Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Во всех организациях с облачными почтовыми ящиками автоматическая очистка нулевого часа (ZAP) задним числом обнаруживает и нейтрализует вредоносные фишинговые, нежелательные или вредоносные сообщения, которые были доставлены в облачные почтовые ящики. ZAP не работает в локальных почтовых ящиках, защищенных Microsoft 365.
Примечание.
ZAP также может задним числом обнаруживать существующие вредоносные сообщения чата в Microsoft Teams.
Спам и вредоносные программы в службе обновляются в режиме реального времени ежедневно. Однако пользователи по-прежнему могут получать вредоносные сообщения. Например, вы можете:
- Вредоносные программы нулевого дня, которые не были обнаружены во время потока обработки почты.
- Содержимое после доставки пользователям.
РЕШЕНИЕ ZAP решает эти проблемы путем постоянного мониторинга спама и обновлений сигнатур вредоносных программ в службе и обеспечивает удобство работы пользователей. ZAP находит и выполняет автоматические действия с сообщениями, которые уже находятся в почтовом ящике пользователя. Поиск ZAP ограничен последними 48 часами доставки электронной почты. Пользователи не получают уведомления, если ZAP обнаруживает и перемещает сообщение.
Посмотрите это короткое видео, чтобы узнать, как ZAP в Microsoft Defender для Office 365 автоматически обнаруживает и нейтрализует угрозы в электронной почте.
Автоматическая очистка (ZAP) для сообщений электронной почты за нулевой час
Автоматическая очистка нулевого часа (ZAP) для вредоносных программ
Для прочитанных или непрочитанных сообщений , содержащих вредоносные программы после доставки, ZAP помещает в карантин сообщение, содержащее вложение вредоносных программ. По умолчанию только администраторы могут просматривать сообщения о вредоносном ПО, помещенные в карантин, и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
Пользователи не могут выпускать собственные сообщения, помещенные в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика настроена для того, чтобы пользователи выпускали эти сообщения в карантине, пользователи могут запрашивать освобождение этих сообщений, помещенных в карантин.
ZAP для вредоносных программ включен по умолчанию в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ.
Автоматическая очистка нулевого часа (ZAP) для фишинга
Для прочитанных или непрочитанных сообщений, определенных как фишинг после доставки (не фишинг с высокой достоверностью), результат ZAP зависит от действия, настроенного для решения фишинга в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:
Добавьте X-Header, строку темы prepend с текстом, сообщение перенаправления на адрес электронной почты, удалить сообщение: ZAP не выполняет никаких действий с сообщением.
Переместить сообщение в нежелательную Email. ZAP перемещает сообщение в папку Нежелательная Email.
Это действие является по умолчанию для решения фишинга в политике защиты от нежелательной почты по умолчанию и пользовательских политиках защиты от нежелательной почты, создаваемых в PowerShell.
Сообщение карантина: ZAP помещает сообщение в карантин.
Это действие является по умолчанию для решения фишинга в политиках безопасности Standard и Strict, а также в пользовательских политиках защиты от нежелательной почты, созданных на портале Defender.
По умолчанию zap для фишинга включен в политиках защиты от нежелательной почты.
Дополнительные сведения о настройке решений фильтрации нежелательной почты см. в разделе Настройка политик защиты от нежелательной почты.
Автоматическая очистка нулевого часа (ZAP) для фишинга с высокой достоверностью
Для прочитанных или непрочитанных сообщений , которые определяются как фишинг с высокой достоверностью после доставки, ZAP помещает сообщение на карантин. По умолчанию только администраторы могут просматривать фишинговые сообщения с высокой степенью достоверности и управлять ими. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
Пользователи не могут выпускать собственные сообщения, помещенные в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика настроена для того, чтобы пользователи выпускали эти сообщения в карантине, пользователи могут запрашивать освобождение этих сообщений, помещенных в карантин.
ZAP для фишинга с высокой достоверностью включен по умолчанию. Дополнительные сведения см. в статье Защита по умолчанию в Office 365.
Автоматическая очистка за нулевой час (ZAP) для спама
Для непрочитанных сообщений, определенных как спам или спам с высокой достоверностью после доставки, результат ZAP зависит от действия, настроенного для вердикта спама или спама высокой достоверности в применимой политике защиты от нежелательной почты. Доступные действия и возможные результаты ZAP описаны в следующем списке:
Добавьте X-Header, строку темы prepend с текстом, сообщение перенаправления на адрес электронной почты, удалить сообщение: ZAP не выполняет никаких действий с сообщением.
Переместить сообщение в нежелательную Email. ZAP перемещает сообщение в папку Нежелательная Email.
Для вердикта спама это действие является по умолчанию в политике защиты от нежелательной почты по умолчанию, новых настраиваемых политиках защиты от нежелательной почты и Standard предустановленной политике безопасности.
