Microsoft Defender for Office 365 中零小时自动清除 (ZAP)
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在Microsoft具有Exchange Online邮箱的 365 个组织中,零小时自动清除 (ZAP) 是 Exchange Online Protection (EOP) 中的一项保护功能,可追溯性地检测并消除已传递到Exchange Online邮箱的恶意网络钓鱼、垃圾邮件或恶意软件邮件。
ZAP 不适用于保护本地邮箱的独立 EOP 环境。
注意
ZAP 目前以预览版提供,还能够追溯检测 Microsoft Teams 中的现有恶意聊天消息。
服务中的垃圾邮件和恶意软件签名每天实时更新。 但是,用户仍可接收恶意消息。 例如:
- 在邮件流期间无法检测到的零日恶意软件。
- 交付给用户后武器化的内容。
ZAP 通过持续监视服务中的垃圾邮件和恶意软件签名更新来解决这些问题,并且对用户而言是无缝的。 ZAP 可查找用户邮箱中已有的邮件并自动执行操作。 ZAP 的搜索仅限于过去 48 小时发送的电子邮件。 如果 ZAP 检测到并移动消息,则不会通知用户。
观看此简短视频,了解 Microsoft Defender for Office 365 中的 ZAP 如何自动检测和消除电子邮件中的威胁。
电子邮件的零小时自动清除 (ZAP)
恶意软件的零小时自动清除 (ZAP)
对于在传递后发现包含恶意软件的 已读或未读 邮件,ZAP 会隔离包含恶意软件附件的邮件。 默认情况下,只有管理员才能查看和管理隔离的恶意软件消息。 但是,管理员可以创建和使用 隔离策略 来定义用户能够对隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
注意
无论如何配置隔离策略,用户都无法释放自己被隔离为恶意软件的邮件。 如果策略允许用户发布自己的隔离邮件,则用户可以 请求 释放其隔离的恶意软件邮件。
默认情况下,反恶意软件策略中启用了针对恶意软件的 ZAP。 有关详细信息,请参阅 在 EOP 中配置反恶意软件策略。
零小时自动清除 (针对钓鱼的 ZAP)
对于在传递后被标识为网络钓鱼 (不高置信度钓鱼) 的已读或未读邮件,ZAP 结果取决于为适用的反垃圾邮件策略中的网络钓鱼判决配置的操作。 以下列表介绍了可用的操作和可能的 ZAP 结果:
添加 X 标头、 带文本的前面主题行、 将邮件重定向到电子邮件地址、 删除邮件:ZAP 对邮件不执行任何操作。
将邮件移动到垃圾邮件Email:ZAP 将邮件移动到“垃圾邮件Email”文件夹。
这是在 PowerShell 中创建的默认反垃圾邮件策略和自定义反垃圾邮件策略中网络 钓鱼 判决的默认操作。
隔离邮件:ZAP 隔离邮件。
这是在“标准”和“严格”预设安全策略以及你在 Defender 门户中创建的自定义反垃圾邮件策略中对网络钓鱼判决的默认操作。
默认情况下,反垃圾邮件策略中启用了用于钓鱼的 ZAP。
有关配置垃圾邮件筛选判决的详细信息,请参阅 在 Microsoft 365 中配置反垃圾邮件策略。
零小时自动清除 (ZAP) 用于高置信度钓鱼
对于在传递后标识为高置信度钓鱼的已读或未读邮件,ZAP 会隔离邮件。 默认情况下,只有管理员才能查看和管理隔离的高置信度钓鱼邮件。 但是,管理员可以创建和使用 隔离策略 来定义用户能够对隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
注意
无论如何配置隔离策略,用户都无法释放自己被隔离为高置信度钓鱼的邮件。 如果策略允许用户释放自己的隔离邮件,则允许用户 请求 释放其隔离的高置信度钓鱼邮件。
默认情况下,高置信度钓鱼的 ZAP 处于启用状态。 有关详细信息,请参阅 Office 365 中的默认安全。
零小时自动清除 (ZAP) 垃圾邮件
对于在传递后被标识为垃圾邮件或高置信度垃圾邮件的未读邮件,ZAP 结果取决于为适用的反垃圾邮件策略中的垃圾邮件或高置信度垃圾邮件判决配置的操作。 以下列表介绍了可用的操作和可能的 ZAP 结果:
添加 X 标头、 带文本的前面主题行、 将邮件重定向到电子邮件地址、 删除邮件:ZAP 对邮件不执行任何操作。
