Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.
Si applica a
- Exchange Online Protection
- Microsoft Defender per Office 365 (piano 1) e piano 2
- Microsoft Defender XDR
Questo articolo fornisce domande frequenti e risposte sulla protezione antimalware per le organizzazioni di Microsoft 365 con cassette postali in Exchange Online o organizzazioni autonome Exchange Online Protection (EOP) senza cassette postali Exchange Online.
Per domande e risposte sulla quarantena, vedere Domande frequenti sulla quarantena.
Per domande e risposte sulla protezione dalla posta indesiderata, vedere Domande frequenti sulla protezione dalla posta indesiderata.
Per domande e risposte sulla protezione anti-spoofing, vedere Domande frequenti sulla protezione anti-spoofing.
Quali sono le procedure consigliate per la configurazione e l'utilizzo del servizio per eliminare il malware?
Con quale frequenza vengono aggiornate le definizioni dei malware?
Ogni server verifica la disponibilità di nuove definizioni di malware dei partner antimalware ogni ora.
Quanti partner antimalware sono disponibili? È possibile scegliere i motori antimalware da utilizzare?
Abbiamo partnership con più provider di tecnologia antimalware. I messaggi vengono analizzati con i motori antimalware Microsoft, un motore aggiuntivo basato su firma e analisi della reputazione di URL e file da più origini. I nostri partner sono soggetti a modifiche, ma EOP usa sempre la protezione antimalware da più partner. Non è possibile scegliere un motore antimalware rispetto a un altro.
A quali elementi si applica l'analisi antimalware?
Viene analizzata la ricerca di malware nei messaggi inviati o inviati da una cassetta postale (messaggi in transito). Per Exchange Online cassette postali, è disponibile anche l'eliminazione automatica a zero ore (ZAP) per l'analisi dei messaggi che sono già stati recapitati. Se si invia nuovamente un messaggio da una cassetta postale, viene di nuovo analizzato (perché è in transito).
Se si modifica a un criterio antimalware, quanto tempo occorre prima che le modifiche salvate diventino effettive?
L'applicazione delle modifiche potrebbe richiedere fino a 1 ora.
Il servizio esegue l'analisi dei messaggi interni per rilevare la presenza di malware?
Per le organizzazioni con cassette postali Exchange Online, il servizio analizza il malware in tutti i messaggi in ingresso e in uscita, inclusi i messaggi inviati tra destinatari interni.
Una sottoscrizione EOP autonoma analizza i messaggi durante l'immissione o l'uscita dall'organizzazione di posta elettronica locale. I messaggi inviati tra destinatari locali interni non vengono analizzati per individuare il malware. Tuttavia, è possibile usare le funzionalità di analisi antimalware predefinite di Exchange Server. Per altre informazioni, vedere Protezione antimalware in Exchange Server.
La funzione di analisi euristica è attivata su tutti i motori antimalware utilizzati dal servizio?
Sì. L'analisi euristica analizza sia il malware noto (corrispondenza della firma) che quello sconosciuto (sospetto).
Il servizio è in grado di analizzare i file compressi (ad esempio, i file in formato .zip)?
Sì. I motori antimalware possono eseguire il drill-in di file compressi (archivio).
L'analisi degli allegati compressi supporta l'analisi ricorsiva (.zip all'interno di un .zip all'interno di un .zip) e, in caso affermativo, quanto è profonda?
Sì, l'analisi ricorsiva dei file compressi analizza molti livelli in profondità.
Il servizio funziona con versioni legacy di Exchange e ambienti non Exchange?
Sì, il servizio è indipendente rispetto al server.
Che cos'è un virus zero-day e come viene gestito dal servizio?
Un virus zero-day è una prima generazione, variante precedentemente sconosciuta di malware che non è mai stato acquisito o analizzato.
Dopo che un campione di virus di zero giorni viene acquisito e analizzato dai motori antimalware, viene creata una definizione e una firma univoca per rilevare il malware.
Quando esiste una definizione o una firma per il malware, non è più considerato zero-day.
Come è possibile configurare il servizio per bloccare file eseguibili specifici (ad esempio \*.exe) che potrebbero contenere malware?
È possibile abilitare e configurare il filtro degli allegati comuni (noto anche come blocco degli allegati comuni) come descritto in Filtro allegati comuni nei criteri antimalware.
È anche possibile creare una regola del flusso di posta di Exchange (nota anche come regola di trasporto) che blocca qualsiasi allegato di posta elettronica con contenuto eseguibile.
Seguire la procedura descritta in Come ridurre le minacce malware tramite il blocco di file allegati in Exchange Online Protection per bloccare i tipi di file elencati in Tipi di file supportati per l'ispezione del contenuto delle regole del flusso di posta in Exchange Online.
Per una maggiore protezione, è anche consigliabile usare l'estensione Any attachment file include queste parole nelle regole del flusso di posta per bloccare alcune o tutte le estensioni seguenti: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Perché un malware specifico ha superato i filtri?
Il malware ricevuto è una nuova variante (vedere Che cos'è un virus zero-day e come viene gestito dal servizio?). Il tempo necessario per un aggiornamento delle definizioni di malware dipende dai partner antimalware.
Tenere presente che nessuna impostazione configurabile dall'utente o dall'amministratore può escludere gli allegati di posta elettronica dall'analisi tramite protezione antimalware.
Come posso inviare malware che ha superato i filtri a Microsoft? In che modo è possibile inviare un file che, a parere dell'utente, è stato erroneamente identificato come malware?
Ho ricevuto un messaggio di posta elettronica con un allegato sconosciuto. Si tratta di malware o posso ignorare l'allegato?
Ti consigliamo vivamente di non aprire alcun allegato che non riconosci. Per analizzare l'allegato, segnalare il file a Microsoft.
Dove è possibile ottenere i messaggi eliminati dai filtri malware?
I messaggi contengono codice dannoso attivo e pertanto non è consentito l'accesso a questi messaggi. Sono eliminati senza tante cerimonie.
Non sono in grado di ricevere un allegato specifico perché viene erroneamente identificato come malware. È possibile consentire l'accesso a questo allegato tramite regole del flusso di posta?
No. Non è possibile usare le regole del flusso di posta di Exchange per ignorare il filtro malware. L'unico modo per ignorare il filtro malware per un destinatario consiste nell'identificare la cassetta postale come cassetta postale SecOps. Per altre informazioni, vedere Usare il portale di Microsoft Defender per configurare le cassette postali SecOps nei criteri di recapito avanzati.
È possibile ottenere dati di report sui rilevamenti di malware?
Sì, è possibile accedere ai report nel portale di Microsoft Defender. Per altre informazioni, vedere Visualizzare i report di sicurezza della posta elettronica nel portale di Microsoft Defender.
È disponibile uno strumento da utilizzare per seguire un messaggio di rilevamento malware tramite il servizio?
Sì, lo strumento di traccia dei messaggi consente di seguire i messaggi di posta elettronica che transitano attraverso il servizio. Per altre informazioni su come usare lo strumento di traccia dei messaggi per scoprire perché un messaggio è stato rilevato per contenere malware, vedere Traccia dei messaggi nell'interfaccia di amministrazione di Exchange moderna.
È possibile usare un provider di protezione da posta indesiderata e antimalware di terze parti con Exchange Online?
Sì. Nella maggior parte dei casi, è consigliabile indirizzare i record MX a (ovvero recapitare la posta elettronica direttamente a) EOP. Se è necessario instradare prima la posta elettronica in un altro punto, è necessario abilitare il filtro avanzato per i connettori in modo che EOP possa usare la vera origine dei messaggi nelle decisioni di filtro.
I messaggi di posta indesiderata e malware vengono analizzati da coloro a cui sono indirizzati o vengono trasferiti a entità giudiziarie?
Il servizio si concentra sul rilevamento e sulla rimozione di posta indesiderata e malware, tuttavia occasionalmente ci occupiamo di analizzare campagne di attacco o posta indesiderata specialmente pericolose e dannose e di perseguire gli autori.
Spesso collaboriamo con le nostre unità criminali legali e digitali per intraprendere le azioni seguenti:
- Abbatti una botnet di spam.
- Impedire a un utente malintenzionato di usare il servizio.
- Trasmettere le informazioni alle forze dell'ordine per l'azione penale.