Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.
Dotyczy
- Exchange Online Protection
- Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) i plan 2
- Microsoft Defender XDR
Ten artykuł zawiera często zadawane pytania i odpowiedzi dotyczące ochrony przed złośliwym oprogramowaniem dla organizacji platformy Microsoft 365 przy użyciu skrzynek pocztowych w Exchange Online lub autonomicznych organizacji Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych.
Aby uzyskać pytania i odpowiedzi dotyczące kwarantanny, zobacz Kwarantanna — często zadawane pytania.
Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed spamem, zobacz Ochrona przed spamem — często zadawane pytania.
Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed fałszowaniem, zobacz Ochrona przed fałszowaniem — często zadawane pytania.
Jakie są zalecenia dotyczące najlepszych rozwiązań dotyczących konfigurowania i używania usługi do zwalczania złośliwego oprogramowania?
Jak często są aktualizowane definicje złośliwego oprogramowania?
Każdy serwer co godzinę sprawdza nowe definicje złośliwego oprogramowania od naszych partnerów ds. ochrony przed złośliwym oprogramowaniem.
Ilu masz partnerów chroniących przed złośliwym oprogramowaniem? Czy mogę wybrać aparaty złośliwego oprogramowania, których używamy?
Współpracujemy z wieloma dostawcami technologii chroniących przed złośliwym oprogramowaniem. Komunikaty są skanowane przy użyciu aparatów firmy Microsoft chroniących przed złośliwym oprogramowaniem, dodatkowego aparatu opartego na podpisach oraz skanowania adresów URL i reputacji plików z wielu źródeł. Nasi partnerzy mogą ulec zmianie, ale EOP zawsze korzysta z ochrony przed złośliwym oprogramowaniem od wielu partnerów. Nie można wybrać jednego aparatu chroniącego przed złośliwym oprogramowaniem w stosunku do innego.
Gdzie odbywa się skanowanie złośliwego oprogramowania?
Skanujemy pod kątem złośliwego oprogramowania w wiadomościach wysyłanych do skrzynki pocztowej lub wysyłanych ze skrzynki pocztowej (wiadomości przesyłane). W przypadku Exchange Online skrzynek pocztowych mamy również automatyczne przeczyszczanie o wartości zero godzin (ZAP) pod kątem złośliwego oprogramowania w celu skanowania wiadomości, które zostały już dostarczone. Jeśli ponownie wyślij wiadomość ze skrzynki pocztowej, zostanie ona ponownie zeskanowana (ponieważ jest przesyłana).
Jeśli wprowadzono zmianę zasad ochrony przed złośliwym oprogramowaniem, jak długo trwa zapisywanie zmian, aby zaczęły obowiązywać?
Wprowadzenie zmian może potrwać do 1 godziny.
Czy usługa skanuje wewnętrzne komunikaty pod kątem złośliwego oprogramowania?
W przypadku organizacji z Exchange Online skrzynkami pocztowymi usługa skanuje pod kątem złośliwego oprogramowania we wszystkich wiadomościach przychodzących i wychodzących, w tym wiadomościach wysyłanych między adresatami wewnętrznymi.
Autonomiczna subskrypcja EOP skanuje komunikaty podczas wprowadzania lub opuszczania lokalnej organizacji poczty e-mail. Komunikaty wysyłane między wewnętrznymi adresatami lokalnymi nie są skanowane pod kątem złośliwego oprogramowania. Można jednak użyć wbudowanych funkcji skanowania przed złośliwym oprogramowaniem Exchange Server. Aby uzyskać więcej informacji, zobacz Ochrona przed złośliwym oprogramowaniem w Exchange Server.
Czy wszystkie aparaty chroniące przed złośliwym oprogramowaniem używane przez usługę mają włączone skanowanie heurystyczne?
Tak. Skanowanie heurystyczne w poszukiwaniu znanego (dopasowania podpisu) i nieznanego (podejrzanego) złośliwego oprogramowania.
Czy usługa może skanować skompresowane pliki (takie jak pliki .zip)?
Tak. Aparaty chroniące przed złośliwym oprogramowaniem mogą przechodzić do szczegółów skompresowanych (archiwalnych) plików.
Czy skanowanie skompresowanych załączników obsługuje rekursywne (.zip w obrębie .zip w .zip), a jeśli tak, to jak głęboko to działa?
Tak, cykliczne skanowanie skompresowanych plików skanuje wiele warstw głęboko.
Czy usługa działa w starszych wersjach programu Exchange i środowiskach innych niż Exchange?
Tak, usługa jest niezależny od serwera.
Co to jest wirus zero-day i jak jest obsługiwany przez usługę?
Wirus zero-day jest pierwszą generacją, wcześniej nieznanym wariantem złośliwego oprogramowania, który nigdy nie został przechwycony lub przeanalizowany.
Po przechwyceniu i przeanalizowaniu próbki wirusa zero-day przez nasze aparaty chroniące przed złośliwym oprogramowaniem zostanie utworzona definicja i unikatowy podpis w celu wykrycia złośliwego oprogramowania.
Gdy istnieje definicja lub podpis dla złośliwego oprogramowania, nie jest już traktowana jako zero-day.
Jak skonfigurować usługę do blokowania określonych plików wykonywalnych (takich jak \*.exe), które mogą zawierać złośliwe oprogramowanie?
