Utilisez la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft

  • Article

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

S’applique à

Dans les organisations Microsoft 365 disposant de boîtes aux lettres Exchange Online, les administrateurs peuvent utiliser la page Soumissions du portail Microsoft 365 Defender pour envoyer des messages électroniques, des URL et des pièces jointes à Microsoft à des fins d’analyse.

Lorsque vous envoyez un message électronique à des fins d’analyse, Microsoft effectue les vérifications suivantes :

  • Email case activée d’authentification : indique si l’authentification par e-mail a réussi ou échoué lors de sa remise.
  • Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont peut-être autorisé ou bloqué les e-mails entrants dans votre locataire, en remplaçant nos verdicts de filtre de service.
  • Réputation/détonation de charge utile : examen à jour des URL et pièces jointes du message.
  • Analyse de l’indicateur de notation : examen effectué par des vérificateurs humains afin de vérifier si les messages sont malveillants ou non.

Importante

Dans les organisations gouvernementales américaines (Microsoft 365 GCC, GCC High et DoD), les administrateurs peuvent utiliser la page Soumissions du portail Microsoft 365 Defender pour envoyer des messages à Microsoft. Les messages sont analysés uniquement pour les case activée d’authentification par e-mail et les case activée de stratégie.

La réputation/la détonation de la charge utile et l’analyse du niveleur ne sont pas effectuées, car les données ne sont pas censées quitter la limite du locataire à des fins de conformité.

Pour d’autres façons d’envoyer des messages électroniques, des URL, des pièces jointes et des fichiers à Microsoft, consultez Signaler des messages et des fichiers à Microsoft.

Regardez cette courte vidéo pour découvrir comment utiliser les soumissions d’administrateur dans Microsoft Defender pour Office 365 pour envoyer des messages à Microsoft à des fins d’évaluation.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le Portail Microsoft 365 Defender sur https://security.microsoft.com/. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  • Pour envoyer des messages, des URL et des pièces jointes à Microsoft, vous devez disposer de l’un des rôles suivants :

  • Les administrateurs peuvent envoyer des messages de 30 jours s’ils sont toujours disponibles dans la boîte aux lettres et n’ont pas été vidés par l’utilisateur ou un administrateur.

  • Administration soumissions sont limitées aux taux suivants :

    • Nombre maximal de soumissions sur une période de 15 minutes : 150 soumissions
    • Mêmes soumissions dans une période de 24 heures : 3 soumissions
    • Mêmes soumissions dans une période de 15 minutes : 1 soumission

  • Pour plus d’informations sur la façon dont les utilisateurs peuvent envoyer des messages et des fichiers à Microsoft, consultez Signaler des messages et des fichiers à Microsoft.

Signaler un e-mail douteux à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

  3. Sous l’onglet E-mails, cliquez sur l’icône Envoyer à Microsoft pour analyse.Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’affiche, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.

    • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

      • Ajouter l’ID de message réseau de messagerie : il s’agit d’une valeur GUID disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id dans le message ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages mis en quarantaine.

      • Chargez le fichier e-mail (.msg ou .eml) : cliquez sur Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis cliquez sur Ouvrir.

    • Choisissez un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels vous souhaitez exécuter une stratégie case activée. Le case activée de stratégie détermine si l’e-mail a contourné l’analyse en raison de stratégies d’utilisateur ou de organization ou d’un remplacement.

    • Sélectionnez une raison de l’envoi à Microsoft : Vérifier que l’option Doit avoir été bloquée (faux négatif) est sélectionnée.

      • L’e-mail doit avoir été classé comme suit : Sélectionnez Hameçonnage, Programme malveillant ou Courrier indésirable. Si vous n’êtes pas sûr, utilisez votre meilleur jugement.

      • Bloquer tous les e-mails de cet expéditeur ou domaine : sélectionnez cette option pour créer une entrée de bloc pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer vos autorisations et blocs dans la liste verte/bloquée des locataires.

        Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

        • Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.

        • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • 90 jours
          • N’expirez jamais
          • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.

