Automatické vyprázdnění (ZAP) v Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
V organizacích Microsoft 365 s Exchange Online poštovními schránkami je funkce zap (Zero-Hour Auto Purge) v Exchange Online Protection (EOP), která zpětně detekuje a neutralizuje škodlivé phishingové, spamové nebo malwarové zprávy, které už byly doručeny do Exchange Online poštovních schránek.
Zap nefunguje v samostatných prostředích EOP, která chrání místní poštovní schránky.
Poznámka
V současné době ve verzi Preview dokáže ZAP také zpětně detekovat existující škodlivé chatovací zprávy v Microsoft Teams.
Spam a malware signatury ve službě se aktualizují v reálném čase každý den. Uživatelé ale můžou i nadále přijímat škodlivé zprávy. Příklady:
- Malware nulového dne, který byl během toku pošty nedetekovatelný.
- Obsah, který je po doručení uživatelům zbranný.
ZAP řeší tyto problémy průběžným monitorováním aktualizací spamu a malwaru ve službě a je pro uživatele bezproblémový. ZAP vyhledá zprávy, které už jsou v poštovní schránce uživatele, a provede s tím automatizovanou akci. Vyhledávání zap je omezeno na posledních 48 hodin doručeného e-mailu. Uživatelé nebudou upozorněni, pokud ZAP zjistí a přesune zprávu.
V tomto krátkém videu se dozvíte, jak zap v Microsoft Defender pro Office 365 automaticky detekuje a neutralizuje hrozby v e-mailu.
Automatické vyprázdnění (ZAP) pro e-mailové zprávy
Automatické vyprázdnění (ZAP) pro malware
U přečtených nebo nepřečtených zpráv , které po doručení obsahují malware, zap umístí zprávu, která obsahuje přílohu malwaru, do karantény. Ve výchozím nastavení můžou zprávy o malwaru v karanténě zobrazovat a spravovat jenom správci. Správci ale můžou vytvářet a používat zásady karantény k definování toho, co uživatelé můžou dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
Poznámka
Uživatelé nemůžou vydávat vlastní zprávy, které byly v karanténě jako malware, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, uživatelé si místo toho můžou vyžádat vydání zpráv o malwaru v karanténě.
Zap pro malware je ve výchozím nastavení povolené v antimalwarových zásadách. Další informace najdete v tématu Konfigurace antimalwarových zásad v EOP.
Automatické vyprázdnění (ZAP) pro útoky phishing nulou
U přečtených nebo nepřečtených zpráv , které jsou po doručení identifikovány jako phishing (ne vysoce důvěryhodný phishing), závisí výsledek ZAP na akci nakonfigurované pro útok Phishing v příslušných zásadách ochrany proti spamu. Dostupné akce a možné výsledky ZAP jsou popsány v následujícím seznamu:
Přidání záhlaví X, předpřisazení řádku předmětu s textem, přesměrování zprávy na e-mailovou adresu, odstranění zprávy: ZAP se zprávou neprovedne žádnou akci.
Přesunout zprávu do Email nevyžádané pošty: Zap přesune zprávu do složky Nevyžádaná pošta Email.
Toto je výchozí akce pro útok phishing ve výchozích zásadách ochrany proti spamu a vlastních zásadách ochrany proti spamu, které vytvoříte v PowerShellu.
Zpráva o karanténě: Zap zprávu umístí do karantény.
Toto je výchozí akce pro verdikt útoku phishing v přednastavených zásadách zabezpečení Standard a Strict a ve vlastních zásadách ochrany proti spamu, které vytvoříte na portálu Defender.
Ve výchozím nastavení je zap pro phishing povolené v zásadách ochrany proti spamu.
Další informace o konfiguraci verdiktů filtrování spamu najdete v tématu Konfigurace zásad ochrany proti spamu v Microsoftu 365.
