Protection contre les programmes malveillants dans EOP
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations Microsoft 365 ayant des boîtes aux lettres dans Exchange Online ou les organisations autonomes Exchange Online Protection (EOP) sans boîtes aux lettres Exchange Online, les e-mails sont automatiquement protégés contre les programme malveillant par EOP. Voici quelques-unes des principales catégories de programmes malveillants :
- Virus qui infectent d’autres programmes et données, et se propagent via votre ordinateur ou réseau à la recherche de programmes à infecter.
- Les logiciels espions qui collectent vos informations personnelles, telles que les informations de connexion et les données personnelles, et les renvoient à leur auteur.
- Rançongiciel qui chiffre vos données et demande un paiement pour les déchiffrer. Les logiciels anti-programmes malveillants ne vous aident pas à déchiffrer les fichiers chiffrés, mais ils peuvent détecter la charge utile des programmes malveillants qui est associée au ransomware.
EOP offre une protection multicouche contre les programmes malveillants conçue pour intercepter tous les programmes malveillants connus dans Windows, Linux et Mac qui entrent ou sortent de votre organization. Les options suivantes permettent de fournir une protection anti-programme malveillant :
- Défenses en couches contre les programmes malveillants : les analyses anti-programme malveillant permettent de se protéger contre les menaces connues et inconnues. L’anti-programme malveillant de Microsoft inclut une détection heuristique puissante qui fournit une protection même pendant les premières étapes d’une épidémie de programmes malveillants.
- Réponse aux menaces en temps réel : pendant certaines épidémies, l’équipe anti-programme malveillant peut avoir suffisamment d’informations sur un virus ou une autre forme de programme malveillant pour écrire des règles de stratégie sophistiquées qui détectent la menace, avant même qu’une définition ne soit disponible. Ces règles sont publiées sur le réseau global toutes les 2 heures afin d'offrir à votre organisation un niveau de protection supplémentaire contre les attaques.
- Déploiement rapide de définitions anti-programme malveillant : l’équipe anti-programme malveillant peut recevoir et intégrer des définitions et des correctifs de logiciels malveillants avant qu’ils ne soient publiés.
Dans EOP, les messages qui contiennent des programmes malveillants dans des pièces jointes sont mis* en quarantaine. La possibilité pour les destinataires d’afficher ou d’interagir avec les messages mis en quarantaine est contrôlée par les stratégies de mise en quarantaine. Par défaut, les messages qui ont été mis en quarantaine en raison de programmes malveillants peuvent uniquement être affichés et publiés par les administrateurs. Les utilisateurs ne peuvent pas publier leurs propres messages de programmes malveillants mis en quarantaine, quels que soient les paramètres disponibles configurés par les administrateurs. Si vous souhaitez en savoir plus, consultez les articles suivants :
* Le filtrage des programmes malveillants est ignoré sur les boîtes aux lettres SecOps identifiées dans la stratégie de remise avancée. Pour plus d’informations, consultez Configurer la stratégie de remise avancée pour les simulations d’hameçonnage tierces et la remise d’e-mails aux boîtes aux lettres SecOps.
- Anatomie d’une stratégie de mise en quarantaine
- Gérer les messages et les fichiers mis en quarantaine en tant qu’administrateur dans EOP.
Les stratégies anti-programme malveillant contiennent également un filtre de pièces jointes courant. Les messages qui contiennent les types de fichiers spécifiés sont automatiquement identifiés comme des programmes malveillants. Pour plus d’informations, consultez la section Filtre de pièces jointes courantes dans les stratégies anti-programme malveillant plus loin dans cet article.
Pour plus d’informations sur la protection contre les programmes malveillants, consultez le FAQ sur la protection contre les programmes malveillants.
Pour configurer la stratégie anti-programme malveillant par défaut et pour créer, modifier et supprimer des stratégies anti-programme malveillant personnalisées, consultez Configurer des stratégies anti-programme malveillant. Dans les stratégies de sécurité prédéfinies Standard et Strict, les paramètres de stratégie anti-programme malveillant sont déjà configurés et non modifiables, comme décrit dans Paramètres de stratégie anti-programme malveillant EOP.
Conseil
Si vous n’êtes pas d’accord avec le verdict du programme malveillant, vous pouvez signaler la pièce jointe du message à Microsoft en tant que faux positif (bonne pièce jointe marquée comme incorrecte) ou faux négatif (pièce jointe incorrecte autorisée). Pour plus d’informations, consultez Comment faire signaler un e-mail ou un fichier suspect à Microsoft ?.
Stratégies anti-programme malveillant
Les stratégies anti-programme malveillant contrôlent les paramètres configurables et les options de notification pour les détections de programmes malveillants. Les paramètres importants des stratégies anti-programme malveillant sont décrits dans les sous-sections suivantes.
Filtres de destinataires dans les stratégies anti-programme malveillant
Les filtres de destinataires utilisent des conditions et des exceptions pour identifier les destinataires internes auxquels la stratégie s’applique. Au moins une condition est requise dans les stratégies personnalisées. Les conditions et exceptions ne sont pas disponibles dans la stratégie par défaut (la stratégie par défaut s’applique à tous les destinataires). Vous pouvez utiliser les filtres de destinataires suivants pour les conditions et les exceptions :
- Utilisateurs : une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans le organization.
-
Groupes :
- Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
- Groupes Microsoft 365 spécifiée
- Domaines : un ou plusieurs des domaines acceptés configurés dans Microsoft 365. Le adresse e-mail principale du destinataire se trouve dans le domaine spécifié.
