提示
你知道你可以免費試用 Microsoft Defender for Office 365 Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 Defender for Office 365 的 90 天試用版。 了解誰可以註冊並試用 Microsoft Defender for Office 365。
在所有擁有雲端信箱的組織中,零時自動清除 (ZAP) 能追溯偵測並中和送達雲端信箱的惡意釣魚、垃圾郵件或惡意郵件。 ZAP 無法在由 Microsoft 365 保護的本地郵箱中運作。
注意事項
ZAP 也能追溯偵測 Microsoft Teams 中現有的惡意聊天訊息。
該服務中的垃圾郵件與惡意軟體簽名每日即時更新。 然而,使用者仍可能收到惡意訊息。 例如:
- 零時差惡意軟體在郵件流程中無法被偵測。
- 內容在交付給用戶後被武器化。
ZAP 透過持續監控垃圾郵件與惡意軟體簽章更新來解決這些問題,對使用者來說非常順暢。 ZAP 會自動尋找並對已在使用者信箱中的郵件採取行動。 ZAP 的搜尋僅限於過去 48 小時已送達的電子郵件。 用戶不會收到 ZAP 偵測並移動訊息的通知。
觀看這支短片,了解 Microsoft Defender for Office 365 中的 ZAP 如何自動偵測並消除電子郵件中的威脅。
零時自動清除 (ZAP) 郵件
零時自動清除 (ZAP惡意軟體)
對於在送達後發現含有惡意軟體的 已讀或未讀訊息 ,ZAP 會隔離包含惡意軟體附件的訊息。 根據預設,只有系統管理員才能檢視和管理隔離的惡意程式碼郵件。 但管理員可以建立並使用 隔離政策 ,定義使用者對隔離郵件的權限,以及是否會收到隔離通知。 欲了解更多資訊,請參閱 隔離政策的解剖。
注意事項
使用者無法將自己被隔離為惡意軟體的訊息公開,無論隔離政策如何設定。 若政策設定為使用者釋放這些隔離訊息,使用者則可 請求 釋放這些隔離訊息。
適用於惡意程式碼的 ZAP 在反惡意程式碼原則中預設啟用。 如需詳細資訊,請參閱設定反惡意程式碼原則。
零時自動清除 (ZAP) 釣魚
對於已 讀或未讀訊息 在送達後被識別為 釣魚, (非 高信心的釣魚) ,ZAP 結果取決於適用的反垃圾郵件政策中為 釣魚判定 所設定的行動。 可用行動及可能的 ZAP 結果如下列表:
新增 X 標頭, 主旨行前加上文字, 將訊息重新導向電子郵件地址, 刪除訊息:ZAP 對該訊息不採取任何行動。
將訊息移到垃圾郵件(Junk Email):ZAP 會將郵件移到 Junk Email 資料夾。
這個動作是你在 PowerShell 中建立的預設反垃圾郵件政策和自訂反垃圾郵件政策 中,對 釣魚判定的預設結果。
隔離訊息:ZAP 會隔離訊息。
此動作是 Standard 與 Strict 預設安全政策中,以及您在 Defender 入口網站自訂反垃圾郵件政策中,對釣魚行為的預設判定。
預設情況下,反垃圾郵件政策中啟用了針對釣魚的 ZAP。
欲了解更多關於設定垃圾郵件過濾判決的資訊,請參閱 「配置反垃圾郵件政策」。
零時自動清除 (ZAP) 用於高信心網路釣魚
對於已 讀或未讀訊息 ,若在送達後被認定為 高信心網路釣魚, ZAP 會將該訊息隔離。 預設情況下,只有管理員能查看和管理隔離的高信心網路釣魚郵件。 但管理員可以建立並使用 隔離政策 ,定義使用者對隔離郵件的權限,以及是否會收到隔離通知。 欲了解更多資訊,請參閱 隔離政策的解剖。
注意事項
用戶無法將自己被隔離的訊息公開為高信心網路釣魚,無論隔離政策如何設定。 若政策設定為使用者釋放這些隔離訊息,使用者則可 請求 釋放這些隔離訊息。
高信心網路釣魚的 ZAP 預設已啟用。 更多資訊請參閱 Office 365 的預設安全機制。
零時自動清除 (垃圾郵件的ZAP)
對於未 讀訊息 在送達後被識別為 垃圾 郵件或 高信心垃圾郵件 ,ZAP 結果取決於適用的反垃圾郵件政策中為 垃圾 郵件或 高信心垃圾 郵件判決所設定的行動。 可用行動及可能的 ZAP 結果如下列表:
新增 X 標頭, 主旨行前加上文字, 將訊息重新導向電子郵件地址, 刪除訊息:ZAP 對該訊息不採取任何行動。
將訊息移到垃圾郵件(Junk Email):ZAP 會將郵件移到 Junk Email 資料夾。
