الإزالة التلقائية للساعة الصفرية (ZAP) في Microsoft Defender لـ Office 365
تلميح
هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.
في مؤسسات Microsoft 365 التي تحتوي على علب بريد Exchange Online، تعد الإزالة التلقائية للساعة الصفرية (ZAP) ميزة حماية في Exchange Online Protection (EOP) التي تكتشف وتحييد رسائل التصيد الاحتيالي أو البريد العشوائي أو البرامج الضارة الضارة الضارة التي تم تسليمها بالفعل إلى علب بريد Exchange Online.
لا يعمل ZAP في بيئات EOP المستقلة التي تحمي علب البريد المحلية.
ملاحظة
حاليا في المعاينة، يمكن ل ZAP أيضا الكشف بأثر رجعي عن رسائل الدردشة الضارة الموجودة في Microsoft Teams.
يتم تحديث توقيعات البريد العشوائي والبرامج الضارة في الخدمة في الوقت الفعلي بشكل يومي. ومع ذلك، لا يزال بإمكان المستخدمين تلقي رسائل ضارة. على سبيل المثال:
- البرامج الضارة التي لا يمكن اكتشافها أثناء تدفق البريد.
- المحتوى الذي يتم تسليحه بعد تسليمه للمستخدمين.
يعالج ZAP هذه المشكلات من خلال مراقبة تحديثات توقيع البريد العشوائي والبرامج الضارة باستمرار في الخدمة، وهو سلس للمستخدمين. يبحث ZAP عن الرسائل الموجودة بالفعل في علبة بريد المستخدم ويتخذ إجراء تلقائيا بشأنها. يقتصر بحث ZAP على آخر 48 ساعة من البريد الإلكتروني الذي تم تسليمه. لا يتم إعلام المستخدمين إذا اكتشف ZAP رسالة ونقلها.
شاهد هذا الفيديو القصير لمعرفة كيفية اكتشاف ZAP في Microsoft Defender لـ Office 365 التهديدات وتحييدها تلقائيا في البريد الإلكتروني.
الإزالة التلقائية للساعة الصفرية (ZAP) لرسائل البريد الإلكتروني
الإزالة التلقائية لمدة صفر ساعة (ZAP) للبرامج الضارة
بالنسبة للرسائل المقروءة أو غير المقروءة التي تم العثور عليها لتحتوي على برامج ضارة بعد التسليم، يقوم ZAP بعزل الرسالة التي تحتوي على مرفق البرامج الضارة. بشكل افتراضي، يمكن للمسؤولين فقط عرض رسائل البرامج الضارة المعزولة وإدارتها. ولكن، يمكن للمسؤولين إنشاء نهج العزل واستخدامها لتحديد ما يمكن للمستخدمين القيام به للرسائل المعزولة، وما إذا كان المستخدمون يتلقون إشعارات العزل. لمزيد من المعلومات، راجع تشريح نهج العزل.
ملاحظة
لا يمكن للمستخدمين إصدار رسائلهم الخاصة التي تم عزلها كبرمجيات ضارة، بغض النظر عن كيفية تكوين نهج العزل. إذا كان النهج يسمح للمستخدمين بإصدار الرسائل المعزولة الخاصة بهم، يسمح للمستخدمين بدلا من ذلك بطلب إصدار رسائل البرامج الضارة المعزولة الخاصة بهم.
يتم تمكين ZAP للبرامج الضارة بشكل افتراضي في نهج مكافحة البرامج الضارة. لمزيد من المعلومات، راجع تكوين نهج مكافحة البرامج الضارة في EOP.
الإزالة التلقائية للساعة الصفرية (ZAP) للتصيد الاحتيالي
بالنسبة للرسائل المقروءة أو غير المقروءة التي تم تعريفها على أنها تصيد احتيالي (وليس تصيدا احتيالياعالي الثقة) بعد التسليم، تعتمد نتيجة ZAP على الإجراء الذي تم تكوينه لإصدار حكم التصيد الاحتيالي في نهج مكافحة البريد العشوائي المعمول به. يتم وصف الإجراءات المتاحة ونتائج ZAP المحتملة في القائمة التالية:
أضف X-Header، سطر الموضوع Prepend مع النص، إعادة توجيه الرسالة إلى عنوان البريد الإلكتروني، حذف الرسالة: لا يتخذ ZAP أي إجراء على الرسالة.
