Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Во всех организациях с облачными почтовыми ящиками функция автоматической очистки нулевого часа (ZAP) ретроспективно обнаруживает и нейтрализует вредоносные фишинговые сообщения, спам или сообщения, содержащие вредоносное ПО, которые были доставлены в облачные почтовые ящики. ZAP не работает в локальных почтовых ящиках, защищенных Microsoft 365. ZAP также обрабатывает сообщения в папке «Удаленные элементы», используя те же действия, настроенные для каждого вердикта в политиках защиты от нежелательной почты, фишинга и вредоносных программ.
Примечание.
ZAP также может задним числом обнаруживать существующие вредоносные сообщения чата в Microsoft Teams.
Сигнатуры спама и вредоносных программ в службе обновляются ежедневно в режиме реального времени. Однако пользователи по-прежнему могут получать вредоносные сообщения. Например, вы можете:
- Вредоносные программы нулевого дня, которые не были обнаружены во время потока обработки почты.
- Контент был использован в качестве оружия после доставки пользователям.
РЕШЕНИЕ ZAP решает эти проблемы путем постоянного мониторинга спама и обновлений сигнатур вредоносных программ в службе и обеспечивает удобство работы пользователей. ZAP находит и выполняет автоматические действия с сообщениями, которые уже находятся в почтовом ящике пользователя. Поиск ZAP ограничен последними 48 часами доставки электронной почты. Пользователи не получают уведомления, если ZAP обнаруживает и перемещает сообщение.
Посмотрите это короткое видео, чтобы узнать, как ZAP в Microsoft Defender для Office 365 автоматически обнаруживает и нейтрализует угрозы в электронной почте.
Автоматическая очистка (ZAP) для сообщений электронной почты за нулевой час
Автоматическое удаление вредоносного ПО в режиме нулевого часа (ZAP)
Для прочитанных или непрочитанных сообщений, в которых после доставки было обнаружено вредоносное ПО, ZAP помещает в карантин сообщение, содержащее вредоносное вложение. По умолчанию только администраторы могут просматривать сообщения о вредоносном ПО, помещенные в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
Получатели не могут выпускать сообщения, помещенные в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика карантина позволяет получателям выпускать сообщения, они могут запрашивать только выпуск сообщений, помещенных в карантин как вредоносные программы.
ZAP для вредоносных программ включен по умолчанию в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ.
Автоматическая очистка нулевого часа (ZAP) для фишинга
Для прочитанных или непрочитанных сообщений, классифицированных как фишинг после доставки (но не как фишинг с высокой степенью достоверности), результат ZAP зависит от действия, настроенного для вердикта Фишинг в применяемой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:
Добавить X-Header, Добавить текст в начало строки темы, Перенаправить сообщение на адрес электронной почты, Удалить сообщение: ZAP не выполняет никаких действий с сообщением.
Переместить сообщение в папку «Нежелательная почта»: ZAP перемещает сообщение в папку «Нежелательная почта».
Это действие используется по умолчанию для вердикта Phishing в политике защиты от нежелательной почты по умолчанию и в настраиваемых политиках защиты от нежелательной почты, которые создаются в PowerShell.
Сообщение карантина: ZAP помещает сообщение в карантин.
Это действие используется по умолчанию для вердикта «Фишинг» в предустановленных политиках безопасности Standard и Strict, а также в созданных вами на портале Defender настраиваемых политиках защиты от нежелательной почты.
По умолчанию zap для фишинга включен в политиках защиты от нежелательной почты.
Дополнительные сведения о настройке решений фильтрации нежелательной почты см. в разделе Настройка политик защиты от нежелательной почты.
Экстренное автоматическое удаление (ZAP) для фишинга с высокой степенью достоверности
Для прочитанных или непрочитанных сообщений , которые определяются как фишинг с высокой достоверностью после доставки, ZAP помещает сообщение на карантин. По умолчанию только администраторы могут просматривать сообщения с высокой вероятностью фишинга, помещённые в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
Получатели не могут освобождать сообщения, помещенные в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика карантина позволяет получателям выпускать сообщения, они могут запрашивать только освобождение сообщений, помещенных в карантин как фишинг с высокой степенью достоверности.
ZAP для фишинга с высокой достоверностью включен по умолчанию. Дополнительные сведения см. в статье Защита по умолчанию в Office 365.
Автоматическая очистка за нулевой час (ZAP) для спама
Для непрочитанных сообщений, определенных как спам или спам с высокой достоверностью после доставки, результат ZAP зависит от действия, настроенного для вердикта спама или спама высокой достоверности в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:
Добавить X-Header, Добавить текст в начало строки темы, Перенаправить сообщение на адрес электронной почты, Удалить сообщение: ZAP не выполняет никаких действий с сообщением.
