Microsoft Defender 和 PowerShell

您是否要将您的组织迁移到 Exchange Online？您会单独使用 Exchange Online Protection (EOP)，还是将其与第三方产品结合使用？我们将研究如何保持安全的不同解决方案。

将组织从本地邮件解决方案迁移到 Exchange Online 时，典型的方案是当本地电子邮件解决方案不再存在时如何在项目结束时处理邮件流。一些组织从未使用过 Exchange Online Protection (EOP)，而是使用第三方解决方案，例如 ProofPoint、MessageLabs 或 Barracuda。在项目的这个阶段，需要做出决定 - 切换到仅 EOP 或保留当前的第三方电子邮件卫生产品并将 EOP 纳入该组合中。

虽然切换到 EOP 可能看起来很简单，但这不一定是由于现有的规则和配置设置所致。此外，对该产品的舒适度可能不适合切换到 EOP 单一方法。幸运的是，我们可以为 EOP（和 Defender）进行一些设置来处理这种情况。

前

后

解决方案

为了使其正常工作，我们需要进行一些更改，以便 EOP 可以将流量视为受信任的 SMTP 通信。我们可以使用三种不同的方法或解决方案来完成此任务，我们接下来将介绍这些方法或解决方案：

解决方案1

在 Microsoft 对其 Exchange Online Protection (EOP) 配置进行一些更改之前，处理来自外部卫生供应商的电子邮件的典型配置是为服务器 Ips 创建连接筛选器条目。例如，消息实验室的文档可以在此处找到。这解释了如何在租户中执行此操作。也可以在 PowerShell 中执行相同的操作。首先，我们将检查现在有哪些连接过滤器：

Get-HostedConnectionFilterPolicy

在全新环境中，我们应该看到：

对于 Mimecast 入站消息，我们需要将 IP 添加到“IPAllowList”才能使其正常工作。例如，如果我们的 IP 地址为 207.12.34.4 和 5，我们可以使用以下一行代码添加它们：

Set-HostedConnectionFilterPolicy Default -IPAllowList 207.12.34.4,207.12.34.5

解决方案2

使用的另一种方法是创建一个传输规则，该规则将接受来自第三方提供商的连接并跳过 EOP 的垃圾邮件过滤引擎。我们只需要提供商的 IP 地址和一个名为 ExceptIfSCLOver 的参数，根据 Microsoft 的传输规则文档，该参数设置为 -1，我们就有了这一行:

New-TransportRule 'Inbound from Mimecast' -SenderIpRanges 207.12.34.4,207.12.34.5 -ExceptIfSCLOver -1

这样，来自这些 IP 地址的任何电子邮件都将绕过垃圾邮件过滤。

解决方案3

在此解决方案中，我们将使用 Microsoft 添加的新功能，称为增强过滤（跳过列表）。跳过列表允许 EOP 更好地分析来自 EOP 前面的第三方卫生服务的电子邮件。此配置有两个部分可以使其发挥作用 - 入站连接器和增强型过滤。

新的入站连接器

New-InboundConnector -Name 'Mimecast Inbound' -ConnectorType Partner -SenderDomains '*' -SenderIPAddresses 207.12.34.4,207.12.34.5

添加跳过列表设置

一旦我们有了连接器，我们还可以将跳过列表设置添加到连接器。有两个可能的参数可用于在入站连接器上进行配置，它们是 EFSkipLastIP 和 EFSkipIPs。使用EFSkipLastIP值将告诉EOP何时执行标头审查以跳过EOP接收之前的最后一个IP（假设这是服务提供商的IP）。另一个属性EFSkipIPs允许手动配置特定的IP地址。下面是使用这两个参数的示例：

Set-InboundConnector -Identity 'Mimecast Inbound' -EFSkipLastIP $TrueSet-InboundConnector -Identity 'Mimecast Inbound' -EFSkipIPs 207.12.34.4,207.12.34.5

如果需要的话，也可以将跳过列表过滤为单个或多个用户，也许是为了测试：

单用户

Set-InboundConnector -Identity 'Mimecast Inbound' -EFUsers [email protected]

多用户（组）

Set-InboundConnector -Identity 'Mimecast Inbound' -EFUsers [email protected]

小心！
需要注意的是，指定的 IP 地址将比其他 IP 地址更宽松。 每隔一个季度或六个月验证一次这些 IP 地址可能是值得的，以防这种情况/这些变化。

网络钓鱼模拟

电子邮件最常见的攻击媒介之一是网络钓鱼，许多供应商已经创建了解决方案来尽可能多地从用户的视野中消除这种攻击。但是，仍有一些电子邮件未被这些解决方案阻止并最终进入用户的邮箱。为了帮助识别这些电子邮件，公司创建了一些服务来帮助测试和培训用户识别这些类型的电子邮件。供应商范围从 Microsoft 到 KnowBe4 等等。一个固有的问题是，如果测试邮件来自外部源，它往往会被 EOP 阻止，并且永远不会到达用户的邮箱。为了防止这种情况，许多供应商指示组织创建绕过 EOP 中的检测过滤器的传输规则。微软添加了一项新功能来简化此过程。它被称为“高级交付”，具有一个名为“网络钓鱼模拟”的子功能。 PowerShell 可用于从安全与合规中心 PowerShell 模块内管理此功能。

