Analyseur de configuration pour les stratégies de protection dans EOP et Microsoft Defender pour Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
L’analyseur de configuration dans le portail Microsoft Defender fournit un emplacement central pour rechercher et corriger les stratégies de sécurité où les paramètres sont moins sécurisés que les paramètres de protection standard et les paramètres de profil de protection strict dans les stratégies de sécurité prédéfinies.
Les types de stratégies suivants sont analysés par l’analyseur de configuration :
stratégies Exchange Online Protection (EOP) : inclut les organisations Microsoft 365 avec des boîtes aux lettres Exchange Online et des organisations EOP autonomes sans boîtes aux lettres Exchange Online :
stratégies Microsoft Defender pour Office 365 : inclut les organisations disposant d’abonnements Microsoft 365 E5 ou Defender for Office 365 :
- Stratégies anti-hameçonnage dans Microsoft Defender pour Office 365, notamment :
- Les mêmes paramètres d’usurpation d’identité qui sont disponibles dans les stratégies anti-hameçonnage EOP.
- Paramètres d’emprunt d’identité
- Seuils d’hameçonnage avancés
- Stratégies de liens fiables.
- Stratégies de pièces jointes fiables.
- Stratégies anti-hameçonnage dans Microsoft Defender pour Office 365, notamment :
Les valeurs de paramètre de stratégie Standard et Strict utilisées comme bases de référence sont décrites dans Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.
L’analyseur de configuration vérifie également les paramètres non de stratégie suivants :
- DKIM : indique si les enregistrements SPF et DKIM pour le domaine spécifié sont détectés dans DNS.
- Outlook : indique si les identificateurs d’expéditeurs externes Outlook natifs sont activés dans le organization.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Analyseur de configuration , utilisez https://security.microsoft.com/configurationAnalyzer.
Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .
Email & les autorisations de collaboration dans le portail Microsoft Defender :
- Utilisez l’analyseur de configuration et mettez à jour les stratégies de sécurité affectées : Appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
- Accès en lecture seule à l’analyseur de configuration : appartenance aux groupes de rôles Lecteur global ou Lecteur de sécurité .
Exchange Online autorisations : l’appartenance au groupe de rôles Gestion de l’organisation en affichage seul donne un accès en lecture seule à l’analyseur de configuration.
autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Utiliser l’analyseur de configuration dans le portail Microsoft Defender
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Collaboration>Stratégies & Règles>Stratégies de menace>Analyseur de configuration dans la section Stratégies modèles. Pour accéder directement à la page Analyseur de configuration , utilisez https://security.microsoft.com/configurationAnalyzer.
La page Analyseur de configuration comporte trois onglets main :
- Recommandations standard : comparez vos stratégies de sécurité existantes aux recommandations Standard. Vous pouvez ajuster vos valeurs de paramètres pour les amener au même niveau que standard.
- Recommandations strictes : comparez vos stratégies de sécurité existantes aux recommandations Strict. Vous pouvez ajuster vos valeurs de paramètres pour les amener au même niveau que Strict.
- Historique et analyse de la dérive de la configuration : auditez et suivez les modifications de stratégie au fil du temps.
Onglets Recommandations standard et Recommandations strictes dans l’analyseur de configuration
Par défaut, l’analyseur de configuration s’ouvre sous l’onglet Recommandations standard . Vous pouvez basculer vers l’onglet Recommandations strictes . Les paramètres, la disposition et les actions sont identiques sur les deux onglets.
La première section de l’onglet affiche le nombre de paramètres dans chaque type de stratégie qui doivent être améliorés par rapport à la protection Standard ou Strict. Les types de stratégies sont les suivants :
- Anti-courrier indésirable
- Anti-hameçonnage
- Anti-programme malveillant
- Pièces jointes sécurisées (si votre abonnement inclut Microsoft Defender pour Office 365)
- Liens fiables (si votre abonnement inclut Microsoft Defender pour Office 365)
- DKIM
- Protection intégrée (si votre abonnement inclut Microsoft Defender pour Office 365)
- Outlook
Si aucun type et numéro de stratégie n’est affiché, toutes vos stratégies de ce type répondent aux paramètres recommandés de protection Standard ou Strict.
Le reste de l’onglet est le tableau des paramètres qui doivent être portés au niveau Protection Standard ou Strict. Le tableau contient les colonnes* suivantes :
- Recommendations: la valeur du paramètre dans le profil de protection Standard ou Strict.
- Stratégie: le nom de la stratégie affectée qui contient le paramètre.
