Skydd mot skadlig programvara i EOP
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
I Microsoft 365 organisationer med postlådor i Exchange Online eller fristående EOP-organisationer (Exchange Online Protection) utan Exchange Online postlådor skyddas e-postmeddelanden automatiskt mot skadlig programvara av EOP. Här är några av de viktigaste kategorierna för skadlig programvara:
- Virus som smittar andra program och data, och sprida sig genom datorn eller nätverket genom att söka efter program som de kan smitta.
- Spionprogram som samlar in din personliga information, t.ex. inloggningsuppgifter och personuppgifter, och skickar dem till dess upphovsman.
- Utpressningstrojaner som krypterar dina data och kräver betalning för att dekryptera dem. Program mot skadlig programvara hjälper dig inte att dekryptera krypterade filer, men kan identifiera och ta bort den nylast för skadlig programvara som är kopplad till utpressningstrojanen.
EOP har ett flerlagersskydd mot skadlig programvara som är utformat för att fånga upp all känd skadlig programvara i Windows, Linux och Mac som färdas till eller från organisationen. Följande alternativ ger skydd mot skadlig programvara:
- Skydd mot skadlig programvara i flera lager: Flera sökmotorer som använder skadlig programvara skyddar mot både kända och okända hot. Sökmotorerna innehåller kraftfull heuristisk identifiering som ger skydd även under de tidiga stegen av ett utbrott av skadlig programvara. Den här metoden för flera motorer har visat sig ge avsevärt mer skydd än att bara använda en motor mot skadlig programvara.
- Svar på hot i realtid: Under vissa utbrott kan gruppen för skadlig programvara ha tillräckligt med information om ett virus eller annan form av skadlig programvara för att skriva avancerade policyregler som identifierar hoten, även innan en definition är tillgänglig från någon av genomsökningsmotorerna som används av tjänsten. Dessa regler publiceras på det globala nätverket varannan timme för att ge din organisation ett extra skyddslager mot attacker.
- Snabb distribution av definition av skadlig programvara: Teamet mot skadlig programvara har nära relationer med partners som utvecklar sökmotorer mot skadlig programvara. Därför kan tjänsten ta emot och integrera definitioner och korrigeringar för skadlig programvara innan de släpps offentligt. Vår koppling till dessa partner gör det ofta att vi kan utveckla vår egen kompensation också. Tjänsten söker efter uppdaterade definitioner för alla sökmotorer mot skadlig programvara en gång i timmen.
I EOP sätts meddelanden som innehåller skadlig programvara i bifogade filer i karantän. Huruvida mottagarna kan visa eller på annat sätt interagera med meddelanden i karantän styrs av karantänprinciper. Som standard kan meddelanden som har satts i karantän på grund av skadlig programvara endast visas och släppas av administratörer. Mer information finns i följande avsnitt:
Mer information om skydd mot skadlig programvara finns i Vanliga frågor och svar om skydd mot skadlig programvara.
Information om hur du konfigurerar principer för skydd mot skadlig programvara finns i Konfigurera principer för skadlig programvara.
Information om hur du skickar skadlig programvara till Microsoft finns i Rapportera meddelanden och filer till Microsoft.
Principer för skydd mot skadlig programvara
Principer för skadlig programvara styr inställningarna och meddelandealternativen för identifiering av skadlig programvara. De viktiga inställningarna i principer mot skadlig programvara är:
Mottagarens meddelanden: Som standard får en meddelandemottagare inte veta att ett meddelande som är avsett för dem har satts i karantän på grund av skadlig programvara. Du kan däremot aktivera mottagarmeddelanden i form av att leverera det ursprungliga meddelandet med alla bifogade filer borttagna och ersatta med en enda fil med namnet Avisering för skadlig programvara Text.txtsom innehåller följande text:
Skadlig programvara identifierades i en eller flera bifogade filer som medföljer det här e-postmeddelandet.
Åtgärd: Alla bifogade filer har tagits bort.
<Original malware attachment name> <Malware detection result>Du kan ersätta standardtexten i filen med Text.txt med egen anpassad text.
Vanliga filter för bifogade filer: Det finns vissa typer av filer som du inte ska skicka via e-post (till exempel körbara filer). Varför inte göra det om du genomsöker dessa typer av filer efter skadlig programvara, när du ändå borde blockera alla? Det är där som filtret för vanliga bifogade filer kommer in. Det är inaktiverat som standard, men när du aktiverar det behandlas de filtyper du anger automatiskt som skadlig programvara. Du kan använda standardlistan över filtyper eller anpassa listan. Standardfiltyperna är:
.ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs.Det vanliga filtret för bifogade filer använder skrivfel för att identifiera filtypen oavsett filnamnstillägget. Om true-typing misslyckas eller inte stöds för den angivna filtypen används enkel tilläggsmatchning.
