Protection contre les programmes malveillants dans EOP

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 ayant des boîtes aux lettres dans Exchange Online ou les organisations autonomes Exchange Online Protection (EOP) sans boîtes aux lettres Exchange Online, les e-mails sont automatiquement protégés contre les programme malveillant par EOP. Voici quelques-unes des principales catégories de programmes malveillants :

• Virus qui infectent d’autres programmes et données, et se propagent via votre ordinateur ou réseau à la recherche de programmes à infecter.
• Les logiciels espions qui collectent vos informations personnelles, telles que les informations de connexion et les données personnelles, et les renvoient à leur auteur.
• Rançongiciel qui chiffre vos données et demande un paiement pour les déchiffrer. Les logiciels anti-programmes malveillants ne vous aident pas à déchiffrer les fichiers chiffrés, mais ils peuvent détecter la charge utile des programmes malveillants qui est associée au ransomware.

EOP offre une protection multicouche contre les programmes malveillants conçue pour intercepter tous les programmes malveillants connus dans Windows, Linux et Mac qui entrent ou sortent de votre organization. Les options suivantes permettent de fournir une protection anti-programme malveillant :

• Défense à plusieurs niveaux contre les programmes malveillants : différents moteurs d'analyse de logiciels anti-programme malveillant permettent de se protéger contre les menaces connues et inconnues. Ces moteurs fournissent une détection heuristique puissante offrant une protection y compris lors des premiers stades de l'apparition d'un programme malveillant. Il a été démontré que cette approche à plusieurs moteurs offre une bien meilleure protection que l'utilisation d'un seul moteur de logiciels anti-programme malveillant.
• Réponse aux menaces en temps réel : pendant certaines épidémies, l’équipe anti-programme malveillant peut avoir suffisamment d’informations sur un virus ou une autre forme de programme malveillant pour écrire des règles de stratégie sophistiquées qui détectent la menace, avant même qu’une définition soit disponible à partir de l’un des moteurs d’analyse utilisés par le service. Ces règles sont publiées sur le réseau global toutes les 2 heures afin d'offrir à votre organisation un niveau de protection supplémentaire contre les attaques.
• Déploiement rapide de définitions anti-programme malveillant : l’équipe anti-programme malveillant entretient des relations étroites avec les partenaires qui développent des moteurs anti-programme malveillant. Par conséquent, le service peut recevoir et intégrer des définitions de programmes malveillants et des correctifs avant qu'ils ne soient publiés. De plus, notre relation avec ces partenaires nous permet souvent de développer nos propres solutions. Le service vérifie la présence de définitions mises à jour pour tous les moteurs de logiciels anti-programme malveillant toutes les heures.

Dans EOP, les messages qui contiennent des programmes malveillants dans des pièces jointes sont mis^* en quarantaine. La possibilité pour les destinataires d’afficher ou d’interagir avec les messages mis en quarantaine est contrôlée par les stratégies de mise en quarantaine. Par défaut, les messages qui ont été mis en quarantaine en raison de programmes malveillants peuvent uniquement être affichés et publiés par les administrateurs. Les utilisateurs ne peuvent pas publier leurs propres messages de programmes malveillants mis en quarantaine, quels que soient les paramètres disponibles configurés par les administrateurs. Si vous souhaitez en savoir plus, consultez les articles suivants :

^* Le filtrage des programmes malveillants est ignoré sur les boîtes aux lettres SecOps identifiées dans la stratégie de remise avancée. Pour plus d’informations, consultez Configurer la stratégie de remise avancée pour les simulations d’hameçonnage tierces et la remise d’e-mails aux boîtes aux lettres SecOps.

• Anatomie d’une stratégie de mise en quarantaine
• Gérer les messages et les fichiers mis en quarantaine en tant qu’administrateur dans EOP.

Les stratégies anti-programme malveillant contiennent également un filtre de pièces jointes courant. Les messages qui contiennent les types de fichiers spécifiés sont automatiquement identifiés comme des programmes malveillants. Pour plus d’informations, consultez la section Filtre de pièces jointes courantes dans les stratégies anti-programme malveillant plus loin dans cet article.

Pour plus d’informations sur la protection contre les programmes malveillants, consultez le FAQ sur la protection contre les programmes malveillants.

Pour configurer la stratégie anti-programme malveillant par défaut et pour créer, modifier et supprimer des stratégies anti-programme malveillant personnalisées, consultez Configurer des stratégies anti-programme malveillant. Dans les stratégies de sécurité prédéfinies Standard et Strict, les paramètres de stratégie anti-programme malveillant sont déjà configurés et non modifiables, comme décrit dans Paramètres de stratégie anti-programme malveillant EOP.

Conseil

Si vous n’êtes pas d’accord avec le verdict du programme malveillant, vous pouvez signaler la pièce jointe du message à Microsoft en tant que faux positif (bonne pièce jointe marquée comme incorrecte) ou faux négatif (pièce jointe incorrecte autorisée). Pour plus d’informations, consultez Comment faire signaler un e-mail ou un fichier suspect à Microsoft ?.

Stratégies anti-programme malveillant

Les stratégies anti-programme malveillant contrôlent les paramètres configurables et les options de notification pour les détections de programmes malveillants. Les paramètres importants des stratégies anti-programme malveillant sont décrits dans les sous-sections suivantes.

Filtres de destinataires dans les stratégies anti-programme malveillant

Les filtres de destinataires utilisent des conditions et des exceptions pour identifier les destinataires internes auxquels la stratégie s’applique. Au moins une condition est requise dans les stratégies personnalisées. Les conditions et exceptions ne sont pas disponibles dans la stratégie par défaut (la stratégie par défaut s’applique à tous les destinataires). Vous pouvez utiliser les filtres de destinataires suivants pour les conditions et les exceptions :

• Utilisateurs : une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans le organization.
• Groupes :
  • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
  • Groupes Microsoft 365 spécifiée
• Domaines : un ou plusieurs des domaines acceptés configurés dans Microsoft 365. Le adresse e-mail principale du destinataire se trouve dans le domaine spécifié.

