Ochrona przed złośliwym oprogramowaniem w ramach EOP

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych wiadomości e-mail są automatycznie chronione przed złośliwym oprogramowaniem przez EOP. Niektóre z głównych kategorii złośliwego oprogramowania to:

• Wirusy , które infekują inne programy i dane i rozprzestrzeniają się za pośrednictwem komputera lub sieci w poszukiwaniu programów do zainfekowania.
• Programy szpiegujące , które zbierają twoje dane osobowe, takie jak dane logowania i dane osobowe, i wysyłają je z powrotem do autora.
• Oprogramowanie wymuszające okup, które szyfruje dane i żąda płatności w celu ich odszyfrowania. Oprogramowanie chroniące przed złośliwym oprogramowaniem nie pomaga odszyfrować zaszyfrowanych plików, ale może wykryć ładunek złośliwego oprogramowania skojarzony z oprogramowaniem wymuszającym okup.

Funkcja EOP oferuje wielowarstwową ochronę przed złośliwym oprogramowaniem, która jest przeznaczona do przechwytywania wszystkich znanych złośliwych oprogramowania w systemach Windows, Linux i Mac, które przemieszczają się do lub z organizacji. Następujące opcje pomagają zapewnić ochronę przed złośliwym oprogramowaniem:

• Ochrona warstwowa przed złośliwym oprogramowaniem: Wiele aparatów skanowania chroniących przed złośliwym oprogramowaniem pomaga chronić przed znanymi i nieznanymi zagrożeniami. Aparaty te obejmują zaawansowane wykrywanie heurystyczne, aby zapewnić ochronę nawet we wczesnych stadiach epidemii złośliwego oprogramowania. Wykazano, że to wielosilnikowe podejście zapewnia znacznie większą ochronę niż użycie tylko jednego aparatu chroniącego przed złośliwym oprogramowaniem.
• Reagowanie na zagrożenia w czasie rzeczywistym: Podczas niektórych wybuchów zespół ds. ochrony przed złośliwym oprogramowaniem może mieć wystarczająco dużo informacji o wirusie lub innej formie złośliwego oprogramowania, aby napisać zaawansowane reguły zasad, które wykrywają zagrożenie, nawet zanim definicja będzie dostępna z dowolnego aparatu skanowania używanego przez usługę. Te reguły są publikowane w sieci globalnej co 2 godziny, aby zapewnić organizacji dodatkową warstwę ochrony przed atakami.
• Szybkie wdrażanie definicji oprogramowania chroniącego przed złośliwym oprogramowaniem: zespół ds. ochrony przed złośliwym oprogramowaniem utrzymuje bliskie relacje z partnerami, którzy opracowują aparaty chroniące przed złośliwym oprogramowaniem. W związku z tym usługa może odbierać i integrować definicje i poprawki złośliwego oprogramowania przed ich publicznym wydaniem. Nasze połączenie z tymi partnerami często pozwala nam również opracowywać własne środki zaradcze. Usługa co godzinę sprawdza zaktualizowane definicje wszystkich aparatów chroniących przed złośliwym oprogramowaniem.

W usłudze EOP komunikaty zawierające złośliwe oprogramowanie w załącznikach są poddawane^* kwarantannie. To, czy adresaci mogą wyświetlać komunikaty poddane kwarantannie, czy w inny sposób wchodzić w interakcje, jest kontrolowane przez zasady kwarantanny. Domyślnie komunikaty, które zostały poddane kwarantannie z powodu złośliwego oprogramowania, mogą być wyświetlane i wydawane tylko przez administratorów. Użytkownicy nie mogą wydawać własnych komunikatów o złośliwym oprogramowaniu objętych kwarantanną, niezależnie od dostępnych ustawień skonfigurowanych przez administratorów. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

^* Filtrowanie złośliwego oprogramowania jest pomijane w skrzynkach pocztowych Usługi SecOps, które są identyfikowane w zaawansowanych zasadach dostarczania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych zasad dostarczania dla symulacji wyłudzania informacji innych firm i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps.

