Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками Exchange Online автоматическая очистка (ZAP) — это функция защиты в Exchange Online Protection (EOP), которая задним числом обнаруживает и нейтрализует вредоносные фишинг, спам или вредоносные сообщения, которые уже были доставлены в почтовые ящики Exchange Online.

ZAP не работает в автономных средах EOP, которые защищают локальные почтовые ящики.

Примечание.

В настоящее время в предварительной версии ZAP также может задним числом обнаруживать существующие вредоносные сообщения чата в Microsoft Teams.

Спам и вредоносные программы в службе обновляются в режиме реального времени ежедневно. Однако пользователи по-прежнему могут получать вредоносные сообщения. Например:

  • Вредоносные программы нулевого дня, которые не были обнаружены во время потока обработки почты.
  • Содержимое, которое используется после доставки пользователям.

РЕШЕНИЕ ZAP решает эти проблемы путем постоянного мониторинга спама и обновлений сигнатур вредоносных программ в службе и обеспечивает удобство работы пользователей. ZAP находит и выполняет автоматические действия с сообщениями, которые уже находятся в почтовом ящике пользователя. Поиск ZAP ограничен последними 48 часами доставки электронной почты. Пользователи не получают уведомления, если ZAP обнаруживает и перемещает сообщение.

Посмотрите это короткое видео, чтобы узнать, как ZAP в Microsoft Defender для Office 365 автоматически обнаруживает и нейтрализует угрозы в электронной почте.

Автоматическая очистка (ZAP) для сообщений электронной почты за нулевой час

Автоматическая очистка нулевого часа (ZAP) для вредоносных программ

Для прочитанных или непрочитанных сообщений , которые содержат вредоносные программы после доставки, ZAP помещает в карантин сообщение, содержащее вложение вредоносных программ. По умолчанию только администраторы могут просматривать сообщения о вредоносном ПО, помещенные в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Примечание.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать освобождение своих сообщений о вредоносных программах, помещенных в карантин.

ZAP для вредоносных программ включен по умолчанию в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ в EOP.

Автоматическая очистка нулевого часа (ZAP) для фишинга

Для прочитанных или непрочитанных сообщений , которые считаются фишинговыми (не с высокой достоверностью) после доставки, результат ZAP зависит от действия, настроенного для решения фишинга в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:

  • Добавьте X-Header, строку темы prepend с текстом, сообщение перенаправления на адрес электронной почты, удалить сообщение: ZAP не выполняет никаких действий с сообщением.

  • Переместить сообщение в нежелательную Email. ZAP перемещает сообщение в папку Нежелательная Email.

    Это действие по умолчанию для решения фишинга в политике защиты от нежелательной почты по умолчанию и пользовательских политиках защиты от нежелательной почты, создаваемых в PowerShell.

  • Сообщение карантина: ZAP помещает сообщение в карантин.

    Это действие по умолчанию для решения фишинга в стандартных и строгих предустановленных политиках безопасности, а также в пользовательских политиках защиты от нежелательной почты, созданных на портале Defender.

По умолчанию zap для фишинга включен в политиках защиты от нежелательной почты.

Дополнительные сведения о настройке вердиктов фильтрации спама см. в статье Настройка политик защиты от нежелательной почты в Microsoft 365.

Автоматическая очистка нулевого часа (ZAP) для фишинга с высокой достоверностью

Для прочитанных или непрочитанных сообщений , которые определяются как фишинг с высокой достоверностью после доставки, ZAP помещает сообщение на карантин. По умолчанию только администраторы могут просматривать фишинговые сообщения с высокой степенью достоверности и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Примечание.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, вместо этого пользователям разрешено запрашивать освобождение их помещенных в карантин фишинговых сообщений с высокой степенью достоверности.

ZAP для фишинга с высокой достоверностью включен по умолчанию. Дополнительные сведения см. в статье Защита по умолчанию в Office 365.

Автоматическая очистка за нулевой час (ZAP) для спама

Для непрочитанных сообщений , которые определяются как спам или спам с высокой достоверностью после доставки, результат ZAP зависит от действия, настроенного для вердикта спама или спама высокой достоверности в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:

  • Добавьте X-Header, строку темы prepend с текстом, сообщение перенаправления на адрес электронной почты, удалить сообщение: ZAP не выполняет никаких действий с сообщением.

