Afficher les rapports de sécurité des e-mails dans le portail Microsoft Defender
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans toutes les organisations Microsoft 365, divers rapports sont disponibles pour vous aider à voir comment les fonctionnalités de sécurité de messagerie protègent vos organization. Si vous disposez des autorisations nécessaires, vous pouvez afficher et télécharger ces rapports comme décrit dans cet article.
Les rapports sont disponibles dans le portail Microsoft Defender sur https://security.microsoft.com la page rapports de collaboration Email & à l’adresse Rapports>Email & collaboration>Email & collaboration. Ou, pour accéder directement à la page Email & rapports de collaboration, utilisez https://security.microsoft.com/emailandcollabreport.
Les informations récapitulatives pour chaque rapport sont disponibles sur la page. Identifiez le rapport que vous souhaitez afficher, puis sélectionnez Afficher les détails de ce rapport.
Le reste de cet article décrit les rapports exclusifs à Defender for Office 365.
Remarque
Certains des rapports de la page Email & rapports de collaboration sont exclusifs à Microsoft Defender pour Office 365. Pour plus d’informations sur ces rapports, consultez Afficher les rapports Defender for Office 365 dans le portail Microsoft Defender.
Les rapports liés au flux de messagerie sont désormais dans le Centre d’administration Exchange. Pour plus d’informations sur ces rapports, consultez Rapports de flux de messagerie dans le nouveau centre d’administration Exchange.
Un lien vers ces rapports est disponible dans le portail Defender à l’adresse Rapports>Email & collaboration>Email & rapports> de collaborationRapports de flux de messagerie Exchange, qui vous permet d’accéder à https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain.
Email les modifications apportées au rapport de sécurité dans le portail Microsoft Defender
Les rapports Exchange Online Protection (EOP) et Microsoft Defender pour Office 365 dans le portail Microsoft Defender qui ont été remplacés, déplacés ou dépréciés sont décrits dans le tableau suivant.
Rapport des utilisateurs compromis
Le rapport Utilisateurs compromis indique le nombre de comptes d’utilisateur marqués comme suspects ou restreints au cours des 7 derniers jours. Les comptes dans l’un de ces états sont problématiques ou même compromis. Avec une utilisation fréquente, vous pouvez utiliser le rapport pour repérer les pics, voire les tendances, dans les comptes suspects ou restreints. Pour plus d’informations sur les utilisateurs compromis, consultez Réponse à un compte de messagerie compromis.
La vue d’agrégation affiche les données des 90 derniers jours et la vue détaillée affiche les données des 30 derniers jours.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Utilisateurs compromis, puis sélectionnez Afficher les détails. Ou, pour accéder directement au rapport, utilisez https://security.microsoft.com/reports/CompromisedUsers.
Dans la page Utilisateurs compromis , le graphique affiche les informations suivantes pour la plage de dates spécifiée :
- Restreint : le compte d’utilisateur n’a pas été autorisé à envoyer des e-mails en raison de modèles hautement suspects.
- Suspect : le compte d’utilisateur a envoyé des e-mails suspects et risque d’être limité à l’envoi d’e-mails.
Le tableau détaillé sous le graphique présente les informations suivantes :
- Heure de création
- ID d'utilisateur
- Action
- Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Sélectionnez Filtrer pour modifier le rapport et la table de détails en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC) : date de début et date de fin.
- Activité : restreinte ou suspecte
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Utilisateurs compromis , les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Rapport de règle de transport Exchange
Remarque
Le rapport de règle de transport Exchange est désormais disponible dans le CENTRE d’administration Exchange. Pour plus d’informations, consultez Rapport sur les règles de transport Exchange dans le nouveau CAE.
Rapport de transfert
Remarque
Ce rapport est désormais disponible dans le CAE. Pour plus d’informations, consultez Rapport sur les messages transférés automatiquement dans le nouveau CAE.
Rapport de status de flux de courrier
Le rapport de status De flux de courrier est un rapport intelligent qui affiche des informations sur les e-mails entrants et sortants, les détections de courrier indésirable, les programmes malveillants, les e-mails identifiés comme « bons » et les informations sur les e-mails autorisés ou bloqués à la périphérie. Il s’agit du seul rapport qui contient des informations de protection de périphérie. Le rapport indique la quantité d’e-mails bloqués avant d’entrer dans le service pour examen par Exchange Online Protection (EOP) ou Defender pour Microsoft 365.
Conseil
Si un message est envoyé à cinq destinataires, nous le comptabilisons comme cinq messages différents, et non comme un seul.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Mailflow status résumé, puis sélectionnez Afficher les détails. Ou, pour accéder directement au rapport, utilisez https://security.microsoft.com/reports/mailflowStatusReport.
Les vues disponibles dans le rapport de status de flux de courrier sont décrites dans les sous-sections suivantes.
Affichage type pour le rapport d’status De flux de courrier
Dans la page de rapport status de flux de courrier, l’onglet Type est sélectionné par défaut. Le graphique affiche les informations suivantes pour la plage de dates spécifiée :
- Programme malveillant : Email bloqués en tant que programmes malveillants par différents filtres.
- Total
- Bonne messagerie : Email qui n’est pas considérée comme du courrier indésirable ou qui est autorisée par les stratégies de l’utilisateur ou de l’organisation.
- E-mail d’hameçonnage : Email bloqués en tant que hameçonnage par différents filtres.
- Courrier indésirable : Email bloqués en tant que courrier indésirable par différents filtres.
- Protection des bords : Email rejetées au bord/périmètre avant examen par EOP ou Defender for Office 365.
- Messages de règle : Email messages mis en quarantaine par des règles de flux de courrier (également appelées règles de transport).
- Protection contre la perte de données : Email messages mis en quarantaine par des stratégies de protection contre la perte de données (DLP).
Le tableau détaillé sous le graphique présente les informations suivantes :
- Direction
- Type
- 24 heures
- 3 jours
- 7 jours
- 15 jours
- 30 jours
Sélectionnez Filtrer pour modifier le rapport et la table de détails en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC) : date de début et date de fin.
- Direction du courrier : sélectionnez Entrant, Sortant et Intra-org.
-
Type : sélectionnez une ou plusieurs des valeurs suivantes :
- Bon courrier
- Programme malveillant
- Courrier indésirable
- Protection Microsoft Edge
- Messages de règle
- Courriers hameçons
- Protection contre la perte de données
- Domaine : sélectionnez Tout ou un domaine accepté.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Sous l’onglet Type , sélectionnez Choisir une catégorie pour plus d’informations :
- Courrier électronique d’hameçonnage : cette sélection vous permet d’afficher les données par Email > répartition des hameçonnages et des graphiques par technologie de détection dans le rapport de status protection contre les menaces.