نقل الرسالة إلى البريد الإلكتروني غير الهام: ينقل ZAP الرسالة إلى مجلد البريد الإلكتروني غير الهام.
هذا هو الإجراء الافتراضي لحكم التصيد الاحتيالي في نهج مكافحة البريد العشوائي الافتراضي ونهج مكافحة البريد العشوائي المخصصة التي تقوم بإنشائها في PowerShell.
رسالة العزل: يقوم ZAP بعزل الرسالة.
هذا هو الإجراء الافتراضي لحكم التصيد الاحتيالي في نهج الأمان القياسية والصارمة المحددة مسبقا، وفي نهج مكافحة البريد العشوائي المخصصة التي تقوم بإنشائها في مدخل Defender.
بشكل افتراضي، يتم تمكين ZAP للتصيد الاحتيالي في نهج مكافحة البريد العشوائي.
لمزيد من المعلومات حول تكوين أحكام تصفية البريد العشوائي، راجع تكوين نهج مكافحة البريد العشوائي في Microsoft 365.
الإزالة التلقائية للساعة الصفرية (ZAP) للتصيد الاحتيالي عالي الثقة
بالنسبة للرسائل المقروءة أو غير المقروءة التي تم تعريفها على أنها تصيد احتيالي عالي الثقة بعد التسليم، يقوم ZAP بعزل الرسالة. بشكل افتراضي، يمكن للمسؤولين فقط عرض رسائل التصيد الاحتيالي عالية الثقة المعزولة وإدارتها. ولكن، يمكن للمسؤولين إنشاء نهج العزل واستخدامها لتحديد ما يمكن للمستخدمين القيام به للرسائل المعزولة، وما إذا كان المستخدمون يتلقون إشعارات العزل. لمزيد من المعلومات، راجع تشريح نهج العزل.
ملاحظة
لا يمكن للمستخدمين إصدار رسائلهم الخاصة التي تم عزلها على أنها تصيد احتيالي عالي الثقة، بغض النظر عن كيفية تكوين نهج العزل. إذا كان النهج يسمح للمستخدمين بإصدار رسائلهم المعزولة الخاصة بهم، يسمح للمستخدمين بدلا من ذلك بطلب إصدار رسائل التصيد الاحتيالي عالية الثقة المعزولة الخاصة بهم.
يتم تمكين ZAP للتصيد الاحتيالي عالي الثقة بشكل افتراضي. لمزيد من المعلومات، راجع Secure by Default in Office 365.
الإزالة التلقائية لمدة صفر ساعة (ZAP) للبريد العشوائي
بالنسبة للرسائل غير المقروءة التي يتم تعريفها على أنها بريد عشوائي أو بريد عشوائي عالي الثقة بعد التسليم، تعتمد نتيجة ZAP على الإجراء الذي تم تكوينه لإصدار حكم بريد عشوائي عشوائي أو بريد عشوائي عالي الثقة في نهج مكافحة البريد العشوائي المعمول به. يتم وصف الإجراءات المتاحة ونتائج ZAP المحتملة في القائمة التالية:
أضف X-Header، سطر الموضوع Prepend مع النص، إعادة توجيه الرسالة إلى عنوان البريد الإلكتروني، حذف الرسالة: لا يتخذ ZAP أي إجراء على الرسالة.
نقل الرسالة إلى البريد الإلكتروني غير الهام: ينقل ZAP الرسالة إلى مجلد البريد الإلكتروني غير الهام.
بالنسبة إلى حكم البريد العشوائي ، هذا هو الإجراء الافتراضي في نهج مكافحة البريد العشوائي الافتراضي، ونهج مكافحة البريد العشوائي المخصصة الجديدة، ونهج الأمان القياسي الذي تم إعداده مسبقا.
بالنسبة إلى حكم البريد العشوائي عالي الثقة ، هذا هو الإجراء الافتراضي في نهج مكافحة البريد العشوائي الافتراضي ونهج مكافحة البريد العشوائي المخصصة الجديدة.