Zap (Zero-hour auto purge) for high confidence phishing
U přečtených nebo nepřečtených zpráv , které jsou po doručení identifikovány jako vysoce důvěryhodné phishingové zprávy, zap zprávu umístí do karantény. Ve výchozím nastavení můžou zobrazovat a spravovat phishingové zprávy s vysokou spolehlivostí v karanténě jenom správci. Správci ale můžou vytvářet a používat zásady karantény k definování toho, co uživatelé můžou dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
Poznámka
Uživatelé nemůžou vydat své vlastní zprávy, které byly v karanténě jako vysoce důvěryhodný útok phishing, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, můžou místo toho požádat o vydání svých vysoce důvěryhodných phishingových zpráv v karanténě.
Zap pro vysoce důvěryhodný útok phishing je ve výchozím nastavení povolený. Další informace najdete v tématu Zabezpečení ve výchozím nastavení v Office 365.
Automatické vyprázdnění spamu (ZAP) s nulovou hodinou
U nepřečtených zpráv , které jsou po doručení identifikovány jako spam nebo vysoce důvěryhodný spam , závisí výsledek ZAP na akci, která je nakonfigurovaná pro spamový nebovysoce důvěryhodný spamový verdikt v příslušných zásadách ochrany proti spamu. Dostupné akce a možné výsledky ZAP jsou popsány v následujícím seznamu:
Přidání záhlaví X, předpřisazení řádku předmětu s textem, přesměrování zprávy na e-mailovou adresu, odstranění zprávy: ZAP se zprávou neprovedne žádnou akci.
Přesunout zprávu do Email nevyžádané pošty: Zap přesune zprávu do složky Nevyžádaná pošta Email.
V případě rozsudku spamu se jedná o výchozí akci ve výchozích zásadách ochrany proti spamu, nových vlastních zásadách ochrany proti spamu a standardních přednastavených zásadách zabezpečení.
U rozsudku s vysokou mírou důvěryhodnosti spamu se jedná o výchozí akci ve výchozích zásadách ochrany proti spamu a nových vlastních zásadách ochrany proti spamu.
Zpráva o karanténě: Zap zprávu umístí do karantény.
V případě rozsudku spamu se jedná o výchozí akci v zásadách zabezpečení Striktní přednastavení.
U rozsudku s vysokou spolehlivostí spamu se jedná o výchozí akci v předvolbách standardních a striktních zásad zabezpečení.
Ve výchozím nastavení můžou uživatelé zobrazovat a spravovat zprávy, které byly v karanténě, jako spam nebo jako vysoce důvěryhodný spam tam, kde jsou příjemci. Správci ale můžou vytvářet a používat zásady karantény k definování toho, co uživatelé můžou dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
Ve výchozím nastavení je zap pro spam povolené v zásadách ochrany proti spamu.
Další informace o konfiguraci verdiktů filtrování spamu najdete v tématu Konfigurace zásad ochrany proti spamu v Microsoftu 365.
Jak zjistit, jestli zap zprávu přesunul
Pokud chcete zjistit, jestli zap zprávu přesunul, máte následující možnosti:
- Počet zpráv: Pomocí zobrazení Toku pošty v sestavě o stavu toku pošty můžete zobrazit počet zpráv ovlivněných zap v zadaném rozsahu dat.
- Podrobnosti o zprávě: Pomocí Průzkumníka hrozeb (nebo detekce v reálném čase) vyfiltrujtevšechny e-mailové události podle hodnoty ZAP ve sloupci Další akce .
Poznámka
Zap se nezaprotokoluje do protokolů auditu poštovní schránky Exchange jako akce systému.
Aspekty automatického vyprázdnění (ZAP) nula hodin pro bezpečné přílohy v Microsoft Defender pro Office 365
ZAP neumisí zprávy, které jsou v procesu dynamického doručování v bezpečných přílohách, do karantény. Pokud je pro zprávy v tomto stavu přijat signál phishingu nebo spamu a verdikt filtrování v zásadách ochrany proti spamu je nastavený tak, aby se zprávou podnikla nějaká akce (Přesunout do nevyžádané pošty, Přesměrovat, Odstranit nebo Umístit do karantény), ZAP se vrátí k akci Přesunout do nevyžádané pošty.
