Email la sécurité avec le Explorer des menaces et les détections en temps réel dans Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 incluses dans leur abonnement ou achetées en tant que module complémentaire ont Explorer (également appelées détections de menaces Explorer) ou en temps réel. Ces fonctionnalités sont des outils puissants et quasiment en temps réel pour aider les équipes d’opérations de sécurité (SecOps) à examiner les menaces et à y répondre. Pour plus d’informations, consultez À propos des détections Explorer de menaces et en temps réel dans Microsoft Defender pour Office 365.

Cet article explique comment afficher et examiner les programmes malveillants détectés et les tentatives d’hameçonnage dans les e-mails à l’aide des détections de Explorer de menaces ou en temps réel.

Conseil

Pour d’autres scénarios de messagerie utilisant les détections de Explorer de menaces et en temps réel, consultez les articles suivants :

Ce qu'il faut savoir avant de commencer

Afficher les e-mails d’hameçonnage envoyés aux utilisateurs et aux domaines dont l’identité est empruntée

Pour plus d’informations sur la protection contre l’emprunt d’identité des utilisateurs et des domaines dans les stratégies anti-hameçonnage dans Defender for Office 365, consultez Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

Dans les stratégies anti-hameçonnage par défaut ou personnalisées, vous devez spécifier les utilisateurs et les domaines à protéger contre l’emprunt d’identité, y compris les domaines que vous possédez (domaines acceptés). Dans les stratégies de sécurité prédéfinies Standard ou Strict, les domaines que vous possédez reçoivent automatiquement une protection contre l’emprunt d’identité, mais vous devez spécifier des utilisateurs ou des domaines personnalisés pour la protection contre l’emprunt d’identité. Pour obtenir des instructions, consultez les articles suivants :

Procédez comme suit pour passer en revue les messages d’hameçonnage et rechercher des utilisateurs ou des domaines qui ont emprunté l’identité.

  1. Utilisez l’une des étapes suivantes pour ouvrir les détections de Explorer de menaces ou en temps réel :

  2. Dans la page détections Explorer ou en temps réel, sélectionnez l’affichage Hameçon. Pour plus d’informations sur la vue Hameçonnage, voir Phish view in Threat Explorer and Real-time detections.

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

  4. Effectuez l’une des étapes suivantes :

    • Recherchez toutes les tentatives d’emprunt d’identité d’utilisateur ou de domaine :

      • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Technologie de détection dans la section De base de la liste déroulante.
      • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
      • Dans la zone valeur de la propriété, sélectionnez Domaine d’empruntd’identité et Utilisateur d’emprunt d’identité
    • Rechercher des tentatives d’emprunt d’identité spécifiques :

      • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Utilisateur emprunté dans la section De base de la liste déroulante.
      • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
      • Dans la zone valeur de propriété, entrez l’adresse e-mail complète du destinataire. Séparez plusieurs valeurs de destinataire par des virgules.
    • Rechercher des tentatives d’emprunt d’identité spécifiques :

      • Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Domaine emprunté dans la section De base de la liste déroulante.
      • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
      • Dans la zone valeur de la propriété, entrez le domaine (par exemple, contoso.com). Séparez plusieurs valeurs de domaine par des virgules.
  5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans détections de Explorer de menaces et en temps réel.

  6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

  7. Dans la zone de détails sous le graphique, vérifiez que l’onglet Email (affichage) est sélectionné.

    Vous pouvez trier les entrées et afficher d’autres colonnes comme décrit dans Email vue pour la zone d’informations de l’affichage Hameçon dans Détections de menaces Explorer et en temps réel.

Exporter les données de clic d’URL

Vous pouvez exporter les données de clic d’URL vers un fichier CSV pour afficher les valeurs ID de message réseau et Verdict clic , qui expliquent d’où provient le trafic de clic d’URL.

  1. Utilisez l’une des étapes suivantes pour ouvrir les détections de Explorer de menaces ou en temps réel :

  2. Dans la page détections Explorer ou en temps réel, sélectionnez l’affichage Hameçon. Pour plus d’informations sur la vue Hameçonnage, voir Phish view in Threat Explorer and Real-time detections.

