Veilige bijlagen in Microsoft Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Veilige bijlagen in Microsoft Defender voor Office 365 biedt een extra beveiligingslaag voor e-mailbijlagen die al zijn gescand door antimalwarebeveiliging in Exchange Online Protection (EOP). Veilige bijlagen maakt met name gebruik van een virtuele omgeving om bijlagen in e-mailberichten te controleren voordat ze worden bezorgd bij geadresseerden (een proces dat bekend staat als detonatie).

Beveiliging van veilige bijlagen voor e-mailberichten wordt beheerd door het beleid voor veilige bijlagen. Hoewel er geen standaardbeleid voor veilige bijlagen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen voor alle geadresseerden (gebruikers die niet zijn gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid of in aangepaste beleidsregels voor veilige bijlagen). Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie. U kunt ook beleidsregels voor veilige bijlagen maken die van toepassing zijn op specifieke gebruikers, groepen of domeinen. Zie Beleid voor veilige bijlagen instellen in Microsoft Defender voor Office 365 voor instructies.

In de volgende tabel worden scenario's beschreven voor Veilige bijlagen in Microsoft 365 en Office 365 organisaties die Microsoft Defender voor Office 365 bevatten (met andere woorden, het ontbreken van licenties is nooit een probleem in de voorbeelden).

Scenario Resultaat
De Microsoft 365 E5 organisatie van Pat heeft geen beleid voor veilige bijlagen geconfigureerd. Pat wordt beveiligd door veilige bijlagen vanwege het vooraf ingestelde ingebouwde beveiligingsbeleid voor beveiliging dat van toepassing is op alle geadresseerden die niet anders zijn gedefinieerd in het beleid voor veilige bijlagen.
De organisatie van Lee heeft een beleid voor veilige bijlagen dat alleen van toepassing is op financiële werknemers. Lee is lid van de verkoopafdeling. Lee en de rest van de verkoopafdeling worden beveiligd door veilige bijlagen vanwege het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging dat van toepassing is op alle geadresseerden die niet anders zijn gedefinieerd in het beleid voor veilige bijlagen.
Gisteren heeft een beheerder in de organisatie van Jean een beleid voor veilige bijlagen gemaakt dat van toepassing is op alle werknemers. Eerder vandaag ontving Jean een e-mailbericht met een bijlage. Jean wordt beschermd door Veilige bijlagen vanwege dat aangepaste beleid voor veilige bijlagen.

Normaal gesproken duurt het ongeveer 30 minuten voordat een nieuw beleid van kracht wordt.
De organisatie van Chris heeft al lang een beleid voor veilige bijlagen voor iedereen in de organisatie. Chris ontvangt een e-mailbericht met een bijlage en stuurt het bericht vervolgens door naar externe geadresseerden. Chris wordt beveiligd door Veilige bijlagen.

Als de externe geadresseerden zich in een Microsoft 365-organisatie bevinden, worden de doorgestuurde berichten ook beveiligd door veilige bijlagen.

Scannen van veilige bijlagen vindt plaats in dezelfde regio waar uw Microsoft 365-gegevens zich bevinden. Zie Waar bevinden uw gegevens zich? voor meer informatie over de geografie van datacenters

Opmerking

De volgende functies bevinden zich in de algemene instellingen van het beleid voor veilige bijlagen in de Microsoft Defender-portal. Deze instellingen zijn echter globaal ingeschakeld of uitgeschakeld en vereisen geen beleid voor veilige bijlagen:

Beleidsinstellingen voor veilige bijlagen

In deze sectie worden de instellingen in het beleid voor veilige bijlagen beschreven:

  • Filters voor geadresseerden: voorwaarden en uitzonderingen om de interne geadresseerden te identificeren waarop het beleid van toepassing is. Er is ten minste één voorwaarde vereist. U kunt de volgende ontvangersfilters gebruiken voor voorwaarden en uitzonderingen:

    • Gebruikers: een of meer postvakken, e-mailgebruikers of e-mailcontactpersonen in de organisatie.
    • Groepen:
      • Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
      • De opgegeven Microsoft 365 Groepen.
    • Domeinen: een of meer van de geconfigureerde geaccepteerde domeinen in Microsoft 365. Het primaire e-mailadres van de geadresseerde bevindt zich in het opgegeven domein.

