ZAP (limpeza automática) de zero hora no Microsoft Defender para Office 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
No Microsoft 365 organizações com caixas de correio Exchange Online, o ZAP (limpeza automática de zero horas) é um recurso de proteção em Proteção do Exchange Online (EOP) que detecta e neutraliza retroativamente mensagens de phishing, spam ou malware mal-intencionadas que já foram entregues em caixas de correio Exchange Online.
O ZAP não funciona em ambientes EOP autônomos que protegem caixas de correio locais.
Observação
Atualmente em Versão Prévia, o ZAP também é capaz de detectar retroativamente mensagens de chat mal-intencionadas existentes no Microsoft Teams.
As assinaturas de spam e malware no serviço são atualizadas em tempo real diariamente. No entanto, os usuários ainda podem receber mensagens mal-intencionadas. Por exemplo:
- Malware de dia zero que era indetectável durante o fluxo de email.
- Conteúdo que é armado após ser entregue aos usuários.
O ZAP resolve esses problemas monitorando continuamente as atualizações de assinatura de spam e malware no serviço e é contínuo para os usuários. O ZAP localiza e toma medidas automatizadas em mensagens que já estão na caixa de correio de um usuário. A pesquisa do ZAP é limitada às últimas 48 horas de email entregue. Os usuários não serão notificados se o ZAP detectar e mover uma mensagem.
Assista a este pequeno vídeo para saber como o ZAP no Microsoft Defender para Office 365 detecta e neutraliza automaticamente as ameaças no email.
ZAP (limpeza automática de hora zero) para mensagens de email
ZAP (limpeza automática) de zero hora para malware
Para mensagens de leitura ou não lidas que são encontradas para conter malware após a entrega, o ZAP coloca em quarentena a mensagem que contém o anexo de malware. Por padrão, somente os administradores podem exibir e gerenciar mensagens de malware em quarentena. Mas os administradores podem criar e usar políticas de quarentena para definir o que os usuários podem fazer com mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
Observação
Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como malware, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de malware em quarentena.
A ZAP para malware é habilitado por padrão em políticas antimalware. Para obter mais informações, consulte Configurar políticas anti-malware no EOP.
ZAP (limpeza automática) de zero hora para phishing
Para mensagens de leitura ou não lidas que são identificadas como phishing (não phishing de alta confiança) após a entrega, o resultado do ZAP depende da ação configurada para um veredicto de Phishing na política anti-spam aplicável. As ações disponíveis e os possíveis resultados zap são descritos na seguinte lista:
Adicionar x-header, linha de assunto Prepend com texto, Redirecionar mensagem para o endereço de email, Excluir mensagem: ZAP não toma nenhuma ação na mensagem.
Mover a mensagem para o Junk Email: o ZAP move a mensagem para a pasta Junk Email.
Esta é a ação padrão para um veredicto de Phishing na política anti-spam padrão e políticas anti-spam personalizadas que você cria no PowerShell.
Mensagem de quarentena: ZAP coloca a mensagem em quarentena.
Essa é a ação padrão para um veredicto de phishing nas políticas de segurança predefinidas Standard e Strict e em políticas anti-spam personalizadas que você cria no portal do Defender.
Por padrão, o ZAP para phishing está habilitado em políticas anti-spam.
Para obter mais informações sobre como configurar veredictos de filtragem de spam, consulte Configurar políticas anti-spam no Microsoft 365.
ZAP (limpeza automática) de zero hora para phishing de alta confiança
Para mensagens de leitura ou não lidas que são identificadas como phishing de alta confiança após a entrega, o ZAP coloca a mensagem em quarentena. Por padrão, somente os administradores podem exibir e gerenciar mensagens de phishing de alta confiança em quarentena. Mas os administradores podem criar e usar políticas de quarentena para definir o que os usuários podem fazer com mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
Observação
Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de phishing de alta confiança em quarentena.
O ZAP para phishing de alta confiança está habilitado por padrão. Para obter mais informações, consulte Proteger por padrão em Office 365.
ZAP (limpeza automática) de hora zero para spam
Para mensagens não lidas que são identificadas como spam ou spam de alta confiança após a entrega, o resultado do ZAP depende da ação configurada para um veredicto de Spam ou spam de alta confiança na política anti-spam aplicável. As ações disponíveis e os possíveis resultados zap são descritos na seguinte lista:
Adicionar x-header, linha de assunto Prepend com texto, Redirecionar mensagem para o endereço de email, Excluir mensagem: ZAP não toma nenhuma ação na mensagem.
Mover a mensagem para o Junk Email: o ZAP move a mensagem para a pasta Junk Email.
Para o veredicto spam , esta é a ação padrão na política anti-spam padrão, novas políticas anti-spam personalizadas e a política de segurança predefinida Standard.