  3. Sélectionnez la plage de dates/heures, puis sélectionnez Actualiser. La valeur par défaut est hier et aujourd’hui.

  4. Dans la zone d’informations, sélectionnez l’onglet URL principales ou Clics du haut (affichage).

  5. Dans la vue URL principales ou Clics principaux, sélectionnez une ou plusieurs entrées de la table en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez Exporter. > Explorer Phish>Clicks>Top URL ou URL Top Clicks> sélectionne n’importe quel enregistrement pour ouvrir le menu volant d’URL.

Vous pouvez utiliser la valeur ID de message réseau pour rechercher des messages spécifiques dans détections de menaces Explorer ou détections en temps réel ou outils externes. Ces recherches identifient le message électronique associé à un résultat de clic. Le fait d’avoir l’ID de message réseau corrélé permet une analyse plus rapide et plus puissante.

Afficher les programmes malveillants détectés dans les e-mails

Utilisez les étapes suivantes dans Détections de menaces Explorer ou en temps réel pour voir les programmes malveillants détectés dans les e-mails par Microsoft 365.

  1. Utilisez l’une des étapes suivantes pour ouvrir les détections de Explorer de menaces ou en temps réel :

  2. Dans la page détections Explorer ou en temps réel, sélectionnez la vue Programmes malveillants. Pour plus d’informations sur la vue Hameçonnage, consultez Affichage des programmes malveillants dans Détections Explorer de menaces et en temps réel.

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

  4. Sélectionnez la zone Adresse de l’expéditeur (propriété), puis sélectionnez Technologie de détection dans la section De base de la liste déroulante.

    • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
    • Dans la zone valeur de la propriété, sélectionnez une ou plusieurs des valeurs suivantes :
      • Protection contre les programmes malveillants
      • Détonation de fichier
      • Réputation de détonation de fichier
      • Réputation des fichiers
      • Correspondance de l’empreinte
  5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans détections de Explorer de menaces et en temps réel.

  6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

Le rapport montre les résultats détectés par les programmes malveillants dans les e-mails, à l’aide des options technologiques que vous avez sélectionnées. À partir de là, vous pouvez effectuer une analyse plus approfondie.

Signaler les messages en tant que propre

Vous pouvez utiliser la page Soumissions dans le portail Defender à l’adresse https://security.microsoft.com/reportsubmission pour signaler les messages en tant que propre (faux positifs) à Microsoft. Toutefois, vous pouvez également envoyer des messages en tant que propre à Microsoft à partir de La Explorer des menaces ou de la page d’entité Email.

Pour obtenir des instructions, consultez Repérage des menaces : Assistant Action.

Pour résumer :

  • Sélectionnez Effectuer une action à l’aide de l’une des méthodes suivantes :

    • Sélectionnez un ou plusieurs messages dans le tableau de détails de l’onglet Email (affichage) dans les affichages Tous les messages électroniques, Programmes malveillants ou Hameçonnages en sélectionnant les zones case activée pour les entrées.

    Ou

    • Dans le menu volant détails, après avoir sélectionné un message dans la table de détails de l’onglet Email (affichage) dans les affichages Tous les e-mails, Programmes malveillants ou Hameçonnage en cliquant sur la valeur Objet.
  • Dans l’Assistant Action, sélectionnez Envoyer à Microsoft pour examen>J’ai confirmé qu’il est propre.

Afficher l’URL de hameçonnage et cliquer sur les données de verdict

La protection des liens fiables suit les URL qui ont été autorisées, bloquées et remplacées. La protection des liens fiables est activée par défaut, grâce à la protection intégrée dans les stratégies de sécurité prédéfinies. La protection des liens fiables est activée dans les stratégies de sécurité prédéfinies Standard et Strict. Vous pouvez également créer et configurer la protection des liens fiables dans des stratégies de liens fiables personnalisées. Pour plus d’informations sur les paramètres de stratégie de liens fiables, consultez Paramètres de stratégie de liens fiables.

Procédez comme suit pour voir les tentatives d’hameçonnage à l’aide d’URL dans les messages électroniques.

  1. Utilisez l’une des étapes suivantes pour ouvrir les détections de Explorer de menaces ou en temps réel :

  2. Dans la page détections Explorer ou en temps réel, sélectionnez l’affichage Hameçon. Pour plus d’informations sur la vue Hameçonnage, voir Phish view in Threat Explorer and Real-time detections.

