EOP'de kötü amaçlı yazılımdan koruma

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

posta kutuları olmayan Exchange Online veya tek başına Exchange Online Protection (EOP) kuruluşlarında posta kutuları olan Microsoft 365 Exchange Online kuruluşlarında, e-posta iletileri EOP tarafından kötü amaçlı yazılımlara karşı otomatik olarak korunur. Kötü amaçlı yazılım kategorilerinden bazıları şunlardır:

  • Diğer programlara ve verilere bulaşan ve bilgisayarınıza veya ağınıza yayılarak bulaşacak programları arayan virüsler.
  • Oturum açma bilgileri ve kişisel veriler gibi kişisel bilgilerinizi toplayan ve yazarına geri gönderen casus yazılımlar.
  • Verilerinizi şifreleyen ve şifresini çözmek için ödeme gerektiren fidye yazılımı. Kötü amaçlı yazılımdan koruma yazılımı şifrelenmiş dosyaların şifresini çözmenize yardımcı olmaz, ancak fidye yazılımıyla ilişkili kötü amaçlı yazılım yükünü algılayabilir.

EOP, Kuruluşunuza gelen veya kuruluşunuzdan giden Windows, Linux ve Mac'te bilinen tüm kötü amaçlı yazılımları yakalamak için tasarlanmış çok katmanlı kötü amaçlı yazılım koruması sunar. Aşağıdaki seçenekler kötü amaçlı yazılımdan koruma sağlamaya yardımcı olur:

  • Kötü amaçlı yazılımlara karşı katmanlı savunma: Kötü amaçlı yazılımdan koruma taramaları hem bilinen hem de bilinmeyen tehditlere karşı korunmaya yardımcı olur. Microsoft'un kötü amaçlı yazılımdan koruma özelliği, kötü amaçlı yazılım salgınının ilk aşamalarında bile koruma sağlayan güçlü buluşsal algılama içerir.
  • Gerçek zamanlı tehdit yanıtı: Bazı salgınlar sırasında kötü amaçlı yazılımdan koruma ekibi, bir tanım kullanıma sunulmadan önce bile tehdidi algılayan gelişmiş ilke kuralları yazmak için virüs veya başka bir kötü amaçlı yazılım türü hakkında yeterli bilgiye sahip olabilir. Bu kurallar, kuruluşunuza saldırılara karşı ek bir koruma katmanı sağlamak için 2 saatte bir genel ağda yayımlanır.
  • Hızlı kötü amaçlı yazılımdan koruma tanımı dağıtımı: Kötü amaçlı yazılımdan koruma ekibi, kötü amaçlı yazılım tanımlarını ve düzeltme eklerini genel kullanıma sunulmadan önce alabilir ve tümleştirebilir.

EOP'de, herhangi bir ekte kötü amaçlı yazılım içerdiği bulunan iletiler karantinaya alınır*. Alıcıların karantinaya alınan iletileri görüntüleyip görüntüleyemeyeceği veya başka bir şekilde etkileşim kurabileceği , karantina ilkeleri tarafından denetlenmektedir. Varsayılan olarak, kötü amaçlı yazılım nedeniyle karantinaya alınan iletiler yalnızca yöneticiler tarafından görüntülenebilir ve yayımlanabilir. Kullanıcılar, yöneticilerin yapılandırdıkları kullanılabilir ayarlardan bağımsız olarak karantinaya alınmış kötü amaçlı yazılım iletilerini yayımlayamaz. Daha fazla bilgi için aşağıdaki makalelere bakın:

* Gelişmiş teslim ilkesinde tanımlanan SecOps posta kutularında kötü amaçlı yazılım filtreleme atlanır. Daha fazla bilgi için bkz. Üçüncü taraf kimlik avı simülasyonları ve SecOps posta kutularına e-posta teslimi için gelişmiş teslim ilkesini yapılandırma.

Kötü amaçlı yazılımdan koruma ilkeleri de ortak ekler filtresi içerir. Belirtilen dosya türlerini içeren iletiler otomatik olarak kötü amaçlı yazılım olarak tanımlanır. Daha fazla bilgi için, bu makalenin devamında yer alan Kötü amaçlı yazılımdan koruma ilkelerinde yaygın ekler filtresi bölümüne bakın.

Kötü amaçlı yazılımdan koruma hakkında daha fazla bilgi için bkz. Kötü amaçlı yazılımdan koruma SSS.

Varsayılan kötü amaçlı yazılımdan koruma ilkesini yapılandırmak ve özel kötü amaçlı yazılımdan koruma ilkeleri oluşturmak, değiştirmek ve kaldırmak için bkz. Kötü amaçlı yazılımdan koruma ilkelerini yapılandırma. Standart ve Katı önceden ayarlanmış güvenlik ilkelerinde, kötü amaçlı yazılımdan koruma ilkesi ayarları EOP kötü amaçlı yazılımdan koruma ilkesi ayarlarında açıklandığı gibi zaten yapılandırılmış ve değiştirilemez.

