Protezione anti-malware in EOPAnti-malware protection in EOP

Importante

Benvenuti in Microsoft Defender per Office 365, il nome nuovo di Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365, the new name for Office 365 Advanced Threat Protection. Qui sono disponibili altre informazioni su questo e altri aggiornamenti.Read more about this and other updates here. A breve aggiorneremo i nomi nei prodotti e nei documenti.We'll be updating names in products and in the docs in the near future.

In Microsoft 365 organizzazioni con cassette postali in Exchange Online o standalone Exchange Online Protection (EOP) organizzazioni senza cassette postali di Exchange Online, i messaggi di posta elettronica vengono protetti automaticamente da malware da EOP.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, email messages are automatically protected against malware by EOP. Alcune delle principali categorie di malware sono:Some of the major categories of malware are:

  • Virus che infettano altri programmi e dati e si distribuiscono tramite il computer o la rete in cerca di programmi da infettare.Viruses that infect other programs and data, and spread through your computer or network looking for programs to infect.

  • Lo spyware che raccoglie le informazioni personali, ad esempio le informazioni di accesso e i dati personali, e lo rinvia al relativo autore.Spyware that that gathers your personal information, such as sign-in information and personal data, and sends it back to its author.

  • Ransomware che crittografa i dati e richiede il pagamento per decrittografarlo.Ransomware that encrypts your data and demands payment to decrypt it. Il software antimalware non consente di decrittografare i file crittografati, ma è in grado di rilevare e rimuovere il payload di malware associato al ransomware.Anti-malware software doesn't help you decrypt encrypted files, but it can detect and remove the malware payload that's associated with the ransomware.

EOP offre una protezione antimalware a più livelli progettata per individuare tutti i malware noti che viaggiano all'interno o all'esterno dell'organizzazione.EOP offers multi-layered malware protection that's designed to catch all known malware traveling into or out of your organization. Le opzioni seguenti consentono di fornire protezione anti-malware:The following options help provide anti-malware protection:

  • Difese sovrapposte contro il malware: più motori di analisi antimalware aiutano a proteggere le minacce conosciute e sconosciute.Layered defenses against malware: Multiple anti-malware scan engines help protect against both known and unknown threats. Questi motori includono un potente rilevamento euristico per garantire la protezione anche durante le fasi iniziali di un'epidemia di malware.These engines include powerful heuristic detection to provide protection even during the early stages of a malware outbreak. Questo approccio a più motori è stato mostrato per garantire una maggiore protezione rispetto all'utilizzo di un solo motore antimalware.This multi-engine approach has been shown to provide significantly more protection than using just one anti-malware engine.

  • Risposta alle minacce in tempo reale: durante alcuni focolai, il team di antimalware può disporre di informazioni sufficienti su un virus o su un'altra forma di malware per scrivere regole di criteri sofisticate che rilevano la minaccia, anche prima che una definizione sia disponibile da qualsiasi motore di analisi utilizzato dal servizio.Real-time threat response: During some outbreaks, the anti-malware team may have enough information about a virus or other form of malware to write sophisticated policy rules that detect the threat, even before a definition is available from any of the scan engines used by the service. Queste regole vengono pubblicate nella rete globale ogni 2 ore per fornire alla propria organizzazione un ulteriore livello di protezione dagli attacchi.These rules are published to the global network every 2 hours to provide your organization with an extra layer of protection against attacks.

  • Fast anti-malware Definition Deployment: il team anti-malware gestisce relazioni strette con i partner che sviluppano motori antimalware.Fast anti-malware definition deployment: The anti-malware team maintains close relationships with partners who develop anti-malware engines. Di conseguenza, il servizio può ricevere e integrare definizioni di malware e patch prima che vengano pubblicamente rilasciate.As a result, the service can receive and integrate malware definitions and patches before they're publicly released. La nostra connessione con questi partner spesso ci consente di sviluppare anche i propri rimedi.Our connection with these partners often allows us to develop our own remedies as well. Il servizio verifica la definizione di definizioni aggiornate per tutti i motori antimalware ogni ora.The service checks for updated definitions for all anti-malware engines every hour.

