Stratégies d’alerte dans le Centre de conformité Microsoft 365Alert policies in the Microsoft 365 compliance center

Vous pouvez utiliser la stratégie d’alerte et les outils de tableau de bord d’alerte dans le Centre de conformité Microsoft 365 pour créer des stratégies d’alerte, puis afficher les alertes générées lorsque les utilisateurs effectuent des activités qui correspondent aux conditions d’une stratégie d’alerte.You can use the alert policy and alert dashboard tools in the Microsoft 365 compliance center to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Il existe plusieurs stratégies d’alerte par défaut qui vous permettent de surveiller des activités telles que l’attribution de privilèges d’administrateur dans Exchange Online, les attaques de programmes malveillants, les campagnes de hameçonnage et les niveaux inhabituels de suppressions de fichiers et de partage externe.There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

Les stratégies d’alerte vous permet de catégoriser les alertes déclenchées par une stratégie, d’appliquer la stratégie à tous les utilisateurs de votre organisation, de définir un niveau de seuil pour le déclenchement d’une alerte et de décider s’il faut recevoir des notifications par courrier électronique lorsque des alertes sont déclenchées.Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. Il existe également une page Alertes dans le centre de conformité où vous pouvez afficher et filtrer les alertes, définir un état d’alerte pour vous aider à gérer les alertes, puis ignorer les alertes après avoir résolu ou résolu l’incident sous-jacent.There's also a Alerts page in the compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

Notes

Les stratégies d’alerte sont disponibles pour les organisations ayant un abonnement Microsoft 365 Entreprise, Office 365 Entreprise ou Office 365 pour le gouvernement américain E1/F1/G1, E3/F3/G3 ou E5/G5.Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. Les fonctionnalités avancées sont disponibles uniquement pour les organisations qui disposent d’un abonnement E5/G5, ou pour les organisations qui disposent d’un abonnement E1/F1/G1 ou E3/F3/G3 et d’un abonnement Microsoft Defender pour Office 365 P2 ou un Microsoft 365 E5 Conformité ou un abonnement E5 eDiscovery et Audit.Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. La fonctionnalité qui nécessite un abonnement E5/G5 ou de modules add-on est mise en évidence dans cette rubrique.The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. Notez également que les stratégies d’alerte sont disponibles dans les environnements Office 365 Cloud de la communauté du secteur public, Cloud de la communauté du secteur public High et DoD pour le gouvernement américain.Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

Fonctionnement des stratégies d’alerteHow alert policies work

Voici une vue d’ensemble rapide du fonctionnement des stratégies d’alerte et des alertes déclenchées lorsque l’activité de l’utilisateur ou de l’administrateur correspond aux conditions d’une stratégie d’alerte.Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

Vue d’ensemble du fonctionnement des stratégies d’alerte

  1. Un administrateur de votre organisation crée, configure et allume une stratégie d’alerte à l’aide de la page Stratégies d’alerte dans le centre de conformité.An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the compliance center. Vous pouvez également créer des stratégies d’alerte à l’aide de la cmdlet New-ProtectionAlert dans le Centre de sécurité & conformité PowerShell.You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    Pour créer des stratégies d’alerte, vous devez avoir le rôle Gérer les alertes ou le rôle Configuration de l’organisation dans le centre de conformité.To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the compliance center.

    Notes

    La création ou la mise à jour d’une stratégie d’alerte prend jusqu’à 24 heures avant que les alertes ne soient déclenchées par la stratégie.It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. Cela est dû au fait que la stratégie doit être synchronisée avec le moteur de détection des alertes.This is because the policy has to be synced to the alert detection engine.

  2. Un utilisateur effectue une activité qui correspond aux conditions d’une stratégie d’alerte.A user performs an activity that matches the conditions of an alert policy. Dans le cas d’attaques de programmes malveillants, les messages électroniques infectés envoyés aux utilisateurs de votre organisation déclenchent une alerte.In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 génère une alerte qui s’affiche sur la page Alertes dans Centre de conformité Microsoft 365.Microsoft 365 generates an alert that's displayed on the Alerts page in Microsoft 365 compliance center. En outre, si les notifications par courrier électronique sont activées pour la stratégie d’alerte, Microsoft envoie une notification à une liste de destinataires.Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. Les alertes qu’un administrateur ou d’autres utilisateurs peuvent voir sur la page Alertes sont déterminées par les rôles attribués à l’utilisateur.The alerts that an admin or other users can see that on the Alerts page is determined by the roles assigned to the user. Pour plus d’informations, voir les autorisations RBAC requises pour afficher les alertes.For more information, see RBAC permissions required to view alerts.

  4. Un administrateur gère les alertes dans le centre de conformité.An admin manages alerts in the compliance center. La gestion des alertes consiste à affecter un état d’alerte pour faciliter le suivi et la gestion des enquêtes.Managing alerts consists of assigning an alert status to help track and manage any investigation.

Paramètres de stratégie d’alerteAlert policy settings

Une stratégie d’alerte se compose d’un ensemble de règles et de conditions qui définissent l’activité de l’utilisateur ou de l’administrateur qui génère une alerte, d’une liste des utilisateurs qui déclenchent l’alerte s’ils exécutent l’activité et d’un seuil qui définit le nombre de fois que l’activité doit se produire avant le déclenchement d’une alerte.An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. Vous classez également la stratégie et lui affectez un niveau de gravité.You also categorize the policy and assign it a severity level. Ces deux paramètres vous aident à gérer les stratégies d’alerte (et les alertes déclenchées lorsque les conditions de stratégie sont respectées), car vous pouvez filtrer ces paramètres lors de la gestion des stratégies et de l’affichage des alertes dans le centre de conformité.These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the compliance center. Par exemple, vous pouvez afficher les alertes qui correspondent aux conditions de la même catégorie ou afficher les alertes avec le même niveau de gravité.For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

Pour afficher et créer des stratégies d’alerte :To view and create alert policies:

Go to https://compliance.microsoft.com and then select Policies > Alert > Alert policies.Go to https://compliance.microsoft.com and then select Policies > Alert > Alert policies. Vous pouvez également y aller https://compliance.microsoft.com/alertpolicies directement.Alternatively, you can go directly to https://compliance.microsoft.com/alertpolicies.

Dans le centre de conformité, sélectionnez Stratégies, puis sous Alerte, sélectionnez Stratégies d’alerte pour afficher et créer des stratégies d’alerte

Une stratégie d’alerte se compose des paramètres et conditions suivants.An alert policy consists of the following settings and conditions.