    U kunt een voorwaarde of uitzondering slechts één keer gebruiken, maar de voorwaarde of uitzondering kan meerdere waarden bevatten:

    • Meerdere waarden van dezelfde voorwaarde of uitzondering gebruiken OR-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>):

      • Voorwaarden: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid op deze waarden toegepast.
      • Uitzonderingen: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid hierop niet toegepast.

    • Verschillende soorten uitzonderingen gebruiken OR-logica (bijvoorbeeld <ontvanger1> of <lid van groep1> of <lid van domein1>). Als de ontvanger overeenkomt met een van de opgegeven uitzonderingswaarden, wordt het beleid hierop niet toegepast.

    • Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:

    • Gebruikers: romain@contoso.com

    • Groepen: Leidinggevenden

      Het beleid wordt alleen toegepast romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.

  • Onbekende reactie op veilige bijlagen: met deze instelling bepaalt u de actie voor het scannen van malware in veilige bijlagen in e-mailberichten. De beschikbare opties worden beschreven in de volgende tabel:

    Optie Effect Gebruik als u het volgende wilt doen:
    Uit Bijlagen worden niet gescand op malware door Veilige bijlagen. Berichten worden nog steeds gescand op malware door antimalwarebeveiliging in EOP. Schakel scannen uit voor geselecteerde geadresseerden.

    Voorkom onnodige vertragingen bij het routeren van interne e-mail.

    Deze optie wordt niet aanbevolen voor de meeste gebruikers. Gebruik deze optie alleen om het scannen van veilige bijlagen uit te schakelen voor geadresseerden die alleen berichten van vertrouwde afzenders ontvangen. ZAP plaatst berichten niet in quarantaine als Veilige bijlagen is uitgeschakeld en er geen malware-signaal wordt ontvangen. Zie Zero-hour auto purge voor meer informatie.
    Monitor Bezorgt berichten met bijlagen en houdt vervolgens bij wat er gebeurt met gedetecteerde malware.

    De bezorging van veilige berichten kan worden vertraagd vanwege het scannen van veilige bijlagen.    		 Bekijk waar gedetecteerde malware zich in uw organisatie bevindt.
    Blokkeren Hiermee voorkomt u dat berichten met gedetecteerde malwarebijlagen worden bezorgd.

    Berichten worden in quarantaine geplaatst. Standaard kunnen alleen beheerders (geen gebruikers) de berichten bekijken, vrijgeven of verwijderen.¹

    Hiermee blokkeert u automatisch toekomstige exemplaren van de berichten en bijlagen.

    De bezorging van veilige berichten kan worden vertraagd vanwege het scannen van veilige bijlagen.    		 Beschermt uw organisatie tegen herhaalde aanvallen met behulp van dezelfde malwarebijlagen.

    Dit is de standaardwaarde en de aanbevolen waarde in standaard- en strikt vooraf ingesteld beveiligingsbeleid.
    Dynamische levering Hiermee worden berichten onmiddellijk bezorgd, maar worden bijlagen vervangen door tijdelijke aanduidingen totdat het scannen van veilige bijlagen is voltooid.

    Berichten die schadelijke bijlagen bevatten, worden in quarantaine geplaatst. Standaard kunnen alleen beheerders (geen gebruikers) de berichten bekijken, vrijgeven of verwijderen.¹

    Zie de sectie Dynamisch leveren in veilige bijlagen verderop in dit artikel voor meer informatie.    		 Vermijd berichtvertragingen tijdens het beveiligen van geadresseerden tegen schadelijke bestanden.

    ¹ Quarantainebeleid definieert wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie. Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst door Veilige bijlagen niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malwareberichten aanvragen .

  • Berichten met gedetecteerde bijlagen omleiden en Berichten met bewaakte bijlagen verzenden naar het opgegeven e-mailadresinschakelen: alleen voor de actie Controleren verzendt u berichten die malwarebijlagen bevatten naar het opgegeven interne of externe e-mailadres voor analyse en onderzoek.

    De aanbeveling voor standaard- en strikte beleidsinstellingen is om omleiding in te schakelen. Zie Instellingen voor veilige bijlagen voor meer informatie.

  • Prioriteit: als u meerdere beleidsregels maakt, kunt u de volgorde opgeven waarin ze worden toegepast. Geen twee beleidsregels kunnen dezelfde prioriteit hebben en de beleidsverwerking stopt nadat het eerste beleid is toegepast (het beleid met de hoogste prioriteit voor die ontvanger).

    Voor meer informatie over de prioriteitvolgorde en het evalueren en toepassen van een beleid, raadpleegt u volgorde en prioriteit van e-mailbeveiliging.

Dynamische bezorging in beleid voor veilige bijlagen

Opmerking

Dynamische bezorging werkt alleen voor Exchange Online postvakken.

De actie Dynamische bezorging in beleid voor veilige bijlagen is bedoeld om vertragingen in e-mailbezorging te elimineren die kunnen worden veroorzaakt door het scannen van veilige bijlagen. De hoofdtekst van het e-mailbericht wordt bezorgd bij de geadresseerde met een tijdelijke aanduiding voor elke bijlage. De tijdelijke aanduiding blijft behouden totdat de bijlage veilig is bevonden en de bijlage vervolgens beschikbaar is om te openen of te downloaden.

Als een bijlage schadelijk blijkt te zijn, wordt het bericht in quarantaine geplaatst.

De meeste PDF-bestanden en Office-documenten kunnen worden bekeken in de veilige modus terwijl het scannen van veilige bijlagen aan de gang is. Als een bijlage niet compatibel is met de previewer dynamische bezorging, zien de geadresseerden een tijdelijke aanduiding voor de bijlage totdat het scannen van Veilige bijlagen is voltooid.

Als u een mobiel apparaat gebruikt en PDF-bestanden niet worden weergegeven in de previewer voor dynamische bezorging op uw mobiele apparaat, opent u het bericht in webversie van Outlook (voorheen bekend als Outlook Web App) met behulp van uw mobiele browser.

Hier volgen enkele overwegingen voor dynamische bezorging en doorgestuurde berichten:

  • Als de doorgestuurde geadresseerde wordt beveiligd door een beleid voor veilige bijlagen dat gebruikmaakt van de optie Dynamische bezorging, ziet de geadresseerde de tijdelijke aanduiding, met de mogelijkheid om een voorbeeld van compatibele bestanden te bekijken.
  • Als de doorgestuurde geadresseerde niet wordt beveiligd door een beleid voor veilige bijlagen, worden het bericht en de bijlagen bezorgd zonder het scannen van veilige bijlagen of tijdelijke aanduidingen voor bijlagen.

Er zijn scenario's waarin dynamische bezorging geen bijlagen in berichten kan vervangen. Deze scenario's omvatten:

  • Berichten in openbare mappen.
  • Berichten die worden gerouteerd uit en vervolgens terug naar het postvak van een gebruiker met behulp van aangepaste regels.
  • Berichten die (automatisch of handmatig) uit cloudpostvakken worden verplaatst naar andere locaties, waaronder archiefmappen.
  • Met regels voor Postvak IN wordt het bericht uit het Postvak IN naar een andere map verplaatst.
  • Verwijderde berichten.
  • De zoekmap van het postvak van de gebruiker heeft een foutstatus.
  • Exchange Online organisaties waar Exclaimer is ingeschakeld. Zie KB4014438 om dit probleem op te lossen.
  • S/MIME) versleutelde berichten.
  • U hebt de actie Dynamische bezorging geconfigureerd in een beleid voor veilige bijlagen, maar de ontvanger biedt geen ondersteuning voor dynamische bezorging (de ontvanger is bijvoorbeeld een postvak in een on-premises Exchange-organisatie). Veilige koppelingen in Microsoft Defender voor Office 365 kan echter Office-bestandsbijlagen scannen die URL's bevatten (als veilige koppelingen scannen van ondersteunings-Office-apps is ingeschakeld in het toepasselijke beleid voor veilige koppelingen).

Bestanden verzenden voor malware-analyse