ZAP (Zero-hour auto purge) för skadlig programvara: ZAP för karantäner för skadlig programvara visar meddelanden som innehåller skadlig programvara när de har levererats till Exchange Online postlådor. Zap för skadlig programvara är aktiverat som standard och vi rekommenderar att du låter det vara aktiverat.
Avsändarmeddelanden: Som standard har en avsändare inte fått veta att meddelandet har satts i karantän på grund av skadlig programvara. Men du kan aktiverat meddelandeaviseringar för avsändare baserat på om avsändaren är intern eller extern. Standardmeddelandet ser ut så här:
Från: Postmaster postmaster@ <defaultdomain> .com
Ämne: Meddelande som inte kan levererasDet här meddelandet skapades automatiskt med ett program för e-postleverans. E-postmeddelandet levererades inte till de avsedda mottagarna eftersom skadlig programvara har upptäckts. Alla bifogade filer togs bort.
--- ytterligare information ---:
Ämne: <message subject>
Avsändare: <message sender>Mottagen tid: <date/time>
Meddelande-ID: <message id>
Identifieringar hittades:
<attachment name> <malware detection result>Du kan anpassa texten för från-adress, ämne och meddelande för interna och externa meddelanden.
Du kan också ange en ytterligare mottagare (en administratör) för att få meddelanden om skadlig programvara som upptäckts i meddelanden från interna eller externa avsändare.
Mottagarfilter: För anpassade principer mot skadlig programvara kan du ange villkor för mottagare och undantag som avgör vem principen gäller för. Du kan använda de här egenskaperna för villkor och undantag:
- Mottagaren
- Mottagarens domän är
- Mottagaren är medlem i
Du kan bara använda ett villkor eller undantag en gång, men villkoret eller undantaget kan innehålla flera värden. Flera värden för samma villkor eller undantag använder ELLER-logik (till exempel <recipient1> eller <recipient2>). Olika villkor och undantag använder OCH-logik (till exempel <recipient1> och <member of group 1>).
Prioritet: Om du skapar flera anpassade principer för skydd mot skadlig programvara kan du ange i vilken ordning de ska användas. Inga två policyer kan ha samma prioritet, och policyhantering stannar efter att den första policyn har tillämpats.
För mer information om ordningsföljden och hur flera policyer utvärderas och tillämpas, se Order och prioritet för e-postskydd.
Principer för skydd mot skadlig programvara i Microsoft 365 Defender-portalen mot PowerShell
De grundläggande elementen i en princip mot skadlig programvara är:
- Policyn för skadlig programvara: Anger mottagarens meddelande, avsändar- och administratörsmeddelande, ZAP och filterinställningar för vanliga bifogade filer.
- Regeln för skadlig programvara: Anger prioritet och mottagarfilter (vem principen gäller för) för en princip för skadlig programvara.
Skillnaden mellan dessa två element är inte uppenbara när du hanterar skydd mot skadlig programvara i Microsoft 365 Defender portalen:
- När du skapar en policy mot skadlig programvara skapar du faktiskt en regel för skadlig programvara och samtidigt den tillhörande policyn för skadlig programvara med samma namn för båda.
- När du ändrar en princip mot skadlig programvara ändras filterregeln för skadlig programvara om du ändrar inställningar för namn, prioritet, aktiverad eller inaktiverad och mottagarfilter. Andra inställningar (mottagarens meddelande, avsändar- och administratörsmeddelande, ZAP och filtret för vanliga bifogade filer) ändrar den associerade policyn för skadlig programvara.
- När du tar bort en princip mot skadlig programvara tas regeln för skadlig programvara och den tillhörande policyn för skadlig programvara bort.
I Exchange Online PowerShell eller fristående EOP PowerShell visar vi skillnaden mellan policyer för skadlig programvara och regler för skadlig programvara. Du hanterar principer för skadlig programvara med hjälp av cmdlets för * -MalwareFilterPolicy och hanterar filterregler för skadlig programvara med hjälp av cmdletarna * -MalwareFilterRule.
- I PowerShell skapar du först principen för skadlig programvara och sedan skapar du den regel för skadlig programvara som identifierar den princip som regeln gäller för.
- I PowerShell ändrar du inställningarna i principen för skadlig programvara och filterregeln för skadlig programvara separat.
- När du tar bort en princip för skadlig programvara från PowerShell tas inte motsvarande regel för skadlig programvara bort automatiskt och vice versa.
Standardprincip för skydd mot skadlig programvara
Alla organisationer har en inbyggd policy för skadlig programvara som heter Standard och har följande egenskaper:
- Principen tillämpas på alla mottagare i organisationen, även om det inte finns någon regel för skadlig programvara (mottagarfilter) kopplad till principen.
- Principen har det anpassade prioritetsvärdet Lägsta som du inte kan ändra (policyn tillämpas alltid sist). Anpassade principer för skadlig programvara som du skapar har alltid högre prioritet än principen standard.
- Politik är standardpolicyn (egenskapen IsDefault har värdet
True) och du kan inte ta bort standardpolicyn.