Vous ne pouvez utiliser une condition ou une exception qu’une seule fois, mais la condition ou l’exception peut contenir plusieurs valeurs :
Plusieurs valeurs de la même condition ou exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>) :
- Conditions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.
- Exceptions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.
Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.
Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :
- Utilisateurs:
romain@contoso.com
- Groupes : Cadres supérieurs
La stratégie s’applique uniquement s’il
romain@contoso.com
est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.- Utilisateurs:
Filtre des pièces jointes courantes dans les stratégies anti-programme malveillant
Il existe certains types de fichiers que vous ne devez pas envoyer par e-mail (par exemple, les fichiers exécutables). Pourquoi s’embêter à analyser ces types de fichiers à la recherche de logiciels malveillants alors que vous devriez les bloquer tous, de toute façon ? C’est là qu’intervient le filtre des pièces jointes courantes. Les types de fichiers que vous spécifiez sont automatiquement identifiés comme des programmes malveillants.
Une liste de types de fichiers par défaut est utilisée dans la stratégie anti-programme malveillant par défaut, dans les stratégies anti-programme malveillant personnalisées que vous créez et dans les stratégies anti-programme malveillant dans les stratégies de sécurité prédéfinies Standard et Strict.
Dans le portail Microsoft Defender, vous pouvez sélectionner parmi une liste de types de fichiers supplémentaires ou ajouter vos propres valeurs lorsque vous créez ou modifiez des stratégies anti-programme malveillant dans le portail Microsoft Defender.
Types de fichiers par défaut :
ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z
.Types de fichiers supplémentaires à sélectionner dans le portail Defender :
7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx
.
Lorsque des fichiers sont détectés par le filtre de pièces jointes courantes, vous pouvez choisir de rejeter le message avec un rapport de non-remise (NDR) ou de mettre en quarantaine le message.
Correspondance de type true dans le filtre pièces jointes courantes
Le filtre de pièces jointes courantes utilise la correspondance de type vrai de la meilleure façon pour détecter le type de fichier, quelle que soit l’extension de nom de fichier. La correspondance de type vrai utilise les caractéristiques du fichier pour déterminer le type de fichier réel (par exemple, les octets de début et de fin dans le fichier). Par exemple, si un exe
fichier est renommé avec une txt
extension de nom de fichier, le filtre pièces jointes communes détecte le fichier en tant que exe
fichier.
La correspondance de type true dans le filtre de pièces jointes communes prend en charge les types de fichiers suivants :
7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo
Si la correspondance de type true échoue ou n’est pas prise en charge pour le type de fichier, la correspondance d’extension simple est utilisée.
Purge automatique de zéro heure (ZAP) dans les stratégies anti-programme malveillant
ZAP pour les programmes malveillants met en quarantaine les messages qui contiennent des programmes malveillants une fois qu’ils ont été remis aux boîtes aux lettres Exchange Online. Par défaut, zap pour les logiciels malveillants est activé et nous vous recommandons de le laisser activé. Pour plus d’informations, consultez Vidage automatique zero-hour (ZAP) pour les programmes malveillants.
Stratégies de mise en quarantaine dans les stratégies anti-programme malveillant
Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Par défaut, les destinataires ne reçoivent pas de notifications pour les messages mis en quarantaine en tant que programmes malveillants, et les utilisateurs ne peuvent pas publier leurs propres messages de programmes malveillants mis en quarantaine, quels que soient les paramètres disponibles configurés par les administrateurs. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
notifications Administration dans les stratégies anti-programme malveillant
Vous pouvez spécifier un destinataire supplémentaire (un administrateur) pour recevoir des notifications pour les programmes malveillants détectés dans les messages d’expéditeurs internes ou externes. Vous pouvez personnaliser l’adresse de départ, l’objet et le texte du message pour les notifications internes et externes.
Ces paramètres ne sont pas configurés par défaut dans la stratégie anti-programme malveillant par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.
Conseil
Les notifications de l’administration sont envoyées uniquement pour les pièces jointes classées comme programmes malveillants.
La stratégie de mise en quarantaine affectée à la stratégie anti-programme malveillant détermine si les destinataires reçoivent Notifications par e-mail pour les messages mis en quarantaine en tant que programmes malveillants.
Priorité des stratégies anti-programme malveillant
Si elles sont activées, les stratégies de sécurité prédéfinies Standard et Strict sont appliquées avant toute stratégie anti-programme malveillant personnalisée ou la stratégie par défaut (Strict est toujours en premier). Si vous créez plusieurs stratégies anti-programme malveillant personnalisées, vous pouvez spécifier l’ordre dans lequel elles sont appliquées. Le traitement de la stratégie s’arrête après l’application de la première stratégie (stratégie de priorité la plus élevée pour ce destinataire).
Pour plus d’informations sur l’ordre de précédence et la façon dont plusieurs stratégies sont évaluées, consultez Ordre et priorité de la protection des e-mails et Ordre de priorité pour les stratégies de sécurité prédéfinies et d’autres stratégies.
Stratégie anti-programme malveillant par défaut
Chaque organization a une stratégie anti-programme malveillant intégrée nommée Default qui a les propriétés suivantes :
- La stratégie est la stratégie par défaut (la propriété IsDefault possède la valeur
True
) et vous ne pouvez pas supprimer la stratégie par défaut. - La stratégie est automatiquement appliquée à tous les destinataires du organization, et vous ne pouvez pas la désactiver.
- La stratégie est toujours appliquée en dernier (la valeur Priorité est La plus basse et vous ne pouvez pas la modifier).