Allegati sicuri in Microsoft Defender per Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Allegati sicuri in Microsoft Defender per Office 365 offre un ulteriore livello di protezione per gli allegati di posta elettronica che sono già stati analizzati dalla protezione antimalware in Exchange Online Protection (EOP). In particolare, gli allegati sicuri usano un ambiente virtuale per controllare gli allegati nei messaggi di posta elettronica prima che vengano recapitati ai destinatari (un processo noto come detonazione).

La protezione degli allegati sicuri per i messaggi di posta elettronica è controllata dai criteri Allegati sicuri. Anche se non sono presenti criteri predefiniti per gli allegati sicuri, i criteri di sicurezza predefiniti per la protezione offrono protezione allegati sicuri a tutti i destinatari (utenti non definiti nei criteri di sicurezza predefiniti Standard o Strict o nei criteri allegati sicuri personalizzati). Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365. È inoltre possibile creare criteri per gli allegati sicuri applicabili a utenti, gruppi o domini specifici. Per istruzioni, vedere Configurare criteri allegati sicuri in Microsoft Defender per Office 365.

La tabella seguente descrive gli scenari per gli allegati sicuri in Microsoft 365 e Office 365 organizzazioni che includono Microsoft Defender per Office 365 (in altre parole, la mancanza di licenze non è mai un problema negli esempi).

Scenario Risultato
Nell'organizzazione Microsoft 365 E5 di Pat non sono configurati criteri per gli allegati sicuri. Pat è protetto da allegati sicuri a causa dei criteri di sicurezza predefiniti che si applicano a tutti i destinatari che non sono altrimenti definiti nei criteri allegati sicuri.
L'organizzazione di Lee ha un criterio sugli allegati sicuri che si applica solo ai dipendenti del settore finanziario. Lee è un membro del reparto vendite. Lee e il resto del reparto vendite sono protetti da allegati sicuri a causa dei criteri di sicurezza predefiniti del set di impostazioni di protezione che si applicano a tutti i destinatari che non sono altrimenti definiti nei criteri allegati sicuri.
Ieri, un amministratore dell'organizzazione di Jean ha creato un criterio sugli allegati sicuri che si applica a tutti i dipendenti. Oggi Jean ha ricevuto un messaggio di posta elettronica contenente un allegato. Jean è protetto da Allegati sicuri grazie alla politica di Allegati sicuri personalizzata.

In genere, l'effetto di un nuovo criterio richiede circa 30 minuti.
L'organizzazione di Chris ha da tempo adottato criteri di sicurezza per tutti i membri dell'organizzazione. Chris riceve un messaggio di posta elettronica con un allegato e lo inoltra a destinatari esterni. Chris è protetto da Allegati sicuri.

Se i destinatari esterni fanno parte di un'organizzazione Microsoft 365, anche i messaggi inoltrati sono protetti da Allegati sicuri.

L'analisi degli allegati sicuri avviene nella stessa area in cui si trovano i dati Microsoft 365. Per altre informazioni sull'area geografica del data center, vedere Dove si trovano i dati?

Nota

Le funzionalità seguenti si trovano nelle impostazioni globali dei criteri allegati sicuri nel portale di Microsoft Defender. Tuttavia, queste impostazioni sono abilitate o disabilitate a livello globale e non richiedono criteri allegati sicuri:

Impostazioni dei criteri Allegati sicuri

Questa sezione descrive le impostazioni nei criteri allegati sicuri:

  • Filtri destinatario: è necessario specificare le condizioni del destinatario e le eccezioni che determinano a chi si applicano i criteri. È possibile utilizzare queste proprietà per le condizioni e le eccezioni:

    • Utenti
    • Gruppi
    • Domini

    È possibile utilizzare solo un'eccezione una volta, ma la condizione o l'eccezione può contenere più valori. Più valori della stessa condizione o eccezione utilizzano la logica OR (ad esempio, <recipient1> o <recipient2>). Condizioni o eccezioni diverse utilizzano la logica AND (ad esempio, <recipient1> e <member of group 1>).

    Importante

    Varie condizioni o eccezioni diverse non sono additive; sono inclusive. Il criterio viene applicato solo ai destinatari che corrispondono a tutti i filtri destinatario specificati. Ad esempio, configuri nei criteri una condizione di filtro del destinatario con i valori seguenti:

    • Gli utenti: romain@contoso.com
    • Gruppi: Dirigenti

    Il criterio viene applicato soloromain@contoso.com se è anche membro del gruppo Dirigenti. Se non è un membro del gruppo, il criterio non viene applicato a lui.

    Analogamente, se si usa lo stesso filtro destinatario come eccezione ai criteri, il criterio non viene applicato romain@contoso.comsolo se è anche membro del gruppo Executives. Se non è un membro del gruppo, il criterio si applica comunque a lui.

  • Risposta malware sconosciuto allegati sicuri: questa impostazione controlla l'azione per l'analisi malware degli allegati sicuri nei messaggi di posta elettronica. Le opzioni disponibili sono descritte nella tabella seguente:

    Opzione Effetto Usare quando si vuole:
    Disattivato Gli allegati non vengono analizzati per rilevare malware da Allegati sicuri. I messaggi vengono ancora analizzati per individuare il malware tramite protezione antimalware in EOP. Disattivare l'analisi per i destinatari selezionati.

    Evitare ritardi non necessari nell'instradamento della posta interna.

    Questa opzione non è consigliata per la maggior parte degli utenti. È consigliabile usare questa opzione solo per disattivare l'analisi degli allegati sicuri per i destinatari che ricevono solo messaggi da mittenti attendibili. ZAP non mette in quarantena i messaggi se allegati sicuri è disattivato e non viene ricevuto un segnale malware. Per informazioni dettagliate, vedere Eliminazione automatica a zero ore
    Monitor Recapita i messaggi con allegati e quindi tiene traccia di ciò che accade con il malware rilevato.

