Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.
Koskee seuraavia
- Exchange Online Protection
- Microsoft Defender for Office 365 -palvelupaketti 1 ja palvelupaketti 2
- Microsoft Defender XDR
Tässä artikkelissa on usein kysyttyjä kysymyksiä ja vastauksia Microsoft 365 -organisaatioiden haittaohjelmien torjuntaan liittyen Exchange Online tai erillisissä Exchange Online Protection (EOP) organisaatioissa ilman Exchange Online postilaatikoita.
Lisätietoja karanteenista on kohdassa Karanteenin usein kysytyt kysymykset.
Saat kysymyksiä ja vastauksia roskapostin torjuntaa koskevista usein kysytyistä kysymyksistä.
Jos sinulla on kysymyksiä ja vastauksia huijaussuojasta, katso usein kysytyt kysymykset huijauksen vastaisesta suojauksesta.
Mitkä ovat parhaita käytäntöjä suosituksia haittaohjelmien torjuntaan ja -palvelun määrittämiseen ja käyttämiseen?
Kuinka usein haittaohjelmamääritelmiä päivitetään?
Jokainen palvelin tarkistaa haittaohjelmien torjuntakumppaneidemme uudet haittaohjelmamääritykset tunnin välein.
Kuinka monta haittaohjelmien torjuntakumppania sinulla on? Voinko valita käyttämämme haittaohjelmakoneet?
Meillä on kumppanuuksia useiden haittaohjelmien torjuntateknologian tarjoajien kanssa. Viestit skannataan Microsoftin haittaohjelmien torjuntamoottoreilla, ylimääräisellä allekirjoituspohjaisella moduulilla sekä URL-osoitteen ja tiedostojen maineen tarkistuksilla useista lähteistä. Kumppanimme voivat muuttua, mutta EOP käyttää aina useiden kumppanien haittaohjelmien torjuntaa. Et voi valita yhtä haittaohjelmien torjuntaohjelmaa toisensa päälle.
Missä haittaohjelmien tarkistus tapahtuu?
Skannaamme haittaohjelmia viesteissä, jotka lähetetään postilaatikkoon tai lähetetään postilaatikosta (viestit ovat kuljetuksen aikana). Exchange Online postilaatikoissa on myös nolla tunnin automaattinen puhdistus (ZAP) haittaohjelmien skannaamiseksi viesteille, jotka on jo toimitettu. Jos lähetät viestin postilaatikosta, se tarkistetaan uudelleen (koska se on siirtymässä).
Jos teen muutoksen haittaohjelmien torjuntakäytäntöön, kuinka kauan kestää, kun tallennan tekemäni muutokset, jotta ne tulevat voimaan?
Muutosten voimaantulo voi kestää jopa tunnin.
Skannaako palvelu sisäiset viestit haittaohjelmien osalta?
Organisaatioissa, joissa on Exchange Online postilaatikoita, palvelu etsii haittaohjelmia kaikista saapuvista ja lähtevistä viesteistä, mukaan lukien sisäisten vastaanottajien välillä lähetetyistä viesteistä.
Erillinen EOP-tilaus tarkistaa viestit, kun ne saapuvat paikalliseen sähköpostiorganisaatioon tai poistuvat siitä. Sisäisten paikallisten vastaanottajien välillä lähetettyjä viestejä ei skannata haittaohjelmien takia. Voit kuitenkin käyttää Exchange Server sisäisiä haittaohjelmien torjuntaominaisuuksia. Lisätietoja on artikkelissa haittaohjelmien torjunta Exchange Server.
Onko kaikilla palvelun käyttämillä haittaohjelmien torjuntamoottoreilla käytössä heuristinen skannaus?
Kyllä. Heuristinen skannaus skannaa sekä tunnetun (allekirjoitusvastaavuus) että tuntemattoman (epäilyttävän) haittaohjelman.
Voiko palvelu tarkistaa pakatut tiedostot (kuten .zip tiedostot)?
Kyllä. Haittaohjelmien torjuntaohjelmat voivat porautua pakattuihin (arkistoon) tiedostoihin.
Onko pakatun liitteen tarkistuksen tuki rekursiivinen (.zip .zip sisällä .zip) ja jos on, kuinka syvälle se menee?
Kyllä, pakattujen tiedostojen rekursiivinen skannaus skannaa useita kerroksia syvälle.
Toimiiko palvelu vanhojen Exchange-versioiden ja muiden kuin Exchange-ympäristöjen kanssa?
Kyllä, palvelu on palvelinagnostinen.
Mikä on nollapäivävirus ja miten palvelu käsittelee sitä?
Nollapäivävirus on ensimmäinen sukupolvi, aiemmin tuntematon haittaohjelmamuunnos, jota ei ole koskaan siepattu tai analysoitu.
Kun haittaohjelmien torjuntamoottorimme ovat sievanneet ja analysoineet nollapäiväisen virusnäytteen, luodaan kuvaus ja yksilöllinen allekirjoitus haittaohjelmien havaitsemiseksi.
Kun haittaohjelmalle on olemassa määritelmä tai allekirjoitus, sitä ei enää pidetä nollapäivänä.