- Programmes malveillants dans les e-mails : cette sélection vous permet d’afficher les données par Email > Répartition des programmes malveillants et des graphiques par technologie de détection dans le rapport de status protection contre les menaces.
- Détections de courrier indésirable : cette sélection vous permet d’afficher les données par Email > répartition du courrier indésirable et du graphique par technologie de détection dans le rapport de status protection contre les menaces.
Sous l’onglet Type, les actions Créer une planification et Exporter sont disponibles.
Mode Direction pour le rapport de status de flux de courrier
Sous l’onglet Direction , le graphique affiche les informations suivantes pour la plage de dates spécifiée :
- Entrants
- Intra-organisation
- Sortant
Sélectionnez Filtrer pour modifier le rapport et la table de détails en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
Date (UTC) : date de début et date de fin.
Remarque
Pour afficher les données d’une date spécifique, utilisez le jour suivant. Par exemple, pour afficher les données du 10 janvier, utilisez le 11 janvier dans le filtre. Les données d’aujourd’hui sont disponibles pour le filtrage demain.
Direction du courrier : sélectionnez Entrant, Sortant et Intra-org.
Type : sélectionnez une ou plusieurs des valeurs suivantes :
- Bon courrier
- Programme malveillant
- Courrier indésirable
- Protection Microsoft Edge
- Messages de règle
- Courriers hameçons
- Protection contre la perte de données : Email messages mis en quarantaine par des stratégies de protection contre la perte de données (DLP).
Domaine : sélectionnez Tout ou un domaine accepté.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Sous l’onglet Direction , sélectionnez Choisir une catégorie pour plus d’informations :
- Courrier électronique d’hameçonnage : cette sélection vous permet d’afficher les données par Email > répartition des hameçonnages et des graphiques par technologie de détection dans le rapport de status protection contre les menaces.
- Programmes malveillants dans les e-mails : cette sélection vous permet d’afficher les données par Email > Répartition des programmes malveillants et des graphiques par technologie de détection dans le rapport de status protection contre les menaces.
- Détections de courrier indésirable : cette sélection vous permet d’afficher les données par Email > répartition du courrier indésirable et du graphique par technologie de détection dans le rapport de status protection contre les menaces.
Sous l’onglet Direction , les actions Créer une planification et Exporter sont disponibles.
Affichage De flux de courrier pour le rapport de status de flux de courrier
L’onglet Flux de courrier vous montre comment les fonctionnalités de protection contre les menaces de messagerie de Microsoft filtrent les e-mails entrants et sortants dans votre organization. Cette vue utilise un diagramme de flux horizontal (appelé diagramme Sankey ) pour fournir des détails sur le nombre total d’e-mails et la façon dont les fonctionnalités de protection contre les menaces affectent ce nombre.
La vue d’agrégation et l’affichage table des détails autorisent 90 jours de filtrage.
Les informations contenues dans le diagramme sont codées en couleur par les technologies EOP et Defender for Office 365.
Le diagramme est organisé en bandes horizontales suivantes :
- Total de la bande d’e-mails : cette valeur est toujours affichée en premier.
-
Bloc d’arête et bande traitée :
- Bloc edge : messages qui ont été filtrés à la périphérie et identifiés comme Edge Protection.
- Traité : messages gérés par la pile de filtrage.
- Bande de résultats :
- Bloc de protection contre la perte de données
- Bloc de règles : messages mis en quarantaine par les règles de flux de messagerie Exchange (règles de transport).
- Blocage des programmes malveillants : messages identifiés comme des programmes malveillants.*
- Bloc de hameçonnage : messages identifiés comme hameçonnage.*
- Blocage de courrier indésirable : messages identifiés comme courrier indésirable.*
- Bloc d’emprunt d’identité : messages détectés comme emprunt d’identité d’utilisateur ou emprunt d’identité de domaine dans Defender for Office 365.*
- Bloc de détonation : messages détectés lors de la détonation de fichier ou d’URL par des stratégies de pièces jointes fiables ou de liens fiables dans Defender for Office 365.*
- ZAP supprimé : messages supprimés par vidage automatique zero-hour (ZAP).*
- Remise : messages remis aux utilisateurs en raison d’une autorisation.*
Si vous pointez sur une bande horizontale dans le diagramme, vous voyez le nombre de messages associés.
* Si vous sélectionnez cet élément, le diagramme se développe pour afficher plus de détails. Pour obtenir une description de chaque élément dans les nœuds développés, consultez Technologies de détection.
Le tableau détaillé sous le diagramme présente les informations suivantes :
- Date (UTC)
- Nombre total d’e-mails
- Edge filtré
- Messages de règle
- Moteur anti-programme malveillant, pièces jointes fiables, règles filtrées
- Emprunt d’identité DMARC, usurpation d’identité, hameçonnage filtré
- Détection de détonation
- Filtrage anti-courrier indésirable
- ZAP supprimé
- Messages où aucune menace n’a été détectée
Sélectionnez une ligne dans la table de détails pour afficher une répartition supplémentaire du nombre d’e-mails dans le menu volant de détails qui s’ouvre.
Sélectionnez Filtrer pour modifier le rapport et la table de détails en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et Date de fin.
- Direction du courrier : sélectionnez Entrant, Sortant et Intra-org.
- Domaine : sélectionnez Tout ou un domaine accepté.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Sous l’onglet Flux de courrier , sélectionnez Afficher les tendances pour afficher les graphiques de tendance dans le menu volant Tendances de flux de courrier qui s’ouvre.
Sous l’onglet Flux de courrier , l’action Exporter est disponible.
Rapport sur les détections de programmes malveillants
Remarque
Ce rapport a été déconseillé. Les mêmes informations sont disponibles dans le rapport de status protection contre les menaces.
Rapport de latence de courrier
Le rapport de latence du courrier dans Defender for Office 365 contient des informations sur la latence de remise et de détonation du courrier dans votre organization. Pour plus d’informations, consultez Rapport de latence de la messagerie.
Rapport sur les activités postérieures à la livraison
Le rapport sur les activités postérieures à la livraison est disponible uniquement dans les organisations ayant Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations sur le rapport, consultez Rapport sur les activités post-remise.
Rapport sur la détection des courriers indésirables
Remarque
Ce rapport a été déconseillé. Les mêmes informations sont disponibles dans le rapport de status protection contre les menaces.
Rapport de détections d’usurpation d’identité
Le rapport détections d’usurpation d’identité affiche des informations sur les messages qui ont été bloqués ou autorisés en raison d’une usurpation d’identité. Pour plus d’informations sur l’usurpation d’identité, consultez Protection contre l’usurpation d’identité dans EOP.
Les vues d’agrégation et de détail du rapport permettent un filtrage de 90 jours.
