Utilisez la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Pour plus d’informations sur la façon dont Microsoft stocke et gère vos soumissions, case activée ceci.
Dans les organisations Microsoft 365 disposant de boîtes aux lettres Exchange Online, les administrateurs peuvent utiliser la page Soumissions du portail Microsoft Defender pour envoyer des messages, des URL et des pièces jointes à Microsoft à des fins d’analyse. Il existe deux types de soumissions d’administrateur de base :
Envois d’origine Administration : les administrateurs identifient et signalent les messages, les pièces jointes ou les URL (entités) en sélectionnant Envoyer à Microsoft pour analyse dans les onglets de la page Soumissions, comme décrit dans la section Soumissions d’origine Administration.
Une fois que l’administrateur a signalé l’entité, une entrée s’affiche sous l’onglet correspondant de la page Soumissions (à l’exception de l’onglet Utilisateur signalé ).
Administration envoi des messages signalés par l’utilisateur : l’expérience de création de rapports utilisateur intégrée est activée et configurée. Les messages signalés par l’utilisateur apparaissent sous l’onglet Utilisateur signalé sur la page Soumissions , et les administrateurs envoient ou soumettent à nouveau les messages à Microsoft à partir de l’onglet Utilisateur signalé .
Une fois qu’un administrateur a envoyé le message à partir de l’onglet Utilisateur signalé , une entrée est également créée dans l’onglet correspondant de la page Soumissions (par exemple, l’onglet E-mails ). Ces types de soumissions d’administrateur sont décrits dans la section options Administration pour les messages signalés par l’utilisateur.
Lorsque des administrateurs ou des utilisateurs envoient des messages à Microsoft à des fins d’analyse, nous effectuons les vérifications suivantes :
- Email case activée d’authentification (messages électroniques uniquement) : indique si l’authentification par e-mail a réussi ou échoué lors de sa remise.
- Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer le courrier entrant dans le organization, ce qui a remplacé nos verdicts de filtrage.
- Réputation/détonation de charge utile : examen à jour des URL et pièces jointes du message.
- Analyse de l’indicateur de notation : examen effectué par les vérificateurs humains pour vérifier si les messages sont malveillants ou non.
Importante
Dans les organisations gouvernementales américaines (Microsoft 365 GCC, GCC High et DoD), les administrateurs peuvent envoyer des messages électroniques à Microsoft à des fins d’analyse, mais les messages sont analysés uniquement pour l’authentification par e-mail et les accès à la stratégie. La réputation de la charge utile, la détonation et l’analyse du niveleur ne sont pas effectuées pour des raisons de conformité (les données ne sont pas autorisées à quitter la limite organization).
Regardez cette courte vidéo pour découvrir comment utiliser les soumissions d’administrateur dans Microsoft Defender pour Office 365 pour envoyer des messages à Microsoft à des fins d’évaluation.
Pour plus d’informations sur la façon dont les utilisateurs peuvent envoyer des messages et des fichiers à Microsoft, consultez Signaler des messages et des fichiers à Microsoft.
Pour connaître d’autres façons dont les administrateurs peuvent signaler des messages à Microsoft dans le portail Defender, consultez Paramètres de création de rapports associés pour les administrateurs.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com/. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
- Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Opérations de sécurité/Données de sécurité/Réponse (gérer) ou Opérations de sécurité/Données de sécurité/Bases des données de sécurité (lecture).
- Email & les autorisations de collaboration dans le portail Microsoft Defender : appartenance aux groupes de rôles Administrateur de la sécurité ou Lecteur de la sécurité.
- autorisations Microsoft Entra : l’appartenance aux rôles Administrateur de la sécurité ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Les administrateurs peuvent envoyer des messages électroniques de 30 jours s’ils sont toujours disponibles dans la boîte aux lettres et n’ont pas été vidés par l’utilisateur ou un administrateur.
Administration soumissions sont limitées aux taux suivants :
- Nombre maximal de soumissions sur une période de 15 minutes : 150 soumissions
- Mêmes soumissions dans une période de 24 heures : Trois soumissions
- Mêmes soumissions dans une période de 15 minutes : Une soumission
Si l’utilisateur a signalé les paramètres dans le organization envoyer des messages signalés par l’utilisateur (e-mail et Microsoft Teams) à Microsoft (exclusivement ou en plus de la boîte aux lettres de création de rapports), nous effectuons les mêmes vérifications que lorsque les administrateurs envoient des messages à Microsoft à des fins d’analyse à partir de la page Soumissions. Par conséquent, l’envoi ou la soumission de messages à Microsoft est utile aux administrateurs uniquement pour les messages qui n’ont jamais été envoyés à Microsoft, ou lorsque vous n’êtes pas d’accord avec le verdict d’origine.
Un onglet Fichiers est disponible dans la page Soumissions uniquement dans les organisations avec Microsoft Defender XDR ou Microsoft Defender pour point de terminaison Plan 2. Pour obtenir des informations et des instructions sur l’envoi de fichiers à partir de l’onglet Fichiers, consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.
Administration soumissions
Conseil
L’onglet dans lequel vous sélectionnez Envoyer à Microsoft pour analyse n’a pas particulièrement d’importance, tant que vous définissez Sélectionner le type de soumission sur la valeur correcte.
Signaler un e-mail douteux à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.
Sous l’onglet E-mails , sélectionnez Envoyer à Microsoft à des fins d’analyse.
Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :
Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.
Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :
- Ajouter l’ID de message réseau de messagerie : la valeur GUID est disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages.
- Charger le fichier e-mail (.msg ou .eml) : sélectionnez Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis sélectionnez Ouvrir.
