Nulltimers automatisk tømming (ZAP) i Microsoft Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
I Microsoft 365-organisasjoner med Exchange Online postbokser er nulltimers automatisk tømming (ZAP) en beskyttelsesfunksjon i Exchange Online Protection (EOP) som med tilbakevirkende kraft oppdager og nøytraliserer skadelige phishing-, søppelpost- eller skadelig programvaremeldinger som allerede er levert til Exchange Online postbokser.
ZAP fungerer ikke i frittstående EOP-miljøer som beskytter lokale postbokser.
Obs!
Zap er for øyeblikket også i forhåndsversjon, og kan med tilbakevirkende kraft oppdage eksisterende skadelige chattemeldinger i Microsoft Teams.
Signaturer for søppelpost og skadelig programvare i tjenesten oppdateres daglig i sanntid. Brukere kan imidlertid fortsatt motta skadelige meldinger. Eksempel:
- Nulldags skadelig programvare som ikke kunne oppdages under e-postflyten.
- Innhold som er bevæpnet etter å ha blitt levert til brukere.
ZAP løser disse problemene ved kontinuerlig å overvåke oppdateringer av søppelpost og skadelig programvare i tjenesten, og er sømløs for brukere. ZAP finner og utfører automatisert handling på meldinger som allerede finnes i en brukers postboks. ZAP's søk er begrenset til de siste 48 timene med levert e-post. Brukere blir ikke varslet hvis ZAP oppdager og flytter en melding.
Se denne korte videoen for å lære hvordan ZAP i Microsoft Defender for Office 365 automatisk oppdager og nøytraliserer trusler i e-post.
Nulltimers automatisk tømming (ZAP) for e-postmeldinger
Nulltimers automatisk tømming (ZAP) for skadelig programvare
For leste eller uleste meldinger som blir funnet å inneholde skadelig programvare etter levering, setter ZAP meldingen som inneholder vedlegget til skadelig programvare, i karantene. Som standard er det bare administratorer som kan vise og administrere meldinger om skadelig programvare som er satt i karantene. Administratorer kan imidlertid opprette og bruke karantenepolicyer til å definere hva brukere kan gjøre med karantenemeldinger, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
Obs!
Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.
ZAP for skadelig programvare er aktivert som standard i policyer for skadelig programvare. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for skadelig programvare i EOP.
Nulltimers automatisk tømming (ZAP) for phishing
For leste eller uleste meldinger som identifiseres som phishing (ikke phishing med høy visshet) etter levering, avhenger ZAP-resultatet av handlingen som er konfigurert for en Phishing-dom i gjeldende policy for søppelpost. De tilgjengelige handlingene og de mulige ZAP-resultatene er beskrevet i følgende liste:
Legg til X-header, prepend emnelinje med tekst, omdiriger melding til e-postadresse, Slett melding: ZAP utfører ingen handling på meldingen.
Flytt melding til søppelpost: ZAP flytter meldingen til Søppelpost-mappen.
Dette er standardhandlingen for en Phishing-dom i standard policy for søppelpost og egendefinerte policyer for søppelpost som du oppretter i PowerShell.
Karantenemelding: ZAP setter meldingen i karantene.
Dette er standardhandlingen for en Phishing-dom i standard- og strenge forhåndsinnstilte sikkerhetspolicyer, og i egendefinerte policyer for søppelpost som du oppretter i Defender-portalen.
ZAP for phishing er aktivert som standard i policyer for søppelpost.
Hvis du vil ha mer informasjon om hvordan du konfigurerer dommer for søppelpostfiltrering, kan du se Konfigurere policyer for søppelpost i Microsoft 365.
Nulltimers automatisk tømming (ZAP) for phishing med høy visshet
For leste eller uleste meldinger som identifiseres som phishing med høy visshet etter levering, setter ZAP meldingen i karantene. Som standard er det bare administratorer som kan vise og administrere phishing-meldinger med høy visshet i karantene. Administratorer kan imidlertid opprette og bruke karantenepolicyer til å definere hva brukere kan gjøre med karantenemeldinger, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
Obs!
Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som phishing med høy visshet, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av phishing-meldinger med høy visshet i karantene.
ZAP for phishing med høy visshet er aktivert som standard. Hvis du vil ha mer informasjon, kan du se Sikker som standard i Office 365.
Nulltimers automatisk tømming (ZAP) for søppelpost
For uleste meldinger som identifiseres som søppelpost eller søppelpost med høy visshet etter levering, avhenger ZAP-resultatet av handlingen som er konfigurert for søppelpost eller søppelpostdom med høy visshet i gjeldende policy for søppelpost. De tilgjengelige handlingene og de mulige ZAP-resultatene er beskrevet i følgende liste:
Legg til X-header, prepend emnelinje med tekst, omdiriger melding til e-postadresse, Slett melding: ZAP utfører ingen handling på meldingen.
Flytt melding til søppelpost: ZAP flytter meldingen til Søppelpost-mappen.
For søppelpost-dommen er dette standardhandlingen i standardpolicyen for søppelpost, nye egendefinerte policyer for søppelpost og standard forhåndsinnstilt sikkerhetspolicy.
Dette er standardhandlingen i standardpolicyen mot søppelpost og nye egendefinerte policyer for søppelpost for høy visshet .
Karantenemelding: ZAP setter meldingen i karantene.
For Søppelpost-dommen er dette standardhandlingen i den strenge forhåndsinnstilte sikkerhetspolicyen.
Dette er standardhandlingen i standard- og streng forhåndsinnstilte sikkerhetspolicyer for søppelpost med høy visshet.
Brukere kan som standard vise og behandle meldinger som ble satt i karantene som søppelpost eller søppelpost med høy visshet, der de er en mottaker. Administratorer kan imidlertid opprette og bruke karantenepolicyer til å definere hva brukere kan gjøre med karantenemeldinger, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
ZAP for søppelpost er som standard aktivert i policyer for søppelpost.
Hvis du vil ha mer informasjon om hvordan du konfigurerer dommer for søppelpostfiltrering, kan du se Konfigurere policyer for søppelpost i Microsoft 365.
Slik ser du om ZAP flyttet meldingen
Hvis du vil finne ut om ZAP flyttet meldingen, har du følgende alternativer:
- Antall meldinger: Bruk E-postflyt-visningen i statusrapporten for e-postflyt til å se antall ZAP-berørte meldinger for det angitte datointervallet.
- Meldingsdetaljer: Bruk Trusselutforsker (eller sanntidsregistreringer) til å filtrere alle e-posthendelser etter verdien ZAP for tilleggshandlingskolonnen .
Obs!
ZAP er ikke logget i overvåkingsloggene for Exchange-postboksen som en systemhandling.
Vurderinger for nulltimers automatisk tømming (ZAP) for klarerte vedlegg i Microsoft Defender for Office 365
ZAP setter ikke meldinger i karantene som er i ferd med å skanne dynamisk levering i policyen for klarerte vedlegg. Hvis et phishing- eller søppelpostsignal mottas for meldinger i denne tilstanden, og filtreringsdommen i policyen for søppelpost er satt til å utføre en handling på meldingen (Flytt til søppelpost, Omadresser, Slett eller Karantene), går ZAP tilbake til handlingen Flytt til søppelpost.
Nulltimers automatisk tømming (ZAP) i Microsoft Teams
Tips
ZAP for Microsoft Teams er bare tilgjengelig for kunder med abonnementer på Microsoft 365 E5 eller Microsoft Defender for Office 365 Plan 2. Hvis du vil konfigurere ZAP for Teams-beskyttelse, kan du se Microsoft Defender for Office 365 plan 2-støtte for Microsoft Teams.
