Automatisk udrensning (ZAP) på nul timer i Microsoft Defender for Office 365
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.
I Microsoft 365-organisationer med Exchange Online postkasser er ZAP (automatisk tømning på nul timer) en beskyttelsesfunktion i Exchange Online Protection (EOP), der med tilbagevirkende kraft registrerer og neutraliserer ondsindet phishing, spam eller malwaremeddelelser, der allerede er blevet leveret til Exchange Online postkasser.
ZAP fungerer ikke i separate EOP-miljøer, der beskytter postkasser i det lokale miljø.
Bemærk!
I øjeblikket er ZAP i prøveversion også i stand til at registrere eksisterende skadelige chatbeskeder med tilbagevirkende kraft i Microsoft Teams.
Spam- og malwaresignaturer i tjenesten opdateres dagligt i realtid. Brugerne kan dog stadig modtage skadelige meddelelser. Det kan f.eks. være:
- Zero-day malware, der ikke kunne registreres under mailflow.
- Indhold, der er våbeniseret efter levering til brugerne.
ZAP løser disse problemer ved løbende at overvåge opdateringer af spam- og malwaresignaturer i tjenesten og er problemfri for brugerne. ZAP finder og udfører automatisk handling på meddelelser, der allerede findes i en brugers postkasse. ZAP's søgning er begrænset til de sidste 48 timers levering af mail. Brugerne får ikke besked, hvis ZAP registrerer og flytter en meddelelse.
Se denne korte video for at få mere at vide om, hvordan ZAP i Microsoft Defender for Office 365 automatisk registrerer og neutraliserer trusler i en mail.
Automatisk sletning (ZAP) på nul timer for mails
Nultimers automatisk fjernelse (ZAP) for malware
For læste eller ulæste meddelelser , der efter levering viser sig at indeholde malware, sætter ZAP den meddelelse, der indeholder den vedhæftede malware, i karantæne. Som standard er det kun administratorer, der kan få vist og administrere karantænelagrede malwaremeddelelser. Men administratorer kan oprette og bruge karantænepolitikker til at definere, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik.
Bemærk!
Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænelagrede malwaremeddelelser.
ZAP til malware er som standard aktiveret i politikker for antimalware. Du kan få flere oplysninger under Konfigurer politikker for antimalware i EOP.
Automatisk fjernelse (ZAP) på nul timer for phishing
For læste eller ulæste meddelelser , der identificeres som phishing (ikke phishing med høj sikkerhed) efter levering, afhænger ZAP-resultatet af den handling, der er konfigureret til en Phishing-dom i den relevante politik for spam. De tilgængelige handlinger og de mulige ZAP-resultater er beskrevet på følgende liste:
Tilføj X-Header, Forudindstillet emnelinje med tekst, Omdiriger meddelelse til mailadresse, Slet meddelelse: ZAP udfører ingen handling på meddelelsen.
Flyt meddelelsen til uønsket mail: ZAP flytter meddelelsen til mappen Uønsket mail.
Dette er standardhandlingen for en phishing-dom i standardpolitikken for spam og brugerdefinerede politikker mod spam, som du opretter i PowerShell.
Karantænemeddelelse: ZAP sætter meddelelsen i karantæne.
Dette er standardhandlingen for en phishing-dom i standard- og strenge forudindstillede sikkerhedspolitikker og i brugerdefinerede politikker til bekæmpelse af spam, som du opretter på Defender-portalen.
ZAP til phishing er som standard aktiveret i politikker til bekæmpelse af spam.
Du kan få flere oplysninger om konfiguration af dommene om filtrering af spam under Konfigurer politikker mod spam i Microsoft 365.
Zap (automatisk tøm på nul time) for phishing med høj genkendelsessikkerhed
I forbindelse med læste eller ulæste meddelelser , der identificeres som phishing med høj sikkerhed efter levering, sætter ZAP meddelelsen i karantæne. Som standard er det kun administratorer, der kan få vist og administrere phishing-meddelelser med høj genkendelsessikkerhed i karantæne. Men administratorer kan oprette og bruge karantænepolitikker til at definere, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik.