  • Activité que l’alerte suit.Activity the alert is tracking. Vous créez une stratégie pour suivre une activité ou, dans certains cas, quelques activités connexes, telles que le partage d’un fichier avec un utilisateur externe en le partageant, en attribuant des autorisations d’accès ou en créant un lien anonyme.You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. Lorsqu’un utilisateur effectue l’activité définie par la stratégie, une alerte est déclenchée en fonction des paramètres de seuil d’alerte.When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    Notes

    Les activités que vous pouvez suivre dépendent du plan Office 365 Entreprise ou Office 365 du gouvernement américain.The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. En règle générale, les activités liées aux campagnes anti-programme malveillant et aux attaques par hameçonnage nécessitent un abonnement E5/G5 ou E1/F1/G1 ou E3/F3/G3 avec un abonnement de module Office 365 Plan 2.In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • Conditions d’activité.Activity conditions. Pour la plupart des activités, vous pouvez définir des conditions supplémentaires qui doivent être remplies pour déclencher une alerte.For most activities, you can define additional conditions that must be met to trigger an alert. Les conditions courantes incluent les adresses IP (de sorte qu’une alerte est déclenchée lorsque l’utilisateur effectue l’activité sur un ordinateur avec une adresse IP spécifique ou dans une plage d’adresses IP), si une alerte est déclenchée si un ou plusieurs utilisateurs effectuent cette activité, et si l’activité est effectuée sur un nom de fichier ou une URL spécifique.Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. Vous pouvez également configurer une condition qui déclenche une alerte lorsque l’activité est effectuée par n’importe quel utilisateur de votre organisation.You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. Les conditions disponibles dépendent de l’activité sélectionnée.The available conditions are dependent on the selected activity.

  • Lorsque l’alerte est déclenchée.When the alert is triggered. Vous pouvez configurer un paramètre qui définit la fréquence de déclenchement d’une activité avant le déclenchement d’une alerte.You can configure a setting that defines how often an activity can occur before an alert is triggered. Cela vous permet de configurer une stratégie pour générer une alerte chaque fois qu’une activité correspond aux conditions de la stratégie, lorsqu’un certain seuil est dépassé ou lorsque l’occurrence de l’activité que l’alerte suit devient inhabituelle pour votre organisation.This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    Configurer le déclenchement des alertes, en fonction du moment où l’activité se produit, d’un seuil ou d’une activité inhabituelle pour votre organisation

    Si vous sélectionnez le paramètre en fonction d’une activité inhabituelle, Microsoft établit une valeur de référence qui définit la fréquence normale de l’activité sélectionnée.If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. Il faut jusqu’à sept jours pour établir cette ligne de base, au cours de laquelle les alertes ne seront pas générées.It takes up to seven days to establish this baseline, during which alerts won't be generated. Une fois la ligne de base établie, une alerte est déclenchée lorsque la fréquence de l’activité suivi par la stratégie d’alerte dépasse largement la valeur de référence.After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. Pour les activités liées à l’audit (telles que les activités liées aux fichiers et dossiers), vous pouvez établir une ligne de base basée sur un utilisateur unique ou sur tous les utilisateurs de votre organisation ; pour les activités liées aux programmes malveillants, vous pouvez établir une ligne de base basée sur une seule famille de programmes malveillants, un destinataire unique ou tous les messages de votre organisation.For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    Notes

    La possibilité de configurer des stratégies d’alerte basées sur un seuil ou sur la base d’une activité inhabituelle nécessite un abonnement E5/G5, ou un abonnement E1/F1/G1 ou E3/F3/G3 avec Un abonnement Microsoft Defender pour Office 365 P2, Microsoft 365 E5 Conformité ou Microsoft 365 eDiscovery et Audit.The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. Les organisations ayant un abonnement E1/F1/G1 et E3/F3/G3 peuvent uniquement créer des stratégies d’alerte lorsqu’une alerte est déclenchée chaque fois qu’une activité se produit.Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • Catégorie d’alerte.Alert category. Pour faciliter le suivi et la gestion des alertes générées par une stratégie, vous pouvez affecter l’une des catégories suivantes à une stratégie.To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • Protection contre la perte de donnéesData loss prevention

    • Gouvernance des informationsInformation governance

    • Flux de messagerieMail flow

    • AutorisationsPermissions

    • Gestion des menacesThreat management

    • AutresOthers

    Lorsqu’une activité qui correspond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie définie dans ce paramètre.When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie sur la page Alertes dans le centre de conformité, car vous pouvez trier et filtrer les alertes en fonction de la catégorie.This allows you to track and manage alerts that have the same category setting on the Alerts page in the compliance center because you can sort and filter alerts based on category.

  • Gravité de l’alerte.Alert severity. Comme pour la catégorie d’alerte, vous affectez un attribut de gravité (Faible, Moyen, Élevé ou Informational) aux stratégies d’alerte.Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. Comme pour la catégorie d’alerte, lorsqu’une activité qui correspond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec le même niveau de gravité que celui qui est définie pour la stratégie d’alerte.Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. Là encore, cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de gravité sur la page Alertes.Again, this allows you to track and manage alerts that have the same severity setting on the Alerts page. Par exemple, vous pouvez filtrer la liste des alertes de sorte que seules les alertes avec une gravité élevée soient affichées.For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    Conseil

    Lors de la configuration d’une stratégie d’alerte, envisagez d’affecter une gravité plus élevée aux activités qui peuvent entraîner des conséquences gravement négatives, telles que la détection de programmes malveillants après leur remise aux utilisateurs, l’affichage de données sensibles ou classifiées, le partage de données avec des utilisateurs externes ou d’autres activités qui peuvent entraîner une perte de données ou des menaces de sécurité.When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. Cela peut vous aider à hiérarchiser les alertes et les actions que vous prenez pour examiner et résoudre les causes sous-jacentes.This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • Notifications par courrier électronique.Email notifications. Vous pouvez configurer la stratégie de sorte que les notifications par courrier électronique soient envoyées (ou non) à une liste d’utilisateurs lorsqu’une alerte est déclenchée.You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. Vous pouvez également définir une limite de notification quotidienne de sorte qu’une fois le nombre maximal de notifications atteint, plus aucune notification n’est envoyée pour l’alerte au cours de cette journée.You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. Outre les notifications par courrier électronique, vous ou d’autres administrateurs pouvez afficher les alertes déclenchées par une stratégie dans la page Alertes.In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the Alerts page. Envisagez d’activer les notifications par courrier électronique pour les stratégies d’alerte d’une catégorie spécifique ou qui ont un paramètre de gravité plus élevé.Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

Stratégies d’alerte par défautDefault alert policies

Microsoft fournit des stratégies d’alerte intégrées qui permettent d’identifier les abus Exchange autorisations d’administrateur, l’activité des programmes malveillants, les menaces externes et internes potentielles et les risques de gouvernance des informations.Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Dans la page Stratégies d’alerte, les noms de ces stratégies intégrées sont en gras et le type de stratégie est défini en tant que Système.On the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. Ces stratégies sont désactivées par défaut.These policies are turned on by default. Vous pouvez désactiver ces stratégies (ou recommencer), configurer une liste de destinataires pour envoyer des notifications par courrier électronique et définir une limite de notification quotidienne.You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. Les autres paramètres de ces stratégies ne peuvent pas être modifiés.The other settings for these policies can't be edited.

