Un clic d’URL potentiellement malveillant a été détecté |
Génère une alerte lorsqu’un utilisateur protégé par des liens fiables dans votre organization clique sur un lien malveillant. Cette alerte est générée lorsqu’un utilisateur clique sur un lien et que cet événement déclenche une identification de changement de verdict d’URL par Microsoft Defender pour Office 365. Il vérifie également les clics au cours des dernières 48 heures à partir du moment où le verdict d’URL malveillant est identifié, et génère des alertes pour les clics qui se sont produits dans la période de 48 heures pour ce lien malveillant. Cette alerte déclenche automatiquement une investigation et une réponse automatisées dans Defender for Office 365 Plan 2. Pour plus d’informations sur les événements qui déclenchent cette alerte, consultez Configurer des stratégies de liens fiables. |
Élevé |
Oui |
Abonnement au module complémentaire E5/G5 ou Defender for Office 365 Plan 2. |
Une entrée de liste verte de locataire a été trouvée malveillante |
Génère une alerte lorsque Microsoft détermine que la soumission d’administrateur correspondant à une entrée d’autorisation dans la liste verte/bloquée du locataire est détectée comme malveillante. Cet événement est déclenché dès que la soumission est analysée par Microsoft.
L’entrée autorisée continuera d’exister pendant la durée prévue. Pour plus d’informations sur les événements qui déclenchent cette alerte, consultez Gérer la liste Des locataires autorisés/bloqués. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Un utilisateur a cliqué sur une URL potentiellement malveillante |
Génère une alerte lorsqu’un utilisateur protégé par des liens fiables dans votre organization clique sur un lien malveillant. Cet événement est déclenché lorsque l’utilisateur clique sur une URL (qui est identifiée comme malveillante ou en attente de validation) et remplace la page d’avertissement liens fiables (en fonction de la stratégie liens fiables Microsoft 365 pour les entreprises de votre organization) pour passer à la page/au contenu hébergé par l’URL. Cette alerte déclenche automatiquement une investigation et une réponse automatisées dans Defender for Office 365 Plan 2. Pour plus d’informations sur les événements qui déclenchent cette alerte, consultez Configurer des stratégies de liens fiables. |
Élevé |
Oui |
Abonnement au module complémentaire E5/G5 ou Defender for Office 365 Plan 2. |
Administration résultat de la soumission terminée |
Génère une alerte lorsqu’une soumission de Administration termine la nouvelle analyse de l’entité envoyée. Une alerte est déclenchée chaque fois qu’un résultat de nouvelle analyse est rendu à partir d’une soumission Administration.
Ces alertes sont destinées à vous rappeler d’examiner les résultats des soumissions précédentes, d’envoyer des messages signalés par l’utilisateur pour obtenir les dernières case activée de stratégie et de réanalyser les verdicts, et de vous aider à déterminer si les stratégies de filtrage dans votre organization ont l’impact prévu. |
Informatif |
Non |
E1/F1, E3/F3 ou E5 |
Administration’examen manuel des e-mails a été déclenché |
Génère une alerte lorsqu’un administrateur déclenche l’examen manuel d’un e-mail à partir de Threat Explorer. Pour plus d’informations, consultez Exemple : Un administrateur de sécurité déclenche une investigation à partir de Threat Explorer.
Cette alerte avertit votre organization que l’enquête a été lancée. L’alerte fournit des informations sur les personnes qui l’ont déclenchée et inclut un lien vers l’enquête. |
Informatif |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Administration’enquête sur la compromission de l’utilisateur déclenchée |
Génère une alerte lorsqu’un administrateur déclenche l’examen manuel de compromission utilisateur d’un expéditeur ou d’un destinataire d’e-mail à partir de Threat Explorer. Pour plus d’informations, consultez Exemple : Un administrateur de sécurité déclenche une investigation à partir de Threat Explorer, qui montre le déclenchement manuel associé d’une investigation sur un e-mail.
