Microsoft Defender for Office 365: ZAP erweitert Bereinigung auf Gelöschte Elemente

[Was und Warum:]

Wir erweitern Zero-hour Auto Purge (ZAP) in Microsoft Defender für Office 365, um bösartige Nachrichten in den Gelöschte Elemente-Ordnern der Benutzer zu scannen und zu bereinigen. Diese Verbesserung stärkt den Schutz nach der Zustellung, indem sichergestellt wird, dass Phishing-, Spam- und Schadsoftware-Nachrichten auch dann entfernt werden, wenn ein Benutzer sie bereits gelöscht oder gemeldet hat. Dies erhöht die Sicherheit des gesamten Mandanten, ohne dass neue Richtlinien oder Konfigurationen notwendig sind.

[Rollout-Zeitplan:]

• Allgemeine Verfügbarkeit (weltweit, GCC, GCC High, DoD): Die Einführung beginnt Anfang Juni 2026 und soll Ende Juli 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation:]

Betroffene:

• Alle Mandanten, die Exchange Online Protection oder Microsoft Defender für Office 365 Plan 1 oder Plan 2 mit aktivem ZAP nutzen

Plattformen/Dienste:

• Exchange Online
• Microsoft Defender für Office 365
• Outlook (Desktop, Web, Mobile)

Was passiert:

• ZAP wird rückwirkend bösartige Nachrichten im Gelöschte Elemente-Ordner innerhalb des ZAP-Erkennungszeitfensters scannen und Maßnahmen ergreifen.
• Dazu gehören Nachrichten, die:
  • Von Benutzern als Phishing gemeldet wurden
  • Automatisch nach Annahme von Kalendereinladungen verschoben wurden
  • Manuell von Benutzern gelöscht wurden
• Als bösartig identifizierte Nachrichten werden den bestehenden Richtlinien entsprechend behandelt (z. B. in Junk-E-Mail verschieben, Quarantäne).
• Es werden keine neuen Richtlinien, Aktionen oder Konfigurationseinstellungen eingeführt.
• Administratoren sehen zusätzliche ZAP-Aktivitäten in bestehenden Berichten und Warnungen.
• In der Tabelle EmailPostDeliveryEvents in Advanced Hunting wird eine neue Spalte SourceLocation hinzugefügt, die den Ursprungsordner angibt (z. B. DeletedItems).
• Die Benutzererfahrung bleibt unverändert.

[Erforderliche Maßnahmen / Empfehlungen:]

Keine Maßnahmen erforderlich.

Diese Änderung ist standardmäßig aktiviert und berücksichtigt Ihre bestehenden Anti-Spam-, Anti-Phishing- und Anti-Malware-Richtlinien.

Empfohlene Maßnahmen für Administratoren:

• Überprüfen Sie die bestehenden ZAP-bezogenen Berichte im Mailfluss-Status und im Threat Explorer, damit Ihr Security Operations Center (SOC) mit der zusätzlichen Aktivität vertraut wird.
• Aktualisieren Sie interne Sicherheitsdokumentationen oder die Helpdesk-Anleitungen, um darauf hinzuweisen, dass Gelöschte Elemente nun in die ZAP-Bereinigung einbezogen werden.

Weitere Informationen: Zero-hour auto purge (ZAP) in Microsoft Defender for Office 365 | Microsoft Learn

[Compliance-Überlegungen:]

Frage zur Einhaltung der Vorschriften: Wird durch die Änderung die Verarbeitung, Speicherung oder der Zugriff auf bestehende Kundendaten verändert?
ZAP verarbeitet und behandelt nun E-Mails, die sich im Ordner Gelöschte Elemente befinden.

Frage zur Compliance-Überwachung: Wird durch die Änderung beeinflusst, wie Administratoren Compliance-Aktivitäten überwachen, berichten oder nachweisen können?
Zusätzliche ZAP-Aktionen werden in bestehenden Berichten angezeigt und ein neues Feld SourceLocation wird in Advanced Hunting hinzugefügt, um die Überprüfbarkeit und Genauigkeit bei Untersuchungen zu verbessern.