Поделиться через


Безопасные вложения в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и использовать условия пробной версии, см. в статье Пробная версия Microsoft Defender для Office 365.

Безопасные вложения в Microsoft Defender для Office 365 обеспечивают дополнительный уровень защиты для вложений электронной почты, которые уже были проверены защитой от вредоносных программ в Exchange Online Protection (EOP). В частности, безопасные вложения используют виртуальную среду для проверки вложений в сообщениях электронной почты перед их доставкой получателям (процесс называется детонацией).

Защита с помощью "Безопасных вложений" для сообщений электронной почты контролируется политиками "Безопасных вложений". Хотя политики безопасных вложений по умолчанию нет, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей (пользователей, которые не определены в стандартных или строгих предустановленных политиках безопасности или в настраиваемых политиках безопасности безопасных вложений). Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365. Вы также можете создавать политики безопасных вложений, применяемые к определенным пользователям, группам или доменам. Инструкции см. в статье Настройка политик безопасных вложений в Microsoft Defender для Office 365.

В следующей таблице описаны сценарии безопасных вложений в организациях Microsoft 365 и Office 365, которые включают Microsoft Defender для Office 365 (иными словами, отсутствие лицензирования никогда не является проблемой в примерах).

Сценарий Result
В организации Петра Microsoft 365 E5 не настроены политики безопасных вложений. Функция Pat защищена безопасными вложениями из-за встроенной предустановленной политики безопасности защиты, которая применяется ко всем получателям, которые не определены в политиках безопасных вложений.
В организации Леонида действует политика безопасных вложений, которая распространяется только на финансовых сотрудников. Леонид является сотрудником отдела продаж. Ли и остальная часть отдела продаж защищены безопасными вложениями из-за встроенной предустановленной политики безопасности защиты, которая применяется ко всем получателям, которые не определены в политиках безопасных вложений.
Вчера администратор организации Дианы создал политику безопасных вложений, которая применяется ко всем сотрудникам. Ранее сегодня Диана получила сообщение электронной почты с вложением. Диана защищена безопасными вложениями благодаря этой настраиваемой политике безопасных вложений.

Обычно для вступления новой политики в силу требуется около 30 минут.
В организации Кости давно действуют политики безопасных вложений для всех сотрудников организации. Костя получает сообщение электронной почты с вложением, а затем пересылает сообщение внешним получателям. Крис защищен безопасными вложениями.

Если внешние получатели находятся в организации Microsoft 365, переадресованные сообщения также защищены безопасными вложениями.

Сканирование с помощью "Безопасных вложений" происходит в том же регионе, где находятся ваши данные Microsoft 365. Дополнительные сведения о географическом расположении центра обработки данных см. в разделе Где находятся данные?

Примечание.

Следующие функции находятся в глобальных параметрах политик безопасных вложений на портале Microsoft Defender. Но эти параметры включены или отключены глобально и не требуют политик безопасных вложений:

Совет

В дополнение к этой статье ознакомьтесь с руководством по настройке Microsoft Defender для Office 365 , чтобы ознакомиться с рекомендациями и защититься от угроз электронной почты, ссылок и совместной работы. Функции включают безопасные ссылки, безопасные вложения и многое другое. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке Microsoft Defender для Office 365 в Центре администрирования Microsoft 365.

Параметры политики безопасных вложений

В этом разделе описаны параметры политик безопасных вложений:

  • Фильтры получателей: условия и исключения для идентификации внутренних получателей, к которым применяется политика. Требуется по крайней мере одно условие. Для условий и исключений можно использовать следующие фильтры получателей:

    • Пользователи: один или несколько почтовых ящиков, почтовых пользователей или почтовых контактов в организации.
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанные Группы Microsoft 365.
    • Домены: один или несколько настроенных обслуживаемых доменов в Microsoft 365. Основной адрес электронной почты получателя находится в указанном домене.

    Условие или исключение можно использовать только один раз, но условие или исключение могут содержать несколько значений:

    • Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):

      • Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
      • Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.
    • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

    • Пользователей: romain@contoso.com

    • Группы: руководители

      Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

  • Ответ на неизвестные вредоносные программы безопасных вложений. Этот параметр управляет действием проверки вредоносных программ безопасных вложений в сообщениях электронной почты. Доступные варианты описаны в следующей таблице:

    Вариант Эффект Используйте, когда хотите:
    Выкл. Безопасные вложения не сканируются на наличие вредоносных программ. Сообщения по-прежнему проверяются на наличие вредоносных программ с помощью защиты от вредоносных программ в EOP. Отключить сканирование для выбранных получателей.

    Предотвратить ненужные задержки при маршрутизации внутренней почты.

    Этот параметр не рекомендуется для большинства пользователей. Этот параметр следует использовать только для отключения сканирования безопасных вложений для получателей, получающих сообщения только от доверенных отправителей. ZaP не помещает сообщения в карантин, если безопасные вложения отключены и сигнал вредоносного ПО не получен. Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа.
    Мониторинг Доставляет сообщения с вложениями, а затем отслеживает, что происходит с обнаруженным вредоносным ПО.

    Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.
    Узнайте, куда попадает обнаруженное вредоносное ПО в вашей организации.
    Блокировка Предотвращает доставку сообщений с обнаруженными вредоносными вложениями.

    Сообщения помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, выпускать или удалять сообщения.¹

    Автоматически блокирует будущие экземпляры сообщений и вложений.

    Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.
    Защищает организацию от повторных атак с использованием одних и тех же вредоносных вложений.

    Это значение по умолчанию и рекомендуемое значение в стандартных и строгих предустановленных политиках безопасности.
    Динамическая доставка Немедленно доставляет сообщения, но заменяет вложения заполнителями до завершения сканирования безопасных вложений.

    Сообщения, содержащие вредоносные вложения, помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, выпускать или удалять сообщения.¹

    Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений далее в этой статье.
    Избегайте задержек сообщений, защищая получателей от вредоносных файлов.

    ¹ Политики карантина определяют, что пользователи могут делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина. Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы безопасными вложениями, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать освобождение своих сообщений о вредоносных программах, помещенных в карантин.

  • Перенаправление сообщений с обнаруженными вложениями. Включите перенаправление и Отправка сообщений, содержащих отслеживаемые вложения, на указанный адрес электронной почты. Только для действия Мониторинг отправляйте сообщения, содержащие вредоносные вложения, на указанный внутренний или внешний адрес электронной почты для анализа и исследования.

    Для стандартных и строгих параметров политики рекомендуется включить перенаправление. Дополнительные сведения см. в статье Параметры безопасных вложений.

  • Приоритет. При создании нескольких политик можно указать порядок их применения. Две политики не могут иметь одинаковый приоритет, и обработка политик останавливается после применения первой политики (политика с наивысшим приоритетом для этого получателя).

    Дополнительные сведения о приоритетах, а также оценке и применении нескольких политик см. в статье Порядок и приоритет защиты электронной почты.

Динамическая доставка в политиках безопасных вложений

Примечание.

Динамическая доставка работает только для Exchange Online почтовых ящиков.

Действие Динамической доставки в политиках безопасных вложений позволяет устранить все задержки доставки электронной почты, которые могут быть вызваны проверкой безопасных вложений. Текст сообщения электронной почты доставляется получателю с заполнителем для каждого вложения. Заполнитель остается до тех пор, пока вложение не будет найдено в безопасности, а затем вложение станет доступным для открытия или скачивания.

Если вложение является вредоносным, сообщение помещается в карантин.

Большинство PDF-файлов и документов Office можно просмотреть в безопасном режиме во время сканирования безопасных вложений. Если вложение несовместимо с предварительным просмотром динамической доставки, получатели будут видеть заполнитель для вложения до завершения сканирования безопасных вложений.

Если вы используете мобильное устройство и PDF-файлы не отображаются в средстве предварительного просмотра динамической доставки на мобильном устройстве, попробуйте открыть сообщение в Outlook в Интернете (ранее — Outlook Web App) с помощью мобильного браузера.

Ниже приведены некоторые рекомендации по динамической доставке и пересылаемых сообщений.

  • Если перенаправленный получатель защищен политикой безопасных вложений, которая использует параметр динамической доставки, получатель видит заполнитель с возможностью предварительного просмотра совместимых файлов.
  • Если переадресованный получатель не защищен политикой безопасных вложений, сообщение и вложения будут доставлены без проверки безопасных вложений или заполнителей вложений.

Существуют сценарии, в которых динамическая доставка не может заменить вложения в сообщениях. Это происходит в описанных ниже случаях.

  • Сообщения в общедоступных папках.
  • Сообщения, которые направляются из и обратно в почтовый ящик пользователя с помощью пользовательских правил.
  • Сообщения, которые перемещаются (автоматически или вручную) из облачных почтовых ящиков в другие расположения, включая архивные папки.
  • Правила папки "Входящие" перемещают сообщение из папки "Входящие" в другую папку.
  • Удаленные сообщения.
  • Папка поиска почтового ящика пользователя находится в состоянии ошибки.
  • Exchange Online организаций, в которых включен exclaimer. Чтобы устранить эту проблему, см. KB4014438.
  • S/MIME) зашифрованные сообщения.
  • Вы настроили действие Динамической доставки в политике безопасных вложений, но получатель не поддерживает динамическую доставку (например, получатель является почтовым ящиком в локальной организации Exchange). Однако безопасные ссылки в Microsoft Defender для Office 365 могут проверять вложения файлов Office, содержащие URL-адреса (если проверка безопасных ссылок для приложений Office включена в соответствующей политике безопасных ссылок).

Отправка файлов для анализа вредоносных программ