Automatyczne przeczyszczanie o zerowej godzinie (ZAP) w Ochrona usługi Office 365 w usłudze Microsoft Defender
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.
W organizacjach platformy Microsoft 365 z Exchange Online skrzynkami pocztowymi automatyczne przeczyszczanie bez godzin (ZAP) jest funkcją ochrony w Exchange Online Protection (EOP), która z mocą wsteczną wykrywa i neutralizuje złośliwe wiadomości wyłudzania informacji, spamu lub złośliwego oprogramowania, które zostały już dostarczone do Exchange Online skrzynek pocztowych.
Zap nie działa w autonomicznych środowiskach EOP, które chronią lokalne skrzynki pocztowe.
Uwaga
Obecnie w wersji zapoznawczej zap może również wstecznie wykrywać istniejące złośliwe wiadomości czatu w usłudze Microsoft Teams.
Sygnatury spamu i złośliwego oprogramowania w usłudze są codziennie aktualizowane w czasie rzeczywistym. Jednak użytkownicy nadal mogą otrzymywać złośliwe komunikaty. Przykład:
- Złośliwe oprogramowanie typu zero-day, które było niewykrywalne podczas przepływu poczty.
- Zawartość, która jest broniona po dostarczeniu do użytkowników.
Zap rozwiązuje te problemy, stale monitorując aktualizacje sygnatury spamu i złośliwego oprogramowania w usłudze i jest bezproblemowy dla użytkowników. Zap znajduje i podejmuje zautomatyzowane działania w przypadku komunikatów, które znajdują się już w skrzynce pocztowej użytkownika. Wyszukiwanie zap jest ograniczone do ostatnich 48 godzin dostarczonej wiadomości e-mail. Użytkownicy nie są powiadamiani, jeśli zap wykrywa i przenosi komunikat.
Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak zap w Ochrona usługi Office 365 w usłudze Microsoft Defender automatycznie wykrywa i neutralizuje zagrożenia w wiadomości e-mail.
Automatyczne przeczyszczanie bez godzin (ZAP) dla wiadomości e-mail
Automatyczne przeczyszczanie bez godziny (ZAP) w przypadku złośliwego oprogramowania
W przypadku komunikatów odczytanych lub nieprzeczytanych , które zawierają złośliwe oprogramowanie po dostarczeniu, zap podda kwarantannie komunikat zawierający załącznik złośliwego oprogramowania. Domyślnie tylko administratorzy mogą wyświetlać komunikaty o złośliwym oprogramowaniu i zarządzać nimi. Administratorzy mogą jednak tworzyć zasady kwarantanny i używać ich do definiowania, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Uwaga
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania komunikatów o złośliwym oprogramowaniu poddanych kwarantannie.
Zap dla złośliwego oprogramowania jest domyślnie włączona w zasadach ochrony przed złośliwym oprogramowaniem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem w ramach EOP.
Automatyczne przeczyszczanie bez godzin (ZAP) w celu wyłudzania informacji
W przypadku komunikatów odczytanych lub nieprzeczytanych , które są identyfikowane jako wyłudzanie informacji (nie jest to wyłudzanie o dużej pewności) po dostarczeniu, wynik zap zależy od akcji skonfigurowanej pod kątem werdyktu wyłudzania informacji w odpowiednich zasadach ochrony przed spamem. Dostępne akcje i możliwe wyniki zap są opisane na następującej liście:
Dodaj nagłówek X, wiersz tematu przedpłaty z tekstem, Przekieruj wiadomość na adres e-mail, Usuń wiadomość: ZAP nie podejmuje żadnych działań w tej wiadomości.
Przenieś komunikat do Email-śmieci: zap przenosi komunikat do folderu Junk Email.
Jest to domyślna akcja werdyktu dotyczącego wyłudzania informacji w domyślnych zasadach ochrony przed spamem i niestandardowych zasadach ochrony przed spamem utworzonych w programie PowerShell.
Komunikat kwarantanny: zap kwarantanny komunikatu.
Jest to domyślna akcja werdyktu dotyczącego wyłudzania informacji w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych oraz w niestandardowych zasadach ochrony przed spamem tworzonych w portalu usługi Defender.
Domyślnie zap do wyłudzania informacji jest włączona w zasadach ochrony przed spamem.
Aby uzyskać więcej informacji na temat konfigurowania werdyktów filtrowania spamu, zobacz Konfigurowanie zasad ochrony przed spamem na platformie Microsoft 365.