将邮件移动到垃圾邮件Email:ZAP 将邮件移动到“垃圾邮件Email”文件夹。
对于 垃圾邮件 判决,这是默认反垃圾邮件策略、新的自定义反垃圾邮件策略和 标准预设安全策略中的默认操作。
对于 “高置信度垃圾邮件 ”判决,这是默认反垃圾邮件策略和新的自定义反垃圾邮件策略中的默认操作。
隔离邮件:ZAP 隔离邮件。
对于 垃圾邮件 判决,这是 严格预设安全策略中的默认操作。
对于 “高置信度垃圾邮件 ”判决,这是 “标准”和“严格”预设安全策略中的默认操作。
默认情况下,用户可以查看和管理被隔离为垃圾邮件或作为收件人的高置信度垃圾邮件的邮件。 但是,管理员可以创建和使用 隔离策略 来定义用户能够对隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
默认情况下,反垃圾邮件策略中启用了针对垃圾邮件的 ZAP。
有关配置垃圾邮件筛选判决的详细信息,请参阅 在 Microsoft 365 中配置反垃圾邮件策略。
如何查看 ZAP 是否移动了邮件
若要确定 ZAP 是否移动了你的消息,你有以下选项:
- 邮件数:使用 邮件流状态报告中的“邮件流”视图 查看指定日期范围中受 ZAP 影响的邮件数。
- 邮件详细信息:使用威胁资源管理器 (或实时检测) 按“其他操作”列的值 ZAP 筛选所有电子邮件事件。
注意
ZAP 未作为系统操作记录在 Exchange 邮箱审核日志中。
零小时自动清除 (ZAP) Microsoft Defender for Office 365中安全附件的注意事项
ZAP 不会隔离正在安全附件策略扫描中 动态传递 过程中的邮件。 如果收到此状态邮件的钓鱼或垃圾邮件信号,并且反垃圾邮件策略中的筛选判决设置为对邮件采取某些操作, (移动到垃圾邮件、重定向、删除或隔离) ,ZAP 将还原为“移动到垃圾邮件”操作。
Microsoft Teams 中的零小时自动清除 (ZAP)
提示
ZAP for Microsoft Teams 仅适用于Microsoft 365 E5或Microsoft Defender for Office 365计划 2 订阅的客户。 若要配置 ZAP for Teams 保护,请参阅Microsoft Defender for Office 365计划 2 对 Microsoft Teams 的支持。
Teams 聊天中的 ZAP
ZAP 可用于 Teams 聊天中标识为恶意软件或高置信度钓鱼的内部邮件。 目前不支持外部消息。
Teams 与电子邮件不同,因为 Teams 聊天中的每个人都会同时接收相同的邮件副本, (没有消息分叉) 。 当 ZAP for Teams 保护阻止消息时,聊天中的每个人都会阻止该消息。 初始块在交付后立即发生,但 ZAP 在交付后最多 48 小时发生。
Teams 聊天中 ZAP for Teams 保护的排除项对邮件 收件人(而不是邮件 发件人)很重要。 若要配置 Teams 聊天的例外,请参阅在计划 2 中配置 ZAP for Teams 保护Defender for Office 365。
如果聊天中的任何收件人未从 ZAP 进行 Teams 保护之外,ZAP for Teams 保护能够对聊天中的所有收件人的邮件执行操作。 仅当聊天 中的所有 收件人都排除在 ZAP for Teams 保护之外时,ZAP 才会对邮件执行操作。 下表说明了这些方案:
应用场景 | 结果 |
---|---|
与收件人 A、B、C 和 D 进行群组聊天。 对于 Teams 保护,不会将收件人 A、B、C 和 D 排除在 ZAP 之外。 |
ZAP 不会阻止发送到群组聊天的消息。 |
与收件人 A、B、C 和 D 进行群组聊天。 对于 Teams 保护,只有收件人 A、B 和 C 才会被排除在 ZAP 之外。 |
ZAP 能够阻止发送到群聊的所有收件人的消息。 |
与收件人 A、B、C 和 D 进行群组聊天。 对于 Teams 保护,不会将收件人 A、B、C 和 D 排除在 ZAP 之外。 发件人 X 从 ZAP 中排除,以便进行 Teams 保护,并向群聊发送消息。 |
ZAP 能够阻止发送到群聊的所有收件人的消息。 |
发件人视图:
收件人视图:
Teams 频道中的 ZAP
ZAP for Teams 保护支持以下类型的 Teams 频道:
- 标准通道:ZAP 可用于内部消息。 目前不支持外部消息。