Remarque
Les dernières données disponibles dans le rapport datent de 3 à 4 jours.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Détections d’usurpation d’identité, puis sélectionnez Afficher les détails. Ou, pour accéder directement au rapport, utilisez https://security.microsoft.com/reports/SpoofMailReport.
Le graphique affiche les informations suivantes :
- Passer
- Échouer
- SoftPass
- Aucune
- Other
Pointez sur une journée (point de données) dans le graphique pour voir combien de messages usurpés ont été détectés et pourquoi.
Le tableau détaillé sous le graphique présente les informations suivantes :
Date
Utilisateur usurpé
Infrastructure d’envoi
Type d’usurpation d’identité
Résultat
Code de résultat
SPF
DKIM
DMARC
Nombre de messages
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Pour plus d’informations sur les codes de résultats d’authentification composite, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.
Sélectionnez Filtrer pour modifier le rapport et la table de détails en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
-
Résultat :
- Passer
- Échouer
- SoftPass
- Aucune
- Other
- Type d’usurpation : interne et externe
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Rapport d’usurpation de messagerie , les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Rapport de soumissions
Le rapport Soumissions affiche des informations sur les éléments que les administrateurs ont signalés à Microsoft pour analyse au cours des 30 derniers jours. Pour plus d’informations sur les soumissions d’administrateur, consultez Utiliser Administration soumission pour envoyer des courriers indésirables, des hameçonnages, des URL et des fichiers suspects à Microsoft.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Soumissions, puis sélectionnez Afficher les détails. Ou, pour accéder directement au rapport, utilisez https://security.microsoft.com/adminSubmissionReport.
Pour accéder directement à la page Soumissions dans le portail Defender, sélectionnez Accéder aux soumissions.
Le graphique affiche les informations suivantes :
- Pending
- Terminée
Le tableau de détails sous le graphique affiche les mêmes informations et comporte les mêmes actions d’actions disponibles que l’onglet E-mails de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=email:
- Personnaliser les colonnes
- Groupe
- Envoyer à Microsoft pour analyse
Pour plus d’informations, consultez Afficher les envois d’administration par e-mail à Microsoft.
Sélectionnez Filtrer pour modifier le rapport et la table de détails en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date d’envoi : date de début et date de fin
- ID de soumission
- ID de message réseau
- Sender
- Destinataire
- Nom de la soumission
- Soumis par
-
Motif de l’envoi :
- Pas de courrier indésirable
- Apparaît propre
- Semble suspect
- Hameçonnage
- Programme malveillant
- Courrier indésirable
-
Réanalysez les status :
- Pending
- Terminée
- Balises : Toutes ou une ou plusieurs balises utilisateur.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Soumissions , l’action Exporter est disponible.
Rapport sur l’état de la protection contre les menaces
Le rapport status protection contre les menaces est disponible dans EOP et Defender for Office 365. Toutefois, les rapports contiennent des données différentes. Par exemple, les clients EOP peuvent afficher des informations sur les programmes malveillants détectés dans les e-mails, mais pas sur les fichiers malveillants détectés par les pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams.
Le rapport fournit le nombre de messages électroniques contenant du contenu malveillant. Par exemple :
- Fichiers ou adresses de site web (URL) qui ont été bloqués par le moteur anti-programme malveillant.
- Fichiers ou messages affectés par le vidage automatique zéro heure (ZAP)
- Fichiers ou messages bloqués par Defender for Office 365 fonctionnalités : liens fiables, pièces jointes fiables et fonctionnalités de protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage.
Vous pouvez utiliser les informations contenues dans ce rapport pour identifier les tendances ou déterminer si vos stratégies organisationnelles doivent être réajusté.
Conseil
si un message est envoyé à cinq destinataires, nous le comptabilisons comme cinq messages différents, et non comme un seul.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Soumissions, puis sélectionnez Afficher les détails. Ou, pour accéder directement au rapport, utilisez l’une des URL suivantes :
- Defender for Office 365 :https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP : https://security.microsoft.com/reports/TPSAggregateReport
Par défaut, le graphique affiche les données des sept derniers jours. Sélectionnez Filtrer dans la page de rapport protection contre les menaces status pour sélectionner une plage de dates de 90 jours (les abonnements à la version d’évaluation peuvent être limités à 30 jours). Le tableau de détails autorise le filtrage pendant 30 jours.
Les vues disponibles sont décrites dans les sous-sections suivantes.
Afficher les données par vue d’ensemble
Dans la vue Afficher les données par vue d’ensemble , les informations de détection suivantes sont affichées dans le graphique :
- programme malveillant Email
- Email hameçonnage
- Email courrier indésirable
- Programmes malveillants de contenu (Defender for Office 365 uniquement : Fichiers détectés par la protection antivirus intégrée dans SharePoint Online, OneDrive et Microsoft Teams et pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams)
Aucun tableau de détails n’est disponible sous le graphique.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et Date de fin.
- Détection : les mêmes valeurs que dans le graphique.
- Protégé par : MDO (Defender for Office 365) et EOP.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Afficher les données par Email > répartition des hameçonnages et des graphiques par technologie de détection
Remarque
En mai 2021, les détections d’hameçonnage dans les e-mails ont été mises à jour pour inclure des pièces jointes de messages contenant des URL d’hameçonnage. Cette modification peut déplacer une partie du volume de détection hors de la vue Afficher les données par Email > les programmes malveillants et dans l’affichage Afficher les données par Email > vue Hameçonnage. En d’autres termes, les pièces jointes de message avec des URL de hameçonnage qui étaient traditionnellement identifiées comme des programmes malveillants peuvent être identifiées comme hameçonnage à la place.
Dans la vue Afficher les données par Email > Phish et Répartition des graphiques par technologie de détection, les informations suivantes sont affichées dans le graphique :
- Filtre avancé : signaux d’hameçonnage basés sur le Machine Learning.
- Campagne* : messages identifiés dans le cadre d’une campagne.
- Détonation* de fichier : les pièces jointes fiables ont détecté une pièce jointe malveillante lors de l’analyse de la détonation.
- Réputation de détonation* de fichiers : pièces jointes précédemment détectées par les détonations de pièces jointes fiables dans d’autres organisations Microsoft 365.
- Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365.
- Correspondance d’empreintes digitales : le message ressemble étroitement à un message malveillant détecté précédemment.
- Filtre général : signaux d’hameçonnage basés sur des règles d’analyste.
- Marque d’emprunt d’identité : emprunt d’identité d’expéditeur de marques connues.
- Domaine *d’emprunt d’identité : emprunt d’identité des domaines d’expéditeur que vous possédez ou que vous avez spécifiés pour la protection dans les stratégies anti-hameçonnage.
- Utilisateur d’emprunt d’identité : emprunt d’identité* d’expéditeurs protégés que vous avez spécifiés dans les stratégies anti-hameçonnage ou appris par le biais de l’intelligence des boîtes aux lettres.