ZAP i Teams-chatter
ZAP er tilgjengelig for interne meldinger i Teams-chatter som identifiseres som skadelig programvare eller phishing med høy visshet. Eksterne meldinger støttes for øyeblikket ikke.
Teams er forskjellig fra e-post, fordi alle i en Teams-chat mottar samme kopi av meldingen samtidig (det er ingen meldingsbifurcation). Når ZAP for Teams-beskyttelse blokkerer en melding, blokkeres meldingen for alle i chatten. Den første blokken skjer rett etter levering, men ZAP skjer opptil 48 timer etter levering.
Unntak for ZAP for Teams-beskyttelse i Teams-chatter er viktig for meldingsmottakere, ikke avsendere av meldinger. Hvis du vil konfigurere unntak for Teams-chatter, kan du se Konfigurere ZAP for Teams-beskyttelse i Defender for Office 365 Plan 2.
ZAP for Teams-beskyttelse kan utføre handlinger på meldinger for alle mottakere i en chat hvis noen mottakere i chatten ikke er ekskludert fra ZAP for Teams-beskyttelse. Bare når alle mottakere i en chat er ekskludert fra ZAP for Teams beskyttelse vil ZAP ikke gjøre noe på en melding. Disse scenariene er illustrert i tabellen nedenfor:
| Scenario | Resultat |
|---|---|
| Gruppechat med mottakere A, B, C og D. Mottakere A, B, C og D er ekskludert fra ZAP for Teams-beskyttelse. |
ZAP blokkerer ikke meldinger som sendes til gruppechatten. |
| Gruppechat med mottakere A, B, C og D. Bare mottakere A, B og C er ekskludert fra ZAP for Teams-beskyttelse. |
ZAP kan blokkere meldinger som sendes til gruppechatten for alle mottakere. |
| Gruppechat med mottakere A, B, C og D. Mottakere A, B, C og D er ikke ekskludert fra ZAP for Teams-beskyttelse. Avsender X er ekskludert fra ZAP for Teams-beskyttelse og sender en melding til gruppechatten. |
ZAP kan blokkere meldinger som sendes til gruppechatten for alle mottakere. |
Avsendervisning:
Mottakervisning:
ZAP i Teams-kanaler
ZAP for Teams-beskyttelse støtter følgende typer Teams-kanaler:
- Standardkanaler: ZAP er tilgjengelig for interne meldinger. Eksterne meldinger støttes for øyeblikket ikke.
- Delte kanaler: ZAP er tilgjengelig for interne og eksterne meldinger.
ZAP er for øyeblikket ikke tilgjengelig i private kanaler.
Hvis du vil konfigurere unntak for ZAP-beskyttelse for Teams-kanaler, trenger du mottakerens e-postadresse. Denne adressen er forskjellig fra kanalens e-postadresse i Teams-klienten.
Hvis du vil at mottakerens e-postadresse skal brukes til unntak for Teams-kanalbeskyttelse, kan du bruke navn og e-postverdi fra kanaldetaljer-delen i teams-meldingsenhetspanelet. Hvis du vil ha mer informasjon, kan du se enhetspanelet for Teams-meldingen i Microsoft Defender for Office 365.
Hvis du vil konfigurere unntak for Teams-kanaler, kan du se Konfigurere ZAP for Teams-beskyttelse i Defender for Office 365 Plan 2.
Nulltimers automatisk tømming (ZAP) for phishing-meldinger med høy visshet i Teams
For meldinger som identifiseres som phishing med høy visshet etter levering, vil ZAP for Teams-beskyttelsesblokker og sette meldingen i karantene. Hvis du vil angi karantenepolicyen som brukes til phishing-gjenkjenning med høy visshet i ZAP for Teams, kan du se Microsoft Defender for Office 365 plan 2-støtte for Microsoft Teams.