Vous ne pouvez utiliser une condition ou une exception qu’une seule fois, mais la condition ou l’exception peut contenir plusieurs valeurs :

• Plusieurs valeurs de la même condition ou exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>) :

  • Conditions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.
  • Exceptions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.

• Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

• Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :

  • Utilisateurs: romain@contoso.com
  • Groupes : Cadres

  La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.

Filtre des pièces jointes courantes dans les stratégies anti-programme malveillant

Il existe certains types de fichiers que vous ne devez pas envoyer par e-mail (par exemple, les fichiers exécutables). Pourquoi s’embêter à analyser ces types de fichiers à la recherche de logiciels malveillants alors que vous devriez les bloquer tous, de toute façon ? C’est là qu’intervient le filtre des pièces jointes courantes. Les types de fichiers que vous spécifiez sont automatiquement identifiés comme des programmes malveillants.

Une liste de types de fichiers par défaut est utilisée dans la stratégie anti-programme malveillant par défaut, dans les stratégies anti-programme malveillant personnalisées que vous créez et dans les stratégies anti-programme malveillant dans les stratégies de sécurité prédéfinies Standard et Strict.

Dans le portail Microsoft Defender, vous pouvez sélectionner parmi une liste de types de fichiers supplémentaires ou ajouter vos propres valeurs lorsque vous créez ou modifiez des stratégies anti-programme malveillant dans le portail Microsoft Defender.

• Types de fichiers par défaut : ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Types de fichiers supplémentaires à sélectionner dans le portail Defender : 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Lorsque des fichiers sont détectés par le filtre de pièces jointes courantes, vous pouvez choisir de rejeter le message avec un rapport de non-remise (NDR) ou de mettre en quarantaine le message.

Correspondance de type true dans le filtre pièces jointes courantes

Le filtre de pièces jointes courantes utilise la correspondance de type vrai de la meilleure façon pour détecter le type de fichier, quelle que soit l’extension de nom de fichier. La correspondance de type vrai utilise les caractéristiques du fichier pour déterminer le type de fichier réel (par exemple, les octets de début et de fin dans le fichier). Par exemple, si un exe fichier est renommé avec une txt extension de nom de fichier, le filtre pièces jointes communes détecte le fichier en tant que exe fichier.

La correspondance de type true dans le filtre de pièces jointes communes prend en charge les types de fichiers suivants :

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Si la correspondance de type true échoue ou n’est pas prise en charge pour le type de fichier, la correspondance d’extension simple est utilisée.

Purge automatique de zéro heure (ZAP) dans les stratégies anti-programme malveillant

ZAP pour les programmes malveillants met en quarantaine les messages qui contiennent des programmes malveillants une fois qu’ils ont été remis aux boîtes aux lettres Exchange Online. Par défaut, zap pour les logiciels malveillants est activé et nous vous recommandons de le laisser activé. Pour plus d’informations, consultez Vidage automatique zero-hour (ZAP) pour les programmes malveillants.

Stratégies de mise en quarantaine dans les stratégies anti-programme malveillant

Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Par défaut, les destinataires ne reçoivent pas de notifications pour les messages mis en quarantaine en tant que programmes malveillants, et les utilisateurs ne peuvent pas publier leurs propres messages de programmes malveillants mis en quarantaine, quels que soient les paramètres disponibles configurés par les administrateurs. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

notifications Administration dans les stratégies anti-programme malveillant

Vous pouvez spécifier un destinataire supplémentaire (un administrateur) pour recevoir des notifications pour les programmes malveillants détectés dans les messages d’expéditeurs internes ou externes. Vous pouvez personnaliser l’adresse de départ, l’objet et le texte du message pour les notifications internes et externes.

Ces paramètres ne sont pas configurés par défaut dans la stratégie anti-programme malveillant par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.

Conseil

Les notifications de l’administration sont envoyées uniquement pour les pièces jointes classées comme programmes malveillants.

La stratégie de mise en quarantaine affectée à la stratégie anti-programme malveillant détermine si les destinataires reçoivent Notifications par e-mail pour les messages mis en quarantaine en tant que programmes malveillants.

Priorité des stratégies anti-programme malveillant

Si elles sont activées, les stratégies de sécurité prédéfinies Standard et Strict sont appliquées avant toute stratégie anti-programme malveillant personnalisée ou la stratégie par défaut (Strict est toujours la première). Si vous créez plusieurs stratégies anti-programme malveillant personnalisées, vous pouvez spécifier l’ordre dans lequel elles sont appliquées. Le traitement de la stratégie s’arrête après l’application de la première stratégie (stratégie de priorité la plus élevée pour ce destinataire).

Pour plus d’informations sur l’ordre de précédence et la façon dont plusieurs stratégies sont évaluées, consultez Ordre et priorité de la protection des e-mails et Ordre de priorité pour les stratégies de sécurité prédéfinies et d’autres stratégies.

Stratégie anti-programme malveillant par défaut

Chaque organization a une stratégie anti-programme malveillant intégrée nommée Default qui a les propriétés suivantes :

• La stratégie est la stratégie par défaut (la propriété IsDefault possède la valeurTrue) et vous ne pouvez pas supprimer la stratégie par défaut.
• La stratégie est automatiquement appliquée à tous les destinataires du organization, et vous ne pouvez pas la désactiver.
• La stratégie est toujours appliquée en dernier (la valeur Priorité est La plus basse et vous ne pouvez pas la modifier).