Można włączyć i skonfigurować wspólny filtr załączników (znany również jako typowe blokowanie załączników), zgodnie z opisem w artykule Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem.
Możesz również utworzyć regułę przepływu poczty programu Exchange (znaną również jako reguła transportu), która blokuje wszelkie załączniki wiadomości e-mail z zawartością wykonywalną.
Wykonaj kroki opisane w temacie Jak ograniczyć zagrożenia złośliwym oprogramowaniem poprzez blokowanie załączników plików w Exchange Online Protection, aby zablokować typy plików wymienione w sekcji Obsługiwane typy plików inspekcji zawartości reguł przepływu poczty w Exchange Online.
W celu zwiększenia ochrony zalecamy również użycie rozszerzenia Dowolny plik załącznika, który zawiera warunek wyrazów w regułach przepływu poczty, aby zablokować niektóre lub wszystkie z następujących rozszerzeń: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Dlaczego określone złośliwe oprogramowanie przeszło obok filtrów?
Otrzymane złośliwe oprogramowanie jest nowym wariantem (zobacz What's a zero-day virus and how is it handled by the service?). Czas potrzebny na aktualizację definicji złośliwego oprogramowania zależy od naszych partnerów ds. ochrony przed złośliwym oprogramowaniem.
Pamiętaj, że żadne ustawienie konfigurowane przez użytkownika lub administratora nie może wykluczyć ze skanowania załączników wiadomości e-mail za pomocą ochrony przed złośliwym oprogramowaniem.
Jak mogę przesłać złośliwe oprogramowanie, które przeszło obok filtrów do firmy Microsoft? Ponadto, jak mogę przesłać plik, który moim zdaniem został niepoprawnie wykryty jako złośliwe oprogramowanie?
Otrzymano wiadomość e-mail z nieznanym załącznikiem. Czy to złośliwe oprogramowanie, czy mogę zignorować ten załącznik?
Zdecydowanie zalecamy, aby nie otwierać żadnych załączników, których nie rozpoznajesz. Jeśli chcesz, abyśmy zbadali załącznik, zgłoś go firmie Microsoft.
Gdzie można uzyskać komunikaty usunięte przez filtry złośliwego oprogramowania?
Komunikaty zawierają aktywny złośliwy kod i dlatego nie zezwalamy na dostęp do tych komunikatów. Są bezceremonialnie usuwane.
Nie mogę otrzymać określonego załącznika, ponieważ jest on fałszywie identyfikowany jako złośliwe oprogramowanie. Czy mogę zezwolić na ten załącznik za pośrednictwem reguł przepływu poczty?
Nie. Nie można użyć reguł przepływu poczty programu Exchange, aby pominąć filtrowanie złośliwego oprogramowania. Jedynym sposobem pominięcia filtrowania złośliwego oprogramowania dla adresata jest zidentyfikowanie skrzynki pocztowej jako skrzynki pocztowej SecOps. Aby uzyskać więcej informacji, zobacz Konfigurowanie skrzynek pocztowych Usługi SecOps w zaawansowanych zasadach dostarczania za pomocą portalu Microsoft Defender.
Czy mogę uzyskać dane raportowania dotyczące wykrywania złośliwego oprogramowania?
Tak, możesz uzyskiwać dostęp do raportów w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Wyświetlanie raportów zabezpieczeń poczty e-mail w portalu Microsoft Defender.
Czy istnieje narzędzie, którego mogę użyć do śledzenia komunikatu wykrytego przez złośliwe oprogramowanie za pośrednictwem usługi?
Tak, narzędzie do śledzenia wiadomości umożliwia śledzenie wiadomości e-mail w miarę ich przechodzenia przez usługę. Aby uzyskać więcej informacji na temat używania narzędzia do śledzenia komunikatów, aby dowiedzieć się, dlaczego wykryto, że komunikat zawiera złośliwe oprogramowanie, zobacz Śledzenie komunikatów w nowoczesnym centrum administracyjnym programu Exchange.
Czy mogę używać zewnętrznego dostawcy ochrony przed spamem i złośliwym oprogramowaniem z Exchange Online?
Tak. W większości przypadków zalecamy skierowanie rekordów MX do (czyli dostarczenia wiadomości e-mail bezpośrednio do) EOP. Jeśli najpierw musisz skierować wiadomość e-mail w inne miejsce, musisz włączyć rozszerzone filtrowanie dla łączników , aby funkcja EOP mogła używać prawdziwego źródła wiadomości w decyzjach dotyczących filtrowania.
Czy wiadomości o spamie i złośliwym oprogramowaniu są badane pod kątem tego, kto je wysłał lub czy są przekazywane do organów ścigania?
Usługa koncentruje się na wykrywaniu i usuwaniu spamu i złośliwego oprogramowania, chociaż czasami możemy badać szczególnie niebezpieczne lub szkodliwe kampanie spamowe lub ataki i ścigać sprawców.
Często współpracujemy z naszymi jednostkami przestępczości prawnej i cyfrowej, aby podjąć następujące działania:
- Zdejmij botnet spamu.
- Zablokuj atakującemu możliwość korzystania z usługi.
- Przekaż informacje organom ścigania w celu ścigania karnego.