Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online, l'eliminazione automatica a zero ore (ZAP) è una funzionalità di protezione in Exchange Online Protection (EOP) che rileva e neutralizza in modo retroattivo i messaggi dannosi di phishing, posta indesiderata o malware già recapitati alle cassette postali Exchange Online.
ZAP non funziona in ambienti EOP autonomi che proteggono le cassette postali locali.
Nota
Attualmente in anteprima, ZAP è anche in grado di rilevare retroattivamente i messaggi di chat dannosi esistenti in Microsoft Teams.
Le firme di posta indesiderata e malware nel servizio vengono aggiornate in tempo reale su base giornaliera. Tuttavia, gli utenti possono comunque ricevere messaggi dannosi. Ad esempio:
- Malware zero-day non rilevabile durante il flusso di posta.
- Contenuto che viene armato dopo essere stato consegnato agli utenti.
ZAP risolve questi problemi monitorando continuamente gli aggiornamenti delle firme di malware e posta indesiderata nel servizio ed è facile per gli utenti. ZAP trova e esegue un'azione automatizzata sui messaggi già presenti nella cassetta postale di un utente. La ricerca di ZAP è limitata alle ultime 48 ore di posta elettronica recapitata. Gli utenti non ricevono notifiche se ZAP rileva e sposta un messaggio.
Guardare questo breve video per informazioni su come ZAP in Microsoft Defender per Office 365 rileva e neutralizza automaticamente le minacce nella posta elettronica.
Eliminazione automatica a zero ore (ZAP) per i messaggi di posta elettronica
Eliminazione automatica a zero ore (ZAP) per il malware
Per i messaggi letti o non letti che contengono malware dopo il recapito, ZAP mette in quarantena il messaggio che contiene l'allegato malware. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi malware in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.
Nota
Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.
ZAP per malware è abilitato per impostazione predefinita nei criteri antimalware. Per altre informazioni, vedere Configurare i criteri antimalware in EOP.
Eliminazione automatica a zero ore (ZAP) per il phishing
Per i messaggi letti o non letti identificati come phishing (non phishing con attendibilità elevata) dopo il recapito, il risultato ZAP dipende dall'azione configurata per un verdetto di phishing nei criteri di protezione dalla posta indesiderata applicabili. Le azioni disponibili e i possibili risultati ZAP sono descritti nell'elenco seguente:
Aggiungere X-Header, Anteporre la riga dell'oggetto con testo, Reindirizzare il messaggio all'indirizzo di posta elettronica, Eliminare il messaggio: ZAP non esegue alcuna azione sul messaggio.
Spostare il messaggio in Junk Email: ZAP sposta il messaggio nella cartella Junk Email.
Si tratta dell'azione predefinita per un verdetto di phishing nei criteri di protezione dalla posta indesiderata predefiniti e nei criteri di protezione dalla posta indesiderata personalizzati creati in PowerShell.
Messaggio di quarantena: ZAP mette in quarantena il messaggio.
Si tratta dell'azione predefinita per un verdetto di phishing nei criteri di sicurezza predefiniti Standard e Strict e nei criteri di protezione dalla posta indesiderata personalizzati creati nel portale di Defender.
Per impostazione predefinita, ZAP per il phishing è abilitato nei criteri di protezione dalla posta indesiderata.
Per altre informazioni sulla configurazione dei verdetti di filtro della posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.
Eliminazione automatica a zero ore (ZAP) per il phishing con attendibilità elevata
Per i messaggi letti o non letti identificati come phishing con attendibilità elevata dopo il recapito, ZAP mette in quarantena il messaggio. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi di phishing con attendibilità elevata in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.
Nota
Gli utenti non possono rilasciare i propri messaggi messi in quarantena come phishing con attendibilità elevata, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi di phishing con attendibilità elevata in quarantena.
ZAP per il phishing con attendibilità elevata è abilitato per impostazione predefinita. Per altre informazioni, vedere Proteggere per impostazione predefinita in Office 365.
Eliminazione automatica a zero ore (ZAP) per la posta indesiderata
Per i messaggi non letti identificati come posta indesiderata o posta indesiderata ad alta attendibilità dopo il recapito, il risultato ZAP dipende dall'azione configurata per un verdetto di posta indesiderata con attendibilità elevata nei criteri di protezione dalla posta indesiderata applicabili. Le azioni disponibili e i possibili risultati ZAP sono descritti nell'elenco seguente:
Aggiungere X-Header, Anteporre la riga dell'oggetto con testo, Reindirizzare il messaggio all'indirizzo di posta elettronica, Eliminare il messaggio: ZAP non esegue alcuna azione sul messaggio.
Spostare il messaggio in Junk Email: ZAP sposta il messaggio nella cartella Junk Email.
Per il verdetto Posta indesiderata , questa è l'azione predefinita nei criteri di protezione dalla posta indesiderata predefiniti, nei nuovi criteri di protezione dalla posta indesiderata personalizzati e nei criteri di sicurezza predefiniti standard.