Cette alerte avertit votre organization que l’enquête de compromission de l’utilisateur a été démarrée. L’alerte fournit des informations sur les personnes qui l’ont déclenchée et inclut un lien vers l’enquête. |
Moyen |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Création de règle de redirection/transfert |
Génère une alerte lorsqu’une personne de votre organization crée une règle de boîte de réception pour sa boîte aux lettres qui transfère ou redirige les messages vers un autre compte de messagerie. Cette stratégie suit uniquement les règles de boîte de réception créées à l’aide de Outlook sur le web (anciennement Appelée Outlook Web App) ou Exchange Online PowerShell. Pour plus d’informations sur l’utilisation de règles de boîte de réception pour transférer et rediriger des messages électroniques dans Outlook sur le web, consultez Utiliser des règles dans Outlook sur le web pour transférer automatiquement des messages vers un autre compte. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Recherche eDiscovery démarrée ou exportée |
Génère une alerte lorsqu’une personne utilise l’outil de recherche de contenu dans le portail Microsoft Purview. Une alerte est déclenchée lorsque les activités de recherche de contenu suivantes sont effectuées :- Une recherche de contenu est démarrée.
- Les résultats d’une recherche de contenu sont exportés.
- Un rapport de recherche de contenu est exporté.
Des alertes sont également déclenchées lorsque les activités de recherche de contenu précédentes sont effectuées en association avec un cas eDiscovery. Pour plus d’informations sur les activités de recherche de contenu, consultez Rechercher des activités eDiscovery dans le journal d’audit. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Messages de courrier contenant un fichier malveillant supprimé après la remise |
Génère une alerte quand des messages contenant un fichier malveillant sont remis aux boîtes aux lettres de votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure. Cette stratégie déclenche automatiquement une investigation et une réponse automatisées dans Office 365. Pour plus d’informations sur cette nouvelle stratégie, consultez Nouvelles stratégies d’alerte dans Defender for Office 365. |
Informatif |
Oui |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Messages de courrier contenant une URL malveillante supprimée après la remise |
Génère une alerte quand des messages contenant une URL malveillante sont remis aux boîtes aux lettres dans votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure. Cette stratégie déclenche automatiquement une investigation et une réponse automatisées dans Office 365. Pour plus d’informations sur cette nouvelle stratégie, consultez Nouvelles stratégies d’alerte dans Defender for Office 365. |
Informatif |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Messages de courrier contenant un programme malveillant supprimé après la remise |
Remarque : cette stratégie d’alerte a été remplacée par Email messages contenant des fichiers malveillants supprimés après la remise. Cette stratégie d’alerte finira par disparaître. Nous vous recommandons donc de la désactiver et d’utiliser Email messages contenant des fichiers malveillants supprimés après la remise. Pour plus d’informations, consultez Nouvelles stratégies d’alerte dans Defender for Office 365. |
Informatif |
Oui |
Abonnement au module complémentaire E5/G5 ou Defender for Office 365 Plan 2. |
Messages de courrier contenant des URL d’hameçonnage supprimées après la remise |
Remarque : Cette stratégie d’alerte a été remplacée par Email messages contenant des URL malveillantes supprimées après la remise. Cette stratégie d’alerte finira par disparaître. Nous vous recommandons donc de la désactiver et d’utiliser Email messages contenant une URL malveillante supprimée après la remise. Pour plus d’informations, consultez Nouvelles stratégies d’alerte dans Defender for Office 365. |
Informatif |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Email messages d’une campagne supprimés après la remise |
Génère une alerte quand des messages associés à une campagne sont remis aux boîtes aux lettres de votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure. Cette stratégie déclenche automatiquement une investigation et une réponse automatisées dans Office 365. Pour plus d’informations sur cette nouvelle stratégie, consultez Nouvelles stratégies d’alerte dans Defender for Office 365. |
Informatif |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Messages électroniques supprimés après la remise |
Génère une alerte quand des messages malveillants qui ne contiennent pas d’entité malveillante (URL ou fichier) ou qui sont associés à une campagne sont remis aux boîtes aux lettres dans votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure. Cette stratégie déclenche automatiquement une investigation et une réponse automatisées dans Office 365. Pour plus d’informations sur cette nouvelle stratégie, consultez Nouvelles stratégies d’alerte dans Defender for Office 365. |
Informatif |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Email signalés par l’utilisateur comme courrier indésirable |
Génère une alerte lorsque les utilisateurs de votre organization signalent des messages comme indésirables à l’aide du bouton rapport intégré dans Outlook ou du complément Signaler un message. Pour plus d’informations sur les compléments, consultez Utiliser le complément Message de rapport. |
Faible |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
E-mail signalé par l’utilisateur en tant que programme malveillant ou hameçonnage |
