Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online, l'eliminazione automatica a zero ore (ZAP) è una funzionalità di protezione in Exchange Online Protection (EOP) che rileva e neutralizza in modo retroattivo i messaggi dannosi di phishing, posta indesiderata o malware già recapitati alle cassette postali Exchange Online.

ZAP non funziona in ambienti EOP autonomi che proteggono le cassette postali locali.

Nota

Attualmente in anteprima, ZAP è anche in grado di rilevare retroattivamente i messaggi di chat dannosi esistenti in Microsoft Teams.

Le firme di posta indesiderata e malware nel servizio vengono aggiornate in tempo reale su base giornaliera. Tuttavia, gli utenti possono comunque ricevere messaggi dannosi. Ad esempio:

  • Malware zero-day non rilevabile durante il flusso di posta.
  • Contenuto che viene armato dopo essere stato consegnato agli utenti.

ZAP risolve questi problemi monitorando continuamente gli aggiornamenti delle firme di malware e posta indesiderata nel servizio ed è facile per gli utenti. ZAP trova e esegue un'azione automatizzata sui messaggi già presenti nella cassetta postale di un utente. La ricerca di ZAP è limitata alle ultime 48 ore di posta elettronica recapitata. Gli utenti non ricevono notifiche se ZAP rileva e sposta un messaggio.

Guardare questo breve video per informazioni su come ZAP in Microsoft Defender per Office 365 rileva e neutralizza automaticamente le minacce nella posta elettronica.

Eliminazione automatica a zero ore (ZAP) per i messaggi di posta elettronica

Eliminazione automatica a zero ore (ZAP) per il malware

Per i messaggi letti o non letti che contengono malware dopo il recapito, ZAP mette in quarantena il messaggio che contiene l'allegato malware. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi malware in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Nota

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.

ZAP per malware è abilitato per impostazione predefinita nei criteri antimalware. Per altre informazioni, vedere Configurare i criteri antimalware in EOP.

Eliminazione automatica a zero ore (ZAP) per il phishing

Per i messaggi letti o non letti identificati come phishing (non phishing con attendibilità elevata) dopo il recapito, il risultato ZAP dipende dall'azione configurata per un verdetto di phishing nei criteri di protezione dalla posta indesiderata applicabili. Le azioni disponibili e i possibili risultati ZAP sono descritti nell'elenco seguente:

  • Aggiungere X-Header, Anteporre la riga dell'oggetto con testo, Reindirizzare il messaggio all'indirizzo di posta elettronica, Eliminare il messaggio: ZAP non esegue alcuna azione sul messaggio.

  • Spostare il messaggio in Junk Email: ZAP sposta il messaggio nella cartella Junk Email.

    Si tratta dell'azione predefinita per un verdetto di phishing nei criteri di protezione dalla posta indesiderata predefiniti e nei criteri di protezione dalla posta indesiderata personalizzati creati in PowerShell.

  • Messaggio di quarantena: ZAP mette in quarantena il messaggio.

    Si tratta dell'azione predefinita per un verdetto di phishing nei criteri di sicurezza predefiniti Standard e Strict e nei criteri di protezione dalla posta indesiderata personalizzati creati nel portale di Defender.

Per impostazione predefinita, ZAP per il phishing è abilitato nei criteri di protezione dalla posta indesiderata.

Per altre informazioni sulla configurazione dei verdetti di filtro della posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.

Eliminazione automatica a zero ore (ZAP) per il phishing con attendibilità elevata

Per i messaggi letti o non letti identificati come phishing con attendibilità elevata dopo il recapito, ZAP mette in quarantena il messaggio. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi di phishing con attendibilità elevata in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Nota

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come phishing con attendibilità elevata, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi di phishing con attendibilità elevata in quarantena.

ZAP per il phishing con attendibilità elevata è abilitato per impostazione predefinita. Per altre informazioni, vedere Proteggere per impostazione predefinita in Office 365.

Eliminazione automatica a zero ore (ZAP) per la posta indesiderata

Per i messaggi non letti identificati come posta indesiderata o posta indesiderata ad alta attendibilità dopo il recapito, il risultato ZAP dipende dall'azione configurata per un verdetto di posta indesiderata con attendibilità elevata nei criteri di protezione dalla posta indesiderata applicabili. Le azioni disponibili e i possibili risultati ZAP sono descritti nell'elenco seguente:

  • Aggiungere X-Header, Anteporre la riga dell'oggetto con testo, Reindirizzare il messaggio all'indirizzo di posta elettronica, Eliminare il messaggio: ZAP non esegue alcuna azione sul messaggio.

  • Spostare il messaggio in Junk Email: ZAP sposta il messaggio nella cartella Junk Email.