對於垃圾郵件判定,此動作是預設反垃圾郵件政策、新自訂反垃圾郵件政策及 Standard 預設安全政策中的預設動作。
對於 高信心垃圾郵件 判決,此動作是預設反垃圾郵件政策及新自訂反垃圾郵件政策的預設。
隔離訊息:ZAP 會隔離訊息。
對於 垃圾郵件 判決,此動作是 嚴格預設安全政策中的預設。
對於高信心垃圾郵件判決,此動作是 Standard 與 Strict 預設安全政策的預設。
預設情況下,使用者可以查看並管理被隔離為垃圾郵件或高信心垃圾郵件的郵件,而他們是收件人。 但管理員可以建立並使用 隔離政策 ,定義使用者對隔離郵件的權限,以及是否會收到隔離通知。 欲了解更多資訊,請參閱 隔離政策的解剖。
預設情況下,反垃圾郵件政策中啟用了垃圾郵件的 ZAP。
欲了解更多關於設定垃圾郵件過濾判決的資訊,請參閱 「配置反垃圾郵件政策」。
如何查看 ZAP 是否已移動您的郵件
若要確定 ZAP 是否移動了您的郵件,您有以下選項:
- 郵件數量:在郵件流狀態報告中使用郵件流檢視,查看指定日期範圍內受 ZAP 影響的郵件數量。
- 訊息詳情:使用 Threat Explorer 在「所有郵件」標籤中,依附加行動欄位的 ZAP 值來篩選事件。
注意事項
ZAP 未作為系統動作記錄在 Exchange 信箱稽核記錄中。
零時自動清除 (ZAP) Microsoft Defender安全附件的考量,為Office 365
ZAP 不會隔離正在安全附件政策掃描中動態 傳遞 的訊息。 若以下兩種陳述皆為真,ZAP 會回復為 「移至垃圾 」動作:
- 在動態傳遞過程中會收到釣魚或垃圾郵件訊號。
- 反垃圾郵件政策的判決對訊息採取了一些行動, (「移至垃圾郵件」、「重定向」、「刪除」或「隔離) 」。
Microsoft Teams 中的零時自動清除 (ZAP)
提示
ZAP for Microsoft Teams 可在 Defender for Office 365 Plan 1 或 Plan 2 中提供 (包含或作為附加) 購買。 若要設定 ZAP 以保護 Teams,請參見 Microsoft Defender for Office 365 對 Microsoft Teams 的支援。
目前,Microsoft Teams 的 ZAP 尚未在 Microsoft 365 GCC、GCC High 或 DoD 中提供。
Teams 聊天中的 ZAP
ZAP 可用於 Teams 聊天中被識別為惡意軟體或高信心釣魚的內部訊息。 目前,外部訊息不被支援。
Teams 和電子郵件不同,因為 Teams 聊天裡的每個人都會同時收到同一則訊息, (沒有訊息分) 。 當 ZAP for Teams 保護封鎖訊息時,該訊息會被封鎖給聊天室中的所有人。 初始封鎖發生在交付後,但 ZAP 則會在交付後 48 小時內進行。
Teams 聊天中 ZAP 保護的排除對訊息 接收者來說很重要,而非寄 件人。 若要設定 Teams 聊天的例外,請參閱 Defender for Office 365 中設定 ZAP for Teams 保護。
ZAP for Teams 保護能對 聊天中所有 收件人的訊息採取行動,前提是聊天中 沒有 任何收件人被排除在 ZAP for Teams 保護之外。 只有當聊天中 所有 收件人都被排除在 ZAP 保護之外以保護 Teams 時,ZAP 才不會對訊息採取行動。 這些情境如下表所示:
| 案例 | 結果 |
|---|---|
| 與收件人 A、B、C、D 群組聊天。 接收者 A、B、C 和 D 在 ZAP 中被排除,以保護 Teams 的安全性。 |
ZAP 不會封鎖發送到群組聊天的訊息。 |
| 與收件人 A、B、C、D 群組聊天。 為了 Teams 保護,只有接收者 A、B 和 C 會被排除在 ZAP 之外。 |
ZAP 能夠封鎖所有收件人發送到群組聊天的訊息。 |
| 與收件人 A、B、C、D 群組聊天。 接收者 A、B、C 和 D 不會被排除在 ZAP 之外以保護 Teams 的保護。 為了 Teams 保護,寄件人 X 被排除在 ZAP 之外,並會向群組聊天發送訊息。 |
ZAP 能夠封鎖所有收件人發送到群組聊天的訊息。 |
發送者視角:
收件人觀點:
Teams 頻道中的 ZAP
ZAP for Teams 保護支援以下類型的 Teams 頻道:
- Standard 通道:ZAP 可用於內部訊息。 目前,外部訊息不被支援。
- 共享通道:ZAP 可用於內部與外部訊息。
目前,ZAP 尚未在私人頻道提供。
要為 Teams 頻道設定 ZAP 保護的例外,你需要收件人的電子郵件地址。 這個地址和 Teams 用戶端的頻道電子郵件地址不同。
要取得收件人電子郵件地址以用於 Teams 頻道保護的例外,請使用 Teams 訊息實體面板中頻道詳情區塊的名稱與電子郵件值。 欲了解更多資訊,請參閱 Microsoft Defender for Office 365 中的 Teams 訊息實體面板。
要設定 Teams 頻道的例外,請參閱 Defender for Office 365 中的 ZAP 以保護 Teams。
零時自動清除 (ZAP) 用於 Teams 中高信心的釣魚訊息
對於在傳送後被認定為高信心網路釣魚的訊息,ZAP for Teams 保護會封鎖並隔離該訊息。 要設定用於 ZAP for Teams 高信心網路釣魚偵測的隔離政策,請參見 Microsoft Defender for Office 365 支援 Microsoft Teams。
Teams 訊息中惡意軟體的零時自動清除 (ZAP)
對於被識別為惡意軟體的訊息,ZAP for Teams 保護會封鎖並隔離該訊息。 要設定 ZAP for Teams 中用於惡意軟體偵測的隔離政策,請參見 Microsoft Defender for Office 365 支援 Microsoft Teams。
如何查看 ZAP 是否封鎖了 Teams 訊息
目前,只有管理員能查看和管理被 ZAP 隔離以保護 Teams 的訊息。 欲了解更多資訊,請參閱使用 Microsoft Defender 入口網站管理 Microsoft Teams 隔離訊息。
零時自動清除 (ZAP) 常見問題
如果 ZAP 將合法訊息移到 Junk Email 資料夾會怎樣?
請依照正常 流程向 Microsoft 回報誤報。 只有當服務判定郵件是垃圾郵件或惡意時,ZAP 才會將郵件從收件匣資料夾移到垃圾郵件Email資料夾。
如果我用隔離資料夾而不是垃圾郵件資料夾呢?
ZAP 根據本文前述的反垃圾郵件政策配置,對訊息採取行動。
ZAP 會受到雲端郵箱和 Defender for Office 365 預設電子郵件保護例外的影響嗎?
以下功能可能會覆蓋 ZAP 的動作:
- 允許名單
- 交換郵件流程規則 (傳輸規則)
對於惡意軟體及高信心網路釣魚的判斷,ZAP 不對訊息採取行動的情況很少:
- 高信心網路釣魚) (進階傳遞政策中規定的非Microsoft釣魚模擬網址。
- 先進投遞政策中指定的安全運營信箱 (惡意軟體及高信心的釣魚) 。
- 你Microsoft 365 網域的 MX 紀錄指向其他服務或裝置,並使用郵件流規則繞過高信度 (的垃圾郵件 過濾) 。
- 管理員向 Microsoft 提交的誤報。 預設情況下,網域、電子郵件地址、檔案和網址的允許條目為30天, (惡意軟體和高信心的釣魚) 。
你必須仔細考慮繞過過濾的影響,因為這可能會危及組織的安全防護。
ZAP 的執照要求是什麼?
ZAP 對於惡意軟體、垃圾郵件和釣魚攻擊沒有特別的授權要求。 ZAP 適用於所有託管在 Exchange Online 的信箱。 ZAP 無法在受 Microsoft 365 保護的本地郵箱中運作。
ZAP for Teams 保護需要 Microsoft 365 E5 或 Microsoft Defender for Office 365 Plan 2 授權。
ZAP 是否能處理信箱中其他資料夾的郵件 (例如,收件匣規則) 移動的郵件?
ZAP 可以在以下情境下對其他資料夾中的訊息採取行動:
- 訊息沒有被刪除。
- 同樣或更強的動作尚未被應用。 例如,訊息在垃圾郵件(Junk Email)資料夾中,動作是隔離(Quarantine)。 ZAP 隔離郵件。
ZAP 會如何影響等待中的信箱?
ZAP 會隔離等待郵件信箱的訊息。 ZAP 可以根據反垃圾郵件或釣魚政策中對垃圾郵件或釣魚的判定,將郵件移至垃圾郵件Email資料夾。
欲了解更多關於 Exchange Online 中凍結的資訊,請參閱 Exchange Online 中的原地保留與訴訟暫停。