Beskyttelse mot skadelig programvare i EOP

Obs!

Vil du prøve Microsoft 365 Defender? Finn ut mer om hvordan du kan evaluere og prøve ut Microsoft 365 Defender.

Gjelder for

I Microsoft 365 organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, beskyttes e-postmeldinger automatisk mot skadelig programvare av EOP. Noen av de viktigste kategoriene for skadelig programvare er:

  • Virus som infiserer andre programmer og data, og sprer seg gjennom datamaskinen eller nettverket på jakt etter programmer som skal infiseres.
  • Spionprogrammer som samler inn personlige opplysninger, for eksempel påloggingsinformasjon og personlige data, og sender dem tilbake til forfatteren.
  • Løsepengevirus som krypterer dataene og krever betaling for å dekryptere dem. Programvare mot skadelig programvare hjelper deg ikke med å dekryptere krypterte filer, men den kan oppdage og fjerne nyttelasten for skadelig programvare som er knyttet til løsepengeviruset.

EOP tilbyr beskyttelse mot skadelig programvare med flere lag som er utformet for å fange opp all kjent skadelig programvare i Windows, Linux og Mac som reiser inn i eller ut av organisasjonen. Følgende alternativer bidrar til å gi beskyttelse mot skadelig programvare:

  • Lagvis forsvar mot skadelig programvare: Flere skannemotorer mot skadelig programvare bidrar til å beskytte mot både kjente og ukjente trusler. Disse motorene inkluderer kraftig heuristikk deteksjon for å gi beskyttelse selv i de tidlige stadiene av en malware utbrudd. Denne flermotors tilnærmingen har vist seg å gi betydelig mer beskyttelse enn å bruke bare én anti-malware motor.
  • Trusselrespons i sanntid: Under enkelte utbrudd kan teamet for skadelig programvare ha nok informasjon om et virus eller en annen form for skadelig programvare til å skrive avanserte policyregler som oppdager trusselen, selv før en definisjon er tilgjengelig fra noen av skannemotorene som brukes av tjenesten. Disse reglene publiseres til det globale nettverket hver 2. time for å gi organisasjonen et ekstra lag med beskyttelse mot angrep.
  • Distribusjon av fast anti-malware definisjon: Anti-malware teamet opprettholder nære relasjoner med partnere som utvikler anti-malware motorer. Som et resultat av dette kan tjenesten motta og integrere definisjoner og oppdateringer for skadelig programvare før de publiseres offentlig. Vår forbindelse med disse partnerne gjør det ofte mulig for oss å utvikle våre egne rettsmidler også. Tjenesten ser etter oppdaterte definisjoner for alle motorer for skadelig programvare hver time.

I EOP er meldinger som blir funnet å inneholde skadelig programvare i vedlegg , satt i karantene. Om mottakerne kan vise eller på annen måte samhandle med de karantenemeldingene, kontrolleres av karantenepolicyer. Som standard kan meldinger som ble satt i karantene på grunn av skadelig programvare, bare vises og utgis av administratorer. Hvis du vil ha mer informasjon, kan du se følgende emner:

Hvis du vil ha mer informasjon om beskyttelse mot skadelig programvare, kan du se vanlige spørsmål om beskyttelse mot skadelig programvare.

Hvis du vil konfigurere policyer for skadelig programvare, kan du se Konfigurere policyer for skadelig programvare.

Hvis du vil sende inn skadelig programvare til Microsoft, kan du se Rapporter meldinger og filer til Microsoft.

Policyer mot skadelig programvare

Policyer for skadelig programvare kontrollerer innstillingene og varslingsalternativene for gjenkjenning av skadelig programvare. De viktige innstillingene i policyer for skadelig programvare er:

  • Mottakervarsler: Som standard får ikke en meldingsmottaker beskjed om at en melding som er ment for dem, ble satt i karantene på grunn av skadelig programvare. Du kan imidlertid aktivere mottakervarsler i form av levering av den opprinnelige meldingen med alle vedlegg fjernet og erstattet av én enkelt fil med navnet Varsel om skadelig programvare Text.txt som inneholder følgende tekst:

    Skadelig programvare ble oppdaget i ett eller flere vedlegg som er inkludert i denne e-postmeldingen.
    Handling: Alle vedlegg er fjernet.
    <Original malware attachment name> <Malware detection result>

    Du kan erstatte standardteksten i filen varsel om skadelig programvare Text.txt med din egen egendefinerte tekst.

  • Vanlig vedleggsfilter: Det finnes visse typer filer som du egentlig ikke bør sende via e-post (for eksempel kjørbare filer). Hvorfor gidder du å skanne disse filtypene etter skadelig programvare, når du sannsynligvis bør blokkere alle, uansett? Det er her det vanlige vedleggsfilteret kommer inn. Den er deaktivert som standard, men når du aktiverer den, behandles filtypene du angir automatisk som skadelig programvare. Du kan bruke standardlisten over filtyper eller tilpasse listen. Standard filtyper er: ace, ani, app, cab, docm, exe, iso, jar, jnlp, reg, scr, vbe, vbs.

    Det vanlige vedleggsfilteret bruker beste forsøk på sann skriving til å oppdage filtypen uavhengig av filtypen. Hvis sann skriving mislykkes eller ikke støttes for den angitte filtypen, brukes enkel filtype.

  • Nulltimers automatisk tømming (ZAP) for skadelig programvare: ZAP for meldinger om karantene for skadelig programvare som blir funnet å inneholde skadelig programvare etter at de har blitt levert til Exchange Online postbokser. ZAP for skadelig programvare er aktivert som standard, og vi anbefaler at du lar den være på.