Le tableau suivant répertorie et décrit les stratégies d’alerte par défaut disponibles et la catégorie à qui chaque stratégie est affectée.The following table lists and describes the available default alert policies and the category each policy is assigned to. La catégorie permet de déterminer les alertes qu’un utilisateur peut afficher sur la page Alertes.The category is used to determine which alerts a user can view on the Alerts page. Pour plus d’informations, voir les autorisations RBAC requises pour afficher les alertes.For more information, see RBAC permissions required to view alerts.

Le tableau indique également les Office 365 Entreprise et Office 365 pour le gouvernement américain requis pour chacun d’eux.The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. Certaines stratégies d’alerte par défaut sont disponibles si votre organisation dispose de l’abonnement au module complément approprié en plus d’un abonnement E1/F1/G1 ou E3/F3/G3.Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

Stratégie d’alerte par défautDefault alert policy DescriptionDescription CatégorieCategory Enterprise abonnementEnterprise subscription
Un clic d’URL potentiellement malveillant a été détectéA potentially malicious URL click was detected Génère une alerte lorsqu’un utilisateur protégé par Coffre liens de votre organisation clique sur un lien malveillant.Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. Cet événement est déclenché lorsque les modifications apportées au verdict d’URL sont identifiées par Microsoft Defender pour Office 365 ou lorsque les utilisateurs remplacent les pages de liens Coffre (en fonction de la stratégie de liens Microsoft 365 pour les entreprises de Coffre).This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). Cette stratégie d’alerte a un paramètre de gravité élevée.This alert policy has a High severity setting. Pour les clients Office 365 P2, E5 et G5, cette alerte déclenche automatiquement une enquête et une réponse automatisées dans Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Pour plus d’informations sur les événements qui déclenchent cette alerte, voir Set up Coffre Links policies.For more information on events that trigger this alert, see Set up Safe Links policies. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Résultat de soumission administrateur terminéAdmin Submission result completed Génère une alerte lorsqu’une soumission d’administrateur termine la rescan de l’entité soumise.Generates an alert when an Admin Submission completes the rescan of the submitted entity. Une alerte est déclenchée chaque fois qu’un résultat de rescan est rendu à partir d’une soumission d’administrateur.An alert will be triggered every time a rescan result is rendered from an Admin Submission. Ces alertes sont destinées à vous rappeler de passer en revue les résultats des soumissions précédentes,de soumettre les messages signalés par l’utilisateur pour obtenir la dernière vérification de stratégie et de rescaner les verdicts, et de vous aider à déterminer si les stratégies de filtrage de votre organisation ont l’impact prévu.These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. Cette stratégie a un paramètre de gravité d’information.This policy has a Informational severity setting. Gestion des menacesThreat management E1/F1, E3/F3 ou E5E1/F1, E3/F3, or E5
L’administrateur a déclenché une enquête manuelle sur le courrier électroniqueAdmin triggered manual investigation of email Génère une alerte lorsqu’un administrateur déclenche l’examen manuel d’un e-mail à partir de l’Explorateur de menaces.Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. Pour plus d’informations, voir l’exemple : un administrateur de sécurité déclenche une enquête à partir de l’Explorateur de menaces.For more information, see Example: A security administrator triggers an investigation from Threat Explorer. Cette alerte informe votre organisation que l’enquête a été lancée.This alert notifies your organization that the investigation was started. L’alerte fournit des informations sur la personne qui l’a déclenchée et inclut un lien vers l’enquête.The alert provides information about who triggered it and includes a link to the investigation. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Microsoft Defender pour Office 365 abonnement au module add-on P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Création de règle de redirection/transfertCreation of forwarding/redirect rule Génère une alerte lorsqu’une personne de votre organisation crée une règle de boîte de réception pour sa boîte aux lettres qui redirige les messages vers un autre compte de messagerie.Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. Cette stratégie suit uniquement les règles de boîte de réception créées à l’Outlook sur le web (anciennement Outlook Web App) ou Exchange Online PowerShell.This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. Cette stratégie a un paramètre de gravité d’information.This policy has a Informational severity setting. Pour plus d’informations sur l’utilisation de règles de boîte de réception pour le Outlook sur le web, voir Utiliser des règles dans Outlook sur le web pour envoyer automatiquement des messages vers un autre compte.For more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Recherche eDiscovery démarrée ou exportéeeDiscovery search started or exported Génère une alerte lorsqu’une personne utilise l’outil de recherche de contenu dans le Centre de sécurité et conformité.Generates an alert when someone uses the Content search tool in the Security and compliance center. Une alerte est déclenchée lorsque les activités de recherche de contenu suivantes sont effectuées :An alert is triggered when the following content search activities are performed:

* Une recherche de contenu est démarrée* A content search is started
* Les résultats d’une recherche de contenu sont exportés* The results of a content search are exported
* Un rapport de recherche de contenu est exporté* A content search report is exported

