Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Exchange Online Postfächern ist ZAP (Zero-Hour Auto Purge) ein Schutzfeature in Exchange Online Protection (EOP), das schädliche Phishing-, Spam- oder Schadsoftwarenachrichten, die bereits an Exchange Online Postfächer übermittelt wurden, rückwirkend erkennt und neutralisiert.

ZAP funktioniert nicht in eigenständigen EOP-Umgebungen, die lokale Postfächer schützen.

Hinweis

Derzeit in der Vorschauphase ist ZAP auch in der Lage, vorhandene schädliche Chatnachrichten in Microsoft Teams rückwirkend zu erkennen.

Spam- und Malware-Signaturen im Dienst werden täglich in Echtzeit aktualisiert. Benutzer können jedoch weiterhin böswillige Nachrichten empfangen. Zum Beispiel:

  • Zero-Day-Schadsoftware, die während des Nachrichtenflusses nicht erkennbar war.
  • Inhalte, die bewaffnet werden, nachdem sie an Benutzer übermittelt wurden.

ZAP löst diese Probleme durch die kontinuierliche Überwachung von Spam- und Malware-Signaturupdates im Dienst und ist für Benutzer nahtlos. ZAP sucht und führt automatisierte Aktionen für Nachrichten aus, die sich bereits im Postfach eines Benutzers befinden. Die Suche von ZAP ist auf die letzten 48 Stunden der zugestellten E-Mails beschränkt. Benutzer werden nicht benachrichtigt, wenn ZAP eine Nachricht erkennt und verschiebt.

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie ZAP in Microsoft Defender for Office 365 Bedrohungen in E-Mails automatisch erkennt und neutralisiert.

Automatische Löschung (Zero-Hour Auto Purge, ZAP) für E-Mail-Nachrichten

Zero-Hour Auto Purge (ZAP) für Schadsoftware

Für gelesene oder ungelesene Nachrichten , die nach der Übermittlung Schadsoftware enthalten, isoliert ZAP die Nachricht, die die Schadsoftwareanlage enthält. Standardmäßig können nur Administratoren Malwaremeldungen aus der Quarantäne anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit in Quarantäne befindlichen Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Hinweis

Benutzer können ihre eigenen Nachrichten, die als Schadsoftware unter Quarantäne standen, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .

ZAP für Schadsoftware ist in Richtlinien für Antischadsoftware standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishing

Bei gelesenen oder ungelesenen Nachrichten , die nach der Übermittlung als Phishing (kein Phishing mit hoher Zuverlässigkeit) identifiziert werden, hängt das ZAP-Ergebnis von der Aktion ab, die für ein Phishing-Urteil in der geltenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Aktionen und die möglichen ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

  • X-Header hinzufügen, Betreffzeile mit Text voranstellen, Nachricht an E-Mail-Adresse umleiten, Nachricht löschen: ZAP führt keine Aktion für die Nachricht aus.

  • Nachricht in Junk-Email verschieben: ZAP verschiebt die Nachricht in den Ordner Junk Email.

    Dies ist die Standardaktion für eine Phishingbewertung in der Standardmäßigen Antispamrichtlinie und benutzerdefinierten Antispamrichtlinien, die Sie in PowerShell erstellen.

  • Nachricht unter Quarantäne stellen: ZAP isoliert die Nachricht.

    Dies ist die Standardaktion für ein Phishing-Urteil in den voreingestellten Sicherheitsrichtlinien Standard und Strict sowie in benutzerdefinierten Antispamrichtlinien, die Sie im Defender-Portal erstellen.

Standardmäßig ist ZAP für Phishing in Antispamrichtlinien aktiviert.

Weitere Informationen zum Konfigurieren von Spamfilterungsbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Zero-Hour Auto Purge (ZAP) für Phishing mit hoher Zuverlässigkeit

Für gelesene oder ungelesene Nachrichten , die nach der Übermittlung als Phishing mit hoher Zuverlässigkeit identifiziert werden, wird die Nachricht von ZAP unter Quarantäne gesetzt. Standardmäßig können nur Administratoren in Quarantäne befindliche Phishingnachrichten mit hoher Zuverlässigkeit anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit in Quarantäne befindlichen Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Hinweis

Benutzer können ihre eigenen Nachrichten, die als Phishing mit hoher Zuverlässigkeit unter Quarantäne gesetzt wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer unter Quarantäne gestellten Phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

ZAP für Phishing mit hoher Zuverlässigkeit ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Secure by Default in Office 365.