رسالة العزل: يقوم ZAP بعزل الرسالة.
بالنسبة إلى حكم البريد العشوائي ، هذا هو الإجراء الافتراضي في نهج الأمان الصارم الذي تم إعداده مسبقا.
بالنسبة إلى حكم البريد العشوائي عالي الثقة ، هذا هو الإجراء الافتراضي في نهج الأمان القياسية والصارمة المحددة مسبقا.
بشكل افتراضي، يمكن للمستخدمين عرض الرسائل التي تم عزلها كرسائل عشوائية أو بريد عشوائي عالي الثقة وإدارتها حيث يكونون مستلمين. ولكن، يمكن للمسؤولين إنشاء نهج العزل واستخدامها لتحديد ما يمكن للمستخدمين القيام به للرسائل المعزولة، وما إذا كان المستخدمون يتلقون إشعارات العزل. لمزيد من المعلومات، راجع تشريح نهج العزل.
بشكل افتراضي، يتم تمكين ZAP للبريد العشوائي في نهج مكافحة البريد العشوائي.
لمزيد من المعلومات حول تكوين أحكام تصفية البريد العشوائي، راجع تكوين نهج مكافحة البريد العشوائي في Microsoft 365.
كيفية معرفة ما إذا كان ZAP قد نقل رسالتك
لتحديد ما إذا كان ZAP قد نقل رسالتك، لديك الخيارات التالية:
- عدد الرسائل: استخدم طريقة عرض Mailflow في تقرير حالة Mailflow للاطلاع على عدد الرسائل المتأثرة ب ZAP لنطاق التاريخ المحدد.
- تفاصيل الرسالة: استخدم مستكشف التهديدات (أو عمليات الكشف في الوقت الحقيقي) لتصفية جميع أحداث البريد الإلكتروني حسب القيمة ZAP لعمود الإجراء الإضافي .
ملاحظة
لم يتم تسجيل ZAP في سجلات تدقيق علبة بريد Exchange كإجراء نظام.
اعتبارات الإزالة التلقائية للساعة الصفرية (ZAP) للمرفقات الآمنة في Microsoft Defender لـ Office 365
لا يقوم ZAP بعزل الرسائل التي هي في عملية التسليم الديناميكي في فحص نهج المرفقات الآمنة. إذا تم تلقي إشارة التصيد الاحتيالي أو البريد العشوائي للرسائل في هذه الحالة، وتم تعيين حكم التصفية في نهج مكافحة البريد العشوائي لاتخاذ بعض الإجراءات على الرسالة (الانتقال إلى البريد الإلكتروني غير الهام أو إعادة التوجيه أو الحذف أو العزل)، يعود ZAP إلى إجراء "الانتقال إلى غير هام".
الإزالة التلقائية للساعة الصفرية (ZAP) في Microsoft Teams
تلميح
يتوفر ZAP ل Microsoft Teams فقط للعملاء الذين لديهم اشتراكات Microsoft 365 E5 أو Microsoft Defender لـ Office 365 الخطة 2. لتكوين ZAP لحماية Teams، راجع دعم الخطة 2 Microsoft Defender لـ Office 365 ل Microsoft Teams.
ZAP في دردشات Teams
يتوفر ZAP للرسائل الداخلية في دردشات Teams التي تم تعريفها على أنها برامج ضارة أو تصيد احتيالي عالي الثقة. حاليا، الرسائل الخارجية غير مدعومة.
يختلف Teams عن البريد الإلكتروني، لأن كل شخص في دردشة Teams يتلقى النسخة نفسها من الرسالة في نفس الوقت (لا يوجد أي تشويش على الرسائل). عندما تحظر حماية ZAP ل Teams رسالة، يتم حظر الرسالة لكل شخص في الدردشة. تحدث الكتلة الأولية مباشرة بعد التسليم، ولكن ZAP يحدث حتى 48 ساعة بعد التسليم.
الاستثناءات الخاصة بحماية ZAP ل Teams في دردشات Teams مهمة لمستلمي الرسائل، وليس لمرسلي الرسائل. لتكوين استثناءات لدردشات Teams، راجع تكوين ZAP لحماية Teams في Defender لـ Office 365 الخطة 2.