        • Bloquer l’entrée : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet e-mail.

    Lorsque vous avez terminé, cliquez sur Envoyer, puis sur Terminé.

Envoyez un e-mail faux négatif (incorrect) à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

Après quelques instants, l’entrée de bloc s’affiche sous l’onglet Adresses des domaines & de la page Liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Signaler des pièces jointes d’e-mail douteuses à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

  3. Sous l’onglet Email pièces jointes, cliquez sur Icône Envoyer à Microsoft pour analyse.Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’affiche, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.

    • Fichier : cliquez sur Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.

    • Sélectionnez une raison de l’envoi à Microsoft : Vérifier que l’option Doit avoir été bloquée (faux négatif) est sélectionnée.

      • L’e-mail doit avoir été classé comme suit : Sélectionnez Hameçonnage ou Programme malveillant. Si vous n’êtes pas sûr, utilisez votre meilleur jugement.

      • Bloquer ce fichier : sélectionnez cette option pour créer une entrée de bloc pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer vos autorisations et blocs dans la liste verte/bloquée des locataires.

        Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

        • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • 90 jours
          • N’expirez jamais
          • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.

        • Bloquer l’entrée : entrez des informations facultatives sur la raison pour laquelle vous bloquez ce fichier.

    Lorsque vous avez terminé, cliquez sur Envoyer, puis sur Terminé.

Envoyez une pièce jointe d’e-mail faux négatif (incorrect) à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

Après quelques instants, l’entrée de bloc s’affiche sous l’onglet Fichiers de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Signaler des URL douteuses à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , sélectionnez l’onglet URL .

  3. Sous l’onglet URL, cliquez sur le bouton Envoyer à Microsoft pour l’analyse ajouter.Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’affiche, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.

    • URL : entrez l’URL complète (par exemple, https://www.fabrikam.com/marketing.html), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.

    • Sélectionnez une raison de l’envoi à Microsoft : Vérifier que l’option Doit avoir été bloquée (faux négatif) est sélectionnée.

      • L’e-mail doit avoir été classé comme suit : Sélectionnez Hameçonnage ou Programme malveillant. Si vous n’êtes pas sûr, utilisez votre meilleur jugement.

      • Bloquer cette URL : sélectionnez cette option pour créer une entrée de bloc pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer vos autorisations et blocs dans la liste verte/bloquée des locataires.

        Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

        • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • 90 jours
          • N’expirez jamais
          • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.

        • Bloquer l’entrée : entrez des informations facultatives sur la raison pour laquelle vous bloquez cette URL.

    Lorsque vous avez terminé, cliquez sur Envoyer, puis sur Terminé.

Envoyez une URL faussement négative (incorrecte) à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

Après quelques instants, l’entrée de bloc s’affiche sous l’onglet URL de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Signaler un bon e-mail à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

  3. Sous l’onglet E-mails, cliquez sur l’icône Envoyer à Microsoft pour analyse.Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’affiche, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.

    • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

      • Ajouter l’ID de message réseau de messagerie : il s’agit d’une valeur GUID disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id dans le message ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages mis en quarantaine.

      • Chargez le fichier e-mail (.msg ou .eml) : cliquez sur Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis cliquez sur Ouvrir.

    • Choisir un destinataire qui a rencontré un problème : spécifiez le ou les destinataires sur lesquels vous souhaitez exécuter une stratégie case activée. Le case activée de stratégie détermine si l’e-mail a été bloqué en raison de stratégies ou de remplacements d’utilisateur ou de organization.

    • Sélectionnez un motif pour l’envoi à Microsoft : sélectionnez Ne doit pas avoir été bloqué (faux positif), puis configurez les paramètres suivants :

      • Autoriser les e-mails avec des attributs similaires (URL, expéditeur, etc.) : activez ce paramètre.

        • Supprimer l’entrée autorisée après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

          Pour les expéditeurs usurpés, cette valeur n’a aucune signification, car les entrées pour les expéditeurs usurpés n’expirent jamais.