Génère une alerte lorsque les utilisateurs de votre organization signalent des messages en tant que hameçonnage à l’aide du bouton intégré Rapport dans Outlook ou des compléments Signaler un message ou Signaler l’hameçonnage. Pour plus d’informations sur les compléments, consultez Utiliser le complément Message de rapport. Pour Defender for Office 365 clients Plan 2, E5 et G5, cette alerte déclenche automatiquement une investigation et une réponse automatisées dans Defender for Office 365 Plan 2. |
Faible |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Email signalés par l’utilisateur comme n’étant pas indésirables |
Génère une alerte lorsque les utilisateurs de votre organization signalent des messages comme n’étant pas indésirables du bouton rapport intégré dans Outlook ou du complément Signaler un message. Pour plus d’informations sur les compléments, consultez Utiliser le complément Message de rapport. |
Faible |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Email limite d’envoi dépassée |
Génère une alerte lorsqu’une personne de votre organization a envoyé plus de messages que ce qui est autorisé par la stratégie de courrier indésirable sortant. Il s’agit généralement d’une indication que l’utilisateur envoie trop d’e-mails ou que le compte peut être compromis. Si vous recevez une alerte générée par cette stratégie d’alerte, il est judicieux de case activée si le compte d’utilisateur est compromis. |
Moyen |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Échec du chargement des correspondances de données exactes |
Génère une alerte lorsqu’un utilisateur reçoit l’erreur suivante lors du chargement d’un type d’informations sensibles basé sur la correspondance exacte des données : Le chargement des nouvelles informations sensibles a échoué. Veuillez réessayer plus tard. |
Élevé |
Non |
E5/G5. |
Formulaire bloqué en raison d’une tentative d’hameçonnage potentielle |
Génère une alerte lorsqu’une personne de votre organization n’est pas autorisée à partager des formulaires et à collecter des réponses à l’aide de Microsoft Forms en raison d’un comportement de tentative de hameçonnage répété détecté. |
Élevé |
Non |
E1, E3/F3 ou E5 |
Formulaire marqué d'un indicateur et confirmé comme hameçonnage |
Génère une alerte lorsqu’un formulaire créé dans Microsoft Forms à partir de votre organization est identifié comme un hameçonnage potentiel via Signaler un abus et confirmé comme hameçonnage par Microsoft. |
Élevé |
Non |
E1, E3/F3 ou E5 |
Programme malveillant non zapé, car ZAP est désactivé |
Génère une alerte lorsque Microsoft détecte la remise d’un message malveillant à une boîte aux lettres, car Zero-Hour purge automatique des messages hameçonnages est désactivé. |
Informatif |
Non |
Abonnement au module complémentaire E5/G5 ou Defender for Office 365 Plan 2. |
Messages contenant une entité malveillante non supprimée après la remise |
Génère une alerte lorsqu’un message contenant du contenu malveillant (fichier, URL, campagne, aucune entité) est remis aux boîtes aux lettres dans votre organization. Si cet événement se produit, Microsoft a tenté de supprimer les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zero-hour, mais le message n’a pas été supprimé en raison d’un échec. Une investigation supplémentaire est recommandée. Cette stratégie déclenche automatiquement une investigation et une réponse automatisées dans Office 365. |
Moyen |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Simulation MIP AutoLabel terminée |
Génère une alerte lorsqu’une stratégied’étiquetage automatique côté service en mode simulation est terminée. |
Faible |
Non |
E5/G5. |
Hameçonnage livré en raison d’un remplacement ETR¹ |
Génère une alerte lorsque Microsoft détecte une règle de transport Exchange (également appelée règle de flux de courrier) qui a autorisé la remise d’un message d’hameçonnage à haut niveau de confiance à une boîte aux lettres. Pour plus d’informations sur les règles de transport Exchange (règles de flux de courrier), consultez Règles de flux de courrier (règles de transport) dans Exchange Online. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Hameçonnage livré en raison d’une stratégie d’autorisation d’adresse IP¹ |
Génère une alerte lorsque Microsoft détecte une stratégie d’autorisation d’adresse IP qui autorisait la remise d’un message d’hameçonnage à haut niveau de confiance à une boîte aux lettres. Pour plus d’informations sur la stratégie d’autorisation IP (filtrage de connexion), consultez Configurer la stratégie de filtre de connexion par défaut - Office 365. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Hameçonnage non zapé, car ZAP est désactivé¹ |
Génère une alerte lorsque Microsoft détecte la remise d’un message d’hameçonnage à haut niveau de confiance dans une boîte aux lettres, car Zero-Hour purge automatique des messages hameçonnage est désactivé. |
Informatif |
Non |
Abonnement au module complémentaire E5/G5 ou Defender for Office 365 Plan 2. |
Activité potentielle de l’État-nation |
Microsoft Threat Intelligence Center a détecté une tentative de compromission des comptes de votre locataire. |
Élevé |
Non |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Simulation de stratégie Purview terminée |
Génère une alerte pour avertir les administrateurs lorsque la simulation est terminée pour toute stratégie Purview prenant en charge le mode de simulation. |
Faible |
Non |
E5/G5 |
Action de correction effectuée par l’administrateur sur les e-mails, l’URL ou l’expéditeur |
Remarque : Cette stratégie d’alerte a été remplacée par une action administrative soumise par un administrateur. Cette stratégie d’alerte finira par disparaître. Nous vous recommandons donc de la désactiver et d’utiliser l’action Administrative envoyée par un administrateur à la place.
