הגנה מפני תוכנות זדוניות ב- EOP

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, הודעות דואר אלקטרוני מוגנות באופן אוטומטי מפני תוכנות זדוניות על-ידי EOP. להלן כמה מהקטגוריות העיקריות של תוכנות זדוניות:

• וירוסים שמדביקים תוכניות ונתונים אחרים, מתפשטים במחשב או ברשת ומחפשים תוכניות להדבקה.
• תוכנות ריגול שלאסוף את המידע האישי שלך, כגון פרטי כניסה ונתונים אישיים, ושולחות אותו בחזרה למחבר שלה.
• תוכנת כופר שמצפינה את הנתונים שלך ודורשת תשלום כדי לפענח אותם. תוכנה נגד תוכנות זדוניות אינה מסייעת לך לפענח קבצים מוצפנים, אך היא יכולה לזהות את תוכן המנה של התוכנה הזדונית המשויך לתוכנות הכופר.

EOP מציע הגנה רב-שכבתית מפני תוכנות זדוניות שתוכננה ללכוד את כל התוכנות הזדוניות הידועות ב- Windows, Linux ו- Mac שנוהצות אל הארגון שלך או מתוכן. האפשרויות הבאות עוזרות לספק הגנה נגד תוכנות זדוניות:

• הגנה בשכבות מפני תוכנות זדוניות: מנועי סריקה מרובים נגד תוכנות זדוניות עוזרים להגן מפני איומים ידועים ולא ידועים. מנועים אלה כוללים זיהוי הטוריסטי רב-עוצמה כדי לספק הגנה גם בשלבים המוקדמים של התפרצות תוכנה זדונית. גישה זו של ריבוי מנועים הוצגה כדי לספק הגנה משמעותית יותר מאשר שימוש במנוע אחד בלבד למניעת תוכנות זדוניות.
• תגובה לאיום בזמן אמת: במהלך התפרצויות מסוימות, ייתכן שלצוות למניעת תוכנות זדוניות יהיה מספיק מידע אודות וירוס או תוכנות זדוניות כדי לכתוב כללי מדיניות מתוחכמים המזהים את האיום, אפילו לפני שהגדרה זמינה מכל מנועי הסריקה שבהם משתמש השירות. כללים אלה מתפרסמת ברשת הגלובלית כל שעתיים כדי לספק לארגון שלך שכבה נוספת של הגנה מפני התקפות.
• פריסה מהירה של הגדרות נגד תוכנות זדוניות: הצוות נגד תוכנות זדוניות שומר על קשרי גומלין קרובים עם שותפים שפותחים מנועים למניעת תוכנות זדוניות. כתוצאה מכך, השירות יכול לקבל ולשלב הגדרות ותיקונים של תוכנות זדוניות לפני ההפצה הציבורית שלהם. החיבור שלנו עם שותפים אלה מאפשר לנו לעתים קרובות לפתח תרופות משלנו גם כן. השירות בודק אם קיימים הגדרות מעודכנות עבור כל המנועים למניעת תוכנות זדוניות מדי שעה.

ב- EOP, הודעות שנמצאות מכילות תוכנות זדוניות בכל הקבצים המצורפים בהסגר^*. אם הנמענים יכולים להציג או לקיים אינטראקציה אחרת עם ההודעות בהסגר נשלטות על-ידי מדיניות ההסגר. כברירת מחדל, רק מנהלי מערכת יכולים להציג ולשוחרר הודעות שהועברו להסגר עקב תוכנות זדוניות. המשתמשים אינם יכולים לשחרר הודעות תוכנה זדוניות בהסגר משלהם, ללא קשר להגדרות הזמינות שמנהלי מערכת קובעים. לקבלת מידע נוסף, עיין במאמרים הבאים:

^* המערכת מדלגת על סינון תוכנות זדוניות בתיבות דואר של SecOps המזוהות במדיניות המסירה המתקדמות. לקבלת מידע נוסף, ראה קביעת התצורה של מדיניות המסירה המתקדמות עבור הדמיות דיוג ומסירת דואר אלקטרוני של ספקים חיצוניים לתיבות דואר של SecOps.

• האנטומיה של מדיניות ההסגר
• נהל הודעות וקבצים בהסגר כמנהל מערכת ב- EOP.

פריטי מדיניות למניעת תוכנות זדוניות מכילים גם מסנן קבצים מצורפים נפוץ. הודעות המכילות את סוגי הקבצים שצוינו מזוהות באופן אוטומטי כתוכנות זדוניות. לקבלת מידע נוסף, עיין בסעיף מסנן קבצים מצורפים נפוצים במדיניות למניעת תוכנות זדוניות בהמשך מאמר זה.

לקבלת מידע נוסף על הגנה מפני תוכנות זדוניות, ראה שאלות נפוצות בנושא הגנה מפני תוכנות זדוניות.