Choisissez au moins un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels exécuter une stratégie case activée. La stratégie case activée détermine si l’e-mail a contourné l’analyse en raison de stratégies d’utilisateur ou de organization ou d’un remplacement.
Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :
- Cela semble suspect : sélectionnez cette valeur uniquement lorsque vous ne savez pas ou si vous n’êtes pas sûr du verdict du message et que vous souhaitez obtenir un verdict de Microsoft. Sélectionnez Envoyer, puis passez à l’étape 6.
ou
J’ai confirmé qu’il s’agit d’une menace : Dans tous les autres cas, sélectionnez cette valeur une fois que vous avez déjà déterminé que le verdict du message est malveillant. Sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :
- Hameçonnage
- Programme malveillant
- Courrier indésirable
Sélectionnez Suivant.
Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer.
ou
Sélectionnez Bloquer tous les e-mails de cet expéditeur ou domaine : cette option crée une entrée de bloc pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
- Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.
-
Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- N’expirez jamais
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
- Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.
Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.
Sélectionnez Terminé.
Après quelques instants, l’entrée de bloc est disponible sous l’onglet Domaines & adresses de la page Autoriser/Bloquer le locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.
Signaler des pièces jointes d’e-mail douteuses à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.
Sous l’onglet Email pièces jointes, sélectionnez Envoyer à Microsoft pour analyse.
Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :
Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.
Fichier : sélectionnez Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.
Pourquoi envoyez-vous cette pièce jointe à Microsoft ? : sélectionnez l’une des valeurs suivantes :
- Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.
ou
Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer.
ou
Sélectionnez Bloquer ce fichier : cette option crée une entrée de bloc pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
-
Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- N’expirez jamais
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
- Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.
Lorsque vous avez terminé dans le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.
-
Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
Sélectionnez Terminé.
Après quelques instants, l’entrée de bloc est disponible sous l’onglet Fichiers de la page Autoriser/Bloquer du locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.
Signaler des URL douteuses à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , sélectionnez l’onglet URL .
Sous l’onglet URL , sélectionnez Envoyer à Microsoft pour analyse.
Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :
Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.
URL : entrez l’URL complète (par exemple,
https://www.fabrikam.com/marketing.html
), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.Pourquoi envoyez-vous cette URL à Microsoft ? : sélectionnez l’une des valeurs suivantes :
- Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.
ou
Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer.
ou
Sélectionnez Bloquer cette URL : cette option crée une entrée de bloc pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
-
Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- N’expirez jamais
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
- Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cette itme.
Lorsque vous avez terminé dans le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.
-
Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
Sélectionnez Terminé.
Après quelques instants, l’entrée de bloc est disponible sous l’onglet URL de la page Autoriser/Bloquer du locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Signaler un bon e-mail à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.
Sous l’onglet E-mails , sélectionnez Envoyer à Microsoft à des fins d’analyse.
Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :
Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.
Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :
- Ajouter l’ID de message réseau de messagerie : la valeur GUID est disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id dans le message ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages mis en quarantaine.
- Charger le fichier e-mail (.msg ou .eml) : sélectionnez Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis sélectionnez Ouvrir.
Choisissez au moins un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels exécuter une stratégie case activée. La stratégie case activée détermine si l’e-mail a été bloqué en raison de stratégies ou de remplacements d’utilisateur ou de organization.
Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :
- Il apparaît propre : sélectionnez cette valeur uniquement lorsque vous ne savez pas ou si vous n’êtes pas sûr du verdict du message et que vous souhaitez obtenir un verdict de Microsoft. Sélectionnez Envoyer, puis passez à l’étape 6.
ou
- J’ai confirmé qu’il est propre : Dans tous les autres cas, sélectionnez cette valeur une fois que vous avez déjà déterminé le verdict du message comme propre. Sélectionnez Suivant.
Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer.
ou
Sélectionnez Autoriser ce message : cette option crée une entrée d’autorisation pour les éléments du message dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
Pour les expéditeurs usurpés, cette valeur n’a aucune signification, car les entrées pour les expéditeurs usurpés n’expirent jamais.
Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la date de dernière utilisation de l’entrée d’autorisation est mise à jour lorsque le message électronique malveillant est rencontré pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que le message électronique est propre. Pour toutes les autres valeurs, l’entrée d’autorisation exipres à la date définie (1 jour, 7 jours, 30 jours ou la date spécifique).
Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément. Pour les expéditeurs usurpés, les valeurs que vous entrez ici ne sont pas affichées dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.
Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.
Sélectionnez Terminé.
Après quelques instants, les entrées d’autorisation associées s’affichent dans les onglets Domaines & adresses, Expéditeurs usurpés, URL ou Fichiers de la page Autoriser/Bloquer du locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList.
Importante
- Les entrées d’autorisation sont ajoutées pendant le flux de messagerie en fonction des filtres qui ont déterminé que le message était malveillant. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message ont été jugées incorrectes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.
- Si notre système de filtrage ne trouve pas que l’adresse e-mail de l’expéditeur est malveillante, l’envoi de l’e-mail à Microsoft ne crée pas d’entrée d’autorisation dans la liste verte/bloquée du locataire.
- Lorsqu’un domaine ou une adresse e-mail autorisé, un expéditeur usurpé, une URL ou un fichier (entité) est à nouveau rencontré, tous les filtres associés à l’entité sont ignorés. Pour les messages électroniques, toutes les autres entités sont toujours évaluées par le système de filtrage avant de prendre une décision.
- Pendant le flux de messagerie, si les messages du domaine ou de l’adresse e-mail autorisés passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message réussit les vérifications d’authentification par e-mail, un message provenant d’une adresse e-mail de l’expéditeur autorisé est remis.
- Par défaut, les entrées d’autorisation pour les domaines et les adresses de messagerie sont conservées pendant 45 jours après que le système de filtrage a déterminé que l’entité est propre, puis l’entrée d’autorisation a été supprimée. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie. Par défaut, les entrées autorisées pour les expéditeurs usurpés n’expirent jamais.
- Pour les messages qui ont été bloqués de manière incorrecte par la protection contre l’emprunt d’identité de domaine ou d’utilisateur, l’entrée d’autorisation pour le domaine ou l’expéditeur n’est pas créée dans la liste verte/bloquée du locataire. Au lieu de cela, le domaine ou l’expéditeur est ajouté à la section Expéditeurs et domaines approuvés dans la stratégie anti-hameçonnage qui a détecté le message.
- Lorsque vous remplacez le verdict dans l’insight d’intelligence de l’usurpation d’identité, l’expéditeur usurpé devient une entrée d’autorisation ou de blocage manuelle qui apparaît uniquement sur les expéditeurs usurpés sur la page Autoriser/Bloquer du locataire Listes à l’adressehttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
Signaler des pièces jointes correctes à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.
Sous l’onglet Email pièces jointes, sélectionnez Envoyer à Microsoft pour analyse.
Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :
Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.
Fichier : sélectionnez Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.
Pourquoi envoyez-vous le message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :
- Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.
ou
- J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.
Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer.
ou
Sélectionnez Autoriser ce fichier : cette option crée une entrée d’autorisation pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la dernière date utilisée de l’entrée d’autorisation est mise à jour lorsque la pièce jointe malveillante est rencontrée pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que la pièce jointe de l’e-mail est propre. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.
Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément.
Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.
Sélectionnez Terminé.
Après quelques instants, l’entrée d’autorisation est disponible sous l’onglet Fichiers de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Importante
- Par défaut, les entrées d’autorisation pour les fichiers sont conservées pendant 45 jours après que le système de filtrage a déterminé que l’entité est propre, puis l’entrée d’autorisation a été supprimée. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.
- Lorsque le fichier est à nouveau rencontré pendant le flux de messagerie, la détonation des pièces jointes fiables ou les vérifications de réputation des fichiers et tous les autres filtres basés sur les fichiers sont remplacés. Si le système de filtrage détermine que toutes les autres entités du message électronique sont propre, le message est remis.
- Lors de la sélection, tous les filtres basés sur les fichiers, y compris la détonation des pièces jointes fiables ou les vérifications de réputation des fichiers sont remplacés, ce qui permet à l’utilisateur d’accéder au fichier.
Signaler de bonnes URL à Microsoft
Pour les URL signalées comme faux positifs, nous autorisons les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abc
incorrectement bloquée. Si votre organization reçoit ultérieurement un message contenant l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc
, www.contoso.com/abc?id=1
, www.contoso.com/abc/def/gty/uyt?id=5
ou www.contoso.com/abc/whatever
), le message ne sera pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions, sélectionnez l’onglet URL
Sous l’onglet URL , sélectionnez Envoyer à Microsoft pour analyse.
Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :
Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.
URL : entrez l’URL complète (par exemple,
https://www.fabrikam.com/marketing.html
), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez également fournir un domaine de niveau supérieur (par exemple,https://www.fabrikam.com/*
), puis le sélectionner dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.Pourquoi envoyez-vous cette URL à Microsoft ? : sélectionnez l’une des valeurs suivantes :
- Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.
ou
Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer.
ou
Sélectionnez Autoriser cette URL : cette option crée une entrée d’autorisation pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la dernière date utilisée de l’entrée d’autorisation est mise à jour lorsque l’URL malveillante est rencontrée pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que l’URL est propre. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.
Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément.
Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.
Sélectionnez Terminé.
Après quelques instants, l’entrée d’autorisation est disponible sous l’onglet URL de la page Autoriser/Bloquer du locataire Listes à l’adressehttps://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Remarque
- Par défaut, les entrées d’autorisation pour les URL sont conservées pendant 45 jours après que le système de filtrage a déterminé que l’entité est propre, puis l’entrée d’autorisation a été supprimée. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.
- Lorsque l’URL est à nouveau rencontrée pendant le flux de messagerie, la détonation des liens fiables ou les vérifications de réputation d’URL et tous les autres filtres basés sur l’URL sont remplacés. Si le système de filtrage détermine que toutes les autres entités du message électronique sont propre, le message est remis.
- Lors de la sélection, tous les filtres basés sur une URL, y compris la détonation des liens fiables ou les vérifications de réputation d’URL sont remplacés, ce qui permet à l’utilisateur d’accéder au contenu au niveau de l’URL.
Signaler des messages Teams à Microsoft dans Defender for Office 365 Plan 2
Conseil
La soumission du message Teams à Microsoft est actuellement en préversion, n’est pas disponible dans toutes les organisations et est susceptible d’être modifiée.
Dans les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), vous ne pouvez pas envoyer de messages Teams à partir de l’onglet Messages Teams de la page Soumissions. La seule façon de soumettre un message Teams à Microsoft à des fins d’analyse consiste à envoyer un message Teams signalé par un utilisateur à partir de l’onglet Utilisateur signalé , comme décrit dans la section Envoyer des messages signalés par l’utilisateur à Microsoft à des fins d’analyse plus loin dans cet article.
Les entrées de l’onglet Messages Teams sont le résultat de l’envoi d’un message Teams signalé par l’utilisateur à Microsoft. Pour plus d’informations, consultez la section Afficher les soumissions d’administrateur converties plus loin dans cet article.
