Skydd mot skadlig kod i EOP

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor skyddas e-postmeddelanden automatiskt mot skadlig kod av EOP. Några av de viktigaste kategorierna av skadlig kod är:

• Virus som infekterar andra program och data och sprids genom datorn eller nätverket och letar efter program som ska infekteras.
• Spionprogram som samlar in din personliga information, till exempel inloggningsinformation och personliga data, och skickar tillbaka den till författaren.
• Utpressningstrojaner som krypterar dina data och kräver betalning för att dekryptera dem. Programvara mot skadlig kod hjälper dig inte att dekryptera krypterade filer, men den kan identifiera nyttolasten för skadlig kod som är associerad med utpressningstrojaner.

EOP erbjuder skydd mot skadlig kod i flera lager som är utformat för att fånga upp all känd skadlig kod i Windows, Linux och Mac som skickas till eller från din organisation. Följande alternativ hjälper dig att skydda mot skadlig kod:

• Skydd i flera lager mot skadlig kod: Flera skanningsmotorer mot skadlig kod hjälper till att skydda mot både kända och okända hot. Dessa motorer inkluderar kraftfull heuristisk identifiering för att ge skydd även under de tidiga stadierna av ett utbrott av skadlig kod. Den här metoden med flera motorer har visat sig ge betydligt mer skydd än att bara använda en motor för skadlig kod.
• Svar på hot i realtid: Under vissa utbrott kan teamet mot skadlig kod ha tillräckligt med information om ett virus eller någon annan form av skadlig kod för att skriva avancerade principregler som identifierar hotet, även innan en definition är tillgänglig från någon av de skanningsmotorer som används av tjänsten. Dessa regler publiceras till det globala nätverket varannan timme för att ge din organisation ett extra skydd mot attacker.
• Snabb definitionsdistribution mot skadlig kod: Teamet för skydd mot skadlig kod upprätthåller nära relationer med partner som utvecklar motorer mot skadlig kod. Därför kan tjänsten ta emot och integrera definitioner och korrigeringar för skadlig kod innan de publiceras offentligt. Vår kontakt med dessa partners gör det ofta möjligt för oss att utveckla våra egna lösningar också. Tjänsten söker efter uppdaterade definitioner för alla motorer mot skadlig kod varje timme.

I EOP placeras meddelanden som visar sig innehålla skadlig kod i eventuella bifogade filer i karantän^*. Om mottagarna kan visa eller på annat sätt interagera med meddelanden i karantän styrs av karantänprinciper. Som standard kan meddelanden som har placerats i karantän på grund av skadlig kod endast visas och släppas av administratörer. Användare kan inte släppa sina egna meddelanden om skadlig kod i karantän, oavsett tillgängliga inställningar som administratörer konfigurerar. Mer information finns i följande artiklar:

^* Filtrering av skadlig kod hoppas över på SecOps-postlådor som identifieras i den avancerade leveransprincipen. Mer information finns i Konfigurera den avancerade leveransprincipen för nätfiskesimuleringar från tredje part och e-postleverans till SecOps-postlådor.

• En karantänprincips uppbyggnad
• Hantera meddelanden och filer i karantän som administratör i EOP.

Principer för skydd mot skadlig kod innehåller också ett gemensamt filter för bifogade filer. Meddelanden som innehåller de angivna filtyperna identifieras automatiskt som skadlig kod. Mer information finns i avsnittet Common attachments filter in anti-malware policies (Vanliga bifogade filer i principer för skydd mot skadlig kod ) senare i den här artikeln.

Mer information om skydd mot skadlig kod finns i Vanliga frågor och svar om skydd mot skadlig kod.

Information om hur du konfigurerar standardprincipen för skydd mot skadlig kod och för att skapa, ändra och ta bort anpassade principer för skydd mot skadlig kod finns i Konfigurera principer för skydd mot skadlig kod. I standard- och strikt förinställda säkerhetsprinciper är principinställningarna för skydd mot skadlig kod redan konfigurerade och oförändrade enligt beskrivningen i principinställningarna för EOP-skydd mot skadlig kod.

Tips

Om du inte håller med om domen om skadlig kod kan du rapportera den bifogade filen till Microsoft som en falsk positiv (bra bifogad fil markerad som felaktig) eller en falsk negativ (felaktig bifogad fil tillåts). Mer information finns i Hur gör jag för att rapportera ett misstänkt e-postmeddelande eller en fil till Microsoft?.

Principer för skydd mot skadlig programvara

Principer för skydd mot skadlig kod styr konfigurerbara inställningar och meddelandealternativ för identifiering av skadlig kod. De viktiga inställningarna i principer för skydd mot skadlig kod beskrivs i följande underavsnitt.

Mottagarfilter i principer för skydd mot skadlig kod

Mottagarfilter använder villkor och undantag för att identifiera de interna mottagare som principen gäller för. Minst ett villkor krävs i anpassade principer. Villkor och undantag är inte tillgängliga i standardprincipen (standardprincipen gäller för alla mottagare). Du kan använda följande mottagarfilter för villkor och undantag:

• Användare: En eller flera postlådor, e-postanvändare eller e-postkontakter i organisationen.
• Grupper:
  • Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna (dynamiska distributionsgrupper stöds inte).
  • Den angivna Microsoft 365-grupper.
• Domäner: En eller flera av de konfigurerade godkända domänerna i Microsoft 365. Mottagarens primära e-postadress finns i den angivna domänen.

