Insight d’emprunt d’identité dans Defender for Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
L’emprunt d’identité est lorsque l’expéditeur d’un e-mail ressemble à l’adresse e-mail d’un expéditeur réel ou attendu. Les attaquants utilisent souvent des adresses e-mail d’expéditeur usurpées d’identité dans le hameçonnage ou d’autres types d’attaques pour gagner la confiance du destinataire. Il existe deux types de base d’emprunt d’identité :
- Emprunt d’identité de domaine : contient des différences subtiles dans le domaine. Par exemple, lila@ćóntoso.com emprunte l’identité lila@contoso.com.
- Emprunt d’identité de l’utilisateur : contient des différences subtiles dans l’alias de messagerie. Par exemple, rnichell@contoso.com emprunte l’identité michelle@contoso.com.
L’emprunt d’identité de domaine est différent de l’usurpation d’identité de domaine, car le domaine emprunté est souvent un domaine enregistré réel, mais avec l’intention de tromper. Les messages des expéditeurs dans le domaine emprunté peuvent passer des vérifications d’authentification régulières par e-mail qui identifieraient les messages comme des tentatives d’usurpation (SPF, DKIM et DMARC).
La protection contre l’emprunt d’identité fait partie des paramètres de stratégie anti-hameçonnage qui sont exclusifs à Microsoft Defender pour Office 365. Pour plus d’informations sur ces paramètres, consultez Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.
Les administrateurs peuvent utiliser l’insight d’emprunt d’identité dans le portail Microsoft Defender pour identifier rapidement les messages des expéditeurs ou des domaines d’expéditeurs qui sont spécifiés dans la protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Anti-hameçonnage , utilisez https://security.microsoft.com/antiphishing. Pour accéder directement à la page Informations d’emprunt d’identité , utilisez https://security.microsoft.com/impersonationinsight.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .
Email & des autorisations de collaboration dans le portail Microsoft Defender : Appartenance à l’un des groupes de rôles suivants :
- Gestion de l'organisation
- Administrateur de la sécurité
- Lecteur de sécurité
- Lecteur global
Microsoft Entra autorisations : l’appartenance aux rôles Administrateur* général, Administrateur de sécurité, Lecteur de sécurité ou Lecteur général donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Vous activez et configurez la protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365. La protection contre l’emprunt d’identité n’est pas activée par défaut. Pour plus d’informations, consultez Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365 et Utiliser le portail Microsoft Defender pour attribuer des stratégies de sécurité prédéfinies Standard et Strict aux utilisateurs.
Pour plus d’informations sur les conditions de licence, consultez Termes du contrat de licence.
Ouvrez l’insight d’emprunt d’identité dans le portail Microsoft Defender
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> de menaceAnti-hameçonnage dans la section Stratégies. Ou, pour accéder directement à la page Anti-hameçonnage , utilisez https://security.microsoft.com/antiphishing.
Dans la page Anti-hameçonnage , l’insight d’emprunt d’identité ressemble à ceci :
L’insight a deux modes :
- Mode Insight : si la protection contre l’emprunt d’identité est activée et configurée dans des stratégies anti-hameçonnage, l’insight indique le nombre de messages détectés provenant de domaines d’emprunt d’identité et d’utilisateurs (expéditeurs) au cours des sept derniers jours. Le nombre indiqué correspond au total de toutes les tentatives d’emprunt d’identité détectées à partir de toutes les stratégies anti-hameçonnage.
- Mode What if : si la protection contre l’emprunt d’identité n’est pas activée et configurée dans les stratégies anti-hameçonnage actives, l’insight indique le nombre de messages qui auraient été détectés par la protection contre l’emprunt d’identité au cours des sept derniers jours.
Pour afficher des informations sur les détections d’emprunt d’identité, sélectionnez Afficher les emprunts d’identité dans l’insight d’emprunt d’identité pour accéder à la page Informations d’emprunt d’identité .
Afficher des informations sur les détections d’emprunt d’identité de domaine
La page https://security.microsoft.com/impersonationinsightInformations d’emprunt d’identité sur est disponible lorsque vous sélectionnez Afficher les emprunts d’identité dans l’insight d’emprunt d’identité sur la page Anti-hameçonnage.
Dans la page Informations d’emprunt d’identité , vérifiez que l’onglet Domaines est sélectionné.
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :*
- Domaine de l’expéditeur : domaine d’emprunt d’identité, qui est le domaine utilisé pour envoyer le message électronique.
- Nombre de messages : nombre de messages provenant de l’emprunt d’identité du domaine de l’expéditeur au cours des sept derniers jours.