    Il recapito dei messaggi sicuri potrebbe essere ritardato a causa dell'analisi degli allegati sicuri.
    Vedere dove va il malware rilevato nell'organizzazione.
    Blocca Impedisce il recapito dei messaggi con allegati malware rilevati.

    I messaggi vengono messi in quarantena. Per impostazione predefinita, solo gli amministratori (non gli utenti) possono esaminare, rilasciare o eliminare i messaggi.¹

    Blocca automaticamente le istanze future dei messaggi e degli allegati.

    Il recapito dei messaggi sicuri potrebbe essere ritardato a causa dell'analisi degli allegati sicuri.
    Protegge l'organizzazione da attacchi ripetuti usando gli stessi allegati malware.

    Questo è il valore predefinito e il valore consigliato nei criteri di sicurezza predefiniti Standard e Strict.
    Recapito dinamico Recapita i messaggi immediatamente, ma sostituisce gli allegati con segnaposto fino al completamento dell'analisi degli allegati sicuri.

    I messaggi che contengono allegati dannosi vengono messi in quarantena. Per impostazione predefinita, solo gli amministratori (non gli utenti) possono esaminare, rilasciare o eliminare i messaggi.¹

    Per informazioni dettagliate, vedere la sezione Criteri recapito dinamico in allegati sicuri più avanti in questo articolo.
    Evitare ritardi nei messaggi proteggendo i destinatari da file dannosi.

    ¹ I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena. Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware dagli allegati sicuri, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.

  • Reindirizzare i messaggi con allegati rilevati: abilitare il reindirizzamento e inviare messaggi contenenti allegati monitorati all'indirizzo di posta elettronica specificato: solo per l'azione Monitoraggio , inviare messaggi contenenti allegati malware all'indirizzo di posta elettronica interno o esterno specificato per l'analisi e l'analisi.

    La raccomandazione per le impostazioni dei criteri Standard e Strict consiste nell'abilitare il reindirizzamento. Per ulteriori informazioni, vedere Impostazioni Allegati sicuri.

  • Priorità: se si creano più criteri, è possibile specificare l'ordine in cui vengono applicati. Nessun criterio può avere la stessa priorità e l'elaborazione dei criteri si interrompe dopo l'applicazione del primo criterio (il criterio con priorità più alta per tale destinatario).

    Per altre informazioni sull'ordine di precedenza e su come vengono valutati e applicati multipli criteri, vedere Ordine e precedenza della protezione della posta elettronica.

Criteri di recapito dinamico in allegati sicuri

Nota

Il recapito dinamico funziona solo per le cassette postali Exchange Online.

L'azione Recapito dinamico nei criteri allegati sicuri cerca di eliminare eventuali ritardi di recapito della posta elettronica che potrebbero essere causati dall'analisi degli allegati sicuri. Il corpo del messaggio di posta elettronica viene recapitato al destinatario con un segnaposto per ogni allegato. Il segnaposto rimane fino a quando l'allegato non risulta sicuro e l'allegato diventa disponibile per l'apertura o il download.

Se un allegato risulta dannoso, il messaggio viene messo in quarantena.

La maggior parte dei pdf e dei documenti di Office può essere visualizzata in anteprima in modalità provvisoria mentre è in corso l'analisi degli allegati sicuri. Se un allegato non è compatibile con l'anteprima del recapito dinamico, i destinatari visualizzeranno un segnaposto per l'allegato fino al completamento dell'analisi degli allegati sicuri.

Se si usa un dispositivo mobile e i PDF non vengono visualizzati nell'anteprima recapito dinamico nel dispositivo mobile, provare ad aprire il messaggio in Outlook sul web (precedentemente noto come Outlook Web App) usando il browser per dispositivi mobili.

Ecco alcune considerazioni sul recapito dinamico e i messaggi inoltrati:

  • Se il destinatario inoltrato è protetto da un criterio Allegati sicuri che usa l'opzione Recapito dinamico, il destinatario visualizza il segnaposto, con la possibilità di visualizzare in anteprima i file compatibili.
  • Se il destinatario inoltrato non è protetto da un criterio Allegati sicuri, il messaggio e gli allegati verranno recapitati senza l'analisi degli allegati sicuri o i segnaposto degli allegati.

Esistono scenari in cui il recapito dinamico non è in grado di sostituire gli allegati nei messaggi. Tra questi scenari sono compresi:

  • Messaggi nelle cartelle pubbliche.
  • Messaggi che vengono instradati all'esterno e quindi di nuovo nella cassetta postale di un utente usando regole personalizzate.
  • Messaggi che vengono spostati (automaticamente o manualmente) dalle cassette postali cloud in altre posizioni, incluse le cartelle di archivio.
  • Le regole di posta in arrivo spostano il messaggio fuori dalla posta in arrivo in una cartella diversa.
  • Messaggi eliminati.
  • La cartella di ricerca delle cassette postali dell'utente è in stato di errore.
  • Exchange Online organizzazioni in cui exclaimer è abilitato. Per risolvere il problema, vedere KB4014438.
  • S/MIME) messaggi crittografati.
  • L'azione Recapito dinamico è stata configurata in un criterio Allegati sicuri, ma il destinatario non supporta il recapito dinamico( ad esempio, il destinatario è una cassetta postale in un'organizzazione di Exchange locale). Tuttavia, i collegamenti sicuri in Microsoft Defender per Office 365 sono in grado di analizzare gli allegati di file di Office che contengono URL (se l'analisi dei collegamenti sicuri delle app di Office è attivata nei criteri di collegamenti sicuri applicabili).

Invio di file per l'analisi malware