Condividi tramite

Consenti o blocca i file usando l'elenco di tenant consentiti/bloccati

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o autonome Exchange Online Protection (EOP) senza cassette postali Exchange Online, gli amministratori possono creare e gestire le voci per i file nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

Questo articolo descrive come gli amministratori possono gestire le voci per i file nel portale di Microsoft Defender e in Exchange Online PowerShell.

Che cosa è necessario sapere prima di iniziare?

  • Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

  • È possibile specificare i file usando il valore hash SHA256 del file. Per trovare il valore hash SHA256 di un file in Windows, eseguire il comando seguente in PowerShell:

    Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256

    Un valore di esempio è 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. I valori hash percettivi (pHash) non sono supportati.

  • Limiti di immissione per i file:

    • Exchange Online Protection: il numero massimo di voci consentite è 500 e il numero massimo di voci in blocco è 500 (1000 voci di file in totale).
    • Defender per Office 365 Piano 1: il numero massimo di voci consentite è 1000 e il numero massimo di voci di blocco è 1000 (2000 voci di file in totale).
    • Defender per Office 365 Piano 2: il numero massimo di voci consentite è 5000 e il numero massimo di voci di blocco è 10000 (15000 voci di file in totale).

  • È possibile immettere un massimo di 64 caratteri in una voce di file.

  • Una voce deve essere attiva entro 5 minuti.

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

    • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Exchange Online autorizzazioni sono attive. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Ottimizzazione del rilevamento (gestione) o Autorizzazione e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).

    • Exchange Online autorizzazioni:

      • Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
        • Gestione dell'organizzazione o Amministratore della sicurezza (ruolo di amministratore della sicurezza).
        • Operatore di sicurezza (ruolo Tenant AllowBlockList Manager): questa autorizzazione funziona solo se assegnata direttamente nell'interfaccia di amministrazione di Exchange in https://admin.exchange.microsoft.com>Ruoli>Amministrazione Ruoli.
      • Accesso di sola lettura all'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
        • Lettore globale
        • Ruolo con autorizzazioni di lettura per la sicurezza
        • Configurazione solo visualizzazione
        • View-Only Organization Management

    • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

      Importante

      * Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  • Nella pagina Invii è disponibile una scheda File solo nelle organizzazioni con Microsoft Defender XDR o Microsoft Defender per endpoint Piano 2. Per informazioni e istruzioni sull'invio di file dalla scheda File, vedere Inviare file in Microsoft Defender per endpoint.

Creare voci consentite per i file

Non è possibile creare voci consentite per i file direttamente nell'elenco tenant consentiti/bloccati. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che sarebbero stati filtrati dal sistema.

Usare invece la scheda Email allegati nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Quando si invia un file bloccato come ho confermato che è pulito, è possibile selezionare Consenti a questo file di aggiungere una voce consenti per il file nella scheda File della pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Inviare allegati di posta elettronica validi a Microsoft.

Consiglio

Le voci consentite dagli invii vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono determinati come dannosi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.

Durante il flusso di posta o il tempo di clic, se i messaggi contenenti le entità nelle voci consentite superano altri controlli nello stack di filtri, i messaggi vengono recapitati (tutti i filtri associati alle entità consentite vengono ignorati). Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, il filtro URL e il filtro dei file, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito se proviene anche da un mittente consentito.

Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce consenti viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione. Le voci consentite per i mittenti spoofing non scadono mai.

Durante il tempo di clic, il file consenti voce sostituisce tutti i filtri associati all'entità file, che consente agli utenti di accedere al file.

Creare voci di blocco per i file

Email messaggi che contengono questi file bloccati vengono bloccati come malware. I messaggi che contengono i file bloccati vengono messi in quarantena.

Per creare voci di blocco per i file, usare uno dei metodi seguenti:

Usare il portale di Microsoft Defender per creare voci di blocco per i file nell'elenco tenant consentiti/bloccati

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

  2. Nella pagina Tenant Allow/Block Elenchi selezionare la scheda File.

  3. Nella scheda File selezionare Blocca.

  4. Nel riquadro a comparsa Blocca file visualizzato configurare le impostazioni seguenti:

    • Aggiungere hash di file: immettere un valore hash SHA256 per riga, fino a un massimo di 20.

    • Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:

      • 1 giorno
      • 7 giorni
      • 30 giorni (impostazione predefinita)
      • Non scade mai
      • Data specifica: il valore massimo è 90 giorni da oggi.

    • Nota facoltativa: immettere testo descrittivo per il motivo per cui si bloccano i file.

    Al termine del riquadro a comparsa Blocca file , selezionare Aggiungi.

Nella scheda File la voce è elencata.

Usare PowerShell per creare voci di blocco per i file nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In questo esempio viene aggiunta una voce di blocco per i file specificati che non scadono mai.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per visualizzare le voci per i file nell'elenco tenant consentiti/bloccati

Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri & regole> Elenchi tenant criteri diminaccia>consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

Selezionare la scheda File .

Nella scheda File è possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:

  • Valore: hash del file.
  • Azione: i valori disponibili sono Consenti o Blocca.
  • Modificato da
  • Ultimo aggiornamento
  • Data ultima utilizzata: data dell'ultimo utilizzo della voce nel sistema di filtro per eseguire l'override del verdetto.
  • Rimuovi il: data di scadenza.
  • Note

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

  • Azione: i valori disponibili sono Consenti e Blocca.
  • Non scadere mai: o
  • Ultimo aggiornamento: selezionare Date da e A .
  • Data ultima utilizzo: selezionare Date da e A .
  • Rimuovi in: selezionare Date da e A .

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Utilizzare la casella di ricerca e un valore corrispondente per trovare voci specifiche.

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare Azione. Per separare le voci, selezionare Nessuno.

Usare PowerShell per visualizzare le voci per i file nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

In questo esempio vengono restituiti tutti i file consentiti e bloccati.

Get-TenantAllowBlockListItems -ListType FileHash

In questo esempio vengono restituite informazioni per il valore hash del file specificato.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Questo esempio filtra i risultati in base ai file bloccati.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per modificare le voci per i file nell'elenco tenant consentiti/bloccati

Nelle voci di file esistenti è possibile modificare la data di scadenza e la nota.

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

  2. Selezionare la scheda File

  3. Nella scheda File selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Modifica visualizzata.

  4. Nel riquadro a comparsa Modifica file visualizzato sono disponibili le impostazioni seguenti:

    • Voci di blocco:
      • Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:
        • 1 giorno
        • 7 giorni
        • 30 giorni
        • Non scade mai
        • Data specifica: il valore massimo è 90 giorni da oggi.
      • Nota facoltativa
    • Consenti voci:
      • Rimuovere la voce consenti dopo: Selezionare tra i valori seguenti:
        • 1 giorno
        • 7 giorni
        • 30 giorni
        • 45 giorni dopo l'ultima data di utilizzo
        • Data specifica: il valore massimo è 30 giorni da oggi.
      • Nota facoltativa

    Al termine del riquadro a comparsa Modifica file selezionare Salva.

Consiglio

Nel riquadro a comparsa dei dettagli di una voce nella scheda File usare Visualizza invio nella parte superiore del riquadro a comparsa per passare ai dettagli della voce corrispondente nella pagina Invii . Questa azione è disponibile se un invio è stato responsabile della creazione della voce nell'elenco tenant consentiti/bloccati.

Usare PowerShell per modificare le voci di blocco o consenti esistenti per i file nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In questo esempio viene modificata la data di scadenza della voce di blocco di file specificata.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per rimuovere le voci per i file dall'elenco tenant consentiti/bloccati

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

  2. Selezionare la scheda File .

  3. Nella scheda File eseguire una delle operazioni seguenti:

    • Selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Elimina visualizzata.

    • Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato selezionare Elimina nella parte superiore del riquadro a comparsa.

      Consiglio

      Per visualizzare i dettagli sulle altre voci senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

  4. Nella finestra di dialogo di avviso visualizzata selezionare Elimina.

Nella scheda File la voce non è più elencata.

Consiglio

È possibile selezionare più voci selezionando ogni casella di controllo o selezionando tutte le voci selezionando la casella di controllo accanto all'intestazione di colonna Valore .

Usare PowerShell per rimuovere le voci per i file dall'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

In questo esempio viene rimosso il blocco di file specificato dall'elenco tenant consentiti/bloccati.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListItems.