À propos des détections Explorer de menaces et en temps réel dans Microsoft Defender pour Office 365

• S’applique à:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 incluses dans leur abonnement ou achetées en tant que module complémentaire ont Explorer (également appelées détections de menaces Explorer) ou en temps réel. Ces fonctionnalités sont des outils de création de rapports en quasi-temps réel puissants qui aident les équipes d’opérations de sécurité (SecOps) à examiner les menaces et à y répondre.

Selon votre abonnement, les détections de menaces Explorer ou en temps réel sont disponibles dans la section collaboration Email & du portail Microsoft Defender à l’adresse https://security.microsoft.com:

• Les détections en temps réel sont disponibles dans Defender for Office 365 Plan 1. La page Détections en temps réel est disponible directement à l’adresse https://security.microsoft.com/realtimereportsv3.

  

• La Explorer des menaces est disponible dans Defender for Office 365 Plan 2. La page Explorer est disponible directement à l’adresse https://security.microsoft.com/threatexplorerv3.

  

Les Explorer de menaces contiennent les mêmes informations et fonctionnalités que les détections en temps réel, mais avec les fonctionnalités supplémentaires suivantes :

• Plus de vues.
• Autres options de filtrage de propriétés, notamment l’option d’enregistrement des requêtes.
• Plus d’actions.

Pour plus d’informations sur les différences entre Defender for Office 365 Plan 1 et Plan 2, consultez l’aide-mémoire Defender for Office 365 Plan 1 et Plan 2.

Le reste de cet article explique les vues et les fonctionnalités disponibles dans détections de Explorer de menaces et en temps réel.

Conseil

Pour les scénarios de messagerie utilisant des détections de Explorer de menaces et en temps réel, consultez les articles suivants :

• Repérage des menaces dans le Explorer des menaces et détections en temps réel dans Microsoft Defender pour Office 365
• Email la sécurité avec le Explorer des menaces et les détections en temps réel dans Microsoft Defender pour Office 365
• Examiner les e-mails malveillants qui ont été remis dans Microsoft 365

Autorisations et licences pour les détections de menaces Explorer et en temps réel

Pour utiliser des détections Explorer ou en temps réel, vous devez disposer d’autorisations. Vous avez le choix parmi les options suivantes :

• Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) :
  • Accès en lecture pour les en-têtes de courrier électronique et de message Teams : Opérations de sécurité/Données brutes (e-mail & collaboration)/métadonnées de collaboration Email & (lecture) .
  • Afficher un aperçu et télécharger des messages électroniques : Opérations de sécurité/Données brutes (e-mail & collaboration)/Email & contenu de collaboration (lecture).
  • Corriger les e-mails malveillants : opérations de sécurité/données de sécurité/Email & collaboration actions avancées (gérer).
• Email & les autorisations de collaboration dans le portail Microsoft Defender :
  • Accès complet : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité . Des autorisations supplémentaires sont nécessaires pour effectuer toutes les actions disponibles :
    • Afficher un aperçu et télécharger des messages : nécessite le rôle Aperçu , qui est attribué uniquement aux groupes de rôles Investigateur de données ou Gestionnaire eDiscovery par défaut. Vous pouvez également créer un groupe de rôles avec le rôle Aperçu attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
    • Déplacer et supprimer des messages dans des boîtes aux lettres : nécessite le rôle Rechercher et vider , qui est attribué uniquement aux groupes de rôles Enquêteur de données ou Gestion de l’organisation par défaut. Vous pouvez également créer un groupe de rôles avec le rôle Rechercher et vider attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
  • Accès en lecture seule : appartenance au groupe de rôles Lecteur de sécurité .
• Microsoft Entra autorisations : l’appartenance à ces rôles donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :

  • Accès complet : appartenance aux rôles Administrateur^* général ou Administrateur de la sécurité .

  • Recherchez les règles de flux de messagerie Exchange (règles de transport) par leur nom dans Threat Explorer : Appartenance aux rôles Administrateur de la sécurité ou Lecteur de sécurité.

  • Accès en lecture seule : appartenance aux rôles Lecteur général ou Lecteur de sécurité .

    Importante

    ^* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Conseil

Les notifications de courrier indésirable des utilisateurs finaux et les messages générés par le système ne sont pas disponibles dans threat Explorer. Ces types de messages sont disponibles s’il existe une règle de flux de courrier (également appelée règle de transport) à remplacer.

Les entrées du journal d’audit sont générées lorsque les administrateurs affichent un aperçu ou téléchargent des messages électroniques. Vous pouvez rechercher l’activité AdminMailAccess dans le journal d’audit de l’administrateur par utilisateur. Pour obtenir des instructions, consultez Auditer une nouvelle recherche.

Pour utiliser des détections Explorer de menaces ou en temps réel, vous devez disposer d’une licence pour Defender for Office 365 (incluse dans votre abonnement ou une licence de module complémentaire).

Les détections de Explorer de menaces ou en temps réel contiennent des données pour les utilisateurs auxquels Defender for Office 365 licences leur sont attribuées.

Éléments des détections de Explorer de menaces et en temps réel

Les détections Explorer de menaces et en temps réel contiennent les éléments suivants :

• Affichages : onglets en haut de la page qui organisent les détections par menace. La vue affecte le reste des données et des options de la page.

  Le tableau suivant répertorie les vues disponibles dans Détections Explorer de menaces et en temps réel :

  Afficher	Menaces Explorer	Temps réel Détections	Description
  Tous les e-mails	✔		Affichage par défaut des Explorer de menaces. Informations sur tous les messages électroniques envoyés par des utilisateurs externes dans votre organization, ou les e-mails envoyés entre les utilisateurs internes de votre organization.
  Programme malveillant	✔	✔	Affichage par défaut pour les détections en temps réel. Informations sur les messages électroniques qui contiennent des programmes malveillants.
  Hameçonnage	✔	✔	Informations sur les messages électroniques qui contiennent des menaces d’hameçonnage.
  Campagnes	✔		Informations sur les e-mails malveillants qui Defender for Office 365 Plan 2 identifiés dans le cadre d’une campagne coordonnée de hameçonnage ou de programmes malveillants.
  Programme malveillant de contenu	✔	✔	Informations sur les fichiers malveillants détectés par les fonctionnalités suivantes : Protection antivirus intégrée dans SharePoint, OneDrive et Microsoft Teams Pièces jointes sécurisées pour Sharepoint, OneDrive et Microsoft Teams
  Clics d’URL	✔		Informations sur les clics de l’utilisateur sur les URL dans les e-mails, les messages Teams, les fichiers SharePoint et les fichiers OneDrive.

  Ces vues sont décrites en détail dans cet article, y compris les différences entre les détections de Explorer de menaces et les détections en temps réel.

• Filtres de date/heure : par défaut, l’affichage est filtré par hier et aujourd’hui. Pour modifier le filtre de date, sélectionnez la plage de dates, puis sélectionnez Les valeurs Date de début et Date de fin jusqu’à 30 jours.

  

• Filtres de propriétés (requêtes) : filtrez les résultats dans la vue en fonction des propriétés de message, de fichier ou de menace disponibles. Les propriétés filtrables disponibles dépendent de l’affichage. Certaines propriétés sont disponibles dans de nombreux affichages, tandis que d’autres sont limitées à une vue spécifique.

  Les filtres de propriétés disponibles pour chaque affichage sont répertoriés dans cet article, y compris les différences entre les détections de Explorer de menaces et les détections en temps réel.

  Pour obtenir des instructions sur la création de filtres de propriétés, consultez Filtres de propriétés dans les détections de Explorer de menaces et en temps réel

  Threat Explorer vous permet d’enregistrer des requêtes pour une utilisation ultérieure, comme décrit dans la section Requêtes enregistrées dans Threat Explorer.

• Graphiques : chaque vue contient une représentation visuelle agrégée des données filtrées ou non filtrées. Vous pouvez utiliser les tableaux croisés dynamiques disponibles pour organiser le graphique de différentes façons.

  Vous pouvez souvent utiliser Exporter des données de graphique pour exporter des données de graphique filtrées ou non filtrées vers un fichier CSV.

  Les graphiques et les tableaux croisés dynamiques disponibles sont décrits en détail dans cet article, notamment les différences entre les détections de Explorer de menaces et les détections en temps réel.

  Conseil

  Pour supprimer le graphique de la page (ce qui optimise la taille de la zone de détails), utilisez l’une des méthodes suivantes :

  • Sélectionnez Affichage>graphique Affichage Liste en haut de la page.
  • Sélectionnez Afficher l’affichage liste entre le graphique et la zone de détails.

• Zone détails : la zone de détails d’une vue affiche généralement une table qui contient les données filtrées ou non filtrées. Vous pouvez utiliser les vues disponibles (onglets) pour organiser les données dans la zone de détails de différentes façons. Par exemple, une vue peut contenir des graphiques, des cartes ou des tables différentes.

  Si la zone d’informations contient une table, vous pouvez souvent utiliser Exporter pour exporter de manière sélective jusqu’à 200 000 résultats filtrés ou non filtrés vers un fichier CSV.

  Conseil

  Dans le menu volant Exporter , vous pouvez sélectionner tout ou partie des propriétés disponibles à exporter. Les sélections sont enregistrées par utilisateur. Les sélections en mode de navigation Incognito ou InPrivate sont enregistrées jusqu’à ce que vous fermiez le navigateur web.

Affichage de tous les e-mails dans threat Explorer

L’affichage Tous les e-mails dans Menace Explorer affiche des informations sur tous les messages électroniques envoyés par des utilisateurs externes dans votre organization, ainsi que sur les e-mails envoyés entre les utilisateurs internes de votre organization. La vue affiche les e-mails malveillants et non malveillants. Par exemple :

• Email identifié un hameçonnage ou un programme malveillant.
• Email identifiés comme courrier indésirable ou en bloc.
• Email identifiés sans menace.

Cette vue est la valeur par défaut dans Threat Explorer. Pour ouvrir l’affichage Tous les e-mails sur la page Explorer dans le portail Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Explorer>Tous les e-mails onglet. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis vérifier que l’onglet Tous les e-mails est sélectionné.