- Emprunt d’identité* d’intelligence de boîte aux lettres : détections d’emprunt d’identité à partir de l’intelligence des boîtes aux lettres dans les stratégies anti-hameçonnage.
- Détection d’analyse mixte : plusieurs filtres ont contribué au verdict du message.
- Usurpation DMARC : le message a échoué à l’authentification DMARC.
- Usurpation de domaine externe : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine externe à votre organization.
- Usurpation intra-organisation : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine interne à votre organization.
- Détonation* d’URL : les liens fiables ont détecté une URL malveillante dans le message pendant l’analyse de la détonation.
- Réputation *de détonation d’URL : URL précédemment détectées par les détonations de liens fiables dans d’autres organisations Microsoft 365.
- Réputation malveillante d’URL : le message contient une URL qui a été précédemment identifiée comme malveillante dans d’autres organisations Microsoft 365.
*Defender for Office 365 uniquement
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
- Date
- Subject
- Sender
- Recipients
- Technologie de détection : les mêmes valeurs de technologie de détection du graphique.
- État de remise
- IP de l’expéditeur
- Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC) : date de début et date de fin
- Détection : les mêmes valeurs que dans le graphique.
- Protection de compte prioritaire : Oui et Non. Pour plus d’informations, consultez Configurer et examiner la protection des comptes prioritaires dans Microsoft Defender pour Office 365.
- Évaluation : Oui ou Non.
- Protégé par : MDO (Defender for Office 365) et EOP
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
- Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
- Destinataires (séparés par des virgules)
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Si vous sélectionnez une entrée dans la table de détails en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives qui sont également disponibles sur la page d’entité Email dans Defender for Office 365 pour le message. Pour plus d’informations sur les informations contenues dans le panneau de résumé Email, consultez Panneau récapitulatif Email.
Dans Defender pour Microsoft 365, les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour le rapport status protection contre les menaces :
- Ouvrir l’entité de messagerie : pour plus d’informations, consultez la page d’entité Email dans Microsoft Defender pour Office 365.
- Action : Pour plus d’informations, consultez Repérage des menaces : Assistant Action.
Dans la page Status Protection contre les menaces, les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Afficher les données par Email > répartition du courrier indésirable et des graphiques par technologie de détection
Dans la vue Afficher les données par Email > Répartition du courrier indésirable et du graphique par technologie de détection, les informations suivantes sont affichées dans le graphique :
- Filtre avancé : signaux d’hameçonnage basés sur le Machine Learning.
- En bloc : le niveau de plainte en bloc (BCL) du message dépasse le seuil défini pour le courrier indésirable.
- Réputation de domaine : le message provient d’un domaine précédemment identifié comme étant l’envoi de courrier indésirable dans d’autres organisations Microsoft 365.
- Correspondance d’empreintes digitales : le message ressemble étroitement à un message malveillant détecté précédemment.
- Filtre général
- Réputation IP : le message provient d’une source précédemment identifiée comme étant l’envoi de courrier indésirable dans d’autres organisations Microsoft 365.
- Détection d’analyse mixte : plusieurs filtres ont contribué au verdict du message.
- Réputation malveillante d’URL : le message contient une URL qui a été précédemment identifiée comme malveillante dans d’autres organisations Microsoft 365.
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
- Date
- Subject
- Sender
- Recipients
- Technologie de détection : les mêmes valeurs de technologie de détection du graphique.
- État de remise
- IP de l’expéditeur
- Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
Date (UTC)Date de début et date de fin
Détection : les mêmes valeurs que dans le graphique.
Niveau de plainte en bloc : lorsque la valeur Détectionen bloc est sélectionnée, le curseur est disponible pour filtrer le rapport en fonction de la plage BCL sélectionnée. Vous pouvez utiliser ces informations pour confirmer ou ajuster le seuil BCL dans les stratégies anti-courrier indésirable afin d’autoriser plus ou moins d’e-mails en bloc dans votre organization.
Si la valeur Détectionen bloc n’est pas sélectionnée, le curseur est grisé et les détections en bloc ne sont pas incluses dans le rapport.
Protection de compte prioritaire : Oui et Non. Pour plus d’informations, consultez Configurer et examiner la protection des comptes prioritaires dans Microsoft Defender pour Office 365.
Direction : Toutes ou entrez Entrant, Sortant et Intra-org.
Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
Recipients
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Si vous sélectionnez une entrée dans la table de détails en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives qui sont également disponibles sur la page d’entité Email dans Defender for Office 365 pour le message. Pour plus d’informations sur les informations contenues dans le panneau de résumé Email, consultez Panneau récapitulatif Email.
Dans Defender pour Microsoft 365, les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour le rapport status protection contre les menaces :
- Ouvrir l’entité de messagerie : pour plus d’informations, consultez la page d’entité Email dans Microsoft Defender pour Office 365.
- Action : Pour plus d’informations, consultez Repérage des menaces : Assistant Action.
Dans la page Status Protection contre les menaces, les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Afficher les données par Email > les programmes malveillants et la répartition des graphiques par technologie de détection
Remarque
En mai 2021, les détections de programmes malveillants dans les e-mails ont été mises à jour pour inclure des URL dangereuses dans les pièces jointes des messages. Cette modification peut déplacer une partie du volume de détection de la vue Afficher les données par Email > mode Hameçonnage vers la vue Afficher les données par Email > vue Programme malveillant. En d’autres termes, les URL dangereuses dans les pièces jointes de message qui étaient traditionnellement identifiées comme hameçonnage maintenant peuvent être identifiées comme des programmes malveillants à la place.
Dans la vue Afficher les données par Email > Programmes malveillants et Répartition des graphiques par technologie de détection, les informations suivantes sont affichées dans le graphique :
- Détonation* de fichier : les pièces jointes fiables ont détecté une pièce jointe malveillante lors de l’analyse de la détonation.
- Réputation de détonation* de fichiers : pièces jointes précédemment détectées par les détonations de pièces jointes fiables dans d’autres organisations Microsoft 365.
- Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365.
- Moteur anti-programme malveillant* : détection à partir d’un logiciel anti-programme malveillant.
- Réputation d’URL malveillante
- Détonation* d’URL : les liens fiables ont détecté une URL malveillante dans le message pendant l’analyse de la détonation.
- Réputation *de détonation d’URL : URL précédemment détectées par les détonations de liens fiables dans d’autres organisations Microsoft 365.
- Campagne* : messages identifiés dans le cadre d’une campagne.
*Defender for Office 365 uniquement
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
Date
Subject
Sender
Recipients
Technologie de détection : les mêmes valeurs de technologie de détection du graphique.
État de la remise
IP de l’expéditeur
Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
- Détection : les mêmes valeurs que dans le graphique.
- Protection de compte prioritaire : Oui et Non. Pour plus d’informations, consultez Configurer et consulter les comptes prioritaires dans Microsoft Defender pour Office 365.