Para o veredicto de spam de alta confiança , esta é a ação padrão na política anti-spam padrão e novas políticas anti-spam personalizadas.
Mensagem de quarentena: ZAP coloca a mensagem em quarentena.
Para o veredicto spam , esta é a ação padrão na política de segurança predefinida estrita.
Para o veredicto de spam de alta confiança , esta é a ação padrão nas políticas de segurança predefinidas Standard e Strict.
Por padrão, os usuários podem exibir e gerenciar mensagens que foram colocadas em quarentena como spam ou spam de alta confiança em que são destinatários. Mas os administradores podem criar e usar políticas de quarentena para definir o que os usuários podem fazer com mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
Por padrão, o ZAP para spam está habilitado em políticas anti-spam.
Para obter mais informações sobre como configurar veredictos de filtragem de spam, consulte Configurar políticas anti-spam no Microsoft 365.
Como ver se o ZAP moveu sua mensagem
Para determinar se a ZAP moveu sua mensagem, você tem as seguintes opções:
- Número de mensagens: use o modo de exibição fluxo de correio no relatório status de fluxo de correio para ver o número de mensagens afetadas pelo ZAP para o intervalo de datas especificado.
- Detalhes da mensagem: use o Explorer de Ameaças (ou detecções em tempo real) para filtrar Todos os eventos de email pelo valor ZAP para a coluna Ação Adicional.
Observação
O ZAP não está registrado nos logs de auditoria da caixa de correio do Exchange como uma ação do sistema.
Considerações de zap (limpeza automática) de zero hora para anexos seguros em Microsoft Defender para Office 365
O ZAP não coloca em quarentena mensagens que estão no processo de verificação da política de Entrega Dinâmica em Anexos Seguros. Se um sinal de phishing ou spam for recebido para mensagens nesse estado e o veredicto de filtragem na política anti-spam estiver definido para tomar alguma ação na mensagem (Mover para Lixo Eletrônico, Redirecionamento, Exclusão ou Quarentena), o ZAP reverterá para a ação "Mover para Lixo".
ZAP (limpeza automática) de zero hora no Microsoft Teams
Dica
O ZAP para Microsoft Teams está disponível apenas para clientes com assinaturas Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2. Para configurar o ZAP para proteção do Teams, consulte Microsoft Defender para Office 365 suporte ao Plano 2 para o Microsoft Teams.
ZAP em chats do Teams
O ZAP está disponível para mensagens internas em chats do Teams que são identificados como malware ou phishing de alta confiança. Atualmente, não há suporte para mensagens externas.
O Teams é diferente do email, pois todos em um chat do Teams recebem a mesma cópia da mensagem ao mesmo tempo (não há bifurcação de mensagem). Quando a proteção ZAP for Teams bloqueia uma mensagem, a mensagem é bloqueada para todos no chat. O bloco inicial acontece logo após a entrega, mas o ZAP ocorre até 48 horas após a entrega.
Exclusões para proteção zap para teams em chats do Teams importam para destinatários de mensagens, não remetentes de mensagens. Para configurar exceções para chats do Teams, consulte Configurar o ZAP para proteção do Teams no plano 2 do Defender para Office 365.
A proteção ZAP for Teams pode tomar medidas em mensagens para todos os destinatários em um chat se algum destinatário no chat não for excluído do ZAP para proteção do Teams. Somente quando todos os destinatários em um chat forem excluídos do ZAP para proteção do Teams, o ZAP não tomará medidas em uma mensagem. Esses cenários são ilustrados na seguinte tabela:
| Cenário | Resultado |
|---|---|
| Chat em grupo com destinatários A, B, C e D. Os destinatários A, B, C e D são excluídos do ZAP para proteção do Teams. |
O ZAP não bloqueará as mensagens enviadas para o chat do grupo. |
| Chat em grupo com destinatários A, B, C e D. Somente os destinatários A, B e C são excluídos do ZAP para proteção do Teams. |
O ZAP é capaz de bloquear mensagens enviadas para o chat de grupo para todos os destinatários. |
| Chat em grupo com destinatários A, B, C e D. Os destinatários A, B, C e D não são excluídos do ZAP para proteção do Teams. O Remetente X é excluído do ZAP para proteção do Teams e envia uma mensagem para o chat do grupo. |
O ZAP é capaz de bloquear mensagens enviadas para o chat de grupo para todos os destinatários. |
Exibição do remetente:
Exibição do destinatário:
ZAP nos canais do Teams
A proteção ZAP for Teams dá suporte aos seguintes tipos de canais do Teams:
- Canais padrão: o ZAP está disponível para mensagens internas. Atualmente, não há suporte para mensagens externas.
- Canais compartilhados: o ZAP está disponível para mensagens internas e externas.
Atualmente, o ZAP não está disponível em canais privados.
