Partager via


Sécurité des e-mails avec l’Explorateur de menaces et détections en temps réel dans Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 sur le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Les organisations Microsoft 365 qui disposent de Microsoft Defender pour Office 365 inclus dans leur abonnement ou achetés en tant que module complémentaire ont l’Explorateur (également appelé Explorateur de menaces) ou des détections en temps réel. Ces fonctionnalités sont des outils puissants et quasiment en temps réel pour aider les équipes d’opérations de sécurité (SecOps) à examiner les menaces et à y répondre. Pour plus d’informations, voir À propos de l’Explorateur de menaces et des détections en temps réel dans Microsoft Defender pour Office 365.

Cet article explique comment afficher et examiner les programmes malveillants détectés et les tentatives d’hameçonnage dans les e-mails à l’aide de l’Explorateur de menaces ou des détections en temps réel.

Conseil

Pour d’autres scénarios de messagerie utilisant l’Explorateur de menaces et les détections en temps réel, consultez les articles suivants :

Ce qu'il faut savoir avant de commencer

Afficher les e-mails d’hameçonnage envoyés aux utilisateurs et aux domaines dont l’identité est empruntée

Pour plus d’informations sur la protection contre l’emprunt d’identité des utilisateurs et des domaines dans les stratégies anti-hameçonnage dans Defender pour Office 365, voir Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

Dans les stratégies anti-hameçonnage par défaut ou personnalisées, vous devez spécifier les utilisateurs et les domaines à protéger contre l’emprunt d’identité, y compris les domaines que vous possédez (domaines acceptés). Dans les stratégies de sécurité prédéfinies Standard ou Strict, les domaines que vous possédez reçoivent automatiquement une protection contre l’emprunt d’identité, mais vous devez spécifier des utilisateurs ou des domaines personnalisés pour la protection contre l’emprunt d’identité. Pour obtenir des instructions, consultez les articles suivants :

Procédez comme suit pour passer en revue les messages d’hameçonnage et rechercher des utilisateurs ou des domaines qui ont emprunté l’identité.

  1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

  2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez l’affichage Hameçonnage . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage Hameçon dans l’Explorateur de menaces et Détections en temps réel.

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

  4. Effectuez l’une des étapes suivantes :

    • Recherchez toutes les tentatives d’emprunt d’identité d’utilisateur ou de domaine :

      • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Technologie de détection dans la section De base de la liste déroulante.
      • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
      • Dans la zone valeur de la propriété, sélectionnez Domaine d’empruntd’identité et Utilisateur d’emprunt d’identité
    • Rechercher des tentatives d’emprunt d’identité spécifiques :

      • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Utilisateur emprunté dans la section De base de la liste déroulante.
      • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
      • Dans la zone valeur de propriété, entrez l’adresse e-mail complète du destinataire. Séparez plusieurs valeurs de destinataire par des virgules.
    • Rechercher des tentatives d’emprunt d’identité spécifiques :

      • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Domaine emprunté dans la section De base de la liste déroulante.
      • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
      • Dans la zone valeur de la propriété, entrez le domaine (par exemple, contoso.com). Séparez plusieurs valeurs de domaine par des virgules.
  5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans l’Explorateur de menaces et Détections en temps réel.

  6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

  7. Dans la zone de détails sous le graphique, vérifiez que l’onglet E-mail (affichage) est sélectionné.

    Vous pouvez trier les entrées et afficher d’autres colonnes comme décrit dans l’affichage E-mail pour la zone d’informations de l’affichage Hameçon dans l’Explorateur de menaces et détections en temps réel.

Exporter les données de clic d’URL

Vous pouvez exporter les données de clic d’URL vers un fichier CSV pour afficher les valeurs ID de message réseau et Verdict clic , qui expliquent d’où provient le trafic de clic d’URL.

  1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

  2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez l’affichage Hameçonnage . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage Hameçon dans l’Explorateur de menaces et Détections en temps réel.