    Per il verdetto Posta indesiderata , questa è l'azione predefinita nei criteri di protezione dalla posta indesiderata predefiniti, nei nuovi criteri di protezione dalla posta indesiderata personalizzati e nei criteri di sicurezza predefiniti standard.

    Per il verdetto di posta indesiderata con attendibilità elevata , questa è l'azione predefinita nei criteri di protezione dalla posta indesiderata predefiniti e nei nuovi criteri di protezione dalla posta indesiderata personalizzati.

  • Messaggio di quarantena: ZAP mette in quarantena il messaggio.

    Per il verdetto Posta indesiderata , questa è l'azione predefinita nei criteri di sicurezza del set di impostazioni Strict.

    Per il verdetto di posta indesiderata con attendibilità elevata , questa è l'azione predefinita nei criteri di sicurezza predefiniti Standard e Strict.

Per impostazione predefinita, gli utenti possono visualizzare e gestire i messaggi messi in quarantena come posta indesiderata o posta indesiderata con attendibilità elevata in cui sono destinatari. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Per impostazione predefinita, ZAP per la posta indesiderata è abilitato nei criteri di protezione dalla posta indesiderata.

Per altre informazioni sulla configurazione dei verdetti di filtro della posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.

Come vedere se ZAP ha spostato il messaggio

Per determinare se ZAP ha spostato il messaggio, sono disponibili le opzioni seguenti:

Nota

ZAP non viene registrato nei log di controllo delle cassette postali di Exchange come azione di sistema.

Considerazioni sull'eliminazione automatica a zero ore (ZAP) per allegati sicuri in Microsoft Defender per Office 365

ZAP non mette in quarantena i messaggi in corso di analisi dei criteri recapito dinamico in allegati sicuri. Se viene ricevuto un segnale di phishing o posta indesiderata per i messaggi in questo stato e il verdetto di filtro nei criteri di protezione dalla posta indesiderata è impostato per eseguire un'azione sul messaggio (Sposta indesiderata, Reindirizza, Elimina o Quarantena), ZAP ripristina l'azione "Sposta indesiderata".

Eliminazione automatica a zero ore (ZAP) in Microsoft Teams

Consiglio

ZAP per Microsoft Teams è disponibile solo per i clienti con abbonamenti Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2. Per configurare ZAP per la protezione di Teams, vedere Microsoft Defender per Office 365 supporto del piano 2 per Microsoft Teams.

ZAP nelle chat di Teams

ZAP è disponibile per i messaggi interni nelle chat di Teams identificati come malware o phishing ad alta attendibilità. Attualmente, i messaggi esterni non sono supportati.

Teams è diverso dalla posta elettronica, perché tutti gli utenti di una chat di Teams ricevono contemporaneamente la stessa copia del messaggio (non è presente alcuna biforcazione dei messaggi). Quando la protezione ZAP per Teams blocca un messaggio, il messaggio viene bloccato per tutti gli utenti della chat. Il blocco iniziale si verifica subito dopo il recapito, ma ZAP si verifica fino a 48 ore dopo il recapito.

Le esclusioni per la protezione ZAP per Teams nelle chat di Teams sono importanti per i destinatari dei messaggi e non per i mittenti dei messaggi. Per configurare le eccezioni per le chat di Teams, vedere Configurare la protezione ZAP per Teams in Defender per Office 365 Piano 2.

ZAP per la protezione di Teams è in grado di intervenire sui messaggi per tutti i destinatari di una chat se i destinatari della chat non sono esclusi dalla protezione ZAP for Teams. Solo quando tutti i destinatari di una chat sono esclusi dalla protezione ZAP for Teams, ZAP non interviene su un messaggio. Questi scenari sono illustrati nella tabella seguente:

Scenario Risultato
Chat di gruppo con i destinatari A, B, C e D.

I destinatari A, B, C e D sono esclusi dalla protezione ZAP for Teams.
ZAP non blocca i messaggi inviati alla chat di gruppo.
Chat di gruppo con i destinatari A, B, C e D.

Solo i destinatari A, B e C sono esclusi dalla protezione ZAP for Teams.
ZAP è in grado di bloccare i messaggi inviati alla chat di gruppo per tutti i destinatari.
Chat di gruppo con i destinatari A, B, C e D.

I destinatari A, B, C e D non sono esclusi dalla protezione ZAP for Teams.

Il mittente X è escluso dalla protezione ZAP for Teams e invia un messaggio alla chat di gruppo.
ZAP è in grado di bloccare i messaggi inviati alla chat di gruppo per tutti i destinatari.

Visualizzazione mittente:

Immagine che mostra il funzionamento della protezione ZAP for Teams per il mittente.

Visualizzazione destinatario:

Immagine che mostra il funzionamento della protezione ZAP for Teams per il destinatario.