Cette alerte est déclenchée lorsqu’un administrateur effectue une action de correction sur l’entité sélectionnée |
Informatif |
Oui |
Microsoft 365 Business Premium, Defender for Office 365 module complémentaire Plan 1, E5/G5 ou Defender for Office 365 Module complémentaire Plan 2. |
Suppression d’une entrée dans la liste verte/bloquée du locataire |
Génère une alerte lorsqu’une entrée d’autorisation dans la liste verte/bloquée du locataire est apprise par filtrage du système et supprimée. Cet événement est déclenché lorsque l’entrée d’autorisation pour le domaine ou l’adresse e-mail, le fichier ou l’URL (entité) affecté est supprimée.
Vous n’avez plus besoin de l’entrée d’autorisation affectée. Email messages qui contiennent les entités affectées sont remis à la boîte de réception si rien d’autre dans le message n’est jugé incorrect. Les URL et les fichiers sont autorisés au moment du clic.
Pour plus d’informations sur les événements qui déclenchent cette alerte, consultez Gérer la liste Des locataires autorisés/bloqués. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Simulation de stratégie d’étiquetage automatique de rétention terminée |
Génère une alerte lorsqu’une simulation de stratégie d’étiquetage automatique de rétention est terminée. |
Faible |
Non |
E5/G5 |
Chargement des correspondances de données exactes réussie |
Génère une alerte après qu’un utilisateur a correctement chargé un type d’informations sensibles basé sur la correspondance exacte des données. |
Faible |
Non |
E5/G5 |
Activité suspecte du connecteur |
Génère une alerte lorsqu’une activité suspecte est détectée sur un connecteur entrant dans votre organization. Le courrier ne peut pas utiliser le connecteur entrant. L’administrateur reçoit une notification par e-mail et une alerte. Cette alerte fournit des conseils sur la façon d’examiner, d’annuler les modifications et de débloquer un connecteur restreint. Pour savoir comment répondre à cette alerte, consultez Répondre à un connecteur compromis. |
Élevé |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Activité suspecte de transfert d’e-mail |
Génère une alerte lorsqu’une personne de votre organization a envoyé automatiquement un e-mail à un compte externe suspect. Il s’agit d’un avertissement précoce pour un comportement susceptible d’indiquer que le compte est compromis, mais pas suffisamment sévère pour restreindre l’utilisateur. Bien qu’elle soit rare, une alerte générée par cette stratégie peut être une anomalie. Il est judicieux de case activée si le compte d’utilisateur est compromis. |
Élevé |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Modèles d’envoi d’e-mails suspects détectés |
Génère une alerte lorsqu’une personne de votre organization a envoyé des e-mails suspects et qu’elle risque d’être limitée à l’envoi d’e-mails. Il s’agit d’un avertissement précoce pour un comportement qui peut indiquer que le compte est compromis, mais pas suffisamment sévère pour restreindre l’utilisateur. Bien qu’elle soit rare, une alerte générée par cette stratégie peut être une anomalie. Toutefois, il est judicieux de case activée si le compte d’utilisateur est compromis. |
Moyen |
Oui |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Modèles d’envoi de locataires suspects observés |
Génère une alerte lorsque des modèles d’envoi suspects ont été observés dans votre organization, ce qui peut empêcher votre organization d’envoyer des e-mails. Examinez les comptes d’utilisateur et d’administrateur potentiellement compromis, les nouveaux connecteurs ou les relais ouverts pour éviter que le locataire dépasse les blocs de seuil. Pour plus d’informations sur la raison pour laquelle les organisations sont bloquées, consultez Résoudre les problèmes de remise des e-mails pour le code d’erreur 5.7.7xx dans Exchange Online. |
Élevé |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Message Teams signalé par l’utilisateur comme risque de sécurité |
Cette alerte est déclenchée lorsque les utilisateurs signalent un message Teams comme un risque pour la sécurité. |
Faible |
Non |
Extension E5/G5 ou Defender for Office 365. |
L’entrée d’autorisation/liste bloquée du locataire est sur le point d’expirer |
Génère une alerte lorsqu’une entrée d’autorisation ou de blocage dans l’entrée d’autorisation/liste de blocage du locataire est sur le point d’être supprimée. Cet événement est déclenché sept jours avant la date d’expiration, qui est basée sur la date de création ou de dernière mise à jour de l’entrée.