        • Autoriser l’entrée : entrez des informations facultatives sur la raison pour laquelle vous autorisez et envoyez ce message électronique.

          Pour les expéditeurs usurpés, toute valeur que vous entrez ici n’est pas affichée dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la liste verte/bloquée du locataire.

    Lorsque vous avez terminé, cliquez sur Envoyer, puis sur Terminé.

    Envoyez un e-mail (bon) faux positif à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

Après quelques instants, les entrées d’autorisation s’affichent sous l’onglet Adresses des domaines&, Expéditeurs usurpés, URL ou Fichiers de la page Liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Importante

  • Les entrées d’autorisation sont ajoutées pendant le flux de messagerie en fonction des filtres qui ont déterminé que le message était malveillant. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message ont été jugées incorrectes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.
  • Si notre système de filtrage ne trouve pas que l’adresse e-mail de l’expéditeur est malveillante, l’envoi de l’e-mail à Microsoft ne crée pas d’entrée d’autorisation dans la liste verte/bloquée du locataire.
  • Lorsqu’un domaine ou une adresse e-mail autorisé, un expéditeur usurpé, une URL ou un fichier (entité) est à nouveau rencontré, tous les filtres associés à l’entité sont ignorés. Pour les messages électroniques, toutes les autres entités sont toujours évaluées par le système de filtrage avant de prendre une décision.
  • Pendant le flux de messagerie, si les messages du domaine ou de l’adresse e-mail autorisés passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message réussit les vérifications d’authentification par e-mail, un message provenant d’une adresse e-mail de l’expéditeur autorisé est remis.
  • Par défaut, les entrées d’autorisation pour les domaines et les adresses de messagerie existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprendra des entrées d’autorisation et les supprimera ou les étendra automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages de ces domaines ou adresses e-mail sont remis, sauf si un autre élément du message est détecté comme malveillant. Par défaut, les entrées autorisées pour les expéditeurs usurpés n’expirent jamais.
  • Pour les messages qui ont été bloqués de manière incorrecte par la protection contre l’emprunt d’identité de domaine ou d’utilisateur, l’entrée d’autorisation pour le domaine ou l’expéditeur n’est pas créée dans la liste verte/bloquée du locataire. Au lieu de cela, le domaine ou l’expéditeur est ajouté à la section Expéditeurs et domaines approuvés dans la stratégie anti-hameçonnage qui a détecté le message.
  • Lorsque vous remplacez le verdict dans l’insight d’usurpation d’identité, l’expéditeur usurpé devient une entrée d’autorisation ou de blocage manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.

Signaler des pièces jointes correctes à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

  3. Sous l’onglet Email pièces jointes, cliquez sur l’icône Envoyer à Microsoft pour analyse.Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’affiche, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.

    • Fichier : cliquez sur Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.

    • Sélectionnez un motif pour l’envoi à Microsoft : sélectionnez Ne doit pas avoir été bloqué (faux positif), puis configurez les paramètres suivants :

      • Autoriser ce fichier : activez ce paramètre Bascule.

        • Supprimer l’entrée autorisée après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

        • Autoriser l’entrée : entrez des informations facultatives sur la raison pour laquelle vous autorisez et envoyez ce fichier.

    Lorsque vous avez terminé, cliquez sur Envoyer, puis sur Terminé.

    Envoyez une pièce jointe de faux positifs (bon) e-mail à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

Après quelques instants, l’entrée d’autorisation s’affiche sous l’onglet Fichiers de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Remarque

  • Par défaut, les entrées autorisées pour les fichiers existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprendra des entrées d’autorisation et les supprimera ou les étendra automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces fichiers sont remis, sauf si un autre élément du message est détecté comme malveillant.
  • Lorsque le fichier est à nouveau rencontré pendant le flux de messagerie, la détonation des pièces jointes fiables ou les vérifications de réputation des fichiers et tous les autres filtres basés sur les fichiers sont remplacés. Si le système de filtrage détermine que toutes les autres entités du message électronique sont propre, le message est remis.
  • Lors de la sélection, tous les filtres basés sur les fichiers, y compris la détonation des pièces jointes fiables ou les vérifications de réputation des fichiers sont remplacés, ce qui permet à l’utilisateur d’accéder au fichier.