• Anatomia zasad kwarantanny
• Zarządzaj komunikatami i plikami poddanymi kwarantannie jako administrator w ramach EOP.

Zasady ochrony przed złośliwym oprogramowaniem zawierają również wspólny filtr załączników. Komunikaty zawierające określone typy plików są automatycznie identyfikowane jako złośliwe oprogramowanie. Aby uzyskać więcej informacji, zobacz sekcję Common attachments filter in anti-malware policies (Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem ) w dalszej części tego artykułu.

Aby uzyskać więcej informacji na temat ochrony przed złośliwym oprogramowaniem, zobacz Ochrona przed złośliwym oprogramowaniem — często zadawane pytania.

Aby skonfigurować domyślne zasady ochrony przed złośliwym oprogramowaniem oraz tworzyć, modyfikować i usuwać niestandardowe zasady ochrony przed złośliwym oprogramowaniem, zobacz Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem. W standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych ustawienia zasad ochrony przed złośliwym oprogramowaniem są już skonfigurowane i niemodyfikowalne zgodnie z opisem w ustawieniach zasad ochrony przed złośliwym oprogramowaniem EOP.

Porada

Jeśli nie zgadzasz się z werdyktem dotyczącym złośliwego oprogramowania, możesz zgłosić załącznik wiadomości do firmy Microsoft jako fałszywie dodatni (dobry załącznik oznaczony jako zły) lub fałszywie ujemny (niedozwolone jest nieprawidłowe załączniki). Aby uzyskać więcej informacji, zobacz Jak mogę zgłosić podejrzaną wiadomość e-mail lub plik do firmy Microsoft?.

Zasady ochrony przed złośliwym oprogramowaniem

Zasady ochrony przed złośliwym oprogramowaniem kontrolują konfigurowalne ustawienia i opcje powiadomień dotyczące wykrywania złośliwego oprogramowania. Ważne ustawienia zasad ochrony przed złośliwym oprogramowaniem opisano w poniższych podsekcjach.

Filtry adresatów w zasadach ochrony przed złośliwym oprogramowaniem

Filtry adresatów używają warunków i wyjątków do identyfikowania wewnętrznych adresatów, których dotyczą zasady. W zasadach niestandardowych jest wymagany co najmniej jeden warunek. Warunki i wyjątki nie są dostępne w zasadach domyślnych (zasady domyślne dotyczą wszystkich adresatów). W przypadku warunków i wyjątków można użyć następujących filtrów adresatów:

• Użytkownicy: co najmniej jedna skrzynka pocztowa, użytkownicy poczty lub kontakty pocztowe w organizacji.
• Grupy:
  • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
  • Określona Grupy Microsoft 365.
• Domeny: co najmniej jedna ze skonfigurowanych zaakceptowanych domen na platformie Microsoft 365. Podstawowy adres e-mail adresata znajduje się w określonej domenie.

Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

• Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

  • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
  • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.

• Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

• Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

  • Użytkowników: romain@contoso.com
  • Grupy: Kadra kierownicza

  Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem

Istnieją pewne typy plików, których tak naprawdę nie należy wysyłać za pośrednictwem poczty e-mail (na przykład plików wykonywalnych). Dlaczego warto zawracać sobie głowę skanowaniem tego typu plików pod kątem złośliwego oprogramowania, gdy mimo to należy je zablokować? W tym miejscu pojawia się wspólny filtr załączników. Określone typy plików są automatycznie identyfikowane jako złośliwe oprogramowanie.

Lista domyślnych typów plików jest używana w domyślnych zasadach ochrony przed złośliwym oprogramowaniem, w utworzonych niestandardowych zasadach ochrony przed złośliwym oprogramowaniem oraz w zasadach ochrony przed złośliwym oprogramowaniem w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych.

W portalu Microsoft Defender można wybrać z listy dodatkowych typów plików lub dodać własne wartości podczas tworzenia lub modyfikowania zasad ochrony przed złośliwym oprogramowaniem w portalu Microsoft Defender.

• Domyślne typy plików: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Dodatkowe typy plików do wybrania w portalu usługi Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Po wykryciu plików przez wspólny filtr załączników można wybrać opcję Odrzuć komunikat z raportem o braku dostarczenia (NDR) lub kwarantannie komunikatu.

