Zero-hour auto purge (ZAP) in Microsoft Defender voor Office 365
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
In Microsoft 365-organisaties met Exchange Online postvakken is zap (zero-hour auto purge) een beveiligingsfunctie in Exchange Online Protection (EOP) waarmee schadelijke phishing-, spam- of malwareberichten die al zijn bezorgd bij Exchange Online postvakken met terugwerkende kracht worden gedetecteerd en geneutraliseerd.
ZAP werkt niet in zelfstandige EOP-omgevingen die on-premises postvakken beveiligen.
Opmerking
Zap is momenteel in preview ook in staat om met terugwerkende kracht bestaande schadelijke chatberichten in Microsoft Teams te detecteren.
Spam- en malwarehandtekeningen in de service worden dagelijks in realtime bijgewerkt. Gebruikers kunnen echter nog steeds schadelijke berichten ontvangen. Bijvoorbeeld:
- Zero-day-malware die niet kan worden gedetecteerd tijdens de e-mailstroom.
- Inhoud die wordt bewapend nadat deze aan gebruikers is geleverd.
ZAP lost deze problemen op door voortdurend updates van spam- en malwarehandtekening in de service te controleren en is naadloos voor gebruikers. ZAP zoekt en onderneemt geautomatiseerde actie op berichten die zich al in het postvak van een gebruiker bevinden. De zoekopdracht van ZAP is beperkt tot de afgelopen 48 uur bezorgde e-mail. Gebruikers krijgen geen melding als ZAP een bericht detecteert en verplaatst.
Bekijk deze korte video om te leren hoe ZAP in Microsoft Defender voor Office 365 automatisch bedreigingen in e-mail detecteert en neutraliseert.
Zero-hour auto purge (ZAP) voor e-mailberichten
Zero-hour auto purge (ZAP) voor malware
Voor gelezen of ongelezen berichten die malware bevatten na bezorging, plaatst ZAP het bericht met de malwarebijlage in quarantaine. Standaard kunnen alleen beheerders malwareberichten in quarantaine bekijken en beheren. Beheerders kunnen echter quarantainebeleid maken en gebruiken om te definiëren wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Opmerking
Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malwareberichten aanvragen .
ZAP voor malware is standaard ingeschakeld in antimalwarebeleid. Zie Antimalwarebeleid configureren in EOP voor meer informatie.
Zero-hour auto purge (ZAP) voor phishing
Voor gelezen of ongelezen berichten die worden geïdentificeerd als phishing (geen phishing met hoge betrouwbaarheid) na de levering, is het ZAP-resultaat afhankelijk van de actie die is geconfigureerd voor een phishing-uitspraak in het toepasselijke antispambeleid. De beschikbare acties en de mogelijke ZAP-resultaten worden beschreven in de volgende lijst:
X-Header, Prepend onderwerpregel met tekst toevoegen, Bericht omleiden naar e-mailadres, Bericht verwijderen: ZAP voert geen actie uit op het bericht.
Bericht verplaatsen naar ongewenste Email: ZAP verplaatst het bericht naar de map Ongewenste Email.
Dit is de standaardactie voor een phishing-uitspraak in het standaard antispambeleid en aangepaste antispambeleid dat u in PowerShell maakt.
Quarantainebericht: ZAP plaatst het bericht in quarantaine.
Dit is de standaardactie voor een phishing-uitspraak in het vooraf ingestelde standaard- en strikte beveiligingsbeleid en in aangepast antispambeleid dat u maakt in de Defender-portal.
ZAP voor phishing is standaard ingeschakeld in antispambeleid.
Zie Antispambeleid configureren in Microsoft 365 voor meer informatie over het configureren van spamfilterbeoordelingen.
Zero-hour auto purge (ZAP) voor phishing met hoge betrouwbaarheid
Voor gelezen of ongelezen berichten die worden geïdentificeerd als phishing met hoge betrouwbaarheid na bezorging, plaatst ZAP het bericht in quarantaine. Standaard kunnen alleen beheerders phishingberichten met hoge betrouwbaarheid in quarantaine bekijken en beheren. Beheerders kunnen echter quarantainebeleid maken en gebruiken om te definiëren wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Opmerking
Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst niet vrijgeven als phishing met hoge betrouwbaarheid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun phishingberichten met hoge betrouwbaarheid in quarantaine aanvragen .