Переместить сообщение в папку «Нежелательная почта»: ZAP перемещает сообщение в папку «Нежелательная почта».
Для вердикта Спам это действие используется по умолчанию в политике защиты от спама по умолчанию, в новых настраиваемых политиках защиты от спама и в стандартной предустановленной политике безопасности.
Для вердикта "Спам с высокой степенью достоверности" это действие используется по умолчанию в стандартной политике защиты от нежелательной почты и в новых настраиваемых политиках защиты от нежелательной почты.
Сообщение карантина: ZAP помещает сообщение в карантин.
Для вердикта Spam это действие задано по умолчанию в предустановке политики безопасности Strict.
Для вердикта спама с высокой достоверностью это действие является стандартным в политиках безопасности Standard и Strict.
По умолчанию пользователи могут просматривать сообщения, которые были помещены в карантин как спам или спам с высоким уровнем достоверности, и управлять ими, если они получатели. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
По умолчанию в политиках защиты от нежелательной почты включен параметр ZAP для спама.
Дополнительные сведения о настройке решений фильтрации нежелательной почты см. в разделе Настройка политик защиты от нежелательной почты.
Как узнать, переместили ли ваше сообщение ZAP
Чтобы определить, переместил ли ZAP ваше сообщение, у вас есть следующие варианты:
- Количество сообщений. Используйте представление "Поток почты" в отчете о состоянии потока обработки почты , чтобы просмотреть количество сообщений, затронутых ZAP, для указанного диапазона дат.
- Сведения о сообщении. Используйте Обозреватель угроз для фильтрации событий на вкладке Все сообщения электронной почты по значению ZAP столбца Дополнительное действие.
Примечание.
ZAP не регистрируется в журналах аудита почтовых ящиков Exchange как системное действие.
Аспекты автоматического удаления в нулевой час (ZAP) для функции «Безопасные вложения» в Microsoft Defender для Office 365
ZAP не помещает в карантин сообщения, находящиеся в процессе Dynamic Delivery при сканировании политикой безопасных вложений. ZAP возвращается к действию Переместить в нежелательную почту, если выполняются оба следующих условия:
- В процессе Dynamic Delivery поступает сигнал о фишинге или спаме.
- Вердикт политики защиты от нежелательной почты выполняет над сообщением одно из следующих действий: переместить в папку нежелательной почты, перенаправить, удалить или поместить в карантин.
Автоматическая очистка нулевого часа (ZAP) в Microsoft Teams
Совет
ZAP для Microsoft Teams доступен в Defender для Office 365 плана 1 или плана 2 (входит или приобретается как надстройка). Сведения о настройке защиты ZAP для Microsoft Teams см. в статье Поддержка Microsoft Teams в Microsoft Defender для Office 365.
В настоящее время ZAP для Microsoft Teams недоступен в Microsoft 365 GCC, GCC High или DoD.
ZAP в чатах Teams
ZAP доступен для внутренних сообщений в чатах Teams, которые идентифицируются как вредоносные программы или фишинг с высокой достоверностью. В настоящее время внешние сообщения не поддерживаются.
Teams отличается от электронной почты, так как все пользователи в чате Teams одновременно получают одну и ту же копию сообщения (бифуркация сообщения отсутствует). Когда защита ZAP для Teams блокирует сообщение, сообщение блокируется для всех пользователей в чате. Первоначальная блокировка происходит сразу же после доставки, но ZAP может произойти в течение 48 часов после доставки.
Исключения для защиты ZAP для Teams в чатах Teams имеют значение для получателей сообщений, а не для отправителей сообщений. Сведения о настройке исключений для чатов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365.
Защита ZAP для Teams может выполнять действия с сообщениями для всех получателей чата, если хотя бы один из получателей чата не исключён из защиты ZAP для Teams. Только если все получатели в чате исключены из защиты ZAP для Teams, ZAP не выполняет никаких действий с сообщением. Эти сценарии показаны в следующей таблице:
| Сценарий | Результат |
|---|---|
| Групповой чат с получателями A, B, C и D. Получатели A, B, C и D исключены из-под защиты ZAP for Teams. |
ZAP не блокирует сообщения, отправленные в групповой чат. |
| Групповой чат с получателями A, B, C и D. Только получатели A, B и C исключены из-под защиты ZAP for Teams. |
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей. |
| Групповой чат с получателями A, B, C и D. Получатели A, B, C и D не исключаются из защиты ZAP для Teams. Отправитель X исключается из защиты ZAP для Teams и отправляет сообщение в групповой чат. |
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей. |
Представление отправителя:
Представление получателя:
ZAP в каналах Teams
Защита ZAP для Teams поддерживает следующие типы каналов Teams:
- Стандартные каналы: ZAP доступен для внутренних сообщений. В настоящее время внешние сообщения не поддерживаются.