Afficher les envois par e-mail de l’administrateur à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.
Sous l’onglet E-mails , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :
- Pending
- Terminée
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :
- Nom de la soumission*
- Expéditeur*
- Destinataire
- Soumis par*
- Date de soumission*
- Motif de l’envoi*
- Statut*
- Résultat*
- Raison de la remise/du blocage
- ID de soumission
- ID de message réseau
- Direction
- IP de l’expéditeur
- Niveau conforme en bloc (BCL)
- Destination
- Action de stratégie
- Simulation de hameçonnage
- Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Action
Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :
- Raison
- État
- Résultat
- Tags
Pour dissocier les entrées, sélectionnez Aucune.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :
- Date d’envoi : valeurs date de début et date de fin .
- ID de soumission : valeur GUID affectée à chaque soumission.
- ID de message réseau
- Sender
- Destinataire
- Nom de la soumission
- Soumis par
-
Motif de l’envoi : l’une des valeurs suivantes :
- Pas de courrier indésirable
- Apparaît propre
- Semble suspect
- Hameçonnage
- Programme malveillant
- Courrier indésirable.
- État : En attente et Terminé.
- Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.
Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.
Afficher les détails de l’envoi d’un e-mail par l’administrateur
Si vous sélectionnez une entrée sous l’onglet E-mails de la page Envois en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.
En haut du menu volant des détails, les informations de message suivantes sont disponibles :
- Le titre du menu volant est la valeur Objet du message.
- Toutes les balises utilisateur affectées aux destinataires du message (y compris la balise compte prioritaire). Pour plus d’informations, consultez Balises utilisateur dans Microsoft Defender pour Office 365
- Dans Defender for Office 365, les actions disponibles en haut du menu volant sont décrites dans la section Actions pour les soumissions d’administrateur dans Defender for Office 365.
Conseil
Pour afficher les détails des autres soumissions sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Les sections suivantes du menu volant détails sont liées aux envois de messages électroniques :
Section Détails des résultats :
-
Result : contient la valeur Result pour la soumission. Par exemple :
- N’aurait pas dû être bloqué
- Autorisé en raison de substitutions d’utilisateur
- Autorisé en raison d’une règle
-
Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
- Afficher les règles de flux de messagerie Exchange (règles de transport)
- Afficher ce message dans Explorer (détections Explorer de menaces ou en temps réel dans Defender for Office 365 uniquement)
- Rechercher des messages similaires dans Explorer (détections de Explorer de menaces ou en temps réel dans Defender for Office 365 uniquement)
-
Result : contient la valeur Result pour la soumission. Par exemple :
Section Détails de la soumission :
- Date de soumission
- Nom de la soumission
- Type de soumission : la valeur est Email.
- Motif de l’envoi
- ID de soumission
- Soumis par
- Status de soumission
Section Autoriser les détails : Disponible uniquement pour les envois par e-mail pour lesquels la valeur Résultat est Autorisé en raison de remplacements d’utilisateur ou Autorisé à une règle : contient les valeurs Nom (adresse e-mail) et Type (Expéditeur).
Le reste du menu volant de détails contient les sections Détails de la remise, Email détails, URL et Pièces jointes qui font partie du panneau récapitulatif Email. Pour plus d’informations, consultez Panneau récapitulatif Email.
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Afficher les soumissions d’administrateur Teams à Microsoft dans Defender for Office 365 Plan 2
Conseil
La soumission du message Teams à Microsoft est actuellement en préversion, n’est pas disponible dans toutes les organisations et est susceptible d’être modifiée.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’emplacement Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , sélectionnez l’onglet Messages Teams .
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :
- Nom de la soumission*
- Expéditeur*
- Date de soumission*
- Motif de l’envoi*
- Soumis par
- Statut*
- Résultat*
- Destinataire
- ID de soumission
- Teams message ID
- Destination
- Simulation de hameçonnage
- Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :
- Raison
- État
- Résultat
- Tags
Pour dissocier les entrées, sélectionnez Aucune.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :
- Date d’envoi : date de début et date de fin.
- ID de soumission : valeur GUID affectée à chaque soumission.
- Teams message ID
- Sender
- Destinataire
- Message Teams
- Soumis par
-
Motif de l’envoi : l’une des valeurs suivantes :
- Pas de courrier indésirable
- Apparaît propre
- Semble suspect
- Hameçonnage
- Programme malveillant
- État : En attente et Terminé.
- Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.
Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.
Afficher les détails de la soumission de l’administrateur Teams
Si vous sélectionnez une entrée sous l’onglet Messages Teams de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.
En haut du menu volant des détails, les informations de message suivantes sont disponibles :
- Le titre du menu volant est l’objet ou les 100 premiers caractères du message Teams.
- Verdict du message actuel.
- Nombre de liens dans le message.
- Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.
Conseil
Pour afficher les détails des autres soumissions sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Les sections suivantes du menu volant détails sont liées aux soumissions Teams :
Section des résultats de la soumission :
-
Result : contient la valeur Result pour la soumission. Par exemple :
- Aurait dû être bloqué
- Nous n’avons pas reçu la soumission, veuillez résoudre le problème et soumettre à nouveau
-
Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
- Afficher les règles de flux de messagerie Exchange (règles de transport)
-
Result : contient la valeur Result pour la soumission. Par exemple :
Section Détails de la soumission :
- Date de soumission
- Nom de la soumission
- Type de soumission : la valeur est Teams
- Motif de l’envoi
- ID de soumission
- Soumis par
- Status de soumission
Le reste du menu volant de détails contient les sections Détails du message, Expéditeur, Participants, Détails du canal et URL qui font partie du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité mMessage Teams dans Microsoft Defender pour Office 365 Plan 2.