Automatyczne przeczyszczanie bez godziny (ZAP) w celu wyłudzania informacji o wysokim poziomie ufności
W przypadku komunikatów odczytanych lub nieprzeczytanych , które są identyfikowane jako wyłudzanie informacji o wysokim poziomie ufności po dostarczeniu, zap podda je kwarantannie. Domyślnie tylko administratorzy mogą wyświetlać komunikaty wyłudzania informacji o wysokim poziomie zaufania i zarządzać nimi. Administratorzy mogą jednak tworzyć zasady kwarantanny i używać ich do definiowania, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Uwaga
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako wyłudzanie informacji o wysokim poziomie zaufania, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, użytkownicy mogą zamiast tego zażądać wydania wiadomości wyłudzających informacje o wysokim poziomie zaufania w kwarantannie.
Zap dla wyłudzania informacji o wysokim poziomie zaufania jest domyślnie włączony. Aby uzyskać więcej informacji, zobacz Zabezpieczanie domyślnie w Office 365.
Automatyczne przeczyszczanie o zerowej godzinie (ZAP) w przypadku spamu
W przypadku nieprzeczytanych wiadomości , które są identyfikowane jako spam lub spam o wysokim poziomie zaufania po dostarczeniu, wynik zap zależy od akcji skonfigurowanej pod kątem spamu lubwerdyktu spamu o wysokim poziomie zaufania w odpowiednich zasadach ochrony przed spamem. Dostępne akcje i możliwe wyniki zap są opisane na następującej liście:
Dodaj nagłówek X, wiersz tematu przedpłaty z tekstem, Przekieruj wiadomość na adres e-mail, Usuń wiadomość: ZAP nie podejmuje żadnych działań w tej wiadomości.
Przenieś komunikat do Email-śmieci: zap przenosi komunikat do folderu Junk Email.
W przypadku werdyktu dotyczącego spamu jest to domyślna akcja w domyślnych zasadach ochrony przed spamem, nowych niestandardowych zasadach ochrony przed spamem i standardowych zasadach zabezpieczeń wstępnie ustawionych.
W przypadku werdyktu dotyczącego spamu o wysokim poziomie zaufania jest to domyślna akcja w domyślnych zasadach ochrony przed spamem i nowych niestandardowych zasad ochrony przed spamem.
Komunikat kwarantanny: zap kwarantanny komunikatu.
W przypadku werdyktu dotyczącego spamu jest to domyślna akcja w zasadach ścisłych zabezpieczeń wstępnie ustawionych.
W przypadku werdyktu dotyczącego spamu o wysokim poziomie ufności jest to domyślna akcja w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych.
Domyślnie użytkownicy mogą wyświetlać wiadomości, które zostały poddane kwarantannie, i zarządzać nimi jako spamem lub spamem o wysokim poziomie zaufania, gdzie są adresatami. Administratorzy mogą jednak tworzyć zasady kwarantanny i używać ich do definiowania, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Domyślnie zap dla spamu jest włączona w zasadach ochrony przed spamem.
Aby uzyskać więcej informacji na temat konfigurowania werdyktów filtrowania spamu, zobacz Konfigurowanie zasad ochrony przed spamem na platformie Microsoft 365.
Jak sprawdzić, czy zap przeniósł komunikat
Aby ustalić, czy zap przeniósł komunikat, masz następujące opcje:
- Liczba komunikatów: użyj widoku Przepływ poczty w raporcie o stanie przepływu poczty , aby wyświetlić liczbę komunikatów, których dotyczy problem z zap dla określonego zakresu dat.
- Szczegóły komunikatu: użyj Eksploratora zagrożeń (lub wykrywania w czasie rzeczywistym), aby filtrować wszystkie zdarzenia poczty e-mail według wartości ZAP dla kolumny Dodatkowa akcja .
Uwaga
Zap nie jest rejestrowany w dziennikach inspekcji skrzynki pocztowej programu Exchange jako akcja systemowa.
Zagadnienia dotyczące automatycznego przeczyszczania (ZAP) w godzinach zerowych dla bezpiecznych załączników w Ochrona usługi Office 365 w usłudze Microsoft Defender
Zap nie kwarantanny komunikatów, które są w trakcie dynamicznego dostarczania w bezpiecznych załączników skanowania zasad. Jeśli otrzymasz sygnał wyłudzania informacji lub spamu dla wiadomości w tym stanie, a werdykt filtrowania w zasadach ochrony przed spamem zostanie ustawiony na podjęcie pewnych działań w wiadomości (Przenoszenie do wiadomości-śmieci, Przekierowanie, Usuwanie lub Kwarantanna), zap powraca do akcji "Przenieś do śmieci".
