкладку Моделирование фишинга .

2. На вкладке Имитация фишинга выберите Изменить.

3. В открывающемся всплывающем окне Изменение симуляции фишинга сторонних разработчиков добавьте или удалите записи для доменов, IP-адресов отправки и URL-адресов имитации, как описано в шаге 3 раздела Использование портала Microsoft Defender для настройки почтовых ящиков SecOps в разделе расширенная политика доставки.

   Чтобы удалить все записи, выберите удалить рядом с каждым значением, пока не будет выбрано больше доменов, IP-адресов или URL-адресов.

4. По завершении во всплывающем меню Изменение симуляции фишинга сторонних разработчиков нажмите кнопку Сохранить.

5. Просмотрите сведения во всплывающем меню Изменения в симуляции фишинга, а затем выберите Закрыть.

На вкладке Моделирование фишинга отображаются настроенные записи симуляции фишинга сторонних разработчиков. Если удалить все записи, список будет пустым.

Дополнительные сценарии, требующие обхода фильтрации

Помимо двух сценариев, с которыми может помочь расширенная политика доставки, существуют и другие сценарии, в которых может потребоваться обойти фильтрацию сообщений:

• Сторонние фильтры. Если запись MX вашего домена не указывает на Office 365 (сначала сообщения направляются куда-то в другое место), защита по умолчаниюнедоступна. Если вы хотите добавить защиту, необходимо включить расширенную фильтрацию для соединителей (также известную как пропустить список). Дополнительные сведения см. в статье Управление потоком обработки почты с помощью сторонней облачной службы с помощью Exchange Online. Если вы не хотите использовать расширенную фильтрацию для соединителей, используйте правила потока обработки почты (также известные как правила транспорта), чтобы обойти фильтрацию Майкрософт для сообщений, которые уже были оценены с помощью сторонней фильтрации. Дополнительные сведения см . в разделе Использование правил потока обработки почты для задания SCL в сообщениях.

• Проверяемые ложные срабатывания. Возможно, вам потребуется временно разрешить хорошие сообщения, которые неправильно определены как плохие (ложноположительные), о которых вы сообщили через отправки администратором, но эти сообщения по-прежнему анализируются корпорацией Майкрософт. Как и во всех переопределениях, мы настоятельно рекомендовали , чтобы эти надбавки были временными.

Процедуры PowerShell для почтовых ящиков SecOps в расширенной политике доставки

В PowerShell основные элементы почтовых ящиков SecOps в расширенной политике доставки:

• Политика переопределения SecOps: управляется командлетами *-SecOpsOverridePolicy .
• Правило переопределения SecOps: управляется командлетами *-ExoSecOpsOverrideRule .

Это поведение приводит к следующим результатам:

• Сначала создается политика, а затем — правило, определяющее политику, к которому применяется правило.
• При удалении политики из PowerShell также удаляется соответствующее правило.
• При удалении правила из PowerShell соответствующая политика не удаляется. Соответствующую политику необходимо удалить вручную.

Настройка почтовых ящиков SecOps с помощью PowerShell

Настройка почтового ящика SecOps в расширенной политике доставки в PowerShell состоит из двух этапов:

1. Создайте политику переопределения SecOps.
2. Создайте правило переопределения SecOps, указывающее политику, к которому применяется правило.

Шаг 1. Создание политики переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Независимо от указанного значения Name, имя политики — SecOpsOverridePolicy, поэтому вы также можете использовать это значение.

В этом примере создается политика почтовых ящиков SecOps.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Подробные сведения о синтаксисе и параметрах см. в разделе New-SecOpsOverridePolicy.

Шаг 2. Создание правила переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell выполните следующую команду:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Независимо от указанного значения Name, имя правила будет _Exe:SecOpsOverrid:<GUID\> [sic], где <GUID> — это уникальное значение GUID (например, 312c23cf-0377-4162-b93d-6548a9977efb9).

Подробные сведения о синтаксисе и параметрах см. в разделе New-ExoSecOpsOverrideRule.

Использование PowerShell для просмотра политики переопределения SecOps

В этом примере Exchange Online PowerShell возвращаются подробные сведения об одной и только политике почтовых ящиков SecOps.

Get-SecOpsOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Get-SecOpsOverridePolicy.

