Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) in Microsoft Defender for Office 365

  • Artikel
  • 7 Minuten Lesedauer

Gilt für

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Grundlagen der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP)

In Microsoft 365-Organisationen mit Exchange Online Postfächern und in Microsoft Teams ist Zap (Zero-Hour Auto Purge) ein Schutzfeature, das schädliche Phishing-, Spam- oder Schadsoftwarenachrichten rückwirkend erkennt und neutralisiert, die bereits an Exchange Online Postfächer oder über Teams-Chat übermittelt wurden.

ZAP funktioniert nicht in eigenständigen Exchange Online Protection (EOP)-Umgebungen, die lokale Exchange-Postfächer schützen.

Zero-Hour Auto Purge (ZAP) in Exchange Online

Spam- und Schadsoftwaresignaturen werden im Dienst täglich in Echtzeit aktualisiert. Benutzer können jedoch weiterhin schädliche Nachrichten aus einer Vielzahl von Gründen empfangen, z. B. wenn Inhalte nach der Übermittlung an Benutzer bewaffnet werden. ZAP behebt dieses Problem, indem ständig Updates für die Spam- und Schadsoftwaresignaturen im Dienst überwacht werden. ZAP kann nachrichten, die sich bis zu 48 Stunden nach der Zustellung bereits im Postfach eines Benutzers befinden, finden und automatisierte Aktionen ausführen.

Die ZAP-Aktion ist für den Benutzer nahtlos. Der Benutzer wird nicht benachrichtigt, wenn eine Nachricht erkannt und verschoben wird.

Listen sicherer Absender, Nachrichtenflussregeln (auch als Transportregeln bezeichnet), Posteingangsregeln oder zusätzliche Filter haben Vorrang vor ZAP. Ähnlich wie beim Nachrichtenfluss bedeutet dies, dass selbst wenn der Dienst feststellt, dass die übermittelte Nachricht ZAP benötigt, die Nachricht aufgrund der Konfiguration für sichere Absender nicht reagiert wird. Dies ist ein weiterer Grund, bei der Konfiguration von Nachrichten zur Umgehung der Filterung vorsichtig zu sein.

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie ZAP in Microsoft Defender for Office 365 Automatisch Bedrohungen in E-Mails erkennt und neutralisiert.

Zero-Hour Auto Purge (ZAP) für Schadsoftware

Für gelesene oder ungelesene Nachrichten , die nach der Übermittlung Schadsoftware enthalten, isoliert ZAP die Nachricht, die die Schadsoftwareanlage enthält. Standardmäßig können nur Administratoren Malwaremeldungen aus der Quarantäne anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit Nachrichten tun dürfen, die als Schadsoftware unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

ZAP für Schadsoftware ist in Richtlinien für Antischadsoftware standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishing

Bei gelesenen oder ungelesenen Nachrichten , die nach der Zustellung als Phishing identifiziert werden, hängt das ZAP-Ergebnis von der Aktion ab, die für eine Phishing-E-Mail-Filterung in der geltenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Filterbewertungsaktionen für Phishing und ihre möglichen ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

Standardmäßig ist ZAP für Phishing in Antispamrichtlinien aktiviert, und die Standardaktion für die Phishing-E-Mail-Filterung ist Quarantänenachricht, was bedeutet, dass ZAP für Phishing die Nachricht standardmäßig unter Quarantäne stellt.

Weitere Informationen zum Konfigurieren von Spamfilterungsbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Zero-Hour Auto Purge (ZAP) für Phishing mit hoher Zuverlässigkeit

Für gelesene oder ungelesene Nachrichten , die nach der Übermittlung als Phishing mit hoher Zuverlässigkeit identifiziert werden, wird die Nachricht von ZAP unter Quarantäne gesetzt. Standardmäßig können nur Administratoren in Quarantäne befindliche Phishingnachrichten mit hoher Zuverlässigkeit anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit Nachrichten tun dürfen, die als Phishing mit hohem Vertrauen unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

ZAP für Phishing-E-Mail mit hoher Vertrauenswürdigkeit ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Secure by Default in Office 365.