Bemærk!
Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som phishing med høj tillid, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres phishing-meddelelser med høj genkendelsessikkerhed i karantæne.
ZAP til phishing med høj genkendelsessikkerhed er som standard aktiveret. Du kan få flere oplysninger under Sikker som standard i Office 365.
Automatisk udrensning (ZAP) på nul timer for spam
For ulæste meddelelser , der identificeres som spam eller spam med høj tillid efter levering, afhænger ZAP-resultatet af den handling, der er konfigureret til en spam - eller high confidence-spam-dom i den gældende anti-spam-politik. De tilgængelige handlinger og de mulige ZAP-resultater er beskrevet på følgende liste:
Tilføj X-Header, Forudindstillet emnelinje med tekst, Omdiriger meddelelse til mailadresse, Slet meddelelse: ZAP udfører ingen handling på meddelelsen.
Flyt meddelelsen til uønsket mail: ZAP flytter meddelelsen til mappen Uønsket mail.
For Spam dom, er dette standardhandlingen i standard anti-spam politik, nye brugerdefinerede anti-spam politikker, og Standard forudindstillede sikkerhedspolitik.
For høj tillid spam dom, dette er standardhandlingen i standard anti-spam politik og nye brugerdefinerede anti-spam politikker.
Karantænemeddelelse: ZAP sætter meddelelsen i karantæne.
For Spam dom, er dette standardhandlingen i Strict forudindstillede sikkerhedspolitik.
For dom over spam med høj tillid er dette standardhandlingen i standard- og strenge forudindstillede sikkerhedspolitikker.
Som standard kan brugerne få vist og administrere meddelelser, der er sat i karantæne som spam, eller spam med høj sikkerhed, hvor de er modtager. Men administratorer kan oprette og bruge karantænepolitikker til at definere, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik.
ZAP for spam er som standard aktiveret i politikker for bekæmpelse af spam.
Du kan få flere oplysninger om konfiguration af dommene om filtrering af spam under Konfigurer politikker mod spam i Microsoft 365.
Sådan kan du se, om ZAP har flyttet din meddelelse
Hvis du vil finde ud af, om ZAP har flyttet din meddelelse, har du følgende muligheder:
- Antal meddelelser: Brug visningen Mailflow i statusrapporten Mailflow til at se antallet af ZAP-berørte meddelelser for det angivne datointerval.
- Meddelelsesoplysninger: Brug Threat Explorer (eller registreringer i realtid) til at filtrere alle mailhændelser efter værdien ZAP for kolonnen Ekstra handling .
Bemærk!
ZAP logføres ikke i exchange-postkassens overvågningslogge som en systemhandling.
Zap-overvejelser (automatisk sletning) på nul timer for sikre vedhæftede filer i Microsoft Defender for Office 365
ZAP sætter ikke meddelelser i karantæne, der er i gang med dynamisk levering i politikscanning for sikre vedhæftede filer. Hvis der modtages et phishing- eller spamsignal for meddelelser i denne tilstand, og filtreringsbesigelsen i politikken for bekæmpelse af spam er indstillet til at udføre en handling på meddelelsen (Flyt til uønsket, Omdiriger, Slet eller Karantæne), vender ZAP tilbage til handlingen 'Flyt til uønsket'.
Automatisk tømning på nul timer (ZAP) i Microsoft Teams
Tip
ZAP til Microsoft Teams er kun tilgængelig for kunder med Microsoft 365 E5- eller Microsoft Defender for Office 365 Plan 2-abonnementer. Hvis du vil konfigurere ZAP til Teams-beskyttelse, skal du se Microsoft Defender for Office 365 Plan 2-understøttelse af Microsoft Teams.