Automatické vyprázdnění (ZAP) nula hodin v Microsoft Teams
Tip
Zap for Microsoft Teams je k dispozici jenom zákazníkům s předplatnými Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2. Informace o konfiguraci zap pro ochranu teams najdete v tématu podpora Microsoft Defender pro Office 365 Plan 2 pro Microsoft Teams.
ZAP v chatech v Teams
ZAP je k dispozici pro interní zprávy v chatech Teams, které jsou identifikovány jako malware nebo vysoce důvěryhodný phishing. V současné době se externí zprávy nepodporují.
Aplikace Teams se liší od e-mailu, protože všichni v chatu v Teams dostanou stejnou kopii zprávy současně (neexistuje žádné rozdvojení zpráv). Když zap pro ochranu Teams zablokuje zprávu, zablokuje se zpráva pro všechny účastníky chatu. Počáteční blok nastane hned po doručení, ale ZAP nastane až 48 hodin po doručení.
Vyloučení zap pro ochranu Teams v chatech Teams jsou důležitá pro příjemce zprávy, ne pro odesílatele zpráv. Informace o konfiguraci výjimek pro chaty Teams najdete v tématu Konfigurace zap pro ochranu Teams v Defender pro Office 365 Plan 2.
Zap pro ochranu Teams může provádět akce se zprávami pro všechny příjemce v chatu, pokud někteří příjemci v chatu nejsou vyloučeni ze zap pro ochranu Teams. Pouze v případě, že jsou všichni příjemci v chatu vyloučeni z zap pro ochranu Teams, zap neprovedou akci se zprávou. Tyto scénáře jsou znázorněny v následující tabulce:
Scénář | Result (Výsledek) |
---|---|
Skupinový chat s příjemci A, B, C a D. Příjemci A, B, C a D jsou vyloučeni ze zap pro ochranu Teams. |
Zap nezablokuje zprávy odeslané do skupinového chatu. |
Skupinový chat s příjemci A, B, C a D. Ze zap pro ochranu Teams jsou vyloučeni jenom příjemci A, B a C. |
ZAP může blokovat zprávy odeslané do skupinového chatu pro všechny příjemce. |
Skupinový chat s příjemci A, B, C a D. Příjemci A, B, C a D nejsou vyloučeni ze zap pro ochranu Teams. Odesílatel X je vyloučen ze zap pro ochranu Teams a odešle zprávu do skupinového chatu. |
ZAP může blokovat zprávy odeslané do skupinového chatu pro všechny příjemce. |
Zobrazení odesílatele:
Zobrazení příjemce:
ZAP v kanálech Teams
Ochrana ZAP pro Teams podporuje následující typy kanálů Teams:
- Standardní kanály: Zap je k dispozici pro interní zprávy. V současné době se externí zprávy nepodporují.
- Sdílené kanály: ZAP je k dispozici pro interní a externí zprávy.
V současné době není ZAP k dispozici v privátních kanálech.
Ke konfiguraci výjimek pro ochranu ZAP pro kanály Teams potřebujete e-mailovou adresu příjemce. Tato adresa se liší od e-mailové adresy kanálu v klientovi Teams.
Pokud chcete získat e-mailovou adresu příjemce, která se má použít pro výjimky pro ochranu kanálu Teams, použijte hodnotu Jméno a e-mail z části Podrobnosti o kanálu na panelu entit zpráv Teams. Další informace najdete v tématu Panel entit zpráv Teams v Microsoft Defender pro Office 365.
Pokud chcete nakonfigurovat výjimky pro kanály Teams, přečtěte si téma Konfigurace zap pro ochranu Teams v Defender pro Office 365 Plan 2.
Automatické vyprázdnění (ZAP) nula hodin pro vysoce důvěryhodné phishingové zprávy v Teams
U zpráv, které jsou po doručení identifikovány jako vysoce důvěryhodný phishing, zablokuje zap for Teams ochranu a umístí zprávu do karantény. Informace o nastavení zásad karantény, které se používají k detekci vysoce důvěryhodných útoků phishing ve službě ZAP pro Teams, najdete v tématu podpora Microsoft Defender pro Office 365 Plan 2 pro Microsoft Teams.
