Vanliga frågor och svar om skydd mot skadlig kod

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Den här artikeln innehåller vanliga frågor och svar om skydd mot skadlig programvara för Microsoft 365 organisationer med postlådor i Exchange Online eller fristående EOP-organisationer (Exchange Online Protection) utan postlådor Exchange Online postlådor.

Frågor och svar om karantän finns i Vanliga frågor och svar om karantän.

Frågor och svar om skydd mot skräppost finns i Vanliga frågor och svar om skydd mot skräppost.

Frågor och svar om skydd mot förfalskning finns i Vanliga frågor och svar om skydd mot förfalskning.

Vad är rekommendationerna för metodtips för att konfigurera och använda tjänsten för att bekämpa skadlig programvara?

Hur ofta uppdateras definitioner av skadlig programvara?

Varje server söker efter nya definitioner av skadlig programvara från våra partner mot skadlig programvara en gång i timmen.

Hur många partner mot skadlig programvara har du? Kan jag välja vilka sökmotorer för skadlig programvara vi använder?

Vi har samarbeten med flera olika leverantörer av teknik mot skadlig programvara, så meddelanden skannas med Microsofts sökmotorer mot skadlig programvara, två signaturer baserade på motorer, samt genomsökningar av webbadresser och rykte från flera källor. Våra partner kan komma att ändras, men EOP använder alltid skydd mot skadlig programvara från flera partner. Du kan inte välja en motor mot skadlig programvara framför en annan.

Var sker genomsökning av skadlig programvara?

Vi söker efter skadlig programvara i meddelanden som skickas till eller skickas från en postlåda (meddelanden som skickas). För Exchange Online-postlådor har vi även ZAP (Malware Zero-hour Auto Purge) som söker efter skadlig programvara i meddelanden som redan har levererats. Om du skickar om ett meddelande från en postlåda skannas det igen (eftersom det är under transport).

Om jag gör en ändring i en princip mot skadlig programvara, hur lång tid tar det då innan ändringarna verkställs när jag har sparat dem?

Det kan ta upp till 1 timme innan ändringarna verkställs.

Söker tjänsten igenom interna meddelanden efter skadlig programvara?

För organisationer med Exchange Online söker tjänsten efter skadlig programvara i alla inkommande och utgående meddelanden, inklusive meddelanden som skickas mellan interna mottagare.

Med en fristående EOP-prenumeration skannas meddelanden när de matas in eller lämnar den lokala e-postorganisationen. Meddelanden som skickas mellan interna användare genomsöks inte efter skadlig programvara. Du kan dock använda de inbyggda sökfunktionerna mot skadlig programvara i Exchange Server. Mer information finns i Skydd mot skadlig programvara i Exchange Server.

Har alla sökmotorer som använder skadlig programvara som används av tjänsten heuristisk skanning aktiverad?

Ja. Heuristiska skanningar för både kända (signaturmatchningar) och okända (misstänkta) skadlig programvara.

Kan tjänsten skanna komprimerade filer (till exempel .zip)?

Ja. Sökmotorer mot skadlig programvara kan granska komprimerade filer (arkiv).

Stöder den komprimerade skanningen av bifogade filer rekursiva (.zip i ett .zip i en .zip) och i så fall hur djup går det?

Ja, rekursiv genomsökning av komprimerade filer söker igenom många lager.

Fungerar tjänsten med äldre versioner Exchange och icke-Exchange miljöer?

Ja, tjänsten är server agnostic.

Vad är ett nolldagarsvirus och hur hanteras det av tjänsten?

Ett nolldagarsvirus är en första generationens, tidigare okänd variant av skadlig programvara som aldrig har fångats eller analyserats.

När ett nolldagarsvirusexempel har fångats in och analyserats av våra sökmotorer mot skadlig programvara skapas en definition och en unik signatur för att identifiera den skadlig programvara.

När det finns en definition eller signatur för den skadliga programvaran betraktas den inte längre som nolldagars.

Hur kan jag konfigurera tjänsten för att blockera specifika körbara filer (till exempel.exe) som kan innehålla \* skadlig programvara?

Du kan aktivera och konfigurera vanliga filter för bifogade filer (kallas även vanliga blockering av bifogade filer) enligt beskrivningen i Principer mot skadlig programvara.