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Afficher les envois d’administration de pièces jointes à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’emplacement Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.
Sous l’onglet Email pièces jointes, vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :
- Pending
- Terminée
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :
- Nom de fichier de la pièce jointe*
- Date de soumission*
- Motif de l’envoi*
- Statut*
- Résultat*
- Verdict de filtre
- Raison de la remise/du blocage
- ID de soumission
- ID d’objet
- Action de stratégie
- Soumis par
- Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Action
Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :
- Raison
- État
- Résultat
- Tags
Pour dissocier les entrées, sélectionnez Aucune.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :
- Date d’envoi : date de début et date de fin.
- ID de soumission : valeur GUID affectée à chaque soumission.
- Nom de fichier des pièces jointes
- Soumis par
-
Motif de l’envoi : l’une des valeurs suivantes :
- Pas de courrier indésirable
- Apparaît propre
- Semble suspect
- Hameçonnage
- Programme malveillant
- État : En attente et Terminé.
- Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.
Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.
Afficher les détails de la soumission de l’administrateur des pièces jointes par e-mail
Si vous sélectionnez une entrée sous l’onglet Email pièces jointes de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.
En haut du menu volant des détails, les informations de message suivantes sont disponibles :
- Le titre du menu volant est le nom de fichier de la pièce jointe.
- Valeurs Status et Result de la soumission.
- Afficher l’alerte. Dans Defender for Office 365, une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.
Conseil
Pour afficher les détails des autres soumissions sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Les sections suivantes du menu volant détails sont liées aux envois de pièces jointes par e-mail :
Section Détails des résultats :
-
Result : contient la valeur Result pour la soumission. Par exemple :
- Aurait dû être bloqué
- N’aurait pas dû être bloqué
-
Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
- Bloquer l’URL/le fichier dans la liste verte/bloquée du locataire
-
Result : contient la valeur Result pour la soumission. Par exemple :
Section Détails de la soumission :
- Date de soumission
- Nom de la soumission
- Type de soumission : la valeur est File.
- Motif de l’envoi
- ID de soumission
- Soumis par
- Status de soumission
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Afficher les soumissions d’administrateur d’URL à Microsoft
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’emplacement Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , sélectionnez l’onglet URL .
Sous l’onglet URL , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :
- Pending
- Terminée
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :
- URL*
- Date de soumission*
- Motif de l’envoi*
- Statut*
- Résultat*
- Verdict de filtre
- Raison de la remise/du blocage
- ID de soumission
- ID d’objet
- Action de stratégie
- Soumis par
- Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
- Action
Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :
- Raison
- État
- Résultat
- Tags
Pour dissocier les entrées, sélectionnez Aucune.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :
- Date d’envoi : date de début et date de fin.
- ID de soumission : valeur GUID affectée à chaque soumission.
- URL
- Soumis par
-
Motif de l’envoi : l’une des valeurs suivantes :
- Pas de courrier indésirable
- Apparaît propre
- Semble suspect
- Hameçonnage
- Programme malveillant
- État : En attente et Terminé.
- Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.
Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.
Afficher les détails de la soumission de l’administrateur d’URL
Si vous sélectionnez une entrée sous l’onglet URL de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.
En haut du menu volant des détails, les informations de message suivantes sont disponibles :
- Le titre du menu volant est le domaine de l’URL.
- Valeurs Status et Result de la soumission.
- Afficher l’alerte. Dans Defender for Office 365, une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.
Conseil
Pour afficher les détails des autres soumissions sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Les sections restantes du menu volant de détails sont liées aux envois d’URL :
Section Détails des résultats :
-
Result : contient la valeur Result pour la soumission. Par exemple :
- Aurait dû être bloqué
- N’aurait pas dû être bloqué
-
Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
- Bloquer l’URL/le fichier dans la liste verte/bloquée du locataire
-
Result : contient la valeur Result pour la soumission. Par exemple :
Section Détails de la soumission :
- Date de soumission
- URL
- Type de soumission : la valeur est URL.
- Motif de l’envoi
- ID de soumission
- Soumis par
- Status de soumission
Autoriser les détails ou Bloquer les sections : disponible uniquement pour les envois d’URL où l’URL a été bloquée ou autorisée : contient les valeurs Nom (domaine d’URL) et Type (URL).
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Résultats de Microsoft
Les résultats de l’analyse de l’élément signalé sont affichés dans le menu volant de détails qui s’ouvre lorsque vous sélectionnez une entrée sous l’onglet E-mails, messages Teams, Email pièces jointes ou URL de la page Soumissions :
- En cas d’échec de l’authentification des e-mails de l’expéditeur au moment de la livraison.
- Informations sur les stratégies ou les remplacements qui auraient pu affecter ou remplacer le verdict du message du système de filtrage.
- Résultats actuels de la détonation pour voir si les URL ou les fichiers du message étaient malveillants ou non.
- Commentaires des élèves.
Si une configuration de remplacement ou de stratégie a été trouvée, le résultat doit être disponible en quelques minutes. S’il n’y a pas eu de problème d’authentification par e-mail ou si la remise n’a pas été affectée par une substitution ou une stratégie, la détonation et les commentaires des nuanceurs peuvent prendre jusqu’à un jour.
Actions pour les soumissions d’administrateur dans Defender for Office 365
Dans les organisations disposant de Microsoft Defender pour Office 365 (licences d’extension ou incluses dans des abonnements tels que Microsoft 365 E5 ou Microsoft 365 Business Premium), les actions suivantes sont disponibles pour les soumissions d’administrateur dans le menu volant de détails qui s’ouvre une fois que vous avez sélectionné une entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée :
Entité ouvrir l’e-mail : disponible dans le menu volant des détails des entrées sous l’onglet E-mails uniquement. Pour plus d’informations, consultez Contenu de la page d’entité Email.
