Säkra bifogade filer i Microsoft Defender för Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Säkra bifogade filer i Microsoft Defender för Office 365 ger ytterligare ett skyddslager för e-postbilagor som redan har genomsökts av skydd mot skadlig kod i Exchange Online Protection (EOP). Mer specifikt använder säkra bifogade filer en virtuell miljö för att kontrollera bifogade filer i e-postmeddelanden innan de levereras till mottagarna (en process som kallas detonation).

Skydd mot säkra bifogade filer för e-postmeddelanden styrs av principer för säkra bifogade filer. Även om det inte finns någon standardprincip för säkra bifogade filer ger den förinställda säkerhetsprincipen för inbyggt skydd skydd säkra bifogade filer till alla mottagare (användare som inte har definierats i standard- eller strikt förinställda säkerhetsprinciper eller i anpassade principer för säkra bifogade filer). Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365. Du kan också skapa principer för säkra bifogade filer som gäller för specifika användare, grupper eller domäner. Anvisningar finns i Konfigurera principer för säkra bifogade filer i Microsoft Defender för Office 365.

I följande tabell beskrivs scenarier för säkra bifogade filer i Microsoft 365 och Office 365 organisationer som innehåller Microsoft Defender för Office 365 (med andra ord är brist på licensiering aldrig ett problem i exemplen).

Scenario Resultat
Pats Microsoft 365 E5 organisation har inga konfigurerade principer för säkra bifogade filer. Pat skyddas av säkra bifogade filer på grund av den förinställda säkerhetsprincipen för inbyggt skydd som gäller för alla mottagare som annars inte har definierats i principer för säkra bifogade filer.
Lees organisation har en princip för säkra bifogade filer som endast gäller för ekonomianställda. Lee är medlem i försäljningsavdelningen. Lee och resten av försäljningsavdelningen skyddas av säkra bifogade filer på grund av den förinställda säkerhetsprincipen för inbyggt skydd som gäller för alla mottagare som annars inte har definierats i principer för säkra bifogade filer.
I går skapade en administratör i Jean-organisationen en princip för säkra bifogade filer som gäller för alla anställda. Tidigare idag fick Jean ett e-postmeddelande som innehöll en bifogad fil. Jean skyddas av säkra bifogade filer på grund av den anpassade principen för säkra bifogade filer.

Vanligtvis tar det cirka 30 minuter innan en ny princip börjar gälla.
Chris organisation har långvariga principer för säkra bifogade filer för alla i organisationen. Chris får ett e-postmeddelande som har en bifogad fil och vidarebefordrar sedan meddelandet till externa mottagare. Chris skyddas av säkra bifogade filer.

Om de externa mottagarna finns i en Microsoft 365-organisation skyddas även de vidarebefordrade meddelandena av säkra bifogade filer.

Genomsökning av säkra bifogade filer sker i samma region där dina Microsoft 365-data finns. Mer information om datacentrets geografi finns i Var finns dina data?

Obs!

Följande funktioner finns i de globala inställningarna för principer för säkra bifogade filer i Microsoft Defender-portalen. Men de här inställningarna är aktiverade eller inaktiverade globalt och kräver inte principer för säkra bifogade filer:

Principinställningar för säkra bifogade filer

I det här avsnittet beskrivs inställningarna i principer för säkra bifogade filer:

  • Mottagarfilter: Villkor och undantag för att identifiera de interna mottagare som principen gäller för. Minst ett villkor krävs. Du kan använda följande mottagarfilter för villkor och undantag:

    • Användare: En eller flera postlådor, e-postanvändare eller e-postkontakter i organisationen.
    • Grupper:
      • Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna (dynamiska distributionsgrupper stöds inte).
      • Den angivna Microsoft 365-grupper.
    • Domäner: En eller flera av de konfigurerade godkända domänerna i Microsoft 365. Mottagarens primära e-postadress finns i den angivna domänen.

    Du kan bara använda ett villkor eller undantag en gång, men villkoret eller undantaget kan innehålla flera värden:

    • Flera värden för samma villkor eller undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>):

      • Villkor: Om mottagaren matchar något av de angivna värdena tillämpas principen på dem.
      • Undantag: Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.

    • Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.

    • Olika typer av villkor använder AND-logik. Mottagaren måste matcha alla angivna villkor för att principen ska gälla för dem. Du kan till exempel konfigurera ett villkor med följande värden:

    • Användare: romain@contoso.com

    • Grupper: Chefer

      Principen tillämpas romain@contoso.comendast på om han också är medlem i gruppen Chefer. Annars tillämpas inte policyn på honom.

  • Svar på säker bifogade filer med okänd skadlig kod: Den här inställningen styr åtgärden för säker skanning av skadlig kod för bifogade filer i e-postmeddelanden. De tillgängliga alternativen beskrivs i följande tabell:

    Alternativ Effekt Använd när du vill:
    Av Bifogade filer genomsöks inte efter skadlig kod av säkra bifogade filer. Meddelanden genomsöks fortfarande efter skadlig kod av skydd mot skadlig kod i EOP. Inaktivera genomsökning för valda mottagare.

    Förhindra onödiga fördröjningar i routning av intern e-post.

    Det här alternativet rekommenderas inte för de flesta användare. Du bör bara använda det här alternativet för att inaktivera genomsökning av säkra bifogade filer för mottagare som bara tar emot meddelanden från betrodda avsändare. ZAP kommer inte att placera meddelanden i karantän om säkra bifogade filer är inaktiverade och en signal om skadlig kod inte tas emot. Mer information finns i Nolltimmes automatisk rensning
    Övervaka Levererar meddelanden med bifogade filer och spårar sedan vad som händer med identifierad skadlig kod.

