Beskyttelse mot skadelig programvare i EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, beskyttes e-postmeldinger automatisk mot skadelig programvare av EOP. Noen av de viktigste kategoriene for skadelig programvare er:

• Virus som infiserer andre programmer og data, og sprer seg gjennom datamaskinen eller nettverket på jakt etter programmer som skal infiseres.
• Spionprogrammer som samler inn personlige opplysninger, for eksempel påloggingsinformasjon og personlige data, og sender dem tilbake til forfatteren.
• Løsepengevirus som krypterer dataene og krever betaling for å dekryptere dem. Programvare mot skadelig programvare hjelper deg ikke med å dekryptere krypterte filer, men den kan oppdage nyttelasten for skadelig programvare som er knyttet til løsepengeviruset.

EOP tilbyr beskyttelse mot skadelig programvare med flere lag som er utformet for å fange opp all kjent skadelig programvare i Windows, Linux og Mac som reiser inn i eller ut av organisasjonen. Følgende alternativer bidrar til å gi beskyttelse mot skadelig programvare:

• Lagvis forsvar mot skadelig programvare: Flere skannemotorer mot skadelig programvare bidrar til å beskytte mot både kjente og ukjente trusler. Disse motorene inkluderer kraftig heuristikk deteksjon for å gi beskyttelse selv i de tidlige stadiene av en malware utbrudd. Denne flermotors tilnærmingen har vist seg å gi betydelig mer beskyttelse enn å bruke bare én anti-malware motor.
• Trusselrespons i sanntid: Under enkelte utbrudd kan teamet for skadelig programvare ha nok informasjon om et virus eller en annen form for skadelig programvare til å skrive avanserte policyregler som oppdager trusselen, selv før en definisjon er tilgjengelig fra noen av skannemotorene som brukes av tjenesten. Disse reglene publiseres til det globale nettverket hver 2. time for å gi organisasjonen et ekstra lag med beskyttelse mot angrep.
• Distribusjon av fast anti-malware definisjon: Anti-malware teamet opprettholder nære relasjoner med partnere som utvikler anti-malware motorer. Som et resultat av dette kan tjenesten motta og integrere definisjoner og oppdateringer for skadelig programvare før de publiseres offentlig. Vår forbindelse med disse partnerne gjør det ofte mulig for oss å utvikle våre egne rettsmidler også. Tjenesten ser etter oppdaterte definisjoner for alle motorer for skadelig programvare hver time.

I EOP er meldinger som blir funnet å inneholde skadelig programvare i vedlegg , satt i karantene^*. Om mottakerne kan vise eller på annen måte samhandle med de karantenemeldinger styres av karantenepolicyer. Som standard kan meldinger som ble satt i karantene på grunn av skadelig programvare, bare vises og utgis av administratorer. Brukere kan ikke frigi sine egne meldinger om skadelig programvare i karantene, uavhengig av eventuelle tilgjengelige innstillinger som administratorer konfigurerer. Hvis du vil ha mer informasjon, kan du se følgende artikler:

^* Filtrering av skadelig programvare hoppes over i SecOps-postbokser som identifiseres i den avanserte leveringspolicyen. Hvis du vil ha mer informasjon, kan du se Konfigurere den avanserte leveringspolicyen for tredjeparts phishing-simuleringer og e-postlevering til SecOps-postbokser.

• Anatomi i en karantenepolicy
• Behandle meldinger og filer i karantene som administrator i EOP.

Policyer for skadelig programvare inneholder også et vanlig vedleggsfilter. Meldinger som inneholder de angitte filtypene, identifiseres automatisk som skadelig programvare. Hvis du vil ha mer informasjon, kan du se avsnittet Vanlige vedlegg i policyer for skadelig programvare senere i denne artikkelen.

Hvis du vil ha mer informasjon om beskyttelse mot skadelig programvare, kan du se vanlige spørsmål om beskyttelse mot skadelig programvare.

Hvis du vil konfigurere standard policy for beskyttelse mot skadelig programvare og opprette, endre og fjerne egendefinerte policyer for skadelig programvare, kan du se Konfigurere policyer for skadelig programvare. I standard og strenge forhåndsinnstilte sikkerhetspolicyer er policyinnstillingene for beskyttelse mot skadelig programvare allerede konfigurert og umodifiserbare som beskrevet i policyinnstillingene for beskyttelse mot skadelig programvare for EOP.

Tips

Hvis du er uenig i dommen over skadelig programvare, kan du rapportere meldingsvedlegget til Microsoft som en falsk positiv (godt vedlegg merket som dårlig) eller en falsk negativ (ugyldig vedlegg tillatt). Hvis du vil ha mer informasjon, kan du se Hvordan rapportere en mistenkelig e-post eller fil til Microsoft?.

Policyer mot skadelig programvare

Policyer for skadelig programvare kontrollerer konfigurerbare innstillinger og varslingsalternativer for gjenkjenning av skadelig programvare. De viktige innstillingene i policyer for beskyttelse mot skadelig programvare er beskrevet i følgende underområder.