ZAP nei canali di Teams

La protezione ZAP per Teams supporta i tipi di canali di Teams seguenti:

  • Canali standard: ZAP è disponibile per i messaggi interni. Attualmente, i messaggi esterni non sono supportati.
  • Canali condivisi: ZAP è disponibile per i messaggi interni ed esterni.

Attualmente ZAP non è disponibile nei canali privati.

Per configurare le eccezioni per la protezione ZAP per i canali di Teams, è necessario l'indirizzo di posta elettronica del destinatario. Questo indirizzo è diverso dall'indirizzo di posta elettronica del canale nel client di Teams.

Per ottenere l'indirizzo di posta elettronica del destinatario da usare per le eccezioni per la protezione del canale di Teams, usare il valore Nome e posta elettronica della sezione Dettagli canale del pannello entità messaggio di Teams. Per altre informazioni, vedere Pannello dell'entità messaggio di Teams in Microsoft Defender per Office 365.

Indirizzo di posta elettronica del canale teams corretto dal pannello dell'entità messaggio di Teams.

Per configurare le eccezioni per i canali di Teams, vedere Configurare la protezione ZAP per Teams in Defender per Office 365 Piano 2.

Eliminazione automatica a zero ore (ZAP) per i messaggi di phishing ad alta attendibilità in Teams

Per i messaggi identificati come phishing ad alta attendibilità dopo il recapito, ZAP per teams blocca e mette in quarantena il messaggio. Per impostare i criteri di quarantena usati per i rilevamenti di phishing con attendibilità elevata in ZAP per Teams, vedere Microsoft Defender per Office 365 supporto del piano 2 per Microsoft Teams.

Eliminazione automatica a zero ore (ZAP) per il malware nei messaggi di Teams

Per i messaggi identificati come malware, zap per teams blocca e mette in quarantena il messaggio. Per impostare i criteri di quarantena usati per i rilevamenti di malware in ZAP per Teams, vedere Microsoft Defender per Office 365 supporto del piano 2 per Microsoft Teams.

Come vedere se ZAP ha bloccato un messaggio di Teams

Attualmente, solo gli amministratori possono visualizzare e gestire i messaggi messi in quarantena da ZAP per la protezione di Teams. Per altre informazioni, vedere Usare il portale di Microsoft Defender per gestire i messaggi in quarantena di Microsoft Teams.

Domande frequenti sulla rimozione automatica a zero ore (ZAP)

Cosa accade se ZAP sposta i messaggi legittimi nella cartella Posta indesiderata Email?

Seguire il normale processo per segnalare falsi positivi a Microsoft. ZAP sposta il messaggio dalla cartella Posta in arrivo alla cartella Posta indesiderata Email solo se il servizio determina che il messaggio è indesiderata o dannoso.

Cosa accade se si usa la cartella Quarantena anziché la cartella Posta indesiderata?

ZAP esegue un'azione su un messaggio in base alla configurazione dei criteri di protezione dalla posta indesiderata, come descritto in precedenza in questo articolo.

In che modo ZAP è interessato dalle eccezioni alle funzionalità di protezione in EOP e Defender per Office 365?

Le azioni ZAP possono essere sostituite da elenchi mittenti attendibili, regole del flusso di posta di Exchange (regole di trasporto) e altre impostazioni di blocco e autorizzazione dell'organizzazione. Tuttavia, per il malware e i verdetti di phishing ad alta attendibilità, esistono pochissimi scenari in cui ZAP non agisce sui messaggi per proteggere gli utenti:

È importante considerare attentamente le implicazioni del bypass del filtro, in quanto potrebbe compromettere il comportamento di sicurezza dell'organizzazione.

Quali sono i requisiti di licenza per ZAP?

Non sono previsti requisiti di licenza speciali per ZAP per malware, posta indesiderata e phishing. ZAP funziona in tutte le cassette postali ospitate in Exchange Online. ZAP non funziona nelle cassette postali locali protette da EOP autonomo.

La protezione ZAP per Teams richiede licenze Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2.

ZAP funziona sui messaggi in altre cartelle della cassetta postale (ad esempio, i messaggi spostati dalle regole posta in arrivo)?

ZAP funziona ancora fino a quando il messaggio non è stato eliminato o fino a quando l'azione stessa o più forte non è già stata applicata. Ad esempio, se il messaggio si trova nella cartella Junk Email e l'azione nei criteri anti-phishing applicabili è la quarantena, ZAP mette in quarantena il messaggio.

In che modo ZAP influisce sulle cassette postali in attesa?

ZAP mette in quarantena i messaggi dalle cassette postali in attesa. ZAP può spostare i messaggi nella cartella Junk Email in base all'azione configurata per un verdetto di posta indesiderata o phishing nei criteri di protezione dalla posta indesiderata.

Per altre informazioni sui blocchi in Exchange Online, vedere Blocco sul posto e Blocco per controversia legale in Exchange Online.