- Type d’emprunt d’identité : cette valeur indique l’emplacement détecté de l’emprunt d’identité (par exemple, Domaine dans l’adresse).
- Domaine(s) emprunté(s) : domaine protégé par la protection contre l’emprunt d’identité de domaine, qui doit ressembler au domaine de l’expéditeur.
- Type de domaine : cette valeur est Domaine d’entreprise pour les domaines acceptés ou Domaine personnalisé pour les domaines personnalisés.
- Stratégie : stratégie anti-hameçonnage qui a détecté le domaine emprunté.
-
Autorisation d’emprunter l’identité : une des valeurs suivantes :
- Oui : le domaine a été configuré en tant que domaine approuvé (une exception pour la protection contre l’emprunt d’identité) dans la stratégie anti-hameçonnage qui a détecté le message. Les messages provenant du domaine emprunté ont été détectés, mais autorisés.
- Non : le domaine a été configuré pour la protection contre l’emprunt d’identité dans la stratégie anti-hameçonnage qui a détecté le message. L’action pour les détections d’emprunt d’identité de domaine dans la stratégie anti-hameçonnage est effectuée sur le message.
* Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Pour modifier la liste des détections d’emprunt d’identité de domaine de normal à espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.
Utilisez la zone De recherche et une liste de valeurs séparées par des virgules pour rechercher des détections d’emprunt d’identité de domaine spécifiques.
Utilisez Exporter pour exporter la liste des détections d’emprunt d’identité de domaine vers un fichier CSV.
Afficher les détails d’une détection d’emprunt d’identité de domaine
Sous l’onglet Domaines de la page Informations d’emprunt d’identité à l’emplacement https://security.microsoft.com/impersonationinsight?type=Domain, sélectionnez l’une des détections d’emprunt d’identité en cliquant n’importe où dans la ligne autre que la zone case activée.
Les informations suivantes sont disponibles dans le menu volant détails :
Pourquoi avons-nous attrapé ça ?
Que devez-vous faire ?
Résumé du domaine : domaine détecté comme emprunt d’identité.
Données Whois : contient des informations sur le domaine :
- Emplacement de l’expéditeur
- Date de création du domaine
- Date d’expiration du domaine
- Déclarant
Explorer investigation : sélectionnez le lien permettant d’ouvrir le Explorer des menaces ou détections en temps réel pour plus de détails sur l’expéditeur.
Email de l’expéditeur : cette section présente les informations suivantes sur les messages similaires provenant d’expéditeurs dans le domaine :
- Date
- Destinataire
- Subject
- Sender
- IP de l’expéditeur
- Action de remise
Conseil
Pour afficher des détails sur les autres entrées d’emprunt d’identité de domaine sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Pour empêcher les expéditeurs d’un domaine détecté d’être identifiés en tant qu’emprunt d’identité de domaine, consultez la sous-section suivante.
Exempter les expéditeurs d’un domaine détecté des futures vérifications d’emprunt d’identité de domaine
Sous l’onglet Domaines de la page Informations d’emprunt d’identité à l’adresse https://security.microsoft.com/impersonationinsight?type=Domain, procédez comme suit pour exempter les expéditeurs d’un domaine détecté d’être identifiés comme emprunt d’identité de domaine :
Sélectionnez l’entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée.
Dans le menu volant de détails qui s’ouvre, utilisez les paramètres Sélectionner la stratégie d’emprunt d’identité pour modifier et Ajouter aux paramètres de liste d’emprunt d’identité autorisés en haut du menu volant. Ces paramètres fonctionnent ensemble pour ajouter le domaine à la liste Expéditeurs et domaines approuvés dans la stratégie qui a identifié de manière incorrecte le message en tant qu’emprunt d’identité de domaine :
Sélectionnez la stratégie anti-hameçonnage dans la liste déroulante. La stratégie anti-hameçonnage chargée de détecter le message s’affiche dans la valeur Stratégie sous l’onglet Domaine .
Faites glisser le bouton bascule sur activé : pour ajouter le domaine à la liste Expéditeurs et domaines approuvés dans la stratégie sélectionnée.
Pour supprimer le domaine de la liste Expéditeurs et domaines approuvés , faites glisser le bouton bascule vers
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Afficher des informations sur les détections d’emprunt d’identité d’utilisateur
La page https://security.microsoft.com/impersonationinsightInformations d’emprunt d’identité sur est disponible lorsque vous sélectionnez Afficher les emprunts d’identité dans l’insight d’emprunt d’identité sur la page Anti-hameçonnage.
