Share via

Notifications utilisateur automatiques pour les résultats de hameçonnage signalés par l’utilisateur dans AIR

Dans les organisations Microsoft 365 disposant de boîtes aux lettres Exchange Online, les administrateurs peuvent configurer le serveur principal pour les messages que les utilisateurs signalent comme malveillants ou non malveillants dans Outlook (envoyer à Microsoft, envoyer à une boîte aux lettres de création de rapports, ou les deux), et configurer les différentes options de notification pour les messages signalés par l’utilisateur. Pour plus d’informations, consultez Paramètres signalés par l’utilisateur.

Dans les organisations Microsoft 365 avec Microsoft Defender pour Office 365 Plan 2, lorsqu’un utilisateur signale un message comme hameçonnage, une investigation est automatiquement créée dans l’enquête et la réponse automatisées (AIR). Les administrateurs peuvent configurer les paramètres de message signalés par l’utilisateur pour envoyer une notification par e-mail à l’utilisateur qui a signalé le message en fonction du verdict d’AIR. Cette notification est également appelée réponse automatique aux commentaires.

Cet article explique comment activer et personnaliser la réponse automatique aux commentaires pour des verdicts AIR spécifiques, comment les e-mails de notification sont envoyés et à quoi ressemblent les notifications.

Ce qu'il faut savoir avant de commencer

Utiliser le portail Microsoft Defender pour configurer la réponse automatique aux commentaires

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Paramètres>Email & collaboration>Onglet Paramètres signalés par l’utilisateur. Pour accéder directement à la page Paramètres signalés par l’utilisateur, utilisez https://security.microsoft.com/securitysettings/userSubmission.

  2. Dans la page Paramètres signalés par l’utilisateur , vérifiez que l’option Surveiller les messages signalés dans Outlook est sélectionnée.

  3. Dans la section Email notifications>e-mail Résultats, sélectionnez Envoyer automatiquement par e-mail aux utilisateurs les résultats de l’examen, puis sélectionnez une ou plusieurs des options suivantes qui s’affichent :

    • Hameçonnage ou programme malveillant : une notification par e-mail est envoyée à l’utilisateur qui a signalé le message comme hameçonnage quand AIR identifie la menace comme hameçonnage, hameçonnage à haut niveau de confiance ou programme malveillant.
    • Courrier indésirable : une notification par e-mail est envoyée à l’utilisateur qui a signalé le message comme hameçonnage quand AIR identifie la menace comme courrier indésirable.
    • Aucune menace détectée : une notification par e-mail est envoyée à l’utilisateur qui a signalé le message comme hameçonnage quand AIR n’identifie aucune menace.

    Options de réponse de commentaires automatiques dans la page Paramètres signalés par l’utilisateur.

  4. L’e-mail de notification utilise le même modèle que lorsqu’un administrateur sélectionne Marquer comme et notifier dans la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission.

    Vous pouvez personnaliser l’e-mail de notification en sélectionnant le lien Personnaliser l’e-mail des résultats .

    Dans le menu volant Personnaliser la révision de l’administrateur Notifications par e-mail qui s’ouvre, configurez les paramètres suivants sur les onglets Hameçonnage (qui correspond à l’option de réponse de commentaires automatique par hameçonnage ou programme malveillant), Courrier indésirable et Aucune menace trouvée :

    • Email texte des résultats du corps : entrez le texte personnalisé à utiliser. Vous pouvez utiliser un texte différent pour Hameçonnage, Courrier indésirable et Aucune menace trouvée.
    • Email texte du pied de page : entrez le texte du pied de page de message personnalisé à utiliser. Le même texte est utilisé pour le hameçonnage, le courrier indésirable et l’absence de menaces trouvées.

    Options de personnalisation des notifications par e-mail de l’utilisateur dans la page Paramètres signalés par l’utilisateur.

    Lorsque vous avez terminé dans le menu volant Personnaliser la révision de l’administrateur Notifications par e-mail, sélectionnez Confirmer pour revenir à la page Paramètres signalés par l’utilisateur.

Fonctionnement de la réponse automatisée aux commentaires

Une fois que vous avez activé la réponse automatisée aux commentaires, l’utilisateur qui a signalé le message comme hameçonnage reçoit une notification par e-mail basée sur le verdict AIR et le sélectionné Envoyer automatiquement les résultats des options d’investigation aux utilisateurs :

Conseil

Les captures d’écran suivantes montrent des exemples de messages électroniques de notification envoyés aux utilisateurs. Comme expliqué précédemment, vous pouvez personnaliser l’e-mail de notification à l’aide des options de Personnaliser l’e-mail des résultats dans les paramètres signalés par l’utilisateur.

  • Aucune menace détectée : si un utilisateur signale un message comme hameçonnage, la soumission déclenche air sur le message signalé. Si l’enquête ne détecte aucune menace, l’utilisateur qui a signalé le message reçoit un e-mail de notification qui ressemble à ceci :

    Exemple d’e-mail de notification pour Aucune menace trouvée.

  • Courrier indésirable : si un utilisateur signale un message comme hameçonnage, la soumission déclenche air sur le message signalé. Si l’enquête détecte que le message est du courrier indésirable, l’utilisateur qui a signalé le message reçoit un e-mail de notification qui ressemble à ceci :

    Exemple d’e-mail de notification pour le courrier indésirable trouvé.

  • Hameçonnage ou programme malveillant : si un utilisateur signale un message comme hameçonnage, la soumission déclenche air sur le message signalé. Ce qui se passe ensuite dépend des résultats de l’enquête :

    • Hameçonnage ou programme malveillant à haute confiance : le message doit être corrigé à l’aide de l’une des actions suivantes :

      • Approuvez l’action recommandée (indiquée sous forme d’actions en attente dans l’investigation ou dans le centre de notifications).
      • Correction par d’autres moyens (par exemple, threat Explorer).

      Une fois le message corrigé, l’examen est fermé comme Corrigé ou Partiellement corrigé. La notification par e-mail envoyée à l’utilisateur qui a signalé le message n’est envoyée que lorsque l’status d’investigation est l’une de ces valeurs.

      Conseil

      Pour le hameçonnage ou les programmes malveillants à haut niveau de confiance, l’examen peut immédiatement se fermer comme corrigé si le message n’est pas trouvé dans la boîte aux lettres (le message a été supprimé). Il n’y a pas d’examen en attente de fermeture, donc aucune notification par e-mail n’est envoyée à l’utilisateur qui a signalé le message.

    • Hameçonnage : l’enquête ne crée aucune action en attente, mais l’utilisateur reçoit toujours un e-mail de notification indiquant que le message a été détecté comme hameçonnage. L’e-mail de notification ressemble à ceci :

      Exemple d’e-mail de notification pour le hameçonnage ou les programmes malveillants trouvés.

Lorsque AIR atteint un verdict et que l’e-mail de notification est envoyé à l’utilisateur qui a signalé le message comme hameçonnage, les valeurs de propriété suivantes sont affichées pour l’entrée sous l’onglet Utilisateur signalé sur la page Soumissions dans le portail Defender :

  • Marqué comme : contient le verdict.
  • Marqué par : La valeur est Automation.

Que le message ait été envoyé automatiquement ou manuellement à Microsoft pour révision, ou que le message ait été examiné par AIR, le verdict s’affiche dans la propriété Marqué comme . Pour plus d’informations sur l’onglet Utilisateur signalé dans la page Soumissions, consultez Administration options pour les messages signalés par l’utilisateur.

En savoir plus

Pour en savoir plus sur les soumissions et les enquêtes dans Defender pour Microsoft 365, consultez les articles suivants :