Dopasowanie typu true w typowym filtrze załączników

Typowy filtr załączników używa najlepszego dopasowania typu true do wykrywania typu pliku, niezależnie od rozszerzenia nazwy pliku. Dopasowanie typu true używa właściwości pliku do określenia rzeczywistego typu pliku (na przykład wiodących i końcowych bajtów w pliku). Jeśli na przykład exe nazwa pliku zostanie zmieniona przy użyciu txt rozszerzenia nazwy pliku, wspólny filtr załączników wykryje plik jako exe plik.

Dopasowanie typu true w typowym filtrze załączników obsługuje następujące typy plików:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Jeśli dopasowanie typu true kończy się niepowodzeniem lub nie jest obsługiwane dla typu pliku, używane jest proste dopasowywanie rozszerzeń.

Automatyczne przeczyszczanie bez godziny (ZAP) w zasadach ochrony przed złośliwym oprogramowaniem

Zap dla złośliwego oprogramowania kwarantanny wiadomości, które zawierają złośliwe oprogramowanie po ich dostarczeniu do Exchange Online skrzynek pocztowych. Domyślnie zap dla złośliwego oprogramowania jest włączony i zalecamy pozostawienie go włączone. Aby uzyskać więcej informacji, zobacz Zero-hour auto przeczyszczania (ZAP) dla złośliwego oprogramowania.

Zasady kwarantanny w zasadach ochrony przed złośliwym oprogramowaniem

Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Domyślnie adresaci nie otrzymują powiadomień o komunikatach, które zostały poddane kwarantannie jako złośliwe oprogramowanie, a użytkownicy nie mogą wydawać własnych komunikatów o złośliwym oprogramowaniu objętych kwarantanną, niezależnie od dostępnych ustawień skonfigurowanych przez administratorów. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Administracja powiadomienia w zasadach ochrony przed złośliwym oprogramowaniem

Możesz określić dodatkowego adresata (administratora), który będzie otrzymywać powiadomienia o złośliwym oprogramowaniu wykrytym w wiadomościach od nadawców wewnętrznych lub zewnętrznych. Możesz dostosować tekst Z adresu, tematu i wiadomości dla powiadomień wewnętrznych i zewnętrznych.

Te ustawienia nie są domyślnie konfigurowane w domyślnych zasadach ochrony przed złośliwym oprogramowaniem ani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

Porada

Administracja powiadomienia są wysyłane tylko w przypadku załączników sklasyfikowanych jako złośliwe oprogramowanie.

Zasady kwarantanny przypisane do zasad ochrony przed złośliwym oprogramowaniem określają, czy adresaci otrzymują powiadomienia e-mail o wiadomościach, które zostały poddane kwarantannie jako złośliwe oprogramowanie.

Priorytet zasad ochrony przed złośliwym oprogramowaniem

Jeśli są włączone, standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń są stosowane przed niestandardowymi zasadami ochrony przed złośliwym oprogramowaniem lub zasadami domyślnymi (zasady ścisłe są zawsze pierwsze). Jeśli utworzysz wiele niestandardowych zasad ochrony przed złośliwym oprogramowaniem, możesz określić kolejność ich stosowania. Przetwarzanie zasad zostaje zatrzymane po zastosowaniu pierwszych zasad (zasad o najwyższym priorytecie dla tego adresata).

Aby uzyskać więcej informacji na temat kolejności pierwszeństwa i sposobu oceniania wielu zasad, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail oraz Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad.

Domyślne zasady ochrony przed złośliwym oprogramowaniem

Każda organizacja ma wbudowane zasady ochrony przed złośliwym oprogramowaniem o nazwie Default, które mają następujące właściwości:

• Zasady to zasady domyślne (właściwość IsDefault ma wartość True) i nie można usunąć zasad domyślnych.
• Zasady są automatycznie stosowane do wszystkich adresatów w organizacji i nie można ich wyłączyć.
• Zasady są zawsze stosowane jako ostatnie (wartość Priorytet jest najniższa i nie można jej zmienić).