Для вердикта спама с высокой достоверностью это действие является стандартным в политике защиты от нежелательной почты по умолчанию и новых пользовательских политиках защиты от нежелательной почты.
Сообщение карантина: ZAP помещает сообщение в карантин.
Для вердикта нежелательной почты это действие используется по умолчанию в предустановленной политике безопасности Strict.
Для вердикта спама с высокой достоверностью это действие является стандартным в политиках безопасности Standard и Strict.
По умолчанию пользователи могут просматривать сообщения, которые были помещены в карантин как спам или спам с высоким уровнем достоверности, и управлять ими, если они получатели. Но администраторы могут создавать и использовать политики карантина , чтобы определить, что пользователи могут делать с сообщениями, помещенными в карантин, и получать ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
По умолчанию в политиках защиты от нежелательной почты включен параметр ZAP для спама.
Дополнительные сведения о настройке решений фильтрации нежелательной почты см. в разделе Настройка политик защиты от нежелательной почты.
Как узнать, переместили ли ваше сообщение ZAP
Чтобы определить, переместил ли ZAP ваше сообщение, у вас есть следующие варианты:
- Количество сообщений. Используйте представление "Поток почты" в отчете о состоянии потока обработки почты , чтобы просмотреть количество сообщений, затронутых ZAP, для указанного диапазона дат.
- Сведения о сообщении. Используйте Обозреватель угроз для фильтрации событий на вкладке Все сообщения электронной почты по значению ZAP столбца Дополнительное действие.
Примечание.
ZAP не регистрируется в журналах аудита почтовых ящиков Exchange как системное действие.
Рекомендации по автоматической очистке (ZAP) нулевого часа для безопасных вложений в Microsoft Defender для Office 365
ZAP не помещает в карантин сообщения, которые находятся в процессе проверки политики динамической доставки в политике безопасных вложений. ZAP возвращается к действию Переход к нежелательной почте , если выполняются оба следующих оператора:
- В процессе динамической доставки получается фишинговый или спам-сигнал.
- Вердикт в политике защиты от нежелательной почты принимает некоторые меры для сообщения (переместить в нежелательную папку, перенаправить, удалить или карантин).
Автоматическая очистка нулевого часа (ZAP) в Microsoft Teams
Совет
ZAP для Microsoft Teams доступен в Defender для Office 365 плана 1 или плана 2 (входит или приобретается как надстройка). Сведения о настройке защиты ZAP для Teams см. в разделе Microsoft Defender поддержки Office 365 Microsoft Teams.
В настоящее время ZAP для Microsoft Teams недоступен в Microsoft 365 GCC, GCC High или DoD.
ZAP в чатах Teams
ZAP доступен для внутренних сообщений в чатах Teams, которые идентифицируются как вредоносные программы или фишинг с высокой достоверностью. В настоящее время внешние сообщения не поддерживаются.
Teams отличается от электронной почты, так как все пользователи в чате Teams одновременно получают одну и ту же копию сообщения (бифуркация сообщения отсутствует). Когда защита ZAP для Teams блокирует сообщение, сообщение блокируется для всех пользователей в чате. Начальная блокировка происходит сразу после доставки, но ZAP происходит до 48 часов после доставки.
Исключения для защиты ZAP для Teams в чатах Teams имеют значение для получателей сообщений, а не для отправителей сообщений. Сведения о настройке исключений для чатов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365.
Защита ZAP для Teams может принимать меры с сообщениями для всех получателей в чате, если какие-либо получатели в чате не исключены из защиты ZAP для Teams. Только если все получатели в чате исключены из защиты ZAP для Teams, ZAP не выполняет никаких действий с сообщением. Эти сценарии показаны в следующей таблице:
| Сценарий | Result |
|---|---|
| Групповой чат с получателями A, B, C и D. Получатели A, B, C и D исключаются из защиты ZAP для Teams. |
ZAP не блокирует сообщения, отправленные в групповой чат. |
| Групповой чат с получателями A, B, C и D. Только получатели A, B и C исключаются из ZAP для защиты Teams. |
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей. |
| Групповой чат с получателями A, B, C и D. Получатели A, B, C и D не исключаются из защиты ZAP для Teams. Отправитель X исключается из защиты ZAP для Teams и отправляет сообщение в групповой чат. |
ZAP может блокировать сообщения, отправленные в групповой чат для всех получателей. |
Представление отправителя:
Представление получателей:
ZAP в каналах Teams
Защита ZAP для Teams поддерживает следующие типы каналов Teams:
- Standard каналов: ZAP доступен для внутренних сообщений. В настоящее время внешние сообщения не поддерживаются.
- Общие каналы: ZAP доступен для внутренних и внешних сообщений.
