Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Gjelder for
- Exchange Online Protection
- Microsoft Defender for Office 365-pakke 1 og Plan 2
- Microsoft Defender XDR
Denne artikkelen inneholder vanlige spørsmål og svar om beskyttelse mot skadelig programvare for Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser.
Hvis du vil ha spørsmål og svar om karantene, kan du se Vanlige spørsmål om karantene.
Hvis du vil ha spørsmål og svar om beskyttelse mot søppelpost, kan du se Vanlige spørsmål om beskyttelse mot søppelpost.
Hvis du vil ha spørsmål og svar om beskyttelse mot forfalskning, kan du se Vanlige spørsmål om beskyttelse mot forfalskning.
Hva er anbefalte fremgangsmåter for å konfigurere og bruke tjenesten til å bekjempe skadelig programvare?
Hvor ofte oppdateres definisjoner av skadelig programvare?
Hver server ser etter nye definisjoner av skadelig programvare fra våre partnere for skadelig programvare hver time.
Hvor mange partnere for skadelig programvare har du? Kan jeg velge hvilke motorer for skadelig programvare vi bruker?
Vi har partnerskap med flere leverandører av teknologi for skadelig programvare. Meldinger skannes med Microsofts motorer for skadelig programvare, en ekstra signaturbasert motor og skanninger av nettadresser og fildømme fra flere kilder. Partnerne våre kan endres, men EOP bruker alltid beskyttelse mot skadelig programvare fra flere partnere. Du kan ikke velge én motor for skadelig programvare over en annen.
Hvor forekommer skanning av skadelig programvare?
Vi søker etter skadelig programvare i meldinger som sendes til eller sendes fra en postboks (meldinger i transitt). For Exchange Online postbokser har vi også nulltimers automatisk tømming (ZAP) for skadelig programvare for å skanne meldinger som allerede er levert. Hvis du sender en melding på nytt fra en postboks, skannes den på nytt (fordi den er i transitt).
Hvor lang tid tar det etter at jeg lagrer endringene slik at de trer i kraft hvis jeg gjør en endring i policyen for skadelig programvare?
Det kan ta opptil 1 time før endringene trer i kraft.
Skanner tjenesten interne meldinger etter skadelig programvare?
For organisasjoner med Exchange Online postbokser søker tjenesten etter skadelig programvare i alle innkommende og utgående meldinger, inkludert meldinger som sendes mellom interne mottakere.
Et frittstående EOP-abonnement skanner meldinger når de går inn i eller forlater den lokale e-postorganisasjonen. Meldinger som sendes mellom interne lokale mottakere, skannes ikke etter skadelig programvare. Du kan imidlertid bruke de innebygde skannefunksjonene for skadelig programvare i Exchange Server. Hvis du vil ha mer informasjon, kan du se Beskyttelse mot skadelig programvare i Exchange Server.
Har alle anti-malware-motorer som brukes av tjenesten heuristikk skanning aktivert?
Ja. Heuristikk skanning skanner for både kjent (signatur match) og ukjent (mistenkelig) malware.
Kan tjenesten skanne komprimerte filer (for eksempel .zip filer)?
Ja. Anti-malware motorer kan drille inn i komprimerte (arkiv) filer.
Støttes rekursivt skanning av komprimerte vedlegg (.zip i en .zip i en .zip), og i så fall hvor dypt går det?
Ja, rekursiv skanning av komprimerte filer skanner mange lag dypt.
Fungerer tjenesten med eldre Exchange-versjoner og ikke-Exchange-miljøer?
Ja, tjenesten er serveragnostisk.
Hva er et nulldagsvirus, og hvordan håndteres det av tjenesten?
Et nulldagsvirus er en første generasjon, tidligere ukjent variant av skadelig programvare som aldri har blitt fanget opp eller analysert.
Etter at en nulldags virusprøve fanges opp og analyseres av våre anti-malware-motorer, opprettes en definisjon og unik signatur for å oppdage den skadelige programvaren.
Når det finnes en definisjon eller signatur for den skadelige programvaren, anses den ikke lenger som nulldag.
Hvordan kan jeg konfigurere tjenesten til å blokkere bestemte kjørbare filer (for eksempel \*.exe) som jeg frykter kan inneholde skadelig programvare?
Du kan aktivere og konfigurere det vanlige vedleggsfilteret (også kjent som vanlig blokkering av vedlegg) som beskrevet i Vanlige vedlegg-filter i policyer for skadelig programvare.
