Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Во всех организациях с облачными почтовыми ящиками функция автоматической очистки нулевого часа (ZAP) ретроспективно обнаруживает и нейтрализует вредоносные фишинговые сообщения, спам или сообщения, содержащие вредоносное ПО, которые были доставлены в облачные почтовые ящики. ZAP не работает в локальных почтовых ящиках, защищенных Microsoft 365. ZAP также обрабатывает сообщения в папке «Удаленные элементы», используя те же действия, настроенные для каждого вердикта в политиках защиты от нежелательной почты, фишинга и вредоносных программ.

Примечание.

ZAP также может задним числом обнаруживать существующие вредоносные сообщения чата в Microsoft Teams.

Сигнатуры спама и вредоносных программ в службе обновляются ежедневно в режиме реального времени. Однако пользователи по-прежнему могут получать вредоносные сообщения. Например, вы можете:

  • Вредоносные программы нулевого дня, которые не были обнаружены во время потока обработки почты.
  • Контент был использован в качестве оружия после доставки пользователям.

РЕШЕНИЕ ZAP решает эти проблемы путем постоянного мониторинга спама и обновлений сигнатур вредоносных программ в службе и обеспечивает удобство работы пользователей. ZAP находит и выполняет автоматические действия с сообщениями, которые уже находятся в почтовом ящике пользователя. Поиск ZAP ограничен последними 48 часами доставки электронной почты. Пользователи не получают уведомления, если ZAP обнаруживает и перемещает сообщение.

Посмотрите это короткое видео, чтобы узнать, как ZAP в Microsoft Defender для Office 365 автоматически обнаруживает и нейтрализует угрозы в электронной почте.

Автоматическая очистка (ZAP) для сообщений электронной почты за нулевой час

Автоматическое удаление вредоносного ПО в режиме нулевого часа (ZAP)

Для прочитанных или непрочитанных сообщений, в которых после доставки было обнаружено вредоносное ПО, ZAP помещает в карантин сообщение, содержащее вредоносное вложение. По умолчанию только администраторы могут просматривать сообщения о вредоносном ПО, помещенные в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Примечание.

Получатели не могут выпускать сообщения, помещенные в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика карантина позволяет получателям выпускать сообщения, они могут запрашивать только выпуск сообщений, помещенных в карантин как вредоносные программы.

ZAP для вредоносных программ включен по умолчанию в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ.

Автоматическая очистка нулевого часа (ZAP) для фишинга

Для прочитанных или непрочитанных сообщений, классифицированных как фишинг после доставки (но не как фишинг с высокой степенью достоверности), результат ZAP зависит от действия, настроенного для вердикта Фишинг в применяемой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:

  • Добавить X-Header, Добавить текст в начало строки темы, Перенаправить сообщение на адрес электронной почты, Удалить сообщение: ZAP не выполняет никаких действий с сообщением.

  • Переместить сообщение в папку «Нежелательная почта»: ZAP перемещает сообщение в папку «Нежелательная почта».

    Это действие используется по умолчанию для вердикта Phishing в политике защиты от нежелательной почты по умолчанию и в настраиваемых политиках защиты от нежелательной почты, которые создаются в PowerShell.

  • Сообщение карантина: ZAP помещает сообщение в карантин.

    Это действие используется по умолчанию для вердикта «Фишинг» в предустановленных политиках безопасности Standard и Strict, а также в созданных вами на портале Defender настраиваемых политиках защиты от нежелательной почты.

По умолчанию zap для фишинга включен в политиках защиты от нежелательной почты.

Дополнительные сведения о настройке решений фильтрации нежелательной почты см. в разделе Настройка политик защиты от нежелательной почты.

Экстренное автоматическое удаление (ZAP) для фишинга с высокой степенью достоверности

Для прочитанных или непрочитанных сообщений , которые определяются как фишинг с высокой достоверностью после доставки, ZAP помещает сообщение на карантин. По умолчанию только администраторы могут просматривать сообщения с высокой вероятностью фишинга, помещённые в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Примечание.

Получатели не могут освобождать сообщения, помещенные в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика карантина позволяет получателям выпускать сообщения, они могут запрашивать только освобождение сообщений, помещенных в карантин как фишинг с высокой степенью достоверности.

ZAP для фишинга с высокой достоверностью включен по умолчанию. Дополнительные сведения см. в статье Защита по умолчанию в Office 365.