Signaler de bonnes URL à Microsoft

Pour les URL signalées comme faux positifs, nous allons autoriser les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abcincorrectement bloquée. Si votre organization reçoit ultérieurement un message contenant l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou *.contoso.com/abc), le message ne sera pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, sélectionnez l’onglet URL

  3. Sous l’onglet URL, cliquez sur Envoyer à Microsoft pour l’icône d’analyse.Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’affiche, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.

    • URL : entrez l’URL complète (par exemple, https://www.fabrikam.com/marketing.html), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez également fournir un domaine de niveau supérieur (par exemple, https://www.fabrikam.com/*), puis le sélectionner dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.

    • Sélectionnez un motif pour l’envoi à Microsoft : sélectionnez Ne doit pas avoir été bloqué (faux positif), puis configurez les paramètres suivants :

      • Autoriser cette URL : activez ce paramètre Bascule.

        • Supprimer l’entrée autorisée après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

        • Autoriser l’entrée : entrez des informations facultatives sur la raison pour laquelle vous autorisez et envoyez cette URL.

    Lorsque vous avez terminé, cliquez sur Envoyer, puis sur Terminé.

    Envoyez une (bonne) URL de faux positif à Microsoft pour analyse sur la page Soumissions du portail Defender.

Après quelques instants, l’entrée d’autorisation s’affiche sous l’onglet URL de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Remarque

  • Par défaut, les entrées d’autorisation pour les URL existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprendra des entrées d’autorisation et les supprimera ou les étendra automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces URL sont remis, sauf si un autre élément du message est détecté comme malveillant.
  • Lorsque l’URL est à nouveau rencontrée pendant le flux de messagerie, la détonation des liens fiables ou les vérifications de réputation d’URL et tous les autres filtres basés sur l’URL sont remplacés. Si le système de filtrage détermine que toutes les autres entités du message électronique sont propre, le message est remis.
  • Lors de la sélection, tous les filtres basés sur une URL, y compris la détonation des liens fiables ou les vérifications de réputation d’URL sont remplacés, ce qui permet à l’utilisateur d’accéder au contenu au niveau de l’URL.

Afficher les envois par e-mail de l’administrateur à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

    • Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

    • Cliquez sur l’icône Personnaliser les colonnes.Personnalisez les colonnes pour sélectionner les colonnes que vous souhaitez afficher. Les valeurs par défaut sont marquées d’un astérisque (*) :

      • Nom de la soumission*
      • Expéditeur*
      • Destinataire
      • Date de soumission*
      • Motif de l’envoi*
      • Verdict d’origine*
      • Statut*
      • Résultat*
      • Raison de la remise/du blocage
      • ID de soumission
      • ID de message réseau
      • Direction
      • IP de l’expéditeur
      • Niveau conforme en bloc (BCL)
      • Destination
      • Action de stratégie
      • Soumis par
      • Simulation de hameçonnage
      • Étiquettes*
      • Action

      Lorsque vous avez terminé, cliquez sur Appliquer.

      Option Personnaliser les colonnes pour les envois par e-mail de l’administrateur.

    • Pour filtrer les entrées, cliquez sur l’icône Filtrer.Filtrez. Les valeurs suivantes sont disponibles dans le menu volant Filtrer qui s’affiche :

      • Date d’envoi : valeurs date de début et date de fin .
      • ID de soumission : valeur GUID affectée à chaque soumission.
      • ID de message réseau
      • Sender
      • Destinataire
      • Nom de la soumission
      • Soumis par
      • Motif de l’envoi : Les valeurs sont Non indésirable, Hameçonnage, Programme malveillant et Courrier indésirable.
      • État : les valeurs sont En attente et Terminé.
      • Balises : la valeur par défaut est All ou sélectionnez une balise utilisateur dans la liste déroulante.