Nulltimers automatisk tømming (ZAP) for skadelig programvare i Teams-meldinger
For meldinger som identifiseres som skadelig programvare, vil ZAP for Teams-beskyttelsesblokker og sette meldingen i karantene. Hvis du vil angi karantenepolicyen som brukes til gjenkjenning av skadelig programvare i ZAP for Teams, kan du se Microsoft Defender for Office 365 plan 2-støtte for Microsoft Teams.
Slik ser du om ZAP blokkerte en Teams-melding
For øyeblikket er det bare administratorer som kan vise og administrere meldinger som ble satt i karantene av ZAP for Teams-beskyttelse. Hvis du vil ha mer informasjon, kan du se Bruke Microsoft Defender-portalen til å administrere meldinger som er satt i karantene i Microsoft Teams.
Vanlige spørsmål om tømming av automatisk tømming (ZAP) i nulltimer
Hva skjer hvis ZAP flytter legitime meldinger til Søppelpost-mappen?
Følg den normale prosessen for å rapportere falske positiver til Microsoft. ZAP flytter meldingen fra innboksmappen til Søppelpost-mappen bare hvis tjenesten finner ut at meldingen er søppelpost eller skadelig.
Hva om jeg bruker karantenemappen i stedet for Søppelpost-mappen?
ZAP utfører en handling på en melding basert på konfigurasjonen av policyer for søppelpost som beskrevet tidligere i denne artikkelen.
Hvordan påvirkes ZAP av unntakene fra beskyttelsesfunksjoner i EOP og Defender for Office 365?
ZAP-handlinger kan overstyres av lister over klarerte avsendere, regler for Exchange-e-postflyt (transportregler) og andre organisatoriske blokkerings- og tillatelsesinnstillinger. For skadelig programvare og phishing-dommer med høy visshet er det imidlertid svært få scenarioer der ZAP ikke handler på meldinger for å beskytte brukere:
- Tredjeparts nettadresser for phishing-simulering identifisert i den avanserte leveringspolicyen (phishing med høy visshet).
- SecOps-postbokser identifisert i den avanserte leveringspolicyen (skadelig programvare og phishing med høy visshet).
- MX-posten for Microsoft 365-domenet peker til en annen tjeneste eller enhet, og du bruker en regel for e-postflyt til å hoppe over filtrering av søppelpost (phishing med høy visshet).
- Admin innsendinger av falske positiver til Microsoft. Som standard kan du tillate oppføringer for domener og e-postadresser, filer og nettadresser i 30 dager (skadelig programvare og phishing med høy visshet).
Det er viktig for deg å nøye vurdere konsekvensene av å omgå filtrering, da det kan kompromittere sikkerhetsstillingen til organisasjonen din.
Hva er lisensieringskravene for ZAP?
Det finnes ingen spesielle lisensieringskrav for ZAP for skadelig programvare, søppelpost og phishing. ZAP fungerer på alle postbokser som driftes i Exchange Online. ZAP fungerer ikke i lokale postbokser som er beskyttet av frittstående EOP.
ZAP for Teams-beskyttelse krever Microsoft 365 E5 eller Microsoft Defender for Office 365 Plan 2-lisenser.
Fungerer ZAP på meldinger i andre mapper i postboksen (for eksempel meldinger som flyttes av innboksregler)?
ZAP fungerer fortsatt så lenge meldingen ikke er slettet, eller så lenge den samme eller sterkere handlingen ikke allerede har blitt brukt. Hvis meldingen for eksempel er i Søppelpost-mappen, og handlingen i gjeldende policy for anti-phishing er i karantene, setter ZAP meldingen i karantene.
Hvordan påvirker ZAP postbokser på vent?
ZAP setter meldinger i karantene fra postbokser på vent. ZAP kan flytte meldinger til Søppelpost-mappen basert på handlingen som er konfigurert for søppelpost eller phishing-dom i policyer for søppelpost.
Hvis du vil ha mer informasjon om sperringer i Exchange Online, kan du se Sperring på stedet og rettstvister i Exchange Online.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for