Совет
Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
Область применения
В этой статье содержатся часто задаваемые вопросы и ответы о защите от вредоносных программ для организаций Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организаций Exchange Online Protection (EOP) без почтовых ящиков Exchange Online.
Вопросы и ответы, связанные в карантине, см. в статье Quarantine FAQ.
Вопросы и ответы о защите от нежелательной почты см. в разделе Часто задаваемые вопросы о защите от нежелательной почты.
Вопросы и ответы о защите от спуфингов см. в статье Защита от спуфингом: вопросы и ответы.
Каковы рекомендации по настройке и использованию службы для борьбы с вредоносными программами?
Как часто происходит обновление определений вредоносных программ?
Каждый сервер проверяет наличие новых сигнатур вредоносных программ, выпускаемых нашими партнерами по антивредоносной защите, каждый час.
Сколько у вас партнеров по антивредоносной защите? Можно ли выбрать предпочтительный модуль защиты от вредоносных программ?
По состоянию на июль 2024 г. сообщения сканируются только с помощью подсистемы защиты от вредоносных программ Майкрософт.
Где происходит сканирование на вредоносные программы?
Мы проверяем наличие вредоносных программ в сообщениях, которые отправляются в почтовый ящик или из почтового ящика (сообщения при передаче). Для почтовых ящиков Exchange Online мы также имеем автоматическую очистку нулевого часа (ZAP) для вредоносных программ, чтобы сканировать уже доставленные сообщения. При повторной отправке сообщения из почтового ящика оно сканируется снова (так как оно передается).
Если изменить политику защиты от вредоносных программ, сколько времени пройдет после сохранения изменений до момента, когда они вступят в силу?
Чтобы изменения вступили в силу, может потребоваться до 1 часа.
Выполняется ли сканирование на вредоносные программы для внутренних сообщений?
Для организаций с почтовыми ящиками Exchange Online служба проверяет наличие вредоносных программ во всех входящих и исходящих сообщениях, включая сообщения, отправляемые между внутренними получателями.
Автономная подписка EOP сканирует сообщения, когда они входят в локальную организацию электронной почты или покидают ее. Сообщения, отправляемые между внутренними локальными получателями, не проверяются на наличие вредоносных программ. Однако можно использовать встроенные функции проверки на вредоносные программы Exchange Server. Дополнительные сведения см. в статье Защита от вредоносных программ в Exchange Server.
Включена ли эвристическая проверка?
Да. Эвристическая проверка на наличие известных (совпадение сигнатур) и неизвестных (подозрительных) вредоносных программ.
Может ли служба сканировать сжатые файлы (например, файлы ZIP)?
Да. Защита от вредоносных программ может выполнять детализацию сжатых (архивных) файлов.
Поддерживает ли сканирование сжатых вложений рекурсивную (.zip в .zip в .zip) и если да, то насколько глубоко?
Да, рекурсивное сканирование сжатых файлов сканирует много слоев глубоко.
Работает ли служба с устаревшими версиями Exchange и средами, не работающими с Exchange?
Да, работа службы не зависит от сервера.
Что такое вирус нулевого дня и как он обрабатывается службой?
Вирус нулевого дня — это первое поколение, ранее неизвестный вариант вредоносных программ, который никогда не был захвачен или проанализирован.
После захвата и анализа примера вируса нулевого дня с помощью нашего модуля защиты от вредоносных программ создается определение и уникальная сигнатура для обнаружения вредоносных программ.
Если для вредоносных программ существует определение или сигнатура, это больше не считается нулевым днем.
Как настроить службу для блокировки определенных исполняемых файлов (например, \*.exe), которые, как я опасаюсь, могут содержать вредоносные программы?
Вы можете включить и настроить общий фильтр вложений (также известный как обычная блокировка вложений), как описано в разделе Общий фильтр вложений в политиках защиты от вредоносных программ.
Вы также можете создать правило потока обработки почты Exchange (также известное как правило транспорта), которое блокирует любое вложение электронной почты с исполняемым содержимым.
Чтобы заблокировать типы файлов, перечисленные в разделе Поддерживаемые типы файлов для проверки содержимого правила потока обработки почты в Exchange Online, выполните действия, описанные в разделе Как снизить угрозы вредоносных программ с помощью блокировки вложений в Exchange Online.
Для повышенной защиты мы также рекомендуем использовать расширение Любой файл вложения, включающее эти слова в правилах потока обработки почты, чтобы заблокировать некоторые или все следующие расширения: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Почему определенная вредоносная программа прошла мимо фильтров?
Полученная вредоносная программа является новым вариантом (см . раздел Что такое вирус нулевого дня и как он обрабатывается службой?). Время, необходимое для обновления определения вредоносных программ, зависит от наших партнеров по защите от вредоносных программ.
Помните, что никакие настраиваемые пользователем или администратором параметры не могут исключить вложения электронной почты от проверки с помощью защиты от вредоносных программ.
Как отправить вредоносную программу, которая прошла мимо фильтров, в корпорацию Майкрософт? Кроме того, как отправить файл, который, по моему мнению, был неправильно обнаружен как вредоносная программа?
Я получил сообщение электронной почты с незнакомым вложением. Это вредоносная программа или вложение можно проигнорировать?
Настоятельно рекомендуется не открывать вложения, которые вы не распознаете. Если вы хотите, чтобы мы исследовали вложение, сообщите о файле в корпорацию Майкрософт.
Где можно получить сообщения, удаленные фильтрами вредоносных программ?
Сообщения содержат активный вредоносный код, поэтому мы не разрешаем доступ к этим сообщениям. Они бесцеремонно удаляются.
Я не могу получить определенное вложение, так как оно ложно идентифицируется как вредоносная программа. Можно ли разрешить это вложение с помощью правил потока обработки почты?
Нет. Вы не можете использовать правила потока обработки почты Exchange для пропуска фильтрации вредоносных программ. Единственный способ пропустить фильтрацию вредоносных программ для получателя — определить почтовый ящик как почтовый ящик SecOps. Дополнительные сведения см. в статье Настройка почтовых ящиков SecOps с помощью портала Microsoft Defender в расширенной политике доставки.
Можно ли получать данные отчетов об обнаружении вредоносных программ?
Да, доступ к отчетам можно получить на портале Microsoft Defender. Дополнительные сведения см. в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.
Существует ли средство для отслеживания сообщений, в которых обнаружено вредоносное ПО?
Да, средство трассировки сообщений позволяет отслеживать сообщения электронной почты, которые проходят через службу. Дополнительные сведения о том, как с помощью средства трассировки сообщений узнать, почему было обнаружено сообщение, содержащее вредоносные программы, см. в статье Трассировка сообщений в современном Центре администрирования Exchange.
Можно ли использовать стороннего поставщика защиты от нежелательной почты и вредоносных программ с Exchange Online?
Да. В большинстве случаев рекомендуется указывать записи MX на EOP (т. е. доставить электронную почту непосредственно в) EOP. Если вам нужно сначала направить электронную почту в другое место, необходимо включить расширенную фильтрацию для соединителей , чтобы EOP могла использовать истинный источник сообщений при фильтрации.
При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?
Эта служба предназначена для обнаружения и удаления нежелательных и вредоносных сообщений, хотя иногда мы можем расследовать особо опасные сообщения или атаки и добавиться наказания злоумышленников.
Мы часто работаем с нашими юридическими и цифровыми подразделениями по борьбе с преступностью, чтобы предпринять следующие действия:
- Снимите спам-ботнет.
- Запретить злоумышленнику использовать службу.
- Передать информацию в правоохранительные органы для уголовного преследования.