Propriétés filtrables dans l’affichage Tous les e-mails dans Threat Explorer

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Action remise de l’affichage Tous les e-mails sont décrites dans le tableau suivant :

Propriété	Type
Basique
Adresse de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.
Recipients	Texte. Séparez plusieurs valeurs par des virgules.
Domaine de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.
Domaine du destinataire	Texte. Séparez plusieurs valeurs par des virgules.
Sujet	Texte. Séparez plusieurs valeurs par des virgules.
Nom complet de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir de l’adresse	Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir du domaine	Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’accès de retour	Texte. Séparez plusieurs valeurs par des virgules.
Domaine de chemin d’accès de retour	Texte. Séparez plusieurs valeurs par des virgules.
Famille de programmes malveillants	Texte. Séparez plusieurs valeurs par des virgules.
Tags	Texte. Séparez plusieurs valeurs par des virgules. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Domaine emprunté	Texte. Séparez plusieurs valeurs par des virgules.
Utilisateur usurpé l’identité	Texte. Séparez plusieurs valeurs par des virgules.
Règle de transport Exchange	Texte. Séparez plusieurs valeurs par des virgules.
Règle de protection contre la perte de données	Texte. Séparez plusieurs valeurs par des virgules.
Contexte	Sélectionnez une ou plusieurs valeurs : Évaluation Protection des comptes prioritaires
Connector	Texte. Séparez plusieurs valeurs par des virgules.
Action de remise	Sélectionnez une ou plusieurs valeurs : Bloqué : Email messages qui ont été mis en quarantaine, qui ont échoué ou qui ont été supprimés. Remise : Email remis à la boîte de réception de l’utilisateur ou à un autre dossier dans lequel l’utilisateur peut accéder au message. Remise au courrier indésirable : Email remis au dossier d’Email indésirable de l’utilisateur ou au dossier Éléments supprimés dans lequel l’utilisateur peut accéder au message. Remplacé : pièces jointes de message qui ont été remplacées par la remise dynamique dans les stratégies pièces jointes sécurisées.
Action supplémentaire	Sélectionnez une ou plusieurs valeurs : Correction automatisée Livraison dynamique : pour plus d’informations, consultez Livraison dynamique dans les stratégies de pièces jointes fiables. Correction manuelle Aucune Mise en quarantaine Retraitement : le message a été identifié rétroactivement comme bon. ZAP : pour plus d’informations, consultez Purge automatique de zéro heure (ZAP) dans Microsoft Defender pour Office 365.
Orientation	Sélectionnez une ou plusieurs valeurs : Entrants Intra-irg Sortant
Technologie de détection	Sélectionnez une ou plusieurs valeurs : Filtre avancé : signaux basés sur le Machine Learning. Protection anti-programme malveillant E-mail de masse Campagne Réputation du domaine Détonation de fichier : les pièces jointes fiables ont détecté une pièce jointe malveillante lors de l’analyse de la détonation. Réputation de détonation de fichiers : pièces jointes précédemment détectées par les détonations de pièces jointes fiables dans d’autres organisations Microsoft 365. Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365. Correspondance d’empreintes digitales : le message ressemble étroitement à un message malveillant détecté précédemment. Filtre général Marque d’emprunt d’identité : emprunt d’identité d’expéditeur de marques connues. Domaine d’emprunt d’identité : emprunt d’identité des domaines d’expéditeur que vous possédez ou que vous avez spécifiés pour la protection dans les stratégies anti-hameçonnage Utilisateur emprunt d’identité Réputation de l’adresse IP Emprunt d’identité d’intelligence de boîte aux lettres : détections d’emprunt d’identité à partir de l’intelligence des boîtes aux lettres dans les stratégies anti-hameçonnage. Détection d’analyse mixte : plusieurs filtres ont contribué au verdict du message. usurpation DMARC : le message a échoué à l’authentification DMARC. Usurpation de domaine externe : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine externe à votre organization. Usurpation intra-organisation : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine interne à votre organization. Réputation de détonation d’URL : URL précédemment détectées par les détonations de liens fiables dans d’autres organisations Microsoft 365. Réputation malveillante d’URL : le message contient une URL qui a été précédemment identifiée comme malveillante dans d’autres organisations Microsoft 365.
Emplacement de livraison d’origine	Sélectionnez une ou plusieurs valeurs : dossier Éléments supprimés Tomber Échec Boîte de réception/dossier Dossier Courrier indésirable Local/externe Mise en quarantaine Unknown
Dernier emplacement de livraison¹	Mêmes valeurs que l’emplacement de remise d’origine
Niveau de confiance des hameçonnages	Sélectionnez une ou plusieurs valeurs : High Normal
Remplacement principal	Sélectionnez une ou plusieurs valeurs : Autorisé par la stratégie organization Autorisé par la stratégie utilisateur Bloqué par la stratégie organization Bloqué par la stratégie utilisateur Aucune
Source de remplacement principale	Les messages peuvent avoir plusieurs remplacements d’autorisation ou de blocage, comme indiqué dans Remplacer la source. Le remplacement qui a finalement autorisé ou bloqué le message est identifié dans Source de remplacement principale. Sélectionnez une ou plusieurs valeurs : Filtre tiers Administration voyage dans le temps initié (ZAP) Blocage de stratégie anti-programme malveillant par type de fichier Paramètres de stratégie anti-courrier indésirable Stratégie de connexion Règle de transport Exchange Mode exclusif (remplacement par l’utilisateur) Filtrage ignoré en raison d’une organization locale Filtre de région IP à partir de la stratégie Filtre de langue à partir de la stratégie Simulation d’hameçonnage Mise en quarantaine Boîte aux lettres SecOps Liste d’adresses des expéditeurs (remplacement Administration) Liste d’adresses des expéditeurs (remplacement par l’utilisateur) Liste des domaines de l’expéditeur (remplacement Administration) Liste des domaines de l’expéditeur (remplacement par l’utilisateur) Bloc de fichiers d’autorisation/liste de blocage du locataire Blocage de l’adresse e-mail de l’expéditeur d’autorisation/liste de blocage Bloc d’usurpation d’autorisation/liste de blocage du locataire Bloc d’URL d’autorisation/liste de blocage du locataire Liste de contacts approuvés (remplacement par l’utilisateur) Domaine approuvé (remplacement par l’utilisateur) Destinataire approuvé (remplacement par l’utilisateur) Expéditeurs approuvés uniquement (remplacement par l’utilisateur)
Remplacer la source	Mêmes valeurs que la source de remplacement principale
Type de stratégie	Sélectionnez une ou plusieurs valeurs : Stratégie anti-programme malveillant Politique de lutte contre l'hameçonnage Règle de transport Exchange (règle de flux de courrier), stratégie de filtre de contenu hébergé (stratégie anti-courrier indésirable), stratégie de filtrage du courrier indésirable sortant hébergé (stratégie de courrier indésirable sortant), stratégie pièces jointes sécurisées Unknown
Action de stratégie	Sélectionnez une ou plusieurs valeurs : Ajouter x-header Message cci Supprimer le message Modifier l’objet Déplacer vers le dossier Email indésirable Aucune action n’a été entreprise Message de redirection Envoyer en quarantaine
Type de menace	Sélectionnez une ou plusieurs valeurs : Programme malveillant Hameçonnage Courrier indésirable
Message transféré	Sélectionnez une ou plusieurs valeurs : True False
Liste de distribution	Texte. Séparez plusieurs valeurs par des virgules.
taille Email	Entier. Séparez plusieurs valeurs par des virgules.
Avancé
Identificateur du message Internet	Texte. Séparez plusieurs valeurs par des virgules. Disponible dans le champ d’en-tête Message-ID de l’en-tête du message. Un exemple de valeur est <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (notez les crochets).
ID de message réseau	Texte. Séparez plusieurs valeurs par des virgules. Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.
IP de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.
Pièce jointe SHA256	Texte. Séparez plusieurs valeurs par des virgules.
Cluster ID	Texte. Séparez plusieurs valeurs par des virgules.
ID d’alerte	Texte. Séparez plusieurs valeurs par des virgules.
ID de stratégie d’alerte	Texte. Séparez plusieurs valeurs par des virgules.
ID de campagne	Texte. Séparez plusieurs valeurs par des virgules.
Signal d’URL ZAP	Texte. Séparez plusieurs valeurs par des virgules.
URL
Nombre d’URL	Entier. Séparez plusieurs valeurs par des virgules.
Domaine d’URL²	Texte. Séparez plusieurs valeurs par des virgules.
Domaine d’URL et chemin d’accès²	Texte. Séparez plusieurs valeurs par des virgules.
URL²	Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’URL²	Texte. Séparez plusieurs valeurs par des virgules.
Source de l’URL	Sélectionnez une ou plusieurs valeurs : Pièces jointes Pièce jointe cloud Email corps en-tête Email Code QR Sujet Unknown
Cliquer sur le verdict	Sélectionnez une ou plusieurs valeurs : Autorisé : l’utilisateur a été autorisé à ouvrir l’URL. Bloc substitué : l’utilisateur n’a pas pu ouvrir directement l’URL, mais il a dépassé le bloc pour ouvrir l’URL. Bloqué : l’utilisateur n’a pas pu ouvrir l’URL. Erreur : la page d’erreur a été présentée à l’utilisateur, ou une erreur s’est produite lors de la capture du verdict. Échec : une exception inconnue s’est produite lors de la capture du verdict. L’utilisateur a peut-être ouvert l’URL. Aucun : impossible de capturer le verdict pour l’URL. L’utilisateur a peut-être ouvert l’URL. Verdict en attente : la page en attente de détonation a été présentée à l’utilisateur. Verdict en attente ignoré : la page de détonation a été présentée à l’utilisateur, mais il a dépassé le message pour ouvrir l’URL.
Menace d’URL	Sélectionnez une ou plusieurs valeurs : Programme malveillant Hameçonnage Courrier indésirable
Fichier
Nombre de pièces jointes	Entier. Séparez plusieurs valeurs par des virgules.
Nom de fichier des pièces jointes	Texte. Séparez plusieurs valeurs par des virgules.
Type de fichier	Texte. Séparez plusieurs valeurs par des virgules.
File Extension	Texte. Séparez plusieurs valeurs par des virgules.
Taille de fichier	Entier. Séparez plusieurs valeurs par des virgules.
Authentification
SPF	Sélectionnez une ou plusieurs valeurs : Échouer Neutre Aucune Passer Erreur permanente Soft fail Erreur temporaire
DKIM	Sélectionnez une ou plusieurs valeurs : Erreur Échouer Ignore Aucune Passer Test Timeout Unknown
DMARC	Sélectionnez une ou plusieurs valeurs : Passe de meilleure estimation Échouer Aucune Passer Erreur permanente Passe de sélecteur Erreur temporaire Unknown
Composite	Sélectionnez une ou plusieurs valeurs : Échouer Aucune Passer Passe souple

Conseil

¹ L’emplacement de remise le plus récent n’inclut pas les actions de l’utilisateur final sur les messages. Par exemple, si l’utilisateur a supprimé le message ou déplacé le message vers un fichier d’archive ou PST.

Il existe des scénarios où Emplacement /de remise d’origineEmplacement de remise le plus récent et/ou Action de remise ont la valeur Inconnu. Par exemple :

• Le message a été remis (l’action de remise est Remise), mais une règle de boîte de réception a déplacé le message vers un dossier par défaut autre que le dossier Boîte de réception ou Courrier indésirable Email (par exemple, le dossier Brouillon ou Archive).
• ZAP a tenté de déplacer le message après la remise, mais le message est introuvable (par exemple, l’utilisateur a déplacé ou supprimé le message).

² Par défaut, une recherche d’URL est mappée à http, sauf si une autre valeur est explicitement spécifiée. Par exemple :

• La recherche avec et sans préfixe http:// dans URL, Domaine d’URL et Domaine et Chemin d’URL doit afficher les mêmes résultats.
• Recherchez le https:// préfixe dans URL. Lorsqu’aucune valeur n’est spécifiée, le http:// préfixe est supposé.
• / au début et à la fin des champs chemin d’url, domaine d’URL, domaine d’URL et chemin d’accès sont ignorés.
• / à la fin du champ URL est ignoré.

Tableaux croisés dynamiques du graphique dans l’affichage Tous les e-mails dans Menace Explorer

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique d’actions de remise dans l’affichage Tous les e-mails dans Threat Explorer

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, l’action Remise est le tableau croisé dynamique par défaut dans l’affichage Tous les e-mails .

Le tableau croisé dynamique de l’action de remise organise le graphique en fonction des actions effectuées sur les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque action de remise.

Tableau croisé dynamique du graphique de domaine de l’expéditeur dans l’affichage Tous les e-mails dans Threat Explorer

Le tableau croisé dynamique du domaine de l’expéditeur organise le graphique par domaines dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’expéditeur.

Tableau croisé dynamique du graphique IP de l’expéditeur dans l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique IP de l’expéditeur organise le graphique en fonction des adresses IP sources des messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre d’adresses IP de chaque expéditeur.

Tableau croisé dynamique du graphique de la technologie de détection dans l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique de la technologie détection organise le graphique en fonction de la fonctionnalité qui a identifié les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique d’URL complète dans l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique URL complète organise le graphique en fonction des URL complètes dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque URL complète.

Tableau croisé dynamique du graphique de domaine d’URL dans l’affichage Tous les e-mails dans Threat Explorer

Le tableau croisé dynamique du domaine d’URL organise le graphique par domaines dans les URL dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Tableau croisé dynamique du domaine d’URL et du graphique de chemin d’accès dans l’affichage Tous les e-mails dans Threat Explorer

Le domaine d’URL et le tableau croisé dynamique du chemin d’accès organisent le graphique par domaines et chemins d’accès dans les URL des messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque domaine d’URL et chemin d’accès.

Affichages de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer

Les affichages (onglets) disponibles dans la zone d’informations de l’affichage Tous les e-mails sont décrits dans les sous-sections suivantes.

Email pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Email est l’affichage par défaut de la zone d’informations dans l’affichage Tous les e-mails.

La vue Email affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Date^*
• Objet^*
• Destinataire^*
• Domaine du destinataire
• Étiquettes^*
• Adresse de l’expéditeur^*
• Nom complet de l’expéditeur
• Domaine de l’expéditeur^*
• IP de l’expéditeur
• Courrier de l’expéditeur à partir de l’adresse
• Courrier de l’expéditeur à partir du domaine
• Actions supplémentaires^*
• Action de remise
• Dernier emplacement de livraison^*
• Emplacement de livraison d’origine^*
• Source des remplacements système
• Remplacements système
• ID d’alerte
• Internet message ID
• ID de message réseau
• Langue de messagerie
• Règle de transport Exchange
• Connector
• Context
• Règle de protection contre la perte de données
• Type de menace^*
• Technologie de détection
• Nombre de pièces jointes
• Nombre d’URL
• taille Email

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Supprimez les colonnes de la vue.
• Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une ou plusieurs entrées dans la liste en sélectionnant la zone case activée en regard de la première colonne, l’action Effectuer est disponible. Pour plus d’informations, consultez Repérage des menaces : correction Email.

Dans la valeur Objet de l’entrée, l’action Ouvrir dans une nouvelle fenêtre est disponible. Cette action ouvre le message dans la page d’entité Email.

Lorsque vous cliquez sur les valeurs Objet ou Destinataire dans une entrée, les menus volants de détails s’ouvrent. Ces menus volants sont décrits dans les sous-sections suivantes.

Email les détails de la vue Email de la zone détails dans l’affichage Tous les e-mails

Lorsque vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives standardisées qui sont également disponibles sur la page d’entité Email pour le message.

Pour plus d’informations sur les informations contenues dans le volet de résumé Email, consultez Panneau récapitulatif Email dans Defender.

Les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour les détections de Explorer de menaces et en temps réel :

• Ouvrir l’entité de messagerie
• En-tête d’affichage
• Agir : Pour plus d’informations, consultez Repérage des menaces : Email correction.
• Autres options :
  • préversion Email¹ ²
  • Télécharger l’e-mail¹ ² ³
  • Afficher dans Explorer
  • Go hunt⁴

¹ Les actions Email aperçu et Télécharger l’e-mail nécessitent le rôle Préversion dans Email & autorisations de collaboration. Par défaut, ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestionnaire eDiscovery . Par défaut, les membres des groupes de rôles Gestion de l’organisation ou Administrateurs de la sécurité ne peuvent pas effectuer ces actions. Pour autoriser ces actions pour les membres de ces groupes, vous disposez des options suivantes :

• Ajoutez les utilisateurs aux groupes de rôles Enquêteur de données ou Gestionnaire eDiscovery .
• Créez un groupe de rôles avec le rôle Rechercher et vider attribué, puis ajoutez les utilisateurs au groupe de rôles personnalisé.

² Vous pouvez afficher un aperçu ou télécharger les messages électroniques disponibles dans les boîtes aux lettres Microsoft 365. Voici quelques exemples de cas où les messages ne sont plus disponibles dans les boîtes aux lettres :

• Le message a été supprimé avant l’échec de la remise ou de la remise.
• Le message a été supprimé de manière réversible (supprimé du dossier Éléments supprimés, ce qui déplace le message vers le dossier Éléments récupérables\Suppressions).
• ZAP a déplacé le message en quarantaine.

³ Le téléchargement de l’e-mail n’est pas disponible pour les messages qui ont été mis en quarantaine. Au lieu de cela, téléchargez une copie protégée par mot de passe du message à partir de la mise en quarantaine.

⁴ Go hunt est disponible uniquement dans Threat Explorer. Il n’est pas disponible dans les détections en temps réel.

Détails du destinataire à partir de l’affichage Email de la zone d’informations dans l’affichage Tous les e-mails

Lorsque vous sélectionnez une entrée en cliquant sur la valeur Destinataire , un menu volant de détails s’ouvre avec les informations suivantes :

Conseil

Pour afficher les détails des autres destinataires sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

• Section Résumé :

  • Rôle : indique si le destinataire a des rôles d’administrateur attribués.
  • Stratégies :
    • Indique si l’utilisateur est autorisé à afficher les informations d’archivage.
    • Indique si l’utilisateur est autorisé à afficher les informations de rétention.
    • Indique si l’utilisateur est couvert par la protection contre la perte de données (DLP).
    • Indique si l’utilisateur est couvert par la gestion des appareils mobiles à l’adresse https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Email section : tableau montrant les informations associées suivantes pour les messages envoyés au destinataire :

  • Date
  • Sujet
  • Destinataire

  Sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans un nouvel onglet filtré par le destinataire.

• Section Alertes récentes : tableau montrant les informations associées suivantes pour les alertes récentes associées :

  • Gravité
  • Stratégie d’alerte
  • Catégorie
  • Activités

  S’il existe plus de trois alertes récentes, sélectionnez Afficher toutes les alertes récentes pour les afficher toutes.

  • Section Activité récente : affiche les résultats résumés d’une recherche dans le journal d’audit pour le destinataire :

    • Date
    • Adresse IP
    • Activité
    • Élément

    Si le destinataire a plus de trois entrées de journal d’audit, sélectionnez Afficher toutes les activités récentes pour les afficher toutes.

  Conseil

  Les membres du groupe de rôles Administrateurs de la sécurité dans Email & autorisations de collaboration ne peuvent pas développer la section Activité récente. Vous devez être membre d’un groupe de rôles dans Exchange Online autorisations auxquelles sont attribués les rôles Journaux d’audit, Analyste Information Protection ou Enquêteur Information Protection. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion des enregistrements, Gestion de la conformité, Information Protection, Analystes Information Protection, Enquêteurs Information Protection et Gestion de l’organisation. Vous pouvez ajouter les membres des administrateurs de sécurité à ces groupes de rôles, ou vous pouvez créer un groupe de rôles avec le rôle Journaux d’audit attribué.

L’URL clique sur la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue des clics d’URL affiche un graphique qui peut être organisé à l’aide de tableaux croisés dynamiques. Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques de graphique sont décrits dans les sous-sections suivantes.

Conseil

Dans menace Explorer, chaque tableau croisé dynamique de l’affichage des clics d’URL a une action Afficher tous les clics qui ouvre l’affichage des clics d’URL dans un nouvel onglet.

Tableau croisé dynamique du domaine d’URL pour la vue Des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Bien que ce tableau croisé dynamique ne semble pas être sélectionné, domaine d’URL est le tableau croisé dynamique par défaut du graphique dans la vue des clics d’URL .

Le tableau croisé dynamique du domaine d’URL affiche les différents domaines dans les URL des messages électroniques pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Cliquez sur le pivot de verdict pour l’affichage des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique Verdict de clic affiche les différents verdicts pour les URL cliquées dans les messages électroniques pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque verdict de clic.

Tableau croisé dynamique d’URL pour la vue des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique d’URL affiche les différentes URL sur lesquelles on a cliqué dans les messages électroniques pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque URL.

Domaine d’URL et tableau croisé dynamique du chemin d’accès pour l’affichage des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique domaine et chemin d’URL affiche les différents domaines et chemins d’accès des URL sur lesquelles on a cliqué dans les e-mails pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque domaine d’URL et chemin d’accès de fichier.

Affichage des URL principales pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue URL principales affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

• URL
• Messages bloqués
• Messages indésirables
• Messages remis

Détails des URL principales pour l’affichage Tous les e-mails

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre avec les informations suivantes :

Conseil

Pour afficher les détails des autres URL sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

• Les actions suivantes sont disponibles en haut du menu volant :

  • Ouvrir la page URL

  • Envoyer pour analyse :

    • Propre de rapport
    • Signaler l’hameçonnage
    • Signaler les programmes malveillants

  • Gérer l’indicateur :

    • Ajouter un indicateur
    • Gérer dans la liste bloquée des locataires

    La sélection de l’une de ces options vous permet d’accéder à la page Soumissions dans le portail Defender.

  • Plus :

    • Afficher dans Explorer
    • Chasse go
• URL d’origine
• Section Détection :
  • Verdict sur le renseignement sur les menaces
  • x alertes actives y incidents : graphique à barres horizontales qui montre le nombre d’alertes Haut, Moyen, Faible et Info liées à ce lien.
  • Lien permettant d’afficher tous les incidents & alertes dans la page URL.
• Section Détails du domaine :
  • Nom de domaine et lien vers la page Afficher le domaine.
  • Déclarant
  • Inscrit sur
  • Mise à jour le
  • Expire le
• Section Informations de contact de l’inscrit :
  • Registraire
  • Pays
  • Adresse postale
  • Courrier électronique
  • Téléphone
  • Plus d’informations : Lien vers Ouvrir sur Whois.
• Section Prévalence d’URL (30 derniers jours) : contient le nombre d’appareils, de Email et de clics. Sélectionnez chaque valeur pour afficher la liste complète.
• Appareils : affiche les appareils affectés :

  • Date (Premier /Dernier)

  • Appareils

    Si plus de deux appareils sont impliqués, sélectionnez Afficher tous les appareils pour les afficher tous.

