Automatisk rensning utan timme (ZAP) i Microsoft Defender för Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I Microsoft 365-organisationer med Exchange Online postlådor är automatisk rensning utan timme (ZAP) en skyddsfunktion i Exchange Online Protection (EOP) som retroaktivt identifierar och neutraliserar skadliga nätfiske-, skräppost- eller skadliga meddelanden som redan har levererats till Exchange Online postlådor.
ZAP fungerar inte i fristående EOP-miljöer som skyddar lokala postlådor.
Obs!
Zap är för närvarande i förhandsversion och kan också retroaktivt identifiera befintliga skadliga chattmeddelanden i Microsoft Teams.
Signaturer för skräppost och skadlig kod i tjänsten uppdateras dagligen i realtid. Användarna kan dock fortfarande ta emot skadliga meddelanden. Till exempel:
- Nolldagars skadlig kod som inte kunde identifieras under e-postflödet.
- Innehåll som är vapeniserat efter att ha levererats till användare.
ZAP löser dessa problem genom att kontinuerligt övervaka uppdateringar av skräppost och signatur för skadlig kod i tjänsten och är sömlöst för användarna. ZAP hittar och vidtar automatiserade åtgärder för meddelanden som redan finns i en användares postlåda. ZAP:s sökning är begränsad till de senaste 48 timmarna av levererad e-post. Användarna meddelas inte om ZAP identifierar och flyttar ett meddelande.
Titta på den här korta videon för att lära dig hur ZAP i Microsoft Defender för Office 365 automatiskt identifierar och neutraliserar hot i e-post.
Automatisk rensning i noll timmar (ZAP) för e-postmeddelanden
Automatisk rensning i noll timmar (ZAP) för skadlig kod
För lästa eller olästa meddelanden som visar sig innehålla skadlig kod efter leverans placerar ZAP meddelandet som innehåller den bifogade filen med skadlig kod i karantän. Som standard kan endast administratörer visa och hantera meddelanden om skadlig kod i karantän. Administratörer kan dock skapa och använda karantänprinciper för att definiera vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Obs!
Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att meddelanden om skadlig kod i karantän släpps.
ZAP för skadlig kod är aktiverat som standard i principer för skydd mot skadlig kod. Mer information finns i Konfigurera principer för skydd mot skadlig kod i EOP.
Automatisk rensning utan timme (ZAP) för nätfiske
För lästa eller olästa meddelanden som identifieras som nätfiske (inte nätfiske med hög konfidens) efter leverans beror ZAP-resultatet på den åtgärd som har konfigurerats för en nätfiskebedömning i tillämplig princip för skräppostskydd. Tillgängliga åtgärder och möjliga ZAP-resultat beskrivs i följande lista:
Lägg till X-header, Prepend ämnesrad med text, Omdirigera meddelande till e-postadress, Ta bort meddelande: ZAP vidtar ingen åtgärd för meddelandet.
Flytta meddelandet till Skräppost Email: ZAP flyttar meddelandet till mappen Skräppost Email.
Detta är standardåtgärden för en nätfiskeutslag i standardprincipen för skräppostskydd och anpassade principer för skräppostskydd som du skapar i PowerShell.
Karantänmeddelande: ZAP placerar meddelandet i karantän.
Detta är standardåtgärden för en nätfiskedom i standard- och strikt förinställda säkerhetsprinciper och i anpassade principer för skräppostskydd som du skapar i Defender-portalen.
Som standard är ZAP för nätfiske aktiverat i principer för skräppostskydd.
Mer information om hur du konfigurerar utvärderingar av skräppostfiltrering finns i Konfigurera principer för skräppostskydd i Microsoft 365.
Automatisk rensning med noll timmar (ZAP) för nätfiske med hög konfidens
För lästa eller olästa meddelanden som identifieras som nätfiske med hög konfidens efter leveransen placerar ZAP meddelandet i karantän. Som standard kan endast administratörer visa och hantera nätfiskemeddelanden med hög konfidens i karantän. Administratörer kan dock skapa och använda karantänprinciper för att definiera vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Obs!
Användare kan inte släppa sina egna meddelanden som satts i karantän som nätfiske med hög konfidens, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras nätfiskemeddelanden med hög konfidens i karantän släpps.
ZAP för nätfiske med hög konfidens är aktiverat som standard. Mer information finns i Skydda som standard i Office 365.
Automatisk rensning i noll timmar (ZAP) för skräppost
För olästa meddelanden som identifieras som skräppost eller skräppost med hög konfidens efter leverans beror ZAP-resultatet på den åtgärd som har konfigurerats för en skräppost- eller skräppostbedömning med hög konfidens i tillämplig princip för skräppostskydd. Tillgängliga åtgärder och möjliga ZAP-resultat beskrivs i följande lista:
Lägg till X-header, Prepend ämnesrad med text, Omdirigera meddelande till e-postadress, Ta bort meddelande: ZAP vidtar ingen åtgärd för meddelandet.
Flytta meddelandet till Skräppost Email: ZAP flyttar meddelandet till mappen Skräppost Email.
För skräppostutfallet är detta standardåtgärden i standardprincipen för skräppostskydd, nya anpassade principer för skräppostskydd och standardprincipen för förinställd säkerhet.
För skräppostbedömningen med hög konfidens är detta standardåtgärden i standardprincipen för skräppostskydd och nya anpassade principer för skräppostskydd.
Karantänmeddelande: ZAP placerar meddelandet i karantän.
För skräppostutfallet är detta standardåtgärden i den strikta förinställda säkerhetsprincipen.
För skräppostutfallet Hög konfidens är detta standardåtgärden i standard- och strikt förinställda säkerhetsprinciper.
Som standard kan användare visa och hantera meddelanden som har satts i karantän som skräppost eller skräppost med hög konfidens där de är mottagare. Administratörer kan dock skapa och använda karantänprinciper för att definiera vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Som standard är ZAP för skräppost aktiverat i principer för skräppostskydd.
Mer information om hur du konfigurerar utvärderingar av skräppostfiltrering finns i Konfigurera principer för skräppostskydd i Microsoft 365.
Så här ser du om ZAP har flyttat meddelandet
För att avgöra om ZAP har flyttat meddelandet har du följande alternativ:
- Antal meddelanden: Använd vyn Mailflow i rapporten Mailflow-status för att se antalet ZAP-påverkade meddelanden för det angivna datumintervallet.
- Meddelandeinformation: Använd Threat Explorer (eller realtidsidentifieringar) för att filtrera Alla e-posthändelser efter värdet ZAP för kolumnen Ytterligare åtgärd .
Obs!
ZAP loggas inte i granskningsloggarna för Exchange-postlådan som en systemåtgärd.
Överväganden för automatisk rensning på noll timmar (ZAP) för säkra bifogade filer i Microsoft Defender för Office 365
ZAP placerar inte meddelanden i karantän som håller på att bearbetas för dynamisk leverans i principgenomsökning av säkra bifogade filer. Om en nätfiske- eller skräppostsignal tas emot för meddelanden i det här tillståndet och filtreringsutfallet i principen för skräppostskydd är inställt på att vidta vissa åtgärder för meddelandet (Flytta till skräppost, omdirigering, borttagning eller karantän) återgår ZAP till åtgärden "Flytta till skräppost".
Automatisk rensning på nolltimmar (ZAP) i Microsoft Teams
Tips
ZAP för Microsoft Teams är endast tillgängligt för kunder med Microsoft 365 E5- eller Microsoft Defender för Office 365 Abonnemang 2-prenumerationer. Information om hur du konfigurerar ZAP för Teams-skydd finns i Microsoft Defender för Office 365 Plan 2-stöd för Microsoft Teams.
ZAP i Teams-chattar
ZAP är tillgängligt för interna meddelanden i Teams-chattar som identifieras som skadlig kod eller nätfiske med hög konfidens. För närvarande stöds inte externa meddelanden.
Teams skiljer sig från e-post eftersom alla i en Teams-chatt får samma kopia av meddelandet samtidigt (det finns ingen meddelandebifurcation). När ZAP för Teams-skydd blockerar ett meddelande blockeras meddelandet för alla i chatten. Det första blocket inträffar direkt efter leverans, men ZAP inträffar upp till 48 timmar efter leverans.
Undantag för ZAP för Teams-skydd i Teams-chattar är viktiga för meddelandemottagare, inte meddelandeavsändare. Information om hur du konfigurerar undantag för Teams-chattar finns i Konfigurera ZAP för Teams-skydd i Defender för Office 365 plan 2.
ZAP för Teams-skydd kan vidta åtgärder för meddelanden för alla mottagare i en chatt om några mottagare i chatten inte är undantagna från ZAP för Teams-skydd. Endast när alla mottagare i en chatt undantas från ZAP för Teams-skydd kommer ZAP inte att vidta åtgärder för ett meddelande. Dessa scenarier illustreras i följande tabell:
Scenario | Resultat |
---|---|
Gruppchatt med mottagare A, B, C och D. Mottagarna A, B, C och D undantas från ZAP för Teams-skydd. |
ZAP blockerar inte meddelanden som skickas till gruppchatten. |
Gruppchatt med mottagare A, B, C och D. Endast mottagare A, B och C undantas från ZAP för Teams-skydd. |
ZAP kan blockera meddelanden som skickas till gruppchatten för alla mottagare. |
Gruppchatt med mottagare A, B, C och D. Mottagarna A, B, C och D undantas inte från ZAP för Teams-skydd. Avsändaren X undantas från ZAP för Teams-skydd och skickar ett meddelande till gruppchatten. |
ZAP kan blockera meddelanden som skickas till gruppchatten för alla mottagare. |
Avsändarvy:
Mottagarvy:
ZAP i Teams-kanaler
ZAP för Teams-skydd stöder följande typer av Teams-kanaler:
- Standardkanaler: ZAP är tillgängligt för interna meddelanden. För närvarande stöds inte externa meddelanden.
- Delade kanaler: ZAP är tillgängligt för interna och externa meddelanden.
Zap är för närvarande inte tillgängligt i privata kanaler.
För att konfigurera undantag för ZAP-skydd för Teams-kanaler behöver du mottagarens e-postadress. Den här adressen skiljer sig från kanalens e-postadress i Teams-klienten.
Om du vill att mottagarens e-postadress ska användas för undantag för Teams-kanalskydd använder du värdet Namn och e-post i avsnittet Kanalinformation i panelen Teams-meddelandeentitet. Mer information finns i panelen Teams meddelandeentitet i Microsoft Defender för Office 365.
Information om hur du konfigurerar undantag för Teams-kanaler finns i Konfigurera ZAP för Teams-skydd i Defender för Office 365 plan 2.
Automatisk rensning i noll timmar (ZAP) för nätfiskemeddelanden med hög konfidens i Teams
För meddelanden som identifieras som nätfiske med hög konfidens efter leverans blockerar ZAP för Teams-skydd och placerar meddelandet i karantän. Information om hur du anger karantänprincipen som används för nätfiskeidentifiering med hög konfidens i ZAP för Teams finns i Microsoft Defender för Office 365 Plan 2-stöd för Microsoft Teams.
Automatisk rensning utan timme (ZAP) för skadlig kod i Teams-meddelanden
För meddelanden som identifieras som skadlig kod blockerar ZAP för Teams-skydd och placerar meddelandet i karantän. Information om hur du anger karantänprincipen som används för identifiering av skadlig kod i ZAP för Teams finns i Microsoft Defender för Office 365 Plan 2-stöd för Microsoft Teams.
Så här ser du om ZAP blockerade ett Teams-meddelande
För närvarande kan endast administratörer visa och hantera meddelanden som satts i karantän av ZAP för Teams-skydd. Mer information finns i Använda Microsoft Defender-portalen för att hantera meddelanden i karantän i Microsoft Teams.
Vanliga frågor och svar om automatisk rensning på nolltimmar (ZAP)
Vad händer om ZAP flyttar legitima meddelanden till mappen Junk Email?
Följ den normala processen för att rapportera falska positiva identifieringar till Microsoft. ZAP flyttar meddelandet från mappen Inkorgen till mappen Skräppost Email endast om tjänsten fastställer att meddelandet är skräppost eller skadligt.
Vad händer om jag använder mappen Quarantine i stället för mappen Skräppost?
ZAP vidtar åtgärder för ett meddelande baserat på konfigurationen av principer för skräppostskydd enligt beskrivningen tidigare i den här artikeln.
Hur påverkas ZAP av undantagen för skyddsfunktioner i EOP och Defender för Office 365?
ZAP-åtgärder kan åsidosättas av listor över säkra avsändare, Regler för Exchange-e-postflöde (transportregler) och andra organisationsblock och tillåt-inställningar. För skadlig kod och nätfiskebedömningar med hög konfidens finns det dock mycket få scenarier där ZAP inte agerar på meddelanden för att skydda användare:
- Url:er för nätfiskesimulering från tredje part som identifieras i principen för avancerad leverans (nätfiske med hög konfidens).
- SecOps-postlådor som identifieras i principen för avancerad leverans (skadlig kod och nätfiske med hög konfidens).
- MX-posten för din Microsoft 365-domän pekar på en annan tjänst eller enhet, och du använder en e-postflödesregel för att kringgå skräppostfiltrering (nätfiske med hög konfidens).
- Admin inskickade falska positiva identifieringar till Microsoft. Tillåt som standard poster för domäner och e-postadresser, filer och URL:er i 30 dagar (skadlig kod och nätfiske med hög konfidens).
Det är viktigt att du noga överväger konsekvenserna av att kringgå filtrering, eftersom det kan äventyra organisationens säkerhetsstatus.
Vilka är licenskraven för ZAP?
Det finns inga särskilda licensieringskrav för ZAP för skadlig kod, skräppost och nätfiske. ZAP fungerar på alla postlådor som finns i Exchange Online. ZAP fungerar inte i lokala postlådor som skyddas av fristående EOP.
ZAP för Teams-skydd kräver Microsoft 365 E5- eller Microsoft Defender för Office 365 Plan 2-licenser.
Fungerar ZAP för meddelanden i andra mappar i postlådan (till exempel meddelanden som flyttas av inkorgsregler)?
ZAP fungerar fortfarande så länge meddelandet inte har tagits bort, eller så länge samma eller starkare åtgärd inte redan har tillämpats. Om meddelandet till exempel finns i mappen Junk Email och åtgärden i den tillämpliga principen för skydd mot nätfiske är karantän, placerar ZAP meddelandet i karantän.
Hur påverkar ZAP undantagna postlådor?
ZAP placerar meddelanden i karantän från undantagna postlådor. ZAP kan flytta meddelanden till mappen Junk Email baserat på den åtgärd som har konfigurerats för ett skräppost- eller nätfiskeutslag i principer för skräppostskydd.
Mer information om undantag i Exchange Online finns i Undantag på plats och bevarande av juridiska skäl i Exchange Online.