Sécurité des e-mails avec l’Explorateur de menaces et détections en temps réel dans Microsoft Defender pour Office 365

• S’applique à:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 sur le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Les organisations Microsoft 365 qui disposent de Microsoft Defender pour Office 365 inclus dans leur abonnement ou achetés en tant que module complémentaire ont l’Explorateur (également appelé Explorateur de menaces) ou des détections en temps réel. Ces fonctionnalités sont des outils puissants et quasiment en temps réel pour aider les équipes d’opérations de sécurité (SecOps) à examiner les menaces et à y répondre. Pour plus d’informations, voir À propos de l’Explorateur de menaces et des détections en temps réel dans Microsoft Defender pour Office 365.

Cet article explique comment afficher et examiner les programmes malveillants détectés et les tentatives d’hameçonnage dans les e-mails à l’aide de l’Explorateur de menaces ou des détections en temps réel.

Conseil

Pour d’autres scénarios de messagerie utilisant l’Explorateur de menaces et les détections en temps réel, consultez les articles suivants :

• Repérage des menaces dans l’Explorateur de menaces et détections en temps réel dans Microsoft Defender pour Office 365
• Examiner les e-mails malveillants qui ont été remis dans Microsoft 365

Ce qu'il faut savoir avant de commencer

• L’Explorateur de menaces est inclus dans Defender pour Office 365 Plan 2. Les détections en temps réel sont incluses dans Defender pour Office Plan 1 :

  • Les différences entre l’Explorateur de menaces et les détections en temps réel sont décrites dans À propos de l’Explorateur de menaces et détections en temps réel dans Microsoft Defender pour Office 365.
  • Les différences entre Defender pour Office 365 Plan 2 et Defender pour Office Plan 1 sont décrites dans l’aide-mémoire Defender pour Office 365 Plan 1 et Plan 2.

• Pour plus d’informations sur les autorisations et les conditions de licence pour les détections en temps réel et l’Explorateur de menaces et les détections en temps réel, consultez Autorisations et licences pour l’Explorateur de menaces et détections en temps réel.

Afficher les e-mails d’hameçonnage envoyés aux utilisateurs et aux domaines dont l’identité est empruntée

Pour plus d’informations sur la protection contre l’emprunt d’identité des utilisateurs et des domaines dans les stratégies anti-hameçonnage dans Defender pour Office 365, voir Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

Dans les stratégies anti-hameçonnage par défaut ou personnalisées, vous devez spécifier les utilisateurs et les domaines à protéger contre l’emprunt d’identité, y compris les domaines que vous possédez (domaines acceptés). Dans les stratégies de sécurité prédéfinies Standard ou Strict, les domaines que vous possédez reçoivent automatiquement une protection contre l’emprunt d’identité, mais vous devez spécifier des utilisateurs ou des domaines personnalisés pour la protection contre l’emprunt d’identité. Pour obtenir des instructions, consultez les articles suivants :

• Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365
• Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365

Procédez comme suit pour passer en revue les messages d’hameçonnage et rechercher des utilisateurs ou des domaines qui ont emprunté l’identité.

1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

   • Explorateur de menaces : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à e-mail & Explorateur de sécurité>. Ou, pour accéder directement à la page Explorateur , utilisez https://security.microsoft.com/threatexplorerv3.
   • Détections en temps réel : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à E-mail & Sécurité>Détections en temps réel. Ou, pour accéder directement à la page Détections en temps réel , utilisez https://security.microsoft.com/realtimereportsv3.

2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez l’affichage Hameçonnage . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage Hameçon dans l’Explorateur de menaces et Détections en temps réel.

3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

4. Effectuez l’une des étapes suivantes :

   • Recherchez toutes les tentatives d’emprunt d’identité d’utilisateur ou de domaine :

     • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Technologie de détection dans la section De base de la liste déroulante.
     • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
     • Dans la zone valeur de la propriété, sélectionnez Domaine d’empruntd’identité et Utilisateur d’emprunt d’identité

   • Rechercher des tentatives d’emprunt d’identité spécifiques :

     • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Utilisateur emprunté dans la section De base de la liste déroulante.
     • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
     • Dans la zone valeur de propriété, entrez l’adresse e-mail complète du destinataire. Séparez plusieurs valeurs de destinataire par des virgules.