- Nom du groupe/paramètre de stratégie: le nomdu paramètre qui nécessite votre attention.
- Type de stratégie : anti-courrier indésirable, anti-hameçonnage, anti-programme malveillant, liens fiables ou pièces jointes fiables.
- Configuration actuelle : valeur actuelle du paramètre.
- Dernière modification: la date de la dernière modification de la stratégie.
- État : en règle générale, cette valeur est Non démarrée.
* Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :
- Anti-courrier indésirable
- Anti-hameçonnage
- Anti-programme malveillant
- Pièces jointes fiables
- Liens fiables
- Règle de protection intégrée ATP
- DKIM
- Outlook
Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez la zone De recherche et une valeur correspondante pour rechercher des entrées spécifiques.
Afficher les détails d’un paramètre de stratégie recommandé
Sous l’onglet Protection standard ou Protection stricte de l’analyseur de configuration, sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom de la recommandation. Dans le menu volant de détails qui s’ouvre, les informations suivantes sont disponibles :
- Stratégie : nom de la stratégie affectée.
- Pourquoi ?: informations sur la raison pour laquelle nous recommandons la valeur pour le paramètre.
- Paramètre spécifique à modifier et valeur à modifier.
- Afficher la stratégie : le lien vous permet d’accéder au menu volant de détails de la stratégie affectée dans le portail Microsoft Defender, où vous pouvez mettre à jour manuellement le paramètre.
- Lien vers Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.
Conseil
Pour afficher les détails des autres recommandations sans quitter le menu volant des détails, utilisez Précédent et Suivant en haut du menu volant.
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Agir sur un paramètre de stratégie recommandé
Sous l’onglet Protection standard ou Protection stricte de l’analyseur de configuration, sélectionnez une entrée en sélectionnant la zone case activée en regard du nom de la recommandation. Les actions suivantes s’affichent sur la page :
Appliquer la recommandation : si la recommandation nécessite plusieurs étapes, cette action est grisée.
Lorsque vous sélectionnez cette action, une boîte de dialogue de confirmation (avec l’option permettant de ne plus afficher la boîte de dialogue) s’ouvre. Lorsque vous sélectionnez OK, les choses suivantes se produisent :
- Le paramètre est mis à jour avec la valeur recommandée.
- La recommandation est toujours sélectionnée, mais la seule action disponible est Actualiser.
- La valeur État de la ligne passe à Terminé.
Afficher la stratégie : vous êtes redirigé vers le menu volant de détails de la stratégie affectée dans le portail Microsoft Defender, où vous pouvez mettre à jour manuellement le paramètre.
Exporter : exporte la recommandation sélectionnée dans un fichier .csv, sélectionnez Exporter.
Vous pouvez également exporter des recommandations après avoir sélectionné plusieurs recommandations ou après avoir sélectionné toutes les recommandations en sélectionnant la zone case activée en regard de l’en-tête de colonne Recommandations.
Après avoir mis à jour automatiquement ou manuellement le paramètre, sélectionnez Actualiser pour voir le nombre réduit de recommandations et la suppression de la ligne mise à jour des résultats.
Onglet Analyse de dérive de configuration et historique dans l’analyseur de configuration
Remarque
L’audit unifié doit être activé pour l’analyse de dérive.
Cet onglet vous permet de suivre les modifications apportées à vos stratégies de sécurité et de comparer ces modifications aux paramètres Standard ou Strict. Par défaut, les informations suivantes sont affichées:
- Dernière modification
- Modifié par
- Nom du paramètre
- Stratégie : nom de la stratégie affectée.
- Type : anti-courrier indésirable, anti-hameçonnage, anti-programme malveillant, liens fiables ou pièces jointes fiables.
- Modification de la configuration : ancienne valeur et nouvelle valeur du paramètre
- Dérive de la configuration : valeur Augmenter ou Diminuer qui indique que le paramètre a augmenté ou diminué la sécurité par rapport au paramètre Standard ou Strict recommandé.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :
- Date : heure de début et heure de fin. Vous pouvez revenir jusqu’à 90 jours à partir d’aujourd’hui.
- Type : Protection standard ou Protection stricte.
Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez la zone de recherche ::image type="icon » source="media/m365-cc-sc-search-icon.png » border="false » ::: pour filtrer les entrées par une valeur modifiée par, nom de paramètre ou type spécifique.
Pour exporter les entrées affichées sous l’onglet Analyse de la dérive de la configuration et historique vers un fichier .csv, sélectionnez Exporter.