Effectuer des actions : disponible dans le menu volant des détails des entrées sous l’onglet E-mails uniquement. Cette action démarre l’Assistant Action disponible dans la page d’entité Email. Pour plus d’informations, consultez Actions dans la page d’entité Email.
Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.
Dans la section Détails des résultats, les liens suivants pour Threat Explorer peuvent également être disponibles, en fonction de la status et du résultat de l’élément signalé :
- Affichez ce message dans Explorer onglet E-mails uniquement.
- Recherchez des messages similaires dans Explorer : onglet E-mails uniquement.
- Rechercher une URL ou un fichier : Email des pièces jointes ou des onglets d’URL uniquement.
Administration options pour les messages signalés par l’utilisateur
Pour les messages électroniques, les administrateurs peuvent voir ce que les utilisateurs signalent sous l’onglet Utilisateur signalé sur la page Soumissions si les instructions suivantes sont vraies :
- Les paramètres signalés par l’utilisateur sont activés.
- Email messages : vous utilisez des méthodes prises en charge pour les utilisateurs pour signaler les messages :
- Messages Teams : les paramètres de création de rapports utilisateur pour les messages Teams sont activés.
Remarques :
- Les messages signalés par l’utilisateur qui sont envoyés à Microsoft uniquement ou à Microsoft, et la boîte aux lettres de création de rapports s’affiche sous l’onglet Utilisateur signalé .
- Les messages signalés par l’utilisateur qui sont envoyés uniquement à la boîte aux lettres de rapports s’affichent sous l’onglet Utilisateur signalé avec la valeur RésultatNon envoyé à Microsoft. Les administrateurs doivent signaler ces messages à Microsoft à des fins d’analyse.
Dans les organisations avec Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), les administrateurs peuvent également voir les messages signalés par les utilisateurs dans Microsoft Teams dans Defender for Office 365 Plan 2 (actuellement en préversion).
Dans les organisations avec Defender for Office 365 Plan 2 (ajout de messages signalés par l’utilisateur dans Microsoft Teams dans Defender for Office 365 Plan 2 (actuellement en préversion)
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Dans la page Soumissions , sélectionnez l’onglet Utilisateur signalé .
Les sous-sections suivantes décrivent les informations et les actions disponibles sous l’onglet Utilisateur signalé sur la page Soumissions .
Afficher les messages signalés par l’utilisateur à Microsoft
Sous l’onglet Utilisateur signalé , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :
- Menaces
- Courrier indésirable
- Aucune menace
- Simulations
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :
- Nom et type*
- Signalé par*
- Date de signalement*
- Expéditeur*
- Motif signalé*
-
Résultat* : contient les informations suivantes pour les messages signalés en fonction des paramètres signalés par l’utilisateur :
-
Envoyer les messages signalés à>Microsoft et ma boîte aux lettres de création de rapports ou Microsoft uniquement : valeurs dérivées de l’analyse suivante :
- Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer les messages entrants, y compris les remplacements de nos verdicts de filtrage. Le résultat doit être disponible en quelques minutes. Sinon, la détonation et les commentaires des élèves pourraient prendre jusqu’à un jour.
- Réputation/détonation de charge utile : examen à jour des URL et des fichiers dans le message.
- Analyse de l’indicateur de notation : examen effectué par des vérificateurs humains afin de vérifier si les messages sont malveillants ou non.
- Envoyer les messages signalés à>Ma boîte aux lettres de rapport uniquement : la valeur est toujours Non envoyée à Microsoft, car les messages n’ont pas été analysés par Microsoft.
-
Envoyer les messages signalés à>Microsoft et ma boîte aux lettres de création de rapports ou Microsoft uniquement : valeurs dérivées de l’analyse suivante :
- ID de message signalé
- ID de message réseau
- Teams message ID
- IP de l’expéditeur
- Signalé à partir de
- Simulation de hameçonnage
- Converti en soumission d’administrateur
- Marqué comme*
- Marqué par*
- Date marquée
- Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :
- Sender
- Auteur du rapport
- Résultat
- Signalé à partir de
- Converti en soumission d’administrateur
- Tags
Pour dissocier les entrées, sélectionnez Aucune.
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :
- Date signalée : date de début et date de fin.
- Auteur du rapport
- Name
- ID de message signalé
- ID de message réseau
- Teams message ID
- Sender
- Raison signalée : Les valeurs Aucune menace, Hameçonnage et Courrier indésirable.
- Signalé à partir de : Les valeurs Microsoft et Tiers.
- Simulation de hameçonnage : valeurs Oui et Non.
- Converti en soumission d’administrateur : les valeurs Oui et Non.
-
Type de message : les valeurs disponibles sont les suivantes :
- Courrier électronique
- Message Teams (Defender for Office 365 Plan 2 uniquement ; actuellement en préversion).
- Balises : toutes ou sélectionnez une ou plusieurs balises utilisateur (y compris le compte prioritaire) qui sont attribuées aux utilisateurs. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur dans Microsoft Defender pour Office 365.
Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.
Pour plus d’informations sur les actions disponibles pour les messages sous l’onglet Utilisateur signalé , consultez la sous-section suivante.
Afficher les détails des messages électroniques signalés par l’utilisateur
Si vous sélectionnez une entrée liée à un e-mail sous l’onglet Utilisateur signalé de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.
