Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
Область применения
- Exchange Online Protection
- Microsoft Defender для Office 365 (план 1) и план 2
- Microsoft Defender XDR
В этой статье приводятся часто задаваемые вопросы и ответы о защите от вредоносных программ для организаций Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организаций без Exchange Online почтовых ящиков.
Вопросы и ответы, связанные в карантине, см. в статье Quarantine FAQ.
Вопросы и ответы о защите от нежелательной почты см. в разделе Часто задаваемые вопросы о защите от нежелательной почты.
Вопросы и ответы о защите от спуфингов см. в статье Защита от спуфингом: вопросы и ответы.
Каковы рекомендации по настройке и использованию службы для борьбы с вредоносными программами?
Как часто происходит обновление определений вредоносных программ?
Каждый сервер проверяет наличие новых сигнатур вредоносных программ, выпускаемых нашими партнерами по антивредоносной защите, каждый час.
Сколько у вас партнеров по антивредоносной защите? Можно ли выбрать предпочтительный модуль защиты от вредоносных программ?
У нас есть партнерские отношения с несколькими поставщиками технологий защиты от вредоносных программ. Сообщения проверяются с помощью модулей защиты от вредоносных программ Майкрософт, дополнительного модуля на основе сигнатур, а также проверки репутации URL-адресов и файлов из нескольких источников. Наши партнеры могут быть изменены, но EOP всегда использует защиту от вредоносных программ от нескольких партнеров. Вы не можете выбрать один модуль защиты от вредоносных программ вместо другого.
Где происходит сканирование на вредоносные программы?
Мы проверяем наличие вредоносных программ в сообщениях, которые отправляются в почтовый ящик или из почтового ящика (сообщения при передаче). Для почтовых ящиков Exchange Online также есть автоматическая очистка (ZAP) нулевого часа для вредоносных программ для сканирования уже доставленных сообщений. При повторной отправке сообщения из почтового ящика оно сканируется снова (так как оно передается).
Если изменить политику защиты от вредоносных программ, сколько времени пройдет после сохранения изменений до момента, когда они вступят в силу?
Чтобы изменения вступили в силу, может потребоваться до 1 часа.
Выполняется ли сканирование на вредоносные программы для внутренних сообщений?
Для организаций с почтовыми ящиками Exchange Online служба проверяет наличие вредоносных программ во всех входящих и исходящих сообщениях, включая сообщения, отправляемые между внутренними получателями.
Автономная подписка EOP сканирует сообщения, когда они входят в локальную организацию электронной почты или покидают ее. Сообщения, отправляемые между внутренними локальными получателями, не проверяются на наличие вредоносных программ. Однако вы можете использовать встроенные функции проверки на вредоносные программы Exchange Server. Дополнительные сведения см. в статье Защита от вредоносных программ в Exchange Server.
Поддерживают ли антивредоносные модули, используемые службой, функции эвристического сканирования?
Да. Эвристическая проверка на наличие известных (совпадение сигнатур) и неизвестных (подозрительных) вредоносных программ.
Может ли служба сканировать сжатые файлы (например, файлы ZIP)?
Да. Подсистемы защиты от вредоносных программ могут выполнять детализацию сжатых (архивных) файлов.
Поддерживает ли сканирование сжатых вложений рекурсивную (.zip в .zip в .zip) и если да, то насколько глубоко?
Да, рекурсивное сканирование сжатых файлов сканирует много слоев глубоко.
Работает ли служба с устаревшими версиями Exchange и средами, не работающими с Exchange?
Да, работа службы не зависит от сервера.
Что такое вирус нулевого дня и как он обрабатывается службой?
Вирус нулевого дня — это первое поколение, ранее неизвестный вариант вредоносных программ, который никогда не был захвачен или проанализирован.
После захвата и анализа примера вируса нулевого дня нашими подсистемами защиты от вредоносных программ создается определение и уникальная сигнатура для обнаружения вредоносных программ.
Если для вредоносных программ существует определение или сигнатура, это больше не считается нулевым днем.
Как настроить службу для блокировки определенных исполняемых файлов (например, \*.exe), которые, как я опасаюсь, могут содержать вредоносные программы?