创建这些例外时，请务必记住，通过添加这些发送服务器，许多 EOP 的过滤服务将被绕过：

• EOP 和 Microsoft Defender for Microsoft 365 中的筛选器
• 零时净化 (ZAP)
• 默认系统警报
• Defender for Microsoft 365 中的 AIR 和集群
• 警报和 AIR 将不会被触发
• Defender for Microsoft 365 中的安全链接
• Defender for Microsoft 365 中的安全附件
  
  

PowerShell cmdlet

Get-PhishSimOverridePolicyGet-PhishSimOverrideRuleNew-PhishSimOverridePolicyNew-PhishSimOverrideRuleRemove-PhishSimOverridePolicyRemove-PhishSimOverrideRuleSet-PhishSimOverridePolicySet-PhishSimOverrideRule

默认设置

如果我们使用 PowerShell 检查策略或规则，我们会发现在租户中，默认配置为空：

与 Microsoft 365 中的许多其他配置项一样，这两个 cmdlet 形成一对，我们需要创建一个策略和一个规则才能继续使用此功能。在下面的部分中，我们将逐步介绍这个创建过程。

添加自定义配置

首先，我们需要创建一个策略，并且由于 Microsoft 限制每个租户一个策略，因此必须将其命名为“PhishSimOverridePolicy”：

New-PhishSimOverridePolicy -Name ' PhishSimOverridePolicy'

通过这个新策略，我们现在可以创建规则来控制允许哪些服务器与租户通信。在下面的一行中，我们引用了我们创建的策略、第三方网络钓鱼模拟发件人的 IP 以及我们将允许邮件入站的两个域。

New-PhishSimOverrideRule -Name 'PhishSimOverrideRule' -Policy 'PhishSimOverridePolicy' -SenderDomainIs PracticalPowerShell.com,PowerShellGeek.com -SenderIpRanges 147.160.167.0/26, 23.21.109.197,23.21.109.212

请注意，您提供的名称将被忽略，并且将创建一个名称类似于以下的新规则：

配置策略和规则后，我们供应商的任何网络钓鱼模拟，只要它来自预定义的 IP 且发往预定义的域，都将被传送到最终用户的邮箱。

参考：
这些相同的设置也出现在 Microsoft Defender 中心中：
电子邮件和协作 > 策略> 威胁策略 > 高级交付

后期配置

一旦策略/规则准备就绪，我们就可以运行 PowerShell cmdlet 来验证配置，可能是出于验证或文档目的。这两个 cmdlet 即可达到此目的，并且不需要任何参数即可执行：

Get-PhishSimOverridePolicy

Get-PhishSimOverrideRule

安全运营邮箱

首先，什么是 SecOps 邮箱？ SecOps 是安全运营的简写，但也缩写为组织安全团队。该邮箱是专用邮箱，可以接收未经过滤的电子邮件（恶意或无恶意）以供安全团队审核。要使用此功能，应为此目的确定或创建专用邮箱。邮箱准备就绪后，我们可以使用 PowerShell 为 SecOps 邮箱功能创建策略和规则组合。
默认情况下，组织的租户不应列出任何内容：

让我们看看可以使用哪些 PowerShell cmdlet 来配置此功能：

PowerShell Cmdlet

Get-SecOpsOverridePolicy
Get-SecOpsOverrideRule
New-SecOpsOverridePolicy
New-SecOpsOverrideRule
Remove-SecOpsOverridePolicy
Remove-SecOpsOverrideRule
Set-SecOpsOverridePolicy
Set-SecOpsOverrideRule

创建新政策/规则

在创建策略和规则时，我们只需要用于此功能的邮箱的电子邮件地址。策略和规则的名称均无法自定义，您必须使用 Microsoft 提供的默认名称。两者的名称可以在 cmdlet 的文档中找到：New-SecOpsOverridePolicy 和 New-SecOpsOverrideRule。一旦我们获得了这些信息，我们就可以创建策略/规则组合：

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo [email protected]
New-SecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

请注意，SecOps 覆盖仅允许一项策略和一项规则：

修改现有政策/规则

当然，一旦这对就位，我们也可以根据需要修改设置。然而，与 PowerShell 中的情况一样，策略或规则都没有太多需要更改的地方。在策略中，cmdlet 的 Get-Help 显示了很多选项，但实际上，我们只能使用任一 cmdlet 修改 Comment 和 SentTo 属性。以下是这些参数的一些实际应用示例：

政策：

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -Comment 'Sec Ops Policy - Security Team Mailbox'
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -Comment -AddSendTo [email protected]
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -Comment -RemoveSentTo [email protected]

规则：

Get-SecOpsOverrideRule | Set-SecOpsOverRideRule -Comment 'Sec Ops Rule for PowerShellGeek.com'

删除 SecOps 邮箱策略/规则

如果不再需要此功能，也可以使用以下两行代码将其从租户中删除：

Get-SecOpsOverridePolicy | Remove-SecOpsOverridePolicy

Get-SecOpsOverridePolicy | Remove-SecOpsOverridePolicy

最后的想法——结论

Defender for Microsoft 365 有许多移动部分，我们在本文中仅探讨其中的几个部分。由于这些都是 Defender for Microsoft 365 的新功能，预计随着时间的推移会添加更多功能。并非每个组织都会使用这些功能，因为某些组织使用 Microsoft 的攻击模拟器，并且在 EOP 之前没有第三方卫生提供商，因此可能只使用 SecOps 邮箱功能。而其他组织将使用这三种方法，因为他们拥有用于网络钓鱼模拟和电子邮件卫生的第三方提供商。因此，组织需要对每个功能进行评估，以确定其需求和场景。