EOP 中的反恶意软件保护
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
无论在 Exchange Online 中拥有邮箱的 Microsoft 365 组织中,还是没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中,EOP 都会自动保护电子邮件免受恶意软件威胁。 恶意软件的一些主要类别包括:
- 感染其他程序和数据的病毒,并通过计算机或网络传播,寻找要感染的程序。
- 收集 个人信息(如登录信息和个人数据)并将其发送回作者的间谍软件。
- 勒索软件,加密你的数据并要求付款进行解密。 反恶意软件不会帮助你解密加密的文件,但它可以检测与勒索软件关联的恶意软件有效负载。
EOP 提供多层恶意软件保护,旨在捕获 Windows、Linux 和 Mac 中传入或传出组织的所有已知恶意软件。 以下选项帮助提供反恶意软件保护:
- 针对恶意软件的分层防御:反恶意软件扫描有助于防范已知和未知威胁。 Microsoft的反恶意软件包括强大的启发式检测,即使在恶意软件爆发的早期阶段也能提供保护。
- 实时威胁响应:在某些爆发期间,反恶意软件团队可能有足够的关于病毒或其他形式的恶意软件的信息,以编写复杂的策略规则来检测威胁,即使在定义可用之前也是如此。 这些规则每两个小时就向全球网络发布一次,以向组织提供防止攻击的额外保护层。
- 快速反恶意软件定义部署:反恶意软件团队可以在恶意软件定义和修补程序公开发布之前接收和集成这些定义和修补程序。
在 EOP 中,将隔离*发现在任何附件中包含恶意软件的邮件。 收件人是否可以查看隔离邮件或与之交互,由 隔离策略控制。 默认情况下,由于恶意软件而被隔离的邮件只能由管理员查看和释放。 无论管理员配置的任何可用设置,用户都无法释放自己的隔离恶意软件邮件。 有关详细信息,请参阅以下文章:
* 在高级传递策略中标识的 SecOps 邮箱上跳过恶意软件筛选。 有关详细信息,请参阅 为第三方网络钓鱼模拟配置高级传递策略和将电子邮件传递到 SecOps 邮箱。
反恶意软件策略还包含 常见的附件筛选器。 包含指定文件类型的消息 会自动 标识为恶意软件。 有关详细信息,请参阅本文后面的 反恶意软件策略中的常见附件筛选器 部分。
有关反恶意软件保护的详细信息,请参阅 反恶意软件保护常见问题解答。
若要配置默认反恶意软件策略,以及创建、修改和删除自定义反恶意软件策略,请参阅 配置反恶意软件策略。 在“标准”和 “严格”预设安全策略中,反恶意软件策略设置已配置且不可修改,如 EOP 反恶意软件策略设置中所述。
提示
如果不同意恶意软件判决,可以将邮件附件报告给Microsoft,将其报告为误报 (标记为坏) 的良好附件或) 允许 (错误的附件。 有关详细信息,请参阅如何实现向Microsoft报告可疑电子邮件或文件?。
反恶意软件策略
反恶意软件策略控制恶意软件检测的可配置设置和通知选项。 以下小节介绍了反恶意软件策略中的重要设置。
反恶意软件策略中的收件人筛选器
收件人筛选器使用条件和例外来标识应用策略的内部收件人。 自定义策略中至少需要一个条件。 条件和例外在默认策略中不可用, (默认策略应用于) 的所有收件人。 对于条件和例外,可以使用以下收件人筛选器:
- 用户:组织中的一个或多个邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。
只能使用一次条件或异常,但条件或异常可以包含多个值:
相同条件或异常的多个值使用 OR 逻辑 (,例如 recipient1<> 或 <recipient2>) :
- 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
- 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。
不同类型的异常使用 OR 逻辑 (例如,<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
反恶意软件策略中的常见附件筛选
某些类型的文件确实不应通过电子邮件发送 (例如可执行文件) 。 当应该阻止所有这些文件时,为什么要费心扫描这些类型的恶意软件? 这就是常见附件筛选器的用武之地。 指定的文件类型会自动标识为恶意软件。
默认文件类型列表用于默认反恶意软件策略、创建的自定义反恶意软件策略以及标准和严格 预设安全策略中的反恶意软件策略。
在 Microsoft Defender 门户中,可以在Microsoft Defender门户中创建或修改反恶意软件策略时,从其他文件类型列表中选择或添加自己的值。
默认文件类型:
ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z
。在 Defender 门户中选择的其他文件类型:
7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx
。
当常见附件筛选器检测到文件时,可以选择 拒绝具有未送达报告的邮件, (NDR) 或 隔离邮件。
常见附件筛选器中的 True 类型匹配
常见附件筛选器使用最大努力的 true 类型匹配来检测文件类型,而不考虑文件扩展名。 True 类型匹配使用文件特征来确定实际文件类型 (例如文件) 中的前导字节和尾随字节。 例如,如果使用 exe
文件扩展名重命名 txt
文件,则常见附件筛选器会将该文件检测为 exe
文件。
常见附件筛选器中的 True 类型匹配支持以下文件类型:
7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo
如果 true 类型匹配失败或文件类型不支持,则使用简单扩展匹配。
反恶意软件策略中的零小时自动清除 (ZAP)
ZAP for malware 隔离在传递到Exchange Online邮箱后发现包含恶意软件的邮件。 默认情况下,“恶意软件的 ZAP”处于打开状态,建议将其保留为打开状态。 有关详细信息,请参阅 恶意软件的零小时自动清除 (ZAP) 。
反恶意软件策略中的隔离策略
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 默认情况下,收件人不会收到已隔离为恶意软件的邮件的通知,并且无论管理员配置的任何可用设置,用户都无法释放自己的隔离恶意软件邮件。 有关详细信息,请参阅 隔离策略剖析。
反恶意软件策略中的管理员通知
可以指定其他收件人 (管理员) 接收来自内部或外部发件人的邮件中检测到的恶意软件的通知。 可以为内部和外部通知自定义 发件人地址、 主题和 消息文本 。
默认情况下,这些设置未在默认反恶意软件策略中配置,也不会在标准或严格 预设安全策略中配置。
提示
仅为归类为恶意软件的附件发送管理员通知。
分配给反恶意软件策略的隔离策略确定收件人是否接收被隔离为恶意软件的邮件电子邮件通知。
反恶意软件策略的优先级
如果 启用,则会先应用标准和严格预设安全策略,然后再应用任何自定义反恶意软件策略或默认策略 (严格始终首先) 。 如果创建多个自定义反恶意软件策略,可以指定它们的应用顺序。 策略处理在应用第一个策略后停止, (该收件人) 的最高优先级策略。
有关优先级顺序以及如何评估多个策略的详细信息,请参阅 电子邮件保护的顺序和优先级 和 预设安全策略和其他策略的优先级顺序。
默认反恶意软件策略
每个组织都有一个名为 Default 的内置反恶意软件策略,该策略具有以下属性:
- 该策略是默认策略(IsDefault 属性的值为
True
),你无法删除默认策略。 - 该策略会自动应用于组织中的所有收件人,你无法将其关闭。
- 策略始终在最后应用 (优先级 值为 “最低 ”且无法) 更改它。