Office 365 için Microsoft Defender'de sıfır saatlik otomatik temizleme (ZAP)
İpucu
Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Exchange Online posta kutularına sahip Microsoft 365 kuruluşlarında sıfır saat otomatik temizleme (ZAP), Exchange Online Protection (EOP) uygulamasında önceden Exchange Online posta kutularına teslim edilmiş kötü amaçlı kimlik avı, istenmeyen posta veya kötü amaçlı yazılım iletilerini geriye dönük olarak algılayan ve etkisiz hale getiren bir koruma özelliğidir.
ZAP, şirket içi posta kutularını koruyan tek başına EOP ortamlarında çalışmaz.
Not
Şu anda Önizleme aşamasında olan ZAP, Microsoft Teams'de mevcut kötü amaçlı sohbet iletilerini de geriye dönük olarak algılayabilir.
Hizmetteki istenmeyen posta ve kötü amaçlı yazılım imzaları günlük olarak gerçek zamanlı olarak güncelleştirilir. Ancak, kullanıcılar yine de kötü amaçlı iletiler alabilir. Örneğin:
- Posta akışı sırasında algılanamayan sıfır günlük kötü amaçlı yazılım.
- Kullanıcılara teslim edildikten sonra silah haline getirilen içerik.
ZAP, hizmetteki istenmeyen posta ve kötü amaçlı yazılım imza güncelleştirmelerini sürekli izleyerek bu sorunları giderir ve kullanıcılar için sorunsuzdur. ZAP, zaten kullanıcının posta kutusunda olan iletileri bulur ve bu iletilerde otomatik eylem uygular. ZAP'ın araması son 48 saatlik teslim edilen e-postayla sınırlıdır. ZAP bir iletiyi algılayıp taşırsa kullanıcılara bildirim gönderilmez.
Office 365 için Microsoft Defender'da ZAP'ın e-postadaki tehditleri otomatik olarak nasıl algılayıp etkisiz hale getirildiğini öğrenmek için bu kısa videoyu izleyin.
E-posta iletileri için sıfır saatlik otomatik temizleme (ZAP)
Kötü amaçlı yazılım için sıfır saatlik otomatik temizleme (ZAP)
Teslimden sonra kötü amaçlı yazılım içerdiği bulunan okunmuş veya okunmamış iletiler için ZAP, kötü amaçlı yazılım ekini içeren iletiyi karantinaya alır. Varsayılan olarak, karantinaya alınan kötü amaçlı yazılım iletilerini yalnızca yöneticiler görüntüleyebilir ve yönetebilir. Ancak yöneticiler karantinaya alınan iletilerde kullanıcıların yapabileceklerini ve kullanıcıların karantina bildirimleri alıp almadığını tanımlamak için karantina ilkeleri oluşturabilir ve kullanabilir. Daha fazla bilgi için bkz . Karantina ilkesinin anatomisi.
Not
Kullanıcılar, karantina ilkesinin nasıl yapılandırıldığına bakılmaksızın kötü amaçlı yazılım olarak karantinaya alınan kendi iletilerini yayınlayamaz. İlke kullanıcıların kendi karantinaya alınan iletilerini yayınlamasına izin veriyorsa, kullanıcıların karantinaya alınan kötü amaçlı yazılım iletilerinin yayınlanmasını istemesine izin verilir.
Kötü amaçlı yazılımdan koruma ilkelerinde kötü amaçlı yazılımlara yönelik ZAP varsayılan olarak etkindir. Daha fazla bilgi için bkz. EOP'de kötü amaçlı yazılımdan koruma ilkelerini yapılandırma.
Kimlik avı için sıfır saatlik otomatik temizleme (ZAP)
Teslimden sonra kimlik avı (yüksek güvenilirlikli kimlik avı değil) olarak tanımlanan okunmuş veya okunmamış iletiler için ZAP sonucu, geçerli istenmeyen posta önleme ilkesinde kimlik avı kararı için yapılandırılan eyleme bağlıdır. Kullanılabilir eylemler ve olası ZAP sonuçları aşağıdaki listede açıklanmıştır:
Metin içeren X-Header, Prepend konu satırı ekleme, İletiyi e-posta adresine yeniden yönlendirme, İletiyi silme: ZAP ileti üzerinde hiçbir işlem gerçekleştirmez.
İletiyi Gereksiz Email taşıma: ZAP, iletiyi Gereksiz Email klasörüne taşır.
Bu, PowerShell'de oluşturduğunuz varsayılan istenmeyen posta önleme ilkesinde ve özel istenmeyen posta önleme ilkelerinde kimlik avı kararı için varsayılan eylemdir.
Karantina iletisi: ZAP, iletiyi karantinaya alır.
Bu, Standart ve Katı önceden ayarlanmış güvenlik ilkelerinde ve Defender portalında oluşturduğunuz özel istenmeyen posta önleme ilkelerinde kimlik avı kararı için varsayılan eylemdir.
Varsayılan olarak, kimlik avı için ZAP istenmeyen posta önleme ilkelerinde etkinleştirilir.
İstenmeyen posta filtreleme kararlarını yapılandırma hakkında daha fazla bilgi için bkz. Microsoft 365'te istenmeyen posta önleme ilkelerini yapılandırma.
Yüksek güvenilirlikli kimlik avı için sıfır saatlik otomatik temizleme (ZAP)
Teslimden sonra yüksek güvenilirlikli kimlik avı olarak tanımlanan okunmuş veya okunmamış iletiler için ZAP, iletiyi karantinaya alır. Varsayılan olarak, karantinaya alınan yüksek güvenilirlikli kimlik avı iletilerini yalnızca yöneticiler görüntüleyebilir ve yönetebilir. Ancak yöneticiler karantinaya alınan iletilerde kullanıcıların yapabileceklerini ve kullanıcıların karantina bildirimleri alıp almadığını tanımlamak için karantina ilkeleri oluşturabilir ve kullanabilir. Daha fazla bilgi için bkz . Karantina ilkesinin anatomisi.
Not
Kullanıcılar, karantina ilkesinin nasıl yapılandırıldığına bakılmaksızın, yüksek güvenilirlikli kimlik avı olarak karantinaya alınan kendi iletilerini serbest bırakamaz. İlke kullanıcıların kendi karantinaya alınan iletilerini yayınlamasına izin veriyorsa, kullanıcıların karantinaya alınmış yüksek güvenilirlikli kimlik avı iletilerinin yayınlanmasını istemesine izin verilir.
Yüksek güvenilirlikli kimlik avı için ZAP varsayılan olarak etkindir. Daha fazla bilgi için bkz. Office 365'da Varsayılan Olarak Güvenli.
İstenmeyen postalar için sıfır saatlik otomatik temizleme (ZAP)
Teslimden sonra istenmeyen posta veya yüksek güvenilirlikli istenmeyen posta olarak tanımlanan okunmamış iletiler için, ZAP sonucu, ilgili istenmeyen posta önleme ilkesinde bir İstenmeyen Posta veya Yüksek güvenilirlikli istenmeyen posta kararı için yapılandırılan eyleme bağlıdır. Kullanılabilir eylemler ve olası ZAP sonuçları aşağıdaki listede açıklanmıştır:
Metin içeren X-Header, Prepend konu satırı ekleme, İletiyi e-posta adresine yeniden yönlendirme, İletiyi silme: ZAP ileti üzerinde hiçbir işlem gerçekleştirmez.
İletiyi Gereksiz Email taşıma: ZAP, iletiyi Gereksiz Email klasörüne taşır.
İstenmeyen posta kararı için, bu varsayılan istenmeyen posta önleme ilkesi, yeni özel istenmeyen posta önleme ilkeleri ve Standart önceden ayarlanmış güvenlik ilkesindeki varsayılan eylemdir.
Yüksek güvenilirlikli istenmeyen posta kararı için, bu varsayılan istenmeyen posta önleme ilkesinde ve yeni özel istenmeyen posta önleme ilkelerinde varsayılan eylemdir.