Zero-Hour Auto Purge (ZAP) für Spam

Bei ungelesenen Nachrichten , die nach der Zustellung als Spam oder Spam mit hoher Zuverlässigkeit identifiziert werden, hängt das ZAP-Ergebnis von der Aktion ab, die für eine Spam - oder Hohe Zuverlässigkeits-Spam-Bewertung in der anwendbaren Antispamrichtlinie konfiguriert ist. Die verfügbaren Aktionen und die möglichen ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

  • X-Header hinzufügen, Betreffzeile mit Text voranstellen, Nachricht an E-Mail-Adresse umleiten, Nachricht löschen: ZAP führt keine Aktion für die Nachricht aus.

  • Nachricht in Junk-Email verschieben: ZAP verschiebt die Nachricht in den Ordner Junk Email.

    Für das Spam-Urteil ist dies die Standardaktion in der Standard-Antispamrichtlinie, neuen benutzerdefinierten Antispamrichtlinien und der voreingestellten Sicherheitsrichtlinie Standard.

    Für das Spam-Urteil Hohe Zuverlässigkeit ist dies die Standardaktion in der Standard-Antispamrichtlinie und neuen benutzerdefinierten Antispamrichtlinien.

  • Nachricht unter Quarantäne stellen: ZAP isoliert die Nachricht.

    Für das Spam-Urteil ist dies die Standardaktion in der voreingestellten Sicherheitsrichtlinie Streng.

    Für das Spam-Urteil Hohe Zuverlässigkeit ist dies die Standardaktion in den voreingestellten Sicherheitsrichtlinien Standard und Strict.

Standardmäßig können Benutzer Nachrichten anzeigen und verwalten, die als Spam oder Spam mit hoher Vertrauenswürdigkeit unter Quarantäne gesetzt wurden, wenn sie ein Empfänger sind. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit in Quarantäne befindlichen Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Standardmäßig ist ZAP für Spam in Antispamrichtlinien aktiviert.

Weitere Informationen zum Konfigurieren von Spamfilterungsbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

So überprüfen Sie, ob ZAP Ihre Nachricht verschoben hat

Um festzustellen, ob ZAP Ihre Nachricht verschoben hat, haben Sie die folgenden Optionen:

Hinweis

ZAP wird in den Überwachungsprotokollen des Exchange-Postfachs nicht als Systemaktion protokolliert.

Überlegungen zur automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für sichere Anlagen in Microsoft Defender for Office 365

ZAP stellt keine Nachrichten unter Quarantäne, die sich im Prozess der dynamischen Übermittlung in der Richtlinienüberprüfung sicherer Anlagen befinden. Wenn ein Phishing- oder Spamsignal für Nachrichten in diesem Zustand empfangen wird und das Filterurteil in der Antispamrichtlinie so festgelegt ist, dass eine Aktion für die Nachricht ausgeführt wird (In Junk verschieben, Umleiten, Löschen oder Quarantäne), setzt ZAP die Aktion "In Junk verschieben" zurück.

Automatische Löschung (Zero-Hour Auto Purge, ZAP) in Microsoft Teams

Tipp

ZAP für Microsoft Teams ist nur für Kunden mit Microsoft 365 E5- oder Microsoft Defender for Office 365 Plan 2-Abonnements verfügbar. Informationen zum Konfigurieren des Zap for Teams-Schutzes finden Sie unter Microsoft Defender for Office 365 Plan 2-Unterstützung für Microsoft Teams.

ZAP in Teams-Chats

ZAP ist für interne Nachrichten in Teams-Chats verfügbar, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert werden. Derzeit werden externe Nachrichten nicht unterstützt.

