Remoção automática de zero horas (ZAP) no Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.
Nas organizações do Microsoft 365 com Exchange Online caixas de correio, a remoção automática de horas zero (ZAP) é uma funcionalidade de proteção no Proteção do Exchange Online (EOP) que deteta e neutraliza retroativamente mensagens de phishing, spam ou malware maliciosas que já foram entregues em caixas de correio Exchange Online.
O ZAP não funciona em ambientes de EOP autónomos que protegem caixas de correio no local.
Nota
Atualmente em Pré-visualização, o ZAP também consegue detetar retroativamente mensagens de chat maliciosas existentes no Microsoft Teams.
As assinaturas de spam e software maligno no serviço são atualizadas diariamente em tempo real. No entanto, os utilizadores ainda podem receber mensagens maliciosas. Por exemplo:
- Software maligno de zero dias que era indetectável durante o fluxo de correio.
- Conteúdo que é armado após ser entregue aos utilizadores.
O ZAP resolve estes problemas ao monitorizar continuamente atualizações de assinaturas de spam e software maligno no serviço e é totalmente integrado para os utilizadores. O ZAP localiza e efetua uma ação automatizada em mensagens que já se encontram na caixa de correio de um utilizador. A pesquisa do ZAP está limitada às últimas 48 horas de e-mail entregue. Os utilizadores não são notificados se o ZAP detetar e mover uma mensagem.
Veja este breve vídeo para saber como o ZAP no Microsoft Defender para Office 365 deteta e neutraliza automaticamente ameaças no e-mail.
Remoção automática de zero horas (ZAP) para mensagens de e-mail
Remoção automática de zero horas (ZAP) para software maligno
Para mensagens lidas ou não lidas que contenham software maligno após a entrega, o ZAP coloca em quarentena a mensagem que contém o anexo de software maligno. Por predefinição, apenas os administradores podem ver e gerir mensagens de software maligno em quarentena. No entanto, os administradores podem criar e utilizar políticas de quarentena para definir o que os utilizadores podem fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.
Nota
Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como software maligno, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de software maligno em quarentena.
O ZAP para software maligno está ativado por predefinição em políticas antimalware. Para obter mais informações, veja Configurar políticas antimalware na EOP.
Remoção automática de zero horas (ZAP) para phishing
Para mensagens lidas ou não lidas identificadas como phishing ( phishing não de alta confiança) após a entrega, o resultado zap depende da ação configurada para um veredicto de Phishing na política antisspam aplicável. As ações disponíveis e os possíveis resultados do ZAP estão descritos na lista seguinte:
Adicionar Cabeçalho X, Preparar linha de assunto com texto, Redirecionar mensagem para endereço de e-mail, Eliminar mensagem: ZAP não efetua qualquer ação na mensagem.
Mover mensagem para o Email de Lixo: o ZAP move a mensagem para a pasta Email de Lixo.
Esta é a ação predefinida para um veredicto de Phishing na política antisspam predefinida e nas políticas antisspam personalizadas que cria no PowerShell.
Mensagem de quarentena: ZAP coloca a mensagem em quarentena.
Esta é a ação predefinida para um veredicto de Phishing nas políticas de segurança predefinidas Padrão e Estrita e nas políticas antisspam personalizadas que cria no portal do Defender.
Por predefinição, o ZAP para phishing está ativado em políticas antisspam.
Para obter mais informações sobre como configurar veredictos de filtragem de spam, consulte Configurar políticas antisspam no Microsoft 365.
Remoção automática de zero horas (ZAP) para phishing de alta confiança
Para mensagens lidas ou não lidas identificadas como phishing de alta confiança após a entrega, o ZAP coloca a mensagem em quarentena. Por predefinição, apenas os administradores podem ver e gerir mensagens de phishing de alta confiança em quarentena. No entanto, os administradores podem criar e utilizar políticas de quarentena para definir o que os utilizadores podem fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.
Nota
Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de phishing de alta confiança em quarentena.
O ZAP para phishing de alta confiança está ativado por predefinição. Para obter mais informações, consulte Proteger por Predefinição no Office 365.
Remoção automática de zero horas (ZAP) para spam
Para mensagens não lidas identificadas como spam ou spam de alta confiança após a entrega, o resultado zap depende da ação configurada para um veredicto de spam de alta confiança ou spam de alta confiança na política antisspam aplicável. As ações disponíveis e os possíveis resultados do ZAP estão descritos na lista seguinte:
Adicionar Cabeçalho X, Preparar linha de assunto com texto, Redirecionar mensagem para endereço de e-mail, Eliminar mensagem: ZAP não efetua qualquer ação na mensagem.
Mover mensagem para o Email de Lixo: o ZAP move a mensagem para a pasta Email de Lixo.
Para o veredicto de Spam , esta é a ação predefinida na política antisspam predefinida, novas políticas antisspam personalizadas e a política de segurança predefinida Padrão.