İpucu

Kötü amaçlı yazılım kararına katılmıyorsanız, ileti ekini hatalı pozitif (kötü olarak işaretlenmiş iyi ek) veya hatalı negatif (hatalı eke izin verilir) olarak Microsoft'a bildirebilirsiniz. Daha fazla bilgi için bkz. şüpheli bir e-postayı veya dosyayı Microsoft'a bildirme Nasıl yaparım??

Kötü amaçlı yazılımdan koruma ilkeleri

Kötü amaçlı yazılımdan koruma ilkeleri, kötü amaçlı yazılım algılamaları için yapılandırılabilir ayarları ve bildirim seçeneklerini denetler. Kötü amaçlı yazılımdan koruma ilkelerindeki önemli ayarlar aşağıdaki alt bölümlerde açıklanmıştır.

Kötü amaçlı yazılımdan koruma ilkelerindeki alıcı filtreleri

Alıcı filtreleri, ilkenin uygulandığı iç alıcıları tanımlamak için koşulları ve özel durumları kullanır. Özel ilkelerde en az bir koşul gereklidir. Koşullar ve özel durumlar varsayılan ilkede kullanılamaz (varsayılan ilke tüm alıcılar için geçerlidir). Koşullar ve özel durumlar için aşağıdaki alıcı filtrelerini kullanabilirsiniz:

  • Kullanıcılar: Kuruluştaki bir veya daha fazla posta kutusu, posta kullanıcısı veya posta kişisi.
  • Gruplar:
    • Belirtilen dağıtım gruplarının veya posta etkin güvenlik gruplarının üyeleri (dinamik dağıtım grupları desteklenmez).
    • Belirtilen Microsoft 365 Grupları.
  • Etki alanları: Microsoft 365'te yapılandırılmış kabul edilen etki alanlarından biri veya daha fazlası. Alıcının birincil e-posta adresi belirtilen etki alanında.

Bir koşulu veya özel durumu yalnızca bir kez kullanabilirsiniz, ancak koşul veya özel durum birden çok değer içerebilir:

  • Aynı koşul veya özel durum için birden çok değer OR mantığı kullanır (örneğin, <alıcı1> veya <alıcı2>):

    • Koşullar: Alıcı belirtilen değerlerden herhangi biri ile eşleşiyorsa, ilke bu değerlere uygulanır.
    • Özel durumlar: Alıcı belirtilen değerlerden herhangi biri ile eşleşiyorsa, ilke bu değerlere uygulanmaz.
  • Farklı özel durum türleri OR mantığını kullanır (örneğin, <alıcı1 veya grup1> üyesi ya da <etki alanı1>>üyesi).< Alıcı belirtilen özel durum değerlerinden herhangi birini eşleştirirse, ilke bu değerlere uygulanmaz.

  • Farklı koşul türleri AND mantığı kullanır. İlkenin bu ilkeye uygulanabilmesi için alıcının belirtilen tüm koşullarla eşleşmesi gerekir. Örneğin, aşağıdaki değerlerle bir koşul yapılandırabilirsiniz:

    • Kullanıcı: romain@contoso.com
    • Gruplar: Yöneticiler

    İlke romain@contoso.com, yalnızca Yöneticiler grubunun da üyesiyse uygulanır. Aksi takdirde ilke ona uygulanmaz.

Kötü amaçlı yazılımdan koruma ilkelerinde yaygın ekler filtresi

E-posta yoluyla göndermemeniz gereken bazı dosya türleri vardır (örneğin, yürütülebilir dosyalar). Zaten hepsini engellemeniz gerekirken neden bu tür dosyaları kötü amaçlı yazılımlara karşı taramaya zahmet ediyorsunuz? Yaygın ekler filtresi burada devreye girer. Belirttiğiniz dosya türleri otomatik olarak kötü amaçlı yazılım olarak tanımlanır.

Varsayılan dosya türlerinin listesi varsayılan kötü amaçlı yazılımdan koruma ilkesinde, oluşturduğunuz özel kötü amaçlı yazılımdan koruma ilkelerinde ve Standart ve Katı ön ayarlı güvenlik ilkelerindeki kötü amaçlı yazılımdan koruma ilkelerinde kullanılır.

Microsoft Defender portalında ek dosya türleri listesinden seçim yapabilir veya Microsoft Defender portalında kötü amaçlı yazılımdan koruma ilkeleri oluşturduğunuzda veya değiştirdiğinizde kendi değerlerinizi ekleyebilirsiniz.

