Vidage automatique de zéro heure (ZAP) dans Microsoft Defender pour Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations Microsoft 365 disposant de boîtes aux lettres Exchange Online, le vidage automatique zéro heure (ZAP) est une fonctionnalité de protection dans Exchange Online Protection (EOP) qui détecte et neutralise rétroactivement les messages malveillants d’hameçonnage, de courrier indésirable ou de programme malveillant qui ont déjà été remis aux boîtes aux lettres Exchange Online.
ZAP ne fonctionne pas dans les environnements EOP autonomes qui protègent les boîtes aux lettres locales.
Remarque
Actuellement en préversion, ZAP est également en mesure de détecter rétroactivement les messages de conversation malveillants existants dans Microsoft Teams.
Les signatures de courrier indésirable et de programme malveillant dans le service sont mises à jour en temps réel sur une base quotidienne. Toutefois, les utilisateurs peuvent toujours recevoir des messages malveillants. Par exemple :
- Programme malveillant zero-day indétectable pendant le flux de messagerie.
- Contenu qui est armé après avoir été remis aux utilisateurs.
ZAP résout ces problèmes en surveillant en permanence les mises à jour des signatures de courrier indésirable et de programmes malveillants dans le service, et est transparent pour les utilisateurs. ZAP recherche et effectue une action automatisée sur les messages qui se trouvent déjà dans la boîte aux lettres d’un utilisateur. La recherche de ZAP est limitée aux 48 dernières heures de courrier électronique remis. Les utilisateurs ne sont pas avertis si ZAP détecte et déplace un message.
Regardez cette courte vidéo pour découvrir comment ZAP dans Microsoft Defender pour Office 365 détecte et neutralise automatiquement les menaces dans les e-mails.
Vidage automatique de zéro heure (ZAP) pour les messages électroniques
Vidage automatique de zéro heure (ZAP) pour les programmes malveillants
Pour les messages lus ou non lus qui contiennent des programmes malveillants après la remise, ZAP met en quarantaine le message qui contient la pièce jointe du programme malveillant. Par défaut, seuls les administrateurs peuvent afficher et gérer les messages malveillants mis en quarantaine. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour définir ce que les utilisateurs peuvent faire pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Remarque
Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages de programmes malveillants mis en quarantaine.
ZAP pour les programmes malveillants est activé par défaut dans les stratégies anti-programme malveillant. Pour plus d’informations, consultez Configurer des stratégies anti-programme malveillant dans EOP.
Vidage automatique zéro heure (ZAP) pour le hameçonnage
Pour les messages lus ou non lus identifiés comme hameçonnage (hameçonnage à confiance non élevée) après la remise, le résultat DE ZAP dépend de l’action configurée pour un verdict de hameçonnage dans la stratégie anti-courrier indésirable applicable. Les actions disponibles et les résultats POSSIBLES DE ZAP sont décrits dans la liste suivante :
Ajouter X-Header, Ajouter une ligne d’objet avec du texte, Rediriger le message vers l’adresse e-mail, Supprimer le message : ZAP n’effectue aucune action sur le message.
Déplacer le message vers Email de courrier indésirable : ZAP déplace le message vers le dossier Email indésirable.
Il s’agit de l’action par défaut pour un verdict de hameçonnage dans la stratégie anti-courrier indésirable par défaut et les stratégies anti-courrier indésirable personnalisées que vous créez dans PowerShell.
Message de mise en quarantaine : ZAP met le message en quarantaine.
Il s’agit de l’action par défaut pour un verdict de hameçonnage dans les stratégies de sécurité prédéfinies Standard et Strict, et dans les stratégies anti-courrier indésirable personnalisées que vous créez dans le portail Defender.
Par défaut, ZAP pour le hameçonnage est activé dans les stratégies anti-courrier indésirable.
Pour plus d’informations sur la configuration des verdicts de filtrage du courrier indésirable, consultez Configurer des stratégies anti-courrier indésirable dans Microsoft 365.