ZAP voor phishing met hoge betrouwbaarheid is standaard ingeschakeld. Zie Standaard beveiligen in Office 365 voor meer informatie.
Zero-hour auto purge (ZAP) voor spam
Voor ongelezen berichten die na de bezorging worden geïdentificeerd als spam of spam met een hoge betrouwbaarheid , is het ZAP-resultaat afhankelijk van de actie die is geconfigureerd voor een spam- of spambeoordeling met hoge betrouwbaarheid in het toepasselijke antispambeleid. De beschikbare acties en de mogelijke ZAP-resultaten worden beschreven in de volgende lijst:
X-Header, Prepend onderwerpregel met tekst toevoegen, Bericht omleiden naar e-mailadres, Bericht verwijderen: ZAP voert geen actie uit op het bericht.
Bericht verplaatsen naar ongewenste Email: ZAP verplaatst het bericht naar de map Ongewenste Email.
Voor de spambeoordeling is dit de standaardactie in het standaard antispambeleid, het nieuwe aangepaste antispambeleid en het vooraf ingestelde standaardbeveiligingsbeleid.
Voor de spambeoordeling met hoge betrouwbaarheid is dit de standaardactie in het standaard antispambeleid en het nieuwe aangepaste antispambeleid.
Quarantainebericht: ZAP plaatst het bericht in quarantaine.
Voor de spambeoordeling is dit de standaardactie in het vooraf ingestelde beveiligingsbeleid strikt.
Voor de spambeoordeling met hoge betrouwbaarheid is dit de standaardactie in het vooraf ingestelde standaard- en strikte beveiligingsbeleid.
Standaard kunnen gebruikers berichten bekijken en beheren die in quarantaine zijn geplaatst als spam of spam met hoge betrouwbaarheid wanneer ze een ontvanger zijn. Beheerders kunnen echter quarantainebeleid maken en gebruiken om te definiëren wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Zap voor spam is standaard ingeschakeld in het antispambeleid.
Zie Antispambeleid configureren in Microsoft 365 voor meer informatie over het configureren van spamfilterbeoordelingen.
Controleren of ZAP uw bericht heeft verplaatst
Als u wilt bepalen of ZAP uw bericht heeft verplaatst, hebt u de volgende opties:
- Aantal berichten: gebruik de weergave Mailflow in het statusrapport van Mailflow om het aantal door ZAP beïnvloede berichten voor het opgegeven datumbereik te bekijken.
- Berichtdetails: Gebruik Threat Explorer (of realtime detecties) om Alle e-mailgebeurtenissen te filteren op de waarde ZAP voor de kolom Aanvullende actie.
Opmerking
ZAP wordt niet geregistreerd in de auditlogboeken van het Exchange-postvak als een systeemactie.
Zap-overwegingen (Zero-Hour Auto Purge) voor veilige bijlagen in Microsoft Defender voor Office 365
ZAP plaatst berichten die bezig zijn met dynamische bezorging niet in quarantaine in het scannen van het beleid voor veilige bijlagen. Als er een phishing- of spamsignaal wordt ontvangen voor berichten in deze status en het filteroordeel in het antispambeleid is ingesteld om actie te ondernemen op het bericht (Verplaatsen naar ongewenste e-mail, Omleiden, Verwijderen of In quarantaine plaatsen), wordt ZAP teruggezet naar de actie Verplaatsen naar ongewenste e-mail.
Zero-hour auto purge (ZAP) in Microsoft Teams
Tip
ZAP voor Microsoft Teams is alleen beschikbaar voor klanten met Microsoft 365 E5- of Microsoft Defender voor Office 365 Abonnement 2-abonnementen. Zie Microsoft Defender voor Office 365 Abonnement 2-ondersteuning voor Microsoft Teams om ZAP voor Teams-beveiliging te configureren.
ZAP in Teams-chats
ZAP is beschikbaar voor interne berichten in Teams-chats die worden geïdentificeerd als malware of phishing met hoge betrouwbaarheid. Momenteel worden externe berichten niet ondersteund.