   • Rechercher des tentatives d’emprunt d’identité spécifiques :

     • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Domaine emprunté dans la section De base de la liste déroulante.
     • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
     • Dans la zone valeur de la propriété, entrez le domaine (par exemple, contoso.com). Séparez plusieurs valeurs de domaine par des virgules.

5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans l’Explorateur de menaces et Détections en temps réel.

6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

7. Dans la zone de détails sous le graphique, vérifiez que l’onglet E-mail (affichage) est sélectionné.

   Vous pouvez trier les entrées et afficher d’autres colonnes comme décrit dans l’affichage E-mail pour la zone d’informations de l’affichage Hameçon dans l’Explorateur de menaces et détections en temps réel.

   • Si vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau résumé e-mail et contient des informations récapitulatives standardisées qui sont également disponibles sur la page Entité e-mail pour le message.

     Pour plus d’informations sur les informations contenues dans le panneau résumé de l’e-mail, consultez Le panneau résumé de l’e-mail.

     Pour plus d’informations sur les actions disponibles en haut du panneau Résumé de l’e-mail pour l’Explorateur des menaces et les détections en temps réel, consultez Détails de l’e-mail à partir de la vue E-mail de la zone détails de l’affichage Tous les e-mails (les mêmes actions sont également disponibles à partir de la vue Hameçonnage ).

   • Si vous sélectionnez la valeur Recipient d’une entrée dans la table, un autre menu volant de détails s’ouvre. Pour plus d’informations, consultez Détails du destinataire dans l’affichage E-mail de la zone détails dans la vue Hameçon.

Exporter les données de clic d’URL

Vous pouvez exporter les données de clic d’URL vers un fichier CSV pour afficher les valeurs ID de message réseau et Verdict clic , qui expliquent d’où provient le trafic de clic d’URL.

1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

   • Explorateur de menaces : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à e-mail & Explorateur de sécurité>. Ou, pour accéder directement à la page Explorateur , utilisez https://security.microsoft.com/threatexplorerv3.
   • Détections en temps réel : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à E-mail & Sécurité>Détections en temps réel. Ou, pour accéder directement à la page Détections en temps réel , utilisez https://security.microsoft.com/realtimereportsv3.

2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez l’affichage Hameçonnage . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage Hameçon dans l’Explorateur de menaces et Détections en temps réel.

3. Sélectionnez la plage de dates/heures, puis sélectionnez Actualiser. La valeur par défaut est hier et aujourd’hui.

4. Dans la zone d’informations, sélectionnez l’onglet URL principales ou Clics du haut (affichage).

5. Dans la vue URL principales ou Top clicks (Url principales ou Top clicks ), sélectionnez une ou plusieurs entrées de la table en mettant à cocher la case en regard de la première colonne, puis sélectionnez Exporter. Explorateur>Hameçonnage>Clics>Les URL principales ou les clics du haut de l’URL> sélectionnent n’importe quel enregistrement pour ouvrir le menu volant d’URL.

Vous pouvez utiliser la valeur ID de message réseau pour rechercher des messages spécifiques dans l’Explorateur des menaces, les détections en temps réel ou les outils externes. Ces recherches identifient le message électronique associé à un résultat de clic. Le fait d’avoir l’ID de message réseau corrélé permet une analyse plus rapide et plus puissante.

Afficher les programmes malveillants détectés dans les e-mails

Utilisez les étapes suivantes dans l’Explorateur de menaces ou Détections en temps réel pour voir les programmes malveillants détectés dans les e-mails par Microsoft 365.