يمكن لحماية ZAP ل Teams اتخاذ إجراء بشأن الرسائل لجميع المستلمين في دردشة إذا لم يتم استبعاد أي مستلمين في الدردشة من ZAP لحماية Teams. فقط عندما يتم استبعاد جميع المستلمين في دردشة من ZAP لحماية Teams، لن يتخذ ZAP إجراء على رسالة. يتم توضيح هذه السيناريوهات في الجدول التالي:
السيناريو | نتيجة |
---|---|
دردشة جماعية مع المستلمين A وB وC وD. يتم استبعاد المستلمين A وB وC وD من ZAP لحماية Teams. |
لن يمنع ZAP الرسائل المرسلة إلى الدردشة الجماعية. |
دردشة جماعية مع المستلمين A وB وC وD. يتم استبعاد المستلمين A وB وC فقط من ZAP لحماية Teams. |
يمكن ل ZAP حظر الرسائل المرسلة إلى الدردشة الجماعية لجميع المستلمين. |
دردشة جماعية مع المستلمين A وB وC وD. لا يتم استبعاد المستلمين A وB وC وD من ZAP لحماية Teams. يتم استبعاد المرسل X من ZAP لحماية Teams ويرسل رسالة إلى دردشة المجموعة. |
يمكن ل ZAP حظر الرسائل المرسلة إلى الدردشة الجماعية لجميع المستلمين. |
طريقة عرض المرسل:
طريقة عرض المستلم:
ZAP في قنوات Teams
يدعم ZAP لحماية Teams الأنواع التالية من قنوات Teams:
- القنوات القياسية: يتوفر ZAP للرسائل الداخلية. حاليا، الرسائل الخارجية غير مدعومة.
- القنوات المشتركة: يتوفر ZAP للرسائل الداخلية والخارجية.
حاليا، ZAP غير متوفر في القنوات الخاصة.
لتكوين استثناءات لحماية ZAP لقنوات Teams، تحتاج إلى عنوان البريد الإلكتروني للمستلم. يختلف هذا العنوان عن عنوان البريد الإلكتروني للقناة في عميل Teams.
للحصول على عنوان البريد الإلكتروني للمستلم لاستخدامه للاستثناءات لحماية قناة Teams، استخدم قيمة الاسم والبريد الإلكتروني من قسم تفاصيل القناة في لوحة كيان رسالة Teams. لمزيد من المعلومات، راجع لوحة كيان رسالة Teams في Microsoft Defender لـ Office 365.
لتكوين استثناءات لقنوات Teams، راجع تكوين ZAP لحماية Teams في Defender لـ Office 365 الخطة 2.
الإزالة التلقائية للساعة الصفرية (ZAP) لرسائل التصيد الاحتيالي عالية الثقة في Teams
بالنسبة للرسائل التي تم تعريفها على أنها تصيد احتيالي عالي الثقة بعد التسليم، يحظر ZAP ل Teams الحماية ويعزل الرسالة. لتعيين نهج العزل المستخدم لاكتشافات التصيد الاحتيالي عالية الثقة في ZAP ل Teams، راجع Microsoft Defender لـ Office 365 دعم الخطة 2 ل Microsoft Teams.
الإزالة التلقائية للساعة الصفرية (ZAP) للبرامج الضارة في رسائل Teams
بالنسبة للرسائل التي تم تعريفها على أنها برامج ضارة، يحظر ZAP ل Teams الحماية ويعزل الرسالة. لتعيين نهج العزل المستخدم لاكتشاف البرامج الضارة في ZAP ل Teams، راجع دعم الخطة 2 Microsoft Defender لـ Office 365 ل Microsoft Teams.
كيفية معرفة ما إذا كان ZAP قد حظر رسالة Teams
حاليا، يمكن للمسؤولين فقط عرض الرسائل التي تم عزلها بواسطة ZAP لحماية Teams وإدارتها. لمزيد من المعلومات، راجع استخدام مدخل Microsoft Defender لإدارة رسائل Microsoft Teams المعزولة.