  3. Sélectionnez la plage de dates/heures, puis sélectionnez Actualiser. La valeur par défaut est hier et aujourd’hui.

  4. Dans la zone d’informations, sélectionnez l’onglet URL principales ou Clics du haut (affichage).

  5. Dans la vue URL principales ou Top clicks (Url principales ou Top clicks ), sélectionnez une ou plusieurs entrées de la table en mettant à cocher la case en regard de la première colonne, puis sélectionnez Exporter. Explorateur>Hameçonnage>Clics>Les URL principales ou les clics du haut de l’URL> sélectionnent n’importe quel enregistrement pour ouvrir le menu volant d’URL.

Vous pouvez utiliser la valeur ID de message réseau pour rechercher des messages spécifiques dans l’Explorateur des menaces, les détections en temps réel ou les outils externes. Ces recherches identifient le message électronique associé à un résultat de clic. Le fait d’avoir l’ID de message réseau corrélé permet une analyse plus rapide et plus puissante.

Afficher les programmes malveillants détectés dans les e-mails

Utilisez les étapes suivantes dans l’Explorateur de menaces ou Détections en temps réel pour voir les programmes malveillants détectés dans les e-mails par Microsoft 365.

  1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

  2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez la vue Programmes malveillants . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage des programmes malveillants dans l’Explorateur de menaces et Détections en temps réel.

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

  4. Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Technologie de détection dans la section De base de la liste déroulante.

    • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
    • Dans la zone valeur de la propriété, sélectionnez une ou plusieurs des valeurs suivantes :
      • Protection contre les programmes malveillants
      • Détonation de fichier
      • Réputation de détonation de fichier
      • Réputation des fichiers
      • Correspondance de l’empreinte
  5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans l’Explorateur de menaces et Détections en temps réel.

  6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

Le rapport montre les résultats détectés par les programmes malveillants dans les e-mails, à l’aide des options technologiques que vous avez sélectionnées. À partir de là, vous pouvez effectuer une analyse plus approfondie.

Signaler les messages comme propres

Vous pouvez utiliser la page Soumissions dans le portail Defender à l’adresse https://security.microsoft.com/reportsubmission pour signaler les messages comme propres (faux positifs) à Microsoft. Mais vous pouvez également envoyer des messages comme propres à Microsoft à partir de l’action dans l’Explorateur des menaces ou la page d’entité e-mail.

Pour obtenir des instructions, consultez Repérage des menaces : Assistant Action.

Pour résumer :

  • Sélectionnez Effectuer une action à l’aide de l’une des méthodes suivantes :

    • Sélectionnez un ou plusieurs messages de la table de détails sous l’onglet E-mail (affichage) dans les affichages Tous les messages électroniques, Programmes malveillants ou Hameçonnages en plaçant les cases à cocher pour les entrées.

    Ou

    • Dans le menu volant des détails, après avoir sélectionné un message dans la table détails sous l’onglet E-mail (affichage) dans les affichages Tous les e-mails, Programmes malveillants ou Hameçonnage en cliquant sur la valeur Objet .
  • Dans l’Assistant Action , sélectionnez Envoyer à Microsoft pour vérifier>que j’ai confirmé qu’il est propre.

Afficher l’URL de hameçonnage et cliquer sur les données de verdict

La protection des liens fiables suit les URL qui ont été autorisées, bloquées et remplacées. La protection des liens fiables est activée par défaut, grâce à la protection intégrée dans les stratégies de sécurité prédéfinies. La protection des liens fiables est activée dans les stratégies de sécurité prédéfinies Standard et Strict. Vous pouvez également créer et configurer la protection des liens fiables dans des stratégies de liens fiables personnalisées. Pour plus d’informations sur les paramètres de stratégie de liens fiables, consultez Paramètres de stratégie de liens fiables.

Procédez comme suit pour voir les tentatives d’hameçonnage à l’aide d’URL dans les messages électroniques.

  1. Utilisez l’une des étapes suivantes pour ouvrir l’Explorateur de menaces ou les détections en temps réel :

  2. Dans la page Détections entemps réel ou de l’Explorateur, sélectionnez l’affichage Hameçonnage . Pour plus d’informations sur la vue Hameçonnage , consultez Affichage Hameçon dans l’Explorateur de menaces et Détections en temps réel.

