Добавление разрешений в список разрешенных и заблокированных клиентов

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

Администраторы не могут добавлять разрешения непосредственно в список разрешений и блоков клиента. Вместо этого вы используете процесс отправки администратора, чтобы отправить сообщение, которое было заблокировано, чтобы соответствующий URL-адрес, файл и (или) отправители были добавлены в список разрешений и блокирования клиента. Если блок файла, URL-адреса или отправителя не был создан, разрешение не будет создано. В большинстве случаев, когда сообщение было определено как ложное срабатывание, которое было неправильно заблокировано, разрешения хранятся на время, необходимое для предоставления системному времени, чтобы разрешить их естественным образом.

Важно!

Так как корпорация Майкрософт управляет разрешениями для вас, отправитель, URL-адрес или файл разрешает, что они не нужны или считаются недопустимыми, будут удалены. Это необходимо для защиты среды и предотвращения неправильной настройки разрешений. В случаях, когда вы можете не согласиться, могут потребоваться запросы в службу поддержки, чтобы определить, почему сообщение по-прежнему считается недопустимым.

Добавление отправителя разрешает использование портала отправки

Разрешить отправителей (или домены) на странице "Отправки" в Microsoft 365 Defender.

  1. На Microsoft 365 Defender портале перейдите https://security.microsoft.comк разделу "Действия & отправки > ". Или, чтобы перейти непосредственно на страницу "Отправки", используйте .https://security.microsoft.com/reportsubmission

  2. На странице "Отправки" убедитесь, что выбрана вкладка "Сообщения", и щелкните значок "Отправить в корпорацию Майкрософт для анализа". Отправьте данные в корпорацию Майкрософт для анализа.

  3. Используйте всплывающее меню "Отправить в корпорацию Майкрософт ", чтобы отправить сообщение, добавив идентификатор сетевого сообщения или передав файл электронной почты.

  4. В разделе "Выбор причины отправки в Корпорацию Майкрософт " выберите "Не должно быть заблокировано ( ложноположительный результат)".

  5. Включите разрешение сообщений, как этот параметр.

  6. В раскрывающемся списке "Удалить" укажите, как долго будет работать параметр разрешения.

  7. По завершении нажмите кнопку " Отправить ".

Отправьте вредоносные программы в корпорацию Майкрософт для анализа примера.

Примечание

  • Во время потока обработки почты, в зависимости от того, какие фильтры определили, что почта является вредоносной, разрешения добавляются. Например, отправитель и URL-адрес определены как недопустимые, для каждого из них будет добавлено разрешение.
  • При повторном обнаружении этой сущности (отправитель, домен, URL-адрес, файл) все фильтры, связанные с этой сущностью, пропускаются.
  • В процессе обработки почты, если остальные фильтры находят сообщение электронной почты, содержащее эту сущность, будет доставлено. Например, разрешение отправителя (когда проверка подлинности пройдена) будет обходить все решения, кроме вредоносных программ и фишинга с высокой достоверностью, связанного с вложением или URL-адресом.

Добавление URL-адреса с помощью портала отправки

Разрешить URL-адреса на странице "Отправки" в Microsoft 365 Defender.

  1. На Microsoft 365 Defender портале перейдите https://security.microsoft.comк разделу "Действия & отправки > ". Или, чтобы перейти непосредственно на страницу "Отправки", используйте .https://security.microsoft.com/reportsubmission

  2. На странице "Отправки " выберите вкладку "URL-адреса " и щелкните значок " Отправить в Корпорацию Майкрософт для анализа". Отправьте данные в корпорацию Майкрософт для анализа.

  3. Используйте всплывающее меню "Отправить в корпорацию Майкрософт ", чтобы отправить сообщение, добавив URL-адрес.

  4. В разделе "Выбор причины отправки в Корпорацию Майкрософт " выберите "Не должно быть заблокировано ( ложноположительный результат)".

  5. Включите URL-адреса разрешения, как этот параметр.