Per il verdetto di posta indesiderata con attendibilità elevata , questa è l'azione predefinita nei criteri di protezione dalla posta indesiderata predefiniti e nei nuovi criteri di protezione dalla posta indesiderata personalizzati.
Messaggio di quarantena: ZAP mette in quarantena il messaggio.
Per il verdetto Posta indesiderata , questa è l'azione predefinita nei criteri di sicurezza del set di impostazioni Strict.
Per il verdetto di posta indesiderata con attendibilità elevata , questa è l'azione predefinita nei criteri di sicurezza predefiniti Standard e Strict.
Per impostazione predefinita, gli utenti possono visualizzare e gestire i messaggi messi in quarantena come posta indesiderata o posta indesiderata con attendibilità elevata in cui sono destinatari. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.
Per impostazione predefinita, ZAP per la posta indesiderata è abilitato nei criteri di protezione dalla posta indesiderata.
Per altre informazioni sulla configurazione dei verdetti di filtro della posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.
Come vedere se ZAP ha spostato il messaggio
Per determinare se ZAP ha spostato il messaggio, sono disponibili le opzioni seguenti:
- Numero di messaggi: usare la visualizzazione Flusso di posta nel report stato flusso di posta per visualizzare il numero di messaggi interessati da ZAP per l'intervallo di date specificato.
- Dettagli messaggio: usare Esplora minacce (o rilevamenti in tempo reale) per filtrare tutti gli eventi di posta elettronica in base al valore ZAP per la colonna Azione aggiuntiva .
Nota
ZAP non viene registrato nei log di controllo delle cassette postali di Exchange come azione di sistema.
Considerazioni sull'eliminazione automatica a zero ore (ZAP) per allegati sicuri in Microsoft Defender per Office 365
ZAP non mette in quarantena i messaggi in corso di analisi dei criteri recapito dinamico in allegati sicuri. Se viene ricevuto un segnale di phishing o posta indesiderata per i messaggi in questo stato e il verdetto di filtro nei criteri di protezione dalla posta indesiderata è impostato per eseguire un'azione sul messaggio (Sposta indesiderata, Reindirizza, Elimina o Quarantena), ZAP ripristina l'azione "Sposta indesiderata".
Eliminazione automatica a zero ore (ZAP) in Microsoft Teams
Consiglio
ZAP per Microsoft Teams è disponibile solo per i clienti con abbonamenti Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2. Per configurare ZAP per la protezione di Teams, vedere Microsoft Defender per Office 365 supporto del piano 2 per Microsoft Teams.
ZAP nelle chat di Teams
ZAP è disponibile per i messaggi interni nelle chat di Teams identificati come malware o phishing ad alta attendibilità. Attualmente, i messaggi esterni non sono supportati.
Teams è diverso dalla posta elettronica, perché tutti gli utenti di una chat di Teams ricevono contemporaneamente la stessa copia del messaggio (non è presente alcuna biforcazione dei messaggi). Quando la protezione ZAP per Teams blocca un messaggio, il messaggio viene bloccato per tutti gli utenti della chat. Il blocco iniziale si verifica subito dopo il recapito, ma ZAP si verifica fino a 48 ore dopo il recapito.
Le esclusioni per la protezione ZAP per Teams nelle chat di Teams sono importanti per i destinatari dei messaggi e non per i mittenti dei messaggi. Per configurare le eccezioni per le chat di Teams, vedere Configurare la protezione ZAP per Teams in Defender per Office 365 Piano 2.
ZAP per la protezione di Teams è in grado di intervenire sui messaggi per tutti i destinatari di una chat se i destinatari della chat non sono esclusi dalla protezione ZAP for Teams. Solo quando tutti i destinatari di una chat sono esclusi dalla protezione ZAP for Teams, ZAP non interviene su un messaggio. Questi scenari sono illustrati nella tabella seguente:
| Scenario | Risultato |
|---|---|
| Chat di gruppo con i destinatari A, B, C e D. I destinatari A, B, C e D sono esclusi dalla protezione ZAP for Teams. |
ZAP non blocca i messaggi inviati alla chat di gruppo. |
| Chat di gruppo con i destinatari A, B, C e D. Solo i destinatari A, B e C sono esclusi dalla protezione ZAP for Teams. |
ZAP è in grado di bloccare i messaggi inviati alla chat di gruppo per tutti i destinatari. |
| Chat di gruppo con i destinatari A, B, C e D. I destinatari A, B, C e D non sono esclusi dalla protezione ZAP for Teams. Il mittente X è escluso dalla protezione ZAP for Teams e invia un messaggio alla chat di gruppo. |
ZAP è in grado di bloccare i messaggi inviati alla chat di gruppo per tutti i destinatari. |
Visualizzazione mittente:
Visualizzazione destinatario:
ZAP nei canali di Teams
La protezione ZAP per Teams supporta i tipi di canali di Teams seguenti:
- Canali standard: ZAP è disponibile per i messaggi interni. Attualmente, i messaggi esterni non sono supportati.
- Canali condivisi: ZAP è disponibile per i messaggi interni ed esterni.