Teams is anders dan e-mail, omdat iedereen in een Teams-chat op hetzelfde moment dezelfde kopie van het bericht ontvangt (er is geen berichtsplitsing). Wanneer ZAP voor Teams-beveiliging een bericht blokkeert, wordt het bericht geblokkeerd voor iedereen in de chat. Het eerste blok vindt direct na de levering plaats, maar ZAP vindt plaats tot 48 uur na levering.
Uitsluitingen voor ZAP voor Teams-beveiliging in Teams-chats zijn van belang voor geadresseerden van berichten, niet voor afzenders van berichten. Zie ZAP configureren voor Teams-beveiliging in Defender voor Office 365 Abonnement 2 voor het configureren van uitzonderingen voor Teams-chats.
ZAP voor Teams-beveiliging kan actie ondernemen op berichten voor alle geadresseerden in een chat als geadresseerden in de chat niet worden uitgesloten van ZAP voor Teams-beveiliging. Alleen wanneer alle geadresseerden in een chat zijn uitgesloten van ZAP voor Teams-beveiliging, zal ZAP geen actie ondernemen op een bericht. Deze scenario's worden geïllustreerd in de volgende tabel:
Scenario | Resultaat |
---|---|
Groepschat met geadresseerden A, B, C en D. Ontvangers A, B, C en D zijn uitgesloten van ZAP voor Teams-beveiliging. |
ZAP blokkeert geen berichten die naar de groepschat worden verzonden. |
Groepschat met geadresseerden A, B, C en D. Alleen geadresseerden A, B en C worden uitgesloten van ZAP voor Teams-beveiliging. |
ZAP kan berichten blokkeren die naar de groepschat worden verzonden voor alle geadresseerden. |
Groepschat met geadresseerden A, B, C en D. Ontvangers A, B, C en D worden niet uitgesloten van ZAP voor Teams-beveiliging. Afzender X wordt uitgesloten van ZAP voor Teams-beveiliging en verzendt een bericht naar de groepschat. |
ZAP kan berichten blokkeren die naar de groepschat worden verzonden voor alle geadresseerden. |
Weergave afzender:
Ontvangerweergave:
ZAP in Teams-kanalen
ZAP voor Teams-beveiliging ondersteunt de volgende typen Teams-kanalen:
- Standaardkanalen: ZAP is beschikbaar voor interne berichten. Momenteel worden externe berichten niet ondersteund.
- Gedeelde kanalen: ZAP is beschikbaar voor interne en externe berichten.
Zap is momenteel niet beschikbaar in privékanalen.
Als u uitzonderingen voor ZAP-beveiliging voor Teams-kanalen wilt configureren, hebt u het e-mailadres van de ontvanger nodig. Dit adres verschilt van het e-mailadres van het kanaal in de Teams-client.
Als u het e-mailadres van de geadresseerde wilt gebruiken voor uitzonderingen voor teams-kanaalbeveiliging, gebruikt u de waarde Naam en e-mail in de sectie Kanaaldetails van het deelvenster Teams-berichtentiteit. Zie het deelvenster Teams-berichtentiteit in Microsoft Defender voor Office 365 voor meer informatie.
Zie ZAP for Teams-beveiliging configureren in Defender voor Office 365 Abonnement 2 voor het configureren van uitzonderingen voor Teams-kanalen.
Zero-hour auto purge (ZAP) voor phishingberichten met hoge betrouwbaarheid in Teams
Voor berichten die worden geïdentificeerd als phishing met hoge betrouwbaarheid na bezorging, blokkeert ZAP voor Teams-beveiliging het bericht en plaatst het in quarantaine. Als u het quarantainebeleid wilt instellen dat wordt gebruikt voor phishingdetecties met hoge betrouwbaarheid in ZAP voor Teams, raadpleegt u Microsoft Defender voor Office 365 Abonnement 2-ondersteuning voor Microsoft Teams.