In EOP, i messaggi trovati per contenere malware in tutti gli allegati vengono messi in quarantena e possono essere rilasciati solo dalla quarantena da parte di un amministratore. Per ulteriori informazioni, vedere gestire i messaggi e i file in quarantena come amministratore in EOP.In EOP, messages that are found to contain malware in any attachments are quarantined, and can only be released from quarantine by an admin. For more information, see Manage quarantined messages and files as an admin in EOP.

Per ulteriori informazioni sulla protezione antimalware, vedere le domande frequenti sulla protezione anti-malware.For more information about anti-malware protection, see the Anti-malware protection FAQ.

Per configurare i criteri anti-malware, vedere Configure anti-malware Policies.To configure anti-malware policies, see Configure anti-malware policies.

Per inviare malware a Microsoft, vedere segnalare i messaggi e i file a Microsoft.To submit malware to Microsoft, see Report messages and files to Microsoft.

Criteri anti-malwareAnti-malware policies

I criteri anti-malware controllano le impostazioni e le opzioni di notifica per i rilevamenti di malware.Anti-malware policies control the settings and notification options for malware detections. Le impostazioni importanti nei criteri anti-malware sono le seguenti:The important settings in anti-malware policies are:

  • Notifiche dei destinatari: per impostazione predefinita, al destinatario del messaggio non è stato detto che un messaggio destinato ad essi è stato messo in quarantena a causa di malware.Recipient notifications: By default, a message recipient isn't told that a message intended for them was quarantined due to malware. Tuttavia, è possibile abilitare le notifiche dei destinatari nel modo in cui viene recapitato il messaggio originale con tutti gli allegati rimossi e sostituiti da un singolo file denominato Malware Alert Text.txt che contiene il testo seguente:But, you can enable recipient notifications in the form of delivering the original message with all attachments removed and replaced by a single file named Malware Alert Text.txt that contains the following text:

    Il malware è stato rilevato in uno o più allegati inclusi in questo messaggio di posta elettronica.Malware was detected in one or more attachments included with this email message.
    Azione: tutti gli allegati sono stati rimossi.Action: All attachments have been removed.
    <Original malware attachment name> <Malware detection result><Original malware attachment name> <Malware detection result>

    È possibile sostituire il testo predefinito nel file di avviso di Malware Text.txt con il testo personalizzato.You can replace the default text in the Malware Alert Text.txt file with your own custom text.

  • Filtro dei tipi di allegati comuni: esistono alcuni tipi di file che non è necessario inviare tramite posta elettronica (ad esempio, file eseguibili).Common Attachment Types Filter: There are certain types of files that you really shouldn't send via email (for example, executable files). Perché preoccuparsi di analizzare questo tipo di file per il malware, quando probabilmente è possibile bloccarli tutti, in ogni caso?Why bother scanning these type of files for malware, when you should probably block them all, anyway? È la posizione in cui viene utilizzato il filtro dei tipi di allegati comuni.That's where the Common Attachment Types Filter comes in. È disabilitata per impostazione predefinita, ma quando viene abilitata, i tipi di file specificati vengono considerati automaticamente come malware.It's disabled by default, but when you enable it, the file types you specify are automatically treated as malware. È possibile utilizzare l'elenco predefinito dei tipi di file o personalizzare l'elenco.You can use the default list of file types or customize the list. I tipi di file predefiniti sono i seguenti:The default file types are:

    • . Ace.ace
    • . ani.ani
    • . app.app
    • .docm.docm
    • . exe.exe
    • . jar.jar
    • . reg.reg
    • . SCR.scr
    • . vbe.vbe
    • . vbs.vbs

    Il filtro dei tipi di allegati comuni utilizza il massimo sforzo per la digitazione vera per rilevare il tipo di file indipendentemente dall'estensione del nome di file.The Common Attachment Types Filter uses best effort true-typing to detect the file type regardless of the file name extension. Se la digitazione vera ha esito negativo o non è supportata per il tipo di file specificato, viene utilizzata la corrispondenza dell'estensione semplice.If true-typing fails or isn't supported for the specified file type, then simple extension matching is used.