Teams unterscheidet sich von E-Mails, da jeder in einem Teams-Chat zur gleichen Zeit dieselbe Kopie der Nachricht erhält (es gibt keine Nachrichtenverzweigung). Wenn ZAP für Teams-Schutz eine Nachricht blockiert, wird die Nachricht für alle Personen im Chat blockiert. Die anfängliche Blockierung erfolgt direkt nach der Lieferung, aber ZAP erfolgt bis zu 48 Stunden nach der Lieferung.

Ausschlüsse für den Schutz von ZAP für Teams in Teams-Chats sind für Nachrichtenempfänger und nicht für Nachrichtensender von Bedeutung. Informationen zum Konfigurieren von Ausnahmen für Teams-Chats finden Sie unter Konfigurieren des Zap for Teams-Schutzes in Defender for Office 365 Plan 2.

Zap für Teams-Schutz kann Aktionen für Nachrichten für alle Empfänger in einem Chat ergreifen, wenn empfänger im Chat nicht vom ZAP for Teams-Schutz ausgeschlossen sind. Nur wenn alle Empfänger in einem Chat vom Schutz von ZAP für Teams ausgeschlossen sind, wird ZAP keine Maßnahmen für eine Nachricht ergreifen. Diese Szenarien werden in der folgenden Tabelle veranschaulicht:

Szenario Result
Gruppenchat mit den Empfängern A, B, C und D.

Die Empfänger A, B, C und D sind vom Zap for Teams-Schutz ausgeschlossen.
ZAP blockiert keine Nachrichten, die an den Gruppenchat gesendet werden.
Gruppenchat mit den Empfängern A, B, C und D.

Nur die Empfänger A, B und C sind vom Zap for Teams-Schutz ausgeschlossen.
ZAP kann Nachrichten blockieren, die an den Gruppenchat für alle Empfänger gesendet werden.
Gruppenchat mit den Empfängern A, B, C und D.

Die Empfänger A, B, C und D sind nicht vom Zap for Teams-Schutz ausgeschlossen.

Absender X ist vom Schutz von ZAP für Teams ausgeschlossen und sendet eine Nachricht an den Gruppenchat.
ZAP kann Nachrichten blockieren, die an den Gruppenchat für alle Empfänger gesendet werden.

Absenderansicht:

Abbildung, die zeigt, wie ZAP für Teams-Schutz für den Absender funktioniert.

Empfängeransicht:

Abbildung, die zeigt, wie ZAP für Teams-Schutz für den Empfänger funktioniert.

ZAP in Teams-Kanälen

Zap für Teams-Schutz unterstützt die folgenden Arten von Teams-Kanälen:

  • Standardkanäle: ZAP ist für interne Nachrichten verfügbar. Derzeit werden externe Nachrichten nicht unterstützt.
  • Freigegebene Kanäle: ZAP ist für interne und externe Nachrichten verfügbar.

Zap ist derzeit nicht in privaten Kanälen verfügbar.

Zum Konfigurieren von Ausnahmen für den ZAP-Schutz für Teams-Kanäle benötigen Sie die E-Mail-Adresse des Empfängers. Diese Adresse unterscheidet sich von der Kanal-E-Mail-Adresse im Teams-Client.

Um die E-Mail-Adresse des Empfängers abzurufen, die für Ausnahmen für den Teams-Kanalschutz verwendet werden soll, verwenden Sie den Wert Name und E-Mail aus dem Abschnitt Kanaldetails des Teams-Nachrichtenentitätsbereichs. Weitere Informationen finden Sie unter Der Teams-Nachrichtenentitätsbereich in Microsoft Defender for Office 365.

Die richtige E-Mail-Adresse des Teams-Kanals aus dem Teams-Nachrichtenentitätsbereich.

Informationen zum Konfigurieren von Ausnahmen für Teams-Kanäle finden Sie unter Konfigurieren des ZAP for Teams-Schutzes in Defender for Office 365 Plan 2.

Zero-Hour Auto Purge (ZAP) für phishing-Nachrichten mit hoher Zuverlässigkeit in Teams

Für Nachrichten, die nach der Übermittlung als Phishing mit hoher Zuverlässigkeit identifiziert werden, blockiert zap for Teams Protection die Nachricht und isoliert sie. Informationen zum Festlegen der Quarantänerichtlinie, die für Phishingerkennungen mit hoher Zuverlässigkeit in ZAP für Teams verwendet wird, finden Sie unter Microsoft Defender for Office 365 Plan 2-Unterstützung für Microsoft Teams.