Karantina iletisi: ZAP, iletiyi karantinaya alır.
İstenmeyen posta kararı için bu, Katı önceden ayarlanmış güvenlik ilkesindeki varsayılan eylemdir.
Yüksek güvenilirlikli istenmeyen posta kararı için bu, Standart ve Katı önceden ayarlanmış güvenlik ilkelerindeki varsayılan eylemdir.
Varsayılan olarak, kullanıcılar alıcı oldukları durumlarda istenmeyen posta veya yüksek güvenilirlikli istenmeyen posta olarak karantinaya alınan iletileri görüntüleyebilir ve yönetebilir. Ancak yöneticiler karantinaya alınan iletilerde kullanıcıların yapabileceklerini ve kullanıcıların karantina bildirimleri alıp almadığını tanımlamak için karantina ilkeleri oluşturabilir ve kullanabilir. Daha fazla bilgi için bkz . Karantina ilkesinin anatomisi.
İstenmeyen postalara yönelik ZAP varsayılan olarak istenmeyen posta önleme ilkelerinde etkinleştirilir.
İstenmeyen posta filtreleme kararlarını yapılandırma hakkında daha fazla bilgi için bkz. Microsoft 365'te istenmeyen posta önleme ilkelerini yapılandırma.
ZAP'ın iletinizi taşıyıp taşımadığını görme
ZAP'ın iletinizi taşıyıp taşımadığını belirlemek için aşağıdaki seçeneklere sahipsiniz:
- İleti sayısı: Belirtilen tarih aralığı için ZAP'ı etkileyen iletilerin sayısını görmek için Posta akışı durum raporundaki Posta Akışı görünümünü kullanın.
- İleti ayrıntıları: Tüm e-posta olaylarını Ek eylem sütunu için ZAP değerine göre filtrelemek için Tehdit Gezgini'ni (veya gerçek zamanlı algılamaları) kullanın.
Not
ZAP, Exchange posta kutusu denetim günlüklerine sistem eylemi olarak kaydedilmez.
Office 365 için Microsoft Defender'de Güvenli Ekler için sıfır saatlik otomatik temizleme (ZAP) konuları
ZAP, Güvenli Ekler ilkesi taramasında Dinamik Teslim sürecinde olan iletileri karantinaya almaz. Bu durumdaki iletiler için kimlik avı veya istenmeyen posta sinyali alınırsa ve istenmeyen posta önleme ilkesindeki filtreleme kararı iletide bazı eylemler gerçekleştirecek şekilde ayarlanırsa (Gereksiz Öğeye Taşı, Yeniden Yönlendirme, Silme veya Karantinaya Al), ZAP 'Gereksize Taşı' eylemine geri döner.
Microsoft Teams'de sıfır saatlik otomatik temizleme (ZAP)
İpucu
Microsoft Teams için ZAP yalnızca Microsoft 365 E5 veya Office 365 için Microsoft Defender Plan 2 abonelikleri olan müşteriler tarafından kullanılabilir. Teams koruması için ZAP'ı yapılandırmak için bkz. Microsoft Teams için Plan 2 desteği Office 365 için Microsoft Defender.
Teams sohbetlerinde ZAP
ZAP, Teams sohbetlerinde kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olarak tanımlanan iç iletiler için kullanılabilir. Şu anda dış iletiler desteklenmiyor.
Teams sohbetindeki herkes iletinin aynı kopyasını aynı anda aldığından Teams e-postadan farklıdır (ileti çift yönlü işlemi yoktur). Teams koruması için ZAP bir iletiyi engellediğinde, ileti sohbetteki herkes için engellenir. İlk blok teslimat sonrasında gerçekleşir, ancak ZAP teslimat sonrasında 48 saate kadar gerçekleşir.
Teams sohbetlerinde Teams koruması için ZAP dışlamaları ileti gönderenler için değil ileti alıcıları için önemlidir. Teams sohbetleri için özel durumları yapılandırmak için bkz. Office 365 için Defender Plan 2'de Teams koruması için ZAP'ı yapılandırma.
