Защита от вредоносных программ в EOP

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online почтовые сообщения автоматически защищаются от вредоносных программ посредством EOP. Основные категории вредоносных программ перечислены ниже.

• Вирусы , которые заражают другие программы и данные и распространяются по компьютеру или сети в поисках программ для заражения.
• Шпионское ПО , которое собирает персональные данные, такие как данные для входа и персональные данные, и отправляет их автору.
• Программа-шантажист шифрует ваши данные и требует оплаты для их расшифровки. Антивредоносная программа не помогает расшифровать зашифрованные файлы, но может обнаружить полезные данные вредоносных программ, связанные с программой-шантажистом.

EOP предлагает многоуровневую защиту от вредоносных программ, предназначенную для перехвата всех известных вредоносных программ в Windows, Linux и Mac, которые перемещаются в вашу организацию или из нее. Для защиты от вредоносного ПО используются следующие возможности.

• Многоуровневая защита от вредоносных программ: используется несколько антивирусных механизмов, защищающих от известных и неизвестных угроз. В этих механизмах используются мощные эвристические методы обнаружения, которые обеспечивают защиту даже на ранних этапах эпидемий вредоносных программ. Практика показала, что этот подход с использованием многих механизмов обеспечивает значительно лучшую защиту, чем использование всего одного антивирусного механизма.
• Реагирование на угрозы в режиме реального времени. Во время некоторых вспышек команда по борьбе с вредоносными программами может иметь достаточно информации о вирусе или другой форме вредоносных программ, чтобы написать сложные правила политики, которые обнаруживают угрозу, даже до того, как будет доступно определение из любого из модулей сканирования, используемых службой. Эти правила публикуются в глобальной сети каждые 2 часа, чтобы предоставить организации дополнительный уровень защиты от атак.
• Быстрое развертывание определений вредоносных программ. Команда по борьбе с вредоносными программами поддерживает тесные отношения с партнерами, которые разрабатывают подсистемы защиты от вредоносных программ. Благодаря этому служба может получать и интегрировать сигнатуры вредоносных программ и исправления, прежде чем они станут общедоступны. Это партнерство также часто позволяет нам разрабатывать собственные решения. Служба ежечасно проверяет наличие обновлений определений для всех антивирусных механизмов.

В EOP сообщения, содержащие вредоносные программы во всех вложениях, помещаются в карантин^*. Возможность просмотра или взаимодействия получателей с сообщениями, помещенными в карантин, определяется политиками карантина. По умолчанию сообщения, помещенные в карантин из-за вредоносных программ, могут просматриваться и освобождаться только администраторами. Пользователи не могут выпускать собственные сообщения о вредоносных программах в карантине, независимо от доступных параметров, настроенных администраторами. Дополнительные сведения см. в следующих статьях:

^* Фильтрация вредоносных программ пропускается в почтовых ящиках SecOps, определенных в расширенной политике доставки. Дополнительные сведения см. в статье Настройка расширенной политики доставки для моделирования фишинга сторонних разработчиков и доставки электронной почты в почтовые ящики SecOps.

• Структура политики карантина
• Управление сообщениями и файлами в карантине в качестве администратора в EOP.

Политики защиты от вредоносных программ также содержат общий фильтр вложений. Сообщения, содержащие указанные типы файлов , автоматически определяются как вредоносные программы. Дополнительные сведения см. в разделе Фильтр распространенных вложений в политиках защиты от вредоносных программ далее в этой статье.

Дополнительные сведения о защите от вредоносных программ см. в статье Вопросы и ответы о защите от вредоносных программ.

Сведения о настройке политики защиты от вредоносных программ по умолчанию, а также о создании, изменении и удалении настраиваемых политик защиты от вредоносных программ см. в статье Настройка политик защиты от вредоносных программ. В стандартных и строгих предустановленных политиках безопасности параметры политики защиты от вредоносных программ уже настроены и неизменяемы, как описано в разделе Параметры политики защиты от вредоносных программ EOP.

Совет

Если вы не согласны с вердиктом по вредоносным программам, вы можете сообщить о вложении сообщения в корпорацию Майкрософт как о ложном срабатывании (хорошее вложение помечено как плохое) или ложноотрицательном (допускается неправильное вложение). Дополнительные сведения см. в статье Разделы справки сообщить о подозрительном сообщении электронной почты или файле в Корпорацию Майкрософт?.

Политики защиты от вредоносных программ

Политики защиты от вредоносных программ управляют настраиваемыми параметрами и параметрами уведомлений для обнаружения вредоносных программ. Важные параметры политик защиты от вредоносных программ описаны в следующих подразделах.

