Protezione antimalware in EOP

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Nelle organizzazioni di Microsoft 365 con cassette postali in Exchange Online o nelle organizzazioni di Exchange Online Protection (EOP) autonomo senza cassette postali di Exchange Online, i messaggi di posta elettronica vengono protetti automaticamente da malware da EOP. Alcune delle principali categorie di malware sono:

• Virus che infettano altri programmi e dati e si diffondono attraverso il computer o la rete alla ricerca di programmi da infettare.
• Spyware che raccoglie le informazioni personali, ad esempio le informazioni di accesso e i dati personali, e le invia all'autore.
• Ransomware che crittografa i dati e richiede il pagamento per decrittografarlo. Il software antimalware non aiuta a decrittografare i file crittografati, ma può rilevare il payload malware associato al ransomware.

EOP offre una protezione antimalware multilivello progettata per intercettare tutti i malware noti in Windows, Linux e Mac che entrano o escono dall'organizzazione. Le opzioni seguenti contribuiscono a fornire una protezione antimalware:

• Difese a più livelli contro il malware: più motori di analisi antimalware consentono di proteggere da minacce note e sconosciute. Questi motori includono un potente rilevamento euristico per fornire protezione anche durante le prime fasi di un attacco malware. Questo approccio multi-motore ha dimostrato di fornire una protezione significativamente maggiore rispetto all'uso di un solo motore antimalware.
• Risposta alle minacce in tempo reale: durante alcune epidemie, il team antimalware potrebbe avere informazioni sufficienti su un virus o un'altra forma di malware per scrivere regole di criteri sofisticate che rilevano la minaccia, anche prima che una definizione sia disponibile da uno dei motori di analisi usati dal servizio. Queste regole vengono pubblicate nella rete globale ogni 2 ore per offrire all'organizzazione un ulteriore livello di protezione dagli attacchi.
• Distribuzione rapida delle definizioni antimalware: il team antimalware mantiene strette relazioni con i partner che sviluppano motori antimalware. Di conseguenza, il servizio può ricevere e integrare le definizioni e le patch di malware prima di essere rilasciato pubblicamente. Il nostro legame con questi partner spesso ci permette di sviluppare anche i nostri rimedi. Il servizio verifica ogni ora la presenza di definizioni aggiornate per tutti i motori antimalware.

In EOP i messaggi che contengono malware in tutti gli allegati vengono messi^* in quarantena. Se i destinatari possono visualizzare o interagire in altro modo con i messaggi in quarantena è controllato dai criteri di quarantena. Per impostazione predefinita, i messaggi messi in quarantena a causa di malware possono essere visualizzati e rilasciati solo dagli amministratori. Gli utenti non possono rilasciare i propri messaggi malware in quarantena, indipendentemente dalle impostazioni disponibili configurate dall'amministratore. Per altre informazioni, vedere gli articoli seguenti:

^* Il filtro malware viene ignorato nelle cassette postali SecOps identificate nei criteri di recapito avanzati. Per altre informazioni, vedere Configurare i criteri di recapito avanzati per simulazioni di phishing di terze parti e recapito di posta elettronica alle cassette postali SecOps.

• Anatomia di un criterio di quarantena
• Gestire i messaggi e i file in quarantena come amministratore in EOP.

I criteri antimalware contengono anche un filtro degli allegati comune. I messaggi che contengono i tipi di file specificati vengono identificati automaticamente come malware. Per altre informazioni, vedere la sezione Filtro allegati comuni nei criteri antimalware più avanti in questo articolo.

Per altre informazioni sulla protezione antimalware, vedere Domande frequenti sulla protezione antimalware.

Per configurare i criteri antimalware predefiniti e per creare, modificare e rimuovere criteri antimalware personalizzati, vedere Configurare i criteri antimalware. Nei criteri di sicurezza predefiniti Standard e Strict, le impostazioni dei criteri antimalware sono già configurate e imodificabili come descritto nelle impostazioni dei criteri antimalware di EOP.

Consiglio

Se non si è d'accordo con il verdetto del malware, è possibile segnalare l'allegato del messaggio a Microsoft come falso positivo (allegato valido contrassegnato come negativo) o falso negativo (allegato non valido consentito). Per altre informazioni, vedere Ricerca per categorie segnalare un messaggio di posta elettronica o un file sospetto a Microsoft?.

Criteri antimalware

I criteri antimalware controllano le impostazioni configurabili e le opzioni di notifica per i rilevamenti di malware. Le impostazioni importanti nei criteri antimalware sono descritte nelle sottosezioni seguenti.

Filtri dei destinatari nei criteri antimalware

I filtri dei destinatari usano condizioni ed eccezioni per identificare i destinatari interni a cui si applicano i criteri. Nei criteri personalizzati è necessaria almeno una condizione. Le condizioni e le eccezioni non sono disponibili nei criteri predefiniti (i criteri predefiniti si applicano a tutti i destinatari). È possibile usare i filtri destinatario seguenti per condizioni ed eccezioni:

• Utenti: una o più cassette postali, utenti di posta elettronica o contatti di posta elettronica nell'organizzazione.
• Gruppi:
  • Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
  • Gruppi di Microsoft 365 specificati.
• Domini: uno o più domini accettati configurati in Microsoft 365. L'indirizzo di posta elettronica principale del destinatario si trova nel dominio specificato.