1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

   • Explorateur de menaces : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à e-mail & Explorateur de sécurité>. Ou, pour accéder directement à la page Explorateur , utilisez https://security.microsoft.com/threatexplorerv3.
   • Détections en temps réel : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à E-mail & Sécurité>Détections en temps réel. Ou, pour accéder directement à la page Détections en temps réel , utilisez https://security.microsoft.com/realtimereportsv3.

2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez la vue Programmes malveillants . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage des programmes malveillants dans l’Explorateur de menaces et Détections en temps réel.

3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

4. Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Technologie de détection dans la section De base de la liste déroulante.

   • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
   • Dans la zone valeur de la propriété, sélectionnez une ou plusieurs des valeurs suivantes :
     • Protection contre les programmes malveillants
     • Détonation de fichier
     • Réputation de détonation de fichier
     • Réputation des fichiers
     • Correspondance de l’empreinte

5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans l’Explorateur de menaces et Détections en temps réel.

6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

Le rapport montre les résultats détectés par les programmes malveillants dans les e-mails, à l’aide des options technologiques que vous avez sélectionnées. À partir de là, vous pouvez effectuer une analyse plus approfondie.

Signaler les messages comme propres

Vous pouvez utiliser la page Soumissions dans le portail Defender à l’adresse https://security.microsoft.com/reportsubmission pour signaler les messages comme propres (faux positifs) à Microsoft. Mais vous pouvez également envoyer des messages comme propres à Microsoft à partir de l’action dans l’Explorateur des menaces ou la page d’entité e-mail.

Pour obtenir des instructions, consultez Repérage des menaces : Assistant Action.

Pour résumer :

• Sélectionnez Effectuer une action à l’aide de l’une des méthodes suivantes :

  • Sélectionnez un ou plusieurs messages de la table de détails sous l’onglet E-mail (affichage) dans les affichages Tous les messages électroniques, Programmes malveillants ou Hameçonnages en plaçant les cases à cocher pour les entrées.

  Ou

  • Dans le menu volant des détails, après avoir sélectionné un message dans la table détails sous l’onglet E-mail (affichage) dans les affichages Tous les e-mails, Programmes malveillants ou Hameçonnage en cliquant sur la valeur Objet .

• Dans l’Assistant Action , sélectionnez Envoyer à Microsoft pour vérifier>que j’ai confirmé qu’il est propre.

Afficher l’URL de hameçonnage et cliquer sur les données de verdict

La protection des liens fiables suit les URL qui ont été autorisées, bloquées et remplacées. La protection des liens fiables est activée par défaut, grâce à la protection intégrée dans les stratégies de sécurité prédéfinies. La protection des liens fiables est activée dans les stratégies de sécurité prédéfinies Standard et Strict. Vous pouvez également créer et configurer la protection des liens fiables dans des stratégies de liens fiables personnalisées. Pour plus d’informations sur les paramètres de stratégie de liens fiables, consultez Paramètres de stratégie de liens fiables.

Procédez comme suit pour voir les tentatives d’hameçonnage à l’aide d’URL dans les messages électroniques.

1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

   • Explorateur de menaces : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à e-mail & Explorateur de sécurité>. Ou, pour accéder directement à la page Explorateur , utilisez https://security.microsoft.com/threatexplorerv3.
   • Détections en temps réel : dans le portail Defender à l’adresse https://security.microsoft.com, accédez à E-mail & Sécurité>Détections en temps réel. Ou, pour accéder directement à la page Détections en temps réel , utilisez https://security.microsoft.com/realtimereportsv3.

2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez l’affichage Hameçonnage . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage Hameçon dans l’Explorateur de menaces et Détections en temps réel.

3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

4. Sélectionnez la zone Adresse de l’expéditeur (propriété), puis cliquez sur Verdict dans la section URL de la liste déroulante.

   • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
   • Dans la zone valeur de la propriété, sélectionnez une ou plusieurs des valeurs suivantes :
     • Bloqué
     • Remplacement bloqué

   Pour obtenir des explications sur les valeurs de verdict Click , consultez Cliquer sur le verdict dans les propriétés filtrables dans l’affichage Tous les e-mails de l’Explorateur de menaces.