  • Malware zero-hour auto Purge (ZAP): il malware zap mette in quarantena i messaggi che sono stati trovati per contenere malware dopo che sono stati recapitati alle cassette postali di Exchange Online.Malware zero-hour auto purge (ZAP): Malware ZAP quarantines messages that are found to contain malware after they've been delivered to Exchange Online mailboxes. Per impostazione predefinita, il malware ZAP è attivato e si consiglia di lasciarlo acceso.By default, malware ZAP is on, and we recommend that you leave it on.

  • Notifiche mittente: per impostazione predefinita, al mittente del messaggio non è stato detto che il messaggio è stato messo in quarantena a causa di malware.Sender notifications: By default, a message sender isn't told that their message was quarantined due to malware. Tuttavia, è possibile abilitare i messaggi di notifica per i mittenti in base al fatto che il mittente sia interno o esterno.But, you can enabled notification messages for senders based on whether the sender is internal or external. Il messaggio di notifica predefinito è simile al seguente:The default notification message looks like this:

    From: postmaster postmaster@ <defaultdomain> . comFrom: Postmaster postmaster@<defaultdomain>.com
    Oggetto: messaggio non recapitabileSubject: Undeliverable message

    TIl messaggio è stato creato automaticamente dal software di recapito della posta.This message was created automatically by mail delivery software. Il messaggio di posta elettronica non è stato consegnato ai destinatari previsti perché è stato rilevato del malware.Your email message was not delivered to the intended recipients because malware was detected. Tutti gli allegati sono stati eliminati.All attachments were deleted.

    ---Ulteriori informazioni---:--- Additional Information ---:

    Oggetto: <message subject>Subject: <message subject>
    Mittente <message sender>Sender: <message sender>

    Tempo ricevuto: <date/time>Time received: <date/time>
    ID messaggio: <message id>Message ID: <message id>
    Rilevamenti trovati:Detections found:
    <attachment name> <malware detection result><attachment name> <malware detection result>

    È possibile personalizzare l' Indirizzo, l' oggettoe il testo del messaggio per le notifiche interne ed esterne.You can customize the From address, subject, and message text for internal and external notifications.

    È inoltre possibile specificare un altro destinatario (un amministratore) per ricevere le notifiche per i malware rilevati nei messaggi provenienti da mittenti interni o esterni.You can also specify an additional recipient (an admin) to receive notifications for malware detected in messages from internal or external senders.

  • Filtri destinatario: per i criteri antimalware personalizzati, è possibile specificare le condizioni e le eccezioni dei destinatari che determinano gli utenti a cui si applica il criterio.Recipient filters: For custom anti-malware policies, you can specify recipient conditions and exceptions that determine who the policy applies to. È possibile utilizzare queste proprietà per le condizioni e le eccezioni:You can use these properties for conditions and exceptions:

    • Il destinatario èThe recipient is
    • Il dominio del destinatario èThe recipient domain is
    • Il destinatario è un membro diThe recipient is a member of

    È possibile utilizzare solo un'eccezione una volta, ma la condizione o l'eccezione può contenere più valori.You can only use a condition or exception once, but the condition or exception can contain multiple values. Più valori della stessa condizione o eccezione utilizzano la logica OR (ad esempio, <recipient1> o <recipient2>).Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2>). Condizioni o eccezioni diverse utilizzano la logica AND (ad esempio, <recipient1> e <member of group 1>).Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1>).

  • Priorità: se si creano più criteri antimalware personalizzati, è possibile specificare l'ordine in cui sono stati applicati.Priority: If you create multiple custom anti-malware policies, you can specify the order that they're applied. Nessun criterio può avere la stessa priorità e l'elaborazione dei criteri termina dopo l'applicazione del primo criterio.No two policies can have the same priority, and policy processing stops after the first policy is applied.

    Per altre informazioni sull'ordine di precedenza e su come vengono valutati e applicati multipli criteri, vedere Ordine e precedenza della protezione della posta elettronica.For more information about the order of precedence and how multiple policies are evaluated and applied, see Order and precedence of email protection.

