Skydd mot skadlig kod i EOP

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.

Gäller för

I Microsoft 365 organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor skyddas e-postmeddelanden automatiskt mot skadlig kod av EOP. Några av de viktigaste kategorierna av skadlig kod är:

  • Virus som infekterar andra program och data och sprids genom datorn eller nätverket och letar efter program som ska infekteras.
  • Spionprogram som samlar in din personliga information, till exempel inloggningsinformation och personliga data, och skickar tillbaka den till författaren.
  • Utpressningstrojaner som krypterar dina data och kräver betalning för att dekryptera dem. Programvara mot skadlig kod hjälper dig inte att dekryptera krypterade filer, men den kan identifiera och ta bort nyttolasten för skadlig kod som är associerad med utpressningstrojaner.

EOP erbjuder skydd mot skadlig kod i flera lager som är utformat för att fånga upp all känd skadlig kod i Windows, Linux och Mac som färdas till eller från din organisation. Följande alternativ hjälper dig att skydda mot skadlig kod:

  • Skydd i flera lager mot skadlig kod: Flera genomsökningsmotorer mot skadlig kod hjälper till att skydda mot både kända och okända hot. Dessa motorer inkluderar kraftfull heuristisk identifiering för att ge skydd även under de tidiga stadierna av ett utbrott av skadlig kod. Den här metoden med flera motorer har visat sig ge betydligt mer skydd än att bara använda en motor för skadlig kod.
  • Svar på hot i realtid: Under vissa utbrott kan teamet mot skadlig kod ha tillräckligt med information om ett virus eller någon annan form av skadlig kod för att skriva avancerade principregler som identifierar hotet, även innan en definition är tillgänglig från någon av de skanningsmotorer som används av tjänsten. Dessa regler publiceras till det globala nätverket varannan timme för att ge din organisation ett extra skydd mot attacker.
  • Snabb definitionsdistribution mot skadlig kod: Teamet för skydd mot skadlig kod upprätthåller nära relationer med partner som utvecklar motorer mot skadlig kod. Därför kan tjänsten ta emot och integrera definitioner och korrigeringar av skadlig kod innan de publiceras offentligt. Vår kontakt med dessa partners gör det ofta möjligt för oss att utveckla våra egna lösningar också. Tjänsten söker efter uppdaterade definitioner för alla motorer mot skadlig kod varje timme.

I EOP placeras meddelanden som visar sig innehålla skadlig kod i eventuella bifogade filer i karantän. Om mottagarna kan visa eller på annat sätt interagera med meddelanden i karantän styrs av karantänprinciper. Som standard kan meddelanden som har placerats i karantän på grund av skadlig kod endast visas och släppas av administratörer. Mer information finns i följande avsnitt:

Mer information om skydd mot skadlig kod finns i Vanliga frågor och svar om skydd mot skadlig kod.

Information om hur du konfigurerar principer för skydd mot skadlig kod finns i Konfigurera principer för skydd mot skadlig kod.

Information om hur du skickar skadlig kod till Microsoft finns i Rapportera meddelanden och filer till Microsoft.

Principer för skydd mot skadlig programvara

Principer för skydd mot skadlig kod styr inställningarna och meddelandealternativen för identifiering av skadlig kod. De viktiga inställningarna i principer för skydd mot skadlig kod är:

  • Mottagarmeddelanden: Som standard får en meddelandemottagare inte veta att ett meddelande avsett för dem har satts i karantän på grund av skadlig kod. Men du kan aktivera mottagarmeddelanden i form av att leverera det ursprungliga meddelandet med alla bifogade filer borttagna och ersatta av en enda fil med namnet Malware Alert Text.txt som innehåller följande text:

    Skadlig kod har identifierats i en eller flera bifogade filer som ingår i det här e-postmeddelandet.
    Åtgärd: Alla bifogade filer har tagits bort.
    <Original malware attachment name> <Malware detection result>

    Du kan ersätta standardtexten i filen Avisering om skadlig kod Text.txt med din egen anpassade text.

  • Filter för vanliga bifogade filer: Det finns vissa typer av filer som du verkligen inte bör skicka via e-post (till exempel körbara filer). Varför bry sig om att skanna dessa typer av filer efter skadlig kod, när du förmodligen bör blockera dem alla, ändå? Det är där det gemensamma filtret för bifogade filer kommer in. Den är inaktiverad som standard, men när du aktiverar den behandlas de filtyper som du anger automatiskt som skadlig kod. Du kan använda standardlistan med filtyper eller anpassa listan. Standardfiltyperna är: ace, ani, app, cab, docm, exe, iso, jar, jnlp, reg, scr, vbe, vbs.

    Det vanliga filtret för bifogade filer använder true-typning för att identifiera filtypen oavsett filnamnstillägget. Om true-typning misslyckas eller inte stöds för den angivna filtypen används enkel tilläggsmatchning.

  • Automatisk rensning i noll timmar (ZAP) för skadlig kod: ZAP för skadlig kod placerar meddelanden som visar sig innehålla skadlig kod i karantän när de har levererats till Exchange Online postlådor. Som standard är ZAP för skadlig kod aktiverat och vi rekommenderar att du låter det vara aktiverat.

  • Aviseringar från avsändare: Som standard får ingen meddelandeavsändare veta att meddelandet har satts i karantän på grund av skadlig kod. Men du kan aktivera aviseringsmeddelanden för avsändare baserat på om avsändaren är intern eller extern. Standardmeddelandet ser ut så här:

    Från: Postmaster postmaster@<defaultdomain>.com
    Ämne: Meddelande som inte kan levereras

    Det här meddelandet skapades automatiskt av e-postleveransprogramvaran. Ditt e-postmeddelande levererades inte till de avsedda mottagarna eftersom skadlig kod upptäcktes. Alla bifogade filer har tagits bort.