Pour les entrées d’autorisation et les entrées de bloc, vous pouvez étendre la date d’expiration. Pour plus d’informations sur les événements qui déclenchent cette alerte, consultez Gérer la liste Des locataires autorisés/bloqués. |
Informatif |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Le locataire n’est pas autorisé à envoyer des e-mails |
Génère une alerte lorsque la majeure partie du trafic e-mail de votre organization est détectée comme suspecte et que Microsoft a restreint votre organization à l’envoi de messages électroniques. Examinez les comptes d’utilisateur et d’administrateur potentiellement compromis, les nouveaux connecteurs ou les relais ouverts, puis contactez Support Microsoft pour débloquer votre organization. Pour plus d’informations sur la raison pour laquelle les organisations sont bloquées, consultez Résoudre les problèmes de remise des e-mails pour le code d’erreur 5.7.7xx dans Exchange Online. |
Élevé |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
Le locataire est limité à l’envoi d’e-mails non approvisionnés |
Génère une alerte lorsque trop d’e-mails sont envoyés à partir de domaines non inscrits (également appelés domaines non approvisionnés ). Office 365 autorise l'envoi d'un certain nombre d'e-mails à partir de domaines non enregistrés, mais nous vous recommandons de configurer chaque domaine utilisé pour envoyer du courrier en tant que domaine accepté. Cette alerte indique que tous les utilisateurs du organization ne peuvent plus envoyer d’e-mail. Pour plus d’informations sur la raison pour laquelle les organisations sont bloquées, consultez Résoudre les problèmes de remise des e-mails pour le code d’erreur 5.7.7xx dans Exchange Online. |
Élevé |
Non |
E1/F1/G1, E3/F3/G3 ou E5/G5 |
L’utilisateur a demandé à publier un message mis en quarantaine |
Génère une alerte lorsqu’un utilisateur demande la libération d’un message mis en quarantaine. Pour demander la libération des messages mis en quarantaine, l’autorisation Autoriser les destinataires à demander la libération d’un message de la quarantaine (PermissionToRequestRelease) est requise dans la stratégie de mise en quarantaine (par exemple, à partir du groupe Autorisations prédéfinies à accès limité ). Pour plus d’informations, consultez Autoriser les destinataires à demander la libération d’un message de l’autorisation de mise en quarantaine. |
Informatif |
Non |
Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 ou E5/G5 |
L’utilisateur n’est pas autorisé à envoyer des e-mails |
Génère une alerte lorsqu’une personne de votre organization n’est pas autorisé à envoyer des messages sortants. Cette alerte indique généralement un compte compromis dans lequel l’utilisateur est répertorié dans la page Entités restreintes à l’adresse https://security.microsoft.com/restrictedentities. Pour plus d’informations sur les utilisateurs restreints, consultez Supprimer les utilisateurs bloqués de la page Entités restreintes. |
Élevé |
Oui |
Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 ou E5/G5 |
L’utilisateur ne peut pas partager de formulaires et collecter des réponses. |
Génère une alerte lorsqu’une personne de votre organization n’est pas autorisée à partager des formulaires et à collecter des réponses à l’aide de Microsoft Forms en raison d’un comportement de tentative de hameçonnage répété détecté. |
Élevé |
Non |
E1, E3/F3 ou E5 |