Miten voin määrittää palvelun estämään tietyt suoritettavat tiedostot (kuten \*.exe), jotka saattavat sisältää haittaohjelmia?
Voit ottaa käyttöön ja määrittää yleisen liitetiedostosuodattimen (jota kutsutaan myös yleiseksi liitteiden estoksi) kohdassa Yleiset liitteet suodatetaan haittaohjelmien torjuntakäytännöissä kuvatulla tavalla.
Voit myös luoda Exchange-postinkulun säännön (tunnetaan myös siirtosääntönä), joka estää kaikki liitetiedostot, joissa on suoritettavaa sisältöä.
Noudata ohjeita artikkelissa Haittaohjelmauhkien vähentäminen liitetiedostojen estämisen avulla Exchange Online Protection estääksesi tiedostotyypit, jotka on lueteltu tuetuissa tiedostotyypeissä postinkulun sääntösisällön tarkastuksissa Exchange Online.
Suojauksen lisäämiseksi suosittelemme myös, että käytät Mitä tahansa liitetiedostotunnistetta, joka sisältää nämä sanat -ehdon postinkulun sääntöihin, jotta jotkin tai kaikki seuraavista tunnisteista estetään: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Miksi tietty haittaohjelma pääsi suodattimien ohi?
Saamasi haittaohjelma on uusi variantti (katso Mikä on nollapäivävirus ja miten palvelu käsittelee sitä?). Haittaohjelmamääritysten päivitykseen kuluva aika on riippuvainen haittaohjelmien torjuntakumppaneistamme.
Muista, että mikään käyttäjän tai järjestelmänvalvojan määrittämä asetus ei voi vapauttaa sähköpostiliitteitä haittaohjelmien torjuntasuojauksen skannaamisesta.
Miten voin lähettää Microsoftille haittaohjelmia, jotka pääsivät suodattimien ohi? Miten voin myös lähettää tiedoston, joka on mielestäni havaittu virheellisesti haittaohjelmaksi?
Sain sähköpostiviestin, jossa oli tuntematon liite. Onko tämä haittaohjelma vai voinko sivuuttaa tämän liitteen?
Suosittelemme painokkaasti, ettet avaa liitteitä, joita et tunnista. Jos haluat, että microsoft tutkii liitteen, ilmoita tiedostosta Microsoftille.
Mistä saan viestejä, jotka haittaohjelmasuodattimet ovat poistaneet?
Viestit sisältävät aktiivista haitallista koodia, joten emme salli näiden viestien käyttöä. Ne poistetaan säälimättömästi.
En voi vastaanottaa tiettyä liitettä, koska se tunnistetaan virheellisesti haittaohjelmaksi. Voinko sallia tämän liitteen postinkulun sääntöjen kautta?
Ei. Et voi ohittaa haittaohjelmien suodatusta Exchange-postinkulun sääntöjen avulla. Ainoa tapa ohittaa vastaanottajan haittaohjelmien suodattaminen on tunnistaa postilaatikko SecOps-postilaatikoksi. Lisätietoja on lisätoimituskäytännön kohdassa SecOps Microsoft Defender portaalin käyttäminen SecOps-postilaatikoiden määrittämiseen.
Voinko saada raportointitietoja haittaohjelmien havaitsemisesta?
Kyllä, voit käyttää raportteja Microsoft Defender-portaalissa. Lisätietoja on artikkelissa Sähköpostin suojausraporttien tarkasteleminen Microsoft Defender portaalissa.
Onko olemassa työkalua, jonka avulla voin seurata haittaohjelmien havaitsemaa viestiä palvelun kautta?
Kyllä. Viestin jäljitystyökalun avulla voit seurata sähköpostiviestejä niiden kulkiessa palvelun läpi. Lisätietoja siitä, miten viestin jäljitystyökalun avulla voidaan selvittää, miksi viestin havaittiin sisältävän haittaohjelmia, on modernin Exchange-hallintakeskuksen viestin jäljitys -kohdassa.
Voinko käyttää kolmannen osapuolen roskapostin ja haittaohjelmien torjuntapalvelua Exchange Online kanssa?
Kyllä. Useimmissa tapauksissa suosittelemme, että osoitat MX-tietueet (eli toimitat sähköpostiviestin suoraan) EOP:iin. Jos haluat ensin reitittää sähköpostisi muualle, sinun on otettava käyttöön parannettu suodatus liittimiä varten , jotta EOP voi käyttää tosiviestin lähdettä suodatuspäätöksissä.
Tutkitaanko roskaposti- ja haittaohjelmaviestejä siitä, kuka ne lähetti tai siirretään lainvalvontayksiköihin?
Palvelu keskittyy roskapostin ja haittaohjelmien havaitsemiseen ja poistamiseen, vaikka saatamme toisinaan tutkia erityisen vaarallisia tai vahingollisia roskaposti- tai hyökkäyskampanjoita ja jatkaa tekijöitä.
Teemme usein yhteistyötä juridisen ja digitaalisen rikollisuuden yksiköiden kanssa ryhtyäksemme seuraaviin toimiin:
- Ota roskaposti bottiverkko pois.
- Estä hyökkääjää käyttämästä palvelua.
- Välitä tiedot lainvalvontaviranomaisille rikossyytteitä varten.