Para o veredicto de spam de alta confiança , esta é a ação predefinida na política antisspam predefinida e novas políticas antisspam personalizadas.
Mensagem de quarentena: ZAP coloca a mensagem em quarentena.
Para o veredicto de Spam , esta é a ação predefinida na política de segurança estritamente predefinida.
Para o veredicto de spam de alta confiança, esta é a ação predefinida nas políticas de segurança predefinidas Padrão e Estrita.
Por predefinição, os utilizadores podem ver e gerir mensagens que foram colocadas em quarentena como spam ou spam de alta confiança onde são destinatários. No entanto, os administradores podem criar e utilizar políticas de quarentena para definir o que os utilizadores podem fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.
Por predefinição, o ZAP para spam está ativado em políticas antisspam.
Para obter mais informações sobre como configurar veredictos de filtragem de spam, consulte Configurar políticas antisspam no Microsoft 365.
Como ver se o ZAP moveu a sua mensagem
Para determinar se o ZAP moveu a sua mensagem, tem as seguintes opções:
- Número de mensagens: utilize a vista Fluxo de Correio no relatório de estado do Fluxo de Correio para ver o número de mensagens afetadas pelo ZAP para o intervalo de datas especificado.
- Detalhes da mensagem: utilize o Explorador de Ameaças (ou deteções em tempo real) para filtrar Todos os eventos de e-mail pelo valor ZAP para a coluna Ação adicional .
Nota
O ZAP não tem sessão iniciada nos registos de auditoria da caixa de correio do Exchange como uma ação do sistema.
Considerações de remoção automática de horas zero (ZAP) para Anexos Seguros no Microsoft Defender para Office 365
O ZAP não coloca em quarentena mensagens que estejam no processo de Entrega Dinâmica na análise de políticas de Anexos Seguros. Se for recebido um sinal de phishing ou spam para mensagens neste estado e o veredicto de filtragem na política antisspam estiver definido para tomar algumas medidas na mensagem (Mover para Lixo, Redirecionar, Eliminar ou Quarentena), o ZAP reverterá para a ação "Mover para Lixo".
Remoção automática de zero horas (ZAP) no Microsoft Teams
Sugestão
O ZAP para Microsoft Teams só está disponível para clientes com subscrições Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2. Para configurar o ZAP para a proteção do Teams, consulte suporte Microsoft Defender para Office 365 Plano 2 para o Microsoft Teams.
ZAP nas conversas do Teams
O ZAP está disponível para mensagens internas em conversas do Teams identificadas como software maligno ou phishing de alta confiança. Atualmente, as mensagens externas não são suportadas.
O Teams é diferente do e-mail, porque todas as pessoas numa conversa do Teams recebem a mesma cópia da mensagem ao mesmo tempo (não há bifurcação de mensagens). Quando a proteção ZAP para Teams bloqueia uma mensagem, a mensagem é bloqueada para todas as pessoas no chat. O bloco inicial ocorre logo após a entrega, mas o ZAP ocorre até 48 horas após a entrega.
As exclusões do ZAP para a proteção do Teams em chats do Teams são importantes para os destinatários de mensagens e não para os remetentes de mensagens. Para configurar exceções para chats do Teams, veja Configurar o ZAP para a proteção do Teams no Defender para Office 365 Plano 2.
O ZAP para a proteção do Teams pode tomar medidas em mensagens para todos os destinatários numa conversa se os destinatários no chat não forem excluídos do ZAP para a proteção do Teams. Só quando todos os destinatários numa conversa são excluídos do ZAP para a proteção do Teams é que o ZAP não tomará medidas numa mensagem. Estes cenários são ilustrados na seguinte tabela:
| Cenário | Result |
|---|---|
| Conversar em grupo com os Destinatários A, B, C e D. Os destinatários A, B, C e D são excluídos do ZAP para proteção do Teams. |
O ZAP não bloqueia as mensagens enviadas para a conversa de grupo. |
| Conversar em grupo com os Destinatários A, B, C e D. Apenas os destinatários A, B e C são excluídos do ZAP para proteção do Teams. |
O ZAP consegue bloquear as mensagens enviadas para a conversa de grupo de todos os destinatários. |
| Conversar em grupo com os Destinatários A, B, C e D. Os destinatários A, B, C e D não são excluídos do ZAP para proteção do Teams. O remetente X é excluído do ZAP para proteção do Teams e envia uma mensagem para o chat de grupo. |
O ZAP consegue bloquear as mensagens enviadas para a conversa de grupo de todos os destinatários. |
Vista do remetente:
Vista de destinatário:
ZAP em canais do Teams
A proteção ZAP para Teams suporta os seguintes tipos de canais do Teams:
- Canais padrão: o ZAP está disponível para mensagens internas. Atualmente, as mensagens externas não são suportadas.