      Lorsque vous avez terminé, cliquez sur Appliquer. Pour effacer les filtres existants, cliquez sur l’icône Effacer les filtresdans le menu volant Filtrer .

      Options de filtre pour les envois par e-mail de l’administrateur.

    • Pour regrouper les entrées, cliquez sur l’icône Grouper.Regroupez et sélectionnez l’une des valeurs suivantes dans la liste déroulante :

      • Aucune
      • Raison
      • État
      • Résultat
      • Tags

    • Pour exporter les entrées, cliquez sur l’icône Exporter.Exporter. Dans la boîte de dialogue qui s’affiche, enregistrez le fichier .csv.

Afficher les envois d’administration de pièces jointes à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, vérifiez que l’onglet Email pièces jointes est sélectionné.

    • Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

    • Cliquez sur l’icône Personnaliser les colonnes.Personnalisez les colonnes pour sélectionner les colonnes que vous souhaitez afficher. Les valeurs par défaut sont marquées d’un astérisque (*) :

      • Nom de fichier de la pièce jointe*
      • Date de soumission*
      • Motif de l’envoi*
      • Statut*
      • Résultat*
      • Verdict de filtre
      • Raison de la remise/du blocage
      • ID de soumission
      • ID d’objet
      • Action de stratégie
      • Soumis par
      • Étiquettes*
      • Action

      Lorsque vous avez terminé, cliquez sur Appliquer.

      Personnalisez les options de colonne pour les envois de pièces jointes par e-mail par l’administrateur.

    • Pour filtrer les entrées, cliquez sur l’icône Filtrer.Filtrez. Les valeurs suivantes sont disponibles dans le menu volant Filtrer qui s’affiche :

      • Date d’envoi : date de début et date de fin.
      • ID de soumission : valeur GUID affectée à chaque soumission.
      • Nom de fichier des pièces jointes
      • Soumis par
      • Motif de l’envoi : Les valeurs sont Non indésirable, Hameçonnage, Programme malveillant et Courrier indésirable.
      • État : les valeurs sont En attente et Terminé.
      • Balises : la valeur par défaut est All ou sélectionnez une balise utilisateur dans la liste déroulante.

      Lorsque vous avez terminé, cliquez sur Appliquer.

      Options de filtre pour les soumissions d’administrateur de pièces jointes par e-mail.

    • Pour regrouper les entrées, cliquez sur l’icône Grouper.Regroupez et sélectionnez l’une des valeurs suivantes dans la liste déroulante :

      • Aucune
      • Raison
      • État
      • Résultat
      • Tags

    • Pour exporter les entrées, cliquez sur l’icône Exporter.Exporter. Dans la boîte de dialogue qui s’affiche, enregistrez le fichier .csv.

Afficher les soumissions d’administrateur d’URL à Microsoft

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , vérifiez que l’onglet URL est sélectionné.

    • Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

    • Cliquez sur l’icône Personnaliser les colonnes.Personnalisez les colonnes pour sélectionner les colonnes que vous souhaitez afficher. Les valeurs par défaut sont marquées d’un astérisque (*) :

      • URL*
      • Date de soumission*
      • Motif de l’envoi*
      • Statut*
      • Résultat*
      • Verdict de filtre
      • Raison de la remise/du blocage
      • ID de soumission
      • ID d’objet
      • Action de stratégie
      • Soumis par
      • Étiquettes*
      • Action

      Lorsque vous avez terminé, cliquez sur Appliquer.

      Personnalisez les options de colonne pour les soumissions d’administrateur d’URL.

    • Pour filtrer les entrées, cliquez sur l’icône Filtrer.Filtrez. Les valeurs suivantes sont disponibles dans le menu volant Filtrer qui s’affiche :

      • Date d’envoi : date de début et date de fin.
      • ID de soumission : valeur GUID affectée à chaque soumission.
      • URL
      • Soumis par
      • Motif de l’envoi : les valeurs Not junk, Phish, Malware et Spam.
      • État : les valeurs sont En attente et Terminé.
      • Balises : la valeur par défaut est All ou sélectionnez une balise utilisateur dans la liste déroulante.

