Безопасные вложения в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Безопасные вложения в Microsoft Defender для Office 365 обеспечивают дополнительный уровень защиты для вложений электронной почты, которые уже были проверены защитой от вредоносных программ. В частности, безопасные вложения используют виртуальную среду для проверка вложений в сообщениях электронной почты для вредоносных вложений (например, вредоносных программ, программ-шантажистов и фишинга) перед их доставкой получателям (процесс, известный как детонация).

Совет

Как правило, проверка вложений электронной почты завершается в течение 15 минут. Иногда это занимает больше времени из-за задержек повтора и времени обработки для анализа файла в виртуальной среде.

Защита с помощью "Безопасных вложений" для сообщений электронной почты контролируется политиками "Безопасных вложений". Хотя политика безопасных вложений по умолчанию отсутствует, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей (пользователей, которые не определены в Standard или строгих предустановленных политиках безопасности или в пользовательских политиках безопасных вложений). Дополнительные сведения см. в разделе Предустановленные политики безопасности. Вы также можете создавать политики безопасных вложений, применяемые к определенным пользователям, группам или доменам. Инструкции см. в статье Настройка политик безопасных вложений в Microsoft Defender для Office 365.

В следующей таблице описаны сценарии для функции «Безопасные вложения» в организациях Microsoft 365 и Office 365, использующих Microsoft Defender для Office 365 (другими словами, в этих примерах отсутствие лицензии никогда не является проблемой).

Сценарий Результат
В организации Петра Microsoft 365 E5 не настроены политики безопасных вложений. Пользователь Pat защищен функцией Safe Attachments благодаря предустановленной политике безопасности Built-in protection, которая применяется ко всем получателям, для которых не настроены другие политики Safe Attachments.
В организации Ли действует политика «Безопасные вложения», которая применяется только к сотрудникам финансового отдела. Леонид является сотрудником отдела продаж. Ли и остальные сотрудники отдела продаж защищены функцией Safe Attachments благодаря предустановленной политике безопасности Встроенная защита, которая применяется ко всем получателям, для которых не настроены другие политики Safe Attachments.
Вчера администратор в организации Жана создал политику безопасных вложений, которая распространяется на всех сотрудников. Ранее сегодня Диана получила сообщение электронной почты с вложением. Жан защищен функцией «Безопасные вложения» благодаря этой настраиваемой политике «Безопасные вложения».

Обычно для вступления новой политики в силу требуется около 30 минут.
В организации Криса уже давно действуют политики Safe Attachments для всех сотрудников организации. Костя получает сообщение электронной почты с вложением, а затем пересылает сообщение внешним получателям. Крис защищён с помощью Safe Attachments.

Если внешние получатели находятся в организации Microsoft 365, переадресованные сообщения также защищены безопасными вложениями.

Сканирование функцией «Безопасные вложения» выполняется в том же регионе, в котором хранятся ваши данные Microsoft 365. Дополнительные сведения о географическом расположении центра обработки данных см. в разделе Где находятся данные?

Примечание.

Следующие функции находятся в глобальных параметрах политик безопасных вложений на портале Microsoft Defender. Но эти параметры включены или отключены глобально и не требуют политик безопасных вложений:

Совет

В дополнение к этой статье ознакомьтесь с руководством по настройке Microsoft Defender для Office 365, чтобы ознакомиться с рекомендациями и защититься от угроз электронной почты, ссылок и совместной работы. Функции включают безопасные ссылки, безопасные вложения и многое другое. Для индивидуальной настройки с учетом вашей среды вы можете открыть руководство по автоматизированной настройке Microsoft Defender для Office 365 в центре администрирования Microsoft 365.

Параметры политики безопасных вложений

В этом разделе описаны параметры политик безопасных вложений:

  • Фильтры получателей: условия и исключения для идентификации внутренних получателей, к которым применяется политика. Требуется по крайней мере одно условие. Для условий и исключений можно использовать следующие фильтры получателей:

    • Пользователи: один или несколько почтовых ящиков или почтовых пользователей в организации.
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанные группы Microsoft 365 (группы с динамическим членством в Microsoft Entra ID не поддерживаются).
    • Домены: один или несколько настроенных обслуживаемых доменов в Microsoft 365. Основной адрес электронной почты получателя находится в указанном домене.

    Условие или исключение можно использовать только один раз, но условие или исключение могут содержать несколько значений:

    • Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):

      • Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
      • Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.
    • Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

    • Пользователи: romain@contoso.com

    • Группы: руководители

      Политика применяется к нему romain@contoso.comтолько, если он также является членом группы «Руководители». В противном случае политика к нему не применяется.

  • Действие Safe Attachments для неизвестного вредоносного ПО: этот параметр определяет действие при сканировании вложений в сообщениях электронной почты на наличие угроз с помощью Safe Attachments. Доступные варианты описаны в следующей таблице:

    Вариант Эффект Используйте, когда хотите:
    Выкл. Вложения не проверяются на наличие угроз безопасными вложениями (например, вредоносных программ, программ-шантажистов и фишинга). Сообщения по-прежнему проверяются на наличие вредоносных программ с помощью защиты от вредоносных программ. Отключить сканирование для выбранных получателей.

    Предотвратить ненужные задержки при маршрутизации внутренней почты.