  • Переместить сообщение в нежелательную Email. ZAP перемещает сообщение в папку Нежелательная Email.

    Для вердикта спама это действие по умолчанию в политике защиты от нежелательной почты по умолчанию, новых настраиваемых политиках защиты от нежелательной почты и стандартной предустановленной политике безопасности.

    Для вердикта спама высокой достоверности это действие по умолчанию в политике защиты от нежелательной почты по умолчанию и новых пользовательских политиках защиты от нежелательной почты.

  • Сообщение карантина: ZAP помещает сообщение в карантин.

    Для вердикта нежелательной почты это действие по умолчанию в политике безопасности Strict Preset.

    Для вердикта спама высокой достоверности это действие по умолчанию в стандартных и строгих предустановленных политиках безопасности.

По умолчанию пользователи могут просматривать сообщения, которые были помещены в карантин как спам или спам с высоким уровнем достоверности, и управлять ими, если они получатели. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

По умолчанию в политиках защиты от нежелательной почты включен параметр ZAP для спама.

Дополнительные сведения о настройке вердиктов фильтрации спама см. в статье Настройка политик защиты от нежелательной почты в Microsoft 365.

Как узнать, переместили ли ваше сообщение ZAP

Чтобы определить, переместил ли ZAP ваше сообщение, у вас есть следующие варианты:

Примечание.

ZAP не регистрируется в журналах аудита почтовых ящиков Exchange в качестве системного действия.

Рекомендации по автоматической очистке (ZAP) нулевого часа для безопасных вложений в Microsoft Defender для Office 365

ZAP не помещает в карантин сообщения, которые находятся в процессе проверки политики динамической доставки в политике безопасных вложений. Если для сообщений в этом состоянии получен фишинговый или спам-сигнал, а в политике защиты от нежелательной почты установлен вердикт фильтрации для выполнения некоторых действий с сообщением (Перемещение в нежелательную, перенаправление, удаление или карантин), ZAP возвращается к действию "Переместить в нежелательную".

Автоматическая очистка нулевого часа (ZAP) в Microsoft Teams

Совет

ZAP для Microsoft Teams доступен только для клиентов с подписками на Microsoft 365 E5 или Microsoft Defender для Office 365 план 2. Сведения о настройке защиты ZAP для Teams см. в разделе поддержка microsoft Teams Microsoft Defender для Office 365 плана 2.

ZAP в чатах Teams

ZAP доступен для внутренних сообщений в чатах Teams, которые идентифицируются как вредоносные программы или фишинг с высокой достоверностью. В настоящее время внешние сообщения не поддерживаются.

Teams отличается от электронной почты, так как все пользователи в чате Teams одновременно получают одну и ту же копию сообщения (бифуркация сообщения отсутствует). Когда защита ZAP для Teams блокирует сообщение, сообщение блокируется для всех пользователей в чате. Начальная блокировка происходит сразу после доставки, но ZAP происходит до 48 часов после доставки.

Исключения для защиты ZAP для Teams в чатах Teams имеют значение для получателей сообщений, а не для отправителей сообщений. Сведения о настройке исключений для чатов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365 план 2.

Защита ZAP для Teams может принимать меры с сообщениями для всех получателей в чате, если какие-либо получатели в чате не исключены из защиты ZAP для Teams. Только в том случае, если все получатели в чате исключены из защиты ZAP для Teams, ZAP не будет принимать меры с сообщением. Эти сценарии показаны в следующей таблице:

Сценарий Result
Групповой чат с получателями A, B, C и D.

Получатели A, B, C и D исключаются из защиты ZAP для Teams.		 ZAP не блокирует сообщения, отправленные в групповой чат.
Групповой чат с получателями A, B, C и D.

Только получатели A, B и C исключаются из ZAP для защиты Teams.		 ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей.
Групповой чат с получателями A, B, C и D.

Получатели A, B, C и D не исключаются из защиты ZAP для Teams.

Отправитель X исключается из защиты ZAP для Teams и отправляет сообщение в групповой чат.		 ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей.

Представление отправителя:

Изображение, показывающее, как работает защита ZAP для Teams для отправителя.

Представление получателей:

Изображение, показывающее, как работает защита ZAP для Teams для получателя.