Affichage des clics du haut pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer

La vue Top clicks affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

• URL
• Bloqué
• Autorisé
• Bloc substitué
• Verdict en attente
• Verdict en attente ignoré
• Aucune
• Page d’erreur
• Échec

Conseil

Toutes les colonnes disponibles sont sélectionnées. Si vous sélectionnez Personnaliser les colonnes, vous ne pouvez pas désélectionner les colonnes.

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Zoom arrière dans votre navigateur web.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue Utilisateurs les plus ciblés organise les données dans une table des cinq principaux destinataires ciblés par le plus de menaces. Le tableau contient les informations suivantes :

• Principaux utilisateurs ciblés : adresse e-mail du destinataire. Si vous sélectionnez une adresse de destinataire, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails du destinataire à partir de la vue Email de la zone de détails de l’affichage Tous les e-mails.

• Nombre de tentatives : si vous sélectionnez le nombre de tentatives, menace Explorer s’ouvre dans un nouvel onglet filtré par le destinataire.

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Email vue d’origine pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue d’origine Email affiche les sources de messages sur une carte du monde.

Affichage Campagne pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer

La vue Campagne affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

Les informations contenues dans le tableau sont les mêmes que celles décrites dans le tableau détails de la page Campagnes.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails de la campagne.

Affichage des programmes malveillants dans la Explorer des menaces et détections en temps réel

La vue Programmes malveillants dans Détections Explorer de menaces et en temps réel affiche des informations sur les messages électroniques qui contiennent des programmes malveillants. Cette vue est la valeur par défaut dans détections en temps réel.

Pour ouvrir la vue Programmes malveillants , effectuez l’une des étapes suivantes :

• Explorer des menaces : dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Malware. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Programmes malveillants.
• Détections en temps réel : dans la page Détections en temps réel du portail Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Explorer>Onglet Logiciel malveillant. Vous pouvez également accéder directement à la page Détections en temps réel à l’aide https://security.microsoft.com/realtimereportsv3de , puis vérifier que l’onglet Programmes malveillants est sélectionné.

Propriétés filtrables dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Adresse de l’expéditeur dans la vue Programmes malveillants sont décrites dans le tableau suivant :

Propriété	Type	Menaces Explorer	Temps réel Détections
Basique
Adresse de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Recipients	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine du destinataire	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Sujet	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Nom complet de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Courrier de l’expéditeur à partir de l’adresse	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Courrier de l’expéditeur à partir du domaine	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Chemin d’accès de retour	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine de chemin d’accès de retour	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Famille de programmes malveillants	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Tags	Texte. Séparez plusieurs valeurs par des virgules. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.	✔
Règle de transport Exchange	Texte. Séparez plusieurs valeurs par des virgules.	✔
Règle de protection contre la perte de données	Texte. Séparez plusieurs valeurs par des virgules.	✔
Contexte	Sélectionnez une ou plusieurs valeurs : Évaluation Protection des comptes prioritaires	✔
Connector	Texte. Séparez plusieurs valeurs par des virgules.	✔
Action de remise	Sélectionnez une ou plusieurs valeurs : Bloqué Remis Remis à des courriers indésirables Remplacé : pièces jointes de message qui ont été remplacées par la remise dynamique dans les stratégies pièces jointes sécurisées.	✔	✔
Action supplémentaire	Sélectionnez une ou plusieurs valeurs : Correction automatisée Livraison dynamique : pour plus d’informations, consultez Livraison dynamique dans les stratégies de pièces jointes fiables. Correction manuelle Aucune Mise en quarantaine Retraité ZAP : pour plus d’informations, consultez Purge automatique de zéro heure (ZAP) dans Microsoft Defender pour Office 365.	✔	✔
Orientation	Sélectionnez une ou plusieurs valeurs : Entrants Intra-irg Sortant	✔	✔
Technologie de détection	Sélectionnez une ou plusieurs valeurs : Filtre avancé : signaux basés sur le Machine Learning. Protection anti-programme malveillant E-mail de masse Campagne Réputation du domaine Détonation de fichier : les pièces jointes fiables ont détecté une pièce jointe malveillante lors de l’analyse de la détonation. Réputation de détonation de fichiers : pièces jointes précédemment détectées par les détonations de pièces jointes fiables dans d’autres organisations Microsoft 365. Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365. Correspondance d’empreintes digitales : le message ressemble étroitement à un message malveillant détecté précédemment. Filtre général Marque d’emprunt d’identité : emprunt d’identité d’expéditeur de marques connues. Domaine d’emprunt d’identité : emprunt d’identité des domaines d’expéditeur que vous possédez ou que vous avez spécifiés pour la protection dans les stratégies anti-hameçonnage Utilisateur emprunt d’identité Réputation de l’adresse IP Emprunt d’identité d’intelligence de boîte aux lettres : détections d’emprunt d’identité à partir de l’intelligence des boîtes aux lettres dans les stratégies anti-hameçonnage. Détection d’analyse mixte : plusieurs filtres ont contribué au verdict du message. usurpation DMARC : le message a échoué à l’authentification DMARC. Usurpation de domaine externe : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine externe à votre organization. Usurpation intra-organisation : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine interne à votre organization. Détonation d’URL : les liens fiables ont détecté une URL malveillante dans le message pendant l’analyse de la détonation. Réputation de détonation d’URL : URL précédemment détectées par les détonations de liens fiables dans d’autres organisations Microsoft 365. Réputation malveillante d’URL : le message contient une URL qui a été précédemment identifiée comme malveillante dans d’autres organisations Microsoft 365.	✔	✔
Emplacement de livraison d’origine	Sélectionnez une ou plusieurs valeurs : dossier Éléments supprimés Tomber Échec Boîte de réception/dossier Dossier Courrier indésirable Local/externe Mise en quarantaine Unknown	✔	✔
Dernier emplacement de livraison	Mêmes valeurs que l’emplacement de remise d’origine	✔	✔
Remplacement principal	Sélectionnez une ou plusieurs valeurs : Autorisé par la stratégie organization Autorisé par la stratégie utilisateur Bloqué par la stratégie organization Bloqué par la stratégie utilisateur Aucune	✔	✔
Source de remplacement principale	Les messages peuvent avoir plusieurs remplacements d’autorisation ou de blocage, comme indiqué dans Remplacer la source. Le remplacement qui a finalement autorisé ou bloqué le message est identifié dans Source de remplacement principale. Sélectionnez une ou plusieurs valeurs : Filtre tiers Administration voyage dans le temps initié (ZAP) Blocage de stratégie anti-programme malveillant par type de fichier Paramètres de stratégie anti-courrier indésirable Stratégie de connexion Règle de transport Exchange Mode exclusif (remplacement par l’utilisateur) Filtrage ignoré en raison d’une organization locale Filtre de région IP à partir de la stratégie Filtre de langue à partir de la stratégie Simulation d’hameçonnage Mise en quarantaine Boîte aux lettres SecOps Liste d’adresses des expéditeurs (remplacement Administration) Liste d’adresses des expéditeurs (remplacement par l’utilisateur) Liste des domaines de l’expéditeur (remplacement Administration) Liste des domaines de l’expéditeur (remplacement par l’utilisateur) Bloc de fichiers d’autorisation/liste de blocage du locataire Blocage de l’adresse e-mail de l’expéditeur d’autorisation/liste de blocage Bloc d’usurpation d’autorisation/liste de blocage du locataire Bloc d’URL d’autorisation/liste de blocage du locataire Liste de contacts approuvés (remplacement par l’utilisateur) Domaine approuvé (remplacement par l’utilisateur) Destinataire approuvé (remplacement par l’utilisateur) Expéditeurs approuvés uniquement (remplacement par l’utilisateur)	✔	✔
Remplacer la source	Mêmes valeurs que la source de remplacement principale	✔	✔
Type de stratégie	Sélectionnez une ou plusieurs valeurs : Stratégie anti-programme malveillant Politique de lutte contre l'hameçonnage Règle de transport Exchange (règle de flux de courrier), stratégie de filtre de contenu hébergé (stratégie anti-courrier indésirable), stratégie de filtrage du courrier indésirable sortant hébergé (stratégie de courrier indésirable sortant), stratégie pièces jointes sécurisées Unknown	✔	✔
Action de stratégie	Sélectionnez une ou plusieurs valeurs : Ajouter x-header Message cci Supprimer le message Modifier l’objet Déplacer vers le dossier Email indésirable Aucune action n’a été entreprise Message de redirection Envoyer en quarantaine	✔	✔
taille Email	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Avancé
Identificateur du message Internet	Texte. Séparez plusieurs valeurs par des virgules. Disponible dans le champ d’en-tête Message-ID de l’en-tête du message. Un exemple de valeur est <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (notez les crochets).	✔	✔
ID de message réseau	Texte. Séparez plusieurs valeurs par des virgules. Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.	✔	✔
IP de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Pièce jointe SHA256	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Cluster ID	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
ID d’alerte	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
ID de stratégie d’alerte	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
ID de campagne	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Signal d’URL ZAP	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
URL
Nombre d’URL	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine d’URL	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine et chemin d’URL	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
URL	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Chemin d’URL	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Source de l’URL	Sélectionnez une ou plusieurs valeurs : Pièces jointes Pièce jointe cloud Email corps en-tête Email Code QR Sujet Unknown	✔	✔
Cliquer sur le verdict	Sélectionnez une ou plusieurs valeurs : Autorisé Bloc substitué Bloqué Erreur Échec Aucune Verdict en attente Verdict en attente ignoré	✔	✔
Menace d’URL	Sélectionnez une ou plusieurs valeurs : Programme malveillant Hameçonnage Courrier indésirable	✔	✔
Fichier
Nombre de pièces jointes	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Nom de fichier des pièces jointes	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Type de fichier	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
File Extension	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Taille de fichier	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Authentification
SPF	Sélectionnez une ou plusieurs valeurs : Échouer Neutre Aucune Passer Erreur permanente Soft fail Erreur temporaire	✔	✔
DKIM	Sélectionnez une ou plusieurs valeurs : Erreur Échouer Ignore Aucune Passer Test Timeout Unknown	✔	✔
DMARC	Sélectionnez une ou plusieurs valeurs : Passe de meilleure estimation Échouer Aucune Passer Erreur permanente Passe de sélecteur Erreur temporaire Unknown	✔	✔
Composite	Sélectionnez une ou plusieurs valeurs : Échouer Aucune Passer Passe souple

Tableaux croisés dynamiques du graphique dans la vue Programmes malveillants dans Threat Explorer and Real-time Detections

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel sont répertoriés dans le tableau suivant :

Pivot	Menaces Explorer	Temps réel Détections
Famille de programmes malveillants	✔
Domaine de l’expéditeur	✔
IP de l’expéditeur	✔
Action de remise	✔	✔
Technologie de détection	✔	✔

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique de la famille de programmes malveillants dans la vue Programmes malveillants Explorer

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, la famille de programmes malveillants est le tableau croisé dynamique par défaut dans la vue Programmes malveillants dans Explorer menaces.

