Updated August 28, 2024: We have updated the rollout timeline and content below. Thank you for your patience.

Microsoft Defender for Office 365 is retiring four legacy override alerts that are now mostly redundant due to Secure by default. With Secure by default, ZAP (zero-hour auto purge) blocks high confidence phishing emails by default despite the legacy overrides. The four alerts are:

1. Phish not zapped because ZAP is disabled
2. Malware not zapped because ZAP is disabled
3. Phish delivered due to ETR override
4. Phish delivered due to IP allow

As part of the deprecation and rollout,

• These policies will no longer be part of the Alert policies in the Microsoft Defender portal.
• Existing alerts that are already generated will be in the system (part of Alerts) until data retention applies.
• Any features like AIR built on these policies will not function (return no data) but will not result in any crashes or issues to the system.
• Any features like Investigations or post-breach functionalities will not have these alerts as part of the selection, filtering, or processing.

When is the change?

We plan to turn off these alerts starting August 18, 2024 and ending September 15, 2024.

Who is impacted?

1. Phish not zapped because ZAP is disabled: E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
2. Malware not zapped because ZAP is disabled: E5/G5 or Defender for Office 365 P2 add-on subscription
3. Phish delivered due to ETR override: E1/F1/G1, E3/F3/G3, or E5/G5
4. Phish delivered due to IP allow: E1/F1/G1, E3/F3/G3, or E5/G5

What should I do if I am impacted?

This change will happen automatically by the specified date. No admin action is required. Since these alerts are mostly redundant, we do not expect any impact. Defender XDR Customers using Defender for O365 as a secondary filter (MX record pointed to 3rd party service) and still want the alerts can create a custom detection rule on EmailEvents table with filters on OrgLevelAction & OrgLevelPolicy.

2024年8月28日更新:以下のロールアウトのタイムラインと内容を更新しました。ご理解いただきありがとうございます。

Microsoft Defender for Office 365は、 既定でセキュリティ保護されているため、ほとんどが冗長になっている 4 つのレガシ オーバーライド アラートを廃止しています。デフォルトでセキュアを使用すると、 ZAP(ゼロ時間自動消去) は、従来のオーバーライドにもかかわらず、信頼性の高いフィッシングメールをデフォルトでブロックします。4 つのアラートは次のとおりです。

1. ZAP が無効になっているため、フィッシングは Zap されません
2. ZAP が無効になっているため、マルウェアがザッピングされない
3. ETRの上書きにより配信されるフィッシング
4. IP許可によるフィッシング配信

廃止とロールアウトの一環として、

• これらのポリシーは、Microsoft Defender ポータルのアラート ポリシーの一部ではなくなります。
• 既に生成されている既存のアラートは、データ保持が適用されるまでシステム (アラートの一部) に存在します。
• これらのポリシーに基づいて構築された AIR のような機能は機能しません(データを返しません)が、システムにクラッシュや問題を引き起こすことはありません。
• 調査や侵害後の機能などの機能には、選択、フィルタリング、または処理の一部としてこれらのアラートは含まれません。

変更はいつ頃ですか?

これらのアラートは、2024 年 8 月 18 日から 2024 年 9 月 15 日までオフにする予定です。

影響を受けるのは誰ですか?

1. ZAP が無効になっているため、フィッシングが zap されない: E5/G5 または Microsoft Defender for Office 365 P2 アドオン サブスクリプション
2. ZAP が無効になっているためにマルウェアがザッピングされない: E5/G5 または Defender for Office 365 P2 アドオン サブスクリプション
3. ETRの上書きにより配信されるフィッシング:E1/F1/G1、E3/F3/G3、またはE5/G5
4. IP許可により配信されるフィッシング:E1/F1/G1、E3/F3/G3、またはE5/G5

影響を受けた場合はどうすればよいですか?

この変更は、指定した日付までに自動的に行われます。管理者の操作は必要ありません。これらのアラートはほとんどが冗長であるため、影響は予想されません。Defender XDR の Defender for O365 をセカンダリ フィルター (MX レコードがサード パーティ サービスを指す) として使用し、アラートを引き続き必要としているお客様は、OrgLevelAction と OrgLevelPolicy のフィルターを使用して EmailEvents テーブルにカスタム検出ルールを作成できます。