Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях Microsoft 365 с почтовыми ящиками Exchange Online автоматическая очистка (ZAP) — это функция защиты в Exchange Online Protection (EOP), которая задним числом обнаруживает и нейтрализует вредоносные фишинг, спам или вредоносные сообщения, которые уже были доставлены в почтовые ящики Exchange Online.
ZAP не работает в автономных средах EOP, которые защищают локальные почтовые ящики.
Примечание.
В настоящее время в предварительной версии ZAP также может задним числом обнаруживать существующие вредоносные сообщения чата в Microsoft Teams.
Спам и вредоносные программы в службе обновляются в режиме реального времени ежедневно. Однако пользователи по-прежнему могут получать вредоносные сообщения. Например:
- Вредоносные программы нулевого дня, которые не были обнаружены во время потока обработки почты.
- Содержимое, которое используется после доставки пользователям.
РЕШЕНИЕ ZAP решает эти проблемы путем постоянного мониторинга спама и обновлений сигнатур вредоносных программ в службе и обеспечивает удобство работы пользователей. ZAP находит и выполняет автоматические действия с сообщениями, которые уже находятся в почтовом ящике пользователя. Поиск ZAP ограничен последними 48 часами доставки электронной почты. Пользователи не получают уведомления, если ZAP обнаруживает и перемещает сообщение.
Посмотрите это короткое видео, чтобы узнать, как ZAP в Microsoft Defender для Office 365 автоматически обнаруживает и нейтрализует угрозы в электронной почте.
Автоматическая очистка (ZAP) для сообщений электронной почты за нулевой час
Автоматическая очистка нулевого часа (ZAP) для вредоносных программ
Для прочитанных или непрочитанных сообщений , которые содержат вредоносные программы после доставки, ZAP помещает в карантин сообщение, содержащее вложение вредоносных программ. По умолчанию только администраторы могут просматривать сообщения о вредоносном ПО, помещенные в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать освобождение своих сообщений о вредоносных программах, помещенных в карантин.
ZAP для вредоносных программ включен по умолчанию в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ в EOP.
Автоматическая очистка нулевого часа (ZAP) для фишинга
Для прочитанных или непрочитанных сообщений , которые считаются фишинговыми (не с высокой достоверностью) после доставки, результат ZAP зависит от действия, настроенного для решения фишинга в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:
Добавьте X-Header, строку темы prepend с текстом, сообщение перенаправления на адрес электронной почты, удалить сообщение: ZAP не выполняет никаких действий с сообщением.
Переместить сообщение в нежелательную Email. ZAP перемещает сообщение в папку Нежелательная Email.
Это действие по умолчанию для решения фишинга в политике защиты от нежелательной почты по умолчанию и пользовательских политиках защиты от нежелательной почты, создаваемых в PowerShell.
Сообщение карантина: ZAP помещает сообщение в карантин.
Это действие по умолчанию для решения фишинга в стандартных и строгих предустановленных политиках безопасности, а также в пользовательских политиках защиты от нежелательной почты, созданных на портале Defender.
По умолчанию zap для фишинга включен в политиках защиты от нежелательной почты.
Дополнительные сведения о настройке вердиктов фильтрации спама см. в статье Настройка политик защиты от нежелательной почты в Microsoft 365.
Автоматическая очистка нулевого часа (ZAP) для фишинга с высокой достоверностью
Для прочитанных или непрочитанных сообщений , которые определяются как фишинг с высокой достоверностью после доставки, ZAP помещает сообщение на карантин. По умолчанию только администраторы могут просматривать фишинговые сообщения с высокой степенью достоверности и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, вместо этого пользователям разрешено запрашивать освобождение их помещенных в карантин фишинговых сообщений с высокой степенью достоверности.
ZAP для фишинга с высокой достоверностью включен по умолчанию. Дополнительные сведения см. в статье Защита по умолчанию в Office 365.
Автоматическая очистка за нулевой час (ZAP) для спама
Для непрочитанных сообщений , которые определяются как спам или спам с высокой достоверностью после доставки, результат ZAP зависит от действия, настроенного для вердикта спама или спама высокой достоверности в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:
Добавьте X-Header, строку темы prepend с текстом, сообщение перенаправления на адрес электронной почты, удалить сообщение: ZAP не выполняет никаких действий с сообщением.
Переместить сообщение в нежелательную Email. ZAP перемещает сообщение в папку Нежелательная Email.
Для вердикта спама это действие по умолчанию в политике защиты от нежелательной почты по умолчанию, новых настраиваемых политиках защиты от нежелательной почты и стандартной предустановленной политике безопасности.