- Évaluation : Oui ou Non.
- Protégé par : MDO (Defender for Office 365) et EOP
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
- Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
- Destinataires (séparés par des virgules)
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Si vous sélectionnez une entrée dans la table de détails en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives qui sont également disponibles sur la page d’entité Email dans Defender for Office 365 pour le message. Pour plus d’informations sur les informations contenues dans le panneau de résumé Email, consultez Panneau récapitulatif Email.
Dans Defender pour Microsoft 365, les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour le rapport status protection contre les menaces :
- Ouvrir l’entité de messagerie : pour plus d’informations, consultez la page d’entité Email dans Microsoft Defender pour Office 365.
- Action : Pour plus d’informations, consultez Repérage des menaces : Assistant Action.
Dans la page Status Protection contre les menaces, les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Répartition du graphique par type de stratégie
Dans les vues Afficher les données par Email > Hameçonnage, Afficher les données par Email > courrier indésirable ou Afficher les données par Email > programmes malveillants, la sélection de Répartition du graphique par type de stratégie affiche les informations suivantes dans le graphique :
- Anti-programme malveillant
- Pièces jointes sécurisées*
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de courrier (également appelée règle de transport)
- Autres
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
Date
Subject
Sender
Recipients
Technologie de détection : les mêmes valeurs de technologie de détection du graphique.
État de remise
IP de l’expéditeur
Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
- Détection : valeurs de technologie de détection décrites précédemment dans cet article et dans Technologies de détection.
- Protection de compte prioritaire : Oui et Non. Pour plus d’informations, consultez Configurer et consulter les comptes prioritaires dans Microsoft Defender pour Office 365.
- Évaluation : Oui ou Non.
- Protégé par : MDO (Defender for Office 365) et EOP
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
- Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
- Destinataires (séparés par des virgules)
*Defender for Office 365 uniquement
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Si vous sélectionnez une entrée dans la table de détails en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives qui sont également disponibles sur la page d’entité Email dans Defender for Office 365 pour le message. Pour plus d’informations sur les informations contenues dans le panneau de résumé Email, consultez Panneau récapitulatif Email.
Dans Defender pour Microsoft 365, les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour le rapport status protection contre les menaces :
- Ouvrir l’entité de messagerie : pour plus d’informations, consultez la page d’entité Email dans Microsoft Defender pour Office 365.
- Action : Pour plus d’informations, consultez Repérage des menaces : Assistant Action.
Dans la page Status Protection contre les menaces, les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Répartition des graphiques par status de livraison
Dans les vues Afficher les données par Email > Hameçonnage, Afficher les données par Email > courrier indésirable ou Afficher les données par Email > Programmes malveillants, sélectionnez Répartition du graphique par status de remise affiche les informations suivantes dans le graphique :
- Boîte aux lettres hébergée : Boîte de réception
- Boîte aux lettres hébergée : Courrier indésirable
- Boîte aux lettres hébergée : dossier personnalisé
- Boîte aux lettres hébergée : Éléments supprimés
- Transmis
- Serveur local : remis
- Mise en quarantaine
- Échec de la remise
- Tomber
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
Date
Subject
Sender
Recipients
Technologie de détection : les mêmes valeurs de technologie de détection du graphique.
État de remise
IP de l’expéditeur
Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Zoom arrière dans votre navigateur web.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
- Détection : valeurs de technologie de détection décrites précédemment dans cet article et dans Technologies de détection.
- Protégé par : MDO (Defender for Office 365) et EOP
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
- Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
- Destinataires (séparés par des virgules)
*Defender for Office 365 uniquement
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Si vous sélectionnez une entrée dans la table de détails en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives qui sont également disponibles sur la page d’entité Email dans Defender for Office 365 pour le message. Pour plus d’informations sur les informations contenues dans le panneau de résumé Email, consultez Panneau récapitulatif Email.
Dans Defender pour Microsoft 365, les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour le rapport status protection contre les menaces :
- Ouvrir l’entité de messagerie : pour plus d’informations, consultez la page d’entité Email dans Microsoft Defender pour Office 365.
- Action : Pour plus d’informations, consultez Repérage des menaces : Assistant Action.
Dans la page Status Protection contre les menaces, les actions Créer une planification, Demander un rapport et Exporter sont disponibles.
Afficher les données par programme malveillant de contenu >
Dans la vue Afficher les données par programme malveillant de contenu>, les informations suivantes sont affichées dans le graphique pour les organisations Microsoft Defender pour Office 365 :
- Moteur anti-programme malveillant : fichiers malveillants détectés dans SharePoint, OneDrive et Microsoft Teams par la détection de virus intégrée dans Microsoft 365.
- MDO détonation : fichiers malveillants détectés par des pièces jointes fiables pour SharePoint, OneDrive et Microsoft Teams.
- Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365.
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
- Date
- Nom de fichier des pièces jointes
- Charge de travail
- Technologie de détection : les mêmes valeurs de technologie de détection du graphique.
- Taille du fichier
- Dernière modification de l’utilisateur
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et Date de fin.
- Détection : les mêmes valeurs que dans le graphique.
- Charge de travail : Teams, SharePoint et OneDrive
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Protection contre les menaces status, l’action Exporter est disponible.
Afficher les données par remplacement système et répartition des graphiques par raison
Dans les vues Afficher les données par remplacement système et Répartition du graphique par raison , les informations de raison de remplacement suivantes sont affichées dans le graphique :
- Protection contre la perte de données : Email messages mis en quarantaine par des stratégies de protection contre la perte de données (DLP).
- Règle de transport Exchange
- Paramètre exclusif (Outlook)
- Autoriser l’adresse IP
- Ignorer localement
- Domaines autorisés par l’organisation : le domaine est spécifié dans la liste des domaines autorisés dans une stratégie anti-courrier indésirable.
- Expéditeurs autorisés par l’organisation : l’expéditeur est spécifié dans la liste des expéditeurs autorisés dans une stratégie anti-courrier indésirable.
- Simulation de hameçonnage : pour plus d’informations, consultez Configurer la remise de simulations de hameçonnage tierces aux utilisateurs et des messages non filtrés dans des boîtes aux lettres SecOps.
- Liste des domaines de l’expéditeur
- TABL : URL et fichier autorisés
- TABL - Fichier autorisé
- TABL - Fichier bloqué
- TABL - URL autorisée
- TABL - URL bloquée
- Adresse e-mail de l’expéditeur TABL Autoriser
- Bloc d’adresse e-mail de l’expéditeur TABL
- Bloc d’usurpation tabl
- Filtre tiers
- Liste de contacts approuvés - Expéditeur dans le carnet d’adresses
- Liste d’adresses des destinataires approuvés
- Liste des domaines de destinataires approuvés
- Liste des expéditeurs approuvés (Outlook)
- Domaine sécurisé par l’utilisateur
- Expéditeur approuvé par l’utilisateur
- ZAP non activé
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
- Date
- Subject
- Sender
- Recipients
- Remplacement du système
- IP de l’expéditeur
- Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
- Motif : les mêmes valeurs que le graphique.
- Emplacement de remise : dossier courrier indésirable non activé et boîte aux lettres SecOps.
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
- Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
- Destinataires (séparés par des virgules)
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Protection contre les menaces status, l’action Exporter est disponible.
Afficher les données par remplacement système et répartition des graphiques par emplacement de livraison
Dans les vues Afficher les données par remplacement système et Répartition du graphique par emplacement de livraison , les informations de raison de remplacement suivantes sont affichées dans le graphique :
- Dossier courrier indésirable non activé
- Boîte aux lettres SecOps : pour plus d’informations, consultez Configurer la remise de simulations d’hameçonnage tierces aux utilisateurs et des messages non filtrés aux boîtes aux lettres SecOps.
Dans le tableau détaillé sous le graphique, les informations suivantes sont disponibles :
- Date
- Subject
- Sender
- Recipients
- Remplacement du système
- IP de l’expéditeur
- Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
- Motif : les mêmes valeurs que dans Répartition du graphique par type de stratégie
- Emplacement de remise : dossier courrier indésirable non activé et boîte aux lettres SecOps.
- Direction : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Entrant, Sortant ou Intra-organisation.
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Domaine : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez un domaine accepté.
-
Type de stratégie : sélectionnez Toutes ou l’une des valeurs suivantes :
- Anti-programme malveillant
- Pièces jointes fiables
- Anti-hameçonnage
- Anti-courrier indésirable
- Règle de flux de messagerie (règle de transport)
- Autres
- Nom de la stratégie (vue table des détails uniquement) : sélectionnez Tout ou une stratégie spécifique.
- Destinataires (séparés par des virgules)
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Protection contre les menaces status, l’action Exporter est disponible.
Rapport sur les principaux programmes malveillants
Le rapport Sur les principaux programmes malveillants présente les différents types de programmes malveillants détectés par la protection anti-programme malveillant dans EOP.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Programme malveillant principal.
Pointez sur un coin dans le graphique à secteurs pour voir le nom du programme malveillant et le nombre de messages contenus dans le programme malveillant.
Sélectionnez Afficher les détails pour accéder à la page Du rapport sur les principaux programmes malveillants . Ou, pour accéder directement au rapport, utilisez https://security.microsoft.com/reports/TopMalware.
Dans la page Top malware report (Top malware report ), une version plus grande du graphique à secteurs s’affiche. Le tableau détaillé sous le graphique présente les informations suivantes :
- Principaux programmes malveillants : nom du programme malveillant
- Nombre : nombre de messages contenant le programme malveillant.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant les valeurs Date de début et Date de fin dans le menu volant qui s’ouvre.
Dans la page Programmes malveillants principaux , les actions Créer une planification et Exporter sont disponibles.
Rapport sur les principaux expéditeurs et destinataires
Le rapport Des principaux expéditeurs et destinataires est disponible dans EOP et Defender for Office 365 ; toutefois, les rapports contiennent des données différentes. Par exemple, les clients EOP peuvent afficher des informations sur les principaux destinataires de programmes malveillants, de courrier indésirable et d’hameçonnage (usurpation d’identité), mais pas d’informations sur les programmes malveillants détectés par les pièces jointes sécurisées ou l’hameçonnage détecté par la protection contre l’emprunt d’identité.
Le rapport Principaux expéditeurs et destinataires affiche les 20 principaux expéditeurs de messages dans le organization, ainsi que les 20 premiers destinataires pour les messages détectés par les fonctionnalités de protection EOP et Defender for Office 365. Par défaut, le rapport affiche les données de la dernière semaine, mais les données sont disponibles pour les 90 derniers jours.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Expéditeurs et destinataires principaux.
Pointez sur un coin dans le graphique à secteurs pour voir le nombre de messages pour l’expéditeur ou le destinataire.
Sélectionnez Afficher les détails pour accéder à la page Expéditeurs et destinataires principaux . Ou, pour accéder directement au rapport, utilisez l’une des URL suivantes :
- Defender for Office 365 :https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP : https://security.microsoft.com/reports/TopSenderRecipient
Dans la page Expéditeurs et destinataires principaux , une version plus grande du graphique en secteurs s’affiche. Les graphiques suivants sont disponibles :
- Afficher les données des principaux expéditeurs de courrier (affichage par défaut)
- Afficher les données des principaux destinataires du courrier
- Afficher les données des principaux destinataires de courrier indésirable
- Afficher les données des principaux destinataires de programmes malveillants (EOP)
- Afficher les données des principaux destinataires d’hameçonnage
- Afficher les données des principaux destinataires de programmes malveillants (MDO)
- Afficher les données pour les destinataires les plus hameçonnages (MDO)
- Afficher les données des principaux expéditeurs de courrier intra.org
- Afficher les données des principaux destinataires de courrier intra.org
- Afficher les données des principaux destinataires de courrier indésirable intra.org
- Afficher les données des principaux destinataires des programmes malveillants intra.org
- Afficher les données des principaux destinataires du hameçonnage intra.org
- Afficher les données des principaux destinataires de hameçonnage intra.org (MDO)
- Afficher les données des principaux destinataires des programmes malveillants intra.org (MDO)
Pointez sur un coin dans le graphique à secteurs pour voir le nombre de messages pour cet expéditeur ou destinataire spécifique.
Pour chaque graphique, le tableau de détails sous le graphique affiche les informations suivantes :
- Adresse de messagerie
- Item count
- Balises : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Sélectionnez Filtrer pour modifier le rapport en sélectionnant une ou plusieurs des valeurs suivantes dans le menu volant qui s’ouvre :
- Date (UTC)Date de début et date de fin
- Balise : conservez la valeur Tout ou supprimez-la, double-cliquez dans la zone vide, puis sélectionnez Compte prioritaire. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Dans la page Expéditeurs et destinataires principaux , l’action Exporter est disponible.
Rapport sur la protection des URL
Le rapport de protection des URL est disponible uniquement dans Microsoft Defender pour Office 365. Pour plus d’informations, consultez Rapport de protection des URL.
Rapport des messages signalés par l’utilisateur
Importante
Pour que le rapport des messages signalés par l’utilisateur fonctionne correctement, la journalisation d’audit doit être activée dans votre organization Microsoft 365 (elle est activée par défaut). Pour plus d’informations, consultez Activer ou désactiver l’audit.