Vidage automatique de zéro heure (ZAP) pour le hameçonnage à haute confiance
Pour les messages lus ou non lus identifiés comme hameçonnage à haut niveau de confiance après la remise, ZAP met le message en quarantaine. Par défaut, seuls les administrateurs peuvent afficher et gérer les messages d’hameçonnage à haut niveau de confiance mis en quarantaine. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour définir ce que les utilisateurs peuvent faire pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Remarque
Les utilisateurs ne peuvent pas publier leurs propres messages mis en quarantaine en tant qu’hameçonnage à haut niveau de confiance, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages d’hameçonnage à haut niveau de confiance mis en quarantaine.
ZAP pour l’hameçonnage à haut niveau de confiance est activé par défaut. Pour plus d’informations, consultez Sécuriser par défaut dans Office 365.
Vidage automatique de zéro heure (ZAP) pour le courrier indésirable
Pour les messages non lus identifiés comme courrier indésirable ou courrier indésirable à haut niveau de confiance après la remise, le résultat DE ZAP dépend de l’action configurée pour un verdict de courrier indésirable ou de courrier indésirable à confiance élevée dans la stratégie anti-courrier indésirable applicable. Les actions disponibles et les résultats POSSIBLES DE ZAP sont décrits dans la liste suivante :
Ajouter X-Header, Ajouter une ligne d’objet avec du texte, Rediriger le message vers l’adresse e-mail, Supprimer le message : ZAP n’effectue aucune action sur le message.
Déplacer le message vers Email de courrier indésirable : ZAP déplace le message vers le dossier Email indésirable.
Pour le verdict du courrier indésirable , il s’agit de l’action par défaut dans la stratégie anti-courrier indésirable par défaut, les nouvelles stratégies anti-courrier indésirable personnalisées et la stratégie de sécurité prédéfinie Standard.
Pour le verdict de courrier indésirable à haute confiance , il s’agit de l’action par défaut dans la stratégie anti-courrier indésirable par défaut et les nouvelles stratégies anti-courrier indésirable personnalisées.
Message de mise en quarantaine : ZAP met le message en quarantaine.
Pour le verdict du courrier indésirable , il s’agit de l’action par défaut dans la stratégie de sécurité prédéfinie Strict.
Pour le verdict de courrier indésirable à haute confiance , il s’agit de l’action par défaut dans les stratégies de sécurité prédéfinies Standard et Strict.
Par défaut, les utilisateurs peuvent afficher et gérer les messages qui ont été mis en quarantaine en tant que courrier indésirable ou courrier indésirable à haut niveau de confiance lorsqu’ils sont destinataires. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour définir ce que les utilisateurs peuvent faire pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Par défaut, zap pour le courrier indésirable est activé dans les stratégies anti-courrier indésirable.
Pour plus d’informations sur la configuration des verdicts de filtrage du courrier indésirable, consultez Configurer des stratégies anti-courrier indésirable dans Microsoft 365.
Comment voir si ZAP a déplacé votre message
Pour déterminer si ZAP a déplacé votre message, vous disposez des options suivantes :
- Nombre de messages : utilisez l’affichage Flux de courrier dans le rapport de status de flux de courrier pour afficher le nombre de messages affectés par ZAP pour la plage de dates spécifiée.
- Détails du message : utilisez threat Explorer (ou détections en temps réel) pour filtrer Tous les événements de courrier électronique en fonction de la valeur ZAP pour la colonne Action supplémentaire.
Remarque
ZAP n’est pas enregistré dans les journaux d’audit de boîte aux lettres Exchange en tant qu’action système.
Considérations relatives au vidage automatique de zéro heure (ZAP) pour les pièces jointes sécurisées dans Microsoft Defender pour Office 365
ZAP ne met pas en quarantaine les messages qui sont en cours d’analyse de stratégie de remise dynamique dans les pièces jointes sécurisées. Si un signal d’hameçonnage ou de courrier indésirable est reçu pour les messages dans cet état et que le verdict de filtrage dans la stratégie anti-courrier indésirable est défini pour effectuer une action sur le message (Déplacer vers le courrier indésirable, Rediriger, Supprimer ou Mettre en quarantaine), ZAP revient à l’action « Déplacer vers le courrier indésirable ».