- Общие каналы: ZAP доступен для внутренних и внешних сообщений.
В настоящее время ZAP недоступен в частных каналах.
Чтобы настроить исключения для защиты ЗАП для каналов Teams, вам потребуется адрес электронной почты получателя. Этот адрес отличается от адреса электронной почты канала в клиенте Teams.
Чтобы получить адрес электронной почты получателя, который будет использоваться для исключений для защиты канала Teams, используйте значение Имя и адрес электронной почты в разделе Сведения о канале на панели сущности сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.
Сведения о настройке исключений для каналов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365.
Автоматическая очистка нулевого часа (ZAP) для фишинговых сообщений с высоким уровнем достоверности в Teams
Для сообщений, которые определяются как фишинг с высокой достоверностью после доставки, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, которая используется для обнаружения фишинга с высокой степенью достоверности в ZAP for Teams, см. в статье Поддержка Microsoft Teams в Microsoft Defender для Office 365.
Автоматическая очистка нулевого часа (ZAP) для вредоносных программ в сообщениях Teams
Для сообщений, которые определены как вредоносные программы, защита ZAP для Teams блокирует и помещает сообщение в карантин. Чтобы настроить политику карантина, которая используется при обнаружении вредоносных программ в ZAP для Teams, см. Поддержка Microsoft Teams в Microsoft Defender для Office 365.
Как узнать, заблокировало ли zap сообщение Teams
В настоящее время только администраторы могут просматривать сообщения, помещенные в карантин с помощью ZAP для защиты Teams, и управлять ими. Дополнительные сведения см. в статье Использование портала Microsoft Defender для управления сообщениями Microsoft Teams, помещенными в карантин.
Часто задаваемые вопросы о функции автоматической очистки в режиме нулевого часа (ZAP)
Что произойдет, если ZAP переместит допустимые сообщения в папку "Нежелательная Email"?
Следуйте обычному процессу отправки ложноположительных результатов в корпорацию Майкрософт. ZAP перемещает сообщение из папки "Входящие" в папку "Нежелательная Email", только если служба определяет, что сообщение является нежелательным или вредоносным.
Что делать, если я использую папку "Карантин" вместо папки "Нежелательная почта"?
ZAP принимает меры с сообщением на основе конфигурации политик защиты от нежелательной почты, как описано ранее в этой статье.
Как на ZAP влияют исключения из встроенных функций безопасности для всех облачных почтовых ящиков и Defender для Office 365?
Следующие функции могут переопределять действия ZAP:
- Списки разрешений
- Правила потока обработки почты для обмена (правила транспорта)
Для вредоносного ПО и заключений о фишинге с высокой степенью достоверности существует лишь несколько сценариев, в которых ZAP не выполняет никаких действий с сообщениями:
- URL-адреса для имитации фишинга, не связанные с Microsoft, указанные в политике расширенной доставки (фишинг с высокой степенью уверенности).
- Почтовые ящики SecOps, указанные в расширенной политике доставки (вредоносные программы и фишинг с высокой степенью достоверности).
- Запись MX для домена Microsoft 365 указывает на другую службу или устройство, и вы используете правило потока обработки почты для обхода фильтрации спама (фишинг с высокой степенью достоверности).
- Отправка администраторами ложноположительных результатов в Microsoft. По умолчанию записи для доменов и адресов электронной почты, файлов и URL-адресов существуют в течение 45 дней после последней даты использования (вредоносные программы и фишинг с высокой степенью достоверности).
Важно тщательно рассмотреть последствия обхода фильтрации, так как это может поставить под угрозу состояние безопасности вашей организации.
Каковы требования к лицензированию для ZAP?
Для ZAP не существует особых требований к лицензированию вредоносных программ, спама и фишинга. ZAP работает со всеми почтовыми ящиками, размещенными в Exchange Online. ZAP не работает в локальных почтовых ящиках, защищенных Microsoft 365.
Для защиты ZAP для Teams требуются лицензии Microsoft Defender для Office 365 (план 1) или план 2.
Работает ли ZAP с сообщениями в других папках почтового ящика (например, сообщения, перемещаемые правилами папки "Входящие")?
ZAP может работать с сообщениями в других папках в следующих сценариях:
- Сообщение не было удалено.
- То же или более сильное действие еще не было применено. Например, сообщение находится в папке «Нежелательная почта», а действие — «Карантин». ZAP помещает сообщение в карантин.
Как ZAP влияет на почтовые ящики, на которые наложено удержание?
ZAP помещает в карантин сообщения из почтовых ящиков на удержании. ZAP может перемещать сообщения в папку «Нежелательная почта» в зависимости от действия, заданного для спама или фишинга в политиках защиты от спама.
Дополнительные сведения об удержании в Exchange Online см. в разделе Удержание на месте и удержание по делу в Exchange Online.