Jaa


Haittaohjelmien torjunta EOP:ssa

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa ilman Exchange Online postilaatikoita, EOP suojaa sähköpostiviestit automaattisesti haittaohjelmilta. Haittaohjelmien tärkeimpiä luokkia ovat:

  • Virukset , jotka tartuttavat muita ohjelmia ja tietoja ja leviävät tietokoneen tai verkon kautta etsien tartutettavaa ohjelmaa.
  • Vakoiluohjelma , joka kerää henkilökohtaisia tietojasi, kuten kirjautumistietoja ja henkilökohtaisia tietoja, ja lähettää ne takaisin tekijälleen.
  • Kiristysohjelma , joka salaa tietosi ja vaatii maksua salauksen purkamiseksi. Haittaohjelmien torjuntaohjelmisto ei auta salattujen tiedostojen salauksen purkamisessa, mutta se voi havaita kiristysohjelmaan liittyvät haittaohjelmatiedot.

EOP tarjoaa monikerroksisen haittaohjelmasuojauksen, joka on suunniteltu nappaamaan kaikki tunnetut haittaohjelmat Windowsissa, Linuxissa ja Macissa, jotka kulkevat organisaatioosi tai sieltä pois. Seuraavat vaihtoehdot auttavat tarjoamaan haittaohjelmien torjuntaa:

  • Monikerroksiset suojaukset haittaohjelmia vastaan: Haittaohjelmien torjuntatarkistuksia voidaan suojata sekä tunnettuja että tuntemattomia uhkia vastaan. Microsoftin haittaohjelmien torjunta sisältää tehokkaan heuristisen tunnistuksen, joka tarjoaa suojan myös haittaohjelmien puhkeamisen alkuvaiheessa.
  • Reaaliaikainen uhkavastaus: Joidenkin taudinpurkausten aikana haittaohjelmien torjuntatiimillä voi olla tarpeeksi tietoa viruksesta tai muusta haittaohjelmamuodosta, jotta se voi kirjoittaa kehittyneitä käytäntösääntöjä, jotka havaitsevat uhan, jopa ennen kuin määritelmä on saatavilla. Nämä säännöt julkaistaan maailmanlaajuiseen verkkoon 2 tunnin välein, jotta organisaatiollesi voidaan tarjota ylimääräinen suojaus hyökkäyksiä vastaan.
  • Nopea haittaohjelmien torjuntamääritysten käyttöönotto: Haittaohjelmien torjuntatiimi voi vastaanottaa ja integroida haittaohjelmamäärityksiä ja korjaustiedostoja ennen niiden julkista julkaisua.

EOP:ssa viestit, joiden havaitaan sisältävän haittaohjelmia liitteissä , asetetaan karanteeniin*. Karanteenikäytännöt ohjaavat sitä, voivatko vastaanottajat tarkastella karanteenissa olevia viestejä tai käsitellä niitä muulla tavalla. Oletusarvoisesti vain järjestelmänvalvojat voivat tarkastella ja vapauttaa viestejä, jotka oli asetettu karanteeniin haittaohjelmien vuoksi. Käyttäjät eivät voi julkaista omia karanteeniin asetettuja haittaohjelmaviestejään järjestelmänvalvojien määrittämista asetuksista riippumatta. Lisätietoja on seuraavissa artikkeleissa:

* Haittaohjelmien suodatus ohitetaan SecOps-postilaatikoissa, jotka on tunnistettu kehittyneen toimituksen käytännössä. Lisätietoja on artikkelissa Kehittyneiden toimituskäytäntöjen määrittäminen kolmannen osapuolen tietojenkalastelusimulaatioille ja sähköpostin toimittamiselle SecOps-postilaatikoihin.

Haittaohjelmien torjuntakäytännöt sisältävät myös yleisen liitesuodattimen. Viestit, jotka sisältävät määritetyt tiedostotyypit, tunnistetaan automaattisesti haittaohjelmiksi. Lisätietoja on tämän artikkelin kohdassa Yleiset liitteet suodatetaan haittaohjelmien torjuntakäytäntöjen kohdassa.

Lisätietoja haittaohjelmien suojaamisesta on artikkelissa Haittaohjelmien torjuntaa koskevat usein kysytyt kysymykset.

Jos haluat määrittää oletusarvoisen haittaohjelmien torjuntakäytännön sekä luoda, muokata ja poistaa mukautettuja haittaohjelmien torjuntakäytäntöjä, katso Haittaohjelmien torjuntakäytäntöjen määrittäminen. Vakio- ja Tiukat esiasetetut suojauskäytännöt-kohdassa haittaohjelmien torjuntakäytännön asetukset on jo määritetty ja muokkaamattomat kohdassa EOP:n haittaohjelmien torjuntakäytännön asetukset kuvatulla tavalla.