Les alertes sont également déclenchées lorsque les activités de recherche de contenu précédentes sont effectuées en association avec un cas eDiscovery.Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. Cette stratégie a un paramètre de gravité d’information.This policy has a Informational severity setting. Pour plus d’informations sur les activités de recherche de contenu, voir Rechercher des activités eDiscovery dans le journal d’audit.For more information about content search activities, see Search for eDiscovery activities in the audit log.
Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Élévation du privilège Exchange administrateurElevation of Exchange admin privilege Génère une alerte lorsqu’une personne se voit attribuer des autorisations administratives dans votre Exchange Online organisation.Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. Par exemple, lorsqu’un utilisateur est ajouté au groupe de rôles Gestion de l’organisation dans Exchange Online.For example, when a user is added to the Organization Management role group in Exchange Online. Cette stratégie a un paramètre de gravité faible.This policy has a Low severity setting. AutorisationsPermissions E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Messages de courrier contenant un programme malveillant supprimé après la remiseEmail messages containing malware removed after delivery Génère une alerte lorsqu’un message contenant un programme malveillant est remis aux boîtes aux lettres de votre organisation.Generates an alert when any messages containing malware are delivered to mailboxes in your organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide d’une purge automatique sans heure.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Cette stratégie a un paramètre de gravité d’information et déclenche automatiquement une enquête et une réponse automatisées dans Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Gestion des menacesThreat management E5/G5 ou Microsoft Defender pour Office 365 abonnement au module add-on P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Messages de courrier contenant des URL d’hameçonnage supprimées après la remiseEmail messages containing phish URLs removed after delivery Génère une alerte lorsque des messages contenant du hameçonnage sont remis aux boîtes aux lettres de votre organisation.Generates an alert when any messages containing phish are delivered to mailboxes in your organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide d’une purge automatique sans heure.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Cette stratégie a un paramètre de gravité d’information et déclenche automatiquement une enquête et une réponse automatisées dans Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
E-mail signalé par l’utilisateur en tant que programme malveillant ou hameçonnageEmail reported by user as malware or phish Génère une alerte lorsque les utilisateurs de votre organisation signalent des messages en tant que courriers de hameçonnage à l’aide du add-in Signaler un message.Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. Cette stratégie a un paramètre de gravité faible.This policy has an Low severity setting. Pour plus d’informations sur ce add-in, voir Utiliser le add-in Report Message.For more information about this add-in, see Use the Report Message add-in. Pour les clients Office 365 P2, E5 et G5, cette alerte déclenche automatiquement une enquête et une réponse automatisées dans Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Limite d’envoi de courrier électronique dépasséeEmail sending limit exceeded Génère une alerte lorsqu’une personne de votre organisation a envoyé plus de messages que ce qui est autorisé par la stratégie anti-courrier indésirable sortant.Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. Cela indique généralement que l’utilisateur envoie trop de messages électroniques ou que le compte peut être compromis.This is usually an indication the user is sending too much email or that the account may be compromised. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Si vous recevez une alerte générée par cette stratégie d’alerte, il est bon de vérifier si le compte d’utilisateur est compromis.If you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Formulaire bloqué en raison d’une tentative de hameçonnage potentielleForm blocked due to potential phishing attempt Génère une alerte lorsqu’une personne de votre organisation n’a pas pu partager des formulaires et collecter des réponses à l’aide de Microsoft Forms en raison de la détection d’un comportement répété de tentative de hameçonnage.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E1, E3/F3 ou E5E1, E3/F3, or E5
Formulaire marqué et confirmé comme hameçonnageForm flagged and confirmed as phishing Génère une alerte lorsqu’un formulaire créé dans Microsoft Forms à partir de votre organisation a été identifié comme hameçonnage potentiel par le biais de signalement de l’abus et confirmé comme hameçonnage par Microsoft.Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E1, E3/F3 ou E5E1, E3/F3, or E5
Les messages ont été retardésMessages have been delayed Génère une alerte lorsque Microsoft ne peut pas remettre de messages électroniques à votre organisation sur site ou à un serveur partenaire à l’aide d’un connecteur.Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. Lorsque cela se produit, le message est mis en file d’attente Office 365.When this happens, the message is queued in Office 365. Cette alerte est déclenchée lorsqu’au moins 2 000 messages ont été mis en file d’attente pendant plus d’une heure.This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Flux de messagerieMail flow E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Campagne anti-programme malveillant détectée après la remiseMalware campaign detected after delivery Génère une alerte lorsqu’un nombre anormalement élevé de messages contenant un programme malveillant est remis aux boîtes aux lettres de votre organisation.Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E5/G5 ou Microsoft Defender pour Office 365 abonnement au module add-on P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Campagne anti-programme malveillant détectée et bloquéeMalware campaign detected and blocked Génère une alerte lorsqu’une personne a tenté d’envoyer un nombre anormalement élevé de messages électroniques contenant un certain type de programme malveillant aux utilisateurs de votre organisation.Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. Si cet événement se produit, les messages infectés sont bloqués par Microsoft et ne sont pas remis aux boîtes aux lettres.If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. Cette stratégie a un paramètre de gravité faible.This policy has a Low severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Campagne anti-programme malveillant détectée dans SharePoint et OneDriveMalware campaign detected in SharePoint and OneDrive Génère une alerte lorsqu’un volume anormalement élevé de programmes malveillants ou de virus est détecté dans des fichiers situés dans des sites SharePoint ou des comptes OneDrive de votre organisation.Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Programmes malveillants non détectés car ZAP est désactivéMalware not zapped because ZAP is disabled Génère une alerte lorsque Microsoft détecte la remise d’un message de programme malveillant à une boîte aux lettres Zero-Hour purge automatique des messages d’hameçonnage est désactivée.Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Hameçonnage remis car le dossier Courrier indésirable d’un utilisateur est désactivéPhish delivered because a user's Junk Mail folder is disabled Génère une alerte lorsque Microsoft détecte que le dossier Courrier indésirable d’un utilisateur est désactivé, ce qui permet de transmettre un message de hameçonnage à haut niveau de confiance à une boîte aux lettres.Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Hameçonnage remis en raison d’une substitution ETRPhish delivered due to an ETR override Génère une alerte lorsque Microsoft détecte une règle de transport Exchange (ETR) qui a autorisé la remise d’un message de hameçonnage à haut niveau de confiance à une boîte aux lettres.Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Pour plus d’informations Exchange règles de transport (règles de flux de messagerie), voir Règles de flux de messagerie (règles de transport) dans Exchange Online.For more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Hameçonnage remis en raison d’une stratégie d’adresse IP d’adresses IPPhish delivered due to an IP allow policy Génère une alerte lorsque Microsoft détecte une stratégie d’adresse IP autorisée pour la remise d’un message de hameçonnage à haut niveau de confiance à une boîte aux lettres.Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Pour plus d’informations sur la stratégie d’accès IP (filtrage des connexions), voir Configurer la stratégie de filtrage des connexionspar défaut - Office 365 .For more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Hameçonnage non- car ZAP est désactivéPhish not zapped because ZAP is disabled Génère une alerte lorsque Microsoft détecte la remise d’un message de hameçonnage à haut niveau de confiance à une boîte aux lettres, car Zero-Hour purge automatique des messages d’hameçonnage est désactivée.Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Hameçonnage remis en raison du remplacement du client ou de l’utilisateur1Phish delivered due to tenant or user override1 Génère une alerte lorsque Microsoft détecte qu’un remplacement d’administrateur ou d’utilisateur a autorisé la remise d’un message de hameçonnage à une boîte aux lettres.Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. Parmi les exemples de remplacements figurent une règle de boîte de réception ou de flux de messagerie qui autorise les messages provenant d’un expéditeur ou d’un domaine spécifique, ou une stratégie anti-courrier indésirable qui autorise les messages provenant d’expéditeurs ou de domaines spécifiques.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Activité suspecte de transfert d’e-mailSuspicious email forwarding activity Génère une alerte lorsqu’une personne de votre organisation a reçu automatiquement des messages électroniques vers un compte externe suspect.Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. Il s’agit d’un avertissement précoce pour un comportement qui peut indiquer que le compte est compromis, mais pas assez grave pour restreindre l’utilisateur.This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Bien que cela soit rare, une alerte générée par cette stratégie peut être une anomalie.Although it's rare, an alert generated by this policy may be an anomaly. Il est bon de vérifier si le compte d’utilisateur est compromis.It's a good idea to check whether the user account is compromised. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Modèles d’envoi de courrier suspects détectésSuspicious email sending patterns detected Génère une alerte lorsqu’une personne de votre organisation a envoyé des messages suspects et risque d’être limitée à l’envoi de courriers électroniques.Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. Il s’agit d’un avertissement précoce pour un comportement qui peut indiquer que le compte est compromis, mais pas assez grave pour restreindre l’utilisateur.This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Bien que cela soit rare, une alerte générée par cette stratégie peut être une anomalie.Although it's rare, an alert generated by this policy may be an anomaly. Toutefois, il est bon de vérifier si le compte d’utilisateur est compromis.However, it's a good idea to check whether the user account is compromised. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Client restreint à l’envoi de courrier électroniqueTenant restricted from sending email Génère une alerte lorsque la plupart du trafic de courrier provenant de votre organisation a été détecté comme suspect et que Microsoft a restreint l’envoi de courriers électroniques à votre organisation.Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. Examinez les comptes d’utilisateur et d’administrateur potentiellement compromis, les nouveaux connecteurs ou les relais ouverts, puis contactez le Support Microsoft pour débloquer votre organisation.Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Pour plus d’informations sur la raison pour laquelle les organisations sont bloquées, voir Corriger les problèmes de remise des e-mails pour le code d’erreur 5.7.7xx dans Exchange Online.For more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Activité inhabituelle de fichier d’utilisateur externeUnusual external user file activity Génère une alerte lorsqu’un nombre anormalement élevé d’activités est effectué sur des fichiers dans SharePoint ou OneDrive par des utilisateurs en dehors de votre organisation.Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. Cela inclut des activités telles que l’accès aux fichiers, le téléchargement de fichiers et la suppression de fichiers.This includes activities such as accessing files, downloading files, and deleting files. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gouvernance des informationsInformation governance E5/G5, Microsoft Defender pour Office 365 P2 ou un abonnement Microsoft 365 E5 modules logicielsE5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volume inhabituel de partage de fichiers externesUnusual volume of external file sharing Génère une alerte lorsqu’un nombre anormalement élevé de fichiers dans SharePoint ou OneDrive sont partagés avec des utilisateurs en dehors de votre organisation.Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Gouvernance des informationsInformation governance E5/G5, Defender pour Office 365 P2 ou un abonnement Microsoft 365 E5 modules add-onE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volume inhabituel de suppression de fichiersUnusual volume of file deletion Génère une alerte lorsqu’un nombre anormalement élevé de fichiers sont supprimés SharePoint ou OneDrive dans un court laps de temps.Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Gouvernance des informationsInformation governance E5/G5, Defender pour Office 365 P2 ou un abonnement Microsoft 365 E5 modules add-onE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Augmentation inhabituelle des e-mails signalés en tant que hameçonnageUnusual increase in email reported as phish Génère une alerte en cas d’augmentation significative du nombre de personnes dans votre organisation qui utilisent le Outlook Signaler un message pour signaler des messages comme courrier de hameçonnage.Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Pour plus d’informations sur ce add-in, voir Utiliser le add-in Report Message.For more information about this add-in, see Use the Report Message add-in. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Hameçonnage d’emprunt d’identité d’utilisateur remis dans la boîte de réception/le dossier 1,2User impersonation phish delivered to inbox/folder1,2 Génère une alerte lorsque Microsoft détecte qu’un remplacement d’administrateur ou d’utilisateur a autorisé la remise d’un message de hameçonnage d’emprunt d’identité d’utilisateur dans la boîte de réception (ou un autre dossier accessible à l’utilisateur) d’une boîte aux lettres.Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. Parmi les exemples de remplacements figurent une règle de boîte de réception ou de flux de messagerie qui autorise les messages provenant d’un expéditeur ou d’un domaine spécifique, ou une stratégie anti-courrier indésirable qui autorise les messages provenant d’expéditeurs ou de domaines spécifiques.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour Office 365 abonnement au module add-on P2E5/G5 or Defender for Office 365 P2 add-on subscription
Utilisateur restreint à l’envoi de courrier électroniqueUser restricted from sending email Génère une alerte lorsqu’une personne de votre organisation est limitée à l’envoi de messages sortants.Generates an alert when someone in your organization is restricted from sending outbound mail. Cela se produit généralement lorsqu’un compte est compromis et que l’utilisateur est répertorié dans la page Utilisateurs restreints de la Centre de conformité Microsoft 365.This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Microsoft 365 compliance center. (Pour accéder à cette page, accédez à Gestion des menaces > consulter > utilisateurs restreints).(To access this page, go to Threat management > Review > Restricted Users). Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Pour plus d’informations sur les utilisateurs restreints, voir Suppression d’un utilisateur, d’un domaine ou d’une adresse IP d’une liste d’adresses IP bloqués après l’envoi de courrier indésirable.For more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Utilisateur restreint au partage de formulaires et à la collecte de réponsesUser restricted from sharing forms and collecting responses Génère une alerte lorsqu’une personne de votre organisation n’a pas pu partager des formulaires et collecter des réponses à l’aide de Microsoft Forms en raison de la détection d’un comportement répété de tentative de hameçonnage.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E1, E3/F3 ou E5E1, E3/F3, or E5