Automatyczne przeczyszczanie o zerowej godzinie (ZAP) w usłudze Microsoft Teams
Porada
Zap for Microsoft Teams jest dostępny tylko dla klientów z subskrypcjami Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender Plan 2. Aby skonfigurować ochronę zap for Teams, zobacz Ochrona usługi Office 365 w usłudze Microsoft Defender Obsługa planu 2 dla usługi Microsoft Teams.
Zap w czatach w usłudze Teams
Zap jest dostępny dla wewnętrznych komunikatów w czatach usługi Teams, które są identyfikowane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania. Obecnie komunikaty zewnętrzne nie są obsługiwane.
Usługa Teams różni się od wiadomości e-mail, ponieważ wszyscy na czacie w usłudze Teams otrzymują tę samą kopię wiadomości w tym samym czasie (nie ma żadnej analizy wiadomości). Gdy ochrona zap for Teams blokuje komunikat, komunikat jest blokowany dla wszystkich osób na czacie. Początkowy blok jest wykonywany bezpośrednio po dostarczeniu, ale zap występuje do 48 godzin po dostarczeniu.
Wykluczenia dotyczące ochrony zap for Teams w czatach w usłudze Teams mają znaczenie dla adresatów wiadomości, a nie nadawców wiadomości. Aby skonfigurować wyjątki dla czatów w usłudze Teams, zobacz Konfigurowanie ochrony zap for Teams w Ochrona usługi Office 365 w usłudze Defender planie 2.
Ochrona zap for Teams jest w stanie podjąć działania w przypadku wiadomości dla wszystkich adresatów na czacie, jeśli adresaci czatu nie zostaną wykluczeni z ochrony zap for Teams. Tylko wtedy, gdy wszyscy adresaci na czacie zostaną wykluczeni z ochrony zap for Teams, zap nie podejmie działań w wiadomości. Te scenariusze przedstawiono w poniższej tabeli:
| Scenariusz | Result (Wynik) |
|---|---|
| Czat grupowy z adresatami A, B, C i D. Adresaci A, B, C i D są wykluczeni z ochrony zap for Teams. |
Zap nie będzie blokować komunikatów wysyłanych do czatu grupowego. |
| Czat grupowy z adresatami A, B, C i D. Tylko adresaci A, B i C są wykluczeni z ochrony zap for Teams. |
Zap może blokować wiadomości wysyłane do czatu grupowego dla wszystkich adresatów. |
| Czat grupowy z adresatami A, B, C i D. Adresaci A, B, C i D nie są wykluczeni z ochrony zap for Teams. Nadawca X jest wykluczony z ochrony zap for Teams i wysyła wiadomość do czatu grupowego. |
Zap może blokować wiadomości wysyłane do czatu grupowego dla wszystkich adresatów. |
Widok nadawcy:
Widok adresata:
Zap w kanałach usługi Teams
Ochrona zap for Teams obsługuje następujące typy kanałów usługi Teams:
- Kanały standardowe: zap jest dostępny dla komunikatów wewnętrznych. Obecnie komunikaty zewnętrzne nie są obsługiwane.
- Kanały udostępnione: zap jest dostępny dla komunikatów wewnętrznych i zewnętrznych.
Obecnie zap nie jest dostępny w kanałach prywatnych.
Aby skonfigurować wyjątki ochrony zap dla kanałów usługi Teams, potrzebny jest adres e-mail adresata. Ten adres jest inny niż adres e-mail kanału w kliencie usługi Teams.
Aby uzyskać adres e-mail adresata do użycia w przypadku wyjątków dotyczących ochrony kanału usługi Teams, użyj wartości Nazwa i adres e-mail z sekcji Szczegóły kanału panelu jednostki wiadomości usługi Teams. Aby uzyskać więcej informacji, zobacz Panel jednostek komunikatów usługi Teams w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Aby skonfigurować wyjątki dla kanałów usługi Teams, zobacz Konfigurowanie ochrony zap for Teams w Ochrona usługi Office 365 w usłudze Defender planie 2.
Automatyczne przeczyszczanie (ZAP) o zerowej godzinie w celu zapewnienia dużej pewności komunikatów wyłudzających informacje w usłudze Teams
W przypadku komunikatów, które są identyfikowane jako wyłudzanie informacji o wysokim poziomie ufności po dostarczeniu, ochrona zap for Teams blokuje i poddaje komunikat kwarantannie. Aby ustawić zasady kwarantanny używane do wykrywania wyłudzania informacji o wysokim poziomie zaufania w programie ZAP for Teams, zobacz Ochrona usługi Office 365 w usłudze Microsoft Defender Obsługa planu 2 dla usługi Microsoft Teams.