Vidage automatique de zéro heure (ZAP) dans Microsoft Teams
Conseil
ZAP pour Microsoft Teams est disponible uniquement pour les clients disposant d’abonnements Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2. Pour configurer ZAP pour la protection Teams, consultez Microsoft Defender pour Office 365 prise en charge du plan 2 pour Microsoft Teams.
ZAP dans les conversations Teams
ZAP est disponible pour les messages internes dans les conversations Teams qui sont identifiés comme des programmes malveillants ou des hameçonnages à haut niveau de confiance. Actuellement, les messages externes ne sont pas pris en charge.
Teams est différent de l’e-mail, car tous les participants à une conversation Teams reçoivent la même copie du message en même temps (il n’y a pas de bifurcation de message). Lorsque la protection ZAP pour Teams bloque un message, le message est bloqué pour tous les participants à la conversation. Le bloc initial se produit juste après la remise, mais l’opération ZAP se produit jusqu’à 48 heures après la livraison.
Les exclusions pour la protection ZAP pour Teams dans les conversations Teams sont importantes pour les destinataires des messages, et non pour les expéditeurs de messages. Pour configurer des exceptions pour les conversations Teams, consultez Configurer ZAP pour la protection Teams dans Defender for Office 365 Plan 2.
La protection ZAP pour Teams est en mesure d’agir sur les messages pour tous les destinataires d’une conversation si des destinataires de la conversation ne sont pas exclus de la protection ZAP pour Teams. Ce n’est que lorsque tous les destinataires d’une conversation sont exclus de la protection ZAP pour Teams que ZAP n’effectue aucune action sur un message. Ces scénarios sont illustrés dans le tableau suivant :
Scénario | Résultat |
---|---|
Conversation de groupe avec les destinataires A, B, C et D. Les destinataires A, B, C et D sont exclus de la protection ZAP pour Teams. |
ZAP ne bloque pas les messages envoyés à la conversation de groupe. |
Conversation de groupe avec les destinataires A, B, C et D. Seuls les destinataires A, B et C sont exclus de la protection ZAP pour Teams. |
ZAP est en mesure de bloquer les messages envoyés à la conversation de groupe pour tous les destinataires. |
Conversation de groupe avec les destinataires A, B, C et D. Les destinataires A, B, C et D ne sont pas exclus de la protection ZAP pour Teams. L’expéditeur X est exclu de la protection ZAP pour Teams et envoie un message à la conversation de groupe. |
ZAP est en mesure de bloquer les messages envoyés à la conversation de groupe pour tous les destinataires. |
Affichage de l’expéditeur :
Vue du destinataire :
ZAP dans les canaux Teams
La protection ZAP pour Teams prend en charge les types de canaux Teams suivants :
- Canaux standard : ZAP est disponible pour les messages internes. Actuellement, les messages externes ne sont pas pris en charge.
- Canaux partagés : ZAP est disponible pour les messages internes et externes.
Actuellement, ZAP n’est pas disponible dans les canaux privés.
Pour configurer des exceptions pour la protection ZAP pour les canaux Teams, vous avez besoin de l’adresse e-mail du destinataire. Cette adresse est différente de l’adresse e-mail du canal dans le client Teams.
Pour obtenir l’adresse e-mail du destinataire à utiliser pour les exceptions pour la protection des canaux Teams, utilisez le nom et la valeur d’e-mail de la section Détails du canal du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité de message Teams dans Microsoft Defender pour Office 365.
Pour configurer des exceptions pour les canaux Teams, consultez Configurer ZAP pour la protection Teams dans Defender for Office 365 Plan 2.
Purge automatique de zéro heure (ZAP) pour les messages d’hameçonnage à haute confiance dans Teams
Pour les messages identifiés comme hameçonnage à haut niveau de confiance après la remise, la protection ZAP pour Teams bloque et met en quarantaine le message. Pour définir la stratégie de quarantaine utilisée pour les détections d’hameçonnage à haut niveau de confiance dans ZAP pour Teams, consultez Microsoft Defender pour Office 365 prise en charge du plan 2 pour Microsoft Teams.