Para configurar exceções para proteção ZAP para canais do Teams, você precisa do endereço de email do destinatário. Esse endereço é diferente do endereço de email do canal no cliente do Teams.
Para obter o endereço de email do destinatário a ser usado para exceções para proteção de canal do Teams, use o valor Nome e email da seção Detalhes do Canal do painel entidade de mensagens do Teams. Para obter mais informações, consulte o painel entidade de mensagens do Teams no Microsoft Defender para Office 365.
Para configurar exceções para canais do Teams, consulte Configurar o ZAP para proteção do Teams em Defender para Office 365 Plano 2.
ZAP (limpeza automática de hora zero) para mensagens de phishing de alta confiança no Teams
Para mensagens identificadas como phishing de alta confiança após a entrega, o ZAP para Teams bloqueia e coloca em quarentena a mensagem. Para definir a política de quarentena usada para detecções de phishing de alta confiança no ZAP para Teams, consulte Microsoft Defender para Office 365 suporte ao Plano 2 para o Microsoft Teams.
ZAP (limpeza automática) de zero hora para malware em mensagens do Teams
Para mensagens identificadas como malware, o ZAP para teams bloqueia e coloca em quarentena a mensagem. Para definir a política de quarentena usada para detecções de malware no ZAP para Teams, consulte Microsoft Defender para Office 365 suporte ao Plano 2 para o Microsoft Teams.
Como ver se o ZAP bloqueou uma mensagem do Teams
Atualmente, somente os administradores podem exibir e gerenciar mensagens que foram colocadas em quarentena pelo ZAP para proteção do Teams. Para obter mais informações, consulte Usar o portal Microsoft Defender para gerenciar mensagens em quarentena do Microsoft Teams.
Perguntas frequentes sobre o ZAP (limpeza automática) de zero hora
O que acontecerá se o ZAP mover mensagens legítimas para a pasta Junk Email?
Siga o processo normal para relatar falsos positivos à Microsoft. O ZAP move a mensagem da pasta Caixa de Entrada para a pasta Junk Email somente se o serviço determinar que a mensagem é spam ou mal-intencionada.
E se eu usar a pasta Quarentena em vez da pasta Lixo Eletrônico?
O ZAP toma medidas em uma mensagem com base na configuração de políticas anti-spam, conforme descrito anteriormente neste artigo.
Como o ZAP é afetado pelas exceções aos recursos de proteção no EOP e no Defender para Office 365?
As ações ZAP podem ser substituídas por listas de remetentes seguros, regras de fluxo de email do Exchange (regras de transporte) e outros blocos organizacionais e permitir configurações. No entanto, para malware e veredictos de phishing de alta confiança, há pouquíssimos cenários em que o ZAP não atua em mensagens para proteger os usuários:
- URLs de simulação de phishing de terceiros identificadas na política de entrega avançada (phishing de alta confiança).
- Caixas de correio SecOps identificadas na política de entrega avançada (malware e phishing de alta confiança).
- O registro MX do domínio do Microsoft 365 aponta para outro serviço ou dispositivo e você usa uma regra de fluxo de email para ignorar a filtragem de spam (phishing de alta confiança).
- Administração envios de falsos positivos para a Microsoft. Por padrão, permitir entradas para domínios e endereços de email, arquivos e URLs existem por 30 dias (malware e phishing de alta confiança).
É importante que você considere cuidadosamente as implicações de ignorar a filtragem, pois isso pode comprometer a postura de segurança de sua organização.
Quais são os requisitos de licenciamento para ZAP?
Não há requisitos especiais de licenciamento para ZAP para malware, spam e phishing. O ZAP funciona em todas as caixas de correio hospedadas em Exchange Online. O ZAP não funciona em caixas de correio locais protegidas por EOP autônomo.
A proteção ZAP for Teams requer licenças do Plano 2 Microsoft 365 E5 ou Microsoft Defender para Office 365.
O ZAP funciona em mensagens em outras pastas na caixa de correio (por exemplo, mensagens movidas por regras de caixa de entrada)?
O ZAP ainda funciona desde que a mensagem não tenha sido excluída, ou desde que a mesma ação ou mais forte ainda não tenha sido aplicada. Por exemplo, se a mensagem estiver na pasta Junk Email e a ação na política anti-phishing aplicável estiver em quarentena, o ZAP colocará a mensagem em quarentena.
Como o ZAP afeta as caixas de correio em espera?
O ZAP coloca em quarentena mensagens de caixas de correio em espera. O ZAP pode mover mensagens para a pasta Junk Email com base na ação configurada para um veredicto de spam ou phishing em políticas anti-spam.
Para obter mais informações sobre retenções em Exchange Online, consulte Retenção in-Place e Contencioso Hold em Exchange Online.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de