Microsoft hatte kürzlich in den Meldungen im M365 Administration Center angekündigt, das lizenzpflichtige Feature „Safe Attachments“ etwas anzupassen. Genauer gesagt wird es hier die Funktion Monitor nicht mehr geben. Alle Regeln mit „Monitor“ werden im kommenden Jahr Februar 2025 auf „BLOCK“ umgestellt.

Siehe Benachrichtigung von Microsoft dazu:

Microsoft Exchange Online Protection (Defender for Office 365): Monitor action in Safe attachments policy will retire

MC918563

We will retire the Monitor action in the Safe attachments policy in Microsoft Exchange Online Protection (Microsoft Defender for Office 365) starting late February 2025 and ending by late May 2025.

How this will affect your organization:

A Safe attachments policy provides an additional layer of protection against malicious content (attachments) in emails by analyzing attachment content and behavior in a sandbox environment. This policy provides four actions: Off, Monitor, Block, and Dynamic delivery. We made the Monitor action available for customers who wanted a Safe attachments policy to process attachments, deliver the emails (without blocking malicious attachments), and track what happened with attachments identified as malicious. Customers used reports to see detections from the Monitor action in the policy.

As part of this retirement, if your organization has Safe attachments policies set to the Monitor action, we will automatically change the action in from Monitor to Block. We will not change the policy’s recipients, status, or priority. After retirement, the Monitor option will not be available in the Safe Attachments policy page in the Defender security portal or the corresponding Microsoft PowerShell cmdlet.

Before retirement, you can find the Monitor action in Defender > Email & collaboration > Policies & rules > Threat policies > Safe attachments > choose a policy or create a new policy > Edit settings (or Settings if creating a new policy). We will also retire Redirect messages with detected attachments, because this option only supports the Monitor action):

After the retirement, the only actions in the Safe attachments policy will be Off, Block, and Dynamic delivery.

What you need to do to prepare:

Before the retirement, review your Safe attachments policies and take appropriate action if your organization has Safe attachments policies set to the Monitor action. We recommend changing the action from Monitor to Block.

Alternatively, if you still need to run Safe attachment policy in audit mode, we recommend using Evaluation mode. Learn more about Evaluation mode.

Safe Attachments

Für alle die bisher noch nichts von Safe Attachments gehört haben:

Diese Funktion kommt mit dem Defender for Office365 mit, hier gibt es noch verschiedene Pläne.

Mindestens Plan1 empfehle uneingeschränkt allen Kunden, da die Sicherheit im Bereich Anhänge aber auch mit Safe Links signifikant erhöht wird. Zusätzlich werden hier Anhänge in anderen Produkten wie OneDrive und Teams (ebenfalls Links) gescannt und bietet somit einen höheren Schutz.

Bei M365maps findet sich auch eine gute Übersicht über die einzelnen Pläne:

Maßnahmen

Was ist nun zu tun? Es gilt nun die „Safe attachment Policies“ durchzusehen und zu prüfen, ob hier eine Richtlinie mit der Option „Monitor“ aktiv ist.
Aktuell (27.10.2024) können immer noch „Monitor“ Richtlinien erstellt werden, was aber nicht mehr empfehlenswert ist!

Bestehende Richtlinien können schnell geprüft und am Besten auch gleich geändert werden.

Bis Februar 2025 ist ja noch etwas Zeit, allerdings sollte das auch nicht auf die Lange Bank geschoben werden.

Ich hoffe ich konnte den ein oder anderen vor einem bösen Erwachen im kommenden Jahr bewahren.