Insights sur les expéditeurs en bloc dans Exchange Online Protection
Remarque
Les fonctionnalités décrites dans cet article sont actuellement en préversion, ne sont pas disponibles dans toutes les organisations et sont susceptibles d’être modifiées.
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans des organisations Exchange Online ou autonomes Exchange Online Protection (EOP) sans boîtes aux lettres Exchange Online, l’insight des expéditeurs en bloc dans le Microsoft Defender le portail vous permet de voir la quantité d’e-mails identifiés comme étant en bloc au niveau de seuil de bloc actuel dans les stratégies anti-courrier indésirable, et de simuler les e-mails en bloc identifiés et autorisés en fonction des modifications apportées au seuil de l’expéditeur en bloc et de la qualité de l’expéditeur en bloc.
EOP affecte une valeur de niveau de plainte en bloc (BCL) aux messages entrants provenant d’expéditeurs en bloc. Une valeur BCL plus élevée indique qu’un message en bloc est plus susceptible d’être du courrier indésirable. Le seuil de courrier en bloc dans les stratégies anti-courrier indésirable utilise une valeur BCL spécifiée pour identifier les messages en bloc et prendre des mesures sur ceux-ci. Pour plus d’informations sur le BCL, consultez Niveau de plainte en bloc (BCL) dans EOP.
L’insight des expéditeurs en bloc offre les fonctionnalités suivantes :
- Affichez la quantité de courriers identifiés comme étant en bloc à chaque niveau BCL (1 à 9) au cours des 60 derniers jours.
- Simulez les modifications apportées au seuil de courrier en bloc et affichez les résultats sur le nombre de messages qui seraient remis ou identifiés comme étant en bloc par les stratégies anti-courrier indésirable ou anti-courrier indésirable personnalisées par défaut, où vous pouvez définir le seuil BCL. Vous ne pouvez pas définir le seuil BCL dans les stratégies de sécurité prédéfinies Standard ou Strict.
- Afficher des informations sur les expéditeurs de messages qui ont été affectés par le seuil de courrier en bloc, y compris le filtrage en fonction de la qualité de l’expéditeur.
Cet article explique comment utiliser l’insight des expéditeurs en bloc dans le portail Microsoft Defender.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Informations sur les expéditeurs en bloc , utilisez https://security.microsoft.com/senderinsights.
La simulation et la détection en bloc peuvent ne pas fonctionner correctement si l’enregistrement MX de votre domaine Microsoft 365 pointe vers un service ou un appareil tiers.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .
Exchange Online autorisations :
- Ajouter, modifier et supprimer des stratégies : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
- Accès en lecture seule aux stratégies : appartenance aux groupes de rôles Lecteur général, Lecteur de sécurité ou Gestion de l’organisation en affichage seul .
autorisations Microsoft Entra : l’appartenance aux rôles suivants donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :
- Ajouter, modifier et supprimer des stratégies : appartenance aux rôles Gestion de* l’organisation ou Administrateur de la sécurité .
- Accès en lecture seule aux stratégies : appartenance aux rôles Lecteur général ou Lecteur de sécurité .
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Si vous souhaitez connaître les paramètres recommandés pour l’utilisation des stratégies anti-courrier indésirable, veuillez consulter la section Paramètres de stratégie anti-courrier indésirable EOP.
Conseil
Les paramètres des stratégies anti-courrier indésirable par défaut ou personnalisées sont ignorés si un destinataire est également inclus dans les stratégies de sécurité prédéfinies Standard ou Strict. Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.
La valeur de seuil en bloc dans une stratégie anti-courrier indésirable détermine le seuil BCL utilisé pour identifier un message en tant que bloc. Par exemple, la valeur de seuil en bloc 7 signifie que les messages dont la valeur BCL est 7, 8 ou 9 sont identifiés comme étant en bloc. Ce qui arrive aux messages en bloc est déterminé par l’action de niveau conforme en bloc (BCL) atteinte ou dépassée dans la stratégie anti-courrier indésirable (par exemple, Déplacer le message vers le dossier Email indésirable, Quarantaine ou Supprimer le message). Par souci de simplicité, l’identification d’un message en bloc et la prise d’une action sur celui-ci est appelée bloqué dans l’insight des expéditeurs en bloc.