Vide automatique zéro heure (ZAP) pour les programmes malveillants dans les messages Teams
Pour les messages identifiés comme des programmes malveillants, ZAP pour la protection Teams bloque et met en quarantaine le message. Pour définir la stratégie de mise en quarantaine utilisée pour les détections de programmes malveillants dans ZAP pour Teams, consultez Microsoft Defender pour Office 365 prise en charge du plan 2 pour Microsoft Teams.
Comment voir si ZAP a bloqué un message Teams
Actuellement, seuls les administrateurs peuvent afficher et gérer les messages mis en quarantaine par ZAP pour la protection Teams. Pour plus d’informations, consultez Utiliser le portail Microsoft Defender pour gérer les messages mis en quarantaine Microsoft Teams.
QUESTIONS FRÉQUENTES (FAQ) sur le vidage automatique de zéro heure (ZAP)
Que se passe-t-il si ZAP déplace des messages légitimes vers le dossier Email indésirable ?
Suivez le processus normal pour signaler les faux positifs à Microsoft. ZAP déplace le message du dossier Boîte de réception vers le dossier Courrier indésirable Email uniquement si le service détermine qu’il s’agit d’un courrier indésirable ou malveillant.
Que se passe-t-il si j’utilise le dossier Quarantaine au lieu du dossier Courrier indésirable ?
ZAP prend des mesures sur un message en fonction de la configuration des stratégies anti-courrier indésirable, comme décrit plus haut dans cet article.
Comment ZAP est-il affecté par les exceptions aux fonctionnalités de protection dans EOP et Defender for Office 365 ?
Les actions ZAP peuvent être remplacées par les listes d’expéditeurs approuvés, les règles de flux de messagerie Exchange (règles de transport) et d’autres paramètres de bloc et d’autorisation organisationnels. Toutefois, pour les programmes malveillants et les verdicts d’hameçonnage à haute confiance, il existe très peu de scénarios dans lesquels ZAP n’agit pas sur les messages pour protéger les utilisateurs :
- URL de simulation de hameçonnage tierces identifiées dans la stratégie de remise avancée (hameçonnage à haut niveau de confiance).
- Boîtes aux lettres SecOps identifiées dans la stratégie de remise avancée (programmes malveillants et hameçonnage à haut niveau de confiance).
- L’enregistrement MX de votre domaine Microsoft 365 pointe vers un autre service ou appareil, et vous utilisez une règle de flux de messagerie pour contourner le filtrage du courrier indésirable (hameçonnage à haute confiance).
- Administration envois de faux positifs à Microsoft. Par défaut, les entrées autorisées pour les domaines et les adresses de messagerie, les fichiers et les URL existent pendant 30 jours (programmes malveillants et hameçonnage à haut niveau de confiance).
Il est important que vous examiniez attentivement les implications du contournement du filtrage, car cela pourrait compromettre la posture de sécurité de votre organisation.
Quelles sont les conditions de licence pour ZAP ?
Il n’existe aucune exigence de licence spéciale pour ZAP pour les logiciels malveillants, le courrier indésirable et le hameçonnage. ZAP fonctionne sur toutes les boîtes aux lettres hébergées dans Exchange Online. ZAP ne fonctionne pas dans les boîtes aux lettres locales qui sont protégées par EOP autonome.
La protection ZAP pour Teams nécessite Microsoft 365 E5 ou Microsoft Defender pour Office 365 licences Plan 2.
Zap fonctionne-t-il sur les messages dans d’autres dossiers de la boîte aux lettres (par exemple, les messages déplacés par les règles de boîte de réception) ?
ZAP fonctionne tant que le message n’a pas été supprimé, ou tant que la même action ou plus forte n’a pas déjà été appliquée. Par exemple, si le message se trouve dans le dossier Email indésirable et que l’action de la stratégie anti-hameçonnage applicable est mise en quarantaine, ZAP met le message en quarantaine.
Comment ZAP affecte-t-il les boîtes aux lettres en attente ?
ZAP met en quarantaine les messages des boîtes aux lettres en attente. ZAP peut déplacer des messages vers le dossier Email indésirable en fonction de l’action configurée pour un verdict de courrier indésirable ou de hameçonnage dans les stratégies anti-courrier indésirable.
Pour plus d’informations sur les conservations dans Exchange Online, consultez Conservation sur place et Conservation pour litige dans Exchange Online.