Notes

1 Nous avons temporairement supprimé cette stratégie d’alerte par défaut en fonction des commentaires des clients.1 We've temporarily removed this default alert policy based on customer feedback. Nous travaillons pour l’améliorer et la remplacerons par une nouvelle version prochainement.We're working to improve it, and will replace it with a new version in the near future. En attendant, vous pouvez créer une stratégie d’alerte personnalisée pour remplacer cette fonctionnalité à l’aide des paramètres suivants :Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * L’activité est le courrier de hameçonnage détecté au moment de la remise  * Activity is Phish email detected at time of delivery
  * Le courrier n’est pas ZAP’d  * Mail is not ZAP'd
  * Direction du courrier entrant  * Mail direction is Inbound
  * L’état de remise du courrier est remis  * Mail delivery status is Delivered
  * La technologie de détection est la rétention d’URL malveillantes, la détonation d’URL, le filtre d’hameçonnage avancé, le filtre d’hameçonnage général, l’emprunt d’identité de domaine, l’emprunt d’identité d’utilisateur et l’emprunt d’identité de marque  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Pour plus d’informations sur l’anti-hameçonnage dans Office 365, voir Configurer des stratégies anti-hameçonnage et anti-hameçonnage.   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 Pour recréer cette stratégie d’alerte, suivez les instructions de la note de bas de page précédente, mais choisissez l’emprunt d’identité d’utilisateur comme seule technologie de détection.2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