Ouvrez l’insight des expéditeurs en bloc dans le portail Microsoft Defender
L’insight des expéditeurs en bloc est disponible aux emplacements suivants :
Dans les propriétés de la stratégie anti-courrier indésirable par défaut ou des stratégies anti-courrier indésirable personnalisées :
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> de menaceAnti-courrier indésirable dans la section Stratégies. Ou, pour accéder directement à la page Stratégies anti-courrier indésirable , utilisez https://security.microsoft.com/antispam.
Dans la page Stratégies anti-courrier indésirable, sélectionnez une stratégie anti-courrier indésirable personnalisée (la valeur Type est Stratégie anti-courrier indésirable personnalisée) ou la stratégie anti-courrier indésirable par défaut nommée Stratégie de trafic entrant anti-courrier indésirable (par défaut) en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne.
Dans le menu volant de détails qui s’ouvre, sélectionnez Modifier le seuil de courrier indésirable et les propriétés en bas de la section Seuil de courrier électronique en bloc & propriétés du courrier indésirable .
Dans le menu volant Seuil de courrier indésirable et propriétés qui s’ouvre, l’insight des expéditeurs en bloc contient les informations suivantes sur tous les e-mails en bloc détectés par toutes les stratégies anti-courrier indésirable dans le organization au cours des 60 derniers jours :
Par défaut, l’insight affiche le nombre de messages en bloc bloqués et autorisés au seuil BCL actuel :
Si vous diminuez la valeur de seuil BCL pour bloquer davantage de courriers électroniques en bloc, l’insight indique le nombre de messages en bloc qui seraient bloqués et autorisés au nouveau seuil BCL :
Si vous augmentez la valeur de seuil BCL pour autoriser davantage d’e-mails en bloc, l’insight indique le nombre de messages en bloc qui seraient bloqués et autorisés au nouveau seuil BCL :
Dans la page rapports et insights de collaboration Email & :
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la section >Rapports>Email & collaborationEmail & rapports et insights de collaboration. Ou, pour accéder directement à la page Email & rapports et insights de collaboration, utilisez https://security.microsoft.com/emailandcollabreport.
Dans la page Email & rapports et insights de collaboration, accédez à la section Insights de collaboration Email & et recherchez l’insight Expéditeurs en bloc.
Pour afficher des informations détaillées sur les détections en bloc et les expéditeurs, sélectionnez Afficher les informations sur les expéditeurs en bloc ou Afficher les détails pour ouvrir la page Informations sur les expéditeurs en bloc.
Afficher la page d’insights sur les expéditeurs en bloc
La page Informations sur les expéditeurs en bloc est disponible à l’aide des méthodes suivantes :
- Directement à l’adresse https://security.microsoft.com/senderinsights.
- Lorsque vous sélectionnez Afficher les informations sur les expéditeurs en bloc dans le menu volant Seuil et propriétés de courrier indésirable dans les détails d’une stratégie anti-courrier indésirable personnalisée ou de la stratégie anti-courrier indésirable par défaut à partir de la page Stratégies anti-courrier indésirable à l’adresse https://security.microsoft.com/antispam.
- Lorsque vous sélectionnez Afficher les détails à partir de l’insight des expéditeurs en bloc carte sur la page rapports et insights de collaboration Email & à l’adresse https://security.microsoft.com/emailandcollabreport.
Avant d’exécuter une simulation, les valeurs de la table au milieu de la page indiquent les valeurs suivantes :
- Niveau de plainte en bloc (BCL) : plage de valeurs BCL possibles (1 à 9).
- Tous les e-mails : nombre total de messages identifiés à chaque valeur BCL (dont certains peuvent être 0).
-
Remise au seuil BCL actuel : nombre de messages remis (non identifiés en bloc) pour chaque valeur BCL :
- Si la valeur BCL est inférieure à la valeur du seuil de courrier en bloc actuel , le message a été remis (n’a pas été identifié comme étant en bloc) :
- Les valeurs Remise au seuil BCL actuel et Toutes les e-mails sont identiques.