Le tableau croisé dynamique famille de programmes malveillants organise le graphique par famille de programmes malveillants détectés dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque famille de programmes malveillants.

Tableau croisé dynamique du graphique de domaine de l’expéditeur dans la vue Programmes malveillants dans Explorer menaces

Le tableau croisé dynamique du domaine de l’expéditeur organise le graphique par domaine de l’expéditeur des messages qui contiennent des programmes malveillants pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’expéditeur.

Tableau croisé dynamique du graphique IP de l’expéditeur dans la vue Programmes malveillants dans Menace Explorer

Le tableau croisé dynamique IP de l’expéditeur organise le graphique en fonction de l’adresse IP source des messages qui contiennent des programmes malveillants pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque adresse IP source.

Tableau croisé dynamique du graphique d’actions de remise dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, l’action de remise est le tableau croisé dynamique par défaut dans la vue Programmes malveillants dans détections en temps réel.

Le tableau croisé dynamique de l’action de remise organise le graphique en fonction de ce qui est arrivé aux messages qui contiennent des programmes malveillants pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque action de remise.

Tableau croisé dynamique du graphique de la technologie de détection dans la vue Programmes malveillants dans Détections de Explorer de menaces et en temps réel

Le tableau croisé dynamique de la technologie de détection organise le graphique en fonction de la fonctionnalité qui a identifié les programmes malveillants dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Affichages de la zone d’informations de la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Les affichages (onglets) disponibles dans la zone d’informations de la vue Programmes malveillants sont répertoriés dans le tableau suivant et sont décrits dans les sous-sections suivantes.

Afficher	Menaces Explorer	Temps réel Détections
Courrier électronique	✔	✔
Principales familles de programmes malveillants	✔
Principaux utilisateurs ciblés	✔
origine Email	✔
Campagne	✔

Email pour la zone de détails de la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Email est l’affichage par défaut pour la zone de détails de la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel.

La vue Email affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées.

Le tableau suivant présente les colonnes disponibles dans détections Explorer de menaces et en temps réel. Les valeurs par défaut sont marquées d’un astérisque (^*).

Column	Menaces Explorer	Temps réel Détections
Date*	✔	✔
Objet*	✔	✔
Destinataire*	✔	✔
Domaine du destinataire	✔	✔
Étiquettes*	✔
Adresse de l’expéditeur*	✔	✔
Nom complet de l’expéditeur	✔	✔
Domaine de l’expéditeur*	✔	✔
IP de l’expéditeur	✔	✔
Courrier de l’expéditeur à partir de l’adresse	✔	✔
Courrier de l’expéditeur à partir du domaine	✔	✔
Actions supplémentaires*	✔	✔
Action de remise	✔	✔
Dernier emplacement de livraison*	✔	✔
Emplacement de livraison d’origine*	✔	✔
Source des remplacements système	✔	✔
Remplacements système	✔	✔
ID d’alerte	✔	✔
Internet message ID	✔	✔
ID de message réseau	✔	✔
Langue de messagerie	✔	✔
Règle de transport Exchange	✔
Connector	✔
Context	✔	✔
Règle de protection contre la perte de données	✔	✔
Type de menace*	✔	✔
Technologie de détection	✔	✔
Nombre de pièces jointes	✔	✔
Nombre d’URL	✔	✔
taille Email	✔	✔

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Supprimez les colonnes de la vue.
• Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une ou plusieurs entrées dans la liste en sélectionnant la zone case activée en regard de la première colonne, l’action Effectuer est disponible. Pour plus d’informations, consultez Repérage des menaces : correction Email.

Lorsque vous cliquez sur les valeurs Objet ou Destinataire dans une entrée, les menus volants de détails s’ouvrent. Ces menus volants sont décrits dans les sous-sections suivantes.

Email détails de la vue Email de la zone détails dans la vue Programmes malveillants

Lorsque vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives standardisées qui sont également disponibles sur la page d’entité Email pour le message.

Pour plus d’informations sur les informations contenues dans le panneau de synthèse Email, consultez Panneaux de synthèse Email.

Les actions disponibles en haut du panneau de résumé Email pour les détections de menaces Explorer et en temps réel sont décrites dans la Email détails de la vue Email de la zone d’informations de l’affichage Tous les e-mails.

Détails du destinataire à partir de la vue Email de la zone d’informations dans la vue Programmes malveillants

Lorsque vous sélectionnez une entrée en cliquant sur la valeur Destinataire , un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails du destinataire à partir de la vue Email de la zone de détails de l’affichage Tous les e-mails.

Affichage des principales familles de programmes malveillants pour la zone d’informations de la vue Programmes malveillants dans Threat Explorer

La vue Principales familles de programmes malveillants pour la zone d’informations organise les données dans un tableau des principales familles de programmes malveillants. Le tableau montre :

• Colonne Principales familles de programmes malveillants : nom de la famille de programmes malveillants.

  Si vous sélectionnez un nom de famille de programmes malveillants, un menu volant de détails s’ouvre et contient les informations suivantes :

  • Email section : tableau montrant les informations associées suivantes pour les messages qui contiennent le fichier de programme malveillant :

    • Date
    • Sujet
    • Destinataire

    Sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

  • Section Détails techniques

  

• Nombre de tentatives : si vous sélectionnez le nombre de tentatives, menace Explorer s’ouvre dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de la vue Programmes malveillants dans Threat Explorer

La vue Utilisateurs les plus ciblés organise les données dans un tableau des cinq principaux destinataires ciblés par un programme malveillant. Le tableau montre :

• Utilisateurs les plus ciblés : adresse e-mail de l’utilisateur le plus ciblé. Si vous sélectionnez une adresse e-mail, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans la vue Utilisateurs les plus ciblés pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer.

• Nombre de tentatives : si vous sélectionnez le nombre de tentatives, menace Explorer s’ouvre dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Email vue d’origine pour la zone de détails de la vue Programmes malveillants dans Menace Explorer

La vue d’origine Email affiche les sources de messages sur une carte du monde.

Affichage Campagne pour la zone d’informations de l’affichage Programmes malveillants dans Explorer menaces

La vue Campagne affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

La table de détails est identique à la table de détails de la page Campagnes.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails de la campagne.

Vue Hameçonnage dans les détections de Explorer de menaces et en temps réel

La vue Hameçonnage dans Détections Explorer de menaces et en temps réel affiche des informations sur les messages électroniques identifiés comme hameçonnage.

Pour ouvrir la vue Hameçon , effectuez l’une des étapes suivantes :

• Explorer des menaces : dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Phish. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Hameçon.
• Détections en temps réel : dans la page Détections en temps réel du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Phish. Vous pouvez également accéder directement à la page Détections en temps réel à l’aide https://security.microsoft.com/realtimereportsv3de , puis sélectionner l’onglet Hameçon.

Propriétés filtrables dans la vue Hameçonnage dans les détections de Explorer de menaces et en temps réel

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Adresse de l’expéditeur dans la vue Programmes malveillants sont décrites dans le tableau suivant :