Mottakerfiltre i policyer for skadelig programvare

Mottakerfiltre bruker betingelser og unntak for å identifisere de interne mottakerne som policyen gjelder for. Minst én betingelse kreves i egendefinerte policyer. Betingelser og unntak er ikke tilgjengelige i standardpolicyen (standardpolicyen gjelder for alle mottakere). Du kan bruke følgende mottakerfiltre for betingelser og unntak:

• Brukere: Én eller flere postbokser, e-postbrukere eller e-postkontakter i organisasjonen.
• Grupper:
  • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
  • Den angitte Microsoft 365 Groups.
• Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365. Mottakerens primære e-postadresse er i det angitte domenet.

Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier:

• Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

  • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
  • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

• Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

• Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

  • Brukere: romain@contoso.com
  • Grupper: Ledere

  Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

Vanlige vedleggsfilter i policyer for skadelig programvare

Det finnes visse typer filer som du egentlig ikke bør sende via e-post (for eksempel kjørbare filer). Hvorfor gidder du å skanne disse filtypene etter skadelig programvare når du bør blokkere dem alle likevel? Det er her det vanlige vedleggsfilteret kommer inn. Filtypene du angir, identifiseres automatisk som skadelig programvare.

En liste over standard filtyper brukes i standardpolicyen mot skadelig programvare, i egendefinerte policyer for skadelig programvare som du oppretter, og i policyer for skadelig programvare i standard- og strenge forhåndsinnstilte sikkerhetspolicyer.

I Microsoft Defender-portalen kan du velge fra en liste over flere filtyper eller legge til dine egne verdier når du oppretter eller endrer policyer for skadelig programvare i Microsoft Defender-portalen.

• Standard filtyper: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Flere filtyper du kan velge i Defender-portalen: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Når filer oppdages av det vanlige vedleggsfilteret, kan du velge å forkaste meldingen med en rapport om manglende levering (NDR) eller karantene.

Sann type samsvar i det vanlige vedleggsfilteret

Det vanlige vedleggsfilteret bruker beste forsøk på sann type matching for å oppdage filtypen, uavhengig av filtypen. Sann typesamsvar bruker filegenskaper til å bestemme den virkelige filtypen (for eksempel innledende og etterfølgende byte i filen). Hvis for eksempel en exe fil har fått nytt navn med filtypen txt , oppdager det vanlige vedleggsfilteret filen som en exe fil.

Sann type samsvar i det vanlige vedleggsfilteret støtter følgende filtyper:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Hvis sann typesamsvar mislykkes eller ikke støttes for filtypen, brukes enkel filtype.

Nulltimers automatisk tømming (ZAP) i policyer for skadelig programvare

ZAP for malware karantene meldinger som er funnet å inneholde malware etter at de har blitt levert til Exchange Online postbokser. ZAP for skadelig programvare er aktivert som standard, og vi anbefaler at du lar den være på. Hvis du vil ha mer informasjon, kan du se Nulltimers automatisk tømming (ZAP) for skadelig programvare.

Karantenepolicyer i policyer for skadelig programvare

Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Mottakere mottar som standard ikke varsler for meldinger som ble satt i karantene som skadelig programvare, og brukere kan ikke frigi sine egne meldinger om skadelig programvare i karantene, uavhengig av eventuelle tilgjengelige innstillinger som administratorer konfigurerer. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Admin varsler i policyer for skadelig programvare

Du kan angi en ekstra mottaker (en administrator) for å motta varsler om skadelig programvare som oppdages i meldinger fra interne eller eksterne avsendere. Du kan tilpasse fra-adressen, emnet og meldingsteksten for interne og eksterne varsler.

Disse innstillingene er ikke konfigurert i standardpolicyen for skadelig programvare som standard, eller i standard sikkerhetspolicyer for standard eller streng forhåndsinnstilte sikkerhetspolicyer.

Tips

Admin varsler sendes bare for vedlegg som er klassifisert som skadelig programvare.

Karantenepolicyen som er tilordnet policyen for skadelig programvare, avgjør om mottakerne mottar e-postvarsler for meldinger som ble satt i karantene som skadelig programvare.

Prioritet for policyer for skadelig programvare

Hvis de er aktivert, brukes standard- og strenge forhåndsinnstilte sikkerhetspolicyer før eventuelle egendefinerte policyer for skadelig programvare eller standardpolicyen (Streng er alltid først). Hvis du oppretter flere egendefinerte policyer for skadelig programvare, kan du angi rekkefølgen de skal brukes i. Policybehandlingen stopper etter at den første policyen er brukt (policyen med høyest prioritet for denne mottakeren).

Hvis du vil ha mer informasjon om prioritetsrekkefølgen og hvordan flere policyer evalueres, kan du se Rekkefølge og prioritet for e-postbeskyttelse og Prioritetsrekkefølge for forhåndsinnstilte sikkerhetspolicyer og andre policyer.

Standard policy for beskyttelse mot skadelig programvare

Hver organisasjon har en innebygd policy for skadelig programvare kalt Standard, som har følgende egenskaper:

• Policyen er standardpolicyen ( IsDefault-egenskapen har verdien True), og du kan ikke slette standardpolicyen.
• Policyen brukes automatisk for alle mottakere i organisasjonen, og du kan ikke deaktivere den.
• Policyen brukes alltid sist ( prioritetsverdien er lavest , og du kan ikke endre den).