È possibile usare una condizione o un'eccezione una sola volta, ma la condizione o l'eccezione può contenere più valori:

• Più valori della stessa condizione o eccezione usano la logica OR (ad esempio,< recipient1> o <recipient2>):

  • Condizioni: se il destinatario corrisponde a uno dei valori specificati, i criteri vengono applicati a tali valori.
  • Eccezioni: se il destinatario corrisponde a uno dei valori specificati, i criteri non vengono applicati.

• I diversi tipi di eccezioni usano la logica OR, <ad esempio recipient1> o <membro di group1> o <membro di domain1>. Se il destinatario corrisponde a uno dei valori di eccezione specificati, i criteri non vengono applicati.

• I diversi tipi di condizioni usano la logica AND. Il destinatario deve corrispondere a tutte le condizioni specificate per l'applicazione dei criteri. Ad esempio, si configura una condizione con i valori seguenti:

  • Gli utenti: romain@contoso.com
  • Gruppi: Dirigenti

  Il criterio viene applicato soloromain@contoso.com se è anche membro del gruppo Dirigenti. In caso contrario, il criterio non viene applicato a lui.

Filtro degli allegati comuni nei criteri antimalware

Esistono alcuni tipi di file che non è consigliabile inviare tramite posta elettronica ,ad esempio file eseguibili. Perché preoccuparsi di scansione di questi tipi di file per il malware quando si dovrebbe bloccare tutti, comunque? È qui che entra in gioco il filtro degli allegati comuni. I tipi di file specificati vengono identificati automaticamente come malware.

Un elenco di tipi di file predefiniti viene usato nei criteri antimalware predefiniti, nei criteri antimalware personalizzati creati e nei criteri antimalware nei criteri di sicurezza predefiniti Standard e Strict.

Nel portale di Microsoft Defender è possibile selezionare da un elenco di tipi di file aggiuntivi o aggiungere valori personalizzati quando si creano o si modificano criteri antimalware nel portale di Microsoft Defender.

• Tipi di file predefiniti: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Tipi di file aggiuntivi da selezionare nel portale di Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Quando i file vengono rilevati dal filtro degli allegati comuni, è possibile scegliere di rifiutare il messaggio con un report di mancato recapito omettere in quarantena il messaggio.

Corrispondenza dei tipi true nel filtro degli allegati comuni

Il filtro degli allegati comuni usa la corrispondenza del tipo true con il massimo sforzo per rilevare il tipo di file, indipendentemente dall'estensione del nome file. La corrispondenza dei tipi true usa le caratteristiche del file per determinare il tipo di file reale, ad esempio i byte iniziali e finali nel file. Ad esempio, se un exe file viene rinominato con un'estensione txt di nome file, il filtro degli allegati comuni rileva il file come exe file.

La corrispondenza dei tipi true nel filtro degli allegati comuni supporta i tipi di file seguenti:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Se la corrispondenza dei tipi true non riesce o non è supportata per il tipo di file, viene usata la corrispondenza con estensione semplice.

Eliminazione automatica a zero ore (ZAP) nei criteri antimalware

ZAP per il malware mette in quarantena i messaggi che si trovano a contenere malware dopo che sono stati recapitati alle cassette postali Exchange Online. Per impostazione predefinita, ZAP per il malware è attivato e si consiglia di lasciarlo attivo. Per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) per il malware.

Criteri di quarantena nei criteri antimalware

I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per mettere in quarantena i messaggi e se gli utenti ricevono notifiche di quarantena. Per impostazione predefinita, i destinatari non ricevono notifiche per i messaggi messi in quarantena come malware e gli utenti non possono rilasciare i propri messaggi malware in quarantena, indipendentemente dalle impostazioni disponibili configurate dagli amministratori. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Amministrazione notifiche nei criteri antimalware

È possibile specificare un destinatario aggiuntivo (un amministratore) per ricevere notifiche per il malware rilevato nei messaggi da mittenti interni o esterni. È possibile personalizzare il testo da indirizzo, oggetto e messaggio per le notifiche interne ed esterne.

Queste impostazioni non sono configurate nei criteri antimalware predefiniti per impostazione predefinita o nei criteri di sicurezza predefiniti Standard o Strict.

Consiglio

Le notifiche di amministrazione vengono inviate solo per allegati classificati come malware.

I criteri di quarantena assegnati ai criteri antimalware determinano se i destinatari ricevono notifiche tramite posta elettronica per i messaggi messi in quarantena come malware.

Priorità dei criteri antimalware

Se sono attivati, i criteri di sicurezza predefiniti Standard e Strict vengono applicati prima di eventuali criteri antimalware personalizzati o dei criteri predefiniti (Strict è sempre il primo). Se si creano più criteri antimalware personalizzati, è possibile specificare l'ordine in cui vengono applicati. L'elaborazione dei criteri si interrompe dopo l'applicazione del primo criterio (il criterio con priorità più alta per tale destinatario).

Per altre informazioni sull'ordine di precedenza e sulla valutazione di più criteri, vedere Ordine e precedenza della protezione della posta elettronica e Ordine di precedenza per i criteri di sicurezza predefiniti e altri criteri.

Criteri antimalware predefiniti

Ogni organizzazione dispone di un criterio antimalware predefinito denominato Default con le proprietà seguenti:

• Il criterio è quello predefinito (la proprietà IsDefault contiene il valore True), e non è possibile eliminarlo.
• I criteri vengono applicati automaticamente a tutti i destinatari dell'organizzazione e non è possibile disattivarli.
• Il criterio viene sempre applicato per ultimo (il valore Priority è Lowest e non è possibile modificarlo).