الأسئلة المتداولة حول الإزالة التلقائية للساعة الصفرية (ZAP)
ماذا يحدث إذا نقلت ZAP الرسائل المشروعة إلى مجلد البريد الإلكتروني غير الهام؟
اتبع العملية العادية للإبلاغ عن الإيجابيات الخاطئة إلى Microsoft. ينقل ZAP الرسالة من مجلد علبة الوارد إلى مجلد البريد الإلكتروني غير الهام فقط إذا حددت الخدمة أن الرسالة بريد عشوائي أو ضار.
ماذا لو كنت أستخدم مجلد العزل بدلا من مجلد البريد غير الهام؟
تتخذ ZAP إجراء على رسالة استنادا إلى تكوين نهج مكافحة البريد العشوائي كما هو موضح سابقا في هذه المقالة.
كيف تتأثر ZAP بالاستثناءات الخاصة بميزات الحماية في EOP Defender لـ Office 365؟
قد يتم تجاوز إجراءات ZAP بواسطة قوائم المرسلين الآمنة وقواعد تدفق بريد Exchange (قواعد النقل) والكتلة التنظيمية الأخرى وإعدادات السماح. ومع ذلك، بالنسبة للبرامج الضارة وأحكام التصيد الاحتيالي عالية الثقة، هناك عدد قليل جدا من السيناريوهات التي لا تعمل فيها ZAP على الرسائل لحماية المستخدمين:
- عناوين URL لمحاكاة التصيد الاحتيالي لجهات خارجية المحددة في نهج التسليم المتقدم (التصيد الاحتيالي عالي الثقة).
- علب بريد SecOps المحددة في نهج التسليم المتقدم (البرامج الضارة والتصيد الاحتيالي عالي الثقة).
- يشير سجل MX لمجال Microsoft 365 إلى خدمة أو جهاز آخر، وتستخدم قاعدة تدفق البريد لتجاوز تصفية البريد العشوائي (التصيد الاحتيالي عالي الثقة).
- مسؤول عمليات إرسال الإيجابيات الخاطئة إلى Microsoft. بشكل افتراضي، السماح بإدخالات المجالات وعناوين البريد الإلكتروني والملفات وعناوين URL موجودة لمدة 30 يوما (البرامج الضارة والتصيد الاحتيالي عالي الثقة).
من المهم أن تفكر بعناية في الآثار المترتبة على تجاوز التصفية، حيث يمكن أن يعرض الوضع الأمني لمؤسستك للخطر.
ما هي متطلبات الترخيص ل ZAP؟
لا توجد متطلبات ترخيص خاصة ل ZAP للبرامج الضارة والبريد العشوائي والتصيد الاحتيالي. يعمل ZAP على جميع علب البريد المستضافة في Exchange Online. لا يعمل ZAP في علب البريد المحلية المحمية بواسطة EOP المستقل.
تتطلب حماية ZAP ل Teams تراخيص Microsoft 365 E5 أو Microsoft Defender لـ Office 365 الخطة 2.
هل يعمل ZAP على الرسائل الموجودة في مجلدات أخرى في علبة البريد (على سبيل المثال، الرسائل التي تم نقلها بواسطة قواعد علبة الوارد)؟
لا يزال ZAP يعمل طالما لم يتم حذف الرسالة، أو طالما أن الإجراء نفسه أو الأقوى لم يتم تطبيقه بالفعل. على سبيل المثال، إذا كانت الرسالة في مجلد البريد الإلكتروني غير الهام، وكان الإجراء في نهج مكافحة التصيد الاحتيالي المعمول به هو العزل، يقوم ZAP بعزل الرسالة.
كيف يؤثر ZAP على علب البريد قيد الانتظار؟
يقوم ZAP بعزل الرسائل من علب البريد قيد الانتظار. يمكن ل ZAP نقل الرسائل إلى مجلد البريد الإلكتروني غير الهام استنادا إلى الإجراء الذي تم تكوينه لإصدار حكم بشأن البريد العشوائي أو التصيد الاحتيالي في نهج مكافحة البريد العشوائي.
لمزيد من المعلومات حول الاحتجاز في Exchange Online، راجع الاحتجاز الموضعي والاحتفاظ بالتقاضي في Exchange Online.