En haut du menu volant des détails, les informations de message suivantes sont disponibles :
- Le titre du menu volant est la valeur Objet du message.
- Toutes les balises utilisateur affectées aux destinataires du message (y compris la balise compte prioritaire). Pour plus d’informations, consultez Balises utilisateur dans Microsoft Defender pour Office 365
- Les actions disponibles en haut du menu volant sont décrites dans la section actions Administration pour les messages signalés par l’utilisateur.
Conseil
Pour afficher les détails des autres soumissions sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Les sections suivantes du menu volant de détails sont liées aux soumissions signalées par l’utilisateur :
Section Détails des résultats :
-
Result : contient la valeur Result pour la soumission. Par exemple :
- N’aurait pas dû être bloqué
- Autorisé en raison de substitutions d’utilisateur
- Autorisé en raison d’une règle
-
Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
- Afficher les règles de flux de messagerie Exchange (règles de transport)
- Afficher ce message dans Explorer (détections Explorer de menaces ou en temps réel dans Defender for Office 365 uniquement)
- Rechercher des messages similaires dans Explorer (détections de Explorer de menaces ou en temps réel dans Defender for Office 365 uniquement)
-
Result : contient la valeur Result pour la soumission. Par exemple :
Section Détails des messages signalés :
- Date de soumission
- Nom de la soumission
- Raison signalée.
- ID de message signalé
- Auteur du rapport
- Simulation de hameçonnage : la valeur est Oui ou Non.
- Converti en envoi administrateur : la valeur est Oui ou Non. Pour plus d’informations, consultez Afficher les soumissions d’administrateur converties.
Le reste du menu volant de détails contient les sections Détails de la remise, Email détails, URL et Pièces jointes qui font partie du panneau récapitulatif Email. Pour plus d’informations, consultez Panneau récapitulatif Email.
Conseil
Si la valeur Result est Phish simulation, le menu volant de détails peut contenir les informations suivantes uniquement :
- Section Détails des résultats
- Section Détails des messages signalés
-
Email section détails avec les valeurs suivantes :
- ID de message réseau
- Sender
- Sent date
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Afficher les détails des messages Teams signalés par l’utilisateur dans Defender for Office 365 Plan 2
Conseil
Les rapports utilisateur des messages dans Microsoft Teams sont actuellement en préversion, ne sont pas disponibles dans toutes les organisations et sont susceptibles d’être modifiés.
Dans les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), les messages Teams signalés par les utilisateurs sont disponibles sous l’onglet Utilisateur signalé de la page Soumissions. Il est facile de les trouver si vous filtrez les résultats en fonction de la valeur Type de message Message message Teams.
Si vous sélectionnez une entrée de message Teams sous l’onglet Utilisateur signalé en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.
En haut du menu volant des détails, les informations de message suivantes sont disponibles :
- Le titre du menu volant est l’objet ou les 100 premiers caractères du message Teams.
- Verdict du message actuel.
- Nombre de liens dans le message.
- Les actions disponibles sont décrites dans la section actions Administration pour les messages signalés par l’utilisateur.
Conseil
Pour afficher les détails des autres soumissions sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Les sections suivantes du menu volant de détails sont liées aux soumissions Teams signalées par l’utilisateur :
Section des résultats de la soumission :
-
Result : contient la valeur Result pour la soumission. Par exemple :
- N’aurait pas dû être bloqué
- Non soumis à Microsoft
-
Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
- Afficher les règles de flux de messagerie Exchange (règles de transport)
-
Result : contient la valeur Result pour la soumission. Par exemple :
Section Détails des messages signalés :
- Date de signalement
- Nom de la soumission
- Raison signalée.
- ID de message signalé
- Auteur du rapport
- Simulation de hameçonnage : la valeur est Oui ou Non.
- Converti en envoi administrateur : la valeur est Oui ou Non. Pour plus d’informations, consultez Afficher les soumissions d’administrateur converties.
Le reste du menu volant de détails contient les sections Détails du message, Expéditeur, Participants, Détails du canal et URL qui font partie du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité mMessage Teams dans Microsoft Defender pour Office 365 Plan 2.
Conseil
Si la valeur Result est Phish simulation, le menu volant de détails peut contenir les informations suivantes uniquement :
- Section Détails des résultats
- Section Détails des messages signalés
-
Email section détails avec les valeurs suivantes :
- ID de message réseau
- Sender
- Sent date
Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.
Administration actions pour les messages signalés par l’utilisateur
Sous l’onglet Utilisateur signalé , les actions pour les messages signalés par l’utilisateur sont disponibles sous l’onglet lui-même ou dans le menu volant de détails d’une entrée sélectionnée :
Sélectionnez le message dans la liste en sélectionnant la zone case activée en regard de la première colonne. Les actions suivantes sont disponibles sous l’onglet Utilisateur signalé :
- Envoyer à Microsoft pour analyse
- Marquer comme et notifier
- Investigation du déclencheur (Defender for Office 365 Plan 2 uniquement)
Sélectionnez le message dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Les actions suivantes sont disponibles dans le menu volant de détails qui s’ouvre* :
- Envoyer à Microsoft pour analyse
- Marquer comme et notifier
- Afficher la soumission d’administrateur convertie
-
Actions dans Microsoft Defender pour Office 365 uniquement :
- Ouvrir l’entité de messagerie
- Effectuer des actions
- Afficher l’alerte
Actions pour les messages signalés par l’utilisateur dans Defender pour Office
Conseil
Pour afficher les détails ou prendre des mesures sur les autres messages signalés par l’utilisateur sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
*Selon la nature et la status du message, certaines actions peuvent ne pas être disponibles, sont disponibles directement en haut du menu volant ou sont disponibles sous Autres actions en haut du menu volant.