Использование PowerShell для просмотра правил переопределения SecOps

В этом примере Exchange Online PowerShell возвращаются подробные сведения о правилах переопределения SecOps.

Get-ExoSecOpsOverrideRule

Хотя предыдущая команда должна возвращать только одно правило, в результаты также может быть включено правило, ожидающее удаления.

В этом примере определяется допустимое правило (одно) и любые недопустимые правила.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Определив недопустимые правила, их можно удалить с помощью командлета Remove-ExoSecOpsOverrideRule , как описано далее в этой статье.

Подробные сведения о синтаксисе и параметрах см. в разделе Get-ExoSecOpsOverrideRule.

Изменение политики переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

В этом примере добавляется secops2@contoso.com политика переопределения SecOps.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Примечание.

Если существует связанное допустимое правило переопределения SecOps, адреса электронной почты в правиле также обновляются.

Подробные сведения о синтаксисе и параметрах см. в разделе Set-SecOpsOverridePolicy.

Изменение правила переопределения SecOps с помощью PowerShell

Командлет Set-ExoSecOpsOverrideRule не изменяет адреса электронной почты в правиле переопределения SecOps. Чтобы изменить адреса электронной почты в правиле переопределения SecOps, используйте командлет Set-SecOpsOverridePolicy .

Подробные сведения о синтаксисе и параметрах см. в разделе Set-ExoSecOpsOverrideRule.

Удаление политики переопределения SecOps с помощью PowerShell

В Exchange Online PowerShell в этом примере удаляется политика почтовых ящиков SecOps и соответствующее правило.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-SecOpsOverridePolicy.

Использование PowerShell для удаления правил переопределения SecOps

В Exchange Online PowerShell используйте следующие команды:

• Удалите все правила переопределения SecOps:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• Удалите указанное правило переопределения SecOps:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-ExoSecOpsOverrideRule.

Процедуры PowerShell для моделирования фишинга сторонних производителей в расширенной политике доставки

В PowerShell основные элементы моделирования фишинга сторонних разработчиков в расширенной политике доставки:

• Политика переопределения имитации фишинга: управляется командлетами *-PhishSimOverridePolicy .
• Правило переопределения имитации фишинга: управляется командлетами *-ExoPhishSimOverrideRule .
• Разрешенные (разблокированные) URL-адреса имитации фишинга: управляется командлетами *-TenantAllowBlockListItems .

Примечание.

Как описано ранее, определение URL-адресов не требуется для ссылок в имитации фишинга на основе электронной почты. При необходимости можно определить ссылки в имитациях фишинга, не относящихся к электронной почте (ссылки в сообщениях Teams или в документах Office), которые не следует рассматривать как реальные угрозы при щелчке.

Это поведение приводит к следующим результатам:

• Сначала создается политика, а затем — правило, определяющее политику, к которому применяется правило.
• Параметры в политике и правиле изменяются отдельно.
• При удалении политики из PowerShell также удаляется соответствующее правило.
• При удалении правила из PowerShell соответствующая политика не удаляется. Соответствующую политику необходимо удалить вручную.

Использование PowerShell для настройки сторонних симуляций фишинга

Настройка стороннего моделирования фишинга в PowerShell — это многоэтапный процесс:

1. Создайте политику переопределения имитации фишинга.
2. Создайте правило переопределения имитации фишинга, указывающее:
   • Политика, к которому применяется правило.
   • Исходный IP-адрес фишинговых сообщений имитации.
3. При необходимости удостоверяйте URL-адреса имитации фишинга в симуляциях фишинга, отличных от электронной почты (ссылки в сообщениях Teams или в документах Office), которые не следует рассматривать как реальные угрозы во время щелчка.

Шаг 1. Создание политики переопределения имитации фишинга с помощью PowerShell

В этом примере Exchange Online PowerShell создается политика переопределения имитации фишинга.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Независимо от указанного значения Name, имя политики — PhishSimOverridePolicy, поэтому вы также можете использовать это значение.

Подробные сведения о синтаксисе и параметрах см. в разделе New-PhishSimOverridePolicy.

Шаг 2. Создание правила переопределения имитации фишинга с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Независимо от указанного значения Name, имя правила будет _Exe:PhishSimOverr:<GUID\> [sic], где <GUID> — это уникальное значение GUID (например, 6fed4b63-3563-495d-a481-b24a311f8329).

Допустимая запись IP-адреса является одним из следующих значений:

• Один IP-адрес: например, 192.168.1.1.
• Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
• IP-адрес CIDR: например, 192.168.0.1/25.

В этом примере создается правило переопределения имитации фишинга с указанными параметрами.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Подробные сведения о синтаксисе и параметрах см. в разделе New-ExoPhishSimOverrideRule.

Шаг 3. (необязательно) Используйте PowerShell для определения РАЗРЕШЕНных URL-адресов имитации фишинга

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Дополнительные сведения о синтаксисе URL-адресов см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов.

В этом примере добавляется запись разрешения URL-адреса для указанного стороннего URL-адреса имитации фишинга без истечения срока действия.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Использование PowerShell для просмотра политики переопределения имитации фишинга

В Exchange Online PowerShell этот пример возвращает подробные сведения об одной и только политике переопределения имитации фишинга.

Get-PhishSimOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Get-PhishSimOverridePolicy.

Использование PowerShell для просмотра правил переопределения имитации фишинга

В Exchange Online PowerShell) этот пример возвращает подробные сведения о правилах переопределения имитации фишинга.

Get-ExoPhishSimOverrideRule

Хотя предыдущая команда должна возвращать только одно правило, все правила, ожидающие удаления, также могут быть включены в результаты.

В этом примере определяется допустимое правило (одно) и любые недопустимые правила.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

После определения недопустимых правил их можно удалить с помощью командлета Remove-ExoPhishSimOverrideRule , как описано далее в этой статье.

Подробные сведения о синтаксисе и параметрах см. в разделе Get-ExoPhishSimOverrideRule.

Использование PowerShell для просмотра разрешенных записей URL-адреса имитации фишинга

В Exchange Online PowerShell выполните следующую команду:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Изменение политики переопределения имитации фишинга с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

В этом примере отключается политика переопределения имитации фишинга.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Подробные сведения о синтаксисе и параметрах см. в разделе Set-PhishSimOverridePolicy.

Использование PowerShell для изменения правил переопределения имитации фишинга

В Exchange Online PowerShell используйте следующий синтаксис:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

или

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Используйте командлет Get-ExoPhishSimOverrideRule , чтобы найти <значения PhishSimOverrideRuleIdentity> . Имя правила использует следующий синтаксис: [sic], _Exe:PhishSimOverr:<GUID\> где <GUID> является уникальным значением GUID (например, 6fed4b63-3563-495d-a481-b24a311f8329).

В этом примере изменяется (предположительно только) правило переопределения имитации фишинга со следующими параметрами:

• Добавьте blueyonderairlines.com записи домена.
• Удалите запись IP-адреса 192.168.1.55.

Эти изменения не влияют на существующие записи в правиле.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Подробные сведения о синтаксисе и параметрах см. в разделе Set-ExoPhishSimOverrideRule.

Использование PowerShell для изменения разрешенных записей URL-адреса имитации фишинга

Вы не можете изменить значения URL-адреса напрямую. Вы можете удалить существующие записи URL-адресов и добавить новые записи URL-адресов , как описано в этой статье.

В Exchange Online PowerShell, чтобы изменить другие свойства разрешенной записи URL-адреса имитации фишинга (например, дату окончания срока действия или примечания), используйте следующий синтаксис:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Запись для изменения определяется по значениям URL-адреса ( параметру Entries ) или значению Identity из выходных данных командлета Get-TenantAllowBlockListItems (параметр Ids ).

В этом примере изменена дата окончания срока действия указанной записи.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Использование PowerShell для удаления политики переопределения имитации фишинга

В Exchange Online PowerShell в этом примере удаляется политика переопределения имитации фишинга и соответствующее правило.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-PhishSimOverridePolicy.

Использование PowerShell для удаления правил переопределения имитации фишинга

В Exchange Online PowerShell используйте следующие команды:

• Удалите все правила переопределения симуляции фишинга:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• Удалите указанное правило переопределения имитации фишинга:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-ExoPhishSimOverrideRule.

Использование PowerShell для удаления разрешенных записей URL-адреса имитации фишинга

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Запись для изменения определяется по значениям URL-адреса ( параметру Entries ) или значению Identity из выходных данных командлета Get-TenantAllowBlockListItems (параметр Ids ).

В этом примере изменена дата окончания срока действия указанной записи.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.