Фильтры получателей в политиках защиты от вредоносных программ

Фильтры получателей используют условия и исключения для определения внутренних получателей, к которым применяется политика. В пользовательских политиках требуется по крайней мере одно условие. Условия и исключения недоступны в политике по умолчанию (политика по умолчанию применяется ко всем получателям). Для условий и исключений можно использовать следующие фильтры получателей:

• Пользователи: один или несколько почтовых ящиков, почтовых пользователей или почтовых контактов в организации.
• Группы.
  • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
  • Указанные Группы Microsoft 365.
• Домены: один или несколько настроенных обслуживаемых доменов в Microsoft 365. Основной адрес электронной почты получателя находится в указанном домене.

Условие или исключение можно использовать только один раз, но условие или исключение могут содержать несколько значений:

• Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):

  • Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
  • Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.

• Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

• Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

  • Пользователей: romain@contoso.com
  • Группы: руководители

  Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

Фильтр распространенных вложений в политиках защиты от вредоносных программ

Существуют определенные типы файлов, которые действительно не следует отправлять по электронной почте (например, исполняемые файлы). Зачем проверять эти типы файлов на наличие вредоносных программ, если их все равно следует заблокировать? Именно здесь появляется общий фильтр вложений. Указанные типы файлов автоматически определяются как вредоносные программы.

Список типов файлов по умолчанию используется в политике защиты от вредоносных программ по умолчанию, в создаваемых пользовательских политиках защиты от вредоносных программ, а также в политиках защиты от вредоносных программ в стандартных и строгих предустановленных политиках безопасности.

На портале Microsoft Defender можно выбрать из списка дополнительных типов файлов или добавить собственные значения при создании или изменении политик защиты от вредоносных программ на портале Microsoft Defender.

• Типы файлов по умолчанию: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Дополнительные типы файлов для выбора на портале Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

При обнаружении файлов с помощью фильтра общих вложений можно выбрать вариант Отклонить сообщение с отчетом о недоставки (NDR) или поместить сообщение на карантин.

Сопоставление типов true в фильтре общих вложений

В фильтре распространенных вложений для определения типа файла, независимо от расширения имени файла, используется максимальное соответствие типа true. При сопоставлении с истинным типом используются характеристики файла для определения реального типа файла (например, начальные и конечные байты в файле). Например, если exe файл переименован с расширением txt имени файла, фильтр общих вложений определяет файл как exe файл.

Сопоставление типов true в общем фильтре вложений поддерживает следующие типы файлов:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Если сопоставление истинного типа завершается ошибкой или не поддерживается для типа файла, используется простое сопоставление расширений.

Автоматическая очистка нулевого часа (ZAP) в политиках защиты от вредоносных программ

ZAP для вредоносных программ помещает в карантин сообщения, содержащие вредоносные программы после их доставки в почтовые ящики Exchange Online. По умолчанию параметр ZAP для вредоносных программ включен, и рекомендуется оставить его включенным. Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа (ZAP) для вредоносных программ.

Политики карантина в политиках защиты от вредоносных программ

Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. По умолчанию получатели не получают уведомления о сообщениях, которые были помещены в карантин как вредоносные программы, и пользователи не могут выпускать собственные сообщения о вредоносных программах, помещенных в карантин, независимо от доступных параметров, настроенных администраторами. Дополнительные сведения см. в разделе Анатомия политики карантина.

Администратор уведомлений в политиках защиты от вредоносных программ

Вы можете указать дополнительного получателя (администратора) для получения уведомлений о вредоносных программах, обнаруженных в сообщениях от внутренних или внешних отправителей. Вы можете настроить текст адреса, темы и сообщения from для внутренних и внешних уведомлений.

Эти параметры не настраиваются в политике защиты от вредоносных программ по умолчанию, а также в стандартных или строгих предустановленных политиках безопасности.

Совет

Уведомления для администраторов отправляются только для вложений, которые классифицируются как вредоносные.

Политика карантина, назначенная политике защиты от вредоносных программ, определяет, получают ли получатели Уведомления по электронной почте для сообщений, помещенных в карантин как вредоносные программы.

Приоритет политик защиты от вредоносных программ

Если они включены, стандартные и строгие предустановленные политики безопасности применяются перед любыми пользовательскими политиками защиты от вредоносных программ или политикой по умолчанию (Сначала всегда используется Строгий). При создании нескольких настраиваемых политик защиты от вредоносных программ можно указать порядок их применения. Обработка политики останавливается после применения первой политики (политика с наивысшим приоритетом для этого получателя).

Дополнительные сведения о порядке приоритета и способах оценки нескольких политик см. в разделах Порядок и приоритет защиты электронной почты и Порядок приоритета для предустановленных политик безопасности и других политик.

Политика защиты от вредоносных программ по умолчанию

В каждой организации есть встроенная политика защиты от вредоносных программ с именем Default со следующими свойствами:

• Эта политика является стандартной (для свойства IsDefault задано значение True), и удалить стандартную политику невозможно.
• Политика автоматически применяется ко всем получателям в организации, и ее нельзя отключить.
• Политика всегда применяется последней (значение приоритета — Наименьшее , изменить его невозможно).