Zero-Hour Auto Purge (ZAP) für Schadsoftware in Teams-Nachrichten

Für Nachrichten, die als Schadsoftware identifiziert werden, sperrt zap for Teams Protection die Nachricht und isoliert sie. Informationen zum Festlegen der Quarantänerichtlinie, die für Schadsoftwareerkennungen in ZAP für Teams verwendet wird, finden Sie unter Microsoft Defender for Office 365 Plan 2-Unterstützung für Microsoft Teams.

So überprüfen Sie, ob ZAP eine Teams-Nachricht blockiert hat

Derzeit können nur Administratoren Nachrichten anzeigen und verwalten, die von ZAP for Teams-Schutz unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Verwenden des Microsoft Defender-Portals zum Verwalten von in Microsoft Teams isolierten Nachrichten.

Häufig gestellte Fragen zur automatischen Bereinigung (Zero-Hour Auto Purge, ZAP)

Was geschieht, wenn ZAP legitime Nachrichten in den Ordner Junk Email verschiebt?

Befolgen Sie den normalen Prozess zum Melden falsch positiver Ergebnisse an Microsoft. ZAP verschiebt die Nachricht nur dann aus dem Ordner "Posteingang" in den Junk-Email Ordner, wenn der Dienst feststellt, dass die Nachricht Spam oder böswillig ist.

Was geschieht, wenn ich den Quarantäneordner anstelle des Junk-E-Mail-Ordners verwende?

ZAP ergreift Maßnahmen für eine Nachricht basierend auf der Konfiguration von Antispamrichtlinien, wie weiter oben in diesem Artikel beschrieben.

Wie wirkt sich ZAP auf die Ausnahmen von Schutzfeatures in EOP und Defender for Office 365 aus?

ZAP-Aktionen können durch Listen sicherer Absender, Exchange-Nachrichtenflussregeln (Transportregeln) und andere Einstellungen für Organisationsblöcke und Zulassungen überschrieben werden. Für Malware und Phishing-Bewertungen mit hoher Zuverlässigkeit gibt es jedoch nur sehr wenige Szenarien, in denen ZAP nicht auf Nachrichten reagiert, um Benutzer zu schützen:

Es ist wichtig, dass Sie die Auswirkungen der Umgehung der Filterung sorgfältig abwägen, da dies den Sicherheitsstatus Ihrer Organisation beeinträchtigen könnte.

Was sind die Lizenzierungsanforderungen für ZAP?

Es gibt keine speziellen Lizenzierungsanforderungen für ZAP für Schadsoftware, Spam und Phishing. ZAP arbeitet für alle Postfächer, die in Exchange Online gehostet werden. ZAP funktioniert nicht in lokalen Postfächern, die durch eigenständiges EOP geschützt sind.

Zap for Teams-Schutz erfordert Microsoft 365 E5- oder Microsoft Defender for Office 365 Plan 2-Lizenzen.

Arbeitet ZAP mit Nachrichten in anderen Ordnern im Postfach (z. B. Nachrichten, die von Posteingangsregeln verschoben wurden)?

ZAP funktioniert weiterhin, solange die Nachricht nicht gelöscht wurde oder solange die gleiche oder stärkere Aktion noch nicht angewendet wurde. Wenn sich die Nachricht beispielsweise im Ordner Junk-Email befindet und die Aktion in der entsprechenden Antiphishingrichtlinie unter Quarantäne steht, wird die Nachricht von ZAP unter Quarantäne gesetzt.

Wie wirkt sich ZAP auf postfächer im Warteschleifen aus?

ZAP isoliert Nachrichten aus Postfächern, die sich im Halteraum befinden. ZAP kann Nachrichten basierend auf der Aktion, die für eine Spam- oder Phishingbewertung in Antispamrichtlinien konfiguriert ist, in den Ordner Junk-Email verschieben.

Weitere Informationen zu Haltebereichen in Exchange Online finden Sie unter In-Situ-Aufbewahrung und Beweissicherungsverfahren in Exchange Online.