Dans la page Informations d’emprunt d’identité , sélectionnez l’onglet Utilisateurs .
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :*
- Expéditeur : adresse e-mail de l’expéditeur qui emprunte l’identité qui a envoyé le message électronique.
- Nombre de messages : nombre de messages de l’expéditeur qui emprunte l’identité au cours des sept derniers jours.
- Type d’emprunt d’identité : par exemple, Utilisateur dans le nom d’affichage.
- Utilisateur(s) emprunt(s) d’identité : nom d’affichage et adresse e-mail de l’expéditeur protégés par la protection contre l’emprunt d’identité, qui ressemble à l’adresse e-mail de l’expéditeur.
- Type d’utilisateur : type de protection appliqué (par exemple, Utilisateur protégé ou Intelligence de boîte aux lettres).
- Stratégie : stratégie anti-hameçonnage qui a détecté l’expéditeur usurpé l’identité.
-
Autorisation d’emprunter l’identité : une des valeurs suivantes :
- Oui : L’expéditeur a été configuré en tant qu’utilisateur approuvé (une exception pour la protection contre l’emprunt d’identité) dans la stratégie anti-hameçonnage qui a détecté le message. Les messages de l’expéditeur emprunté ont été détectés, mais autorisés.
- Non : l’expéditeur a été configuré pour la protection contre l’emprunt d’identité dans la stratégie anti-hameçonnage qui a détecté le message. L’action pour les détections d’emprunt d’identité d’utilisateur dans la stratégie anti-hameçonnage est effectuée sur le message.
* Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Pour modifier la liste des détections d’emprunt d’identité d’utilisateur de normal à l’espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.
Utilisez la zone De recherche et une liste de valeurs séparées par des virgules pour rechercher des détections d’emprunt d’identité utilisateur spécifiques.
Utilisez Exporter pour exporter la liste des détections d’emprunt d’identité d’utilisateur dans un fichier CSV.
Afficher les détails d’une détection d’emprunt d’identité d’utilisateur
Sous l’onglet Utilisateurs de la page Informations d’emprunt d’identité à l’emplacement https://security.microsoft.com/impersonationinsight?type=User, sélectionnez l’une des détections d’emprunt d’identité en cliquant n’importe où dans la ligne autre que la zone case activée.
Les informations suivantes sont disponibles dans le menu volant détails :
Pourquoi avons-nous attrapé ça ?
Que devez-vous faire ?
Résumé de l’expéditeur : expéditeur détecté comme emprunt d’identité.
Explorer investigation : sélectionnez le lien permettant d’ouvrir le Explorer des menaces ou détections en temps réel pour plus de détails sur l’expéditeur.
Email de l’expéditeur : cette section présente les informations suivantes sur les messages similaires de l’expéditeur :
- Date
- Destinataire
- Subject
- Sender
- IP de l’expéditeur
- Action de remise
Conseil
Pour afficher des détails sur les autres entrées d’emprunt d’identité utilisateur sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Pour empêcher l’identification d’un expéditeur détecté en tant qu’emprunt d’identité d’utilisateur, consultez la sous-section suivante.
Exempter un expéditeur détecté des futures vérifications d’emprunt d’identité d’utilisateur
Sous l’onglet Utilisateurs de la page Informations d’emprunt d’identité à l’adresse https://security.microsoft.com/impersonationinsight?type=User, procédez comme suit pour exempter les expéditeurs détectés d’être identifiés en tant qu’emprunt d’identité d’utilisateur :
Sélectionnez l’entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée.
Dans le menu volant de détails qui s’ouvre, utilisez les paramètres Sélectionner la stratégie d’emprunt d’identité pour modifier et Ajouter aux paramètres de liste d’emprunt d’identité autorisés en haut du menu volant. Ces paramètres fonctionnent ensemble pour ajouter l’expéditeur à la liste Des expéditeurs et domaines approuvés dans la stratégie qui a identifié incorrectement le message en tant qu’emprunt d’identité utilisateur :
Sélectionnez la stratégie anti-hameçonnage dans la liste déroulante. La stratégie anti-hameçonnage chargée de détecter le message s’affiche dans la valeur Stratégie sous l’onglet Domaine .
Faites glisser le bouton bascule sur : pour ajouter l’expéditeur à la liste Expéditeurs et domaines approuvés dans la stratégie sélectionnée.
Pour supprimer l’expéditeur de la liste Expéditeurs et domaines approuvés , faites glisser le bouton bascule vers
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.