5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans l’Explorateur de menaces et Détections en temps réel.

6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

L’onglet URL principales (affichage) dans la zone d’informations sous le graphique affiche le nombre de Messages bloqués, Messages indésirables et Messages remis pour les cinq URL principales. Pour plus d’informations, consultez Vue DES URL principales pour la zone d’informations de l’affichage Hameçon dans l’Explorateur de menaces et détections en temps réel.

L’onglet Top clicks (affichage) dans la zone de détails sous le graphique montre les cinq principaux liens cliqués qui ont été encapsulés par des liens fiables. Les clics d’URL sur les liens non activés ne s’affichent pas ici. Pour plus d’informations, consultez Affichage des clics principaux pour la zone d’informations de l’affichage Hameçonnage dans l’Explorateur de menaces et détections en temps réel.

Ces tables d’URL affichent les URL qui ont été bloquées ou visitées en dépit d’un avertissement. Ces informations montrent les liens potentiellement incorrects qui ont été présentés aux utilisateurs. À partir de là, vous pouvez effectuer une analyse plus approfondie.

Sélectionnez une URL dans une entrée de la vue pour plus d’informations. Pour plus d’informations, consultez les détails de l’URL des onglets URL principales et Clics principaux en mode Hameçonnage.

Conseil

Dans le menu volant Détails de l’URL, le filtrage sur les messages électroniques est supprimé pour afficher l’affichage complet de l’exposition de l’URL dans votre environnement. Ce comportement vous permet de filtrer des messages électroniques spécifiques, de rechercher des URL spécifiques qui sont des menaces potentielles, puis d’étendre votre compréhension de l’exposition des URL dans votre environnement sans avoir à ajouter des filtres d’URL dans la vue Hameçonnage .

Interprétation des verdicts de clic

Les résultats de la propriété de verdict Click sont visibles aux emplacements suivants :

• Cliquez sur le tableau croisé dynamique du graphique de verdict pour l’affichage des clics d’URL de la zone de détails de l’affichage Tous les e-mails (Explorateur de menaces uniquement) ou Hameçonnage
• Affichage des clics du haut pour la zone d’informations de l’affichage Tous les e-mails dans l’Explorateur de menaces
• Affichage des clics du haut pour la zone d’informations de l’affichage Hameçon dans l’Explorateur de menaces et détections en temps réel
• Affichage des clics du haut pour la zone d’informations de l’affichage des clics d’URL dans l’Explorateur de menaces

Les valeurs de verdict sont décrites dans la liste suivante :

• Autorisé : l’utilisateur a été autorisé à ouvrir l’URL.
• Bloc substitué : l’utilisateur n’a pas pu ouvrir directement l’URL, mais il a dépassé le bloc pour ouvrir l’URL.
• Bloqué : l’utilisateur n’a pas pu ouvrir l’URL.
• Erreur : la page d’erreur a été présentée à l’utilisateur, ou une erreur s’est produite lors de la capture du verdict.
• Échec : une exception inconnue s’est produite lors de la capture du verdict. L’utilisateur a peut-être ouvert l’URL.
• Aucun : impossible de capturer le verdict pour l’URL. L’utilisateur a peut-être ouvert l’URL.
• Verdict en attente : la page en attente de détonation a été présentée à l’utilisateur.
• Verdict en attente ignoré : la page de détonation a été présentée à l’utilisateur, mais il a dépassé le message pour ouvrir l’URL.

Démarrer l’investigation et la réponse automatisées dans l’Explorateur de menaces

L’investigation et la réponse automatisées (AIR) dans Defender pour Office 365 Plan 2 peuvent gagner du temps et des efforts à mesure que vous examinez et atténuez les cyberattaques. Vous pouvez configurer des alertes qui déclenchent un playbook de sécurité, et vous pouvez démarrer AIR dans l’Explorateur de menaces. Pour plus d’informations, consultez Exemple : Un administrateur de sécurité déclenche une investigation à partir de l’Explorateur.

Autres articles

Examiner les e-mails avec la page Entité e-mail