L’activité inhabituelle surveillée par certaines des stratégies intégrées est basée sur le même processus que le paramètre de seuil d’alerte précédemment décrit.The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. Microsoft établit une valeur de référence qui définit la fréquence normale de l’activité « habituelle ».Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. Les alertes sont ensuite déclenchées lorsque la fréquence des activités de suivi par la stratégie d’alerte intégrée dépasse largement la valeur de référence.Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

Affichage des alertesViewing alerts

Lorsqu’une activité effectuée par les utilisateurs de votre organisation correspond aux paramètres d’une stratégie d’alerte, une alerte est générée et affichée sur la page Alertes dans le centre de conformité.When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the Alerts page in the compliance center. Selon les paramètres d’une stratégie d’alerte, une notification par courrier électronique est également envoyée à une liste d’utilisateurs spécifiés lorsqu’une alerte est déclenchée.Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. Pour chaque alerte, le tableau de bord de la page Alertes affiche le nom de la stratégie d’alerte correspondante, la gravité et la catégorie de l’alerte (définie dans la stratégie d’alerte) et le nombre de fois qu’une activité s’est produite et que l’alerte a été générée.For each alert, the dashboard on the Alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. Cette valeur est basée sur le paramètre de seuil de la stratégie d’alerte.This value is based on the threshold setting of the alert policy. Le tableau de bord affiche également l’état de chaque alerte.The dashboard also shows the status for each alert. Pour plus d’informations sur l’utilisation de la propriété d’état pour gérer les alertes, voir Gestion des alertes.For more information about using the status property to manage alerts, see Managing alerts.

Pour afficher les alertes, sélectionnez https://compliance.microsoft.com Alertes.To view alerts, go to https://compliance.microsoft.com and then select Alerts. Vous pouvez également y aller https://compliance.microsoft.com/compliancealerts directement.Alternatively, you can go directly to https://compliance.microsoft.com/compliancealerts.

Dans la Centre de conformité Microsoft 365, sélectionnez Alertes

Vous pouvez utiliser les filtres suivants pour afficher un sous-ensemble de toutes les alertes sur la page Alertes.You can use the following filters to view a subset of all the alerts on the Alerts page.

  • État.Status. Utilisez ce filtre pour afficher les alertes affectées à un état particulier.Use this filter to show alerts that are assigned a particular status. L’état par défaut est Actif.The default status is Active. Vous ou d’autres administrateurs pouvez modifier la valeur d’état.You or other administrators can change the status value.

  • Stratégie.Policy. Utilisez ce filtre pour afficher les alertes qui correspondent au paramètre d’une ou plusieurs stratégies d’alerte.Use this filter to show alerts that match the setting of one or more alert policies. Vous pouvez également afficher toutes les alertes pour toutes les stratégies d’alerte.Or you can display all alerts for all alert policies.

  • Plage de temps.Time range. Utilisez ce filtre pour afficher les alertes qui ont été générées dans une plage de date et d’heure spécifique.Use this filter to show alerts that were generated within a specific date and time range.

  • Gravité.Severity. Utilisez ce filtre pour afficher les alertes affectées d’une gravité spécifique.Use this filter to show alerts that are assigned a specific severity.

  • Catégorie.Category. Utilisez ce filtre pour afficher les alertes d’une ou de plusieurs catégories d’alertes.Use this filter to show alerts from one or more alert categories.

  • Balises.Tags. Utilisez ce filtre pour afficher les alertes à partir d’une ou plusieurs balises utilisateur.Use this filter to show alerts from one or more user tags. Les balises sont reflétées en fonction des boîtes aux lettres marquées ou des utilisateurs qui apparaissent dans les alertes.Tags are reflected based on tagged mailboxes or users that appear in the alerts. Pour en savoir plus, consultez les balises utilisateur Office 356 ATP.See User tags in Office 356 ATP to learn more.

  • Source.Source. Utilisez ce filtre pour afficher les alertes déclenchées par les stratégies d’alerte dans le centre de conformité ou les alertes déclenchées par Sécurité des applications cloud Office 365 stratégies, ou les deux.Use this filter to show alerts triggered by alert policies in the compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. Pour plus d’informations sur Sécurité des applications cloud Office 365 alertes, consultez La Sécurité des applications cloud alertes.For more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

Important

Le filtrage et le tri par balises utilisateur sont actuellement en prévisualisation publique.Filtering and sorting by user tags is currently in public preview. Il peut être considérablement modifié avant sa publication commerciale.It may be substantially modified before it's commercially released. Microsoft n’offre aucune garantie, expressément ou implicite, en ce qui concerne les informations fournies à son sujet.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

Agrégation d’alertesAlert aggregation

Lorsque plusieurs événements qui correspondent aux conditions d’une stratégie d’alerte se produisent sur une courte période de temps, ils sont ajoutés à une alerte existante par un processus appelé agrégation d’alertes.When multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. Lorsqu’un événement déclenche une alerte, l’alerte est générée et affichée sur la page Alertes et une notification est envoyée.When an event triggers an alert, the alert is generated and displayed on the Alerts page and a notification is sent. Si le même événement se produit dans l’intervalle d’agrégation, Microsoft 365 ajoute des détails sur le nouvel événement à l’alerte existante au lieu de déclencher une nouvelle alerte.If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. L’objectif de l’agrégation d’alertes est de réduire la « lassitude » des alertes et de vous permettre de vous concentrer et d’agir sur moins d’alertes pour le même événement.The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

La durée de l’intervalle d’agrégation dépend de votre abonnement Office 365 ou Microsoft 365 abonnement.The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

AbonnementSubscription Intervalle d’agrégationAggregation interval
Office 365 ou Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 minute1 minute
Microsoft Defender pour Office 365 Plan 2Defender for Office 365 Plan 2 1 minute1 minute
Module de conformité E5 ou module de découverte et audit E5E5 Compliance add-on or E5 Discovery and Audit add-on 1 minute1 minute
Office 365 ou Microsoft 365 E1/F1/G1 ou E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 minutes15 minutes
Defender for Office 365 Plan 1 ou Exchange Online ProtectionDefender for Office 365 Plan 1 or Exchange Online Protection 15 minutes15 minutes

Lorsque des événements qui correspondent à la même stratégie d’alerte se produisent dans l’intervalle d’agrégation, des détails sur l’événement suivant sont ajoutés à l’alerte d’origine.When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. Pour tous les événements, les informations sur les événements agrégés sont affichées dans le champ Détails et le nombre de fois qu’un événement s’est produit avec l’intervalle d’agrégation est affiché dans le champ activité/nombre d’accès.For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. Vous pouvez afficher plus d’informations sur toutes les instances d’événements agrégés en visualxant la liste d’activités.You can view more information about all aggregated events instances by viewing the activity list.

La capture d’écran suivante montre une alerte avec quatre événements agrégés.The following screenshot shows an alert with four aggregated events. La liste d’activités contient des informations sur les quatre messages électroniques pertinents pour l’alerte.The activity list contains information about the four email messages relevant to the alert.

Exemple d’agrégation d’alertes

Gardez les éléments suivants à l’esprit concernant l’agrégation d’alertes :Keep the following things in mind about alert aggregation:

  • Les alertes déclenchées par le clic sur une URL potentiellement malveillante ont été détectées comme stratégie d’alerte par défaut ne sont pas regroupées. Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. En raison du fait que les alertes déclenchées par cette stratégie sont propres à chaque utilisateur et message électronique.This is because alerts triggered by this policy are unique to each user and email message.

  • Pour l’instant, la propriété d’alerte de nombre de résultats n’indique pas le nombre d’événements agrégés pour toutes les stratégies d’alerte.At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. Pour les alertes déclenchées par ces stratégies d’alerte, vous pouvez afficher les événements agrégés en cliquant sur Afficher la liste des messages ou afficher l’activité sur l’alerte.For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. Nous travaillons pour que le nombre d’événements agrégés répertoriés dans la propriété d’alerte de nombre de frappes soit disponible pour toutes les stratégies d’alerte. We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

Autorisations RBAC requises pour afficher les alertesRBAC permissions required to view alerts

Les autorisations RBAC (Contrôle d’accès basé sur un rôle) attribuées aux utilisateurs de votre organisation déterminent les alertes qu’un utilisateur peut voir sur la page Alertes.The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the Alerts page. Comment cela s’accomplit-t-il ?How is this accomplished? Les rôles de gestion attribués aux utilisateurs (en fonction de leur appartenance à des groupes de rôles dans le Centre de conformité Microsoft 365) déterminent les catégories d’alerte qu’un utilisateur peut voir dans la page Alertes.The management roles assigned to users (based on their membership in role groups in the Microsoft 365 compliance center) determine which alert categories a user can see on the Alerts page. Voici quelques exemples :Here are some examples:

  • Les membres du groupe de rôles Gestion des enregistrements peuvent afficher uniquement les alertes générées par les stratégies d’alerte affectées à la catégorie de gouvernance des informations.Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • Les membres du groupe de rôles Administrateur de conformité ne peuvent pas afficher les alertes générées par les stratégies d’alerte affectées à la catégorie de gestion des menaces.Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • Les membres du groupe de rôles Gestionnaire eDiscovery ne peuvent pas afficher les alertes, car aucun des rôles attribués ne permet d’afficher les alertes à partir d’une catégorie d’alerte.Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

Cette conception (basée sur les autorisations RBAC) vous permet de déterminer les alertes qui peuvent être vues (et gérées) par les utilisateurs dans des rôles spécifiques au sein de votre organisation.This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

Le tableau suivant répertorie les rôles requis pour afficher les alertes des six catégories d’alertes différentes.The following table lists the roles that are required to view alerts from the six different alert categories. La première colonne des tableaux répertorie tous les rôles du Centre de conformité Microsoft 365.The first column in the tables lists all roles in the Microsoft 365 compliance center. Une coche indique qu’un utilisateur affecté à ce rôle peut afficher les alertes de la catégorie d’alerte correspondante répertoriée dans la ligne supérieure.A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

Pour voir à quelle catégorie une stratégie d’alerte par défaut est affectée, consultez le tableau dans stratégies d’alerte par défaut.To see which category a default alert policy is assigned to, see the table in Default alert policies.

RoleRole Gouvernance des informationsInformation governance Protection contre la perte de donnéesData loss prevention Flux de messagerieMail flow AutorisationsPermissions Gestion des menacesThreat management AutresOthers
Journaux d’auditAudit Logs
Gestion des casCase Management
Administrateur de conformitéCompliance Administrator Coche Coche Coche Coche
Recherche de conformitéCompliance Search
Gestion des appareilsDevice Management
Gestion de la dispositionDisposition Management
Gestion de la conformité DLPDLP Compliance Management Coche
ExporterExport
SuspensionHold
Gérer les alertesManage Alerts Coche
Configuration de l’organisationOrganization Configuration Coche
AperçuPreview
Gestion des enregistrementRecord Management Coche
Gestion de la rétentionRetention Management Coche
RévisionReview
Déchiffrement RMSRMS Decrypt
Gestion des rôlesRole Management Coche
Recherche et purgeSearch And Purge
Administrateur de sécuritéSecurity Administrator Coche Coche Coche Coche
Lecteur de sécuritéSecurity Reader Coche Coche Coche Coche
Affichage De l’assurance serviceService Assurance View
Administrateur de la révision de surveillanceSupervisory Review Administrator
Journaux d'audit en affichage seulView-Only Audit Logs
View-Only gestion des périphériquesView-Only Device Management
View-Only de conformité DLPView-Only DLP Compliance Management Coche
View-Only gérer les alertesView-Only Manage Alerts Coche
Afficher uniquement les destinatairesView-Only Recipients Coche
View-Only gestion des enregistrementView-Only Record Management Coche
View-Only rétention des donnéesView-Only Retention Management Coche

Conseil

Pour afficher les rôles attribués à chacun des groupes de rôles par défaut, exécutez les commandes suivantes dans le Centre de sécurité & conformité PowerShell :To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

Vous pouvez également afficher les rôles attribués à un groupe de rôles dans le Centre de conformité Microsoft 365.You can also view the roles assigned to a role group in the Microsoft 365 compliance center. Go to the Permissions page, and select a role group.Go to the Permissions page, and select a role group. Les rôles attribués sont répertoriés dans la page volante.The assigned roles are listed on the flyout page.

Gestion des alertesManaging alerts

Une fois les alertes générées et affichées sur la page Alertes dans le centre de conformité, vous pouvez les trier, les examiner et les résoudre.After alerts have been generated and displayed on the Alerts page in the compliance center, you can triage, investigate, and resolve them. Voici quelques tâches que vous pouvez effectuer pour gérer les alertes.Here are some tasks you can perform to manage alerts.

  • Attribuez un état aux alertes.Assign a status to alerts. Vous pouvez affecter l’un des états suivants aux alertes : Actif (valeur par défaut), En cours d’investigation, Résolu ou Rejeté.You can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. Ensuite, vous pouvez filtrer ce paramètre pour afficher les alertes avec le même paramètre d’état.Then, you can filter on this setting to display alerts with the same status setting. Ce paramètre d’état peut vous aider à suivre le processus de gestion des alertes.This status setting can help track the process of managing alerts.

  • Afficher les détails de l’alerte.View alert details. Vous pouvez sélectionner une alerte pour afficher une page volante avec des détails sur l’alerte.You can select an alert to display a flyout page with details about the alert. Les informations détaillées dépendent de la stratégie d’alerte correspondante, mais elles incluent généralement les informations suivantes :The detailed information depends on the corresponding alert policy, but it typically includes the following:

    • Nom de l’opération qui a déclenché l’alerte, telle qu’une cmdlet ou une opération de journal d’audit.The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • Description de l’activité qui a déclenché l’alerte.A description of the activity that triggered the alert.

    • Utilisateur (ou liste d’utilisateurs) ayant déclenché l’alerte.The user (or list of users) who triggered the alert. Il est inclus uniquement pour les stratégies d’alerte qui sont définies pour suivre un seul utilisateur ou une seule activité.This is included only for alert policies that are set up to track a single user or a single activity.

    • Nombre de fois que l’activité suivi par l’alerte a été effectuée.The number of times the activity tracked by the alert was performed. Ce nombre peut ne pas correspondre au nombre réel d’alertes associées répertoriées sur la page Alertes, car d’autres alertes peuvent avoir été déclenchées.This number may not match that actual number of related alerts listed on the Alerts page because more alerts may have been triggered.

    • Lien vers une liste d’activités qui inclut un élément pour chaque activité qui a déclenché l’alerte.A link to an activity list that includes an item for each activity that was performed that triggered the alert. Chaque entrée de cette liste identifie le moment où l’activité s’est produite, le nom de l’opération réelle (telle que « FileDeleted »), l’utilisateur qui a effectué l’activité, l’objet (par exemple, un fichier, un cas eDiscovery ou une boîte aux lettres) sur qui l’activité a été effectuée et l’adresse IP de l’ordinateur de l’utilisateur.Each entry in this list identifies when the activity occurred, the name of the actual operation (such as "FileDeleted"), the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. Pour les alertes liées aux programmes malveillants, il s’agit d’un lien vers une liste de messages.For malware-related alerts, this links to a message list.

    • Nom (et lien) de la stratégie d’alerte correspondante.The name (and link) of the corresponding alert policy.

  • Supprimer les notifications par courrier électronique.Suppress email notifications. Vous pouvez désactiver (ou supprimer) les notifications par courrier électronique à partir de la page volante pour une alerte.You can turn off (or suppress) email notifications from the flyout page for an alert. Lorsque vous supprimez des notifications par courrier électronique, Microsoft n’envoie pas de notifications lorsque des activités ou des événements qui correspondent aux conditions de la stratégie d’alerte se produisent.When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy occur. Toutefois, les alertes sont déclenchées lorsque les activités effectuées par les utilisateurs correspondent aux conditions de la stratégie d’alerte.But alerts will be triggered when activities performed by users match the conditions of the alert policy. Vous pouvez également désactiver les notifications par courrier électronique en éditant la stratégie d’alerte.You can also turn off email notifications by editing the alert policy.

  • Résoudre les alertes.Resolve alerts. Vous pouvez marquer une alerte comme résolue dans la page volante d’une alerte (qui définit l’état de l’alerte sur Résolu).You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). Sauf si vous modifiez le filtre, les alertes résolues ne sont pas affichées sur la page Alertes.Unless you change the filter, resolved alerts aren't displayed on the Alerts page.

Affichage Sécurité des applications cloud alertesViewing Cloud App Security alerts

Les alertes déclenchées par des stratégies Sécurité des applications cloud Office 365 sont désormais affichées dans la page Alertes du Centre de conformité.Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the Alerts page in the compliance center. Cela inclut les alertes déclenchées par les stratégies d’activité et les alertes déclenchées par des stratégies de détection d’anomalies Sécurité des applications cloud Office 365.This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. Cela signifie que vous pouvez afficher toutes les alertes dans le centre de conformité.This means you can view all alerts in the compliance center. Sécurité des applications cloud Office 365 est disponible uniquement pour les organisations Office 365 Entreprise un abonnement E5 ou Office 365 gouvernement américain G5.Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. Pour plus d’informations, voir Vue d’ensemble Sécurité des applications cloud.For more information, see Overview of Cloud App Security.

Les organisations qui ont des Microsoft Cloud App Security dans le cadre d’un abonnement Enterprise Mobility + Security E5 ou en tant que service autonome peuvent également afficher les alertes de Sécurité des applications cloud liées aux applications et services Microsoft 365 dans le Centre de conformité Microsoft 365.Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Microsoft 365 apps and services in the Microsoft 365 compliance center.

Pour afficher uniquement Sécurité des applications cloud alertes dans le centre de conformité, utilisez le filtre Source et sélectionnez Sécurité des applications cloud.To display only Cloud App Security alerts in the compliance center, use the Source filter and select Cloud App Security.

Utiliser le filtre Source pour afficher uniquement Sécurité des applications cloud alertes

Comme une alerte déclenchée par une stratégie d’alerte dans le centre de conformité, vous pouvez sélectionner une alerte Sécurité des applications cloud pour afficher une page de présentation avec des détails sur l’alerte.Similar to an alert triggered by an alert policy in the compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. L’alerte inclut un lien pour afficher les détails et gérer l’alerte dans le portail Sécurité des applications cloud et un lien vers la stratégie Sécurité des applications cloud correspondante qui a déclenché l’alerte.The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. Voir Surveiller les alertes dans Sécurité des applications cloud.See Monitor alerts in Cloud App Security.

Les détails de l’alerte contiennent des liens vers le Sécurité des applications cloud web

Important

La modification de l’état d’Sécurité des applications cloud alerte dans le centre de conformité ne met pas à jour l’état de résolution de la même alerte dans le portail Sécurité des applications cloud.Changing the status of a Cloud App Security alert in the compliance center won't update the resolution status for the same alert in the Cloud App Security portal. Par exemple, si vous marquez l’état de l’alerte comme Résolu dans le centre de conformité, l’état de l’alerte dans le portail Sécurité des applications cloud reste inchangé.For example, if you mark the status of the alert as Resolved in the compliance center, the status of the alert in the Cloud App Security portal is unchanged. Pour résoudre ou ignorer une alerte Sécurité des applications cloud, gérez l’alerte dans le portail Sécurité des applications cloud web.To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.