Attualmente ZAP non è disponibile nei canali privati.
Per configurare le eccezioni per la protezione ZAP per i canali di Teams, è necessario l'indirizzo di posta elettronica del destinatario. Questo indirizzo è diverso dall'indirizzo di posta elettronica del canale nel client di Teams.
Per ottenere l'indirizzo di posta elettronica del destinatario da usare per le eccezioni per la protezione del canale di Teams, usare il valore Nome e posta elettronica della sezione Dettagli canale del pannello entità messaggio di Teams. Per altre informazioni, vedere Pannello dell'entità messaggio di Teams in Microsoft Defender per Office 365.
Per configurare le eccezioni per i canali di Teams, vedere Configurare la protezione ZAP per Teams in Defender per Office 365 Piano 2.
Eliminazione automatica a zero ore (ZAP) per i messaggi di phishing ad alta attendibilità in Teams
Per i messaggi identificati come phishing ad alta attendibilità dopo il recapito, ZAP per teams blocca e mette in quarantena il messaggio. Per impostare i criteri di quarantena usati per i rilevamenti di phishing con attendibilità elevata in ZAP per Teams, vedere Microsoft Defender per Office 365 supporto del piano 2 per Microsoft Teams.
Eliminazione automatica a zero ore (ZAP) per il malware nei messaggi di Teams
Per i messaggi identificati come malware, zap per teams blocca e mette in quarantena il messaggio. Per impostare i criteri di quarantena usati per i rilevamenti di malware in ZAP per Teams, vedere Microsoft Defender per Office 365 supporto del piano 2 per Microsoft Teams.
Come vedere se ZAP ha bloccato un messaggio di Teams
Attualmente, solo gli amministratori possono visualizzare e gestire i messaggi messi in quarantena da ZAP per la protezione di Teams. Per altre informazioni, vedere Usare il portale di Microsoft Defender per gestire i messaggi in quarantena di Microsoft Teams.
Domande frequenti sulla rimozione automatica a zero ore (ZAP)
Cosa accade se ZAP sposta i messaggi legittimi nella cartella Posta indesiderata Email?
Seguire il normale processo per segnalare falsi positivi a Microsoft. ZAP sposta il messaggio dalla cartella Posta in arrivo alla cartella Posta indesiderata Email solo se il servizio determina che il messaggio è indesiderata o dannoso.
Cosa accade se si usa la cartella Quarantena anziché la cartella Posta indesiderata?
ZAP esegue un'azione su un messaggio in base alla configurazione dei criteri di protezione dalla posta indesiderata, come descritto in precedenza in questo articolo.
In che modo ZAP è interessato dalle eccezioni alle funzionalità di protezione in EOP e Defender per Office 365?
Le azioni ZAP possono essere sostituite da elenchi mittenti attendibili, regole del flusso di posta di Exchange (regole di trasporto) e altre impostazioni di blocco e autorizzazione dell'organizzazione. Tuttavia, per il malware e i verdetti di phishing ad alta attendibilità, esistono pochissimi scenari in cui ZAP non agisce sui messaggi per proteggere gli utenti:
- URL di simulazione di phishing di terze parti identificati nei criteri di recapito avanzati (phishing con attendibilità elevata).
- Cassette postali SecOps identificate nei criteri di recapito avanzati (malware e phishing ad alta attendibilità).
- Il record MX per il dominio di Microsoft 365 punta a un altro servizio o dispositivo e si usa una regola del flusso di posta per ignorare il filtro della posta indesiderata (phishing con attendibilità elevata).
- Amministrazione invii di falsi positivi a Microsoft. Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL esistono per 30 giorni (malware e phishing ad alta attendibilità).
È importante considerare attentamente le implicazioni del bypass del filtro, in quanto potrebbe compromettere il comportamento di sicurezza dell'organizzazione.
Quali sono i requisiti di licenza per ZAP?
Non sono previsti requisiti di licenza speciali per ZAP per malware, posta indesiderata e phishing. ZAP funziona in tutte le cassette postali ospitate in Exchange Online. ZAP non funziona nelle cassette postali locali protette da EOP autonomo.
La protezione ZAP per Teams richiede licenze Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2.
ZAP funziona sui messaggi in altre cartelle della cassetta postale (ad esempio, i messaggi spostati dalle regole posta in arrivo)?
ZAP funziona ancora fino a quando il messaggio non è stato eliminato o fino a quando l'azione stessa o più forte non è già stata applicata. Ad esempio, se il messaggio si trova nella cartella Junk Email e l'azione nei criteri anti-phishing applicabili è la quarantena, ZAP mette in quarantena il messaggio.
In che modo ZAP influisce sulle cassette postali in attesa?
ZAP mette in quarantena i messaggi dalle cassette postali in attesa. ZAP può spostare i messaggi nella cartella Junk Email in base all'azione configurata per un verdetto di posta indesiderata o phishing nei criteri di protezione dalla posta indesiderata.
Per altre informazioni sui blocchi in Exchange Online, vedere Blocco sul posto e Blocco per controversia legale in Exchange Online.