В настоящее время ZAP недоступен в частных каналах.
Чтобы настроить исключения для защиты ЗАП для каналов Teams, вам потребуется адрес электронной почты получателя. Этот адрес отличается от адреса электронной почты канала в клиенте Teams.
Чтобы получить адрес электронной почты получателя, который будет использоваться для исключений для защиты канала Teams, используйте значение Имя и адрес электронной почты в разделе Сведения о канале на панели сущности сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.
Сведения о настройке исключений для каналов Teams см. в статье Настройка защиты ZAP для Teams в Defender для Office 365.
Автоматическая очистка нулевого часа (ZAP) для фишинговых сообщений с высоким уровнем достоверности в Teams
Для сообщений, которые определяются как фишинг с высокой достоверностью после доставки, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, используемой для обнаружения фишинга с высокой степенью достоверности в ZAP для Teams, см. в статье Microsoft Defender для Office 365 поддержки Microsoft Teams.
Автоматическая очистка нулевого часа (ZAP) для вредоносных программ в сообщениях Teams
Для сообщений, которые определены как вредоносные программы, защита ZAP для Teams блокирует и помещает сообщение в карантин. Сведения о настройке политики карантина, используемой для обнаружения вредоносных программ в ZAP для Teams, см. в статье Microsoft Defender для Office 365 поддержки Microsoft Teams.
Как узнать, заблокировало ли zap сообщение Teams
В настоящее время только администраторы могут просматривать сообщения, помещенные в карантин с помощью ZAP для защиты Teams, и управлять ими. Дополнительные сведения см. в статье Использование портала Microsoft Defender для управления сообщениями Microsoft Teams в карантине.
Часто задаваемые вопросы об автоматической очистке (ZAP)
Что произойдет, если ZAP переместит допустимые сообщения в папку "Нежелательная Email"?
Следуйте обычному процессу отправки ложноположительных результатов в корпорацию Майкрософт. ZAP перемещает сообщение из папки "Входящие" в папку "Нежелательная Email", только если служба определяет, что сообщение является нежелательным или вредоносным.
Что делать, если я использую папку "Карантин" вместо папки "Нежелательная почта"?
ZAP принимает меры с сообщением на основе конфигурации политик защиты от нежелательной почты, как описано ранее в этой статье.
Как на ZAP влияют исключения из встроенных функций безопасности для всех облачных почтовых ящиков и Defender для Office 365?
Следующие функции могут переопределять действия ZAP:
- Списки разрешений
- Правила потока обработки почты для обмена (правила транспорта)
Для вредоносных программ и фишинговых вердиктов с высокой достоверностью существует несколько сценариев, в которых ZAP не действует с сообщениями:
- URL-адреса имитации фишинга сторонних поставщиков, указанные в расширенной политике доставки (фишинг с высокой степенью достоверности).
- Почтовые ящики SecOps, указанные в расширенной политике доставки (вредоносные программы и фишинг с высокой степенью достоверности).
- Запись MX для домена Microsoft 365 указывает на другую службу или устройство, и вы используете правило потока обработки почты для обхода фильтрации спама (фишинг с высокой степенью достоверности).
- Администратор отправки ложных срабатываний в корпорацию Майкрософт. По умолчанию записи для доменов и адресов электронной почты, файлов и URL-адресов существуют в течение 30 дней (фишинг с вредоносными программами и высокой достоверностью).
Важно тщательно рассмотреть последствия обхода фильтрации, так как это может поставить под угрозу состояние безопасности вашей организации.
Каковы требования к лицензированию для ZAP?
Для ZAP не существует особых требований к лицензированию вредоносных программ, спама и фишинга. ZAP работает со всеми почтовыми ящиками, размещенными в Exchange Online. ZAP не работает в локальных почтовых ящиках, защищенных Microsoft 365.
Защита ZAP для Teams требует Microsoft 365 E5 или Microsoft Defender для лицензий Office 365 плана 2.
Работает ли ZAP с сообщениями в других папках почтового ящика (например, сообщения, перемещаемые правилами папки "Входящие")?
ZAP может работать с сообщениями в других папках в следующих сценариях:
- Сообщение не было удалено.
- То же или более сильное действие еще не было применено. Например, сообщение находится в папке Нежелательная Email, а действие — карантин. ZAP помещает сообщение в карантин.
Как ZAP влияет на почтовые ящики при удержании?
ZAP помещает в карантин сообщения из почтовых ящиков на удержание. ZAP может перемещать сообщения в папку "Нежелательная Email" в соответствии с действиями по борьбе со спамом или фишингом в политиках защиты от нежелательной почты.
Дополнительные сведения об удержании в Exchange Online см. в разделе Удержание на месте и удержание по делу в Exchange Online.