כדי לקבוע את התצורה של מדיניות ברירת המחדל למניעת תוכנות זדוניות, וליצור, לשנות ולהסיר פריטי מדיניות מותאמים אישית למניעת תוכנות זדוניות, ראה קביעת תצורה של מדיניות למניעת תוכנות זדוניות. במדיניות האבטחה הקבועה מראש הרגילה והקפדן , הגדרות המדיניות נגד תוכנות זדוניות כבר מוגדרות ולא ניתנות לעריכה כמתואר בהגדרות מדיניות נגד תוכנות זדוניות של EOP.

עצה

אם אינך מסכים עם גזר הדין של התוכנה הזדונית, באפשרותך לדווח על הקובץ המצורף להודעה ל- Microsoft כתוצאה חיובית מוטעית (קובץ מצורף טוב מסומן כקובץ שגוי) או כקובץ שלילי מוטעה (ניתן להוסיף קובץ מצורף שגוי). לקבלת מידע נוסף, ראה כיצד ניתן לבצע על הודעת דואר אלקטרוני או קובץ חשודים ל- Microsoft?.

מדיניות נגד תוכנות זדוניות

מדיניות נגד תוכנות זדוניות שולטת בהגדרות ובאפשרויות ההודעות הניתנות להגדרה עבור זיהוי תוכנות זדוניות. ההגדרות החשובות במדיניות למניעת תוכנות זדוניות מתוארות בסעיףי המשנה הבאים.

מסנני נמענים במדיניות למניעת תוכנות זדוניות

מסנני נמענים משתמשים בתנאים ובחליגות כדי לזהות את הנמענים הפנימיים שבהם המדיניות חלה. תנאי אחד לפחות נדרש במדיניות מותאמת אישית. תנאים חריגים אינם זמינים במדיניות ברירת המחדל (מדיניות ברירת המחדל חלה על כל הנמענים). באפשרותך להשתמש במסנני הנמענים הבאים לקבלת תנאים והגדרות חריגות:

• משתמשים: תיבת דואר אחת או יותר, משתמשי דואר או אנשי קשר של דואר בארגון.
• קבוצות:
  • חברים בקבוצות התפוצה שצוינו או בקבוצות אבטחה מותאמות דואר (קבוצות תפוצה דינאמיות אינן נתמכות).
  • הטבלה שצוינה קבוצות Microsoft 365.
• תחומים: אחד או יותר מהתחום המקובל שתצורתו נקבעה ב - Microsoft 365. כתובת הדואר האלקטרוני הראשית של הנמען נמצאת בתחום שצוין.

באפשרותך להשתמש בתנאי או בחריגה פעם אחת בלבד, אך התנאי או החריגה יכולים להכיל ערכים מרובים:

• ערכים מרובים מאותו תנאי או של חריגה משתמשים בלוגיקה OR (לדוגמה, <recipient1> או <recipient2>):

  • תנאים: אם הנמען תואם לערכים שצוינו, המדיניות מוחלת עליהם.
  • חריגות: אם הנמען תואם לערכים שצוינו, המדיניות אינה מוחלת עליהם.

• סוגים שונים של חריגים משתמשים בלוגיקה OR (לדוגמה, <recipient1><או חבר בקבוצה1>או< חבר בתחום1>). אם הנמען תואם אחד מערכי החריגה שצוינו, המדיניות אינה מוחלת עליהם.

• סוגים שונים של תנאים משתמשים בלוגיקה AND. הנמען חייב להתאים לכל התנאים שצוינו כדי שהמדיניות תחול עליהם. לדוגמה, עליך לקבוע תצורה של תנאי עם הערכים הבאים:

  • משתמשים: romain@contoso.com
  • קבוצות: מנהלים

  המדיניות חלה romain@contoso.comרק אם הוא גם חבר בקבוצת המנהלים. אחרת, המדיניות לא תחול עליו.

מסנן קבצים מצורפים נפוצים במדיניות למניעת תוכנות זדוניות

קיימים סוגים מסוימים של קבצים שאינך אמור לשלוח בדואר אלקטרוני (לדוגמה, קבצי הפעלה). מדוע לטרוח לסרוק סוגים אלה של קבצים לאיתור תוכנות זדוניות כאשר עליך לחסום את כולם, בכל זאת? זה המקום שבו מגיע מסנן הקבצים המצורפים הנפוצים. סוגי הקבצים שתציין מזוהים באופן אוטומטי כתוכנות זדוניות.

רשימה של סוגי קבצים המהווים ברירת מחדל נמצאת בשימוש במדיניות ברירת המחדל למניעת תוכנות זדוניות, במדיניות מותאמת אישית למניעת תוכנות זדוניות שאתה יוצר, ובמדיניות למניעת תוכנות זדוניות במדיניות האבטחה הקבועה מראש הרגילה והקפדן.

בפורטל Microsoft Defender, באפשרותך לבחור מתוך רשימה של סוגי קבצים נוספים או להוסיף ערכים משלך בעת יצירה או שינוי של מדיניות למניעת תוכנות זדוניות בפורטל Microsoft Defender.