Vihje

Jos olet eri mieltä haittaohjelmapäätöksen kanssa, voit ilmoittaa viestin liitteen Microsoftille vääränä positiivisena (hyvä liite merkitty virheelliseksi) tai vääränä negatiivisena (virheellinen liite sallittu). Jos haluat lisätietoja, katso Ohjevalikko ilmoita epäilyttävästä sähköpostiviestistä tai tiedostosta Microsoftille?.

Haittaohjelmien torjuntakäytännöt

Haittaohjelmien torjuntakäytännöt hallitsevat haittaohjelmien tunnistamisen määritettävissä olevia asetuksia ja ilmoitusvaihtoehtoja. Haittaohjelmien torjuntakäytäntöjen tärkeät asetukset on kuvattu seuraavissa alakohdissa.

Vastaanottajasuodattimet haittaohjelmien torjuntakäytännöissä

Vastaanottajasuodattimet käyttävät ehtoja ja poikkeuksia tunnistaakseen sisäiset vastaanottajat, joita käytäntö koskee. Mukautetuissa käytännöissä vaaditaan vähintään yksi ehto. Ehdot ja poikkeukset eivät ole käytettävissä oletuskäytännössä (oletuskäytäntö koskee kaikkia vastaanottajia). Voit käyttää seuraavia vastaanottajasuodattimia ehdoille ja poikkeuksille:

  • Käyttäjät: Yksi tai useampi organisaation postilaatikko, sähköpostin käyttäjä tai sähköpostiyhteystieto.
  • Ryhmät:
    • Määritettyjen jakeluryhmien tai sähköpostia käyttävien käyttöoikeusryhmien jäsenet (dynaamisia jakeluryhmiä ei tueta).
    • Määritetty Microsoft 365 -ryhmät.
  • Toimialueet: Vähintään yksi Microsoft 365:n määritetyistä hyväksytyistä toimialueista . Vastaanottajan ensisijainen sähköpostiosoite on määritetyssä toimialueessa.

Voit käyttää ehtoa tai poikkeusta vain kerran, mutta ehto tai poikkeus voi sisältää useita arvoja:

  • Useat saman ehdon tai poikkeuksenarvot käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <vastaanottaja2>):

    • Ehdot: Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä sovelletaan niihin.
    • Poikkeukset: Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä ei sovelleta niihin.
  • ERI poikkeustyypit käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <group1>:n jäsen tai <toimialueen1> jäsen). Jos vastaanottaja vastaa jotakin määritetyistä poikkeusarvoista, käytäntöä ei sovelleta niihin.

  • Erityyppiset ehdot käyttävät AND-logiikkaa. Vastaanottajan on vastattava kaikkia määritettyjä ehtoja, jotta käytäntöä voidaan soveltaa niihin. Voit esimerkiksi määrittää ehdon seuraavilla arvoilla:

    • Käyttäjät: romain@contoso.com
    • Ryhmät: Johtajat

    Käytäntöä romain@contoso.com sovelletaan vain, jos hän on myös Johtajat-ryhmän jäsen. Muuten käytäntöä ei sovelleta häneen.

Yleiset liitteet suodatetaan haittaohjelmien torjuntakäytännöissä

On olemassa tietyntyyppisiä tiedostoja, joita ei todellakaan kannata lähettää sähköpostitse (esimerkiksi suoritettavat tiedostot). Miksi vaivautua skannaamaan tämän tyyppisiä tiedostoja haittaohjelmiksi, kun sinun pitäisi kuitenkin estää ne kaikki? Siinä yleiset liitesuodattimet tulevat mukaan kuvaan. Määrittämäsi tiedostotyypit tunnistetaan automaattisesti haittaohjelmiksi.

Oletustiedostotyyppien luetteloa käytetään oletusarvoisessa haittaohjelmien torjuntakäytännössä, luomissasi mukautetuissa haittaohjelmien torjuntakäytännöissä ja haittaohjelmien torjuntakäytännöissä standard- ja strict-ennalta määritetyissä suojauskäytännöissä.

Microsoft Defender portaalissa voit valita luettelosta lisää tiedostotyyppejä tai lisätä omia arvoja, kun luot tai muokkaat haittaohjelmien torjuntakäytäntöjä Microsoft Defender portaalissa.

  • Oletustiedostotyypit: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

  • Defender-portaalissa valittavat muut tiedostotyypit: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Kun yleiset liitetiedostot -suodatin havaitsee tiedostoja, voit hylätä viestin toimittamattomalla raportilla (NDR) tai asettaa viestin karanteeniin.

True-tyypin vastaavuus yleisten liitteiden suodattimessa

Yleinen liitesuodatin käyttää parhaan ponnistuksen tosi-tyypin vastaavuutta tunnistaakseen tiedostotyypin tiedostonimien tunnisteista riippumatta. True-tyypin vastaavuuksien avulla määritetään tiedoston ominaisuudet todellisen tiedostotyypin määrittämiseksi (esimerkiksi tiedoston alussa ja lopussa olevat tavut). Jos tiedosto nimetään esimerkiksi exe uudelleen tiedostotunnisteella txt , yleiset liitetiedostosuodattimet tunnistavat tiedoston tiedostona exe .

Yleisten liitteiden suodattimen true-tyyppinen vastaavuus tukee seuraavia tiedostotyyppejä:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Jos true-tyypin vastaavuus epäonnistuu tai tiedostotyyppiä ei tueta, käytetään yksinkertaista tunnistevastaavuutta.

Nollatuntinen automaattinen puhdistus (ZAP) haittaohjelmien torjuntakäytännöissä

ZAP haittaohjelmakaranteeneille viestit, joiden havaitaan sisältävän haittaohjelmia sen jälkeen, kun ne on toimitettu Exchange Online postilaatikoihin. Oletusarvoisesti haittaohjelmien ZAP on käytössä, ja suosittelemme, että jätät sen päälle. Lisätietoja on kohdassa Nollatuntinen automaattinen puhdistus (ZAP) haittaohjelmien poistamiseksi.

Karanteenikäytännöt haittaohjelmien torjuntakäytännöissä

Karanteenikäytännöt määrittävät, mitä käyttäjät voivat tehdä karanteeniin asetettuihin viesteihin ja saavatko käyttäjät karanteeniilmoituksia. Oletusarvoisesti vastaanottajat eivät saa ilmoituksia viesteistä, jotka on asetettu karanteeniin haittaohjelmistona, eivätkä käyttäjät voi julkaista omia karanteeniin asetettuja haittaohjelmaviestejään järjestelmänvalvojien määrittämista asetuksista riippumatta. Lisätietoja on kohdassa Karanteenikäytännön anatomia.

Hallinta ilmoitukset haittaohjelmien torjuntakäytännöissä

Voit määrittää lisäkäyttäjän (järjestelmänvalvojan), joka vastaanottaa ilmoituksia haittaohjelmista, jotka on havaittu sisäisissä tai ulkoisissa lähettäjissä. Voit mukauttaa lähettäjän osoitteen, aiheen ja viestin tekstin sisäisiä ja ulkoisia ilmoituksia varten.

Näitä asetuksia ei ole oletusarvoisesti määritetty oletusarvoisessa haittaohjelmien torjuntakäytännössä tai vakio- tai strict-suojauskäytännöissä.

Vihje

Hallinta ilmoituksia lähetetään vain haittaohjelmaksi luokiteltuihin liitteisiin.

Haittaohjelmien torjuntakäytännölle määritetty karanteenikäytäntö määrittää, saavatko vastaanottajat sähköposti-ilmoituksia viesteistä, jotka on asetettu karanteeniin haittaohjelmaksi.

Haittaohjelmien torjuntakäytäntöjen prioriteetti

Jos ne on otettu käyttöön, vakio- ja tiukat ennalta määritetyt suojauskäytännöt otetaan käyttöön ennen mukautettuja haittaohjelmien torjuntakäytäntöjä tai oletuskäytäntöä (Strict on aina ensimmäinen). Jos luot useita mukautettuja haittaohjelmien torjuntakäytäntöjä, voit määrittää niiden käyttöönottojärjestyksen. Käytännön käsittely pysähtyy, kun ensimmäinen käytäntö on otettu käyttöön (kyseisen vastaanottajan suurin prioriteettikäytäntö).

Lisätietoja käsittelyjärjestyksestä ja siitä, miten useita käytäntöjä arvioidaan, on kohdassa Sähköpostin suojauksen järjestys ja käsittelyjärjestys sekä Esiasetusten suojauskäytäntöjen ja muiden käytäntöjen käsittelyjärjestys.

Oletusarvoinen haittaohjelmien torjuntakäytäntö

Jokaisella organisaatiolla on sisäinen haittaohjelmien torjuntakäytäntö nimeltä Default, jolla on seuraavat ominaisuudet:

  • Käytäntö on oletuskäytäntö ( IsDefault-ominaisuudella on arvo True), etkä voi poistaa oletuskäytäntöä.
  • Käytäntö otetaan automaattisesti käyttöön kaikille organisaation vastaanottajille, etkä voi poistaa sitä käytöstä.
  • Käytäntöä käytetään aina viimeisenä ( Prioriteetti-arvo on Pienin , etkä voi muuttaa sitä).