    --- ytterligare information ---:

    Ämne: <message subject>
    Avsändaren: <message sender>

    Mottagen tid: <date/time>
    Meddelande-ID: <message id>
    Identifieringar hittades:
    <attachment name> <malware detection result>

    Du kan anpassa text från adress, ämne och meddelande för interna och externa meddelanden.

    Du kan också ange en ytterligare mottagare (en administratör) för att ta emot meddelanden om skadlig kod som identifieras i meddelanden från interna eller externa avsändare.

    Anteckning

    Admin meddelanden skickas endast för bifogade filer som klassificeras som skadlig kod.

  • Mottagarfilter: För anpassade principer för skydd mot skadlig kod kan du ange mottagarvillkor och undantag som avgör vem principen gäller för. Du kan använda dessa egenskaper för villkor och undantag:

    • Mottagaren är
    • Mottagardomänen är
    • Mottagaren är medlem i

    Du kan bara använda ett villkor eller undantag en gång, men villkoret eller undantaget kan innehålla flera värden. Flera värden för samma villkor eller undantag använder ELLER-logik (till exempel <recipient1> eller <recipient2>). Olika villkor och undantag använder OCH-logik (till exempel <recipient1> och <member of group 1>).

    Viktigt

    Flera olika villkor eller undantag är inte additiva; de är inkluderande. Principen tillämpas endast på de mottagare som matchar alla angivna mottagarfilter. Du kan till exempel konfigurera ett mottagarfiltervillkor i principen med följande värden:

    • Mottagaren är: romain@contoso.com
    • Mottagaren är medlem i: Chefer

    Principen tillämpas endast på romain@contoso.com om han också är medlem i grupperna Chefer. Om han inte är medlem i gruppen tillämpas inte policyn på honom.

    Om du använder samma mottagarfilter som ett undantag till principen tillämpas principen inte på romain@contoso.com endast om han också är medlem i grupperna Chefer. Om han inte är medlem i gruppen gäller policyn fortfarande för honom.

  • Prioritet: Om du skapar flera anpassade principer för skydd mot skadlig kod kan du ange i vilken ordning de tillämpas. Inga två policyer kan ha samma prioritet, och policyhantering stannar efter att den första policyn har tillämpats.

    För mer information om ordningsföljden och hur flera policyer utvärderas och tillämpas, se Order och prioritet för e-postskydd.

Principer för skydd mot skadlig kod i Microsoft 365 Defender-portalen jämfört med PowerShell

De grundläggande elementen i en princip för skydd mot skadlig kod är:

  • Filterprincipen för skadlig kod: Anger mottagarens meddelande, avsändare och administratörsmeddelande, ZAP och de vanliga filterinställningarna för bifogade filer.
  • Filterregeln för skadlig kod: Anger prioritets- och mottagarfilter (som principen gäller för) för en princip för filter för skadlig kod.

Skillnaden mellan dessa två element är inte uppenbar när du hanterar principer för skydd mot skadlig kod i Microsoft 365 Defender-portalen:

  • När du skapar en princip för skydd mot skadlig kod skapar du faktiskt en filterregel för skadlig kod och den associerade principen för filter av skadlig kod samtidigt med samma namn för båda.
  • När du ändrar en princip för skydd mot skadlig kod ändrar inställningar relaterade till namn, prioritet, aktiverad eller inaktiverad och mottagarfilter regeln för filter för skadlig kod. Andra inställningar (mottagarmeddelande, avsändare och administratörsmeddelande, ZAP och det gemensamma filtret för bifogade filer) ändrar den associerade principen för filter för skadlig kod.
  • När du tar bort en princip för skydd mot skadlig kod tas filterregeln för skadlig kod och den associerade principen för filter av skadlig kod bort.

I Exchange Online PowerShell eller fristående EOP PowerShell är skillnaden mellan filterprinciper för skadlig kod och filterregler för skadlig kod uppenbar. Du hanterar principer för filter för skadlig kod med hjälp * av cmdletarna -MalwareFilterPolicy och du hanterar filterregler för skadlig kod med cmdletarna *-MalwareFilterRule.

  • I PowerShell skapar du först principen för filter för skadlig kod och sedan skapar du filterregeln för skadlig kod som identifierar principen som regeln gäller för.
  • I PowerShell ändrar du inställningarna i filterprincipen för skadlig kod och filterregeln för skadlig kod separat.
  • När du tar bort en princip för filter för skadlig kod från PowerShell tas inte motsvarande filterregel för skadlig kod bort automatiskt, och vice versa.

Standardprincip för skydd mot skadlig kod

Varje organisation har en inbyggd princip för skydd mot skadlig kod med namnet Default som har följande egenskaper:

  • Principen tillämpas på alla mottagare i organisationen, även om det inte finns någon regel för filter för skadlig kod (mottagarfilter) som är associerad med principen.
  • Principen har det anpassade prioritetsvärdet Lägsta som du inte kan ändra (policyn tillämpas alltid sist). Alla anpassade principer för skydd mot skadlig kod som du skapar har alltid högre prioritet än principen med namnet Standard.
  • Politik är standardpolicyn (egenskapen IsDefault har värdet True) och du kan inte ta bort standardpolicyn.