ZAP i Teams-chats
ZAP er tilgængelig til interne meddelelser i Teams-chats, der identificeres som malware eller phishing med høj sikkerhed. I øjeblikket understøttes eksterne meddelelser ikke.
Teams er anderledes end mail, fordi alle i en Teams-chat modtager den samme kopi af meddelelsen på samme tid (der er ingen meddelelsesinfurcation). Når ZAP til Teams-beskyttelse blokerer en meddelelse, blokeres meddelelsen for alle i chatten. Den første blok sker lige efter levering, men ZAP forekommer op til 48 timer efter levering.
Undtagelser for ZAP til Teams-beskyttelse i Teams-chats betyder noget for meddelelsesmodtagere, ikke for afsendere af meddelelser. Hvis du vil konfigurere undtagelser for Teams-chats, skal du se Konfigurer ZAP til Teams-beskyttelse i Defender for Office 365 Plan 2.
ZAP til Teams-beskyttelse kan reagere på meddelelser for alle modtagere i en chat, hvis nogen modtagere i chatten ikke er udelukket fra ZAP for Teams-beskyttelse. Kun når alle modtagere i en chat er udelukket fra ZAP til Teams-beskyttelse, vil ZAP ikke reagere på en meddelelse. Disse scenarier er illustreret i følgende tabel:
| Scenarie | Resultat |
|---|---|
| Gruppechat med Modtagere A, B, C og D. Modtagere A, B, C og D er udelukket fra ZAP til Teams-beskyttelse. |
ZAP blokerer ikke meddelelser, der sendes til gruppechatten. |
| Gruppechat med Modtagere A, B, C og D. Kun modtagere A, B og C er udelukket fra ZAP til Teams-beskyttelse. |
ZAP kan blokere meddelelser, der sendes til gruppechatten for alle modtagere. |
| Gruppechat med Modtagere A, B, C og D. Modtagere A, B, C og D er ikke udelukket fra ZAP til Teams-beskyttelse. Afsender X er udelukket fra ZAP for Teams Protection og sender en besked til gruppechatten. |
ZAP kan blokere meddelelser, der sendes til gruppechatten for alle modtagere. |
Afsendervisning:
Modtagervisning:
ZAP i Teams-kanaler
ZAP til Teams-beskyttelse understøtter følgende typer Teams-kanaler:
- Standardkanaler: ZAP er tilgængelig til interne meddelelser. I øjeblikket understøttes eksterne meddelelser ikke.
- Delte kanaler: ZAP er tilgængelig for interne og eksterne meddelelser.
ZAP er i øjeblikket ikke tilgængelig i private kanaler.
Hvis du vil konfigurere undtagelser for ZAP-beskyttelse af Teams-kanaler, skal du bruge modtagerens mailadresse. Denne adresse er forskellig fra kanalens mailadresse i Teams-klienten.
Hvis du vil have den mailadresse, som modtageren skal bruge til undtagelser for Beskyttelse af Teams-kanaler, skal du bruge værdien Navn og mail fra afsnittet Kanaloplysninger på meddelelsespanelet i Teams. Du kan få flere oplysninger i Meddelelsespanelet i Teams i Microsoft Defender for Office 365.
Hvis du vil konfigurere undtagelser for Teams-kanaler, skal du se Konfigurer ZAP til Teams-beskyttelse i Defender for Office 365 Plan 2.
Zap (automatisk tøm på nul time) for phishing-meddelelser med høj genkendelsessikkerhed i Teams
For meddelelser, der identificeres som phishing med høj sikkerhed efter levering, blokerer og sætter ZAP for Teams beskyttelse meddelelsen i karantæne. Hvis du vil angive den karantænepolitik, der bruges til phishing-registreringer med høj tillid i ZAP til Teams, skal du se Microsoft Defender for Office 365 Plan 2-understøttelse af Microsoft Teams.