- Canais partilhados: o ZAP está disponível para mensagens internas e externas.
Atualmente, o ZAP não está disponível em canais privados.
Para configurar exceções para a proteção ZAP para canais do Teams, precisa do endereço de e-mail do destinatário. Este endereço é diferente do endereço de e-mail do canal no cliente do Teams.
Para obter o endereço de e-mail do destinatário a utilizar para exceções para a proteção de canais do Teams, utilize o valor Nome e e-mail na secção Detalhes do canal do painel de entidades de mensagens do Teams. Para obter mais informações, veja O painel de entidades de mensagens do Teams no Microsoft Defender para Office 365.
Para configurar exceções para canais do Teams, veja Configurar o ZAP para a proteção do Teams no Defender para Office 365 Plano 2.
Remoção automática de zero horas (ZAP) para mensagens de phishing de alta confiança no Teams
Para mensagens identificadas como phishing de alta confiança após a entrega, o ZAP para a proteção do Teams bloqueia e coloca a mensagem em quarentena. Para definir a política de quarentena utilizada para deteções de phishing de alta confiança no ZAP para Teams, consulte suporte Microsoft Defender para Office 365 Plano 2 para o Microsoft Teams.
Remoção automática de zero horas (ZAP) para software maligno em mensagens do Teams
Para mensagens identificadas como software maligno, o ZAP para o Teams bloqueia e coloca a mensagem em quarentena. Para definir a política de quarentena utilizada para deteções de software maligno no ZAP para Teams, consulte Microsoft Defender para Office 365 Suporte do Plano 2 para o Microsoft Teams.
Como ver se o ZAP bloqueou uma mensagem do Teams
Atualmente, apenas os administradores podem ver e gerir mensagens que foram colocadas em quarentena pelo ZAP para proteção do Teams. Para obter mais informações, consulte Utilizar o portal do Microsoft Defender para gerir mensagens em quarentena do Microsoft Teams.
FAQ sobre a remoção automática de horas zero (ZAP)
O que acontece se o ZAP mover mensagens legítimas para a pasta Email de Lixo?
Siga o processo normal para comunicar falsos positivos à Microsoft. O ZAP move a mensagem da pasta Caixa de Entrada para a pasta Email de Lixo apenas se o serviço determinar que a mensagem é spam ou maliciosa.
E se utilizar a pasta Quarentena em vez da pasta E-mail de Lixo?
O ZAP toma medidas numa mensagem com base na configuração de políticas antisspam, conforme descrito anteriormente neste artigo.
Como é que o ZAP é afetado pelas exceções às funcionalidades de proteção na EOP e Defender para Office 365?
As ações ZAP podem ser substituídas por listas de remetentes seguros, regras de fluxo de correio do Exchange (regras de transporte) e outras definições de bloqueio organizacional e de permissão. No entanto, para software maligno e veredictos de phishing de alta confiança, existem muito poucos cenários em que o ZAP não atua em mensagens para proteger os utilizadores:
- URLs de simulação de phishing de terceiros identificados na política de entrega avançada (phishing de alta confiança).
- Caixas de correio secOps identificadas na política de entrega avançada (software maligno e phishing de alta confiança).
- O registo MX do seu domínio do Microsoft 365 aponta para outro serviço ou dispositivo e utiliza uma regra de fluxo de correio para ignorar a filtragem de spam (phishing de alta confiança).
- Administração submissões de falsos positivos à Microsoft. Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs existem durante 30 dias (software maligno e phishing de alta confiança).
É importante que considere cuidadosamente as implicações de ignorar a filtragem, uma vez que pode comprometer a postura de segurança da sua organização.
Quais são os requisitos de licenciamento do ZAP?
Não existem requisitos de licenciamento especiais para ZAP para software maligno, spam e phishing. O ZAP funciona em todas as caixas de correio alojadas no Exchange Online. O ZAP não funciona em caixas de correio no local que estão protegidas pela EOP autónoma.
O ZAP para a proteção do Teams requer licenças Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2.
O ZAP trabalha em mensagens noutras pastas na caixa de correio (por exemplo, mensagens movidas pelas regras da Caixa de Entrada)?
O ZAP ainda funciona desde que a mensagem não tenha sido eliminada ou desde que a mesma ação ou uma ação mais forte ainda não tenha sido aplicada. Por exemplo, se a mensagem estiver na pasta Email de Lixo e a ação na política anti-phishing aplicável estiver em quarentena, o ZAP coloca a mensagem em quarentena.
Como é que o ZAP afeta as caixas de correio em espera?
O ZAP coloca em quarentena mensagens de caixas de correio em espera. O ZAP pode mover mensagens para a pasta Email de Lixo com base na ação configurada para um veredicto de spam ou phishing em políticas antisspam.
Para obter mais informações sobre retenções em Exchange Online, consulte Suspensão No Local e Suspensão de Litígios no Exchange Online.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários