Partager via


À propos des détections Explorer de menaces et en temps réel dans Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 incluses dans leur abonnement ou achetées en tant que module complémentaire ont Explorer (également appelées détections de menaces Explorer) ou en temps réel. Ces fonctionnalités sont des outils de création de rapports en quasi-temps réel puissants qui aident les équipes d’opérations de sécurité (SecOps) à examiner les menaces et à y répondre.

Selon votre abonnement, les détections de menaces Explorer ou en temps réel sont disponibles dans la section collaboration Email & du portail Microsoft Defender à l’adresse https://security.microsoft.com:

Les Explorer de menaces contiennent les mêmes informations et fonctionnalités que les détections en temps réel, mais avec les fonctionnalités supplémentaires suivantes :

  • Plus de vues.
  • Autres options de filtrage de propriétés, notamment l’option d’enregistrement des requêtes.
  • Plus d’actions.

Pour plus d’informations sur les différences entre Defender for Office 365 Plan 1 et Plan 2, consultez l’aide-mémoire Defender for Office 365 Plan 1 et Plan 2.

Le reste de cet article explique les vues et les fonctionnalités disponibles dans détections de Explorer de menaces et en temps réel.

Autorisations et licences pour les détections de menaces Explorer et en temps réel

Pour utiliser des détections Explorer ou en temps réel, vous devez disposer d’autorisations. Vous avez le choix parmi les options suivantes :

  • Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) :
    • Accès en lecture pour les en-têtes de courrier électronique et de message Teams : Opérations de sécurité/Données brutes (e-mail & collaboration)/métadonnées de collaboration Email & (lecture) .
    • Afficher un aperçu et télécharger des messages électroniques : Opérations de sécurité/Données brutes (e-mail & collaboration)/Email & contenu de collaboration (lecture).
    • Corriger les e-mails malveillants : opérations de sécurité/données de sécurité/Email & collaboration actions avancées (gérer).
  • Email & les autorisations de collaboration dans le portail Microsoft Defender :
    • Accès complet : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité . Des autorisations supplémentaires sont nécessaires pour effectuer toutes les actions disponibles :
      • Afficher un aperçu et télécharger des messages : nécessite le rôle Aperçu , qui est attribué uniquement aux groupes de rôles Investigateur de données ou Gestionnaire eDiscovery par défaut. Vous pouvez également créer un groupe de rôles avec le rôle Aperçu attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
      • Déplacer et supprimer des messages dans des boîtes aux lettres : nécessite le rôle Rechercher et vider , qui est attribué uniquement aux groupes de rôles Enquêteur de données ou Gestion de l’organisation par défaut. Vous pouvez également créer un groupe de rôles avec le rôle Rechercher et vider attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
    • Accès en lecture seule : appartenance au groupe de rôles Lecteur de sécurité .
  • Microsoft Entra autorisations : l’appartenance à ces rôles donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :
    • Accès complet : appartenance aux rôles Administrateur* général ou Administrateur de la sécurité .

    • Recherchez les règles de flux de messagerie Exchange (règles de transport) par leur nom dans Threat Explorer : Appartenance aux rôles Administrateur de la sécurité ou Lecteur de sécurité.

    • Accès en lecture seule : appartenance aux rôles Lecteur général ou Lecteur de sécurité .

      Importante

      * Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Conseil

Les notifications de courrier indésirable des utilisateurs finaux et les messages générés par le système ne sont pas disponibles dans threat Explorer. Ces types de messages sont disponibles s’il existe une règle de flux de courrier (également appelée règle de transport) à remplacer.

Les entrées du journal d’audit sont générées lorsque les administrateurs affichent un aperçu ou téléchargent des messages électroniques. Vous pouvez rechercher l’activité AdminMailAccess dans le journal d’audit de l’administrateur par utilisateur. Pour obtenir des instructions, consultez Auditer une nouvelle recherche.

Pour utiliser des détections Explorer de menaces ou en temps réel, vous devez disposer d’une licence pour Defender for Office 365 (incluse dans votre abonnement ou une licence de module complémentaire).

Les détections de Explorer de menaces ou en temps réel contiennent des données pour les utilisateurs auxquels Defender for Office 365 licences leur sont attribuées.

Éléments des détections de Explorer de menaces et en temps réel

Les détections Explorer de menaces et en temps réel contiennent les éléments suivants :

  • Affichages : onglets en haut de la page qui organisent les détections par menace. La vue affecte le reste des données et des options de la page.

    Le tableau suivant répertorie les vues disponibles dans Détections Explorer de menaces et en temps réel :

    Afficher Menaces
    Explorer
    Temps réel
    Détections
    Description
    Tous les e-mails Affichage par défaut des Explorer de menaces. Informations sur tous les messages électroniques envoyés par des utilisateurs externes dans votre organization (entrant), les messages électroniques envoyés par les utilisateurs internes dans votre organization aux utilisateurs externes (sortants) et les messages électroniques envoyés entre les utilisateurs internes dans votre organization (intra-organisation).
    Programme malveillant Affichage par défaut pour les détections en temps réel. Informations sur les messages électroniques qui contiennent des programmes malveillants.
    Hameçonnage Informations sur les messages électroniques qui contiennent des menaces d’hameçonnage.
    Campagnes Informations sur les e-mails malveillants qui Defender for Office 365 Plan 2 identifiés dans le cadre d’une campagne coordonnée de hameçonnage ou de programmes malveillants.
    Programme malveillant de contenu Informations sur les fichiers malveillants détectés par les fonctionnalités suivantes :
    Clics d’URL Informations sur les clics de l’utilisateur sur les URL dans les e-mails, les messages Teams, les fichiers SharePoint et les fichiers OneDrive.

    Ces vues sont décrites en détail dans cet article, y compris les différences entre les détections de Explorer de menaces et les détections en temps réel.

  • Filtres de date/heure : par défaut, l’affichage est filtré par hier et aujourd’hui. Pour modifier le filtre de date, sélectionnez la plage de dates, puis sélectionnez Les valeurs Date de début et Date de fin jusqu’à 30 jours.

    Capture d’écran du filtre de date utilisé dans les détections de Explorer de menaces et en temps réel dans le portail Defender.

  • Filtres de propriétés (requêtes) : filtrez les résultats dans la vue en fonction des propriétés de message, de fichier ou de menace disponibles. Les propriétés filtrables disponibles dépendent de l’affichage. Certaines propriétés sont disponibles dans de nombreux affichages, tandis que d’autres sont limitées à une vue spécifique.

    Les filtres de propriétés disponibles pour chaque affichage sont répertoriés dans cet article, y compris les différences entre les détections de Explorer de menaces et les détections en temps réel.

    Pour obtenir des instructions sur la création de filtres de propriétés, consultez Filtres de propriétés dans les détections de Explorer de menaces et en temps réel

    Threat Explorer vous permet d’enregistrer des requêtes pour une utilisation ultérieure, comme décrit dans la section Requêtes enregistrées dans Threat Explorer.

  • Graphiques : chaque vue contient une représentation visuelle agrégée des données filtrées ou non filtrées. Vous pouvez utiliser les tableaux croisés dynamiques disponibles pour organiser le graphique de différentes façons.

    Vous pouvez souvent utiliser Exporter des données de graphique pour exporter des données de graphique filtrées ou non filtrées vers un fichier CSV.

    Les graphiques et les tableaux croisés dynamiques disponibles sont décrits en détail dans cet article, notamment les différences entre les détections de Explorer de menaces et les détections en temps réel.

    Conseil

    Pour supprimer le graphique de la page (ce qui optimise la taille de la zone de détails), utilisez l’une des méthodes suivantes :

    • Sélectionnez Affichage>graphique Affichage Liste en haut de la page.
    • Sélectionnez Afficher l’affichage liste entre le graphique et la zone de détails.
  • Zone détails : la zone de détails d’une vue affiche généralement une table qui contient les données filtrées ou non filtrées. Vous pouvez utiliser les vues disponibles (onglets) pour organiser les données dans la zone de détails de différentes façons. Par exemple, une vue peut contenir des graphiques, des cartes ou des tables différentes.

    Si la zone d’informations contient une table, vous pouvez souvent utiliser Exporter pour exporter de manière sélective jusqu’à 200 000 résultats filtrés ou non filtrés vers un fichier CSV.

    Conseil

    Dans le menu volant Exporter , vous pouvez sélectionner tout ou partie des propriétés disponibles à exporter. Les sélections sont enregistrées par utilisateur. Les sélections en mode de navigation Incognito ou InPrivate sont enregistrées jusqu’à ce que vous fermiez le navigateur web.

Capture d’écran de la page main dans l’Explorateur de menaces montrant les données de rapport en temps réel dans le portail Defender for Office 365.

Affichage de tous les e-mails dans threat Explorer

L’affichage Tous les e-mails dans Threat Explorer affiche des informations sur tous les messages électroniques entrants, sortants et intra-organisation. La vue affiche les e-mails malveillants et non malveillants. Par exemple :

  • Email identifié un hameçonnage ou un programme malveillant.
  • Email identifiés comme courrier indésirable ou en bloc.
  • Email identifiés sans menace.

Cette vue est la valeur par défaut dans Threat Explorer. Pour ouvrir l’affichage Tous les e-mails sur la page Explorer dans le portail Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Explorer>Tous les e-mails onglet. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis vérifier que l’onglet Tous les e-mails est sélectionné.

Capture d’écran de l’affichage Tous les e-mails dans Menace Explorer montrant le graphique, les tableaux croisés dynamiques disponibles pour le graphique et les affichages pour la table de détails.

Propriétés filtrables dans l’affichage Tous les e-mails dans Threat Explorer

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Action remise de l’affichage Tous les e-mails sont décrites dans le tableau suivant :

Propriété Type
Basique
Adresse de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Recipients Texte. Séparez plusieurs valeurs par des virgules.
Domaine de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Domaine du destinataire Texte. Séparez plusieurs valeurs par des virgules.
Sujet Texte. Séparez plusieurs valeurs par des virgules.
Nom complet de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir de l’adresse Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir du domaine Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’accès de retour Texte. Séparez plusieurs valeurs par des virgules.
Domaine de chemin d’accès de retour Texte. Séparez plusieurs valeurs par des virgules.
Famille de programmes malveillants Texte. Séparez plusieurs valeurs par des virgules.
Tags Texte. Séparez plusieurs valeurs par des virgules.

Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Domaine emprunté Texte. Séparez plusieurs valeurs par des virgules.
Utilisateur usurpé l’identité Texte. Séparez plusieurs valeurs par des virgules.
Règle de transport Exchange Texte. Séparez plusieurs valeurs par des virgules.
Règle de protection contre la perte de données Texte. Séparez plusieurs valeurs par des virgules.
Contexte Sélectionnez une ou plusieurs valeurs :
  • Évaluation
  • Protection des comptes prioritaires
Connector Texte. Séparez plusieurs valeurs par des virgules.
Action de remise Sélectionnez une ou plusieurs valeurs :
  • Bloqué : Email messages qui ont été mis en quarantaine, qui ont échoué ou qui ont été supprimés.
  • Remise : Email remis à la boîte de réception de l’utilisateur ou à un autre dossier dans lequel l’utilisateur peut accéder au message.
  • Remise au courrier indésirable : Email remis au dossier d’Email indésirable de l’utilisateur ou au dossier Éléments supprimés dans lequel l’utilisateur peut accéder au message.
  • Remplacé : pièces jointes de message qui ont été remplacées par la remise dynamique dans les stratégies pièces jointes sécurisées.
Action supplémentaire Sélectionnez une ou plusieurs valeurs :
Orientation Sélectionnez une ou plusieurs valeurs :
  • Entrants
  • Intra-organisation
  • Sortant
Technologie de détection Sélectionnez une ou plusieurs valeurs :
  • Filtre avancé : signaux basés sur le Machine Learning.
  • Protection anti-programme malveillant
  • E-mail de masse
  • Campagne
  • Réputation du domaine
  • Détonation de fichier : les pièces jointes fiables ont détecté une pièce jointe malveillante lors de l’analyse de la détonation.
  • Réputation de détonation de fichiers : pièces jointes précédemment détectées par les détonations de pièces jointes fiables dans d’autres organisations Microsoft 365.
  • Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365.
  • Correspondance d’empreintes digitales : le message ressemble étroitement à un message malveillant détecté précédemment.
  • Filtre général
  • Marque d’emprunt d’identité : emprunt d’identité d’expéditeur de marques connues.
  • Domaine d’emprunt d’identité : emprunt d’identité des domaines d’expéditeur que vous possédez ou que vous avez spécifiés pour la protection dans les stratégies anti-hameçonnage
  • Utilisateur emprunt d’identité
  • Réputation de l’adresse IP
  • Emprunt d’identité d’intelligence de boîte aux lettres : détections d’emprunt d’identité à partir de l’intelligence des boîtes aux lettres dans les stratégies anti-hameçonnage.
  • Détection d’analyse mixte : plusieurs filtres ont contribué au verdict du message.
  • usurpation DMARC : le message a échoué à l’authentification DMARC.
  • Usurpation de domaine externe : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine externe à votre organization.
  • Usurpation intra-organisation : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine interne à votre organization.
  • Réputation de détonation d’URL : URL précédemment détectées par les détonations de liens fiables dans d’autres organisations Microsoft 365.
  • Réputation malveillante d’URL : le message contient une URL qui a été précédemment identifiée comme malveillante dans d’autres organisations Microsoft 365.
Emplacement de livraison d’origine Sélectionnez une ou plusieurs valeurs :
  • dossier Éléments supprimés
  • Tomber
  • Échec
  • Boîte de réception/dossier
  • Dossier Courrier indésirable
  • Local/externe
  • Mise en quarantaine
  • Unknown
Dernier emplacement de livraison¹ Mêmes valeurs que l’emplacement de remise d’origine
Niveau de confiance des hameçonnages Sélectionnez une ou plusieurs valeurs :
  • High
  • Normal
Remplacement principal Sélectionnez une ou plusieurs valeurs :
  • Autorisé par la stratégie organization
  • Autorisé par la stratégie utilisateur
  • Bloqué par la stratégie organization
  • Bloqué par la stratégie utilisateur
  • Aucune
Source de remplacement principale Les messages peuvent avoir plusieurs remplacements d’autorisation ou de blocage, comme indiqué dans Remplacer la source. Le remplacement qui a finalement autorisé ou bloqué le message est identifié dans Source de remplacement principale.
Sélectionnez une ou plusieurs valeurs :
  • Filtre tiers
  • Administration voyage dans le temps initié (ZAP)
  • Blocage de stratégie anti-programme malveillant par type de fichier
  • Paramètres de stratégie anti-courrier indésirable
  • Stratégie de connexion
  • Règle de transport Exchange
  • Mode exclusif (remplacement par l’utilisateur)
  • Filtrage ignoré en raison d’une organization locale
  • Filtre de région IP à partir de la stratégie
  • Filtre de langue à partir de la stratégie
  • Simulation d’hameçonnage
  • Mise en quarantaine
  • Boîte aux lettres SecOps
  • Liste d’adresses des expéditeurs (remplacement Administration)
  • Liste d’adresses des expéditeurs (remplacement par l’utilisateur)
  • Liste des domaines de l’expéditeur (remplacement Administration)
  • Liste des domaines de l’expéditeur (remplacement par l’utilisateur)
  • Bloc de fichiers d’autorisation/liste de blocage du locataire
  • Blocage de l’adresse e-mail de l’expéditeur d’autorisation/liste de blocage
  • Bloc d’usurpation d’autorisation/liste de blocage du locataire
  • Bloc d’URL d’autorisation/liste de blocage du locataire
  • Liste de contacts approuvés (remplacement par l’utilisateur)
  • Domaine approuvé (remplacement par l’utilisateur)
  • Destinataire approuvé (remplacement par l’utilisateur)
  • Expéditeurs approuvés uniquement (remplacement par l’utilisateur)
Remplacer la source Mêmes valeurs que la source de remplacement principale
Type de stratégie Sélectionnez une ou plusieurs valeurs :
  • Stratégie anti-programme malveillant
  • Politique de lutte contre l'hameçonnage
  • Règle de transport Exchange (règle de flux de courrier), stratégie de filtre de contenu hébergé (stratégie anti-courrier indésirable), stratégie de filtrage du courrier indésirable sortant hébergé (stratégie de courrier indésirable sortant), stratégie pièces jointes sécurisées
  • Unknown
Action de stratégie Sélectionnez une ou plusieurs valeurs :
  • Ajouter x-header
  • Message cci
  • Supprimer le message
  • Modifier l’objet
  • Déplacer vers le dossier Email indésirable
  • Aucune action n’a été entreprise
  • Message de redirection
  • Envoyer en quarantaine
Type de menace Sélectionnez une ou plusieurs valeurs :
  • Programme malveillant
  • Hameçonnage
  • Courrier indésirable
Message transféré Sélectionnez une ou plusieurs valeurs :
  • True
  • False
Liste de distribution Texte. Séparez plusieurs valeurs par des virgules.
taille Email Entier. Séparez plusieurs valeurs par des virgules.
Avancé
Identificateur du message Internet Texte. Séparez plusieurs valeurs par des virgules.

Disponible dans le champ d’en-tête Message-ID de l’en-tête du message. Un exemple de valeur est <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (notez les crochets).
ID de message réseau Texte. Séparez plusieurs valeurs par des virgules.

Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.
IP de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Pièce jointe SHA256 Texte. Séparez plusieurs valeurs par des virgules.
Cluster ID Texte. Séparez plusieurs valeurs par des virgules.
ID d’alerte Texte. Séparez plusieurs valeurs par des virgules.
ID de stratégie d’alerte Texte. Séparez plusieurs valeurs par des virgules.
ID de campagne Texte. Séparez plusieurs valeurs par des virgules.
Signal d’URL ZAP Texte. Séparez plusieurs valeurs par des virgules.
URL
Nombre d’URL Entier. Séparez plusieurs valeurs par des virgules.
Domaine d’URL² Texte. Séparez plusieurs valeurs par des virgules.
Domaine d’URL et chemin d’accès² Texte. Séparez plusieurs valeurs par des virgules.
URL² Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’URL² Texte. Séparez plusieurs valeurs par des virgules.
Source de l’URL Sélectionnez une ou plusieurs valeurs :
  • Attachments
  • Pièce jointe cloud
  • Email corps
  • en-tête Email
  • Code QR
  • Subject
  • Unknown
Cliquer sur le verdict Sélectionnez une ou plusieurs valeurs :
  • Autorisé : l’utilisateur a été autorisé à ouvrir l’URL.
  • Bloc substitué : l’utilisateur n’a pas pu ouvrir directement l’URL, mais il a dépassé le bloc pour ouvrir l’URL.
  • Bloqué : l’utilisateur n’a pas pu ouvrir l’URL.
  • Erreur : la page d’erreur a été présentée à l’utilisateur, ou une erreur s’est produite lors de la capture du verdict.
  • Échec : une exception inconnue s’est produite lors de la capture du verdict. L’utilisateur a peut-être ouvert l’URL.
  • Aucun : impossible de capturer le verdict pour l’URL. L’utilisateur a peut-être ouvert l’URL.
  • Verdict en attente : la page en attente de détonation a été présentée à l’utilisateur.
  • Verdict en attente ignoré : la page de détonation a été présentée à l’utilisateur, mais il a dépassé le message pour ouvrir l’URL.
Menace d’URL Sélectionnez une ou plusieurs valeurs :
  • Programme malveillant
  • Hameçonnage
  • Courrier indésirable
Fichier
Nombre de pièces jointes Entier. Séparez plusieurs valeurs par des virgules.
Nom de fichier des pièces jointes Texte. Séparez plusieurs valeurs par des virgules.
Type de fichier Texte. Séparez plusieurs valeurs par des virgules.
File Extension Texte. Séparez plusieurs valeurs par des virgules.
Taille de fichier Entier. Séparez plusieurs valeurs par des virgules.
Authentification
SPF Sélectionnez une ou plusieurs valeurs :
  • Échouer
  • Neutre
  • Aucune
  • Passer
  • Erreur permanente
  • Soft fail
  • Erreur temporaire
DKIM Sélectionnez une ou plusieurs valeurs :
  • Erreur
  • Échouer
  • Ignore
  • Aucune
  • Passer
  • Test
  • Timeout
  • Unknown
DMARC Sélectionnez une ou plusieurs valeurs :
  • Passe de meilleure estimation
  • Échouer
  • Aucune
  • Passer
  • Erreur permanente
  • Passe de sélecteur
  • Erreur temporaire
  • Unknown
Composite Sélectionnez une ou plusieurs valeurs :
  • Échouer
  • Aucune
  • Passer
  • Passe souple

Conseil

¹ L’emplacement de remise le plus récent n’inclut pas les actions de l’utilisateur final sur les messages. Par exemple, si l’utilisateur a supprimé le message ou déplacé le message vers un fichier d’archive ou PST.

Il existe des scénarios où Emplacement /de remise d’origineEmplacement de remise le plus récent et/ou Action de remise ont la valeur Inconnu. Par exemple :

  • Le message a été remis (l’action de remise est Remise), mais une règle de boîte de réception a déplacé le message vers un dossier par défaut autre que le dossier Boîte de réception ou Courrier indésirable Email (par exemple, le dossier Brouillon ou Archive).
  • ZAP a tenté de déplacer le message après la remise, mais le message est introuvable (par exemple, l’utilisateur a déplacé ou supprimé le message).

² Par défaut, une recherche d’URL est mappée à http, sauf si une autre valeur est explicitement spécifiée. Par exemple :

  • La recherche avec et sans préfixe http:// dans URL, Domaine d’URL et Domaine et Chemin d’URL doit afficher les mêmes résultats.
  • Recherchez le https:// préfixe dans URL. Lorsqu’aucune valeur n’est spécifiée, le http:// préfixe est supposé.
  • / au début et à la fin des champs chemin d’url, domaine d’URL, domaine d’URL et chemin d’accès sont ignorés.
  • / à la fin du champ URL est ignoré.

Tableaux croisés dynamiques du graphique dans l’affichage Tous les e-mails dans Menace Explorer

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique d’actions de remise dans l’affichage Tous les e-mails dans Threat Explorer

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, l’action Remise est le tableau croisé dynamique par défaut dans l’affichage Tous les e-mails .

Le tableau croisé dynamique de l’action de remise organise le graphique en fonction des actions effectuées sur les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Menace Explorer à l’aide du tableau croisé dynamique action de remise.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque action de remise.

Tableau croisé dynamique du graphique de domaine de l’expéditeur dans l’affichage Tous les e-mails dans Threat Explorer

Le tableau croisé dynamique du domaine de l’expéditeur organise le graphique par domaines dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Threat Explorer à l’aide du tableau croisé dynamique du domaine de l’expéditeur.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’expéditeur.

Tableau croisé dynamique du graphique IP de l’expéditeur dans l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique IP de l’expéditeur organise le graphique en fonction des adresses IP sources des messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Menace Explorer à l’aide du tableau croisé dynamique IP de l’expéditeur.

Le pointage sur un point de données dans le graphique affiche le nombre d’adresses IP de chaque expéditeur.

Tableau croisé dynamique du graphique de la technologie de détection dans l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique de la technologie détection organise le graphique en fonction de la fonctionnalité qui a identifié les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Menace Explorer à l’aide du tableau croisé dynamique de la technologie de détection.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique d’URL complète dans l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique URL complète organise le graphique en fonction des URL complètes dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Threat Explorer à l’aide du tableau croisé dynamique URL complète.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque URL complète.

Tableau croisé dynamique du graphique de domaine d’URL dans l’affichage Tous les e-mails dans Threat Explorer

Le tableau croisé dynamique du domaine d’URL organise le graphique par domaines dans les URL dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Threat Explorer à l’aide du tableau croisé dynamique du domaine d’URL.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Tableau croisé dynamique du domaine d’URL et du graphique de chemin d’accès dans l’affichage Tous les e-mails dans Threat Explorer

Le domaine d’URL et le tableau croisé dynamique du chemin d’accès organisent le graphique par domaines et chemins d’accès dans les URL des messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage Tous les e-mails dans Menace Explorer à l’aide du domaine d’URL et du tableau croisé dynamique du chemin d’accès.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque domaine d’URL et chemin d’accès.

Affichages de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer

Les affichages (onglets) disponibles dans la zone d’informations de l’affichage Tous les e-mails sont décrits dans les sous-sections suivantes.

Email pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Email est l’affichage par défaut de la zone d’informations dans l’affichage Tous les e-mails.

La vue Email affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Date*
  • Objet*
  • Destinataire*
  • Domaine du destinataire
  • Étiquettes*
  • Adresse de l’expéditeur*
  • Nom complet de l’expéditeur
  • Domaine de l’expéditeur*
  • IP de l’expéditeur
  • Courrier de l’expéditeur à partir de l’adresse
  • Courrier de l’expéditeur à partir du domaine
  • Actions supplémentaires*
  • Action de remise
  • Dernier emplacement de livraison*
  • Emplacement de livraison d’origine*
  • Source des remplacements système
  • Remplacements système
  • ID d’alerte
  • Internet message ID
  • ID de message réseau
  • Langue de messagerie
  • Règle de transport Exchange
  • Connector
  • Context
  • Règle de protection contre la perte de données
  • Type de menace*
  • Technologie de détection
  • Nombre de pièces jointes
  • Nombre d’URL
  • taille Email

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Supprimez les colonnes de la vue.
  • Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une ou plusieurs entrées dans la liste en sélectionnant la zone case activée en regard de la première colonne, l’action Effectuer est disponible. Pour plus d’informations, consultez Repérage des menaces : correction Email.

Capture d’écran de la vue Email (onglet) de la table de détails avec un message sélectionné et Action active.

Dans la valeur Objet de l’entrée, l’action Ouvrir dans une nouvelle fenêtre est disponible. Cette action ouvre le message dans la page d’entité Email.

Lorsque vous cliquez sur les valeurs Objet ou Destinataire dans une entrée, les menus volants de détails s’ouvrent. Ces menus volants sont décrits dans les sous-sections suivantes.

Email les détails de la vue Email de la zone détails dans l’affichage Tous les e-mails

Lorsque vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives standardisées qui sont également disponibles sur la page d’entité Email pour le message.

Pour plus d’informations sur les informations contenues dans le volet de résumé Email, consultez Panneau récapitulatif Email dans Defender.

Les actions suivantes sont disponibles en haut du panneau récapitulatif Email pour les détections de Explorer de menaces et en temps réel :

  • Ouvrir l’entité de messagerie
  • En-tête d’affichage
  • Agir : Pour plus d’informations, consultez Repérage des menaces : Email correction.
  • Autres options :
    • préversion Email¹ ²
    • Télécharger l’e-mail¹ ² ³
    • Afficher dans Explorer
    • Go hunt

¹ Les actions Email aperçu et Télécharger l’e-mail nécessitent le rôle Préversion dans Email & autorisations de collaboration. Par défaut, ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestionnaire eDiscovery . Par défaut, les membres des groupes de rôles Gestion de l’organisation ou Administrateurs de la sécurité ne peuvent pas effectuer ces actions. Pour autoriser ces actions pour les membres de ces groupes, vous disposez des options suivantes :

  • Ajoutez les utilisateurs aux groupes de rôles Enquêteur de données ou Gestionnaire eDiscovery .
  • Créez un groupe de rôles avec le rôle Rechercher et vider attribué, puis ajoutez les utilisateurs au groupe de rôles personnalisé.

² Vous pouvez afficher un aperçu ou télécharger les messages électroniques disponibles dans les boîtes aux lettres Microsoft 365. Voici quelques exemples de cas où les messages ne sont plus disponibles dans les boîtes aux lettres :

  • Le message a été supprimé avant l’échec de la remise ou de la remise.
  • Le message a été supprimé de manière réversible (supprimé du dossier Éléments supprimés, ce qui déplace le message vers le dossier Éléments récupérables\Suppressions).
  • ZAP a déplacé le message en quarantaine.

³ Le téléchargement de l’e-mail n’est pas disponible pour les messages qui ont été mis en quarantaine. Au lieu de cela, téléchargez une copie protégée par mot de passe du message à partir de la mise en quarantaine.

Go hunt est disponible uniquement dans Threat Explorer. Il n’est pas disponible dans les détections en temps réel.

Détails du destinataire à partir de l’affichage Email de la zone d’informations dans l’affichage Tous les e-mails

Lorsque vous sélectionnez une entrée en cliquant sur la valeur Destinataire , un menu volant de détails s’ouvre avec les informations suivantes :

Conseil

Pour afficher les détails des autres destinataires sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

  • Section Résumé :

    • Rôle : indique si le destinataire a des rôles d’administrateur attribués.
    • Stratégies :
      • Indique si l’utilisateur est autorisé à afficher les informations d’archivage.
      • Indique si l’utilisateur est autorisé à afficher les informations de rétention.
      • Indique si l’utilisateur est couvert par la protection contre la perte de données (DLP).
      • Indique si l’utilisateur est couvert par la gestion des appareils mobiles à l’adresse https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
  • Email section : tableau montrant les informations associées suivantes pour les messages envoyés au destinataire :

    • Date
    • Subject
    • Destinataire

    Sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans un nouvel onglet filtré par le destinataire.

  • Section Alertes récentes : tableau montrant les informations associées suivantes pour les alertes récentes associées :

    • Gravité
    • Stratégie d’alerte
    • Catégorie
    • Activités

    S’il existe plus de trois alertes récentes, sélectionnez Afficher toutes les alertes récentes pour les afficher toutes.

    • Section Activité récente : affiche les résultats résumés d’une recherche dans le journal d’audit pour le destinataire :

      • Date
      • Adresse IP
      • Activité
      • Élément

      Si le destinataire a plus de trois entrées de journal d’audit, sélectionnez Afficher toutes les activités récentes pour les afficher toutes.

    Conseil

    Les membres du groupe de rôles Administrateurs de la sécurité dans Email & autorisations de collaboration ne peuvent pas développer la section Activité récente. Vous devez être membre d’un groupe de rôles dans Exchange Online autorisations auxquelles sont attribués les rôles Journaux d’audit, Analyste Information Protection ou Enquêteur Information Protection. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion des enregistrements, Gestion de la conformité, Information Protection, Analystes Information Protection, Enquêteurs Information Protection et Gestion de l’organisation. Vous pouvez ajouter les membres des administrateurs de sécurité à ces groupes de rôles, ou vous pouvez créer un groupe de rôles avec le rôle Journaux d’audit attribué.

Capture d’écran du menu volant détails du destinataire après avoir sélectionné une valeur Recipient sous l’onglet Email de la zone de détails dans l’affichage Tous les e-mails.

L’URL clique sur la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue des clics d’URL affiche un graphique qui peut être organisé à l’aide de tableaux croisés dynamiques. Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques de graphique sont décrits dans les sous-sections suivantes.

Capture d’écran de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer avec l’onglet Clics sur l’URL sélectionné et montrant les tableaux croisés dynamiques disponibles sans aucun tableau croisé dynamique sélectionné.

Conseil

Dans menace Explorer, chaque tableau croisé dynamique de l’affichage des clics d’URL a une action Afficher tous les clics qui ouvre l’affichage des clics d’URL dans un nouvel onglet.

Tableau croisé dynamique du domaine d’URL pour la vue Des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Bien que ce tableau croisé dynamique ne semble pas être sélectionné, domaine d’URL est le tableau croisé dynamique par défaut du graphique dans la vue des clics d’URL .

Le tableau croisé dynamique du domaine d’URL affiche les différents domaines dans les URL des messages électroniques pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer avec l’onglet Clics sur l’URL et le tableau croisé dynamique du domaine d’URL sélectionné.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Cliquez sur le pivot de verdict pour l’affichage des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique Verdict de clic affiche les différents verdicts pour les URL cliquées dans les messages électroniques pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer avec l’onglet Clics sur l’URL et le tableau croisé dynamique de verdict Click sélectionné.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque verdict de clic.

Tableau croisé dynamique d’URL pour la vue des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique d’URL affiche les différentes URL sur lesquelles on a cliqué dans les messages électroniques pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer avec l’onglet URL clicks et le tableau croisé dynamique d’URL sélectionné.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque URL.

Domaine d’URL et tableau croisé dynamique du chemin d’accès pour l’affichage des clics d’URL pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

Le tableau croisé dynamique domaine et chemin d’URL affiche les différents domaines et chemins d’accès des URL sur lesquelles on a cliqué dans les e-mails pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran de la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer avec l’onglet Clics sur l’URL et le tableau croisé dynamique du domaine et du chemin d’accès d’URL sélectionnés.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque domaine d’URL et chemin d’accès de fichier.

Affichage des URL principales pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue URL principales affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

  • URL
  • Messages bloqués
  • Messages indésirables
  • Messages remis
Détails des URL principales pour l’affichage Tous les e-mails

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre avec les informations suivantes :

Conseil

Pour afficher les détails des autres URL sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

  • Les actions suivantes sont disponibles en haut du menu volant :
    • Ouvrir la page URL

    • Envoyer pour analyse :

      • Propre de rapport
      • Signaler l’hameçonnage
      • Signaler les programmes malveillants
    • Gérer l’indicateur :

      • Ajouter un indicateur
      • Gérer dans la liste bloquée des locataires

      La sélection de l’une de ces options vous permet d’accéder à la page Soumissions dans le portail Defender.

    • Plus :

      • Afficher dans Explorer
      • Chasse go
  • URL d’origine
  • Section Détection :
    • Verdict sur le renseignement sur les menaces
    • x alertes actives y incidents : graphique à barres horizontales qui montre le nombre d’alertes Haut, Moyen, Faible et Info liées à ce lien.
    • Lien permettant d’afficher tous les incidents & alertes dans la page URL.
  • Section Détails du domaine :
    • Nom de domaine et lien vers la page Afficher le domaine.
    • Déclarant
    • Inscrit sur
    • Mise à jour le
    • Expire le
  • Section Informations de contact de l’inscrit :
    • Registraire
    • Pays
    • Adresse postale
    • Courrier électronique
    • Téléphone
    • Plus d’informations : Lien vers Ouvrir sur Whois.
  • Section Prévalence d’URL (30 derniers jours) : contient le nombre d’appareils, de Email et de clics. Sélectionnez chaque valeur pour afficher la liste complète.
  • Appareils : affiche les appareils affectés :
    • Date (Premier /Dernier)

    • Appareils

      Si plus de deux appareils sont impliqués, sélectionnez Afficher tous les appareils pour les afficher tous.

Capture d’écran du menu volant de détails après la sélection d’une entrée sous l’onglet URL principales dans l’affichage Tous les e-mails dans Threat Explorer.

Affichage des clics du haut pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer

La vue Top clicks affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

  • URL
  • Bloqué
  • Autorisé
  • Bloc substitué
  • Verdict en attente
  • Verdict en attente ignoré
  • Aucune
  • Page d’erreur
  • Échec

Conseil

Toutes les colonnes disponibles sont sélectionnées. Si vous sélectionnez Personnaliser les colonnes, vous ne pouvez pas désélectionner les colonnes.

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Zoom arrière dans votre navigateur web.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue Utilisateurs les plus ciblés organise les données dans une table des cinq principaux destinataires ciblés par le plus de menaces. Le tableau contient les informations suivantes :

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Email vue d’origine pour la zone d’informations de l’affichage Tous les e-mails dans Menace Explorer

La vue d’origine Email affiche les sources de messages sur une carte du monde.

Capture d’écran de la carte du monde dans la vue d’origine Email dans la zone de détails de l’affichage Tous les e-mails dans Menace Explorer.

Affichage Campagne pour la zone d’informations de l’affichage Tous les e-mails dans Threat Explorer

La vue Campagne affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

Les informations contenues dans le tableau sont les mêmes que celles décrites dans le tableau détails de la page Campagnes.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails de la campagne.

Affichage des programmes malveillants dans la Explorer des menaces et détections en temps réel

La vue Programmes malveillants dans Détections Explorer de menaces et en temps réel affiche des informations sur les messages électroniques qui contiennent des programmes malveillants. Cette vue est la valeur par défaut dans détections en temps réel.

Pour ouvrir la vue Programmes malveillants , effectuez l’une des étapes suivantes :

  • Explorer des menaces : dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Malware. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Programmes malveillants.
  • Détections en temps réel : dans la page Détections en temps réel du portail Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Explorer>Onglet Logiciel malveillant. Vous pouvez également accéder directement à la page Détections en temps réel à l’aide https://security.microsoft.com/realtimereportsv3de , puis vérifier que l’onglet Programmes malveillants est sélectionné.

Capture d’écran de la vue Programmes malveillants dans Threat Explorer montrant le graphique, les tableaux croisés dynamiques disponibles pour le graphique et les affichages pour le tableau des détails.

Propriétés filtrables dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Adresse de l’expéditeur dans la vue Programmes malveillants sont décrites dans le tableau suivant :

Propriété Type Menaces
Explorer
Temps réel
Détections
Basique
Adresse de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Recipients Texte. Séparez plusieurs valeurs par des virgules.
Domaine de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Domaine du destinataire Texte. Séparez plusieurs valeurs par des virgules.
Sujet Texte. Séparez plusieurs valeurs par des virgules.
Nom complet de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir de l’adresse Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir du domaine Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’accès de retour Texte. Séparez plusieurs valeurs par des virgules.
Domaine de chemin d’accès de retour Texte. Séparez plusieurs valeurs par des virgules.
Famille de programmes malveillants Texte. Séparez plusieurs valeurs par des virgules.
Tags Texte. Séparez plusieurs valeurs par des virgules.

Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Règle de transport Exchange Texte. Séparez plusieurs valeurs par des virgules.
Règle de protection contre la perte de données Texte. Séparez plusieurs valeurs par des virgules.
Contexte Sélectionnez une ou plusieurs valeurs :
  • Évaluation
  • Protection des comptes prioritaires
Connector Texte. Séparez plusieurs valeurs par des virgules.
Action de remise Sélectionnez une ou plusieurs valeurs :
Action supplémentaire Sélectionnez une ou plusieurs valeurs :
Orientation Sélectionnez une ou plusieurs valeurs :
  • Entrants
  • Intra-organisation
  • Sortant
Technologie de détection Sélectionnez une ou plusieurs valeurs :
  • Filtre avancé : signaux basés sur le Machine Learning.
  • Protection anti-programme malveillant
  • E-mail de masse
  • Campagne
  • Réputation du domaine
  • Détonation de fichier : les pièces jointes fiables ont détecté une pièce jointe malveillante lors de l’analyse de la détonation.
  • Réputation de détonation de fichiers : pièces jointes précédemment détectées par les détonations de pièces jointes fiables dans d’autres organisations Microsoft 365.
  • Réputation des fichiers : le message contient un fichier précédemment identifié comme malveillant dans d’autres organisations Microsoft 365.
  • Correspondance d’empreintes digitales : le message ressemble étroitement à un message malveillant détecté précédemment.
  • Filtre général
  • Marque d’emprunt d’identité : emprunt d’identité d’expéditeur de marques connues.
  • Domaine d’emprunt d’identité : emprunt d’identité des domaines d’expéditeur que vous possédez ou que vous avez spécifiés pour la protection dans les stratégies anti-hameçonnage
  • Utilisateur emprunt d’identité
  • Réputation de l’adresse IP
  • Emprunt d’identité d’intelligence de boîte aux lettres : détections d’emprunt d’identité à partir de l’intelligence des boîtes aux lettres dans les stratégies anti-hameçonnage.
  • Détection d’analyse mixte : plusieurs filtres ont contribué au verdict du message.
  • usurpation DMARC : le message a échoué à l’authentification DMARC.
  • Usurpation de domaine externe : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine externe à votre organization.
  • Usurpation intra-organisation : usurpation d’adresse e-mail de l’expéditeur à l’aide d’un domaine interne à votre organization.
  • Détonation d’URL : les liens fiables ont détecté une URL malveillante dans le message pendant l’analyse de la détonation.
  • Réputation de détonation d’URL : URL précédemment détectées par les détonations de liens fiables dans d’autres organisations Microsoft 365.
  • Réputation malveillante d’URL : le message contient une URL qui a été précédemment identifiée comme malveillante dans d’autres organisations Microsoft 365.
Emplacement de livraison d’origine Sélectionnez une ou plusieurs valeurs :
  • dossier Éléments supprimés
  • Tomber
  • Échec
  • Boîte de réception/dossier
  • Dossier Courrier indésirable
  • Local/externe
  • Mise en quarantaine
  • Unknown
Dernier emplacement de livraison Mêmes valeurs que l’emplacement de remise d’origine
Remplacement principal Sélectionnez une ou plusieurs valeurs :
  • Autorisé par la stratégie organization
  • Autorisé par la stratégie utilisateur
  • Bloqué par la stratégie organization
  • Bloqué par la stratégie utilisateur
  • Aucune
Source de remplacement principale Les messages peuvent avoir plusieurs remplacements d’autorisation ou de blocage, comme indiqué dans Remplacer la source. Le remplacement qui a finalement autorisé ou bloqué le message est identifié dans Source de remplacement principale.
Sélectionnez une ou plusieurs valeurs :
  • Filtre tiers
  • Administration voyage dans le temps initié (ZAP)
  • Blocage de stratégie anti-programme malveillant par type de fichier
  • Paramètres de stratégie anti-courrier indésirable
  • Stratégie de connexion
  • Règle de transport Exchange
  • Mode exclusif (remplacement par l’utilisateur)
  • Filtrage ignoré en raison d’une organization locale
  • Filtre de région IP à partir de la stratégie
  • Filtre de langue à partir de la stratégie
  • Simulation d’hameçonnage
  • Mise en quarantaine
  • Boîte aux lettres SecOps
  • Liste d’adresses des expéditeurs (remplacement Administration)
  • Liste d’adresses des expéditeurs (remplacement par l’utilisateur)
  • Liste des domaines de l’expéditeur (remplacement Administration)
  • Liste des domaines de l’expéditeur (remplacement par l’utilisateur)
  • Bloc de fichiers d’autorisation/liste de blocage du locataire
  • Blocage de l’adresse e-mail de l’expéditeur d’autorisation/liste de blocage
  • Bloc d’usurpation d’autorisation/liste de blocage du locataire
  • Bloc d’URL d’autorisation/liste de blocage du locataire
  • Liste de contacts approuvés (remplacement par l’utilisateur)
  • Domaine approuvé (remplacement par l’utilisateur)
  • Destinataire approuvé (remplacement par l’utilisateur)
  • Expéditeurs approuvés uniquement (remplacement par l’utilisateur)
Remplacer la source Mêmes valeurs que la source de remplacement principale
Type de stratégie Sélectionnez une ou plusieurs valeurs :
  • Stratégie anti-programme malveillant
  • Politique de lutte contre l'hameçonnage
  • Règle de transport Exchange (règle de flux de courrier), stratégie de filtre de contenu hébergé (stratégie anti-courrier indésirable), stratégie de filtrage du courrier indésirable sortant hébergé (stratégie de courrier indésirable sortant), stratégie pièces jointes sécurisées
  • Unknown
Action de stratégie Sélectionnez une ou plusieurs valeurs :
  • Ajouter x-header
  • Message cci
  • Supprimer le message
  • Modifier l’objet
  • Déplacer vers le dossier Email indésirable
  • Aucune action n’a été entreprise
  • Message de redirection
  • Envoyer en quarantaine
taille Email Entier. Séparez plusieurs valeurs par des virgules.
Avancé
Identificateur du message Internet Texte. Séparez plusieurs valeurs par des virgules.

Disponible dans le champ d’en-tête Message-ID de l’en-tête du message. Un exemple de valeur est <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (notez les crochets).
ID de message réseau Texte. Séparez plusieurs valeurs par des virgules.

Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.
IP de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Pièce jointe SHA256 Texte. Séparez plusieurs valeurs par des virgules.
Cluster ID Texte. Séparez plusieurs valeurs par des virgules.
ID d’alerte Texte. Séparez plusieurs valeurs par des virgules.
ID de stratégie d’alerte Texte. Séparez plusieurs valeurs par des virgules.
ID de campagne Texte. Séparez plusieurs valeurs par des virgules.
Signal d’URL ZAP Texte. Séparez plusieurs valeurs par des virgules.
URL
Nombre d’URL Entier. Séparez plusieurs valeurs par des virgules.
Domaine d’URL Texte. Séparez plusieurs valeurs par des virgules.
Domaine et chemin d’URL Texte. Séparez plusieurs valeurs par des virgules.
URL Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’URL Texte. Séparez plusieurs valeurs par des virgules.
Source de l’URL Sélectionnez une ou plusieurs valeurs :
  • Attachments
  • Pièce jointe cloud
  • Email corps
  • en-tête Email
  • Code QR
  • Subject
  • Unknown
Cliquer sur le verdict Sélectionnez une ou plusieurs valeurs :
  • Autorisé
  • Bloc substitué
  • Bloqué
  • Erreur
  • Échec
  • Aucune
  • Verdict en attente
  • Verdict en attente ignoré
Menace d’URL Sélectionnez une ou plusieurs valeurs :
  • Programme malveillant
  • Hameçonnage
  • Courrier indésirable
Fichier
Nombre de pièces jointes Entier. Séparez plusieurs valeurs par des virgules.
Nom de fichier des pièces jointes Texte. Séparez plusieurs valeurs par des virgules.
Type de fichier Texte. Séparez plusieurs valeurs par des virgules.
File Extension Texte. Séparez plusieurs valeurs par des virgules.
Taille de fichier Entier. Séparez plusieurs valeurs par des virgules.
Authentification
SPF Sélectionnez une ou plusieurs valeurs :
  • Échouer
  • Neutre
  • Aucune
  • Passer
  • Erreur permanente
  • Soft fail
  • Erreur temporaire
DKIM Sélectionnez une ou plusieurs valeurs :
  • Erreur
  • Échouer
  • Ignore
  • Aucune
  • Passer
  • Test
  • Timeout
  • Unknown
DMARC Sélectionnez une ou plusieurs valeurs :
  • Passe de meilleure estimation
  • Échouer
  • Aucune
  • Passer
  • Erreur permanente
  • Passe de sélecteur
  • Erreur temporaire
  • Unknown
Composite Sélectionnez une ou plusieurs valeurs :
  • Échouer
  • Aucune
  • Passer
  • Passe souple

Tableaux croisés dynamiques du graphique dans la vue Programmes malveillants dans Threat Explorer and Real-time Detections

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel sont répertoriés dans le tableau suivant :

Pivot Menaces
Explorer
Temps réel
Détections
Famille de programmes malveillants
Domaine de l’expéditeur
IP de l’expéditeur
Action de remise
Technologie de détection

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique de la famille de programmes malveillants dans la vue Programmes malveillants Explorer

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, la famille de programmes malveillants est le tableau croisé dynamique par défaut dans la vue Programmes malveillants dans Explorer menaces.

Le tableau croisé dynamique famille de programmes malveillants organise le graphique par famille de programmes malveillants détectés dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Programmes malveillants dans Explorer menaces à l’aide du tableau croisé dynamique famille de programmes malveillants.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque famille de programmes malveillants.

Tableau croisé dynamique du graphique de domaine de l’expéditeur dans la vue Programmes malveillants dans Explorer menaces

Le tableau croisé dynamique du domaine de l’expéditeur organise le graphique par domaine de l’expéditeur des messages qui contiennent des programmes malveillants pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Programmes malveillants dans Menace Explorer à l’aide du tableau croisé dynamique du domaine de l’expéditeur.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’expéditeur.

Tableau croisé dynamique du graphique IP de l’expéditeur dans la vue Programmes malveillants dans Menace Explorer

Le tableau croisé dynamique IP de l’expéditeur organise le graphique en fonction de l’adresse IP source des messages qui contiennent des programmes malveillants pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Programmes malveillants dans Menace Explorer à l’aide du tableau croisé dynamique IP de l’expéditeur.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque adresse IP source.

Tableau croisé dynamique du graphique d’actions de remise dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, l’action de remise est le tableau croisé dynamique par défaut dans la vue Programmes malveillants dans détections en temps réel.

Le tableau croisé dynamique de l’action de remise organise le graphique en fonction de ce qui est arrivé aux messages qui contiennent des programmes malveillants pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Programmes malveillants dans Menace Explorer à l’aide du tableau croisé dynamique action de remise.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque action de remise.

Tableau croisé dynamique du graphique de la technologie de détection dans la vue Programmes malveillants dans Détections de Explorer de menaces et en temps réel

Le tableau croisé dynamique de la technologie de détection organise le graphique en fonction de la fonctionnalité qui a identifié les programmes malveillants dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Programmes malveillants dans Threat Explorer using the Detection technology pivot.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Affichages de la zone d’informations de la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Les affichages (onglets) disponibles dans la zone d’informations de la vue Programmes malveillants sont répertoriés dans le tableau suivant et sont décrits dans les sous-sections suivantes.

Afficher Menaces
Explorer
Temps réel
Détections
Courrier électronique
Principales familles de programmes malveillants
Principaux utilisateurs ciblés
origine Email
Campagne

Email pour la zone de détails de la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel

Email est l’affichage par défaut pour la zone de détails de la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel.

La vue Email affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées.

Le tableau suivant présente les colonnes disponibles dans détections Explorer de menaces et en temps réel. Les valeurs par défaut sont marquées d’un astérisque (*).

Column Menaces
Explorer
Temps réel
Détections
Date*
Objet*
Destinataire*
Domaine du destinataire
Étiquettes*
Adresse de l’expéditeur*
Nom complet de l’expéditeur
Domaine de l’expéditeur*
IP de l’expéditeur
Courrier de l’expéditeur à partir de l’adresse
Courrier de l’expéditeur à partir du domaine
Actions supplémentaires*
Action de remise
Dernier emplacement de livraison*
Emplacement de livraison d’origine*
Source des remplacements système
Remplacements système
ID d’alerte
Internet message ID
ID de message réseau
Langue de messagerie
Règle de transport Exchange
Connector
Context
Règle de protection contre la perte de données
Type de menace*
Technologie de détection
Nombre de pièces jointes
Nombre d’URL
taille Email

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Supprimez les colonnes de la vue.
  • Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une ou plusieurs entrées dans la liste en sélectionnant la zone case activée en regard de la première colonne, l’action Effectuer est disponible. Pour plus d’informations, consultez Repérage des menaces : correction Email.

Capture d’écran de la vue Email (onglet) de la table de détails avec un message sélectionné et Action active.

Lorsque vous cliquez sur les valeurs Objet ou Destinataire dans une entrée, les menus volants de détails s’ouvrent. Ces menus volants sont décrits dans les sous-sections suivantes.

Email détails de la vue Email de la zone détails dans la vue Programmes malveillants

Lorsque vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives standardisées qui sont également disponibles sur la page d’entité Email pour le message.

Pour plus d’informations sur les informations contenues dans le panneau de synthèse Email, consultez Panneaux de synthèse Email.

Les actions disponibles en haut du panneau de résumé Email pour les détections de menaces Explorer et en temps réel sont décrites dans la Email détails de la vue Email de la zone d’informations de l’affichage Tous les e-mails.

Détails du destinataire à partir de la vue Email de la zone d’informations dans la vue Programmes malveillants

Lorsque vous sélectionnez une entrée en cliquant sur la valeur Destinataire , un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails du destinataire à partir de la vue Email de la zone de détails de l’affichage Tous les e-mails.

Affichage des principales familles de programmes malveillants pour la zone d’informations de la vue Programmes malveillants dans Threat Explorer

La vue Principales familles de programmes malveillants pour la zone d’informations organise les données dans un tableau des principales familles de programmes malveillants. Le tableau montre :

  • Colonne Principales familles de programmes malveillants : nom de la famille de programmes malveillants.

    Si vous sélectionnez un nom de famille de programmes malveillants, un menu volant de détails s’ouvre et contient les informations suivantes :

    • Email section : tableau montrant les informations associées suivantes pour les messages qui contiennent le fichier de programme malveillant :

      • Date
      • Subject
      • Destinataire

      Sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

    • Section Détails techniques

    Capture d’écran du menu volant de détails après avoir sélectionné une famille de logiciels malveillants sous l’onglet Principales familles de programmes malveillants de la zone d’informations de la vue Programmes malveillants de La Explorer des menaces.

  • Nombre de tentatives : si vous sélectionnez le nombre de tentatives, menace Explorer s’ouvre dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de la vue Programmes malveillants dans Threat Explorer

La vue Utilisateurs les plus ciblés organise les données dans un tableau des cinq principaux destinataires ciblés par un programme malveillant. Le tableau montre :

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Email vue d’origine pour la zone de détails de la vue Programmes malveillants dans Menace Explorer

La vue d’origine Email affiche les sources de messages sur une carte du monde.

Affichage Campagne pour la zone d’informations de l’affichage Programmes malveillants dans Explorer menaces

La vue Campagne affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

La table de détails est identique à la table de détails de la page Campagnes.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails de la campagne.

Vue Hameçonnage dans les détections de Explorer de menaces et en temps réel

La vue Hameçonnage dans Détections Explorer de menaces et en temps réel affiche des informations sur les messages électroniques identifiés comme hameçonnage.

Pour ouvrir la vue Hameçon , effectuez l’une des étapes suivantes :

Capture d’écran de la vue Hameçon dans Menace Explorer montrant le graphique, les tableaux croisés dynamiques disponibles pour le graphique et les affichages pour le tableau de détails.

Propriétés filtrables dans la vue Hameçonnage dans les détections de Explorer de menaces et en temps réel

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Adresse de l’expéditeur dans la vue Programmes malveillants sont décrites dans le tableau suivant :

Propriété Type Menaces
Explorer
Temps réel
Détections
Basique
Adresse de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Recipients Texte. Séparez plusieurs valeurs par des virgules.
Domaine de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Domaine du destinataire Texte. Séparez plusieurs valeurs par des virgules.
Sujet Texte. Séparez plusieurs valeurs par des virgules.
Nom complet de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir de l’adresse Texte. Séparez plusieurs valeurs par des virgules.
Courrier de l’expéditeur à partir du domaine Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’accès de retour Texte. Séparez plusieurs valeurs par des virgules.
Domaine de chemin d’accès de retour Texte. Séparez plusieurs valeurs par des virgules.
Tags Texte. Séparez plusieurs valeurs par des virgules.

Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
Domaine emprunté Texte. Séparez plusieurs valeurs par des virgules.
Utilisateur usurpé l’identité Texte. Séparez plusieurs valeurs par des virgules.
Règle de transport Exchange Texte. Séparez plusieurs valeurs par des virgules.
Règle de protection contre la perte de données Texte. Séparez plusieurs valeurs par des virgules.
Contexte Sélectionnez une ou plusieurs valeurs :
  • Évaluation
  • Protection des comptes prioritaires
Connector Texte. Séparez plusieurs valeurs par des virgules.
Action de remise Sélectionnez une ou plusieurs valeurs :
Action supplémentaire Sélectionnez une ou plusieurs valeurs :
  • Correction automatisée
  • Livraison dynamique
  • Correction manuelle
  • Aucune
  • Mise en quarantaine
  • Retraité
  • ZAP
Orientation Sélectionnez une ou plusieurs valeurs :
  • Entrants
  • Intra-organisation
  • Sortant
Technologie de détection Sélectionnez une ou plusieurs valeurs :
  • Filtre avancé
  • Protection anti-programme malveillant
  • E-mail de masse
  • Campagne
  • Réputation du domaine
  • Détonation de fichier
  • Réputation de détonation de fichier
  • Réputation des fichiers
  • Correspondance de l’empreinte
  • Filtre général
  • Marque d’emprunt d’identité
  • Domaine d’emprunt d’identité
  • Utilisateur emprunt d’identité
  • Réputation de l’adresse IP
  • Emprunt d’identité sur la veille des boîtes aux lettre
  • Détection d’analyse mixte
  • usurpation d’identité DMARC
  • Usurpation d’un domaine externe
  • Usurpation d’organisation intra-organisation
  • Détonation d’URL
  • Réputation de détonation d’URL
  • Réputation d’URL malveillante
Emplacement de livraison d’origine Sélectionnez une ou plusieurs valeurs :
  • dossier Éléments supprimés
  • Tomber
  • Échec
  • Boîte de réception/dossier
  • Dossier Courrier indésirable
  • Local/externe
  • Mise en quarantaine
  • Unknown
Dernier emplacement de livraison Mêmes valeurs que l’emplacement de remise d’origine
Niveau de confiance des hameçonnages Sélectionnez une ou plusieurs valeurs :
  • High
  • Normal
Remplacement principal Sélectionnez une ou plusieurs valeurs :
  • Autorisé par la stratégie organization
  • Autorisé par la stratégie utilisateur
  • Bloqué par la stratégie organization
  • Bloqué par la stratégie utilisateur
  • Aucune
Source de remplacement principale Les messages peuvent avoir plusieurs remplacements d’autorisation ou de blocage, comme indiqué dans Remplacer la source. Le remplacement qui a finalement autorisé ou bloqué le message est identifié dans Source de remplacement principale.
Sélectionnez une ou plusieurs valeurs :
  • Filtre tiers
  • Administration voyage dans le temps initié (ZAP)
  • Blocage de stratégie anti-programme malveillant par type de fichier
  • Paramètres de stratégie anti-courrier indésirable
  • Stratégie de connexion
  • Règle de transport Exchange
  • Mode exclusif (remplacement par l’utilisateur)
  • Filtrage ignoré en raison d’une organization locale
  • Filtre de région IP à partir de la stratégie
  • Filtre de langue à partir de la stratégie
  • Simulation d’hameçonnage
  • Mise en quarantaine
  • Boîte aux lettres SecOps
  • Liste d’adresses des expéditeurs (remplacement Administration)
  • Liste d’adresses des expéditeurs (remplacement par l’utilisateur)
  • Liste des domaines de l’expéditeur (remplacement Administration)
  • Liste des domaines de l’expéditeur (remplacement par l’utilisateur)
  • Bloc de fichiers d’autorisation/liste de blocage du locataire
  • Blocage de l’adresse e-mail de l’expéditeur d’autorisation/liste de blocage
  • Bloc d’usurpation d’autorisation/liste de blocage du locataire
  • Bloc d’URL d’autorisation/liste de blocage du locataire
  • Liste de contacts approuvés (remplacement par l’utilisateur)
  • Domaine approuvé (remplacement par l’utilisateur)
  • Destinataire approuvé (remplacement par l’utilisateur)
  • Expéditeurs approuvés uniquement (remplacement par l’utilisateur)
Remplacer la source Mêmes valeurs que la source de remplacement principale
Type de stratégie Sélectionnez une ou plusieurs valeurs :
  • Stratégie anti-programme malveillant
  • Politique de lutte contre l'hameçonnage
  • Règle de transport Exchange (règle de flux de courrier), stratégie de filtre de contenu hébergé (stratégie anti-courrier indésirable), stratégie de filtrage du courrier indésirable sortant hébergé (stratégie de courrier indésirable sortant), stratégie pièces jointes sécurisées
  • Unknown
Action de stratégie Sélectionnez une ou plusieurs valeurs :
  • Ajouter x-header
  • Message cci
  • Supprimer le message
  • Modifier l’objet
  • Déplacer vers le dossier Email indésirable
  • Aucune action n’a été entreprise
  • Message de redirection
  • Envoyer en quarantaine
taille Email Entier. Séparez plusieurs valeurs par des virgules.
Avancé
Identificateur du message Internet Texte. Séparez plusieurs valeurs par des virgules.

Disponible dans le champ d’en-tête Message-ID de l’en-tête du message. Un exemple de valeur est <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (notez les crochets).
ID de message réseau Texte. Séparez plusieurs valeurs par des virgules.

Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.
IP de l’expéditeur Texte. Séparez plusieurs valeurs par des virgules.
Pièce jointe SHA256 Texte. Séparez plusieurs valeurs par des virgules.
Cluster ID Texte. Séparez plusieurs valeurs par des virgules.
ID d’alerte Texte. Séparez plusieurs valeurs par des virgules.
ID de stratégie d’alerte Texte. Séparez plusieurs valeurs par des virgules.
ID de campagne Texte. Séparez plusieurs valeurs par des virgules.
Signal d’URL ZAP Texte. Séparez plusieurs valeurs par des virgules.
URL
Nombre d’URL Entier. Séparez plusieurs valeurs par des virgules.
Domaine d’URL Texte. Séparez plusieurs valeurs par des virgules.
Domaine et chemin d’URL Texte. Séparez plusieurs valeurs par des virgules.
URL Texte. Séparez plusieurs valeurs par des virgules.
Chemin d’URL Texte. Séparez plusieurs valeurs par des virgules.
Source de l’URL Sélectionnez une ou plusieurs valeurs :
  • Attachments
  • Pièce jointe cloud
  • Email corps
  • en-tête Email
  • Code QR
  • Subject
  • Unknown
Cliquer sur le verdict Sélectionnez une ou plusieurs valeurs :
  • Autorisé
  • Bloc substitué
  • Bloqué
  • Erreur
  • Échec
  • Aucune
  • Verdict en attente
  • Verdict en attente ignoré
Menace d’URL Sélectionnez une ou plusieurs valeurs :
  • Programme malveillant
  • Hameçonnage
  • Courrier indésirable
Fichier
Nombre de pièces jointes Entier. Séparez plusieurs valeurs par des virgules.
Nom de fichier des pièces jointes Texte. Séparez plusieurs valeurs par des virgules.
Type de fichier Texte. Séparez plusieurs valeurs par des virgules.
File Extension Texte. Séparez plusieurs valeurs par des virgules.
Taille de fichier Entier. Séparez plusieurs valeurs par des virgules.
Authentification
SPF Sélectionnez une ou plusieurs valeurs :
  • Échouer
  • Neutre
  • Aucune
  • Passer
  • Erreur permanente
  • Soft fail
  • Erreur temporaire
DKIM Sélectionnez une ou plusieurs valeurs :
  • Erreur
  • Échouer
  • Ignore
  • Aucune
  • Passer
  • Test
  • Timeout
  • Unknown
DMARC Sélectionnez une ou plusieurs valeurs :
  • Passe de meilleure estimation
  • Échouer
  • Aucune
  • Passer
  • Erreur permanente
  • Passe de sélecteur
  • Erreur temporaire
  • Unknown
Composite Sélectionnez une ou plusieurs valeurs :
  • Échouer
  • Aucune
  • Passer
  • Passe souple

Tableaux croisés dynamiques pour le graphique dans l’affichage Hameçonnage dans Détections Explorer de menaces et en temps réel

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques de graphique disponibles dans l’affichage Hameçonnage dans Détections de menaces Explorer et en temps réel sont répertoriés dans le tableau suivant :

Pivot Menaces
Explorer
Temps réel
Détections
Domaine de l’expéditeur
IP de l’expéditeur
Action de remise
Technologie de détection
URL complète
Domaine d’URL
Domaine et chemin d’URL

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique de domaine de l’expéditeur dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, le domaine de l’expéditeur est le tableau croisé dynamique par défaut dans la vue Hameçonnage dans détections en temps réel.

Le tableau croisé dynamique du domaine de l’expéditeur organise le graphique par domaines dans les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçon dans Menace Explorer à l’aide du tableau croisé dynamique du domaine de l’expéditeur.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’expéditeur.

Tableau croisé dynamique du graphique IP de l’expéditeur dans la vue Hameçonnage dans Menace Explorer

Le tableau croisé dynamique IP de l’expéditeur organise le graphique en fonction des adresses IP sources des messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçonnage dans Menace Explorer à l’aide du tableau croisé dynamique IP de l’expéditeur.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque adresse IP source.

Tableau croisé dynamique du graphique d’actions de remise dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, l’action de remise est le tableau croisé dynamique par défaut dans la vue Hameçonnage dans Menace Explorer.

Le tableau croisé dynamique de l’action de remise organise le graphique en fonction des actions effectuées sur les messages pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçon dans Menace Explorer à l’aide du tableau croisé dynamique de l’action de remise.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque action de remise.

Tableau croisé dynamique du graphique de la technologie de détection dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Le tableau croisé dynamique de la technologie détection organise le graphique en fonction de la fonctionnalité qui a identifié les messages d’hameçonnage pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçonnage dans Menace Explorer à l’aide du tableau croisé dynamique de la technologie de détection.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique complet du graphique d’URL dans la vue Hameçonnage dans Menace Explorer

Le tableau croisé dynamique URL complète organise le graphique en fonction des URL complètes dans les messages de hameçonnage pour la plage de date/heure et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçon dans Menace Explorer à l’aide du tableau croisé dynamique URL complète.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque URL complète.

Tableau croisé dynamique du graphique de domaine d’URL dans la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Le tableau croisé dynamique du domaine d’URL organise le graphique par domaines dans les URL des messages d’hameçonnage pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçon dans Menace Explorer à l’aide du tableau croisé dynamique du domaine d’URL.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Tableau croisé dynamique du domaine d’URL et du graphique de chemin d’accès dans l’affichage Hameçon dans Threat Explorer

Le domaine d’URL et le tableau croisé dynamique du chemin d’accès organisent le graphique par domaines et chemins d’accès dans les URL des messages d’hameçonnage pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Hameçon dans Menace Explorer à l’aide du domaine d’URL et du tableau croisé dynamique du chemin d’accès.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque domaine d’URL et chemin d’accès.

Affichages de la zone de détails de l’affichage Hameçon dans Threat Explorer

Les affichages (onglets) disponibles dans la zone de détails de la vue Hameçonnage sont répertoriés dans le tableau suivant et sont décrits dans les sous-sections suivantes.

Afficher Menaces
Explorer
Temps réel
Détections
Courrier électronique
Clics d’URL
URL principales
Clics du haut
Principaux utilisateurs ciblés
origine Email
Campagne

vue Email pour la zone de détails de la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

Email est l’affichage par défaut pour la zone d’informations de la vue Hameçonnage dans Détections Explorer de menaces et en temps réel.

La vue Email affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées.

Le tableau suivant présente les colonnes disponibles dans détections Explorer de menaces et en temps réel. Les valeurs par défaut sont marquées d’un astérisque (*).

Column Menaces
Explorer
Temps réel
Détections
Date*
Objet*
Destinataire*
Domaine du destinataire
Étiquettes*
Adresse de l’expéditeur*
Nom complet de l’expéditeur
Domaine de l’expéditeur*
IP de l’expéditeur
Courrier de l’expéditeur à partir de l’adresse
Courrier de l’expéditeur à partir du domaine
Actions supplémentaires*
Action de remise
Dernier emplacement de livraison*
Emplacement de livraison d’origine*
Source des remplacements système
Remplacements système
ID d’alerte
Internet message ID
ID de message réseau
Langue de messagerie
Règle de transport Exchange
Connector
Niveau de confiance des hameçonnages
Context
Règle de protection contre la perte de données
Type de menace*
Technologie de détection
Nombre de pièces jointes
Nombre d’URL
taille Email

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Supprimez les colonnes de la vue.
  • Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une ou plusieurs entrées dans la liste en sélectionnant la zone case activée en regard de la première colonne, l’action Effectuer est disponible. Pour plus d’informations, consultez Repérage des menaces : correction Email.

Capture d’écran de la vue Email (onglet) de la table de détails avec un message sélectionné et Action active.

Lorsque vous cliquez sur les valeurs Objet ou Destinataire dans une entrée, les menus volants de détails s’ouvrent. Ces menus volants sont décrits dans les sous-sections suivantes.

Email les détails de la vue Email de la zone de détails dans la vue Hameçonnage

Lorsque vous sélectionnez la valeur Objet d’une entrée dans le tableau, un menu volant de détails de l’e-mail s’ouvre. Ce menu volant de détails est appelé panneau de résumé Email et contient des informations récapitulatives standardisées qui sont également disponibles sur la page d’entité Email pour le message.

Pour plus d’informations sur les informations contenues dans le panneau de synthèse Email, consultez Panneau récapitulatif Email dans Defender for Office 365 fonctionnalités.

Les actions disponibles en haut du panneau de résumé Email pour les détections de menaces Explorer et en temps réel sont décrites dans la Email détails de la vue Email de la zone d’informations de l’affichage Tous les e-mails.

Détails du destinataire à partir de la vue Email de la zone de détails dans la vue Hameçonnage

Lorsque vous sélectionnez une entrée en cliquant sur la valeur Destinataire , un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails du destinataire à partir de la vue Email de la zone de détails de l’affichage Tous les e-mails.

Affichage des clics d’URL pour la zone de détails de l’affichage Hameçonnage dans Détections Explorer de menaces et en temps réel

La vue des clics d’URL affiche un graphique qui peut être organisé à l’aide de tableaux croisés dynamiques. Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles dans la vue Programmes malveillants dans Détections Explorer de menaces et en temps réel sont décrits dans le tableau suivant :

Pivot Menaces
Explorer
Temps réel
Détections
Domaine d’URL
Cliquer sur le verdict
URL
Domaine et chemin d’URL

Les mêmes tableaux croisés dynamiques de graphique sont disponibles et décrits pour l’affichage Tous les e-mails dans Menace Explorer :

Capture d’écran de la zone d’informations de la vue Hameçonnage dans Menace Explorer avec l’onglet Clics sur l’URL sélectionné et montrant les tableaux croisés dynamiques disponibles sans aucun tableau croisé dynamique sélectionné.

Conseil

Dans threat Explorer, chaque tableau croisé dynamique de l’affichage des clics d’URL a une action Afficher tous les clics qui ouvre l’affichage des clics d’URL dans Threat Explorer dans un nouvel onglet. Cette action n’est pas disponible dans les détections en temps réel, car l’affichage des clics sur l’URL n’est pas disponible dans détections en temps réel.

Vue URL principales pour la zone de détails de la vue Hameçonnage dans Détections Explorer de menaces et en temps réel

La vue URL principales affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

  • URL
  • Messages bloqués
  • Messages indésirables
  • Messages remis
Détails des URL principales pour la vue Hameçonnage

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Conseil

L’action Go hunt est disponible uniquement dans Threat Explorer. Il n’est pas disponible dans les détections en temps réel.

Affichage des clics du haut pour la zone d’informations de l’affichage Hameçonnage dans Détections Explorer de menaces et en temps réel

La vue Top clicks affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

  • URL
  • Bloqué
  • Autorisé
  • Bloc substitué
  • Verdict en attente
  • Verdict en attente ignoré
  • Aucune
  • Page d’erreur
  • Échec

Conseil

Toutes les colonnes disponibles sont sélectionnées. Si vous sélectionnez Personnaliser les colonnes, vous ne pouvez pas désélectionner les colonnes.

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Zoom arrière dans votre navigateur web.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de la vue Hameçonnage dans Menace Explorer

La vue Utilisateurs les plus ciblés organise les données dans une table des cinq premiers destinataires ciblés par des tentatives d’hameçonnage. Le tableau montre :

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Email vue d’origine pour la zone de détails de la vue Hameçonnage dans Menace Explorer

La vue d’origine Email affiche les sources de messages sur une carte du monde.

Affichage campagne pour la zone de détails de la vue Hameçon dans Menace Explorer

La vue Campagne affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

Les informations contenues dans le tableau sont les mêmes que celles décrites dans le tableau détails de la page Campagnes.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Détails de la campagne.

Affichage Campagnes dans Threat Explorer

L’affichage Campagnes de la Explorer des menaces affiche des informations sur les menaces identifiées comme des attaques par hameçonnage et des programmes malveillants coordonnés, soit spécifiques à votre organization, soit à d’autres organisations dans Microsoft 365.

Pour ouvrir l’affichage Campagnes dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Campaigns. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Campagnes.

Toutes les informations et actions disponibles sont identiques aux informations et actions de la page Campagnes à l’adresse https://security.microsoft.com/campaignsv3. Pour plus d’informations, consultez la page Campagnes dans le portail Microsoft Defender.

Capture d’écran de la vue Campagnes dans Menace Explorer montrant le graphique, les tableaux croisés dynamiques disponibles pour le graphique et les affichages pour le tableau de détails.

Affichage des programmes malveillants de contenu dans la Explorer des menaces et détections en temps réel

La vue Contenu des programmes malveillants dans Détections en temps réel et Explorer des menaces affiche des informations sur les fichiers identifiés comme des programmes malveillants par :

Pour ouvrir l’affichage Programme malveillant de contenu , effectuez l’une des étapes suivantes :

  • Explorer des menaces : dans la page Explorer du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Programmes malveillants de contenu. Vous pouvez également accéder directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionner l’onglet Programme malveillant de contenu.
  • Détections en temps réel : dans la page Détections en temps réel du portail Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet Collaboration>Explorer>Programmes malveillants de contenu. Vous pouvez également accéder directement à la page Détections en temps réel à l’aide https://security.microsoft.com/realtimereportsv3de , puis sélectionner l’onglet Programme malveillant de contenu.

Capture d’écran de l’affichage des programmes malveillants Cotent dans Threat Explorer montrant le graphique, les tableaux croisés dynamiques disponibles pour le graphique et les affichages pour le tableau de détails.

Propriétés filtrables dans l’affichage Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Nom de fichier de l’affichage Programme malveillant de contenu dans Détections Explorer de menaces et en temps réel sont décrites dans le tableau suivant :

Propriété Type Menaces
Explorer
Temps réel
Détections
Fichier
Nom de fichier Texte. Séparez plusieurs valeurs par des virgules.
Charge de travail Sélectionnez une ou plusieurs valeurs :
  • OneDrive
  • SharePoint
  • Teams
Site Texte. Séparez plusieurs valeurs par des virgules.
Propriétaire du fichier Texte. Séparez plusieurs valeurs par des virgules.
Auteur de la dernière modification Texte. Séparez plusieurs valeurs par des virgules.
SHA256 Entier. Séparez plusieurs valeurs par des virgules.

Pour rechercher la valeur de hachage SHA256 d’un fichier, exécutez la commande suivante dans PowerShell : Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Famille de programmes malveillants Texte. Séparez plusieurs valeurs par des virgules.
Technologie de détection Sélectionnez une ou plusieurs valeurs :
  • Filtre avancé
  • Protection anti-programme malveillant
  • E-mail de masse
  • Campagne
  • Réputation du domaine
  • Détonation de fichier
  • Réputation de détonation de fichier
  • Réputation des fichiers
  • Correspondance de l’empreinte
  • Filtre général
  • Marque d’emprunt d’identité
  • Domaine d’emprunt d’identité
  • Utilisateur emprunt d’identité
  • Réputation de l’adresse IP
  • Emprunt d’identité sur la veille des boîtes aux lettre
  • Détection d’analyse mixte
  • usurpation d’identité DMARC
  • Usurpation d’un domaine externe
  • Usurpation d’organisation intra-organisation
  • Détonation d’URL
  • Réputation de détonation d’URL
  • Réputation d’URL malveillante
Type de menace Sélectionnez une ou plusieurs valeurs :
  • Bloquer
  • Programme malveillant
  • Hameçonnage
  • Courrier indésirable

Tableaux croisés dynamiques pour le graphique dans l’affichage Contenu des programmes malveillants dans Threat Explorer et Détections en temps réel

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles dans l’affichage Contenu des programmes malveillants dans Détections Explorer de menaces et en temps réel sont répertoriés dans le tableau suivant :

Pivot Menaces
Explorer
Temps réel
Détections
Famille de programmes malveillants
Technologie de détection
Charge de travail

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique de la famille de programmes malveillants dans l’affichage Contenu des programmes malveillants dans Détections Explorer de menaces et en temps réel

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, la famille de programmes malveillants est le tableau croisé dynamique par défaut dans l’affichage Programmes malveillants de contenu dans Menaces Explorer et Détections en temps réel.

Le tableau croisé dynamique de la famille de programmes malveillants organise le graphique en fonction des programmes malveillants identifiés dans les fichiers dans SharePoint, OneDrive et Microsoft Teams à l’aide de la plage de dates/heures et des filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Contenu des programmes malveillants dans Threat Explorer à l’aide du tableau croisé dynamique famille de programmes malveillants.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque famille de programmes malveillants.

Tableau croisé dynamique du graphique de la technologie de détection dans l’affichage Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Le tableau croisé dynamique de la technologie de détection organise le graphique en fonction de la fonctionnalité qui a identifié les programmes malveillants dans les fichiers dans SharePoint, OneDrive et Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Contenu des programmes malveillants dans Menace Explorer à l’aide du tableau croisé dynamique de la technologie de détection.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique du graphique de charge de travail dans la vue Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Le tableau croisé dynamique charge de travail organise le graphique en fonction de l’emplacement où le programme malveillant a été identifié (SharePoint, OneDrive ou Microsoft Teams) pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue Programmes malveillants dans Menace Explorer à l’aide du tableau croisé dynamique Charge de travail.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque charge de travail.

Affichages de la zone d’informations de l’affichage Programme malveillant de contenu dans Détections de Explorer de menaces et en temps réel

Dans Détections Explorer de menaces et en temps réel, la zone de détails de l’affichage Programme malveillant de contenu ne contient qu’un seul affichage (onglet) nommé Documents. Cette vue est décrite dans la sous-section suivante.

Vue document pour la zone d’informations de l’affichage Contenu des programmes malveillants dans Détections de Explorer de menaces et en temps réel

Document est l’affichage par défaut et uniquement pour la zone d’informations dans l’affichage Programme malveillant de contenu .

La vue Document affiche une table de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Date*
  • Nom*
  • Charge de travail*
  • Menace*
  • Technologie de détection*
  • Dernière modification de l’utilisateur*
  • Propriétaire du fichier*
  • Taille (octets)*
  • Heure de la dernière modification
  • Chemin d’accès du site
  • Chemin d'accès du fichier
  • Document ID
  • SHA256
  • Date de détection
  • Famille de programmes malveillants
  • Context

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Supprimez les colonnes de la vue.
  • Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Lorsque vous sélectionnez une valeur de nom de fichier dans la colonne Nom , un menu volant de détails s’ouvre. Le menu volant contient les informations suivantes :

  • Section Résumé :

    • Filename
    • Chemin d’accès du site
    • Chemin d'accès du fichier
    • Document ID
    • SHA256
    • Date de la dernière modification
    • Auteur de la dernière modification
    • Menace
    • Technologie de détection
  • Section Détails :

    • Date de détection
    • Détecté par
    • Nom du programme malveillant
    • Auteur de la dernière modification
    • Taille du fichier
    • Propriétaire du fichier
  • Email section liste : tableau montrant les informations connexes suivantes pour les messages qui contiennent le fichier de logiciels malveillants :

    • Date
    • Subject
    • Destinataire

    Sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans un nouvel onglet filtré par le nom de la famille de logiciels malveillants.

  • Activité récente : affiche les résultats résumés d’une recherche dans le journal d’audit pour le destinataire :

    • Date
    • Adresse IP
    • Activité
    • Élément

    Si le destinataire a plus de trois entrées de journal d’audit, sélectionnez Afficher toutes les activités récentes pour les afficher toutes.

    Conseil

    Les membres du groupe de rôles Administrateurs de la sécurité dans Email & autorisations de collaboration ne peuvent pas développer la section Activité récente. Vous devez être membre d’un groupe de rôles dans Exchange Online autorisations auxquelles sont attribués les rôles Journaux d’audit, Analyste Information Protection ou Enquêteur Information Protection. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion des enregistrements, Gestion de la conformité, Information Protection, Analystes Information Protection, Enquêteurs Information Protection et Gestion de l’organisation. Vous pouvez ajouter les membres des administrateurs de sécurité à ces groupes de rôles, ou vous pouvez créer un groupe de rôles avec le rôle Journaux d’audit attribué.

Capture d’écran du menu volant détails de l’affichage Document pour la zone d’informations de l’affichage Programme malveillant de contenu dans Détections Explorer menaces et en temps réel.

Affichage des clics sur l’URL dans threat Explorer

L’affichage clics sur l’URL dans Menace Explorer affiche tous les clics de l’utilisateur sur les URL dans les e-mails, dans les fichiers Office pris en charge dans SharePoint et OneDrive, et dans Microsoft Teams.

Pour ouvrir l’affichage des clics d’URL dans la page Explorer dans le portail Defender à l’adressehttps://security.microsoft.com , accédez à Email &'onglet> de clics Explorer >URL collaboration. Ou bien, accédez directement à la page Explorer à l’aide https://security.microsoft.com/threatexplorerv3de , puis sélectionnez l’onglet URL clicks (Clic sur l’URL).

Capture d’écran de l’affichage des clics d’URL dans Menace Explorer montrant le graphique, les tableaux croisés dynamiques disponibles pour le graphique et les affichages pour le tableau de détails.

Propriétés filtrables dans l’affichage des clics d’URL dans Menace Explorer

Par défaut, aucun filtre de propriété n’est appliqué aux données. Les étapes de création de filtres (requêtes) sont décrites dans la section Filtres dans les détections Explorer de menaces et en temps réel plus loin dans cet article.

Les propriétés filtrables disponibles dans la zone Destinataires de l’affichage des clics d’URL dans menace Explorer sont décrites dans le tableau suivant :

Propriété Type
Basique
Recipients Texte. Séparez plusieurs valeurs par des virgules.
Tags Texte. Séparez plusieurs valeurs par des virgules.

Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
ID de message réseau Texte. Séparez plusieurs valeurs par des virgules.

Valeur GUID disponible dans le champ d’en-tête X-MS-Exchange-Organization-Network-Message-Id dans l’en-tête du message.
URL Texte. Séparez plusieurs valeurs par des virgules.
Action de clic Sélectionnez une ou plusieurs valeurs :
  • Autorisé
  • Page bloquer
  • Remplacement de page de blocage
  • Page d’erreur
  • Échec
  • Aucune
  • Page de détonation en attente
  • Remplacement de page de détonation en attente
Type de menace Sélectionnez une ou plusieurs valeurs :
  • Allow
  • Bloquer
  • Programme malveillant
  • Hameçonnage
  • Courrier indésirable
Technologie de détection Sélectionnez une ou plusieurs valeurs :
  • Détonation d’URL
  • Réputation de détonation d’URL
  • Réputation d’URL malveillante
Cliquez sur ID Texte. Séparez plusieurs valeurs par des virgules.
Client IP Texte. Séparez plusieurs valeurs par des virgules.

Tableaux croisés dynamiques du graphique dans l’affichage des clics d’URL dans Menace Explorer

Le graphique a une vue par défaut, mais vous pouvez sélectionner une valeur dans Sélectionner un tableau croisé dynamique pour le graphique d’histogramme afin de modifier la façon dont les données de graphique filtrées ou non filtrées sont organisées et affichées.

Les tableaux croisés dynamiques disponibles sont décrits dans les sous-sections suivantes.

Tableau croisé dynamique du graphique de domaine d’URL dans la vue des clics d’URL dans Menace Explorer

Bien que ce tableau croisé dynamique ne semble pas sélectionné par défaut, domaine d’URL est le tableau croisé dynamique par défaut dans la vue des clics d’URL .

Le tableau croisé dynamique du domaine d’URL organise le graphique en fonction des domaines dans les URL sur lesquelles les utilisateurs ont cliqué dans les e-mails, les fichiers Office ou Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue des clics d’URL dans Menace Explorer à l’aide du tableau croisé dynamique du domaine d’URL.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque domaine d’URL.

Tableau croisé dynamique du graphique de charge de travail dans la vue des clics d’URL dans Menace Explorer

Le tableau croisé dynamique charge de travail organise le graphique en fonction de l’emplacement de l’URL (e-mail, fichiers Office ou Microsoft Teams) pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue des clics d’URL dans Menace Explorer à l’aide du tableau croisé dynamique Charge de travail.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque charge de travail.

Tableau croisé dynamique du graphique de la technologie de détection dans la vue des clics d’URL dans Menace Explorer

Le tableau croisé dynamique de la technologie de détection organise le graphique en fonction de la fonctionnalité qui a identifié les clics d’URL dans les e-mails, les fichiers Office ou Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans l’affichage des clics d’URL dans menace Explorer à l’aide du tableau croisé dynamique de la technologie de détection.

Le pointage sur un point de données dans le graphique affiche le nombre de chaque technologie de détection.

Tableau croisé dynamique du graphique type de menace dans la vue des clics sur l’URL dans Menace Explorer

Le tableau croisé dynamique Type de menace organise le graphique en fonction des résultats des URL cliquées dans les e-mails, les fichiers Office ou Microsoft Teams pour la plage de dates/heures et les filtres de propriétés spécifiés.

Capture d’écran du graphique dans la vue des clics d’URL dans Threat Explorer à l’aide du tableau croisé dynamique Type de menace.

Le pointage sur un point de données dans le graphique affiche le nombre pour chaque technologie de type de menace.

Affichages de la zone d’informations de l’affichage des clics d’URL dans Threat Explorer

Les affichages (onglets) disponibles dans la zone d’informations de la vue des clics d’URL sont décrits dans les sous-sections suivantes.

Affichage des résultats pour la zone d’informations de l’affichage des clics d’URL dans Menace Explorer

Résultats est l’affichage par défaut de la zone de détails dans l’affichage des clics d’URL .

La vue Résultats affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Par défaut, toutes les colonnes sont sélectionnées :

  • Heure à laquelle vous avez cliqué
  • Destinataire
  • Action de clic d’URL
  • URL
  • Tags
  • ID de message réseau
  • Cliquez sur ID
  • Client IP
  • Chaîne d’URL
  • Type de menace
  • Technologie de détection

Conseil

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Supprimez les colonnes de la vue.
  • Zoom arrière dans votre navigateur web.

Les paramètres de colonne personnalisés sont enregistrés par utilisateur. Les paramètres de colonne personnalisés en mode de navigation Incognito ou InPrivate sont enregistrés jusqu’à ce que vous fermiez le navigateur web.

Sélectionnez une ou plusieurs entrées en sélectionnant la zone case activée en regard de la première colonne de la ligne, puis sélectionnez Afficher tous les e-mails pour ouvrir menace Explorer dans l’affichage Tous les e-mails dans un nouvel onglet filtré par les valeurs d’ID de message réseau des messages sélectionnés.

Affichage des clics du haut pour la zone d’informations de l’affichage des clics d’URL dans Menace Explorer

La vue Top clicks affiche un tableau de détails. Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible :

  • URL
  • Bloqué
  • Autorisé
  • Bloc substitué
  • Verdict en attente
  • Verdict en attente ignoré
  • Aucune
  • Page d’erreur
  • Échec

Conseil

Toutes les colonnes disponibles sont sélectionnées. Si vous sélectionnez Personnaliser les colonnes, vous ne pouvez pas désélectionner les colonnes.

Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :

  • Faites défiler horizontalement dans votre navigateur web.
  • Réduisez la largeur des colonnes appropriées.
  • Zoom arrière dans votre navigateur web.

Sélectionnez une entrée en sélectionnant la zone case activée en regard de la première colonne de la ligne, puis sélectionnez Afficher tous les clics pour ouvrir menace Explorer dans un nouvel onglet de l’affichage des clics d’URL.

Lorsque vous sélectionnez une entrée en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, un menu volant de détails s’ouvre. Les informations contenues dans le menu volant sont les mêmes que celles décrites dans Les URL principales pour l’affichage Tous les e-mails.

Affichage des principaux utilisateurs ciblés pour la zone d’informations de l’affichage des clics d’URL dans Menace Explorer

La vue Utilisateurs les plus ciblés organise les données dans une table des cinq premiers destinataires qui ont cliqué sur les URL. Le tableau montre :

Conseil

Utilisez Exporter pour exporter la liste de jusqu’à 3 000 utilisateurs et les tentatives correspondantes.

Filtres de propriétés dans les détections de Explorer de menaces et en temps réel

La syntaxe de base d’une requête/filtre de propriété est la suivante :

Condition = <Propriété><de filtre Opérateur de filtre><Valeur ou valeurs de propriété>

Plusieurs conditions utilisent la syntaxe suivante :

<Condition1><ET | OR><Condition2><AND | OR><Condition3>... <AND | OR><ConditionN>

Conseil

Les recherches avec caractères génériques (**** ou ?) ne sont pas prises en charge dans les valeurs de texte ou d’entier. La propriété Subject utilise une correspondance de texte partielle et génère des résultats similaires à ceux d’une recherche par caractères génériques.

Les étapes pour créer des conditions de filtre/requête de propriété sont les mêmes dans toutes les vues dans Détections de Explorer de menaces et en temps réel :

  1. Identifiez la propriété de filtre à l’aide des tables dans les sections de description de la vue d’aperçu plus haut dans cet article.

  2. Sélectionnez un opérateur de filtre disponible. Les opérateurs de filtre disponibles dépendent du type de propriété, comme décrit dans le tableau suivant :

    Opérateur de filtre Type de propriété
    Égal à n’importe quel de Texte
    Entier
    Valeurs discrètes
    Égal à aucun de Texte
    Valeurs discrètes
    Plus grand que Entier
    Moins de Entier
  3. Entrez ou sélectionnez une ou plusieurs valeurs de propriété. Pour les valeurs de texte et les entiers, vous pouvez entrer plusieurs valeurs séparées par des virgules.

    Plusieurs valeurs dans la valeur de propriété utilisent l’opérateur logique OR. Par exemple, l’adresse> de l’expéditeurÉgale à tout signifie Adresse > de >bob@fabrikam.com,cindy@fabrikam.coml’expéditeurÉgale à n’importe quelle ou>bob@fabrikam.comcindy@fabrikam.com.

    Une fois que vous avez entré ou sélectionné une ou plusieurs valeurs de propriété, la condition de filtre terminée apparaît sous les zones de création de filtre.

    Conseil

    Pour les propriétés qui nécessitent de sélectionner une ou plusieurs valeurs disponibles, l’utilisation de la propriété dans la condition de filtre avec toutes les valeurs sélectionnées a le même résultat que de ne pas utiliser la propriété dans la condition de filtre.

  4. Pour ajouter une autre condition, répétez les trois étapes précédentes.

    Les conditions situées sous les zones de création de filtre sont séparées par l’opérateur logique qui a été sélectionné au moment où vous avez créé le deuxième ou les conditions suivantes. La valeur par défaut est AND, mais vous pouvez également sélectionner OR.

    Le même opérateur logique est utilisé entre toutes les conditions : elles sont toutes ET ou sont toutes OR. Pour modifier les opérateurs logiques existants, sélectionnez la zone Opérateur logique, puis sélectionnez AND ou OR.

    Pour modifier une condition existante, double-cliquez dessus pour ramener la propriété sélectionnée, l’opérateur de filtre et les valeurs dans les zones correspondantes.

    Pour supprimer une condition existante, sélectionnez la condition.

  5. Pour appliquer le filtre au graphique et au tableau de détails, sélectionnez Actualiser

    Capture d’écran d’un exemple de requête dans détections Explorer de menaces ou en temps réel montrant plusieurs conditions.

Requêtes enregistrées dans threat Explorer

Conseil

La requête d’enregistrement fait partie des suivis de menaces et n’est pas disponible dans les détections en temps réel. Les requêtes enregistrées et les suivis de menaces sont disponibles uniquement dans Defender for Office 365 Plan 2.

La requête d’enregistrement n’est pas disponible dans la vue Programme malveillant de contenu.

La plupart des vues dans Threat Explorer vous permettent d’enregistrer des filtres (requêtes) pour une utilisation ultérieure. Les requêtes enregistrées sont disponibles sur la page Suivi des menaces dans le portail Defender à l’adresse https://security.microsoft.com/threattrackerv2. Pour plus d’informations sur les traqueurs de menaces, consultez Suivis de menaces dans Microsoft Defender pour Office 365 Plan 2.

Pour enregistrer des requêtes dans Threat Explorer, procédez comme suit :

  1. Après avoir créé le filtre/requête comme décrit précédemment, sélectionnez Enregistrer la requête>Enregistrer la requête.

  2. Dans le menu volant Enregistrer la requête qui s’ouvre, configurez les options suivantes :

    • Nom de la requête : entrez un nom unique pour la requête.
    • Sélectionnez l’une des options suivantes :
      • Dates exactes : sélectionnez une date de début et une date de fin dans les zones. La date de début la plus ancienne que vous pouvez sélectionner est 30 jours avant aujourd’hui. La date de fin la plus récente que vous pouvez sélectionner est aujourd’hui.
      • Dates relatives : sélectionnez le nombre de jours dans Afficher les nn derniers jours lors de l’exécution de la recherche. La valeur par défaut est 7, mais vous pouvez sélectionner 1 à 30.
    • Requête de suivi : par défaut, cette option n’est pas sélectionnée. Cette option détermine si la requête s’exécute automatiquement :
      • Suivre la requête non sélectionnée : la requête peut être exécutée manuellement dans Threat Explorer. La requête est enregistrée sous l’onglet Requêtes enregistrées de la page Suivi des menaces avec la valeur de la propriété de requête suivieNon.
      • Suivre la requête sélectionnée : la requête s’exécute régulièrement en arrière-plan. La requête est disponible sous l’onglet Requêtes enregistrées de la page Suivi des menaces avec la valeur de la propriété Requête suivieOui. Les résultats périodiques de la requête sont affichés sous l’onglet Requêtes suivies de la page Suivi des menaces .

    Lorsque vous avez terminé dans le menu volant Enregistrer la requête , sélectionnez Enregistrer, puis sélectionnez OK dans la boîte de dialogue de confirmation.

Capture d’écran du menu volant Enregistrer la requête dans threat Explorer dans le portail Defender.

Sous les onglets Requête enregistrée ou Requête suivie de la page Suivi des menaces dans le portail Defender à l’adresse https://security.microsoft.com/threattrackerv2, vous pouvez sélectionner Explorer dans la colonne Actions pour ouvrir et utiliser la requête dans Threat Explorer.

Lorsque vous ouvrez la requête en sélectionnant Explorer dans la page Suivi des menaces, les paramètres Enregistrer la requête sous et Requête enregistrée sont désormais disponibles dans Enregistrer la requête sur la page Explorer :

  • Si vous sélectionnez Enregistrer la requête sous, le menu volant Enregistrer la requête s’ouvre avec tous les paramètres précédemment sélectionnés. Si vous apportez des modifications, sélectionnez Enregistrer, puis OK dans la boîte de dialogue Réussite . La requête mise à jour est enregistrée en tant que nouvelle requête dans la page Suivi des menaces (vous devrez peut-être sélectionner Actualiser pour la voir).

  • Si vous sélectionnez Paramètres de requête enregistrés, le menu volant Paramètres de requête enregistrés s’ouvre, où vous pouvez mettre à jour la date et suivre les paramètres de requête de la requête existante.

Capture d’écran de l’option Enregistrer la requête dans Threat Explorer avec les paramètres Enregistrer la requête sous et Requête enregistrée disponibles.

Plus d’informations