ZAP в каналах Teams

Защита ZAP для Teams поддерживает следующие типы каналов Teams:

  • Стандартные каналы: ZAP доступен для внутренних сообщений. В настоящее время внешние сообщения не поддерживаются.
  • Общие каналы: ZAP доступен для внутренних и внешних сообщений.

В настоящее время ZAP недоступен в частных каналах.

Чтобы настроить исключения для защиты ЗАП для каналов Teams, вам потребуется адрес электронной почты получателя. Этот адрес отличается от адреса электронной почты канала в клиенте Teams.

Чтобы получить адрес электронной почты получателя, который будет использоваться для исключений для защиты канала Teams, используйте значение Имя и адрес электронной почты в разделе Сведения о канале на панели сущности сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.

Правильный адрес электронной почты канала Teams на панели сущностей сообщений Teams.

Сведения о настройке исключений для каналов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365 план 2.

Автоматическая очистка нулевого часа (ZAP) для фишинговых сообщений с высоким уровнем достоверности в Teams

Для сообщений, которые определяются как фишинг с высокой достоверностью после доставки, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, используемой для обнаружения фишинга с высокой степенью достоверности в ZAP для Teams, см. в статье Поддержка Microsoft Teams Microsoft Defender для Office 365 плана 2.

Автоматическая очистка нулевого часа (ZAP) для вредоносных программ в сообщениях Teams

Для сообщений, которые определены как вредоносные программы, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, используемой для обнаружения вредоносных программ в ZAP для Teams, см. в разделе поддержка Microsoft Teams Microsoft Defender для Office 365 план 2.

Как узнать, заблокировало ли zap сообщение Teams

В настоящее время только администраторы могут просматривать и управлять сообщениями, которые были помещены в карантин с помощью zap для защиты Teams. Дополнительные сведения см. в статье Использование портала Microsoft Defender для управления сообщениями Microsoft Teams в карантине.

Часто задаваемые вопросы об автоматической очистке (ZAP)

Что произойдет, если ZAP переместит допустимые сообщения в папку "Нежелательная Email"?

Следуйте обычному процессу отправки ложноположительных результатов в корпорацию Майкрософт. ZAP перемещает сообщение из папки "Входящие" в папку "Нежелательная Email", только если служба определяет, что сообщение является нежелательным или вредоносным.

Что делать, если я использую папку "Карантин" вместо папки "Нежелательная почта"?

ZAP принимает меры с сообщением на основе конфигурации политик защиты от нежелательной почты, как описано ранее в этой статье.

Как на ZAP влияют исключения для функций защиты в EOP и Defender для Office 365?

Действия ZAP могут быть переопределены списками надежных отправителей, правилами потока обработки почты Exchange (правилами транспорта) и другими организационными блоками и параметрами разрешений. Однако для вредоносных программ и фишинговых вердиктов с высокой достоверностью существует очень мало сценариев, когда ZAP не действует на сообщения для защиты пользователей:

Для вас важно тщательно рассмотреть последствия обхода фильтрации, так как это может поставить под угрозу состояние безопасности вашей организации.

Каковы требования к лицензированию для ZAP?

Для ZAP не существует особых требований к лицензированию вредоносных программ, спама и фишинга. ZAP работает со всеми почтовыми ящиками, размещенными в Exchange Online. ZAP не работает в локальных почтовых ящиках, защищенных автономным EOP.

Защита ZAP для Teams требует лицензий Microsoft 365 E5 или Microsoft Defender для Office 365 плана 2.

Работает ли ZAP с сообщениями в других папках почтового ящика (например, сообщения, перемещаемые правилами папки "Входящие")?

ZAP по-прежнему работает до тех пор, пока сообщение не было удалено или пока не было применено то же или более сильное действие. Например, если сообщение находится в папке Нежелательная Email и действием в применимой политике защиты от фишинга является карантин, ZAP помещает его в карантин.

Как ZAP влияет на почтовые ящики при удержании?

ZAP помещает в карантин сообщения из почтовых ящиков на удержание. ZAP может перемещать сообщения в папку Нежелательная Email в зависимости от действия, настроенного для спама или фишинга в политиках защиты от нежелательной почты.

Дополнительные сведения об удержании в Exchange Online см. в разделе Удержание на месте и удержание по делу в Exchange Online.