Le rapport des messages signalés par l’utilisateur affiche des informations sur les messages électroniques signalés par les utilisateurs en tant que courrier indésirable, tentatives d’hameçonnage ou courrier correct à l’aide du bouton intégré Rapport dans Outlook ou des compléments De message de rapport Microsoft ou De signalement d’hameçonnage.
Dans la page Email & rapports de collaboration à l’adresse https://security.microsoft.com/emailandcollabreport, recherchez Messages signalés par l’utilisateur, puis sélectionnez Afficher les détails. Ou, pour accéder directement au rapport, utilisez https://security.microsoft.com/reports/userSubmissionReport.
Pour accéder directement à l’onglet Utilisateur signalé dans la page Soumissions du portail Defender, sélectionnez Accéder aux soumissions.
Le graphique affiche les informations suivantes :
- Pas de courrier indésirable
- Hameçonnage
- Courrier indésirable
Le tableau de détails sous le graphique affiche les mêmes informations et comporte les mêmes actions que celles disponibles sous l’onglet Utilisateur signalé dans la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=user:
- Personnaliser les colonnes
- Groupe
- Filtre
- Marquer comme et notifier
- Envoyer à Microsoft pour analyse
Pour plus d’informations, consultez Afficher les messages signalés par l’utilisateur à Microsoft et Administration actions pour les messages signalés par l’utilisateur.
Dans la page du rapport, l’action Exporter est disponible.
Quelles sont les autorisations nécessaires pour afficher ces rapports ?
Vous devez disposer d’autorisations pour pouvoir afficher et utiliser les rapports décrits dans cet article. Vous avez le choix parmi les options suivantes :
- Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Opérations de sécurité/Données de sécurité/Notions de base des données de sécurité (lecture) ou Autorisation et paramètres/Paramètres système/gérer.
-
Email & des autorisations de collaboration dans le portail Microsoft Defender : Appartenance à l’un des groupes de rôles suivants :
- Gestion de l’organisation¹
- Administrateur de la sécurité
- Lecteur de sécurité
- Lecteur global
- autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général¹ ², Administrateur de la sécurité, Lecteur de sécurité ou Lecteur général dans Microsoft Entra ID donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
¹ L’appartenance au groupe de rôles Gestion de l’organisation ou au rôle Administrateur général est requise pour utiliser les actions Créer une planification ou Demander un rapport dans les rapports (le cas échéant).
Importante
² Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Que se passe-t-il si les rapports n’affichent pas de données ?
Si vous ne voyez pas de données dans les rapports, case activée les filtres de rapport et les deux case activée que vos stratégies de protection sont configurées pour détecter et prendre des mesures sur les messages. Si vous souhaitez en savoir plus, consultez les articles suivants :
- Analyseur de configuration pour les stratégies de protection dans EOP et Microsoft Defender pour Office 365
- Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365
- Comment faire désactiver le filtrage du courrier indésirable ?
Télécharger et exporter des informations de rapport
Selon le rapport et l’affichage spécifique du rapport, une ou plusieurs des actions suivantes peuvent être disponibles sur la page du rapport main, comme décrit précédemment :
Exporter des données de rapport
Conseil
- Les données exportées sont affectées par tous les filtres configurés dans le rapport au moment de l’exportation.
- Si les données exportées dépassent 15 000 entrées, les données sont divisées en plusieurs fichiers.
Dans la page du rapport, sélectionnez Exporter.
Dans le menu volant Conditions d’exportation qui s’ouvre, passez en revue et configurez les paramètres suivants :
-
Sélectionnez un affichage à exporter : sélectionnez l’une des valeurs suivantes :
- Résumé : les données des 90 derniers jours sont disponibles. Il s’agit de la valeur par défaut.
- Détails : les données des 30 derniers jours sont disponibles. Une plage de dates d’un jour est prise en charge.
-
Date (UTC) :
- Date de début : la valeur par défaut est il y a trois mois.
- Date de fin : la valeur par défaut est aujourd’hui.
Lorsque vous avez terminé dans le menu volant Conditions d’exportation , sélectionnez Exporter.
Le bouton Exporter devient Exportation... et une barre de progression s’affiche.
-
Sélectionnez un affichage à exporter : sélectionnez l’une des valeurs suivantes :
Dans la boîte de dialogue Enregistrer sous qui s’ouvre, vous voyez le nom par défaut du fichier .csv et l’emplacement de téléchargement (le dossier Téléchargements local par défaut), mais vous pouvez modifier ces valeurs, puis sélectionner Enregistrer pour télécharger les données exportées.
Si vous voyez une boîte de dialogue qui security.microsoft.com souhaite télécharger plusieurs fichiers, sélectionnez Autoriser.
Planifier des rapports périodiques
Pour créer des rapports planifiés, vous devez être membre du rôle Gestion de l’organisation dans Exchange Online ou administrateur* général dans Microsoft Entra ID.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Dans la page du rapport, sélectionnez Créer une planification pour démarrer l’Assistant Nouveau rapport planifié.
Dans la page Nom du rapport planifié , passez en revue ou personnalisez la valeur Nom , puis sélectionnez Suivant.
Dans la page Définir les préférences, passez en revue ou configurez les paramètres suivants :
-
Fréquence : sélectionnez l’une des valeurs suivantes :
- Hebdomadaire (par défaut)
- Quotidienne (cette valeur n’affiche aucune donnée dans les graphiques)
- Mensuelle
- Date de début : entrez la date de début de la génération du rapport. La valeur par défaut est aujourd’hui.
- Date d’expiration : entrez la date de fin de la génération du rapport. La valeur par défaut est d’un an à partir d’aujourd’hui.
Lorsque vous avez terminé sur la page Définir les préférences , sélectionnez Suivant.
-
Fréquence : sélectionnez l’une des valeurs suivantes :
Dans la page Sélectionner des filtres , configurez les paramètres suivants :
-
Direction : sélectionnez l’une des valeurs suivantes :
- Tout (par défaut)
- Sortant
- Entrants
- Adresse de l’expéditeur
- Adresse du destinataire
Lorsque vous avez terminé sur la page Sélectionner les filtres , sélectionnez Suivant.
-
Direction : sélectionnez l’une des valeurs suivantes :
Dans la page Destinataires , choisissez destinataires pour le rapport dans la zone Envoyer un e-mail à . La valeur par défaut est votre adresse e-mail, mais vous pouvez en ajouter d’autres en effectuant l’une des étapes suivantes :
- Cliquez dans la zone, attendez que la liste des utilisateurs soit résolue, puis sélectionnez l’utilisateur dans la liste située sous la zone.
- Cliquez dans la zone, commencez à taper une valeur, puis sélectionnez l’utilisateur dans la liste située sous la zone.
Pour supprimer une entrée de la liste, sélectionnez en regard de l’entrée.
Lorsque vous avez terminé sur la page Destinataires , sélectionnez Suivant.