- 共享通道:ZAP 可用于内部和外部消息。
目前,ZAP 在私人频道中不可用。
若要为 Teams 频道的 ZAP 保护配置例外,需要收件人电子邮件地址。 此地址不同于 Teams 客户端中的频道电子邮件地址。
若要获取用于 Teams 频道保护例外的收件人电子邮件地址,请使用 Teams 邮件实体面板的“频道详细信息”部分中的“名称和电子邮件”值。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的 Teams 消息实体面板。
若要为 Teams 频道配置例外,请参阅在计划 2 Defender for Office 365 中配置 ZAP for Teams 保护。
Teams 中针对高置信度钓鱼邮件的零小时自动清除 (ZAP)
对于在传递后被标识为高置信度钓鱼的邮件,ZAP for Teams 防护会阻止并隔离邮件。 若要在 ZAP for Teams 中设置用于高置信度钓鱼检测的隔离策略,请参阅Microsoft Defender for Office 365计划 2 对 Microsoft Teams 的支持。
Teams 邮件中恶意软件的零小时自动清除 (ZAP)
对于标识为恶意软件的邮件,ZAP for Teams 保护会阻止并隔离邮件。 若要在 ZAP for Teams 中设置用于恶意软件检测的隔离策略,请参阅Microsoft Defender for Office 365计划 2 对 Microsoft Teams 的支持。
如何查看 ZAP 是否阻止了 Teams 消息
目前,只有管理员可以查看和管理由 ZAP 隔离的邮件,以便 Teams 保护。 有关详细信息,请参阅使用 Microsoft Defender 门户管理Microsoft Teams 隔离邮件。
零小时自动清除 (ZAP) 常见问题解答
如果 ZAP 将合法邮件移动到“垃圾邮件Email”文件夹,会发生什么情况?
按照正常流程向 Microsoft报告误报。 仅当服务确定邮件是垃圾邮件或恶意邮件时,ZAP 才会将邮件从“收件箱”文件夹移动到“垃圾邮件Email”文件夹。
如果使用“隔离”文件夹而不是“垃圾邮件”文件夹,该怎么办?
ZAP 根据本文前面所述的反垃圾邮件策略配置对邮件执行操作。
EOP 和 Defender for Office 365 中的保护功能异常如何影响 ZAP?
安全 发件人列表、Exchange 邮件流规则 (传输规则) 以及其他组织阻止和允许设置可能会覆盖 ZAP 操作。 但是,对于恶意软件和高置信度钓鱼判决,在极少数情况下,ZAP 不对消息采取行动来保护用户:
- 高级传送策略中标识的第三方钓鱼模拟 URL (高置信度钓鱼) 。
- 高级传递策略中标识的 secOps 邮箱 (恶意软件和高置信度钓鱼) 。
- Microsoft 365 域的 MX 记录指向另一个服务或设备,你使用邮件流规则 绕过垃圾邮件筛选 (高置信度钓鱼) 。
- 管理员向Microsoft提交误报。 默认情况下,允许域和电子邮件地址、文件和 URL 的条目存在 30 天, (恶意软件和高置信度钓鱼) 。
请务必仔细考虑绕过筛选的影响,因为它可能会损害组织的安全状况。
ZAP 的许可要求是什么?
ZAP 没有针对恶意软件、垃圾邮件和网络钓鱼的特殊许可要求。 ZAP 适用于 Exchange Online 中托管的所有邮箱。 ZAP 不适用于受独立 EOP 保护的本地邮箱。
ZAP for Teams 保护需要Microsoft 365 E5或Microsoft Defender for Office 365计划 2 许可证。
ZAP 是否处理邮箱中其他文件夹中的邮件 (例如收件箱规则移动的邮件) ?
只要消息尚未删除,或者尚未应用相同或更强大的操作,ZAP 仍然有效。 例如,如果邮件位于“垃圾邮件Email”文件夹中,并且适用的反钓鱼策略中的操作是“隔离”,则 ZAP 会隔离邮件。
ZAP 如何影响保留邮箱?
ZAP 会隔离邮箱中的邮件处于保留状态。 ZAP 可以根据针对反垃圾邮件策略中的垃圾邮件或网络钓鱼判决配置的操作,将邮件移动到“垃圾邮件Email”文件夹。
有关Exchange Online中保留的详细信息,请参阅Exchange Online中的就地保留和诉讼保留。