Du kan också skapa Exchange e-postflödesregel (kallas även transportregel) som blockerar alla e-postbilagan med körbart innehåll.

Följ anvisningarna i Minska hot mot skadlig programvara genom att blockera bifogade filer i Exchange Online Protection för att blockera filtyperna som listas i Filtyper som stöds för innehållskontroll av e-postflödesregel i Exchange Online.

För bättre skydd rekommenderar vi att du använder filnamnstillägget Any attachment file extension includes these words condition in mail flow rules to block some or all of the following extensions: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh .

Varför kom en specifik skadlig programvara förbi filtren?

Det finns två möjliga orsaker till att du har fått skadlig programvara:

  1. Troligtvis innehåller den bifogade filen faktiskt inte skadlig kod. Vissa motorer mot skadlig programvara som körs på datorer kan vara mer aggressiva och kan stoppa meddelanden med trunkerade nyttolaster.

  2. Den skadlig programvara du har fått är en ny variant (se Vad är ett nolldagarsvirusoch hur hanteras det av tjänsten? ). Tiden det tar för en uppdatering av skadlig programvara är beroende av våra partner mot skadlig programvara.

Hur skickar jag in skadlig programvara som har klistrat in filtren till Microsoft? Hur kan jag skicka en fil som jag anser felaktigt identifierade som skadlig programvara?

Jag fick ett e-postmeddelande med en okänd bifogad fil. Ignorerar jag den här bifogade filen eller kan jag ignorera den här bifogade filen?

Vi rekommenderar starkt att du inte öppnar några bifogade filer som du inte känner igen. Om du vill att vi ska undersöka den bifogade filen går du till Malware Protection Center och skickar den möjliga skadlig programvara till oss enligt beskrivningen ovan.

Var hittar jag meddelanden som har tagits bort av filtren för skadlig programvara?

Meddelandena innehåller aktiv skadlig kod och därför tillåter vi inte åtkomst till dessa meddelanden. De tas inte bort oavsiktligt.

Jag kan inte ta emot en specifik bifogad fil eftersom den filtreras falskt av filtren för skadlig programvara. Kan jag tillåta den här bifogade filen via e-postflödesregler?

Nej. Du kan inte använda e-Exchange för att hoppa över filtrering av skadlig programvara.

Kan jag få rapportdata om identifiering av skadlig programvara?

Ja, du kan komma åt rapporter i administrationscentret. Mer information om rapportering finns i följande länkar:

Exchange Online kunder: Övervaka, rapportera och meddelandespårning i Exchange Online

Exchange Online Protection kunder: Rapportering och meddelandespårning i Exchange Online Protection

Finns det något verktyg som jag kan använda för att följa ett meddelande som identifierats av skadlig programvara via tjänsten?

Ja, med verktyget för meddelandespårning kan du följa upp e-postmeddelanden när de passerar genom tjänsten. Mer information om hur du använder verktyget för meddelandespårning för att ta reda på varför ett meddelande identifierades som innehåller skadlig programvara finns i Meddelandespårning i moderna administrationscentret för Exchange.

Kan jag använda en tredjepartsleverantör för skydd mot skräppost och skadlig programvara tillsammans med Exchange Online?

Ja. I de flesta fall rekommenderar vi att du pekar dina MX-poster på (det vill säga leverera e-post direkt till) EOP. Om du behöver dirigera din e-post någon annanstans först måste du aktivera utökad filtrering för kopplingar så att EOP kan använda den sanna meddelandekällan vid filtreringsbeslut.

Undersöks skräppost och skadlig programvara som till vem som skickade dem eller överförs till rättstvingande myndigheter?

Tjänsten fokuserar på identifiering och borttagning av skadlig kod, men vi kan emellanåt undersöka särskilt farligt eller skadligt skräppost eller attackkampanjer och följa upp har de nya utforskaren.

Vi använder ofta våra juridiska och digitala brottsplatser för att vidta följande åtgärder:

  • Ta bort en skräppostrobot.
  • Blockera en attack från att använda tjänsten.
  • Vidarebefordra informationen till domstolsförefogning för brottslingar.

Mer information