Automatisk udrensning (ZAP) på nul timer for malware i Teams-meddelelser
For meddelelser, der er identificeret som malware, blokerer ZAP for Teams beskyttelse og sætter meddelelsen i karantæne. Hvis du vil angive den karantænepolitik, der bruges til registrering af malware i ZAP til Teams, skal du se Microsoft Defender for Office 365 Support til Plan 2 til Microsoft Teams.
Sådan kan du se, om ZAP har blokeret en Teams-meddelelse
I øjeblikket er det kun administratorer, der kan få vist og administrere meddelelser, der er sat i karantæne af ZAP til Teams-beskyttelse. Du kan få flere oplysninger under Brug Microsoft Defender-portalen til at administrere Microsoft Teams-karantænemeddelelser.
Ofte stillede spørgsmål om automatisk fjernelse på nul timer (ZAP)
Hvad sker der, hvis ZAP flytter legitime meddelelser til mappen Uønsket mail?
Følg den normale proces for rapportering af falske positiver til Microsoft. ZAP flytter kun meddelelsen fra mappen Indbakke til mappen Uønsket mail, hvis tjenesten bestemmer, at meddelelsen er spam eller skadelig.
Hvad gør jeg, hvis jeg bruger mappen Karantæne i stedet for mappen Uønsket mail?
ZAP reagerer på en meddelelse, der er baseret på konfigurationen af politikker mod spam, som beskrevet tidligere i denne artikel.
Hvordan påvirkes ZAP af undtagelserne for beskyttelsesfunktioner i EOP og Defender for Office 365?
ZAP-handlinger kan blive tilsidesat af lister over sikre afsendere, Exchange-regler for mailflow (transportregler) og andre organisationsblokke og tillad indstillinger. Men for phishing-domme med høj sikkerhed og malware er der meget få scenarier, hvor ZAP ikke reagerer på meddelelser for at beskytte brugerne:
- URL-adresser til phishing-simulering fra tredjepart, der er identificeret i politikken for avanceret levering (phishing med høj tillid).
- SecOps-postkasser, der er identificeret i politikken for avanceret levering (malware og phishing med høj genkendelsessikkerhed).
- MX-posten for dit Microsoft 365-domæne peger på en anden tjeneste eller enhed, og du bruger en regel for mailflow til at omgå spamfiltrering (phishing med høj genkendelsessikkerhed).
- Administration indsendelser af falske positiver til Microsoft. Tillad som standard poster for domæner og mailadresser, filer og URL-adresser i 30 dage (phishing med høj sikkerhed).
Det er vigtigt, at du nøje overvejer konsekvenserne af at omgå filtrering, da det kan kompromittere din organisations sikkerhedsholdning.
Hvad er licenskravene til ZAP?
Der er ingen særlige licenskrav til ZAP for malware, spam og phishing. ZAP fungerer på alle postkasser, der hostes i Exchange Online. ZAP fungerer ikke i postkasser i det lokale miljø, der er beskyttet af enkeltstående EOP.
ZAP til Teams-beskyttelse kræver Microsoft 365 E5 eller Microsoft Defender for Office 365 Plan 2-licenser.
Fungerer ZAP på meddelelser i andre mapper i postkassen (f.eks. meddelelser, der er flyttet efter indbakkeregler)?
ZAP virker stadig, så længe meddelelsen ikke er blevet slettet, eller så længe den samme eller stærkere handling ikke allerede er blevet anvendt. Hvis meddelelsen f.eks. er i mappen Uønsket mail, og handlingen i den relevante politik til bekæmpelse af phishing er sat i karantæne, sætter ZAP meddelelsen i karantæne.
Hvordan påvirker ZAP postkasser i venteposition?
ZAP sætter meddelelser fra postkasser i venteposition i karantæne. ZAP kan flytte meddelelser til mappen Uønsket mail baseret på den handling, der er konfigureret til en spam- eller phishing-dom i politikker til bekæmpelse af spam.
Du kan få flere oplysninger om ventepositioner i Exchange Online under Bevarelse på stedet og bevarelse af procesførelse i Exchange Online.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om