Propriété	Type	Menaces Explorer	Temps réel Détections
Basique
Adresse de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Recipients	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine du destinataire	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Sujet	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Nom complet de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Courrier de l’expéditeur à partir de l’adresse	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Courrier de l’expéditeur à partir du domaine	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Chemin d’accès de retour	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine de chemin d’accès de retour	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Tags	Texte. Séparez plusieurs valeurs par des virgules. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.	✔
Domaine emprunté	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Utilisateur usurpé l’identité	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Règle de transport Exchange	Texte. Séparez plusieurs valeurs par des virgules.	✔
Règle de protection contre la perte de données	Texte. Séparez plusieurs valeurs par des virgules.	✔
Contexte	Sélectionnez une ou plusieurs valeurs : Évaluation Protection des comptes prioritaires	✔
Connector	Texte. Séparez plusieurs valeurs par des virgules.	✔
Action de remise	Sélectionnez une ou plusieurs valeurs : Bloqué Remis Remis à des courriers indésirables Remplacé : pièces jointes de message qui ont été remplacées par la remise dynamique dans les stratégies pièces jointes sécurisées.	✔	✔
Action supplémentaire	Sélectionnez une ou plusieurs valeurs : Correction automatisée Livraison dynamique Correction manuelle Aucune Mise en quarantaine Retraité ZAP	✔	✔
Orientation	Sélectionnez une ou plusieurs valeurs : Entrants Intra-irg Sortant	✔	✔
Technologie de détection	Sélectionnez une ou plusieurs valeurs : Filtre avancé Protection anti-programme malveillant E-mail de masse Campagne Réputation du domaine Détonation de fichier Réputation de détonation de fichier Réputation des fichiers Correspondance de l’empreinte Filtre général Marque d’emprunt d’identité Domaine d’emprunt d’identité Utilisateur emprunt d’identité Réputation de l’adresse IP Emprunt d’identité sur la veille des boîtes aux lettre Détection d’analyse mixte usurpation d’identité DMARC Usurpation d’un domaine externe Usurpation d’organisation intra-organisation Détonation d’URL Réputation de détonation d’URL Réputation d’URL malveillante	✔	✔
Emplacement de livraison d’origine	Sélectionnez une ou plusieurs valeurs : dossier Éléments supprimés Tomber Échec Boîte de réception/dossier Dossier Courrier indésirable Local/externe Mise en quarantaine Unknown	✔	✔
Dernier emplacement de livraison	Mêmes valeurs que l’emplacement de remise d’origine	✔	✔
Niveau de confiance des hameçonnages	Sélectionnez une ou plusieurs valeurs : High Normal	✔
Remplacement principal	Sélectionnez une ou plusieurs valeurs : Autorisé par la stratégie organization Autorisé par la stratégie utilisateur Bloqué par la stratégie organization Bloqué par la stratégie utilisateur Aucune	✔	✔
Source de remplacement principale	Les messages peuvent avoir plusieurs remplacements d’autorisation ou de blocage, comme indiqué dans Remplacer la source. Le remplacement qui a finalement autorisé ou bloqué le message est identifié dans Source de remplacement principale. Sélectionnez une ou plusieurs valeurs : Filtre tiers Administration voyage dans le temps initié (ZAP) Blocage de stratégie anti-programme malveillant par type de fichier Paramètres de stratégie anti-courrier indésirable Stratégie de connexion Règle de transport Exchange Mode exclusif (remplacement par l’utilisateur) Filtrage ignoré en raison d’une organization locale Filtre de région IP à partir de la stratégie Filtre de langue à partir de la stratégie Simulation d’hameçonnage Mise en quarantaine Boîte aux lettres SecOps Liste d’adresses des expéditeurs (remplacement Administration) Liste d’adresses des expéditeurs (remplacement par l’utilisateur) Liste des domaines de l’expéditeur (remplacement Administration) Liste des domaines de l’expéditeur (remplacement par l’utilisateur) Bloc de fichiers d’autorisation/liste de blocage du locataire Blocage de l’adresse e-mail de l’expéditeur d’autorisation/liste de blocage Bloc d’usurpation d’autorisation/liste de blocage du locataire Bloc d’URL d’autorisation/liste de blocage du locataire Liste de contacts approuvés (remplacement par l’utilisateur) Domaine approuvé (remplacement par l’utilisateur) Destinataire approuvé (remplacement par l’utilisateur) Expéditeurs approuvés uniquement (remplacement par l’utilisateur)	✔	✔
Remplacer la source	Mêmes valeurs que la source de remplacement principale	✔	✔
Type de stratégie	Sélectionnez une ou plusieurs valeurs : Stratégie anti-programme malveillant Politique de lutte contre l'hameçonnage Règle de transport Exchange (règle de flux de courrier), stratégie de filtre de contenu hébergé (stratégie anti-courrier indésirable), stratégie de filtrage du courrier indésirable sortant hébergé (stratégie de courrier indésirable sortant), stratégie pièces jointes sécurisées Unknown	✔	✔
Action de stratégie	Sélectionnez une ou plusieurs valeurs : Ajouter x-header Message cci Supprimer le message Modifier l’objet Déplacer vers le dossier Email indésirable Aucune action n’a été entreprise Message de redirection Envoyer en quarantaine	✔	✔
taille Email	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Avancé
Identificateur du message Internet	Texte. Séparez plusieurs valeurs par des virgules. Disponible dans le champ d’en-tête Message-ID de l’en-tête du message. Un exemple de valeur est <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (notez les crochets).	✔	✔
ID de message réseau	Texte. Séparez plusieurs valeurs par des virgules. Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.	✔	✔
IP de l’expéditeur	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Pièce jointe SHA256	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Cluster ID	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
ID d’alerte	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
ID de stratégie d’alerte	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
ID de campagne	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Signal d’URL ZAP	Texte. Séparez plusieurs valeurs par des virgules.	✔
URL
Nombre d’URL	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine d’URL	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Domaine et chemin d’URL	Texte. Séparez plusieurs valeurs par des virgules.	✔
URL	Texte. Séparez plusieurs valeurs par des virgules.	✔
Chemin d’URL	Texte. Séparez plusieurs valeurs par des virgules.	✔
Source de l’URL	Sélectionnez une ou plusieurs valeurs : Pièces jointes Pièce jointe cloud Email corps en-tête Email Code QR Sujet Unknown	✔	✔
Cliquer sur le verdict	Sélectionnez une ou plusieurs valeurs : Autorisé Bloc substitué Bloqué Erreur Échec Aucune Verdict en attente Verdict en attente ignoré	✔	✔
Menace d’URL	Sélectionnez une ou plusieurs valeurs : Programme malveillant Hameçonnage Courrier indésirable	✔	✔
Fichier
Nombre de pièces jointes	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Nom de fichier des pièces jointes	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Type de fichier	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
File Extension	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Taille de fichier	Entier. Séparez plusieurs valeurs par des virgules.	✔	✔
Authentification
SPF	Sélectionnez une ou plusieurs valeurs : Échouer Neutre Aucune Passer Erreur permanente Soft fail Erreur temporaire	✔	✔
DKIM	Sélectionnez une ou plusieurs valeurs : Erreur Échouer Ignore Aucune Passer Test Timeout Unknown	✔	✔
DMARC	Sélectionnez une ou plusieurs valeurs : Passe de meilleure estimation Échouer Aucune Passer Erreur permanente Passe de sélecteur Erreur temporaire Unknown	✔	✔
Composite	Sélectionnez une ou plusieurs valeurs : Échouer Aucune Passer Passe souple

Tableaux croisés dynamiques pour le graphique dans l’affichage Hameçonnage dans Détections Explorer de menaces et en temps réel

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques de graphique disponibles dans l’affichage Hameçonnage dans Détections de menaces Explorer et en temps réel sont répertoriés dans le tableau suivant :

Pivot	Menaces Explorer	Temps réel Détections
Domaine de l’expéditeur	✔	✔
IP de l’expéditeur	✔
Action de remise	✔	✔
Technologie de détection	✔	✔
URL complète	✔
Domaine d’URL	✔	✔
Domaine et chemin d’URL	✔

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique de domaine de l’expéditeur dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, le domaine de l’expéditeur est le tableau croisé dynamique par défaut dans la vue Hameçonnage dans détections en temps réel.

Le tableau croisé dynamique du domaine de l’expéditeur organise le graphique par domaines dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’expéditeur.

Tableau croisé dynamique du graphique IP de l’expéditeur dans la vue Hameçonnage dans Menace Explorer

Le tableau croisé dynamique IP de l’expéditeur organise le graphique en fonction des adresses IP sources des messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque adresse IP source.

Tableau croisé dynamique du graphique d’actions de remise dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, l’action de remise est le tableau croisé dynamique par défaut dans la vue Hameçonnage dans Menace Explorer.

Le tableau croisé dynamique de l’action de remise organise le graphique en fonction des actions effectuées sur les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque action de remise.

Tableau croisé dynamique du graphique de la technologie de détection dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Le tableau croisé dynamique de la technologie détection organise le graphique en fonction de la fonctionnalité qui a identifié les messages d’hameçonnage pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique complet du graphique d’URL dans la vue Hameçonnage dans Menace Explorer

Le tableau croisé dynamique URL complète organise le graphique en fonction des URL complètes dans les messages de hameçonnage pour la plage de date/heure et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque URL complète.

Tableau croisé dynamique du graphique de domaine d’URL dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Le tableau croisé dynamique du domaine d’URL organise le graphique par domaines dans les URL des messages d’hameçonnage pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Tableau croisé dynamique du domaine d’URL et du graphique de chemin d’accès dans l’affichage Hameçon dans Threat Explorer

Le domaine d’URL et le tableau croisé dynamique du chemin d’accès organisent le graphique par domaines et chemins d’accès dans les URL des messages d’hameçonnage pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque domaine d’URL et chemin d’accès.

Affichages de la zone de détails de l’affichage Hameçon dans Threat Explorer

Les affichages (onglets) disponibles dans la zone de détails de la vue Hameçonnage sont répertoriés dans le tableau suivant et sont décrits dans les sous-sections suivantes.

Afficher	Menaces Explorer	Temps réel Détections
Courrier électronique	✔	✔
Clics d’URL	✔	✔
URL principales	✔	✔
Clics du haut	✔	✔
Principaux utilisateurs ciblés	✔
origine Email	✔
Campagne	✔

vue Email pour la zone de détails de la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Email est l’affichage par défaut pour la zone d’informations de la vue Hameçonnage dans Détections Explorer de menaces et en temps réel.

La vue Email affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées.

Le tableau suivant présente les colonnes disponibles dans détections Explorer de menaces et en temps réel. Les valeurs par défaut sont marquées d’un astérisque (^*).

Column	Menaces Explorer	Temps réel Détections
Date*	✔	✔
Objet*	✔	✔
Destinataire*	✔	✔
Domaine du destinataire	✔	✔
Étiquettes*	✔
Adresse de l’expéditeur*	✔	✔
Nom complet de l’expéditeur	✔	✔
Domaine de l’expéditeur*	✔	✔
IP de l’expéditeur	✔	✔
Courrier de l’expéditeur à partir de l’adresse	✔	✔
Courrier de l’expéditeur à partir du domaine	✔	✔
Actions supplémentaires*	✔	✔
Action de remise	✔	✔
Dernier emplacement de livraison*	✔	✔
Emplacement de livraison d’origine*	✔	✔
Source des remplacements système	✔	✔
Remplacements système	✔	✔
ID d’alerte	✔	✔
Internet message ID	✔	✔
ID de message réseau	✔	✔
Langue de messagerie	✔	✔
Règle de transport Exchange	✔
Connector	✔
Niveau de confiance des hameçonnages	✔
Context	✔
Règle de protection contre la perte de données	✔
Type de menace*	✔	✔
Technologie de détection	✔	✔
Nombre de pièces jointes	✔	✔
Nombre d’URL	✔	✔
Taille de l’e-mail	✔	✔

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Supprimez les colonnes de la vue.
• Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une ou plusieurs entrées dans la liste en mettant à cocher la case en regard de la première colonne, l’option Effectuer une action est disponible. Pour plus d’informations, consultez Repérage des menaces : correction des e-mails.

Lorsque vous cliquez sur les valeurs Objet ou Destinataire dans une entrée, les menus volants de détails s’ouvrent. Ces menus volants sont décrits dans les sous-sections suivantes.

Détails de l’e-mail à partir de la vue E-mail de la zone détails dans l’affichage Hameçonnage

Lorsque vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau résumé e-mail et contient des informations récapitulatives standardisées qui sont également disponibles sur la page Entité e-mail pour le message.

Pour plus d’informations sur les informations contenues dans le panneau résumé de l’e-mail, voir Le panneau récapitulatif des e-mails dans les fonctionnalités de Defender pour Office 365.

Les actions disponibles en haut du panneau De synthèse des e-mails pour l’Explorateur de menaces et les détections en temps réel sont décrites dans la section Détails de l’e-mail de la zone De détails de l’affichage Tous les e-mails.

Détails du destinataire à partir de la vue E-mail de la zone détails dans l’affichage Hameçonnage

Lorsque vous sélectionnez une entrée en cliquant sur la valeur Destinataire , un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails du destinataire à partir de l’affichage E-mail de la zone détails de l’affichage Tous les e-mails.

Affichage des clics sur l’URL pour la zone d’informations de l’affichage Hameçonnage dans l’Explorateur de menaces et détections en temps réel

La vue des clics d’URL affiche un graphique qui peut être organisé à l’aide de tableaux croisés dynamiques. Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles dans la vue Programmes malveillants de l’Explorateur de menaces et détections en temps réel sont décrits dans le tableau suivant :

Pivot	Menaces Explorer	Temps réel Détections
Domaine d’URL	✔	✔
Cliquer sur le verdict	✔	✔
URL	✔
Domaine et chemin d’URL	✔

Les mêmes tableaux croisés dynamiques de graphique sont disponibles et décrits pour l’affichage Tous les e-mails dans l’Explorateur des menaces :

• Tableau croisé dynamique du domaine d’URL pour la vue des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans l’Explorateur de menaces
• Cliquez sur le pivot de verdict pour la vue Des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans l’Explorateur de menaces
• Tableau croisé dynamique d’URL pour la vue Des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans l’Explorateur de menaces
• Domaine d’URL et pivot de chemin d’accès pour l’affichage des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans l’Explorateur de menaces

Conseil

Dans l’Explorateur de menaces, chaque tableau croisé dynamique de l’affichage des clics d’URL a une action Afficher tous les clics qui ouvre l’affichage des clics sur l’URL dans l’Explorateur de menaces dans un nouvel onglet. Cette action n’est pas disponible dans les détections en temps réel, car l’affichage des clics sur l’URL n’est pas disponible dans détections en temps réel.