Zero-Hour Auto Purge (ZAP) für Spam

Bei ungelesenen Nachrichten , die nach der Zustellung als Spam identifiziert werden, hängt das ZAP-Ergebnis von der Aktion ab, die für die Bewertung der Spamfilterung in der geltenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Filterbewertungsaktionen für Spam und ihre möglichen ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

  • X-Header hinzufügen, Betreffzeile mit Text voranstellen, Nachricht an E-Mail-Adresse umleiten, Nachricht löschen: ZAP führt keine Aktion für die Nachricht aus.

  • Nachricht in Junk-Email verschieben: ZAP verschiebt die Nachricht in den Ordner Junk Email. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.

  • Nachricht unter Quarantäne stellen: ZAP isoliert die Nachricht. Standardmäßig können Endbenutzer spamquarantäne Nachrichten anzeigen und verwalten, bei denen sie empfänger sind. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit Nachrichten tun dürfen, die als Spam unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Standardmäßig ist SPAM-ZAP in Antispamrichtlinien aktiviert, und die Standardaktion für die Spamfilterungsbewertung lautet Nachricht in Junk-Email Ordner verschieben. Dies bedeutet, dass spam-ZAP ungelesene Nachrichten standardmäßig in den Ordner Junk Email verschiebt.

Weitere Informationen zum Konfigurieren von Spamfilterungsbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

So überprüfen Sie, ob ZAP Ihre Nachricht verschoben hat

Um festzustellen, ob ZAP Ihre Nachricht verschoben hat, haben Sie die folgenden Optionen:

Hinweis

ZAP wird in den Überwachungsprotokollen des Exchange-Postfachs nicht als Systemaktion protokolliert.

Überlegungen zur automatischen Löschung (Zero-Hour Auto Purge, ZAP) für Microsoft Defender for Office 365

ZAP isoliert keine Nachrichten, die sich im Prozess der dynamischen Übermittlung in der Richtlinienüberprüfung sicherer Anlagen befinden. Wenn ein Phishing- oder Spamsignal für Nachrichten in diesem Zustand empfangen wird und das Filterurteil in der Antispamrichtlinie so festgelegt ist, dass eine Aktion für die Nachricht ausgeführt wird (In Junk verschieben, Umleiten, Löschen oder Quarantäne), dann verwendet ZAP standardmäßig die Aktion "In Junk verschieben".

Automatische Löschung (Zero-Hour Auto Purge, ZAP) in Microsoft Teams

Hinweis

In diesem Abschnitt werden neue Features aufgeführt, die sich derzeit in der Vorschau befinden.

Wenn eine Chatnachricht in Microsoft Teams als potenziell Phishing oder böswillig identifiziert wird, blockiert ZAP die Nachricht und isoliert sie. Diese Nachricht wird sowohl für den Empfänger als auch für den Absender blockiert. Beachten Sie, dass dieses Schutzfeature nur für Nachrichten in einem Chat oder in einer Besprechung innerhalb des organization gilt.

Absenderansicht:

Abbildung, die zeigt, wie die automatische Null-Stunde-Bereinigung für den Absender funktioniert.

Empfängeransicht:

Abbildung, die zeigt, wie die automatische Null-Stunde-Bereinigung für den Empfänger funktioniert.

Administratoren können diese in Quarantäne befindlichen Nachrichten in Microsoft Teams anzeigen und verwalten. Weitere Informationen finden Sie unter Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator. Beachten Sie, dass Sie, wenn Sie kein Administrator sind, keine in Quarantäne befindlichen Nachrichten für dieses Release anzeigen oder verwalten können.

Hinweis

Zap (Zero-Hour Auto Purge) in Microsoft Teams ist nur für Kunden mit Microsoft Defender for Office 365 E5- und Defender für Office P2-Abonnements verfügbar.

Zero-Hour Auto Purge (ZAP) für Phishing mit hohem Vertrauen in Teams

Für Nachrichten, die nach der Übermittlung als Phishing mit hoher Zuverlässigkeit identifiziert werden, blockiert zap die Nachricht und isoliert sie unter Quarantäne. Standardmäßig können nur Administratoren in Quarantäne befindliche Phishingnachrichten mit hoher Zuverlässigkeit anzeigen und verwalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Zero-Hour Auto Purge (ZAP) für Schadsoftware in Teams

Für Nachrichten, die als Schadsoftware identifiziert werden, blockiert zap die Nachricht und isoliert sie. Standardmäßig können nur Administratoren Malwaremeldungen aus der Quarantäne anzeigen und verwalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Beachten Sie, dass ZAP für dieses Release nur für Nachrichten verfügbar ist, die als Phishing oder Schadsoftware mit hoher Zuverlässigkeit identifiziert werden.

Überprüfen von Nachrichten, die in Teams blockiert sind

Informationen dazu, ob ZAP Ihre Nachricht blockiert hat, finden Sie unter Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator.

Häufig gestellte Fragen zur automatischen Bereinigung (Zero-Hour Auto Purge, ZAP)

Was geschieht, wenn eine legitime Nachricht in den Ordner Junk Email verschoben wird?

Sie sollten den normalen Berichtsprozess für falsch positive Ergebnisse befolgen. Der einzige Grund, warum die Nachricht aus dem Posteingang in den Junk-Email Ordner verschoben wird, ist, dass der Dienst festgestellt hat, dass die Nachricht Spam oder böswillig war.

Was geschieht, wenn ich den Quarantäneordner anstelle des Junk-E-Mail-Ordners verwende?

ZAP ergreift Maßnahmen für eine Nachricht basierend auf der Konfiguration Ihrer Antispamrichtlinien, wie weiter oben in diesem Artikel beschrieben.

Was geschieht, wenn ich sichere Absender, Nachrichtenflussregeln oder Listen zugelassener/blockierter Absender verwende?

Sichere Absender, Nachrichtenflussregeln oder Blockieren und Zulassen von Organisationseinstellungen haben Vorrang. Diese Nachrichten werden von ZAP ausgeschlossen, da der Dienst die von Ihnen konfigurierten Aufgaben ausführt. Dies ist ein weiterer Grund, bei der Konfiguration von Nachrichten zur Umgehung der Filterung vorsichtig zu sein.

Was sind die Lizenzierungsanforderungen für die automatische Zero-Hour-Bereinigung (ZAP) für die Arbeit?

Es gibt keine Einschränkungen für Lizenzen. ZAP arbeitet mit allen Postfächern, die in Exchange Online gehostet werden. ZAP funktioniert nicht in eigenständigen Exchange Online Protection (EOP)-Umgebungen, die lokale Exchange-Postfächer schützen.

Was geschieht, wenn eine Nachricht in einen anderen Ordner verschoben wird (z. B. Posteingangsregeln)?

Die automatische Löschdauer für die Stunde funktioniert weiterhin, solange die Nachricht nicht gelöscht wurde oder die gleiche oder stärkere Aktion noch nicht angewendet wurde. Wenn die Antiphishingrichtlinie beispielsweise auf Quarantäne festgelegt ist und sich die Nachricht bereits im Junk-Email befindet, wird ZAP maßnahmen ergreifen, um die Nachricht unter Quarantäne zu stellen.

Wie wirkt sich ZAP auf postfächer im Warteschleifen aus?

Bei der automatischen Löschung von 0 Stunden werden Nachrichten aus Postfächern im Haltestatus unter Quarantäne gesetzt. ZAP kann Nachrichten basierend auf der Aktion, die für eine Spam- oder Phishingbewertung in Antispamrichtlinien konfiguriert ist, in den Ordner Junk-Email verschieben.

Weitere Informationen zu Haltebereichen in Exchange Online finden Sie unter In-Situ-Aufbewahrung und Beweissicherungsverfahren in Exchange Online.