Criteri anti-malware nel centro sicurezza & Compliance vs PowerShellAnti-malware policies in the Security & Compliance Center vs PowerShell

Gli elementi di base di un criterio antimalware sono:The basic elements of an anti-malware policy are:

  • Il criterio di filtro antimalware: specifica la notifica del destinatario, la notifica del mittente e dell'amministratore, lo zap e le impostazioni del filtro dei tipi di allegati comuni.The malware filter policy: Specifies the recipient notification, sender and admin notification, ZAP, and the Common Attachment Types Filter settings.
  • Regola di filtro antimalware: specifica la priorità e i filtri destinatario (a chi si applica il criterio) per un criterio di filtro antimalware.The malware filter rule: Specifies the priority and recipient filters (who the policy applies to) for a malware filter policy.

La differenza tra questi due elementi non è ovvia quando si gestiscono i criteri antimalware nel centro sicurezza & Compliance:The difference between these two elements isn't obvious when you manage anti-malware polices in the Security & Compliance Center:

  • Quando si crea un criterio antimalware, si sta effettivamente creando una regola di filtro antimalware e il criterio di filtro antimalware associato contemporaneamente utilizzando lo stesso nome per entrambi.When you create an anti-malware policy, you're actually creating a malware filter rule and the associated malware filter policy at the same time using the same name for both.

  • Quando si modifica un criterio antimalware, le impostazioni relative ai filtri nome, priorità, abilitato o disabilitato e destinatario modificano la regola di filtro malware.When you modify an anti-malware policy, settings related to the name, priority, enabled or disabled, and recipient filters modify the malware filter rule. Altre impostazioni (notifica destinatario, notifica mittente e amministratore, ZAP e filtro tipi di allegati comuni) modificare il criterio di filtro antimalware associato.Other settings (recipient notification, sender and admin notification, ZAP, and the Common Attachment Types Filter) modify the associated malware filter policy.

  • Quando si rimuove un criterio antimalware, la regola di filtro antimalware e i criteri di filtro malware associati vengono rimossi.When you remove an anti-malware policy, the malware filter rule and the associated malware filter policy are removed.

In Exchange Online PowerShell o standalone EOP PowerShell, la differenza tra i criteri di filtro antimalware e le regole di filtro antimalware è evidente.In Exchange Online PowerShell or standalone EOP PowerShell, the difference between malware filter policies and malware filter rules is apparent. Gestire i criteri di filtro antimalware utilizzando il cmdlet *-MalwareFilterPolicy e gestire le regole di filtro antimalware utilizzando il cmdlet *-MalwareFilterRule.You manage malware filter policies by using the *-MalwareFilterPolicy cmdlets, and you manage malware filter rules by using the *-MalwareFilterRule cmdlets.

  • In PowerShell, creare innanzitutto il criterio di filtro antimalware, quindi creare la regola di filtro antimalware che identifica il criterio a cui si applica la regola.In PowerShell, you create the malware filter policy first, then you create the malware filter rule that identifies the policy that the rule applies to.
  • In PowerShell, è possibile modificare le impostazioni nel criterio di filtro antimalware e la regola di filtro antimalware separatamente.In PowerShell, you modify the settings in the malware filter policy and the malware filter rule separately.
  • Quando si rimuove un criterio di filtro antimalware da PowerShell, la regola di filtro antimalware corrispondente non viene rimossa automaticamente e viceversa.When you remove a malware filter policy from PowerShell, the corresponding malware filter rule isn't automatically removed, and vice versa.

Criteri anti-malware predefinitiDefault anti-malware policy

Ogni organizzazione dispone di un criterio antimalware incorporato denominato default con queste proprietà:Every organization has a built-in anti-malware policy named Default that has these properties:

  • Il criterio viene applicato a tutti i destinatari dell'organizzazione, anche se non è presente una regola di filtro antimalware (filtri destinatario) associata al criterio.The policy is applied to all recipients in the organization, even though there's no malware filter rule (recipient filters) associated with the policy.

  • Il valore personalizzato della priorità del criterio è Minore e non può essere modificato (il criterio viene sempre applicato per ultimo).The policy has the custom priority value Lowest that you can't modify (the policy is always applied last). Tutti i criteri anti-malware personalizzati creati hanno sempre una priorità più alta rispetto al criterio denominato default.Any custom anti-malware policies that you create always have a higher priority than the policy named Default.

  • Il criterio è quello predefinito (la proprietà IsDefault contiene il valore True), e non è possibile eliminarlo.The policy is the default policy (the IsDefault property has the value True), and you can't delete the default policy.