Du kan også opprette en Exchange-e-postflytregel (også kjent som transportregel) som blokkerer alle e-postvedlegg som har kjørbart innhold.
Følg fremgangsmåten i Slik reduserer du trusler om skadelig programvare gjennom blokkering av filvedlegg i Exchange Online Protection for å blokkere filtypene som er oppført i støttede filtyper for innholdsinspeksjon av e-postflytregler i Exchange Online.
For økt beskyttelse anbefaler vi også at du bruker filtypen Alle vedlegg inneholder disse ordene i regler for e-postflyt for å blokkere noen av eller alle følgende filtyper: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Hvorfor kom en bestemt skadelig programvare forbi filtrene?
Den skadelige programvaren du mottok, er en ny variant (se Hva er et nulldagsvirus, og hvordan håndteres den av tjenesten?). Tiden det tar for en definisjonsoppdatering for skadelig programvare, er avhengig av partnerne våre mot skadelig programvare.
Husk at ingen bruker- eller administratorkonfigurerbar innstilling kan unnta e-postvedlegg fra å bli skannet av beskyttelse mot skadelig programvare.
Hvordan kan jeg sende inn skadelig programvare som gjorde det forbi filtrene til Microsoft? Hvordan kan jeg også sende inn en fil som jeg tror feilaktig ble oppdaget som skadelig programvare?
Jeg mottok en e-postmelding med et ukjent vedlegg. Er dette skadelig programvare, eller kan jeg se bort fra dette vedlegget?
Vi anbefaler på det sterkeste at du ikke åpner vedlegg du ikke kjenner igjen. Hvis du vil at vi skal undersøke vedlegget, kan du rapportere filen til Microsoft.
Hvor kan jeg få meldinger som ble slettet av filtrene for skadelig programvare?
Meldingene inneholder aktiv skadelig kode, og derfor gir vi ikke tilgang til disse meldingene. De slettes uhøytidelig.
Jeg kan ikke motta et bestemt vedlegg fordi det feilaktig identifiseres som skadelig programvare. Kan jeg tillate dette vedlegget via regler for e-postflyt?
Nei. Du kan ikke bruke regler for Exchange-e-postflyt til å hoppe over filtrering av skadelig programvare. Den eneste måten å hoppe over filtrering av skadelig programvare for en mottaker på, er å identifisere postboksen som en SecOps-postboks. Hvis du vil ha mer informasjon, kan du se Bruke Microsoft Defender-portalen til å konfigurere SecOps-postbokser i den avanserte leveringspolicyen.
Kan jeg få rapporteringsdata om gjenkjenning av skadelig programvare?
Ja, du kan få tilgang til rapporter i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Vise e-postsikkerhetsrapporter i Microsoft Defender-portalen.
Finnes det et verktøy som jeg kan bruke til å følge en melding som oppdages av skadelig programvare via tjenesten?
Ja, verktøyet for meldingssporing gjør det mulig å følge e-postmeldinger etter hvert som de passerer gjennom tjenesten. Hvis du vil ha mer informasjon om hvordan du bruker verktøyet for meldingssporing til å finne ut hvorfor en melding ble oppdaget for å inneholde skadelig programvare, kan du se Meldingssporing i det moderne administrasjonssenteret for Exchange.
Kan jeg bruke en tredjeparts leverandør av søppelpost og skadelig programvare med Exchange Online?
Ja. I de fleste tilfeller anbefaler vi at du henviser MX-postene til (det vil si levere e-post direkte til) EOP. Hvis du må rute e-posten et annet sted først, må du aktivere utvidet filtrering for koblinger , slik at EOP kan bruke den sanne meldingskilden til å filtrere beslutninger.
Undersøkes søppelpostmeldinger og skadelige meldinger om hvem som sendte dem, eller overføres til rettshåndhevelsesenheter?
Tjenesten fokuserer på gjenkjenning og fjerning av søppelpost og skadelig programvare, selv om vi av og til kan undersøke spesielt farlige eller skadelige søppelpost- eller angrepskampanjer og forfølge gjerningsmennene.
Vi arbeider ofte med våre juridiske og digitale kriminalitetsenheter for å utføre følgende handlinger:
- Ta ned et søppelpost-botnet.
- Blokkere en angriper fra å bruke tjenesten.
- Send informasjonen videre til politiet for straffeforfølgelse.