Для вердикта спама высокой достоверности это действие по умолчанию в политике защиты от нежелательной почты по умолчанию и новых пользовательских политиках защиты от нежелательной почты.
Сообщение карантина: ZAP помещает сообщение в карантин.
Для вердикта нежелательной почты это действие по умолчанию в политике безопасности Strict Preset.
Для вердикта спама высокой достоверности это действие по умолчанию в стандартных и строгих предустановленных политиках безопасности.
По умолчанию пользователи могут просматривать сообщения, которые были помещены в карантин как спам или спам с высоким уровнем достоверности, и управлять ими, если они получатели. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
По умолчанию в политиках защиты от нежелательной почты включен параметр ZAP для спама.
Дополнительные сведения о настройке вердиктов фильтрации спама см. в статье Настройка политик защиты от нежелательной почты в Microsoft 365.
Как узнать, переместили ли ваше сообщение ZAP
Чтобы определить, переместил ли ZAP ваше сообщение, у вас есть следующие варианты:
- Количество сообщений. Используйте представление "Поток почты" в отчете о состоянии потока обработки почты , чтобы просмотреть количество сообщений, затронутых ZAP, для указанного диапазона дат.
- Сведения о сообщении. Используйте Обозреватель угроз (или обнаружения в режиме реального времени), чтобы отфильтровать все события электронной почты по значению ZAP столбца Дополнительное действие.
Примечание.
ZAP не регистрируется в журналах аудита почтовых ящиков Exchange в качестве системного действия.
Рекомендации по автоматической очистке (ZAP) нулевого часа для безопасных вложений в Microsoft Defender для Office 365
ZAP не помещает в карантин сообщения, которые находятся в процессе проверки политики динамической доставки в политике безопасных вложений. Если для сообщений в этом состоянии получен фишинговый или спам-сигнал, а в политике защиты от нежелательной почты установлен вердикт фильтрации для выполнения некоторых действий с сообщением (Перемещение в нежелательную, перенаправление, удаление или карантин), ZAP возвращается к действию "Переместить в нежелательную".
Автоматическая очистка нулевого часа (ZAP) в Microsoft Teams
Совет
ZAP для Microsoft Teams доступен только для клиентов с подписками на Microsoft 365 E5 или Microsoft Defender для Office 365 план 2. Сведения о настройке защиты ZAP для Teams см. в разделе поддержка microsoft Teams Microsoft Defender для Office 365 плана 2.
ZAP в чатах Teams
ZAP доступен для внутренних сообщений в чатах Teams, которые идентифицируются как вредоносные программы или фишинг с высокой достоверностью. В настоящее время внешние сообщения не поддерживаются.
Teams отличается от электронной почты, так как все пользователи в чате Teams одновременно получают одну и ту же копию сообщения (бифуркация сообщения отсутствует). Когда защита ZAP для Teams блокирует сообщение, сообщение блокируется для всех пользователей в чате. Начальная блокировка происходит сразу после доставки, но ZAP происходит до 48 часов после доставки.
Исключения для защиты ZAP для Teams в чатах Teams имеют значение для получателей сообщений, а не для отправителей сообщений. Сведения о настройке исключений для чатов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365 план 2.
Защита ZAP для Teams может принимать меры с сообщениями для всех получателей в чате, если какие-либо получатели в чате не исключены из защиты ZAP для Teams. Только в том случае, если все получатели в чате исключены из защиты ZAP для Teams, ZAP не будет принимать меры с сообщением. Эти сценарии показаны в следующей таблице:
| Сценарий | Result |
|---|---|
| Групповой чат с получателями A, B, C и D. Получатели A, B, C и D исключаются из защиты ZAP для Teams. |
ZAP не блокирует сообщения, отправленные в групповой чат. |
| Групповой чат с получателями A, B, C и D. Только получатели A, B и C исключаются из ZAP для защиты Teams. |
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей. |
| Групповой чат с получателями A, B, C и D. Получатели A, B, C и D не исключаются из защиты ZAP для Teams. Отправитель X исключается из защиты ZAP для Teams и отправляет сообщение в групповой чат. |
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей. |
Представление отправителя:
Представление получателей:
ZAP в каналах Teams
Защита ZAP для Teams поддерживает следующие типы каналов Teams:
- Стандартные каналы: ZAP доступен для внутренних сообщений. В настоящее время внешние сообщения не поддерживаются.
- Общие каналы: ZAP доступен для внутренних и внешних сообщений.
В настоящее время ZAP недоступен в частных каналах.