  6. В раскрывающемся списке "Удалить" укажите срок действия параметра разрешения.

  7. По завершении нажмите кнопку " Отправить ".

Отправьте URL-адрес для анализа.

Примечание

  • При повторном обнаружении URL-адреса URL-адрес не отправляется для проверки отключения или репутации, а все остальные фильтры на основе URL-адресов пропускаются.
  • Таким образом, для сообщения электронной почты (содержащего этот URL-адрес) во время потока обработки почты, если остальные фильтры поймют, что сообщение электронной почты является пустым, оно будет доставлено.

Добавление файла позволяет использовать портал отправки

Разрешить файлы на странице "Отправки" в Microsoft 365 Defender.

  1. На Microsoft 365 Defender портале перейдите https://security.microsoft.comк разделу "Действия & отправки > ". Или, чтобы перейти непосредственно на страницу "Отправки", используйте .https://security.microsoft.com/reportsubmission

  2. На странице "Отправки" выберите вкладку "Вложения электронной почты" и щелкните значок "Отправить в корпорацию Майкрософт для анализа". Отправьте данные в корпорацию Майкрософт для анализа.

  3. Используйте всплывающее меню "Отправить в корпорацию Майкрософт ", чтобы отправить сообщение, добавив файл или файлы.

  4. В разделе "Выбор причины отправки в Корпорацию Майкрософт " выберите "Не должно быть заблокировано ( ложноположительный результат)".

  5. Включите разрешение файлов, как этот параметр.

  6. В раскрывающемся списке "Удалить" укажите срок действия параметра разрешения.

  7. По завершении нажмите кнопку " Отправить ".

Отправьте сообщение электронной почты для анализа.

Примечание

При повторном обнаружении файла он не отправляется для проверки отключения или репутации, а все остальные фильтры на основе файлов пропускаются. В процессе обработки почты, если остальные фильтры находят сообщение электронной почты, содержащее файл для очистки, сообщение будет доставлено.

Создание подделаемых записей разрешений отправителя с помощью Microsoft 365 Defender

Примечание

  • Только сочетание спуфинга пользователя и инфраструктуры отправки, как определено в паре доменов, разрешено или заблокировано.
  • При настройке записи разрешения или блокировки для пары доменов сообщения из этой пары доменов больше не отображаются в аналитике спуфинга.
  • Срок действия записей для спуфингированных отправителей не истекает.
  • Спуф поддерживает как разрешение, так и блокировку. URL-адрес поддерживает только блок.
  1. На портале Microsoft 365 Defender > > > https://security.microsoft.comперейдите в раздел "Политики совместной & электронной почты & правила политики угроз" в разделе "Правила". Или, чтобы перейти непосредственно на страницу списка разрешений и блокирования клиента, используйте https://security.microsoft.com/tenantAllowBlockList.

  2. На странице списка разрешений и блокирования клиента выберите вкладку "Спуфинг " и щелкните значок " Добавить". Добавьте.

  3. Во всплывающем окне "Добавить новые пары доменов" настройте следующие параметры:

    • Добавьте новые пары доменов с подстановочными знаками: введите одну пару доменов на строку не более 20. Дополнительные сведения о синтаксисе для подделаваемых записей отправителей см. в разделе "Управление списком разрешений и блоков клиента".
    • Тип спуфинга: выберите одно из следующих значений:
      • Внутренний: подделаный отправитель находится в домене, принадлежаном вашей организации ( принятому домену).
      • Внешний: спуфинг отправителя находится во внешнем домене.
    • Действие: выберите "Разрешить".
  4. Когда вы закончите, нажмите Добавить.

Добавление подделаемых разрешенных записей отправителя с помощью PowerShell

Чтобы добавить спуфированные записи отправителя в список разрешений и блоков клиента в Exchange Online PowerShell, используйте следующий синтаксис:

New-TenantAllowBlockListSpoofItems -SpoofedUser <Domain | EmailAddress | *> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal> -Action <Allow | Block>

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListSpoofItems.