Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 abonnemang 1 och plan 2
- Microsoft Defender XDR
Den här artikeln innehåller vanliga frågor och svar om skydd mot skadlig kod för Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection-organisationer (EOP) utan Exchange Online postlådor.
Frågor och svar om karantän finns i Vanliga frågor och svar om karantän.
Frågor och svar om skydd mot skräppost finns i Vanliga frågor och svar om skydd mot skräppost.
Frågor och svar om skydd mot förfalskning finns i Vanliga frågor och svar om skydd mot förfalskning.
Vad är rekommenderade metoder för att konfigurera och använda tjänsten för att bekämpa skadlig kod?
Hur ofta uppdateras definitionerna för skadlig kod?
Varje server söker efter nya definitioner av skadlig kod från våra partner för skydd mot skadlig kod varje timme.
Hur många partner mot skadlig kod har du? Kan jag välja vilka motorer för skadlig kod vi använder?
Vi har samarbeten med flera leverantörer av teknik mot skadlig kod. Meddelanden genomsöks med Microsofts motorer för skydd mot skadlig kod, ytterligare en signaturbaserad motor samt URL- och filryktesökningar från flera källor. Våra partner kan komma att ändras, men EOP använder alltid skydd mot skadlig kod från flera partner. Du kan inte välja en motor för skydd mot skadlig kod framför en annan.
Var sker skanning av skadlig kod?
Vi söker efter skadlig kod i meddelanden som skickas till eller skickas från en postlåda (meddelanden under överföring). För Exchange Online postlådor har vi även en automatisk rensning på noll timmar (ZAP) för skadlig kod för att söka igenom meddelanden som redan har levererats. Om du skickar ett meddelande igen från en postlåda genomsöks det igen (eftersom det är under överföring).
Hur lång tid tar det när jag har sparat ändringarna för att de ska börja gälla om jag ändrar en princip för skydd mot skadlig kod?
Det kan ta upp till 1 timme innan ändringarna börjar gälla.
Söker tjänsten igenom interna meddelanden efter skadlig kod?
För organisationer med Exchange Online postlådor söker tjänsten efter skadlig kod i alla inkommande och utgående meddelanden, inklusive meddelanden som skickas mellan interna mottagare.
En fristående EOP-prenumeration söker igenom meddelanden när de går in i eller lämnar den lokala e-postorganisationen. Meddelanden som skickas mellan interna lokala mottagare genomsöks inte efter skadlig kod. Du kan dock använda de inbyggda funktionerna för skanning av skadlig kod i Exchange Server. Mer information finns i Skydd mot skadlig kod i Exchange Server.
Har heuristisk genomsökning aktiverats för alla anti-malware-motorer som används av tjänsten?
Ja. Heuristisk genomsökning av både känd (signaturmatchning) och okänd (misstänkt) skadlig kod.
Kan tjänsten genomsöka komprimerade filer (till exempel .zip filer)?
Ja. Motorerna mot skadlig kod kan öka detaljnivån för komprimerade filer (arkivfiler).
Har den komprimerade genomsökningen av bifogade filer stöd för rekursiv (.zip inom en .zip inom en .zip) och i så fall hur djupt går det?
Ja, rekursiv genomsökning av komprimerade filer genomsöker många lager djupt.
Fungerar tjänsten med äldre Exchange-versioner och icke-Exchange-miljöer?
Ja, tjänsten är serveragnostisk.
Vad är ett nolldagarsvirus och hur hanteras det av tjänsten?
Ett nolldagarsvirus är en första generation, tidigare okänd variant av skadlig kod som aldrig har fångats eller analyserats.
När ett nolldagars virusexempel har registrerats och analyserats av våra motorer mot skadlig kod skapas en definition och en unik signatur för att identifiera den skadliga koden.
När det finns en definition eller signatur för den skadliga koden betraktas den inte längre som nolldagar.
Hur konfigurerar jag tjänsten för att blockera specifika körbara filer (till exempel \*.exe) som jag är rädd kan innehålla skadlig kod?