Автоматическая очистка за нулевой час (ZAP) для спама

Для непрочитанных сообщений, определенных как спам или спам с высокой достоверностью после доставки, результат ZAP зависит от действия, настроенного для вердикта спама или спама высокой достоверности в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:

  • Добавить X-Header, Добавить текст в начало строки темы, Перенаправить сообщение на адрес электронной почты, Удалить сообщение: ZAP не выполняет никаких действий с сообщением.

  • Переместить сообщение в папку «Нежелательная почта»: ZAP перемещает сообщение в папку «Нежелательная почта».

    Для вердикта Спам это действие используется по умолчанию в политике защиты от спама по умолчанию, в новых настраиваемых политиках защиты от спама и в стандартной предустановленной политике безопасности.

    Для вердикта "Спам с высокой степенью достоверности" это действие используется по умолчанию в стандартной политике защиты от нежелательной почты и в новых настраиваемых политиках защиты от нежелательной почты.

  • Сообщение карантина: ZAP помещает сообщение в карантин.

    Для вердикта Spam это действие задано по умолчанию в предустановке политики безопасности Strict.

    Для вердикта спама с высокой достоверностью это действие является стандартным в политиках безопасности Standard и Strict.

По умолчанию пользователи могут просматривать сообщения, которые были помещены в карантин как спам или спам с высоким уровнем достоверности, и управлять ими, если они получатели. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

По умолчанию в политиках защиты от нежелательной почты включен параметр ZAP для спама.

Дополнительные сведения о настройке решений фильтрации нежелательной почты см. в разделе Настройка политик защиты от нежелательной почты.

Как узнать, переместили ли ваше сообщение ZAP

Чтобы определить, переместил ли ZAP ваше сообщение, у вас есть следующие варианты:

Примечание.

ZAP не регистрируется в журналах аудита почтовых ящиков Exchange как системное действие.

Аспекты автоматического удаления в нулевой час (ZAP) для функции «Безопасные вложения» в Microsoft Defender для Office 365

ZAP не помещает в карантин сообщения, находящиеся в процессе Dynamic Delivery при сканировании политикой безопасных вложений. ZAP возвращается к действию Переместить в нежелательную почту, если выполняются оба следующих условия:

  • В процессе Dynamic Delivery поступает сигнал о фишинге или спаме.
  • Вердикт политики защиты от нежелательной почты выполняет над сообщением одно из следующих действий: переместить в папку нежелательной почты, перенаправить, удалить или поместить в карантин.

Автоматическая очистка нулевого часа (ZAP) в Microsoft Teams

Совет

ZAP для Microsoft Teams доступен в Defender для Office 365 плана 1 или плана 2 (входит или приобретается как надстройка). Сведения о настройке защиты ZAP для Microsoft Teams см. в статье Поддержка Microsoft Teams в Microsoft Defender для Office 365.

В настоящее время ZAP для Microsoft Teams недоступен в Microsoft 365 GCC, GCC High или DoD.

ZAP в чатах Teams

ZAP доступен для внутренних сообщений в чатах Teams, которые идентифицируются как вредоносные программы или фишинг с высокой достоверностью. В настоящее время внешние сообщения не поддерживаются.

Teams отличается от электронной почты, так как все пользователи в чате Teams одновременно получают одну и ту же копию сообщения (бифуркация сообщения отсутствует). Когда защита ZAP для Teams блокирует сообщение, сообщение блокируется для всех пользователей в чате. Первоначальная блокировка происходит сразу же после доставки, но ZAP может произойти в течение 48 часов после доставки.

Исключения для защиты ZAP для Teams в чатах Teams имеют значение для получателей сообщений, а не для отправителей сообщений. Сведения о настройке исключений для чатов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365.

Защита ZAP для Teams может выполнять действия с сообщениями для всех получателей чата, если хотя бы один из получателей чата не исключён из защиты ZAP для Teams. Только если все получатели в чате исключены из защиты ZAP для Teams, ZAP не выполняет никаких действий с сообщением. Эти сценарии показаны в следующей таблице:

Сценарий Результат
Групповой чат с получателями A, B, C и D.

Получатели A, B, C и D исключены из-под защиты ZAP for Teams.
ZAP не блокирует сообщения, отправленные в групповой чат.
Групповой чат с получателями A, B, C и D.

Только получатели A, B и C исключены из-под защиты ZAP for Teams.
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей.
Групповой чат с получателями A, B, C и D.

Получатели A, B, C и D не исключаются из защиты ZAP для Teams.

Отправитель X исключается из защиты ZAP для Teams и отправляет сообщение в групповой чат.
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей.

