Antimalwarebeveiliging in EOP

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, worden e-mailberichten automatisch beveiligd tegen malware door EOP. Enkele van de belangrijkste categorieën malware zijn:

• Virussen die andere programma's en gegevens infecteren en zich verspreiden via uw computer of netwerk op zoek naar programma's om te infecteren.
• Spyware die uw persoonlijke gegevens verzamelt, zoals aanmeldingsgegevens en persoonlijke gegevens, en deze terugstuurt naar de auteur.
• Ransomware die uw gegevens versleutelt en betaling vereist om deze te ontsleutelen. Antimalwaresoftware helpt u niet bij het ontsleutelen van versleutelde bestanden, maar het kan wel de nettolading van malware detecteren die is gekoppeld aan de ransomware.

EOP biedt bescherming tegen malware met meerdere lagen die is ontworpen om alle bekende malware in Windows, Linux en Mac op te vangen die uw organisatie binnen- of uitgaat. De volgende opties helpen bij het bieden van antimalwarebeveiliging:

• Gelaagde beveiliging tegen malware: meerdere antivirusprogramma's beschermen tegen zowel bekende als onbekende bedreigingen. Deze engines bevatten krachtige heuristische detectie om bescherming te bieden, zelfs tijdens de vroege stadia van een malware-uitbraak. Deze benadering met meerdere motoren biedt aanzienlijk meer bescherming dan het gebruik van slechts één antimalware-engine.
• Realtime reactie op bedreigingen: Tijdens sommige uitbraken heeft het antimalwareteam mogelijk voldoende informatie over een virus of andere vorm van malware om geavanceerde beleidsregels te schrijven waarmee de bedreiging wordt gedetecteerd, zelfs voordat er een definitie beschikbaar is van een van de scan-engines die door de service worden gebruikt. Deze regels worden elke 2 uur gepubliceerd naar het wereldwijde netwerk om uw organisatie een extra beveiligingslaag tegen aanvallen te bieden.
• Snelle implementatie van antimalwaredefinities: Het antimalwareteam onderhoudt nauwe relaties met partners die antimalware-engines ontwikkelen. Als gevolg hiervan kan de service malwaredefinities en patches ontvangen en integreren voordat ze openbaar worden vrijgegeven. Onze band met deze partners stelt ons vaak in staat om ook onze eigen remedies te ontwikkelen. De service controleert elk uur op bijgewerkte definities voor alle antimalware-engines.

In EOP worden berichten die malware in bijlagen bevatten, in quarantaine geplaatst^*. Of de geadresseerden de berichten in quarantaine kunnen bekijken of er op een andere manier mee kunnen werken, wordt bepaald door het quarantainebeleid. Standaard kunnen berichten die in quarantaine zijn geplaatst vanwege malware alleen worden bekeken en vrijgegeven door beheerders. Gebruikers kunnen hun eigen malwareberichten in quarantaine niet vrijgeven, ongeacht de beschikbare instellingen die beheerders configureren. Zie de volgende artikelen voor meer informatie:

^* Malwarefilters worden overgeslagen op SecOps-postvakken die zijn geïdentificeerd in het geavanceerde leveringsbeleid. Zie Het geavanceerde leveringsbeleid configureren voor phishingsimulaties van derden en e-mailbezorging naar SecOps-postvakken voor meer informatie.

• Anatomie van een quarantainebeleid
• Berichten en bestanden in quarantaine beheren als beheerder in EOP.

Antimalwarebeleid bevat ook een algemeen bijlagefilter. Berichten die de opgegeven bestandstypen bevatten, worden automatisch geïdentificeerd als malware. Zie de sectie Algemene bijlagenfilter in antimalwarebeleid verderop in dit artikel voor meer informatie.

Zie veelgestelde vragen over antimalwarebeveiliging voor meer informatie over antimalwarebeveiliging.

Zie Antimalwarebeleid configureren om het standaardbeleid voor antimalware te configureren en om aangepast antimalwarebeleid te maken, te wijzigen en te verwijderen. In het standaard- en strikt vooraf ingestelde beveiligingsbeleid zijn de beleidsinstellingen voor antimalware al geconfigureerd en niet-aanpasbaar, zoals beschreven in EOP-beleidsinstellingen voor antimalware.

Tip

Als u het niet eens bent met het malware-oordeel, kunt u de berichtbijlage aan Microsoft rapporteren als een fout-positief (goede bijlage gemarkeerd als slecht) of een fout-negatief (slechte bijlage toegestaan). Zie Hoe kan ik een verdacht e-mailbericht of bestand rapporteren aan Microsoft? voor meer informatie.

Anti-malwarebeleid

Antimalwarebeleid bepaalt de configureerbare instellingen en meldingsopties voor malwaredetecties. De belangrijke instellingen in antimalwarebeleid worden beschreven in de volgende subsecties.

Geadresseerde filtert in antimalwarebeleid

Ontvangersfilters gebruiken voorwaarden en uitzonderingen om de interne geadresseerden te identificeren waarop het beleid van toepassing is. Er is ten minste één voorwaarde vereist in aangepaste beleidsregels. Voorwaarden en uitzonderingen zijn niet beschikbaar in het standaardbeleid (het standaardbeleid is van toepassing op alle geadresseerden). U kunt de volgende ontvangersfilters gebruiken voor voorwaarden en uitzonderingen:

• Gebruikers: een of meer postvakken, e-mailgebruikers of e-mailcontactpersonen in de organisatie.
• Groepen:
  • Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
  • De opgegeven Microsoft 365 Groepen.
• Domeinen: een of meer van de geconfigureerde geaccepteerde domeinen in Microsoft 365. Het primaire e-mailadres van de geadresseerde bevindt zich in het opgegeven domein.