• סוגי קבצים המוגדרים כברירת מחדל: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• סוגי קבצים נוספים לבחירה בפורטל Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

כאשר מסנן הקבצים המצורפים מזוהה, באפשרותך לבחור לדחות את ההודעה באמצעות דוח אי-מסירה (NDR) או להעביר להסגר את ההודעה.

התאמה לסוג True במסנן הקבצים המצורפים הנפוצים

מסנן הקבצים המצורפים המשותף משתמש בסוג אמיתי של מאמץ מיטבי כדי לזהות את סוג הקובץ, ללא קשר לסיומת שם הקובץ. התאמת סוגים True משתמשת במאפייני הקובץ כדי לקבוע את סוג הקובץ האמיתי (לדוגמה, בתים מובילים ו נגררים בקובץ). לדוגמה, אם שם exe הקובץ משתנה עם txt סיומת שם קובץ, מסנן הקבצים המצורפים הנפוצים מזהה את הקובץ כקובץ exe .

התאמה לסוג True במסנן הקבצים המצורפים הנפוצים תומכת בסוגי הקבצים הבאים:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

אם התאמת סוג True נכשלת או אינה נתמכת עבור סוג הקובץ, נעשה שימוש בהתאימות סיומת פשוטה.

מחיקה אוטומטית של אפס שעות (ZAP) במדיניות נגד תוכנות זדוניות

ZAP עבור תוכנות זדוניות מבודד הודעות שנמצאו מכילות תוכנות זדוניות לאחר שהן מועברות Exchange Online הדואר. כברירת מחדל, ZAP עבור תוכנות זדוניות מופעל, ואנו ממליצים להשאיר אותו מופעל. לקבלת מידע נוסף, ראה מחיקה אוטומטית של אפס שעות (ZAP) עבור תוכנות זדוניות.

מדיניות הסגר במדיניות למניעת תוכנות זדוניות

פריטי מדיניות להסגר מגדירים את הפעולות שמשתמשים יכולים לבצע בהודעות בהסגר, ואם משתמשים מקבלים הודעות להסגר. כברירת מחדל, נמענים אינם מקבלים הודעות על הודעות שהועברו להסגר כתוכנות זדוניות, והמשתמשים אינם יכולים לשחרר הודעות משלהם להסגר של תוכנות זדוניות, ללא קשר להגדרות הזמינות שמנהלי מערכת קובעים. לקבלת מידע נוסף, ראה האנטומיה של מדיניות ההסגר.

מרכז הניהול מדיניות נגד תוכנות זדוניות

באפשרותך לציין נמען נוסף (מנהל מערכת) לקבלת הודעות לגבי תוכנות זדוניות שזוהו בהודעות משולחים פנימיים או חיצוניים. באפשרותך להתאים אישית את הטקסט כתובת,נושאוהודעה של 'מ' עבור הודעות פנימיות והודעות חיצוניות.

הגדרות אלה אינן מוגדרות במדיניות ברירת המחדל למניעת תוכנות זדוניות כברירת מחדל, או במדיניות האבטחה הקבועה מראש הרגילה או הקפדה.

עצה

מרכז הניהול הודעות נשלחות רק עבור קבצים מצורפים המסווגים כתוכנות זדוניות.

מדיניות ההסגר שהוקצתה למדיניות למניעת תוכנות זדוניות קובעת אם נמענים מקבלים הודעות דואר אלקטרוני עבור הודעות שהועברו להסגר כתוכנות זדוניות.

עדיפות של מדיניות נגד תוכנות זדוניות

אם הם מופעלים, מדיניות האבטחה הקבועה מראש Standard ו- Strict מוחלת לפני כל מדיניות מותאמת אישית למניעת תוכנות זדוניות או מדיניות ברירת המחדל (הקפדה תמיד תהיה ראשונה). אם אתה יוצר פריטי מדיניות מותאמים אישית מרובים למניעת תוכנות זדוניות, באפשרותך לציין את הסדר שבו הם מוחלים. עיבוד המדיניות מפסיק לאחר החלת המדיניות הראשונה (מדיניות העדיפות הגבוהה ביותר עבור נמען זה).

לקבלת מידע נוסף אודות סדר הקדימות ואופן ההערכה של פריטי מדיניות מרובים, ראה סדר וקדימות של הגנה על דואר אלקטרוני ו סדר קדימות עבור מדיניות אבטחה קבועה מראש ומדיניות אחרת.

מדיניות ברירת מחדל למניעת תוכנות זדוניות

לכל ארגון יש מדיניות מוכללת למניעת תוכנות זדוניות בשם Default הכוללת את המאפיינים הבאים:

• המדיניות היא מדיניות ברירת המחדל ( המאפיין IsDefault מכיל את הערך True) ולא ניתן למחוק את מדיניות ברירת המחדל.
• המדיניות מוחלת באופן אוטומטי על כל הנמענים בארגון, ולא ניתן לבטל אותה.
• המדיניות מוחלת תמיד אחרונה (ערך העדיפות הוא הנמוך ביותר ולא ניתן לשנות אותו).