Представление отправителя:

Изображение, показывающее, как работает защита ZAP для Teams для отправителя.

Представление получателя:

Изображение, показывающее, как работает защита ZAP для Teams для получателя.

ZAP в каналах Teams

Защита ZAP для Teams поддерживает следующие типы каналов Teams:

  • Стандартные каналы: ZAP доступен для внутренних сообщений. В настоящее время внешние сообщения не поддерживаются.
  • Общие каналы: ZAP доступен для внутренних и внешних сообщений.

В настоящее время ZAP недоступен в частных каналах.

Чтобы настроить исключения для защиты ЗАП для каналов Teams, вам потребуется адрес электронной почты получателя. Этот адрес отличается от адреса электронной почты канала в клиенте Teams.

Чтобы получить адрес электронной почты получателя, который будет использоваться для исключений для защиты канала Teams, используйте значение Имя и адрес электронной почты в разделе Сведения о канале на панели сущности сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.

Правильный адрес электронной почты канала Teams на панели сущностей сообщений Teams.

Сведения о настройке исключений для каналов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365.

Автоматическая очистка нулевого часа (ZAP) для фишинговых сообщений с высоким уровнем достоверности в Teams

Для сообщений, которые определяются как фишинг с высокой достоверностью после доставки, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, которая используется для обнаружения фишинга с высокой степенью достоверности в ZAP for Teams, см. в статье Поддержка Microsoft Teams в Microsoft Defender для Office 365.

Автоматическая очистка нулевого часа (ZAP) для вредоносных программ в сообщениях Teams

Для сообщений, которые определены как вредоносные программы, защита ZAP для Teams блокирует и помещает сообщение в карантин. Чтобы настроить политику карантина, которая используется при обнаружении вредоносных программ в ZAP для Teams, см. Поддержка Microsoft Teams в Microsoft Defender для Office 365.

Как узнать, заблокировало ли zap сообщение Teams

В настоящее время только администраторы могут просматривать сообщения, помещенные в карантин с помощью ZAP для защиты Teams, и управлять ими. Дополнительные сведения см. в статье Использование портала Microsoft Defender для управления сообщениями Microsoft Teams, помещенными в карантин.

Часто задаваемые вопросы о функции автоматической очистки в режиме нулевого часа (ZAP)

Что произойдет, если ZAP переместит допустимые сообщения в папку "Нежелательная Email"?

Следуйте обычному процессу отправки ложноположительных результатов в корпорацию Майкрософт. ZAP перемещает сообщение из папки "Входящие" в папку "Нежелательная Email", только если служба определяет, что сообщение является нежелательным или вредоносным.

Что делать, если я использую папку "Карантин" вместо папки "Нежелательная почта"?

ZAP принимает меры с сообщением на основе конфигурации политик защиты от нежелательной почты, как описано ранее в этой статье.

Как на ZAP влияют исключения из встроенных функций безопасности для всех облачных почтовых ящиков и Defender для Office 365?

Следующие функции могут переопределять действия ZAP:

Для вредоносного ПО и заключений о фишинге с высокой степенью достоверности существует лишь несколько сценариев, в которых ZAP не выполняет никаких действий с сообщениями:

Важно тщательно рассмотреть последствия обхода фильтрации, так как это может поставить под угрозу состояние безопасности вашей организации.

Каковы требования к лицензированию для ZAP?

Для ZAP не существует особых требований к лицензированию вредоносных программ, спама и фишинга. ZAP работает со всеми почтовыми ящиками, размещенными в Exchange Online. ZAP не работает в локальных почтовых ящиках, защищенных Microsoft 365.

Для защиты ZAP для Teams требуются лицензии Microsoft Defender для Office 365 (план 1) или план 2.

Работает ли ZAP с сообщениями в других папках почтового ящика (например, сообщения, перемещаемые правилами папки "Входящие")?

ZAP может работать с сообщениями в других папках в следующих сценариях:

  • Сообщение не было удалено.
  • То же или более сильное действие еще не было применено. Например, сообщение находится в папке «Нежелательная почта», а действие — «Карантин». ZAP помещает сообщение в карантин.

Как ZAP влияет на почтовые ящики, на которые наложено удержание?

ZAP помещает в карантин сообщения из почтовых ящиков на удержании. ZAP может перемещать сообщения в папку «Нежелательная почта» в зависимости от действия, заданного для спама или фишинга в политиках защиты от спама.

Дополнительные сведения об удержании в Exchange Online см. в разделе Удержание на месте и удержание по делу в Exchange Online.