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

  4. Sélectionnez la zone Adresse de l’expéditeur (propriété), puis cliquez sur Verdict dans la section URL de la liste déroulante.

    • Vérifiez que Égal à l’un de est sélectionné comme opérateur de filtre.
    • Dans la zone valeur de la propriété, sélectionnez une ou plusieurs des valeurs suivantes :
      • Bloqué
      • Remplacement bloqué

    Pour obtenir des explications sur les valeurs de verdict Click, consultez Click verdict in Filterable properties dans l’affichage Tous les e-mails dans Threat Explorer.

  5. Entrez d’autres conditions à l’aide d’autres propriétés filtrables si nécessaire. Pour obtenir des instructions, consultez Filtres de propriétés dans détections de Explorer de menaces et en temps réel.

  6. Lorsque vous avez terminé de créer les conditions de filtre, sélectionnez Actualiser.

L’onglet URL principales (affichage) dans la zone d’informations sous le graphique affiche le nombre de Messages bloqués, Messages indésirables et Messages remis pour les cinq URL principales. Pour plus d’informations, consultez Vue DES URL principales pour la zone d’informations de la vue Hameçonnage dans Détections Explorer de menaces et en temps réel.

L’onglet Top clicks (affichage) dans la zone de détails sous le graphique montre les cinq principaux liens cliqués qui ont été encapsulés par des liens fiables. Les clics d’URL sur les liens non activés ne s’affichent pas ici. Pour plus d’informations, consultez Affichage des clics principaux pour la zone d’informations de l’affichage Hameçonnage dans Détections Explorer de menaces et en temps réel.

Ces tables d’URL affichent les URL qui ont été bloquées ou visitées en dépit d’un avertissement. Ces informations montrent les liens potentiellement incorrects qui ont été présentés aux utilisateurs. À partir de là, vous pouvez effectuer une analyse plus approfondie.

Sélectionnez une URL dans une entrée de la vue pour plus d’informations. Pour plus d’informations, consultez les détails de l’URL des onglets URL principales et Clics principaux en mode Hameçonnage.

Conseil

Dans le menu volant Détails de l’URL, le filtrage sur les messages électroniques est supprimé pour afficher l’affichage complet de l’exposition de l’URL dans votre environnement. Ce comportement vous permet de filtrer des messages électroniques spécifiques, de rechercher des URL spécifiques qui sont des menaces potentielles, puis d’étendre votre compréhension de l’exposition des URL dans votre environnement sans avoir à ajouter des filtres d’URL dans la vue Hameçonnage .

Interprétation des verdicts de clic

Les résultats de la propriété de verdict Click sont visibles aux emplacements suivants :

Les valeurs de verdict sont décrites dans la liste suivante :

  • Autorisé : l’utilisateur a été autorisé à ouvrir l’URL.
  • Bloc substitué : l’utilisateur n’a pas pu ouvrir directement l’URL, mais il a dépassé le bloc pour ouvrir l’URL.
  • Bloqué : l’utilisateur n’a pas pu ouvrir l’URL.
  • Erreur : la page d’erreur a été présentée à l’utilisateur, ou une erreur s’est produite lors de la capture du verdict.
  • Échec : une exception inconnue s’est produite lors de la capture du verdict. L’utilisateur a peut-être ouvert l’URL.
  • Aucun : impossible de capturer le verdict pour l’URL. L’utilisateur a peut-être ouvert l’URL.
  • Verdict en attente : la page en attente de détonation a été présentée à l’utilisateur.
  • Verdict en attente ignoré : la page de détonation a été présentée à l’utilisateur, mais il a dépassé le message pour ouvrir l’URL.

Démarrer l’investigation et la réponse automatisées dans Threat Explorer

L’investigation et la réponse automatisées (AIR) dans Defender for Office 365 Plan 2 peuvent gagner du temps et des efforts lorsque vous examinez et atténuez les cyberattaques. Vous pouvez configurer des alertes qui déclenchent un playbook de sécurité, et vous pouvez démarrer AIR dans Threat Explorer. Pour plus d’informations, consultez Exemple : Un administrateur de sécurité déclenche une investigation à partir de Explorer.

Examiner les e-mails avec la page d’entité Email