      Lorsque vous avez terminé, cliquez sur Appliquer. Pour effacer les filtres existants, cliquez sur l’icône Effacer les filtresdans le menu volant Filtrer .

      Options de filtre pour les soumissions d’administrateur d’URL.

    • Pour regrouper les entrées, cliquez sur l’icône Grouper.Regroupez et sélectionnez l’une des valeurs suivantes dans la liste déroulante :

      • Aucune
      • Raison
      • État
      • Résultat
      • Tags

    • Pour exporter les entrées, cliquez sur l’icône Exporter.Exporter. Dans la boîte de dialogue qui s’affiche, enregistrez le fichier .csv.

Administration détails du résultat de la soumission

Les messages envoyés dans les soumissions d’administrateur sont examinés par Microsoft et les résultats affichés dans le menu volant des détails des soumissions :

  • En cas d’échec de l’authentification des e-mails de l’expéditeur au moment de la livraison.
  • Informations sur les stratégies ou les remplacements qui auraient pu affecter ou remplacer le verdict du message du système de filtrage.
  • Résultats actuels de la détonation pour savoir si les URL ou fichiers contenus dans le message étaient malveillants ou non.
  • Commentaires des élèves.

Si une configuration de remplacement ou de stratégie a été trouvée, le résultat doit être disponible en quelques minutes. S’il n’y a pas eu de problème d’authentification par e-mail ou si la remise n’a pas été affectée par une substitution ou une stratégie, la détonation et les commentaires des nuanceurs peuvent prendre jusqu’à un jour.

Afficher les messages signalés par l’utilisateur à Microsoft

Si vous avez déployé les compléments Microsoft Report Message ou Report Phishing, ou si les utilisateurs utilisent le bouton intégré Rapport dans Outlook sur le web, vous pouvez voir ce que les utilisateurs signalent sous l’onglet Utilisateur signalé sur la page Soumissions.

  1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions sous l’onglet Actions & soumissions>Soumissions Signalées> parl’utilisateur. Pour accéder directement à l’onglet Utilisateur signalé, utilisez https://security.microsoft.com/reportsubmission?viewid=user.

  2. Sous l’onglet Utilisateur signalé , les paramètres suivants sont disponibles :

    • Cliquez sur l’icône Personnaliser les colonnes.Personnalisez les colonnes pour sélectionner les colonnes que vous souhaitez afficher. Les valeurs par défaut sont marquées d’un astérisque (*) :

      • Nom de la soumission*
      • Signalé par*
      • Date de signalement*
      • Expéditeur*
      • Motif signalé*
      • Verdict d’origine*
      • Résultat*
      • ID de message signalé
      • ID de message réseau
      • IP de l’expéditeur
      • Signalé à partir de
      • Simulation de hameçonnage
      • Converti en soumission d’administrateur
      • Étiquettes*
      • Marqué comme*
      • Marqué par
      • Date marquée

      Lorsque vous avez terminé, cliquez sur Appliquer.

    • Pour filtrer les entrées, cliquez sur l’icône Filtrer.Filtrez. Les valeurs suivantes sont disponibles dans le menu volant Filtrer qui s’affiche :

      • Date signalée : date de début et date de fin.
      • Auteur du rapport
      • Name
      • ID de message signalé
      • ID de message réseau
      • Sender
      • Motif signalé : Les valeurs sont Non indésirable, Hameçonnage ou Courrier indésirable.
      • Signalé à partir de : Les valeurs sont Microsoft ou Tiers.
      • Simulation de hameçonnage : les valeurs sont Oui ou Non.
      • Converti en soumission d’administrateur : les valeurs sont Oui ou Non.
      • Balises : la valeur par défaut est All ou sélectionnez une balise utilisateur dans la liste déroulante.

      Lorsque vous avez terminé, cliquez sur Appliquer. Pour effacer les filtres existants, cliquez sur l’icône Effacer les filtresdans le menu volant Filtrer .