- La valeur livré au seuil BCL actuel correspond à la Email remise à la valeur de configuration actuelle.
- Si la valeur BCL est supérieure ou égale à la valeur seuil de courrier en bloc actuelle , le message a été identifié comme étant en bloc et bloqué.
- La valeur de seuil Remise au niveau du BCL actuel pour la valeur BCL est 0.
- La valeur Tous les e-mails correspond à la Email identifiée à la valeur de seuil BCL actuelle.
- Si la valeur BCL est inférieure à la valeur du seuil de courrier en bloc actuel , le message a été remis (n’a pas été identifié comme étant en bloc) :
- Remise au nouveau seuil BCL : nombre de messages qui n’ont pas été identifiés comme courriers électroniques en bloc après avoir exécuté une simulation. Avant d’exécuter une simulation, la valeur est vide de sens.
Pour exécuter une simulation, utilisez les éléments suivants sur la page :
- Le curseur non modifiable Seuil de courrier en bloc actuel affiche la valeur de seuil BCL actuelle en fonction de la façon dont vous avez accès à la page d’insights des expéditeurs en bloc :
- Directement : la valeur de seuil BCL est 7.
- À partir des propriétés d’une stratégie anti-courrier indésirable : la valeur seuil BCL est la valeur actuelle dans la stratégie anti-courrier indésirable.
- Le curseur Nouveau seuil de courrier en bloc vous permet de simuler l’effet de l’augmentation et de la diminution du seuil BCL sur les messages remis ou bloqués.
- Le curseur Seuil de qualité de l’expéditeur de la simulation spécifie un seuil de fiabilité bon/mauvais expéditeur à utiliser dans la simulation de mise à jour BCL. Une valeur plus élevée indique des résultats de seuil BCL simulés basés sur des expéditeurs plus fiables. La valeur seuil de qualité de l’expéditeur de simulation pour les expéditeurs est basée sur les facteurs suivants :
- Interactions passées avec l’expéditeur.
- Fréquence des messages de l’expéditeur.
- Administration ou les commentaires de l’utilisateur sur les messages de l’expéditeur.
Après avoir sélectionné les valeurs Nouveau seuil de courrier en bloc et Seuil de qualité de l’expéditeur de simulation , sélectionnez Simuler :
- La page est mise à jour avec le nombre de messages bloqués et autorisés pour les niveaux de seuil BCL actuels et nouveaux simulés.
- Le bas de la page est mis à jour avec des informations sur les expéditeurs qui seraient identifiés comme étant en bloc.
Afficher des informations sur les expéditeurs en bloc sur la page Insights des expéditeurs en bloc
La table des détails de l’expéditeur en bloc en bas de la page contient des données sur les expéditeurs en bloc dont les messages ont été identifiés comme étant en bloc.
Le tableau peut contenir des données sur l’expéditeur lorsque vous ouvrez la page Insights des expéditeurs en bloc si les valeurs Seuil actuel du courrier en bloc et Seuil de qualité de l’expéditeur de simulation ont déjà entraîné l’identification des e-mails en bloc avant d’exécuter des simulations.
Sinon, les expéditeurs sont inclus dans la table des détails de l’expéditeur en fonction des valeurs Seuil de courrier en bloc actuel et Seuil de qualité de l’expéditeur de simulation après avoir exécuté une simulation.
Pour les entrées dans la table des détails de l’expéditeur, les colonnes suivantes sont toujours disponibles :
- Expéditeur : adresse e-mail de l’expéditeur.
- BCL
- Seuil de qualité de l’expéditeur de simulation
Les colonnes restantes de la table des détails de l’expéditeur dépendent de la relation entre le seuil de courrier en bloc actuel et les valeurs du nouveau seuil de courrier en bloc après avoir exécuté une simulation :
Le nouveau seuil de courrier en bloc est égal au seuil actuel du courrier en bloc :
- Faux positif potentiel
- Faux négatif potentiel
Pour filtrer les résultats, sélectionnez Tous les expéditeurs , puis sélectionnez l’une des valeurs suivantes :
- Faux positif potentiel : seuls les expéditeurs dont le faux positif potentiel a la valeur True sont affichés.