  • Varsayılan dosya türleri: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

  • Defender portalında seçecek ek dosya türleri: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Dosyalar ortak ekler filtresi tarafından algılandığında, İletiyi teslim edilmedi raporuyla (NDR) reddet veya İletiyi karantinaya al'ı seçebilirsiniz.

Ortak ekler filtresinde doğru tür eşleştirmesi

Yaygın ekler filtresi, dosya adı uzantısından bağımsız olarak dosya türünü algılamak için en iyi çabayı gerçek tür eşleştirmesini kullanır. Doğru tür eşleştirme, gerçek dosya türünü belirlemek için dosya özelliklerini kullanır (örneğin, dosyadaki baştaki ve sondaki baytlar). Örneğin, bir exe dosya bir txt dosya adı uzantısıyla yeniden adlandırılırsa, yaygın ekler filtresi dosyayı dosya exe olarak algılar.

Ortak ekler filtresinde doğru tür eşleştirmesi aşağıdaki dosya türlerini destekler:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Gerçek tür eşleştirmesi başarısız olursa veya dosya türü için desteklenmiyorsa, basit uzantı eşleştirmesi kullanılır.

Kötü amaçlı yazılımdan koruma ilkelerinde sıfır saatlik otomatik temizleme (ZAP)

Kötü amaçlı yazılım için ZAP, Exchange Online posta kutularına teslim edildikten sonra kötü amaçlı yazılım içerdiği belirlenen iletileri karantinaya alır. Varsayılan olarak, kötü amaçlı yazılım için ZAP açıktır ve açık bırakmanızı öneririz. Daha fazla bilgi için bkz. Kötü amaçlı yazılım için sıfır saatlik otomatik temizleme (ZAP).

Kötü amaçlı yazılımdan koruma ilkelerinde karantina ilkeleri

Karantina ilkeleri, kullanıcıların karantinaya alınan iletilere neler yapabileceğini ve kullanıcıların karantina bildirimleri alıp almayacağını tanımlar. Varsayılan olarak, alıcılar kötü amaçlı yazılım olarak karantinaya alınan iletiler için bildirim almaz ve yöneticiler tarafından yapılandırılan kullanılabilir ayarlardan bağımsız olarak kullanıcılar kendi karantinaya alınmış kötü amaçlı yazılım iletilerini yayınlayamaz. Daha fazla bilgi için bkz . Karantina ilkesinin anatomisi.

Kötü amaçlı yazılımdan koruma ilkelerinde bildirimleri Yönetici

İç veya dış gönderenlerden gelen iletilerde algılanan kötü amaçlı yazılım bildirimleri almak için ek bir alıcı (yönetici) belirtebilirsiniz. İç ve dış bildirimler için Kimden adresi, konu ve ileti metnini özelleştirebilirsiniz.

Bu ayarlar varsayılan olarak varsayılan kötü amaçlı yazılımdan koruma ilkesinde veya Standart veya Katı önceden belirlenmiş güvenlik ilkelerinde yapılandırılmaz.

İpucu

Yönetici bildirimleri yalnızca kötü amaçlı yazılım olarak sınıflandırılan ekler için gönderilir.

Kötü amaçlı yazılımdan koruma ilkesine atanan karantina ilkesi, alıcıların kötü amaçlı yazılım olarak karantinaya alınan iletiler için e-posta bildirimleri alıp almadığını belirler.

Kötü amaçlı yazılımdan koruma ilkelerinin önceliği

Bu ilkeler açıksa, Standart ve Katı ön ayarlı güvenlik ilkeleri herhangi bir özel kötü amaçlı yazılımdan koruma ilkesinden veya varsayılan ilkeden önce uygulanır (Katı her zaman ilk sıradadır). Birden çok özel kötü amaçlı yazılımdan koruma ilkesi oluşturursanız, bunların uygulanma sırasını belirtebilirsiniz. İlke uygulandıktan sonra ilke işleme durdurulur (bu alıcı için en yüksek öncelikli ilke).

Öncelik sırası ve birden çok ilkenin nasıl değerlendirıldığı hakkında daha fazla bilgi için bkz . E-posta korumasının sırası ve önceliği ve Önceden belirlenmiş güvenlik ilkeleri ve diğer ilkeler için öncelik sırası.

Varsayılan kötü amaçlı yazılımdan koruma ilkesi

Her kuruluşun aşağıdaki özelliklere sahip Varsayılan adlı yerleşik bir kötü amaçlı yazılımdan koruma ilkesi vardır:

  • İlke varsayılan ilkedir ( IsDefault özelliği değerine Truesahiptir) ve varsayılan ilkeyi silemezsiniz.
  • İlke, kuruluştaki tüm alıcılara otomatik olarak uygulanır ve bu ilkeyi kapatamazsınız.
  • İlke her zaman en son uygulanır ( Öncelik değeri En Düşük'tür ve bunu değiştiremezsiniz).