    • Pour regrouper les entrées, cliquez sur l’icône Grouper.Regroupez et sélectionnez l’une des valeurs suivantes dans la liste déroulante :

      • Aucune
      • Raison
      • Sender
      • Auteur du rapport
      • Verdict d’origine
      • Résultat
      • Signalé à partir de
      • Simulation de hameçonnage
      • Converti en soumission d’administrateur
      • Tags

    • Pour exporter les entrées, cliquez sur l’icône Exporter.Exporter. Dans la boîte de dialogue qui s’affiche, enregistrez le fichier .csv.

    • Pour avertir les utilisateurs, consultez Administration Révision des messages signalés

Remarque

Les messages signalés par l’utilisateur qui sont envoyés uniquement à la boîte aux lettres de création de rapports (et non à Microsoft) apparaissent sous l’onglet Utilisateur signalé dans la page Soumissions , mais la valeur Résultat de ces entrées est Non envoyé à Microsoft (car ces messages ne sont pas analysés par Microsoft).

Annuler les messages signalés par l’utilisateur

Une fois qu’un utilisateur signale un message suspect remis à la boîte aux lettres de création de rapports, à Microsoft, ou aux deux, l’utilisateur ou les administrateurs ne peuvent pas annuler le message signalé. L’utilisateur peut récupérer les messages à partir de ses dossiers Éléments supprimés ou Courrier indésirable Email.

Convertir les messages signalés par l’utilisateur dans la boîte aux lettres de création de rapports en soumissions d’administrateur

Si vous avez configuré la boîte aux lettres de création de rapports pour intercepter les messages signalés par l’utilisateur sans envoyer les messages à Microsoft, les administrateurs peuvent rechercher et envoyer manuellement des messages spécifiques à Microsoft à des fins d’analyse.

Sous l’onglet Utilisateur signalé à https://security.microsoft.com/reportsubmission?viewid=user, sélectionnez un message dans la liste, cliquez sur Envoyer à Microsoft pour l’analyse icône Ajouter.Envoyer à Microsoft pour analyse, puis sélectionnez l’une des valeurs suivantes dans la liste déroulante :

  • Propre de rapport

  • Signaler l’hameçonnage

  • Signaler les programmes malveillants

  • Signaler le courrier indésirable

  • Investigation du déclencheur

    Options Nouveau sur le bouton Action

Si le message est signalé à Microsoft, la valeur conversion en soumission d’administrateur passe de non à oui. Vous pouvez accéder directement à la soumission de l’administrateur en cliquant sur Afficher la soumission d’administrateur convertie à partir de l’icône Plus d’options.Menu Plus d’options dans le menu volant de soumission du message.

Option permettant d’afficher une soumission d’administrateur créée à partir d’un message signalé par l’utilisateur.

Afficher l’alerte associée pour les envois d’e-mails par l’utilisateur et l’administrateur

Remarque

Les informations contenues dans cette section s’appliquent uniquement à Defender pour Office 365 Plan 2 ou version ultérieure.

Pour chaque message signalé par l’utilisateur et l’envoi d’e-mail administrateur, une alerte correspondante est générée.

Pour afficher l’alerte correspondante pour un message d’hameçonnage signalé par un utilisateur, accédez à l’onglet Utilisateur signalé à https://security.microsoft.com/reportsubmission?viewid=user, puis double-cliquez sur le message pour ouvrir le menu volant de soumission. Cliquez sur l’icône Plus d’options.Autres options, puis sélectionnez Afficher l’alerte.

Option permettant d’afficher l’alerte associée à partir d’un message d’hameçonnage signalé par un utilisateur.

Pour afficher l’alerte correspondante pour les envois de courriers électroniques de l’administrateur, accédez à l’onglet E-mails à https://security.microsoft.com/reportsubmission?viewid=email, puis double-cliquez sur le message pour ouvrir le menu volant de soumission. Sélectionnez Afficher l’alerte dans l’option Ouvrir l’entité de messagerie .

Option permettant d’afficher l’alerte associée à partir d’une soumission d’administrateur.