    Этот параметр не рекомендуется для большинства пользователей. Этот параметр следует использовать только для отключения сканирования безопасных вложений для получателей, получающих сообщения только от доверенных отправителей. ZAP не помещает сообщения в карантин, если безопасные вложения отключены и сигнал об угрозе не получен. Подробнее см. в разделе Автоматическая очистка нулевого часа.
    Мониторинг Доставляет сообщения с вложениями, а затем отслеживает, что происходит с обнаруженными угрозами.

    Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.
    Узнайте, куда отправляются обнаруженные сообщения в вашей организации.
    Блокировка Предотвращает доставку сообщений с обнаруженными вложениями.

    Сообщения помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, выпускать или удалять сообщения.¹

    Автоматически блокирует последующие сообщения и вложения.

    Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.
    Защищает вашу организацию от повторных атак с использованием тех же вложений.

    Это значение является значением по умолчанию и рекомендуемым значением в Standard и строгих предустановленных политиках безопасности.
    Динамическая доставка Немедленно доставляет сообщения, но заменяет вложения заполнителями до завершения сканирования безопасных вложений.

    Сообщения, содержащие вредоносные вложения, помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, выпускать или удалять сообщения.¹

    Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений далее в этой статье.
    Избегайте задержек сообщений, защищая получателей от вредоносных файлов.

    ¹ Политики карантина определяют, что пользователи могут делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина. Пользователи не могут освобождать из карантина собственные сообщения, помещенные в карантин Safe Attachments как содержащие вредоносное ПО или фишинг, независимо от того, как настроена политика карантина. Если политика настроена так, что пользователи должны выпускать эти помещенные в карантин сообщения, то вместо этого им разрешается запрашивать их выпуск из карантина.

  • Перенаправление сообщений с обнаруженными вложениями. Включите перенаправление и Отправка сообщений, содержащих отслеживаемые вложения, на указанный адрес электронной почты. Только для действия Мониторинг отправляйте сообщения, содержащие обнаруженные вложения, на указанный внутренний или внешний адрес электронной почты для анализа и исследования.

    Для стандартных и строгих параметров политики рекомендуется включить перенаправление. Дополнительные сведения см. в статье Параметры безопасных вложений.

  • Приоритет. При создании нескольких политик можно указать порядок их применения. Две политики не могут иметь одинаковый приоритет, и обработка политик останавливается после применения первой политики (политика с наивысшим приоритетом для этого получателя).

    Дополнительные сведения о приоритетах, а также оценке и применении нескольких политик см. в статье Порядок и приоритет защиты электронной почты.

Динамическая доставка в политиках функции "Безопасные вложения"

Примечание.

Динамическая доставка работает только для Exchange Online почтовых ящиков.

Действие Динамической доставки в политиках безопасных вложений позволяет устранить все задержки доставки электронной почты, которые могут быть вызваны проверкой безопасных вложений. Основной текст сообщения электронной почты доставляется получателю с местозаполнителем для каждого вложения. Заполнитель отображается до тех пор, пока не будет подтверждено, что вложение безопасно, после чего вложение можно будет открыть или скачать.

Если вложение является вредоносным, сообщение помещается в карантин.

Большинство PDF-файлов и документов Office можно просмотреть в безопасном режиме во время сканирования безопасных вложений. Если вложение несовместимо со средством предварительного просмотра Dynamic Delivery, получатели видят местозаполнитель вложения до завершения проверки Safe Attachments.

Если вы используете мобильное устройство и PDF-файлы не отображаются в средстве предварительного просмотра динамической доставки на мобильном устройстве, попробуйте открыть сообщение в Outlook в Интернете (ранее — Outlook Web App) с помощью мобильного браузера.

Ниже приведены некоторые соображения относительно динамической доставки и пересылаемых сообщений.

  • Если получатель, которому было переслано сообщение, защищен политикой «Безопасные вложения», в которой используется параметр «Динамическая доставка», он видит заполнитель и может предварительно просматривать совместимые файлы.
  • Если перенаправленный получатель не защищен политикой безопасных вложений, сообщение и вложения доставляются без проверки безопасных вложений или заполнителей вложений.

Существуют сценарии, в которых динамическая доставка не может заменить вложения в сообщениях. Это происходит в описанных ниже случаях.

  • Сообщения в общедоступных папках.
  • Сообщения, которые перенаправляются из почтового ящика пользователя и затем обратно в него с помощью пользовательских правил.
  • Сообщения, которые перемещаются (автоматически или вручную) из облачных почтовых ящиков в другие расположения, включая архивные папки.
  • Правила папки "Входящие" перемещают сообщение из папки "Входящие" в другую папку.
  • Удаленные сообщения.
  • Папка поиска почтового ящика пользователя находится в состоянии ошибки.
  • Организации Exchange Online с включенным Exclaimer. Чтобы устранить эту проблему, см. KB4014438.
  • S/MIME) зашифрованные сообщения.
  • Вы настроили действие Динамической доставки в политике безопасных вложений, но получатель не поддерживает динамическую доставку (например, получатель является почтовым ящиком в локальной организации Exchange). Однако безопасные ссылки в Microsoft Defender для Office 365 могут проверять вложения файлов Office, содержащие URL-адреса (если проверка безопасных ссылок для приложений Office включена в соответствующей политике безопасных ссылок).

Отправка файлов для анализа