Du kan aktivera och konfigurera det vanliga filtret för bifogade filer (kallas även blockering av gemensamma bifogade filer) enligt beskrivningen i Vanliga bifogade filer i principer för skydd mot skadlig kod.
Du kan också skapa en Flödesregel för Exchange-e-post (kallas även transportregel) som blockerar alla e-postbilagor som har körbart innehåll.
Följ stegen i How to reduce malware threats through file attachment blocking in Exchange Online Protection to block the file types listed in Supported file types for mail flow rule content inspection in Exchange Online.
För ökat skydd rekommenderar vi även att du använder filnamnstillägget Alla bifogade filer innehåller dessa ord i e-postflödesregler för att blockera vissa eller alla av följande tillägg: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Varför kom en specifik skadlig kod förbi filtren?
Den skadliga kod som du har fått är en ny variant (se Vad är ett nolldagarsvirus och hur hanteras det av tjänsten?). Den tid det tar för en definitionsuppdatering av skadlig kod är beroende av våra partner för skydd mot skadlig kod.
Kom ihåg att ingen inställning som kan konfigureras av användare eller administratörer kan undanta e-postbilagor från att genomsökas av skydd mot skadlig kod.
Hur skickar jag skadlig kod som tog mig förbi filtren till Microsoft? Hur kan jag också skicka in en fil som jag tror har identifierats felaktigt som skadlig kod?
Jag fick ett e-postmeddelande med en okänd bifogad fil. Är den här skadliga koden eller kan jag bortse från den här bifogade filen?
Vi rekommenderar starkt att du inte öppnar några bifogade filer som du inte känner igen. Om du vill att vi undersöker den bifogade filen rapporterar du filen till Microsoft.
Var kan jag få meddelanden som har tagits bort av filter för skadlig kod?
Meddelandena innehåller aktiv skadlig kod och därför tillåter vi inte åtkomst till dessa meddelanden. De tas bort oceremoniellt.
Jag kan inte ta emot en specifik bifogad fil eftersom den felaktigt identifieras som skadlig kod. Kan jag tillåta den här bifogade filen via e-postflödesregler?
Nej. Du kan inte använda exchange-e-postflödesregler för att hoppa över filtrering av skadlig kod. Det enda sättet att hoppa över filtrering av skadlig kod för en mottagare är att identifiera postlådan som en SecOps-postlåda. Mer information finns i Använda Microsoft Defender-portalen för att konfigurera SecOps-postlådor i den avancerade leveransprincipen.
Kan jag få rapporteringsdata om identifiering av skadlig kod?
Ja, du kan komma åt rapporter i Microsoft Defender-portalen. Mer information finns i Visa säkerhetsrapporter för e-post i Microsoft Defender-portalen.
Finns det något verktyg som jag kan använda för att följa ett meddelande om att skadlig kod har identifierats via tjänsten?
Ja, med verktyget för meddelandespårning kan du följa e-postmeddelanden när de passerar genom tjänsten. Mer information om hur du använder verktyget för meddelandespårning för att ta reda på varför ett meddelande har identifierats innehålla skadlig kod finns i Meddelandespårning i det moderna administrationscentret för Exchange.
Kan jag använda en tredjepartsleverantör för skräppostskydd och skydd mot skadlig kod med Exchange Online?
Ja. I de flesta fall rekommenderar vi att du pekar dina MX-poster på (dvs. levererar e-post direkt till) EOP. Om du behöver dirigera din e-post någon annanstans först måste du aktivera utökad filtrering för anslutningsappar så att EOP kan använda den sanna meddelandekällan i filtreringsbeslut.
Undersöks skräppost- och skadlig kodmeddelanden om vem som skickade dem eller överförs till brottsbekämpande enheter?
Tjänsten fokuserar på identifiering och borttagning av skräppost och skadlig kod, även om vi ibland kan undersöka särskilt farliga eller skadliga skräppost- eller attackkampanjer och förfölja förövarna.
Vi arbetar ofta med våra juridiska och digitala brottsenheter för att vidta följande åtgärder:
- Ta ned ett botnät för skräppost.
- Blockera en angripare från att använda tjänsten.
- Vidarebefordra informationen till polisen för åtal.