Вы можете включить и настроить общий фильтр вложений (также известный как обычная блокировка вложений), как описано в разделе Общий фильтр вложений в политиках защиты от вредоносных программ.
Вы также можете создать правило потока обработки почты Exchange (также известное как правило транспорта), которое блокирует любое вложение электронной почты с исполняемым содержимым.
Выполните действия, описанные в разделе Как снизить угрозы вредоносных программ с помощью блокировки вложений в файлах в Exchange Online Protection, чтобы заблокировать типы файлов, перечисленные в разделе Поддерживаемые типы файлов для проверки содержимого правила потока обработки почты в Exchange Online.
Для повышенной защиты мы также рекомендуем использовать расширение Любой файл вложения, включающее эти слова в правилах потока обработки почты, чтобы заблокировать некоторые или все следующие расширения: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Почему определенная вредоносная программа прошла мимо фильтров?
Полученная вредоносная программа является новым вариантом (см . раздел Что такое вирус нулевого дня и как он обрабатывается службой?). Время, необходимое для обновления определения вредоносных программ, зависит от наших партнеров по защите от вредоносных программ.
Помните, что никакие настраиваемые пользователем или администратором параметры не могут исключить вложения электронной почты от проверки с помощью защиты от вредоносных программ.
Как отправить вредоносную программу, которая прошла мимо фильтров, в корпорацию Майкрософт? Кроме того, как отправить файл, который, по моему мнению, был неправильно обнаружен как вредоносная программа?
Я получил сообщение электронной почты с незнакомым вложением. Это вредоносная программа или вложение можно проигнорировать?
Настоятельно рекомендуется не открывать вложения, которые вы не распознаете. Если вы хотите, чтобы мы исследовали вложение, сообщите о файле в корпорацию Майкрософт.
Где можно получить сообщения, удаленные фильтрами вредоносных программ?
Сообщения содержат активный вредоносный код, поэтому мы не разрешаем доступ к этим сообщениям. Они бесцеремонно удаляются.
Я не могу получить определенное вложение, так как оно ложно идентифицируется как вредоносная программа. Можно ли разрешить это вложение с помощью правил потока обработки почты?
Нет. Вы не можете использовать правила потока обработки почты Exchange для пропуска фильтрации вредоносных программ. Единственный способ пропустить фильтрацию вредоносных программ для получателя — определить почтовый ящик как почтовый ящик SecOps. Дополнительные сведения см. в статье Использование портала Microsoft Defender для настройки почтовых ящиков SecOps в расширенной политике доставки.
Можно ли получать данные отчетов об обнаружении вредоносных программ?
Да, доступ к отчетам можно получить на портале Microsoft Defender. Дополнительные сведения см. в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.
Существует ли средство для отслеживания сообщений, в которых обнаружено вредоносное ПО?
Да, средство трассировки сообщений позволяет отслеживать сообщения электронной почты, которые проходят через службу. Дополнительные сведения о том, как с помощью средства трассировки сообщений узнать, почему было обнаружено сообщение, содержащее вредоносные программы, см. в статье Трассировка сообщений в современном Центре администрирования Exchange.
Можно ли использовать стороннего поставщика защиты от нежелательной почты и вредоносных программ с Exchange Online?
Да. В большинстве случаев рекомендуется указывать записи MX на EOP (т. е. доставить электронную почту непосредственно в) EOP. Если вам нужно сначала направить электронную почту в другое место, необходимо включить расширенную фильтрацию для соединителей , чтобы EOP могла использовать истинный источник сообщений при фильтрации.
При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?
Эта служба предназначена для обнаружения и удаления нежелательных и вредоносных сообщений, хотя иногда мы можем расследовать особо опасные сообщения или атаки и добавиться наказания злоумышленников.
Мы часто работаем с нашими юридическими и цифровыми подразделениями по борьбе с преступностью, чтобы предпринять следующие действия:
- Снимите спам-ботнет.
- Запретить злоумышленнику использовать службу.
- Передать информацию в правоохранительные органы для уголовного преследования.