Automatyczne przeczyszczanie bez godziny (ZAP) w przypadku złośliwego oprogramowania w komunikatach usługi Teams
W przypadku komunikatów zidentyfikowanych jako złośliwe oprogramowanie program ZAP for Teams blokuje i podda kwarantannie komunikat. Aby ustawić zasady kwarantanny używane do wykrywania złośliwego oprogramowania w programie ZAP for Teams, zobacz Ochrona usługi Office 365 w usłudze Microsoft Defender Obsługa planu 2 dla usługi Microsoft Teams.
Jak sprawdzić, czy zap zablokował komunikat usługi Teams
Obecnie tylko administratorzy mogą wyświetlać komunikaty, które zostały poddane kwarantannie przez program ZAP for Teams, i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Używanie portalu Microsoft Defender do zarządzania komunikatami objętymi kwarantanną w usłudze Microsoft Teams.
Automatyczne przeczyszczanie o zerowej godzinie (ZAP) — często zadawane pytania
Co się stanie, jeśli zap przenosi uzasadnione komunikaty do folderu Junk Email?
Postępuj zgodnie z normalnym procesem raportowania wyników fałszywie dodatnich do firmy Microsoft. Zap przenosi komunikat z folderu Skrzynka odbiorcza do folderu Junk Email tylko wtedy, gdy usługa stwierdzi, że wiadomość jest spamem lub złośliwym.
Co zrobić, jeśli użyję folderu Kwarantanna zamiast folderu Wiadomości-śmieci?
Zap podejmuje działania na podstawie komunikatu w oparciu o konfigurację zasad ochrony przed spamem zgodnie z opisem we wcześniejszej części tego artykułu.
W jaki sposób na zap wpływ mają wyjątki dotyczące funkcji ochrony w ramach EOP i Ochrona usługi Office 365 w usłudze Defender?
Akcje ZAP mogą być zastępowane przez listy bezpiecznych nadawców, reguły przepływu poczty programu Exchange (reguły transportu) oraz inne ustawienia bloku organizacyjnego i zezwalania. Jednak w przypadku złośliwego oprogramowania i werdyktów dotyczących wyłudzania informacji o wysokim poziomie zaufania istnieje bardzo niewiele scenariuszy, w których zap nie działa na komunikatach w celu ochrony użytkowników:
- Adresy URL symulacji wyłudzania informacji innych firm zidentyfikowane w zasadach dostarczania zaawansowanego (wyłudzanie informacji o wysokim poziomie zaufania).
- Skrzynki pocztowe SecOps zidentyfikowane w zasadach dostarczania zaawansowanego (złośliwe oprogramowanie i wyłudzanie informacji o wysokim poziomie zaufania).
- Rekord MX dla domeny platformy Microsoft 365 wskazuje inną usługę lub urządzenie, a reguła przepływu poczty służy do obejścia filtrowania spamu (wyłudzanie informacji o wysokim poziomie zaufania).
- Administracja przesłanych do firmy Microsoft wyników fałszywie dodatnich. Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL istnieją przez 30 dni (złośliwe oprogramowanie i wyłudzanie informacji o wysokim poziomie zaufania).
Ważne jest, aby dokładnie rozważyć konsekwencje pominięcia filtrowania, ponieważ może to naruszyć stan bezpieczeństwa organizacji.
Jakie są wymagania licencyjne dotyczące zap?
Nie ma specjalnych wymagań licencyjnych dotyczących zap dla złośliwego oprogramowania, spamu i wyłudzania informacji. Zap działa na wszystkich skrzynkach pocztowych hostowanych w Exchange Online. Zap nie działa w lokalnych skrzynkach pocztowych, które są chronione przez autonomiczną funkcję EOP.
Ochrona zap for Teams wymaga licencji Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2.
Czy zap działa na komunikaty w innych folderach w skrzynce pocztowej (na przykład wiadomości przenoszone przez reguły skrzynki odbiorczej)?
Zap nadal działa tak długo, jak komunikat nie został usunięty lub tak długo, jak ta sama lub silniejsza akcja nie została jeszcze zastosowana. Jeśli na przykład komunikat znajduje się w folderze Junk Email, a akcja w odpowiednich zasadach ochrony przed wyłudzaniem informacji to kwarantanna, zap podda komunikat kwarantannie.
Jak zap wpływa na skrzynki pocztowe zawieszone?
Zap kwarantanny wiadomości ze skrzynek pocztowych wstrzymane. Zap może przenosić wiadomości do folderu Junk Email na podstawie akcji skonfigurowanej pod kątem spamu lub werdyktu wyłudzania informacji w zasadach ochrony przed spamem.
Aby uzyskać więcej informacji na temat blokad w Exchange Online, zobacz In-Place Hold and Litigation Hold in Exchange Online (Blokada w miejscu i blokada sporów w Exchange Online).
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla