Partager via


Examiner les e-mails malveillants qui ont été remis dans Microsoft 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 incluses dans leur abonnement ou achetées en tant que module complémentaire ont Explorer (également appelées détections de menaces Explorer) ou en temps réel. Ces fonctionnalités sont des outils puissants et quasiment en temps réel pour aider les équipes d’opérations de sécurité (SecOps) à examiner les menaces et à y répondre. Pour plus d’informations, consultez À propos des détections Explorer de menaces et en temps réel dans Microsoft Defender pour Office 365.

Les détections de Explorer de menaces et en temps réel vous permettent d’examiner les activités qui mettent les personnes de votre organization en danger et de prendre des mesures pour protéger votre organization. Par exemple :

  • Rechercher et supprimer des messages.
  • Identifiez l’adresse IP d’un expéditeur de courrier malveillant.
  • Démarrez un incident pour une investigation plus approfondie.

Cet article explique comment utiliser les détections de Explorer de menaces et en temps réel pour rechercher des messages malveillants dans les boîtes aux lettres des destinataires.

Conseil

Pour accéder directement aux procédures de correction, consultez Corriger les e-mails malveillants remis dans Office 365.

Pour d’autres scénarios de messagerie utilisant les détections de Explorer de menaces et en temps réel, consultez les articles suivants :

Ce qu'il faut savoir avant de commencer

Rechercher les e-mails suspects qui ont été remis

  1. Utilisez l’une des étapes suivantes pour ouvrir les détections de Explorer de menaces ou en temps réel :

  2. Dans la page Explorer ou Détections en temps réel, sélectionnez une vue appropriée :

  3. Sélectionnez la plage de date/heure. La valeur par défaut est hier et aujourd’hui.

    Capture d’écran du filtre de date utilisé dans les détections de Explorer de menaces et en temps réel dans le portail Defender.

  4. Créez une ou plusieurs conditions de filtre à l’aide de tout ou partie des propriétés et valeurs ciblées suivantes. Pour obtenir des instructions complètes, consultez Filtres de propriétés dans les détections de Explorer de menaces et en temps réel. Par exemple :

    • Action de remise : action effectuée sur un e-mail en raison de stratégies ou de détections existantes. Les valeurs utiles sont les suivantes :

      • Remise : Email remis à la boîte de réception de l’utilisateur ou à un autre dossier dans lequel l’utilisateur peut accéder au message.
      • Courrier indésirable : Email remis au dossier d’Email indésirable de l’utilisateur ou au dossier Éléments supprimés où l’utilisateur peut accéder au message.
      • Bloqué : Email messages qui ont été mis en quarantaine, qui ont échoué ou qui ont été supprimés.
    • Emplacement de remise d’origine : emplacement où l’e-mail a été envoyé avant toute action post-remise automatique ou manuelle par le système ou les administrateurs (par exemple, ZAP ou déplacé en quarantaine). Les valeurs utiles sont les suivantes :

      • Dossier éléments supprimés
      • Supprimé : le message a été perdu quelque part dans le flux de messagerie.
      • Échec : le message n’a pas pu atteindre la boîte aux lettres.
      • Boîte de réception/dossier
      • Dossier Courrier indésirable
      • Local/externe : la boîte aux lettres n’existe pas dans le organization Microsoft 365.
      • Mise en quarantaine
      • Inconnu : par exemple, après la remise, une règle de boîte de réception a déplacé le message vers un dossier par défaut (par exemple, Brouillon ou Archive) plutôt que vers le dossier Boîte de réception ou Courrier indésirable Email.
    • Dernier emplacement de remise : emplacement où l’e-mail s’est terminé après toutes les actions automatiques ou manuelles postérieures à la remise effectuées par le système ou les administrateurs. Les mêmes valeurs sont disponibles à partir de l’emplacement de remise d’origine.

    • Directionnalité : les valeurs valides sont les suivantes :

      • Entrants
      • Intra-organisation
      • Sortant

      Ces informations peuvent aider à identifier l’usurpation d’identité et l’usurpation d’identité. Par exemple, les messages provenant d’expéditeurs de domaine internes doivent être intra-organisation et non entrants.

    • Action supplémentaire : les valeurs valides sont les suivantes :

    • Remplacement principal : si organization ou les paramètres utilisateur autorisés ou bloqués les messages qui auraient autrement été bloqués ou autorisés. Les valeurs sont les suivantes :

      • Autorisé par la stratégie organization
      • Autorisé par la stratégie utilisateur
      • Bloqué par la stratégie organization
      • Bloqué par la stratégie utilisateur
      • Aucune

      Ces catégories sont affinées par la propriété source de remplacement primaire .

    • Source de remplacement principale Type de stratégie organization ou paramètre utilisateur qui a autorisé ou bloqué les messages qui auraient autrement été bloqués ou autorisés. Les valeurs sont les suivantes :

    • Remplacer la source : mêmes valeurs disponibles que la source de remplacement principale.

      Conseil

      Dans l’onglet Email (affichage) dans la zone d’informations des affichages Tous les e-mails, Programmes malveillants et Hameçonnages, les colonnes de remplacement correspondantes sont nommées Remplacements système et Remplacements système source.

    • Menace d’URL : les valeurs valides sont les suivantes :

      • Programme malveillant
      • Hameçonnage
      • Courrier indésirable
  5. Lorsque vous avez terminé de configurer les filtres de date/heure et de propriété, sélectionnez Actualiser.

L’onglet Email (affichage) dans la zone de détails des affichages Tous les e-mails, Programmes malveillants ou Hameçonnages contient les détails dont vous avez besoin pour examiner les e-mails suspects.

Par exemple, utilisez les colonnes Action de remise, Emplacement de remise d’origine et Emplacement de la dernière remise sous l’onglet Email (affichage) pour obtenir une image complète de l’emplacement des messages affectés. Les valeurs ont été expliquées à l’étape 4.

Utilisez Exporter pour exporter de manière sélective jusqu’à 200 000 résultats filtrés ou non filtrés vers un fichier CSV.

Corriger les e-mails malveillants qui ont été remis

Une fois que vous avez identifié les messages électroniques malveillants qui ont été remis, vous pouvez les supprimer des boîtes aux lettres des destinataires. Pour obtenir des instructions, consultez Corriger les e-mails malveillants remis dans Microsoft 365.

Corriger les courriers malveillants remis dans Office 365

Microsoft Defender pour Office 365

Afficher les rapports pour Defender for Office 365