- Faux négatif potentiel : seuls les expéditeurs dont le faux négatif potentiel a la valeur True sont affichés.
Le nouveau seuil de courrier en bloc est inférieur au seuil actuel du courrier en bloc :
- Nouvel expéditeur bloqué
- Faux positif potentiel
Pour filtrer les résultats, sélectionnez Tous les expéditeurs , puis sélectionnez l’une des valeurs suivantes :
- Nouvel expéditeur bloqué : seuls les expéditeurs pour lesquels Le nouvel expéditeur a été bloqué a lavaleur True sont affichés.
- Faux positif potentiel : seuls les expéditeurs dont le faux positif potentiel a la valeur True sont affichés.
Le nouveau seuil de courrier en bloc est supérieur au seuil actuel du courrier en bloc :
- Nouvel expéditeur autorisé
- Faux négatif potentiel
Pour filtrer les résultats, sélectionnez Tous les expéditeurs , puis sélectionnez l’une des valeurs suivantes :
- Nouvel expéditeur autorisé : seuls les expéditeurs pour lesquels Nouvel expéditeur autorisé a la valeur True sont affichés.
- Faux négatif potentiel : seuls les expéditeurs dont le faux négatif potentiel a la valeur True sont affichés.
Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.
Utilisez la zone De recherche et une valeur correspondante pour rechercher des expéditeurs spécifiques dans la table.
Utilisez Exporter pour enregistrer la liste d’expéditeurs actuellement affichée dans un fichier CSV. Le nom de fichier par défaut est Insights de l’expéditeur en bloc - Microsoft Defender.csv, et l’emplacement par défaut est le dossier Téléchargements local. Si un fichier exporté existe déjà à cet emplacement, le nom de fichier est incrémenté (par exemple, Informations sur l’expéditeur en bloc - Microsoft Defender(1).csv).
Afficher des informations détaillées sur un expéditeur en bloc sur la page Insights des expéditeurs en bloc
Pour afficher les détails d’un expéditeur spécifique à partir de la table des détails de l’expéditeur en bas de la page Insights des expéditeurs en bloc, cliquez n’importe où dans la ligne autre que la zone case activée en regard de la première colonne. Le menu volant Détails de l’expéditeur qui s’ouvre contient les informations suivantes sur l’expéditeur :
- Expéditeur : adresse e-mail de l’expéditeur.
- Messages : nombre de messages de l’expéditeur.
- Messages dans la boîte de réception : nombre de messages de l’expéditeur qui ont été remis aux boîtes de réception des utilisateurs.
- Messages en quarantaine ou en Email de courrier indésirable : nombre de messages de l’expéditeur qui ont été remis à l’utilisateur Email dossiers ou mis en quarantaine.
-
Administration paramètre : Indique si l’expéditeur est autorisé ou bloqué par les valeurs Gérer autorise et bloque dans les valeurs Tenant Allow/Block ListValid sont les suivantes :
- Autoriser : une entrée d’autorisation existe pour l’expéditeur du message.
- Bloquer : une entrée de bloc existe pour l’expéditeur du message.
- Messages autorisés par l’utilisateur : nombre de messages de l’expéditeur qui ont été ajoutés à la liste des expéditeurs approuvés dans les boîtes aux lettres utilisateur.
- Messages bloqués par l’utilisateur : nombre de messages de l’expéditeur qui ont été ajoutés à la liste Expéditeurs bloqués dans les boîtes aux lettres utilisateur.
- Envois de faux positifs : nombre de messages de l’expéditeur qui ont été envoyés en tant que messages de qualité bloqués accidentellement.
- Envois faux négatifs : nombre de messages de l’expéditeur qui ont été envoyés en tant que courrier incorrect remis accidentellement.
- L’utilisateur est passé d’un Email indésirable à une boîte de réception
- L’utilisateur est passé de la boîte de réception à l’Email indésirable
- Messages supprimés par l’utilisateur
- Administration messages mis en quarantaine
- Administration des e-mails déplacés de la boîte de réception vers la Email indésirable
- Administration messages supprimés