Du kan bara använda ett villkor eller undantag en gång, men villkoret eller undantaget kan innehålla flera värden:

• Flera värden för samma villkor eller undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>):

  • Villkor: Om mottagaren matchar något av de angivna värdena tillämpas principen på dem.
  • Undantag: Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.

• Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.

• Olika typer av villkor använder AND-logik. Mottagaren måste matcha alla angivna villkor för att principen ska gälla för dem. Du kan till exempel konfigurera ett villkor med följande värden:

  • Användare: romain@contoso.com
  • Grupper: Chefer

  Principen tillämpas romain@contoso.comendast på om han också är medlem i gruppen Chefer. Annars tillämpas inte policyn på honom.

Vanliga filter för bifogade filer i principer för skydd mot skadlig kod

Det finns vissa typer av filer som du verkligen inte bör skicka via e-post (till exempel körbara filer). Varför bry sig om att skanna dessa typer av filer efter skadlig kod när du ska blockera dem alla, i alla fall? Det är där det gemensamma filtret för bifogade filer kommer in. De filtyper som du anger identifieras automatiskt som skadlig kod.

En lista över standardfiltyper används i standardprincipen för skydd mot skadlig kod, i anpassade principer för skydd mot skadlig kod som du skapar och i principerna för skydd mot skadlig kod i standard- och strikt förinställda säkerhetsprinciper.

I Microsoft Defender portalen kan du välja från en lista med ytterligare filtyper eller lägga till egna värden när du skapar eller ändrar principer för skydd mot skadlig kod i Microsoft Defender portalen.

• Standardfiltyper: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Ytterligare filtyper att välja i Defender-portalen: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

När filer identifieras av det vanliga filtret för bifogade filer kan du välja Att avvisa meddelandet med en icke-leveransrapport (NDR) eller Placera meddelandet i karantän.

Matchning av sann typ i det gemensamma filtret för bifogade filer

Det vanliga filtret för bifogade filer använder matchning av true-typen med bästa förmåga för att identifiera filtypen, oavsett filnamnstillägget. Matchning av sann typ använder filegenskaper för att fastställa den verkliga filtypen (till exempel inledande och avslutande byte i filen). Om en exe fil till exempel har bytt namn med filnamnstillägget txt identifierar det gemensamma filtret för bifogade filer filen som en exe fil.

Matchning av sann typ i det gemensamma filtret för bifogade filer stöder följande filtyper:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Om matchning av sann typ misslyckas eller inte stöds för filtypen används enkel tilläggsmatchning.

Automatisk rensning utan timme (ZAP) i principer för skydd mot skadlig kod

ZAP för skadlig kod placerar meddelanden som visar sig innehålla skadlig kod i karantän när de har levererats till Exchange Online postlådor. Som standard är ZAP för skadlig kod aktiverat och vi rekommenderar att du låter det vara aktiverat. Mer information finns i Nolltimmes automatisk rensning (ZAP) för skadlig kod.

Karantänprinciper i principer för skydd mot skadlig kod

Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Som standard får mottagarna inte meddelanden om meddelanden som satts i karantän som skadlig kod, och användarna kan inte släppa sina egna meddelanden om skadlig kod i karantän, oavsett vilka inställningar som administratörer konfigurerar. Mer information finns i Anatomi för en karantänprincip.

Admin meddelanden i principer för skydd mot skadlig kod

Du kan ange ytterligare en mottagare (en administratör) för att ta emot meddelanden om skadlig kod som identifierats i meddelanden från interna eller externa avsändare. Du kan anpassa text från adress, ämne och meddelande för interna och externa meddelanden.

De här inställningarna konfigureras inte som standard i standardprincipen för skydd mot skadlig kod, eller i standard- eller strikt förinställda säkerhetsprinciper.

Tips

Admin meddelanden skickas endast för bifogade filer som klassificeras som skadlig kod.

Karantänprincipen som har tilldelats principen för skydd mot skadlig kod avgör om mottagarna får e-postaviseringar för meddelanden som satts i karantän som skadlig kod.

Prioritet för principer för skydd mot skadlig kod

Om de är aktiverade tillämpas standard- och strikt förinställda säkerhetsprinciper före anpassade principer för skydd mot skadlig kod eller standardprincipen (Strikt är alltid först). Om du skapar flera anpassade principer för skydd mot skadlig kod kan du ange i vilken ordning de tillämpas. Principbearbetningen stoppas när den första principen har tillämpats (den högsta prioritetsprincipen för den mottagaren).

Mer information om prioritetsordningen och hur flera principer utvärderas finns i Ordning och prioritet för e-postskydd och Prioritetsordning för förinställda säkerhetsprinciper och andra principer.

Standardprincip för skydd mot skadlig kod

Varje organisation har en inbyggd princip för skydd mot skadlig kod med namnet Default som har följande egenskaper:

• Politik är standardpolicyn (egenskapen IsDefault har värdet True) och du kan inte ta bort standardpolicyn.
• Principen tillämpas automatiskt på alla mottagare i organisationen och du kan inte inaktivera den.
• Principen tillämpas alltid sist ( prioritetsvärdet är Lägsta och du kan inte ändra det).