Teams koruması için ZAP, sohbetteki alıcılardan herhangi biri Teams koruması için ZAP'ın dışında tutulmazsa sohbetteki tüm alıcılar için iletiler üzerinde işlem yapabilir. Yalnızca sohbetteki tüm alıcılar Teams için ZAP korumasının dışında tutulduğunda ZAP bir ileti üzerinde işlem gerçekleştirmez. Bu senaryolar aşağıdaki tabloda gösterilmiştir:
Senaryo | Sonuç |
---|---|
A, B, C ve D Alıcılarıyla grup sohbeti. A, B, C ve D alıcıları Teams koruması için ZAP'ın dışında tutulur. |
ZAP, grup sohbetine gönderilen iletileri engellemez. |
A, B, C ve D Alıcılarıyla grup sohbeti. Yalnızca A, B ve C alıcıları Teams koruması için ZAP'ın dışında tutulur. |
ZAP, tüm alıcılar için grup sohbetine gönderilen iletileri engelleyebilir. |
A, B, C ve D Alıcılarıyla grup sohbeti. A, B, C ve D alıcıları Teams koruması için ZAP'ın dışında tutulmaz. Gönderen X, Teams koruması için ZAP'ın dışında tutulur ve grup sohbetine bir ileti gönderir. |
ZAP, tüm alıcılar için grup sohbetine gönderilen iletileri engelleyebilir. |
Gönderen görünümü:
Alıcı görünümü:
Teams kanallarında ZAP
Teams için ZAP koruması aşağıdaki Teams kanal türlerini destekler:
- Standart kanallar: DAHILI iletiler için ZAP kullanılabilir. Şu anda dış iletiler desteklenmiyor.
- Paylaşılan kanallar: ZAP iç ve dış iletiler için kullanılabilir.
Şu anda ZAP özel kanallarda kullanılamıyor.
Teams kanallarında ZAP koruması özel durumlarını yapılandırmak için alıcı e-posta adresine ihtiyacınız vardır. Bu adres, Teams istemcisindeki kanal e-posta adresinden farklıdır.
Teams kanal koruması özel durumlarında kullanılacak alıcı e-posta adresini almak için Teams ileti varlığı panelinin Kanal ayrıntıları bölümündeki Ad ve e-posta değerini kullanın. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender teams ileti varlığı paneli.
Teams kanallarının özel durumlarını yapılandırmak için bkz. Office 365 için Defender Plan 2'de Teams koruması için ZAP'ı yapılandırma.
Teams'de yüksek güvenilirlikli kimlik avı iletileri için sıfır saatlik otomatik temizleme (ZAP)
Teslimden sonra yüksek güvenilirlikli kimlik avı olarak tanımlanan iletiler için, Teams için ZAP koruma iletiyi engeller ve karantinaya alır. Teams için ZAP'ta yüksek güvenilirlikli kimlik avı algılamaları için kullanılan karantina ilkesini ayarlamak için bkz. Microsoft Teams için Plan 2 desteği Office 365 için Microsoft Defender.
Teams iletilerinde kötü amaçlı yazılımlar için sıfır saatlik otomatik temizleme (ZAP)
Kötü amaçlı yazılım olarak tanımlanan iletiler için Teams koruması için ZAP, iletiyi engeller ve karantinaya alır. Teams için ZAP'ta kötü amaçlı yazılım algılamaları için kullanılan karantina ilkesini ayarlamak için bkz. Microsoft Teams için Plan 2 desteği Office 365 için Microsoft Defender.
ZAP'ın Bir Teams iletisini engellenip engellemediğini görme
Şu anda yalnızca yöneticiler Teams koruması için ZAP tarafından karantinaya alınan iletileri görüntüleyebilir ve yönetebilir. Daha fazla bilgi için bkz. Microsoft Teams karantinaya alınan iletileri yönetmek için Microsoft Defender portalını kullanma.