Automatické vyprázdnění (ZAP) pro malware ve zprávách Teams
U zpráv, které jsou identifikované jako malware, zablokuje zap pro ochranu Teams zprávu a umístí ji do karantény. Informace o nastavení zásad karantény, které se používají k detekci malwaru v ZAP pro Teams, najdete v tématu podpora Microsoft Defender pro Office 365 Plán 2 pro Microsoft Teams.
Jak zjistit, jestli ZAP zablokoval zprávu Teams
V současné době můžou zobrazovat a spravovat zprávy, které byly z důvodu ochrany Teams uložené v karanténě zap. Další informace najdete v tématu Použití portálu Microsoft Defender ke správě zpráv v karanténě v Microsoft Teams.
Nejčastější dotazy k automatickému vyprázdnění (ZAP) nula hodin
Co se stane, když ZAP přesune legitimní zprávy do složky Nevyžádaná pošta Email?
Postupujte podle normálního postupu oznamování falešně pozitivních výsledků společnosti Microsoft. Zap přesune zprávu ze složky Doručená pošta do složky Nevyžádaná pošta Email pouze v případě, že služba zjistí, že se jedná o zprávu se spamem nebo se zprávou se škodou.
Co když místo složky Nevyžádaná pošta použiju složku Karanténa?
ZAP provádí akce se zprávou na základě konfigurace zásad ochrany proti spamu, jak je popsáno výše v tomto článku.
Jak je ZAP ovlivněno výjimkami z funkcí ochrany v EOP a Defender pro Office 365?
Akce ZAP můžou být přepsány seznamy bezpečných odesílatelů, pravidly toku pošty Exchange (pravidla přenosu) a dalšími nastaveními blokování a povolení organizace. V případě malwaru a vysoce důvěryhodných verdiktů phishing však existuje jen velmi málo scénářů, ve kterých ZAP nepůsobí na zprávy, aby chránil uživatele:
- Adresy URL simulace phishingu třetích stran identifikované v rozšířených zásadách doručování (vysoce důvěryhodné útoky phishing)
- Poštovní schránky SecOps identifikované v rozšířených zásadách doručování (malware a vysoce důvěryhodný phishing).
- Záznam MX pro vaši doménu Microsoft 365 odkazuje na jinou službu nebo zařízení a pomocí pravidla toku pošty můžete obejít filtrování spamu (vysoce důvěryhodný útok phishing).
- Správa odeslání falešně pozitivních výsledků do Microsoftu. Ve výchozím nastavení existují položky povolení pro domény a e-mailové adresy, soubory a adresy URL po dobu 30 dnů (malware a vysoce důvěryhodný phishing).
Je důležité, abyste pečlivě zvážili důsledky obejití filtrování, protože by to mohlo ohrozit stav zabezpečení vaší organizace.
Jaké jsou licenční požadavky na ZAP?
Pro zap pro malware, spam a phishing neexistují žádné zvláštní licenční požadavky. ZAP funguje na všech poštovních schránkách hostovaných v Exchange Online. Zap nefunguje v místních poštovních schránkách, které jsou chráněné samostatnou EOP.
Ochrana ZAP pro Teams vyžaduje licence Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2.
Funguje ZAP u zpráv v jiných složkách v poštovní schránce (například u zpráv přesunutých podle pravidel doručené pošty)?
Zap stále funguje, dokud se zpráva neodstranila nebo dokud se stejná nebo silnější akce ještě nepoužila. Pokud je například zpráva ve složce Nevyžádaná pošta Email a akce v příslušných zásadách ochrany proti útokům phishing je karanténa, ZAP zprávu umístí do karantény.
Jak zap ovlivňuje blokování poštovních schránek?
Zap umístí zprávy z blokových poštovních schránek do karantény. ZAP může přesunout zprávy do složky Nevyžádaná pošta Email na základě akce, která je nakonfigurovaná pro spam nebo phishingový verdikt v zásadách ochrany proti spamu.
Další informace o blokováních v Exchange Online najdete v tématu Místní blokování a blokování z soudních sporů v Exchange Online.