Affichage DES URL principales pour la zone de détails de l’affichage Hameçonnage dans l’Explorateur de menaces et détections en temps réel

La vue URL principales affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

• URL
• Messages bloqués
• Messages indésirables
• Messages remis

Détails des URL principales pour la vue Hameçonnage

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la case à cocher en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Conseil

L’action Go hunt est disponible uniquement dans l’Explorateur de menaces. Il n’est pas disponible dans les détections en temps réel.

Affichage des clics du haut pour la zone d’informations de l’affichage Hameçon dans l’Explorateur de menaces et détections en temps réel

La vue Top clicks affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

• URL
• Bloqué
• Autorisé
• Bloc substitué
• Verdict en attente
• Verdict en attente ignoré
• Aucune
• Page d’erreur
• Échec

Conseil

Toutes les colonnes disponibles sont sélectionnées. Si vous sélectionnez Personnaliser les colonnes, vous ne pouvez pas désélectionner les colonnes.

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Zoom arrière dans votre navigateur web.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de la vue Hameçonnage dans Menace Explorer

La vue Utilisateurs les plus ciblés organise les données dans une table des cinq premiers destinataires ciblés par des tentatives d’hameçonnage. Le tableau montre :

• Utilisateurs les plus ciblés : adresse e-mail de l’utilisateur le plus ciblé. Si vous sélectionnez une adresse e-mail, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans la vue Utilisateurs les plus ciblés pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer.

• Nombre de tentatives : si vous sélectionnez le nombre de tentatives, menace Explorer s’ouvre dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Email vue d’origine pour la zone de détails de la vue Hameçonnage dans Menace Explorer

La vue d’origine Email affiche les sources de messages sur une carte du monde.

Affichage campagne pour la zone de détails de la vue Hameçon dans Menace Explorer

La vue Campagne affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

Les informations contenues dans le tableau sont les mêmes que celles décrites dans le tableau détails de la page Campagnes.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails de la campagne.

Affichage Campagnes dans Threat Explorer

L’affichage Campagnes de la Explorer des menaces affiche des informations sur les menaces identifiées comme des attaques par hameçonnage et des programmes malveillants coordonnés, soit spécifiques à votre organization, soit à d’autres organisations dans Microsoft 365.

Pour ouvrir l’affichage Campagnes dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Campaigns. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Campagnes.

Toutes les informations et actions disponibles sont identiques aux informations et actions de la page Campagnes à l’adresse https://security.microsoft.com/campaignsv3. Pour plus d’informations, consultez la page Campagnes dans le portail Microsoft Defender.

Affichage des programmes malveillants de contenu dans la Explorer des menaces et détections en temps réel

La vue Contenu des programmes malveillants dans Détections en temps réel et Explorer des menaces affiche des informations sur les fichiers identifiés comme des programmes malveillants par :

• Protection antivirus intégrée dans SharePoint, OneDrive et Microsoft Teams
• Pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams.

Pour ouvrir l’affichage Programme malveillant de contenu , effectuez l’une des étapes suivantes :

• Explorer des menaces : dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Programmes malveillants de contenu. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Programme malveillant de contenu.
• Détections en temps réel : dans la page Détections en temps réel du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Programmes malveillants de contenu. Vous pouvez également accéder directement à la page Détections en temps réel à l’aide https://security.microsoft.com/realtimereportsv3de , puis sélectionner l’onglet Programme malveillant de contenu.

Propriétés filtrables dans l’affichage Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Nom de fichier de l’affichage Programme malveillant de contenu dans Détections Explorer de menaces et en temps réel sont décrites dans le tableau suivant :

Propriété	Type	Menaces Explorer	Temps réel Détections
Fichier
Nom de fichier	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Charge de travail	Sélectionnez une ou plusieurs valeurs : OneDrive SharePoint Teams	✔	✔
Site	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Propriétaire du fichier	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Auteur de la dernière modification	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
SHA256	Entier. Séparez plusieurs valeurs par des virgules. Pour rechercher la valeur de hachage SHA256 d’un fichier dans Windows, exécutez la commande suivante dans une invite de commandes : certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Famille de programmes malveillants	Texte. Séparez plusieurs valeurs par des virgules.	✔	✔
Technologie de détection	Sélectionnez une ou plusieurs valeurs : Filtre avancé Protection anti-programme malveillant E-mail de masse Campagne Réputation du domaine Détonation de fichier Réputation de détonation de fichier Réputation des fichiers Correspondance de l’empreinte Filtre général Marque d’emprunt d’identité Domaine d’emprunt d’identité Utilisateur emprunt d’identité Réputation de l’adresse IP Emprunt d’identité sur la veille des boîtes aux lettre Détection d’analyse mixte usurpation d’identité DMARC Usurpation d’un domaine externe Usurpation d’organisation intra-organisation Détonation d’URL Réputation de détonation d’URL Réputation d’URL malveillante	✔	✔
Type de menace	Sélectionnez une ou plusieurs valeurs : Bloquer Programme malveillant Hameçonnage Courrier indésirable	✔	✔

Tableaux croisés dynamiques pour le graphique dans l’affichage Contenu des programmes malveillants dans Threat Explorer et Détections en temps réel

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles dans l’affichage Contenu des programmes malveillants dans Détections Explorer de menaces et en temps réel sont répertoriés dans le tableau suivant :

Pivot	Menaces Explorer	Temps réel Détections
Famille de programmes malveillants	✔	✔
Technologie de détection	✔	✔
Charge de travail	✔	✔

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique de la famille de programmes malveillants dans l’affichage Contenu des programmes malveillants dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, la famille de programmes malveillants est le tableau croisé dynamique par défaut dans l’affichage Programmes malveillants de contenu dans Menaces Explorer et Détections en temps réel.

Le tableau croisé dynamique de la famille de programmes malveillants organise le graphique en fonction des programmes malveillants identifiés dans les fichiers dans SharePoint, OneDrive et Microsoft Teams à l’aide de la plage de dates/heures et des filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque famille de programmes malveillants.

Tableau croisé dynamique du graphique de la technologie de détection dans l’affichage Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Le tableau croisé dynamique de la technologie de détection organise le graphique en fonction de la fonctionnalité qui a identifié les programmes malveillants dans les fichiers dans SharePoint, OneDrive et Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique du graphique de charge de travail dans la vue Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Le tableau croisé dynamique charge de travail organise le graphique en fonction de l’emplacement où le programme malveillant a été identifié (SharePoint, OneDrive ou Microsoft Teams) pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque charge de travail.

Affichages de la zone d’informations de l’affichage Programme malveillant de contenu dans Détections de Explorer de menaces et en temps réel

Dans Détections Explorer de menaces et en temps réel, la zone de détails de l’affichage Programme malveillant de contenu ne contient qu’un seul affichage (onglet) nommé Documents. Cette vue est décrite dans la sous-section suivante.

Vue document pour la zone d’informations de l’affichage Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Document est l’affichage par défaut et uniquement pour la zone d’informations dans l’affichage Programme malveillant de contenu .

La vue Document affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Date^*
• Nom^*
• Charge de travail^*
• Menace^*
• Technologie de détection^*
• Dernière modification de l’utilisateur^*
• Propriétaire du fichier^*
• Taille (octets)^*
• Heure de la dernière modification
• Chemin d’accès du site
• Chemin d'accès du fichier
• Document ID
• SHA256
• Date de détection
• Famille de programmes malveillants
• Context

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Supprimez les colonnes de la vue.
• Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une valeur de nom de fichier dans la colonne Nom , un menu volant de détails s’ouvre. Le menu volant contient les informations suivantes :

• Section Résumé :

  • Filename
  • Chemin d’accès du site
  • Chemin d'accès du fichier
  • Document ID
  • SHA256
  • Date de la dernière modification
  • Auteur de la dernière modification
  • Menace
  • Technologie de détection

• Section Détails :

  • Date de détection
  • Détecté par
  • Nom du programme malveillant
  • Auteur de la dernière modification
  • Taille du fichier
  • Propriétaire du fichier

• Email section liste : tableau montrant les informations connexes suivantes pour les messages qui contiennent le fichier de logiciels malveillants :

  • Date
  • Sujet
  • Destinataire

  Sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

• Activité récente : affiche les résultats résumés d’une recherche dans le journal d’audit pour le destinataire :

  • Date
  • Adresse IP
  • Activité
  • Élément

  Si le destinataire a plus de trois entrées de journal d’audit, sélectionnez Afficher toutes les activités récentes pour les afficher toutes.

  Conseil

  Les membres du groupe de rôles Administrateurs de la sécurité dans Email & autorisations de collaboration ne peuvent pas développer la section Activité récente. Vous devez être membre d’un groupe de rôles dans Exchange Online autorisations auxquelles sont attribués les rôles Journaux d’audit, Analyste Information Protection ou Enquêteur Information Protection. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion des enregistrements, Gestion de la conformité, Information Protection, Analystes Information Protection, Enquêteurs Information Protection et Gestion de l’organisation. Vous pouvez ajouter les membres des administrateurs de sécurité à ces groupes de rôles, ou vous pouvez créer un groupe de rôles avec le rôle Journaux d’audit attribué.

Affichage des clics sur l’URL dans threat Explorer

L’affichage clics sur l’URL dans Menace Explorer affiche tous les clics de l’utilisateur sur les URL dans les e-mails, dans les fichiers Office pris en charge dans SharePoint et OneDrive, et dans Microsoft Teams.

Pour ouvrir l’affichage des clics d’URL dans la page Explorer dans le portail Defender à l’adressehttps://security.microsoft.com , accédez à Email &'onglet> de clics Explorer >URL collaboration. Ou bien, accédez directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionnez l’onglet URL clicks (Clic sur l’URL).

Propriétés filtrables dans l’affichage des clics d’URL dans Menace Explorer

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Destinataires de l’affichage des clics d’URL dans menace Explorer sont décrites dans le tableau suivant :

Propriété	Type
Basique
Recipients	Texte. Séparez plusieurs valeurs par des virgules.
Tags	Texte. Séparez plusieurs valeurs par des virgules. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
ID de message réseau	Texte. Séparez plusieurs valeurs par des virgules. Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.
URL	Texte. Séparez plusieurs valeurs par des virgules.
Action de clic	Sélectionnez une ou plusieurs valeurs : Autorisé Page bloquer Remplacement de page de blocage Page d’erreur Échec Aucune Page de détonation en attente Remplacement de page de détonation en attente
Type de menace	Sélectionnez une ou plusieurs valeurs : Allow Bloquer Programme malveillant Hameçonnage Courrier indésirable
Technologie de détection	Sélectionnez une ou plusieurs valeurs : Détonation d’URL Réputation de détonation d’URL Réputation d’URL malveillante
Cliquez sur ID	Texte. Séparez plusieurs valeurs par des virgules.
Client IP	Texte. Séparez plusieurs valeurs par des virgules.