Sıfır saatlik otomatik temizleme (ZAP) SSS
ZAP meşru iletileri Gereksiz Email klasörüne taşırsa ne olur?
Hatalı pozitif sonuçları Microsoft'a raporlamak için normal süreci izleyin. ZAP, iletiyi Gelen Kutusu klasöründen Önemsiz Email klasörüne taşır, ancak hizmet iletinin istenmeyen posta veya kötü amaçlı olduğunu belirler.
Gereksiz Posta klasörü yerine Karantina klasörünü kullanırsam ne olur?
ZAP, bu makalenin önceki bölümlerinde açıklandığı gibi istenmeyen posta önleme ilkelerinin yapılandırmasına göre bir ileti üzerinde işlem gerçekleştirir.
ZAP, EOP ve Office 365 için Defender koruma özelliklerine yönelik özel durumlardan nasıl etkilenir?
ZAP eylemleri Güvenilir gönderen listeleri, Exchange posta akışı kuralları (aktarım kuralları) ve diğer kuruluş bloğu ve izin verme ayarları tarafından geçersiz kılınabilir. Ancak kötü amaçlı yazılım ve yüksek güvenilirlikli kimlik avı kararları için, ZAP'ın kullanıcıları korumak için iletiler üzerinde işlem yapmadığı çok az senaryo vardır:
- Gelişmiş teslim ilkesinde (yüksek güvenilirlikli kimlik avı) tanımlanan üçüncü taraf kimlik avı simülasyon URL'leri .
- Gelişmiş teslim ilkesinde tanımlanan SecOps posta kutuları (kötü amaçlı yazılım ve yüksek güvenilirlikli kimlik avı).
- Microsoft 365 etki alanınızın MX kaydı başka bir hizmete veya cihaza işaret eder ve istenmeyen posta filtrelemeyi atlamak için bir posta akışı kuralı kullanırsınız (yüksek güvenilirlikli kimlik avı).
- Microsoft'a hatalı pozitiflerin gönderilmesini Yönetici. Varsayılan olarak, etki alanları ve e-posta adresleri, dosyalar ve URL'ler için 30 gün boyunca girişlere izin verin (kötü amaçlı yazılım ve yüksek güvenilirlikli kimlik avı).
Kuruluşunuzun güvenlik duruşunu tehlikeye atabileceği için filtrelemeyi atlamanın etkilerini dikkatle değerlendirmeniz önemlidir.
ZAP için lisanslama gereksinimleri nelerdir?
Kötü amaçlı yazılım, istenmeyen posta ve kimlik avı için ZAP için özel lisanslama gereksinimi yoktur. ZAP, Exchange Online'de barındırılan tüm posta kutularında çalışır. ZAP, tek başına EOP ile korunan şirket içi posta kutularında çalışmaz.
Teams koruması için ZAP için Microsoft 365 E5 veya Office 365 için Microsoft Defender Plan 2 lisansları gerekir.
ZAP, posta kutusundaki diğer klasörlerdeki iletiler (örneğin, Gelen Kutusu kuralları tarafından taşınan iletiler) üzerinde çalışır mı?
ZAP, ileti silinmediği veya aynı veya daha güçlü eylemin henüz uygulanmadığı sürece çalışmaya devam eder. Örneğin, ileti Gereksiz Email klasöründeyse ve geçerli kimlik avı önleme ilkesindeki eylem karantinaya alındıysa, ZAP iletiyi karantinaya alır.
ZAP beklemedeki posta kutularını nasıl etkiler?
ZAP, beklemedeki posta kutularından gelen iletileri karantinaya alır. ZAP, istenmeyen posta önleme ilkelerinde istenmeyen posta veya kimlik avı kararı için yapılandırılan eyleme bağlı olarak iletileri Gereksiz Email klasörüne taşıyabilir.
Exchange Online ayrı tutmalar hakkında daha fazla bilgi için bkz. Yerinde Saklama ve Exchange Online'de Dava Tutma.