Dans la page Révision , passez en revue vos paramètres. Vous pouvez sélectionner Modifier dans chaque section pour modifier les paramètres de la section. Vous pouvez également sélectionner Précédent ou la page spécifique dans l’Assistant.
Lorsque vous avez terminé d’accéder à la page Révision, sélectionnez Envoyer.
Dans la page Nouveau rapport planifié créé , vous pouvez sélectionner les liens pour afficher le rapport planifié ou créer un autre rapport.
Lorsque vous avez terminé sur la page Nouveau rapport planifié créé , sélectionnez Terminé.
Les rapports sont envoyé par e-mail aux destinataires spécifiés en fonction de la planification que vous avez configurée
L’entrée de rapport planifié est disponible dans la page Planifications gérées , comme décrit dans la sous-section suivante.
Gérer les rapports planifiés existants
Une fois que vous avez créé un rapport planifié comme décrit dans la section précédente, l’entrée de rapport planifié est disponible dans la page Gérer les planifications du portail Defender.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Rapports>Email & collaboration>, sélectionnez Gérer les planifications. Ou, pour accéder directement à la page Gérer les planifications , utilisez https://security.microsoft.com/ManageSubscription.
Dans la page Gérer les planifications , les informations suivantes s’affichent pour chaque entrée de rapport planifiée :
- Planifier la date de début
- Nom de la planification
- Type de rapport
- Frequency
- Dernier envoi
Pour remplacer la liste d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en espacement compact ou normal, puis sélectionnez Liste compacte.
Utilisez la zone De recherche pour rechercher une entrée de rapport planifiée existante.
Pour modifier les paramètres de rapport planifié, procédez comme suit :
Sélectionnez l’entrée de rapport planifiée en cliquant n’importe où dans la ligne autre que la zone case activée.
Dans le menu volant de détails qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Modifier le nom pour modifier le nom du rapport planifié.
- Sélectionnez le lien Modifier dans la section pour modifier les paramètres correspondants.
Les paramètres et les étapes de configuration sont identiques à celles décrites dans Rapport de planification.
Pour supprimer une entrée de rapport planifiée, utilisez l’une des méthodes suivantes :
- Sélectionnez la zone case activée en regard d’un ou plusieurs rapports planifiés, puis sélectionnez l’action Supprimer qui s’affiche dans la page main.
- Sélectionnez le rapport planifié en cliquant n’importe où dans la ligne autre que la zone case activée, puis sélectionnez Supprimer dans le menu volant des détails qui s’ouvre.
Lisez la boîte de dialogue d’avertissement qui s’ouvre, puis sélectionnez OK.
De retour dans la page Gérer les planifications , l’entrée de rapport planifié supprimée n’est plus répertoriée et les rapports précédents du rapport planifié sont supprimés et ne sont plus disponibles en téléchargement.
Demander des rapports à la demande pour le téléchargement
Pour créer des rapports à la demande, vous devez être membre du rôle gestion de l’organisation dans Exchange Online ou administrateur* général dans Microsoft Entra ID.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Dans la page du rapport, sélectionnez Demander un rapport pour démarrer l’Assistant Nouveau rapport à la demande.
Dans la page Nom du rapport à la demande , passez en revue ou personnalisez la valeur Nom , puis sélectionnez Suivant.
Dans la page Définir les préférences, passez en revue ou configurez les paramètres suivants :
- Date de début : entrez la date de début des données du rapport. La valeur par défaut est il y a un mois.
- Date d’expiration : entrez la date de fin des données du rapport. La valeur par défaut est aujourd’hui.
Lorsque vous avez terminé d’accéder à la page Nom du rapport à la demande , sélectionnez Suivant.
Dans la page Destinataires , choisissez destinataires pour le rapport dans la zone Envoyer un e-mail à . La valeur par défaut est votre adresse e-mail, mais vous pouvez en ajouter d’autres en effectuant l’une des étapes suivantes :
- Cliquez dans la zone, attendez que la liste des utilisateurs soit résolue, puis sélectionnez l’utilisateur dans la liste située sous la zone.
- Cliquez dans la zone, commencez à taper une valeur, puis sélectionnez l’utilisateur dans la liste située sous la zone.
Pour supprimer une entrée de la liste, sélectionnez en regard de l’entrée.
Lorsque vous avez terminé sur la page Destinataires , sélectionnez Suivant.
Dans la page Révision , passez en revue vos paramètres. Vous pouvez sélectionner Modifier dans chaque section pour modifier les paramètres de la section. Vous pouvez également sélectionner Précédent ou la page spécifique dans l’Assistant.
Lorsque vous avez terminé d’accéder à la page Révision, sélectionnez Envoyer.
Dans la page Nouveau rapport à la demande créé , vous pouvez sélectionner le lien pour créer un autre rapport.
Lorsque vous avez terminé d’accéder à la page Nouveau rapport à la demande créé , sélectionnez Terminé.
La tâche de création de rapport (et éventuellement le rapport terminé) est disponible sur la page Rapports à télécharger , comme décrit dans la sous-section suivante.
Télécharger des rapports existants
Pour télécharger des rapports à la demande, vous devez être membre du rôle Gestion de l’organisation dans Exchange Online ou administrateur* général dans Microsoft Entra ID.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Après avoir demandé un rapport à la demande, comme décrit dans la section précédente, vous case activée le status du rapport et finalement télécharger le rapport sur la page Rapports à télécharger dans le portail Defender.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Rapports>Email & collaboration>, sélectionnez Rapports à télécharger. Ou, pour accéder directement à la page Rapports à télécharger , utilisez https://security.microsoft.com/ReportsForDownload.
Dans la page Rapports à télécharger , les informations suivantes s’affichent pour chaque rapport disponible :
- Date de début
- Name
- Type de rapport
- Dernier envoi
-
Statut :
- En attente : le rapport est toujours en cours de création et il n’est pas encore disponible en téléchargement.
- Terminé - Prêt pour le téléchargement : la génération du rapport est terminée et le rapport peut être téléchargé.
- Terminé - Aucun résultat trouvé : la génération du rapport est terminée, mais le rapport ne contient aucune donnée, de sorte que vous ne pouvez pas le télécharger.
Pour télécharger le rapport, sélectionnez la zone case activée en regard de la date de début du rapport, puis sélectionnez l’action Télécharger le rapport qui s’affiche.
Utilisez la zone De recherche pour rechercher un rapport existant.
Dans la boîte de dialogue Enregistrer sous qui s’ouvre, vous voyez le nom par défaut du fichier .csv et l’emplacement de téléchargement (le dossier Téléchargements local par défaut), mais vous pouvez modifier ces valeurs, puis sélectionner Enregistrer pour télécharger le rapport.
Articles connexes
Protection contre les programmes malveillants dans EOP
Afficher les rapports de flux de messagerie dans le CENTRE d’administration Exchange