Tableaux croisés dynamiques du graphique dans l’affichage des clics d’URL dans Menace Explorer

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique de domaine d’URL dans la vue des clics d’URL dans Menace Explorer

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, domaine d’URL est le tableau croisé dynamique par défaut dans la vue des clics d’URL .

Le tableau croisé dynamique du domaine d’URL organise le graphique en fonction des domaines dans les URL sur lesquelles les utilisateurs ont cliqué dans les e-mails, les fichiers Office ou Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Tableau croisé dynamique du graphique de charge de travail dans la vue des clics d’URL dans Menace Explorer

Le tableau croisé dynamique charge de travail organise le graphique en fonction de l’emplacement de l’URL (e-mail, fichiers Office ou Microsoft Teams) pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque charge de travail.

Tableau croisé dynamique du graphique de la technologie de détection dans la vue des clics d’URL dans Menace Explorer

Le tableau croisé dynamique de la technologie de détection organise le graphique en fonction de la fonctionnalité qui a identifié les clics d’URL dans les e-mails, les fichiers Office ou Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique du graphique type de menace dans la vue des clics sur l’URL dans Menace Explorer

Le tableau croisé dynamique Type de menace organise le graphique en fonction des résultats des URL cliquées dans les e-mails, les fichiers Office ou Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque technologie de type de menace.

Affichages de la zone d’informations de l’affichage des clics d’URL dans Threat Explorer

Les affichages (onglets) disponibles dans la zone d’informations de la vue des clics d’URL sont décrits dans les sous-sections suivantes.

Affichage des résultats pour la zone d’informations de l’affichage des clics d’URL dans Menace Explorer

Résultats est l’affichage par défaut de la zone de détails dans l’affichage des clics d’URL .

La vue Résultats affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Par défaut, toutes les colonnes sont sélectionnées :

• Heure à laquelle vous avez cliqué
• Destinataire
• Action de clic d’URL
• URL
• Tags
• ID de message réseau
• Cliquez sur ID
• Client IP
• Chaîne d’URL
• Type de menace
• Technologie de détection

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Supprimez les colonnes de la vue.
• Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Sélectionnez une ou plusieurs entrées en sélectionnant la zone case activée en regard de la première colonne de la ligne, puis sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans l’affichage Tous les e-mails dans un nouvel onglet filtré par les valeurs d’ID de message réseau des messages sélectionnés.

Affichage des clics du haut pour la zone d’informations de l’affichage des clics d’URL dans Menace Explorer

La vue Top clicks affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

• URL
• Bloqué
• Autorisé
• Bloc substitué
• Verdict en attente
• Verdict en attente ignoré
• Aucune
• Page d’erreur
• Échec

Conseil

Toutes les colonnes disponibles sont sélectionnées. Si vous sélectionnez Personnaliser les colonnes, vous ne pouvez pas désélectionner les colonnes.

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

• Faites défiler horizontalement dans votre navigateur web.
• Réduisez la largeur des colonnes appropriées.
• Zoom arrière dans votre navigateur web.

Sélectionnez une entrée en sélectionnant la zone case activée en regard de la première colonne de la ligne, puis sélectionnez Afficher tous les clics pour ouvrir menace Explorer dans un nouvel onglet de l’affichage des clics d’URL.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de l’affichage des clics d’URL dans Menace Explorer

La vue Utilisateurs les plus ciblés organise les données dans une table des cinq premiers destinataires qui ont cliqué sur les URL. Le tableau montre :

• Utilisateurs les plus ciblés : adresse e-mail de l’utilisateur le plus ciblé. Si vous sélectionnez une adresse e-mail, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans la vue Utilisateurs les plus ciblés pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer.

• Nombre de tentatives : si vous sélectionnez le nombre de tentatives, menace Explorer s’ouvre dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Filtres de propriétés dans les détections de Explorer de menaces et en temps réel

La syntaxe de base d’une requête/filtre de propriété est la suivante :

Condition = <Propriété><de filtre Opérateur de filtre><Valeur ou valeurs de propriété>

Plusieurs conditions utilisent la syntaxe suivante :

<Condition1><ET | OR><Condition2><AND | OR><Condition3>... <AND | OR><ConditionN>

Conseil

Les recherches avec caractères génériques (**** ou ?) ne sont pas prises en charge dans les valeurs de texte ou d’entier. La propriété Subject utilise une correspondance de texte partielle et génère des résultats similaires à ceux d’une recherche par caractères génériques.

Les étapes pour créer des conditions de filtre/requête de propriété sont les mêmes dans toutes les vues dans Détections de Explorer de menaces et en temps réel :

1. Identifiez la propriété de filtre à l’aide des tables dans les sections de description de la vue d’aperçu plus haut dans cet article.

2. Sélectionnez un opérateur de filtre disponible. Les opérateurs de filtre disponibles dépendent du type de propriété, comme décrit dans le tableau suivant :

   Opérateur de filtre	Type de propriété
   Égal à n’importe quel de	Texte Entier Valeurs discrètes
   Égal à aucun de	Texte Valeurs discrètes
   Plus grand que	Entier
   Moins de	Entier

3. Entrez ou sélectionnez une ou plusieurs valeurs de propriété. Pour les valeurs de texte et les entiers, vous pouvez entrer plusieurs valeurs séparées par des virgules.

   Plusieurs valeurs dans la valeur de propriété utilisent l’opérateur logique OR. Par exemple, l’adresse> de l’expéditeurÉgale à tout signifie Adresse > de >bob@fabrikam.com,cindy@fabrikam.coml’expéditeurÉgale à n’importe quelle ou>bob@fabrikam.comcindy@fabrikam.com.

   Une fois que vous avez entré ou sélectionné une ou plusieurs valeurs de propriété, la condition de filtre terminée apparaît sous les zones de création de filtre.

   Conseil

   Pour les propriétés qui nécessitent de sélectionner une ou plusieurs valeurs disponibles, l’utilisation de la propriété dans la condition de filtre avec toutes les valeurs sélectionnées a le même résultat que de ne pas utiliser la propriété dans la condition de filtre.

4. Pour ajouter une autre condition, répétez les trois étapes précédentes.

   Les conditions situées sous les zones de création de filtre sont séparées par l’opérateur logique qui a été sélectionné au moment où vous avez créé le deuxième ou les conditions suivantes. La valeur par défaut est AND, mais vous pouvez également sélectionner OR.

   Le même opérateur logique est utilisé entre toutes les conditions : elles sont toutes ET ou sont toutes OR. Pour modifier les opérateurs logiques existants, sélectionnez la zone Opérateur logique, puis sélectionnez AND ou OR.

   Pour modifier une condition existante, double-cliquez dessus pour ramener la propriété sélectionnée, l’opérateur de filtre et les valeurs dans les zones correspondantes.

   Pour supprimer une condition existante, sélectionnez la condition.

5. Pour appliquer le filtre au graphique et au tableau de détails, sélectionnez Actualiser

   

Requêtes enregistrées dans threat Explorer

Conseil

La requête d’enregistrement fait partie des suivis de menaces et n’est pas disponible dans les détections en temps réel. Les requêtes enregistrées et les suivis de menaces sont disponibles uniquement dans Defender for Office 365 Plan 2.

La requête d’enregistrement n’est pas disponible dans la vue Programme malveillant de contenu.

La plupart des vues dans Threat Explorer vous permettent d’enregistrer des filtres (requêtes) pour une utilisation ultérieure. Les requêtes enregistrées sont disponibles sur la page Suivi des menaces dans le portail Defender à l’adresse https://security.microsoft.com/threattrackerv2. Pour plus d’informations sur les traqueurs de menaces, consultez Suivis de menaces dans Microsoft Defender pour Office 365 Plan 2.

Pour enregistrer des requêtes dans Threat Explorer, procédez comme suit :

1. Après avoir créé le filtre/requête comme décrit précédemment, sélectionnez Enregistrer la requête>Enregistrer la requête.

2. Dans le menu volant Enregistrer la requête qui s’ouvre, configurez les options suivantes :

   • Nom de la requête : entrez un nom unique pour la requête.
   • Sélectionnez l’une des options suivantes :
     • Dates exactes : sélectionnez une date de début et une date de fin dans les zones. La date de début la plus ancienne que vous pouvez sélectionner est 30 jours avant aujourd’hui. La date de fin la plus récente que vous pouvez sélectionner est aujourd’hui.
     • Dates relatives : sélectionnez le nombre de jours dans Afficher les nn derniers jours lors de l’exécution de la recherche. La valeur par défaut est 7, mais vous pouvez sélectionner 1 à 30.
   • Requête de suivi : par défaut, cette option n’est pas sélectionnée. Cette option détermine si la requête s’exécute automatiquement :
     • Suivre la requête non sélectionnée : la requête peut être exécutée manuellement dans Threat Explorer. La requête est enregistrée sous l’onglet Requêtes enregistrées de la page Suivi des menaces avec la valeur de la propriété de requête suivieNon.
     • Suivre la requête sélectionnée : la requête s’exécute régulièrement en arrière-plan. La requête est disponible sous l’onglet Requêtes enregistrées de la page Suivi des menaces avec la valeur de la propriété Requête suivieOui. Les résultats périodiques de la requête sont affichés sous l’onglet Requêtes suivies de la page Suivi des menaces .

   Lorsque vous avez terminé dans le menu volant Enregistrer la requête , sélectionnez Enregistrer, puis OK dans la boîte de dialogue de confirmation.

Sous les onglets Requête enregistrée ou Requête suivie de la page Suivi des menaces dans le portail Defender à l’adresse https://security.microsoft.com/threattrackerv2, vous pouvez sélectionner Explorer dans la colonne Actions pour ouvrir et utiliser la requête dans Threat Explorer.

Lorsque vous ouvrez la requête en sélectionnant Explorer dans la page Suivi des menaces, les paramètres Enregistrer la requête sous et Requête enregistrée sont désormais disponibles dans Enregistrer la requête sur la page Explorer :

• Si vous sélectionnez Enregistrer la requête sous, le menu volant Enregistrer la requête s’ouvre avec tous les paramètres précédemment sélectionnés. Si vous apportez des modifications, sélectionnez Enregistrer, puis sélectionnez OK dans la boîte de dialogue Réussite , la requête mise à jour est enregistrée en tant que nouvelle requête dans la page Suivi des menaces (vous devrez peut-être sélectionner Actualiser pour la voir).

• Si vous sélectionnez Paramètres de requête enregistrés, le menu volant Paramètres de requête enregistrés s’ouvre, où vous pouvez mettre à jour la date et suivre les paramètres de requête de la requête existante.

Plus d’informations

• Threat Explorer collectez les détails des e-mails sur la page de l’entité Email
• Rechercher et d’examiner l’e-mail malveillant qui a été distribué
• Afficher les fichiers malveillants détectés dans SharePoint Online, OneDrive et Microsoft Teams
• Rapport sur l’état de la protection contre les menaces
• Examen et réponses automatisés dans Protection Microsoft contre les menaces