Чтобы настроить исключения для защиты ЗАП для каналов Teams, вам потребуется адрес электронной почты получателя. Этот адрес отличается от адреса электронной почты канала в клиенте Teams.
Чтобы получить адрес электронной почты получателя, который будет использоваться для исключений для защиты канала Teams, используйте значение Имя и адрес электронной почты в разделе Сведения о канале на панели сущности сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.
Сведения о настройке исключений для каналов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365 план 2.
Автоматическая очистка нулевого часа (ZAP) для фишинговых сообщений с высоким уровнем достоверности в Teams
Для сообщений, которые определяются как фишинг с высокой достоверностью после доставки, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, используемой для обнаружения фишинга с высокой степенью достоверности в ZAP для Teams, см. в статье Поддержка Microsoft Teams Microsoft Defender для Office 365 плана 2.
Автоматическая очистка нулевого часа (ZAP) для вредоносных программ в сообщениях Teams
Для сообщений, которые определены как вредоносные программы, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, используемой для обнаружения вредоносных программ в ZAP для Teams, см. в разделе поддержка Microsoft Teams Microsoft Defender для Office 365 план 2.
Как узнать, заблокировало ли zap сообщение Teams
В настоящее время только администраторы могут просматривать и управлять сообщениями, которые были помещены в карантин с помощью zap для защиты Teams. Дополнительные сведения см. в статье Использование портала Microsoft Defender для управления сообщениями Microsoft Teams в карантине.
Часто задаваемые вопросы об автоматической очистке (ZAP)
Что произойдет, если ZAP переместит допустимые сообщения в папку "Нежелательная Email"?
Следуйте обычному процессу отправки ложноположительных результатов в корпорацию Майкрософт. ZAP перемещает сообщение из папки "Входящие" в папку "Нежелательная Email", только если служба определяет, что сообщение является нежелательным или вредоносным.
Что делать, если я использую папку "Карантин" вместо папки "Нежелательная почта"?
ZAP принимает меры с сообщением на основе конфигурации политик защиты от нежелательной почты, как описано ранее в этой статье.
Как на ZAP влияют исключения для функций защиты в EOP и Defender для Office 365?
Действия ZAP могут быть переопределены списками надежных отправителей, правилами потока обработки почты Exchange (правилами транспорта) и другими организационными блоками и параметрами разрешений. Однако для вредоносных программ и фишинговых вердиктов с высокой достоверностью существует очень мало сценариев, когда ZAP не действует на сообщения для защиты пользователей:
- Сторонние URL-адреса имитации фишинга, определенные в расширенной политике доставки (фишинг с высокой степенью достоверности).
- Почтовые ящики SecOps, определенные в расширенной политике доставки (вредоносные программы и фишинг с высокой достоверностью).
- Запись MX для домена Microsoft 365 указывает на другую службу или устройство, и вы используете правило потока обработки почты для обхода фильтрации спама (фишинг с высокой степенью достоверности).
- Администратор отправки ложных срабатываний в корпорацию Майкрософт. По умолчанию записи для доменов и адресов электронной почты, файлов и URL-адресов существуют в течение 30 дней (фишинг с вредоносными программами и высокой достоверностью).
Для вас важно тщательно рассмотреть последствия обхода фильтрации, так как это может поставить под угрозу состояние безопасности вашей организации.
Каковы требования к лицензированию для ZAP?
Для ZAP не существует особых требований к лицензированию вредоносных программ, спама и фишинга. ZAP работает со всеми почтовыми ящиками, размещенными в Exchange Online. ZAP не работает в локальных почтовых ящиках, защищенных автономным EOP.
Защита ZAP для Teams требует лицензий Microsoft 365 E5 или Microsoft Defender для Office 365 плана 2.
Работает ли ZAP с сообщениями в других папках почтового ящика (например, сообщения, перемещаемые правилами папки "Входящие")?
ZAP по-прежнему работает до тех пор, пока сообщение не было удалено или пока не было применено то же или более сильное действие. Например, если сообщение находится в папке Нежелательная Email и действием в применимой политике защиты от фишинга является карантин, ZAP помещает его в карантин.
Как ZAP влияет на почтовые ящики при удержании?
ZAP помещает в карантин сообщения из почтовых ящиков на удержание. ZAP может перемещать сообщения в папку Нежелательная Email в зависимости от действия, настроенного для спама или фишинга в политиках защиты от нежелательной почты.
Дополнительные сведения об удержании в Exchange Online см. в разделе Удержание на месте и удержание по делу в Exchange Online.