  • Avsendervarsler: Som standard får ikke en meldingsavsender beskjed om at meldingen ble satt i karantene på grunn av skadelig programvare. Du kan imidlertid aktivere varslingsmeldinger for avsendere basert på om avsenderen er intern eller ekstern. Standardvarslingsmeldingen ser slik ut:

    Fra: Postmaster postmaster@<defaultdomain>.com
    Emne: Melding som ikke kan leveres

    Denne meldingen ble opprettet automatisk av programvaren for levering av e-post. E-postmeldingen ble ikke levert til de tiltenkte mottakerne fordi skadelig programvare ble oppdaget. Alle vedlegg ble slettet.

    --- tilleggsinformasjon ---:

    Emnet: <message subject>
    Avsenderen: <message sender>

    Tid mottatt: <date/time>
    Meldings-ID: <message id>
    Oppdagelser funnet:
    <attachment name> <malware detection result>

    Du kan tilpasse fra-adressen, emnet og meldingsteksten for interne og eksterne varsler.

    Du kan også angi en ekstra mottaker (en administrator) for å motta varsler om skadelig programvare som oppdages i meldinger fra interne eller eksterne avsendere.

    Obs!

    Administratorvarsler sendes bare for vedlegg som er klassifisert som skadelig programvare.

  • Mottakerfiltre: For egendefinerte policyer for skadelig programvare kan du angi mottakerbetingelser og unntak som bestemmer hvem policyen gjelder for. Du kan bruke disse egenskapene for betingelser og unntak:

    • Mottakeren er
    • Mottakerdomenet er
    • Mottakeren er medlem av

    Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier. Flere verdier av samme betingelse eller unntak bruker ELLER-logikk (for eksempel <recipient1> eller <recipient2>). Forskjellige betingelser eller unntak bruker OG-logikk (for eksempel <recipient1> og <member of group 1>).

  • Prioritet: Hvis du oppretter flere egendefinerte policyer for skadelig programvare, kan du angi rekkefølgen de skal brukes i. Ingen policyer kan ha samme prioritet, og policybehandlingen stopper etter at den første policyen er brukt.

    Hvis du vil ha mer informasjon om prioritetsrekkefølgen og hvordan flere policyer evalueres og brukes, kan du se Rekkefølge og prioritet for e-postbeskyttelse.

Policyer for skadelig programvare i Microsoft 365 Defender-portalen kontra PowerShell

De grunnleggende elementene i en policy for skadelig programvare er:

  • Filterpolicyen for skadelig programvare: Angir mottakervarsling, avsender- og administratorvarsel, ZAP og de vanlige innstillingene for vedleggsfilter.
  • Filterregelen for skadelig programvare: Angir prioritets- og mottakerfiltrene (hvem policyen gjelder for) for en filterpolicy for skadelig programvare.

Forskjellen mellom disse to elementene er ikke opplagt når du administrerer beskyttelse mot skadelig programvare i Microsoft 365 Defender-portalen:

  • Når du oppretter en policy for beskyttelse mot skadelig programvare, oppretter du faktisk en filterregel for skadelig programvare og den tilknyttede filterpolicyen for skadelig programvare samtidig som du bruker samme navn for begge.
  • Når du endrer en policy for beskyttelse mot skadelig programvare, endrer innstillinger som er relatert til navn, prioritet, aktivert eller deaktivert, og mottakerfiltreringsregelen for skadelig programvare. Andre innstillinger (mottakervarsel, avsender- og administratorvarsel, ZAP og det vanlige vedleggsfilteret) endrer filterpolicyen for tilknyttet skadelig programvare.
  • Når du fjerner en policy for beskyttelse mot skadelig programvare, fjernes filterregelen for skadelig programvare og den tilknyttede filterpolicyen for skadelig programvare.

I Exchange Online PowerShell eller frittstående EOP PowerShell, er forskjellen mellom filterpolicyer for skadelig programvare og filterregler for skadelig programvare tydelig. Du administrerer filterpolicyer for skadelig programvare ved hjelp *av cmdleter for -MalwareFilterPolicy , og du administrerer filterregler for skadelig programvare ved hjelp *av cmdleter for -MalwareFilterRule .

  • I PowerShell oppretter du filterpolicyen for skadelig programvare først, og deretter oppretter du filterregelen for skadelig programvare som identifiserer policyen som regelen gjelder for.
  • I PowerShell endrer du innstillingene i filterpolicyen for skadelig programvare og filterregelen for skadelig programvare separat.
  • Når du fjerner en filterpolicy for skadelig programvare fra PowerShell, fjernes ikke den tilsvarende filterregelen for skadelig programvare automatisk, og omvendt.

Standard policy for beskyttelse mot skadelig programvare

Hver organisasjon har en innebygd policy for skadelig programvare som heter Standard, som har disse egenskapene:

  • Policyen brukes for alle mottakere i organisasjonen, selv om det ikke finnes noen filterregel for skadelig programvare (mottakerfiltre) som er knyttet til policyen.
  • Policyen har den egendefinerte prioritetsverdien Lavest som du ikke kan endre (policyen brukes alltid sist). Eventuelle egendefinerte policyer for skadelig programvare som du oppretter, har alltid høyere prioritet enn policyen som heter Standard.
  • Policyen er standardpolicyen ( IsDefault-egenskapen har verdien True), og du kan ikke slette standardpolicyen.