U kunt een voorwaarde of uitzondering slechts één keer gebruiken, maar de voorwaarde of uitzondering kan meerdere waarden bevatten:

• Meerdere waarden van dezelfde voorwaarde of uitzondering gebruiken OR-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>):

  • Voorwaarden: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid op deze waarden toegepast.
  • Uitzonderingen: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid hierop niet toegepast.

• Verschillende soorten uitzonderingen gebruiken OR-logica (bijvoorbeeld <ontvanger1> of <lid van groep1> of <lid van domein1>). Als de ontvanger overeenkomt met een van de opgegeven uitzonderingswaarden, wordt het beleid hierop niet toegepast.

• Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:

  • Gebruikers: romain@contoso.com
  • Groepen: Leidinggevenden

  Het beleid wordt alleen toegepast romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.

Algemene bijlagenfilter in antimalwarebeleid

Er zijn bepaalde typen bestanden die u echt niet via e-mail moet verzenden (bijvoorbeeld uitvoerbare bestanden). Waarom de moeite doen om dit soort bestanden te scannen op malware als je ze allemaal moet blokkeren? Dat is waar het algemene bijlagefilter van pas komt. De bestandstypen die u opgeeft, worden automatisch geïdentificeerd als malware.

Een lijst met standaardbestandstypen wordt gebruikt in het standaardbeleid voor antimalware, in aangepast antimalwarebeleid dat u maakt en in het antimalwarebeleid in het standaard- en strikt vooraf ingestelde beveiligingsbeleid.

In de Microsoft Defender-portal kunt u kiezen uit een lijst met extra bestandstypen of uw eigen waarden toevoegen wanneer u antimalwarebeleid maakt of wijzigt in de Microsoft Defender-portal.

• Standaardbestandstypen: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Aanvullende bestandstypen om te selecteren in de Defender-portal: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Wanneer bestanden worden gedetecteerd door het algemene bijlagenfilter, kunt u ervoor kiezen om het bericht te weigeren met een rapport over niet-bezorging (NDR) of het bericht in quarantaine te plaatsen.

Overeenkomende typen in het algemene bijlagefilter

Het algemene filter voor bijlagen maakt gebruik van de best effort true type matching om het bestandstype te detecteren, ongeacht de bestandsnaamextensie. True type matching maakt gebruik van bestandskenmerken om het echte bestandstype te bepalen (bijvoorbeeld voorloop- en volgbytes in het bestand). Als een exe bestand bijvoorbeeld wordt hernoemd met een txt bestandsnaamextensie, detecteert het algemene bijlagefilter het bestand als een exe bestand.

True type matching in het algemene bijlagenfilter ondersteunt de volgende bestandstypen:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Als het vergelijken van true-typen mislukt of niet wordt ondersteund voor het bestandstype, wordt eenvoudige extensiekoppeling gebruikt.

Zero-hour auto purge (ZAP) in antimalwarebeleid

ZAP voor malware plaatst berichten die malware bevatten in quarantaine nadat ze zijn bezorgd in Exchange Online postvakken. ZAP voor malware is standaard ingeschakeld en we raden u aan deze ingeschakeld te laten. Zie Zero-hour auto purge (ZAP) voor malware voor meer informatie.

Beleid in quarantaine plaatsen in antimalwarebeleid

Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Ontvangers ontvangen standaard geen meldingen voor berichten die in quarantaine zijn geplaatst als malware en gebruikers kunnen hun eigen malwareberichten in quarantaine niet vrijgeven, ongeacht de beschikbare instellingen die beheerders configureren. Zie Anatomie van een quarantainebeleid voor meer informatie.

Beheer meldingen in antimalwarebeleid

U kunt een extra ontvanger (een beheerder) opgeven om meldingen te ontvangen voor malware die is gedetecteerd in berichten van interne of externe afzenders. U kunt het Van-adres, het onderwerp en de berichttekst aanpassen voor interne en externe meldingen.

Deze instellingen worden niet standaard geconfigureerd in het standaard antimalwarebeleid of in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.

Tip

Beheer meldingen worden alleen verzonden voor bijlagen die zijn geclassificeerd als malware.

Het quarantainebeleid dat is toegewezen aan het antimalwarebeleid bepaalt of geadresseerden e-mailmeldingen ontvangen voor berichten die als malware in quarantaine zijn geplaatst.

Prioriteit van antimalwarebeleid

Als ze zijn ingeschakeld, worden de standaard- en strikte vooraf ingestelde beveiligingsbeleidsregels toegepast vóór een aangepast antimalwarebeleid of het standaardbeleid (Strikt is altijd eerst). Als u meerdere aangepaste antimalwarebeleidsregels maakt, kunt u de volgorde opgeven waarin ze worden toegepast. De beleidsverwerking stopt nadat het eerste beleid is toegepast (het beleid met de hoogste prioriteit voor die ontvanger).

Zie Volgorde en prioriteit van e-mailbeveiliging en Volgorde van prioriteit voor vooraf ingesteld beveiligingsbeleid en andere beleidsregels voor meer informatie over de volgorde van prioriteit en hoe meerdere beleidsregels worden geëvalueerd.

Standaardbeleid voor antimalware

Elke organisatie heeft een ingebouwd antimalwarebeleid met de naam Standaard met de volgende eigenschappen:

• Het beleid is het standaardbeleid (de eigenschap IsDefault heeft de waarde True) en u kunt het standaardbeleid niet verwijderen.
• Het beleid wordt automatisch toegepast op alle geadresseerden in de organisatie en u kunt het niet uitschakelen.
• Het beleid wordt altijd als laatste toegepast (de prioriteitswaarde is Laagste en u kunt dit niet wijzigen).