    Leveransen av säkra meddelanden kan fördröjas på grund av genomsökning av säkra bifogade filer.    		 Se var identifierad skadlig kod hamnar i din organisation.
    Blockera Förhindrar att meddelanden med identifierade bifogade filer för skadlig kod levereras.

    Meddelanden sätts i karantän. Som standard kan endast administratörer (inte användare) granska, släppa eller ta bort meddelandena.²

    Blockerar automatiskt framtida instanser av meddelanden och bifogade filer.

    Leveransen av säkra meddelanden kan fördröjas på grund av genomsökning av säkra bifogade filer.    		 Skyddar din organisation från upprepade attacker med samma bifogade filer för skadlig kod.

    Det här är standardvärdet och det rekommenderade värdet i standard- och strikt förinställda säkerhetsprinciper.
    Dynamisk leverans Levererar meddelanden omedelbart, men ersätter bifogade filer med platshållare tills genomsökningen av säkra bifogade filer har slutförts.

    Meddelanden som innehåller skadliga bifogade filer placeras i karantän. Som standard kan endast administratörer (inte användare) granska, släppa eller ta bort meddelandena.²

    Mer information finns i avsnittet Dynamic Delivery in Safe Attachments policies (Principer för dynamisk leverans i säkra bifogade filer ) senare i den här artikeln.    		 Undvik fördröjningar i meddelanden samtidigt som mottagarna skyddas från skadliga filer.

    ² Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip. Användare kan inte släppa sina egna meddelanden som satts i karantän som skadlig kod av säkra bifogade filer, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att meddelanden om skadlig kod i karantän släpps.

  • Omdirigeringsmeddelanden med identifierade bifogade filer: Aktivera omdirigering och Skicka meddelanden som innehåller övervakade bifogade filer till den angivna e-postadressen: Endast för åtgärden Övervaka skickar du meddelanden som innehåller bifogade filer med skadlig kod till den angivna interna eller externa e-postadressen för analys och undersökning.

    Rekommendationen för standard- och strikta principinställningar är att aktivera omdirigering. Mer information finns i Inställningar för säkra bifogade filer.

  • Prioritet: Om du skapar flera principer kan du ange i vilken ordning de tillämpas. Inga två principer kan ha samma prioritet och principbearbetningen stoppas när den första principen har tillämpats (den högsta prioritetsprincipen för mottagaren).

    För mer information om ordningsföljden och hur flera policyer utvärderas och tillämpas, se Order och prioritet för e-postskydd.

Principer för dynamisk leverans i säkra bifogade filer

Obs!

Dynamisk leverans fungerar bara för Exchange Online postlådor.

Åtgärden dynamisk leverans i principer för säkra bifogade filer syftar till att eliminera eventuella fördröjningar i e-postleveransen som kan orsakas av genomsökning av säkra bifogade filer. Brödtexten i e-postmeddelandet levereras till mottagaren med en platshållare för varje bifogad fil. Platshållaren finns kvar tills den bifogade filen är säker och sedan blir den bifogade filen tillgänglig för att öppnas eller laddas ned.

Om en bifogad fil visar sig vara skadlig placeras meddelandet i karantän.

De flesta PDF-filer och Office-dokument kan förhandsgranskas i felsäkert läge medan genomsökning av säkra bifogade filer pågår. Om en bifogad fil inte är kompatibel med förhandsgranskningsverktyget för dynamisk leverans ser mottagarna en platshållare för den bifogade filen tills genomsökningen av säkra bifogade filer har slutförts.

Om du använder en mobil enhet och PDF-filer inte återges i förhandsversionen av dynamisk leverans på din mobila enhet kan du prova att öppna meddelandet i Outlook på webben (kallades tidigare Outlook Web App) i din mobila webbläsare.

Här följer några överväganden för dynamisk leverans och vidarebefordrade meddelanden:

  • Om den vidarebefordrade mottagaren skyddas av en princip för säkra bifogade filer som använder alternativet Dynamisk leverans ser mottagaren platshållaren, med möjlighet att förhandsgranska kompatibla filer.
  • Om den vidarebefordrade mottagaren inte skyddas av en princip för säkra bifogade filer levereras meddelandet och bifogade filer utan genomsökning av säkra bifogade filer eller platshållare för bifogade filer.

Det finns scenarier där dynamisk leverans inte kan ersätta bifogade filer i meddelanden. Dessa scenarier omfattar:

  • Meddelanden i gemensamma mappar.
  • Meddelanden som dirigeras ut från och sedan tillbaka till en användares postlåda med hjälp av anpassade regler.
  • Meddelanden som flyttas (automatiskt eller manuellt) från molnpostlådor till andra platser, inklusive arkivmappar.
  • Inkorgsregler flyttar meddelandet från Inkorgen till en annan mapp.
  • Borttagna meddelanden.
  • Användarens sökmapp för postlådan är i ett feltillstånd.
  • Exchange Online organisationer där friskrivning är aktiverat. Information om hur du löser det här problemet finns i KB4014438.
  • S/MIME) krypterade meddelanden.
  • Du konfigurerade åtgärden Dynamisk leverans i en princip för säkra bifogade filer, men mottagaren stöder inte dynamisk leverans (till exempel är mottagaren en postlåda i en lokal Exchange-organisation). Säkra länkar i Microsoft Defender för Office 365 kan dock skanna Office-filbilagor som innehåller URL:er (om säker länkgenomsökning av office-appar är aktiverat i tillämplig princip för säkra länkar).

Skicka filer för analys av skadlig kod