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

  4. Sélectionnez la zone Adresse de l’expéditeur (propriété), puis cliquez sur Verdict dans la section URL de la liste déroulante.

    • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
    • Dans la zone valeur de la propriété, sélectionnez une ou plusieurs des valeurs suivantes :
      • Bloqué
      • Remplacement bloqué

    Pour obtenir des explications sur les valeurs de verdict Click , consultez Cliquer sur le verdict dans les propriétés filtrables dans l’affichage Tous les e-mails de l’Explorateur de menaces.

  5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans l’Explorateur de menaces et Détections en temps réel.

  6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

L’onglet URL principales (affichage) dans la zone d’informations sous le graphique affiche le nombre de Messages bloqués, Messages indésirables et Messages remis pour les cinq URL principales. Pour plus d’informations, consultez Vue DES URL principales pour la zone d’informations de l’affichage Hameçon dans l’Explorateur de menaces et détections en temps réel.

L’onglet Top clicks (affichage) dans la zone de détails sous le graphique montre les cinq principaux liens cliqués qui ont été encapsulés par des liens fiables. Les clics d’URL sur les liens non activés ne s’affichent pas ici. Pour plus d’informations, consultez Affichage des clics principaux pour la zone d’informations de l’affichage Hameçonnage dans l’Explorateur de menaces et détections en temps réel.

Ces tables d’URL affichent les URL qui ont été bloquées ou visitées en dépit d’un avertissement. Ces informations montrent les liens potentiellement incorrects qui ont été présentés aux utilisateurs. À partir de là, vous pouvez effectuer une analyse plus approfondie.

Sélectionnez une URL dans une entrée de la vue pour plus d’informations. Pour plus d’informations, consultez les détails de l’URL des onglets URL principales et Clics principaux en mode Hameçonnage.

Conseil

Dans le menu volant Détails de l’URL, le filtrage sur les messages électroniques est supprimé pour afficher l’affichage complet de l’exposition de l’URL dans votre environnement. Ce comportement vous permet de filtrer des messages électroniques spécifiques, de rechercher des URL spécifiques qui sont des menaces potentielles, puis d’étendre votre compréhension de l’exposition des URL dans votre environnement sans avoir à ajouter des filtres d’URL dans la vue Hameçonnage .

Interprétation des verdicts de clic

Les résultats de la propriété de verdict Click sont visibles aux emplacements suivants :

Les valeurs de verdict sont décrites dans la liste suivante :

  • Autorisé : l’utilisateur a été autorisé à ouvrir l’URL.
  • Bloc substitué : l’utilisateur n’a pas pu ouvrir directement l’URL, mais il a dépassé le bloc pour ouvrir l’URL.
  • Bloqué : l’utilisateur n’a pas pu ouvrir l’URL.
  • Erreur : la page d’erreur a été présentée à l’utilisateur, ou une erreur s’est produite lors de la capture du verdict.
  • Échec : une exception inconnue s’est produite lors de la capture du verdict. L’utilisateur a peut-être ouvert l’URL.
  • Aucun : impossible de capturer le verdict pour l’URL. L’utilisateur a peut-être ouvert l’URL.
  • Verdict en attente : la page en attente de détonation a été présentée à l’utilisateur.
  • Verdict en attente ignoré : la page de détonation a été présentée à l’utilisateur, mais il a dépassé le message pour ouvrir l’URL.

Démarrer l’investigation et la réponse automatisées dans l’Explorateur de menaces

L’investigation et la réponse automatisées (AIR) dans Defender pour Office 365 Plan 2 peuvent gagner du temps et des efforts à mesure que vous examinez et atténuez les cyberattaques. Vous pouvez configurer des alertes qui déclenchent un playbook de sécurité, et vous pouvez démarrer AIR dans l’Explorateur de menaces. Pour plus d’informations, consultez Exemple : Un administrateur de sécurité déclenche une investigation à partir de l’Explorateur.

Examiner les e-mails avec la page Entité e-mail