Zero-hour auto purge (ZAP) voor malware in Teams-berichten
Voor berichten die zijn geïdentificeerd als malware, blokkeert ZAP voor Teams-beveiliging het bericht en plaatst het in quarantaine. Als u het quarantainebeleid wilt instellen dat wordt gebruikt voor malwaredetecties in ZAP voor Teams, raadpleegt u Microsoft Defender voor Office 365 Abonnement 2-ondersteuning voor Microsoft Teams.
Controleren of ZAP een Teams-bericht heeft geblokkeerd
Op dit moment kunnen alleen beheerders berichten bekijken en beheren die door ZAP in quarantaine zijn geplaatst voor Teams-beveiliging. Zie De Microsoft Defender-portal gebruiken om berichten in quarantaine van Microsoft Teams te beheren voor meer informatie.
Veelgestelde vragen over zero-hour auto purge (ZAP)
Wat gebeurt er als ZAP legitieme berichten verplaatst naar de map Ongewenste Email?
Volg het normale proces voor het melden van fout-positieven aan Microsoft. ZAP verplaatst het bericht alleen van de map Postvak IN naar de map Ongewenste e-mail Email als de service vaststelt dat het bericht spam of schadelijk is.
Wat gebeurt er als ik de map Quarantaine gebruik in plaats van de map Ongewenste e-mail?
ZAP onderneemt actie op een bericht op basis van de configuratie van antispambeleid, zoals eerder in dit artikel is beschreven.
Hoe wordt ZAP beïnvloed door de uitzonderingen op beveiligingsfuncties in EOP en Defender voor Office 365?
ZAP-acties kunnen worden overschreven door veilige afzenderlijsten, Exchange-e-mailstroomregels (transportregels) en andere organisatieblok- en acceptatie-instellingen. Voor malware en phishing-uitspraken met een hoge betrouwbaarheid zijn er echter maar weinig scenario's waarin ZAP niet reageert op berichten om gebruikers te beschermen:
- Phishingsimulatie-URL's van derden die zijn geïdentificeerd in het geavanceerde leveringsbeleid (phishing met hoge betrouwbaarheid).
- SecOps-postvakken die zijn geïdentificeerd in het geavanceerde leveringsbeleid (malware en phishing met hoge betrouwbaarheid).
- De MX-record voor uw Microsoft 365-domein verwijst naar een andere service of een ander apparaat en u gebruikt een e-mailstroomregel om spamfilters te omzeilen (phishing met hoge betrouwbaarheid).
- Beheer inzendingen van fout-positieven bij Microsoft. Standaard bestaan vermeldingen voor domeinen en e-mailadressen, bestanden en URL's 30 dagen (malware en phishing met hoge betrouwbaarheid).
Het is belangrijk dat u zorgvuldig nadenk over de gevolgen van het omzeilen van filters, omdat dit de beveiligingspostuur van uw organisatie in gevaar kan brengen.
Wat zijn de licentievereisten voor ZAP?
Er zijn geen speciale licentievereisten voor ZAP voor malware, spam en phishing. ZAP werkt op alle postvakken die worden gehost in Exchange Online. ZAP werkt niet in on-premises postvakken die worden beveiligd door zelfstandige EOP.
ZAP voor Teams-beveiliging vereist Microsoft 365 E5- of Microsoft Defender voor Office 365 Abonnement 2-licenties.
Werkt ZAP op berichten in andere mappen in het postvak (bijvoorbeeld berichten die zijn verplaatst door regels voor Postvak IN)?
ZAP werkt nog steeds zolang het bericht niet is verwijderd of zolang dezelfde of sterkere actie nog niet is toegepast. Als het bericht zich bijvoorbeeld in de map Ongewenste e-mail Email bevindt en de actie in het toepasselijke antiphishingbeleid quarantaine is, plaatst ZAP het bericht in quarantaine.
Wat is de invloed van ZAP op postvakken in bewaring?
ZAP plaatst berichten uit postvakken in bewaring in quarantaine. ZAP kan berichten verplaatsen naar de map Ongewenste Email op basis van de actie die is geconfigureerd voor een spam- of phishingbeoordeling in antispambeleid.
Zie In-place bewaring en juridische bewaring in Exchange Online voor meer informatie over bewaringen in Exchange Online.