Ces actions sont décrites dans les sous-sections suivantes.
Remarque
Une fois qu’un utilisateur a signalé un message suspect, l’utilisateur ou les administrateurs ne peuvent pas annuler le signalement du message, quel que soit l’endroit où le message signalé est envoyé (à la boîte aux lettres de rapport, à Microsoft, ou les deux). L’utilisateur peut récupérer le message signalé à partir de ses dossiers Éléments supprimés ou Courrier indésirable Email.
Envoyer les messages signalés par l’utilisateur à Microsoft à des fins d’analyse
Après avoir sélectionné le message sous l’onglet Utilisateur signalé , utilisez l’une des méthodes suivantes pour envoyer le message à Microsoft :
Sous l’onglet Utilisateur signalé : sélectionnez Envoyer à Microsoft pour analyse.
Dans le menu volant de détails du message sélectionné : Sélectionnez Envoyer à Microsoft pour analyse ou Autres options>Envoyer à Microsoft pour analyse en haut du menu volant.
Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez les étapes suivantes selon que le message est un message électronique ou un message Teams :
Email messages :
-
Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :
Il apparaît propre ou Il semble suspect : sélectionnez l’une de ces valeurs si vous n’êtes pas sûr et que vous souhaitez un verdict de La part de Microsoft.
Sélectionnez Envoyer, puis Terminé.
J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.
Dans la page suivante du menu volant, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer, puis Terminé.
ou
- Sélectionnez Autoriser ce message : cette option crée une entrée d’autorisation pour les éléments du message dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
-
Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la date de dernière utilisation de l’entrée d’autorisation est mise à jour lorsque le message électronique malveillant est rencontré pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que le message électronique est propre. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.
- Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément. Pour les expéditeurs usurpés, les valeurs que vous entrez ici ne sont pas affichées dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.
Lorsque vous avez terminé dans le menu volant, sélectionnez Envoyer, puis Terminé.
J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :
- Hameçonnage
- Programme malveillant
- Courrier indésirable
Sélectionnez Suivant.
Dans la page suivante du menu volant, effectuez l’une des étapes suivantes :
- Sélectionnez Envoyer, puis Terminé.
ou
- Sélectionnez Bloquer tous les e-mails de cet expéditeur ou domaine : cette option crée une entrée de bloc pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Une fois cette option sélectionnée, les paramètres suivants sont disponibles :
- Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.
-
Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- N’expirez jamais
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
- Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.
Lorsque vous avez terminé dans le menu volant, sélectionnez Envoyer, puis Terminé.
-
Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :
Messages Teams : sélectionnez l’une des valeurs suivantes :
- J’ai confirmé son propre
- Il apparaît propre
- Il semble suspect
Après avoir sélectionné l’une de ces valeurs, sélectionnez Envoyer, puis Terminé.
J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :
Hameçonnage
Programme malveillant
Sélectionnez Envoyer, puis Terminé.
Une fois que vous avez envoyé un message d’utilisateur signalé à Microsoft à partir de l’onglet Utilisateur signalé , la valeur de Conversion en soumission administrateur passe de Non à Oui, et une entrée de soumission d’administrateur correspondante est créée sous l’onglet approprié de la page Soumissions (par exemple, l’onglet E-mails ).
Déclencher une investigation dans Defender for Office 365 Plan 2
- Sous l’onglet Utilisateur signalé, sélectionnez Déclencher l’investigation dans la liste déroulante Envoyer à Microsoft pour analyse.
Pour plus d’informations, consultez Déclencher une investigation.
Informer les utilisateurs des messages envoyés par l’administrateur à Microsoft
Une fois qu’un administrateur a envoyé un message signalé par un utilisateur à Microsoft à partir de l’onglet Utilisateur signalé , les administrateurs peuvent utiliser l’action Marquer comme et notifier pour marquer le message avec un verdict et envoyer un message de notification modèle à l’utilisateur qui a signalé le message.
Verdicts disponibles pour les messages électroniques :
- Aucune menace détectée
- Hameçonnage
- Courrier indésirable
Verdicts disponibles pour les messages Teams :
- Aucune menace détectée
- Hameçonnage
Pour plus d’informations, consultez Notifier les utilisateurs à partir du portail.
Afficher les soumissions d’administrateur converties
Une fois qu’un administrateur a envoyé un message signalé par un utilisateur à Microsoft à partir de l’onglet Utilisateur signalé , la valeur de Conversion en envoi administrateur est Oui.
Si vous sélectionnez l’un de ces messages en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, le menu volant détails contient Plus d’actions>Afficher la soumission d’administrateur convertie.
Cette action vous permet d’accéder à l’entrée de soumission d’administrateur correspondante sous l’onglet approprié (par exemple, l’onglet E-mails ).
Actions pour les messages signalés par l’utilisateur dans Defender for Office 365
Dans les organisations disposant de Microsoft Defender pour Office 365 (licences d’extension ou incluses dans des abonnements tels que Microsoft 365 E5 ou Microsoft 365 Business Premium), les actions suivantes peuvent également être disponibles dans le menu volant des détails d’un message signalé par un utilisateur sur l’utilisateur onglet signalé :
Ouvrir l’entité de messagerie (messages électroniques uniquement) : pour plus d’informations, consultez Contenu de la page d’entité Email.
Effectuer des actions (messages électroniques uniquement) : cette action démarre l’Assistant Action disponible dans la page d’entité Email. Pour plus d’informations, consultez Actions dans la page d’entité Email.
Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.