Stratégies d’alerte dans le Centre de sécurité et de conformitéAlert policies in the security and compliance center

Vous pouvez utiliser les outils de stratégie d’alerte et de tableau de bord d’alerte dans les centres de sécurité et conformité Microsoft 365 pour créer des stratégies d’alerte, puis afficher les alertes générées lorsque les utilisateurs effectuent des activités qui correspondent aux conditions d’une stratégie d’alerte.You can use the alert policy and alert dashboard tools in the Microsoft 365 security and compliance centers to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Il existe plusieurs stratégies d’alerte par défaut qui vous permettent de surveiller des activités telles que l’attribution de privilèges d’administrateur dans Exchange Online, les attaques de programmes malveillants, les campagnes de hameçonnage et les niveaux inhabituels de suppressions de fichiers et de partage externe.There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

Les stratégies d’alerte vous permet de catégoriser les alertes déclenchées par une stratégie, d’appliquer la stratégie à tous les utilisateurs de votre organisation, de définir un niveau de seuil pour le déclenchement d’une alerte et de décider s’il faut recevoir des notifications par courrier électronique lorsque des alertes sont déclenchées.Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. Il existe également une page Afficher les alertes dans le centre de sécurité et conformité où vous pouvez afficher et filtrer les alertes, définir un état d’alerte pour vous aider à gérer les alertes, puis ignorer les alertes après avoir résolu ou résolu l’incident sous-jacent.There's also a View alerts page in the security and compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

Notes

Les stratégies d’alerte sont disponibles pour les organisations ayant un abonnement Microsoft 365 Entreprise, Office 365 Entreprise ou Office 365 pour le gouvernement américain E1/F1/G1, E3/F3/G3 ou E5/G5.Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. Les fonctionnalités avancées sont uniquement disponibles pour les organisations qui disposent d’un abonnement E5/G5, ou pour les organisations qui disposent d’un abonnement E1/F1/G1 ou E3/F3/G3 et d’un abonnement Microsoft Defender pour Office 365 P2 ou Microsoft 365 E5 Compliance ou un abonnement de modules de découverte électronique et d’audit E5.Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. Les fonctionnalités qui nécessitent un abonnement E5/G5 ou un module add-on sont mises en évidence dans cette rubrique.The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. Notez également que les stratégies d’alerte sont disponibles dans les environnements Office 365 GCC, GCC High et DoD pour le gouvernement américain.Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

Fonctionnement des stratégies d’alerteHow alert policies work

Voici une vue d’ensemble rapide du fonctionnement des stratégies d’alerte et des alertes déclenchées lorsque l’activité de l’utilisateur ou de l’administrateur correspond aux conditions d’une stratégie d’alerte.Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

Vue d’ensemble du fonctionnement des stratégies d’alerte

  1. Un administrateur de votre organisation crée, configure et allume une stratégie d’alerte à l’aide de la page Stratégies d’alerte dans le Centre de sécurité et conformité.An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the security and compliance center. Vous pouvez également créer des stratégies d’alerte à l’aide de la cmdlet New-ProtectionAlert dans le Centre de sécurité & conformité PowerShell.You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    Pour créer des stratégies d’alerte, vous devez avoir le rôle Gérer les alertes ou le rôle Configuration de l’organisation dans le centre de sécurité et conformité.To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the security and compliance center.

    Notes

    La création ou la mise à jour d’une stratégie d’alerte prend jusqu’à 24 heures avant que les alertes ne soient déclenchées par la stratégie.It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. Cela est dû au fait que la stratégie doit être synchronisée avec le moteur de détection des alertes.This is because the policy has to be synced to the alert detection engine.

  2. Un utilisateur effectue une activité qui correspond aux conditions d’une stratégie d’alerte.A user performs an activity that matches the conditions of an alert policy. Dans le cas d’attaques de programmes malveillants, les messages électroniques infectés envoyés aux utilisateurs de votre organisation déclenchent une alerte.In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 génère une alerte qui s’affiche sur la page Afficher les alertes dans le Centre de sécurité & conformité.Microsoft 365 generates an alert that's displayed on the View alerts page in the Security & Compliance Center. En outre, si les notifications par courrier électronique sont activées pour la stratégie d’alerte, Microsoft envoie une notification à une liste de destinataires.Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. Les alertes qu’un administrateur ou d’autres utilisateurs peuvent voir sur la page Afficher les alertes sont déterminées par les rôles attribués à l’utilisateur.The alerts that an admin or other users can see that on the View alerts page is determined by the roles assigned to the user. Pour plus d’informations, voir les autorisations RBAC requises pour afficher les alertes.For more information, see RBAC permissions required to view alerts.

  4. Un administrateur gère les alertes dans le centre de sécurité et conformité.An admin manages alerts in the security and compliance center. La gestion des alertes consiste à affecter un état d’alerte pour vous aider à suivre et à gérer tout examen.Managing alerts consists of assigning an alert status to help track and manage any investigation.

Paramètres de stratégie d’alerteAlert policy settings

Une stratégie d’alerte se compose d’un ensemble de règles et de conditions qui définissent l’activité de l’utilisateur ou de l’administrateur qui génère une alerte, d’une liste des utilisateurs qui déclenchent l’alerte s’ils exécutent l’activité et d’un seuil qui définit le nombre de fois qu’une activité doit se produire avant le déclenchement d’une alerte.An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. Vous classez également la stratégie et lui affectez un niveau de gravité.You also categorize the policy and assign it a severity level. Ces deux paramètres vous aident à gérer les stratégies d’alerte (et les alertes déclenchées lorsque les conditions de stratégie sont respectées), car vous pouvez filtrer ces paramètres lors de la gestion des stratégies et de l’affichage des alertes dans le centre de sécurité et conformité.These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the security and compliance center. Par exemple, vous pouvez afficher les alertes qui correspondent aux conditions de la même catégorie ou afficher les alertes avec le même niveau de gravité.For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

Pour afficher et créer des stratégies d’alerte, puis https://protection.office.com sélectionnez Stratégies d’alerte d’alertes. > To view and create alert policies, go to https://protection.office.com and then select Alerts > Alert policies.

Dans le centre de sécurité et conformité, sélectionnez Alertes, puis sélectionnez Stratégies d’alerte pour afficher et créer des stratégies d’alerte

Une stratégie d’alerte se compose des paramètres et conditions suivants.An alert policy consists of the following settings and conditions.

  • Activité que l’alerte suit : vous créez une stratégie pour suivre une activité ou, dans certains cas, quelques activités connexes, telles que le partage d’un fichier avec un utilisateur externe en le partageant, en attribuant des autorisations d’accès ou en créant un lien anonyme.Activity the alert is tracking - You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. Lorsqu’un utilisateur effectue l’activité définie par la stratégie, une alerte est déclenchée en fonction des paramètres de seuil d’alerte.When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    Notes

    Les activités que vous pouvez suivre dépendent du plan Office 365 Entreprise ou Office 365 pour le gouvernement américain de votre organisation.The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. En règle générale, les activités liées aux campagnes anti-programme malveillant et aux attaques par hameçonnage nécessitent un abonnement E5/G5, un abonnement E1/F1/G1 ou E3/F3/G3 avec un abonnement de modules de développement Defender pour Office 365 Plan 2.In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • Conditions d’activité : pour la plupart des activités, vous pouvez définir des conditions supplémentaires qui doivent être remplies pour déclencher une alerte.Activity conditions - For most activities, you can define additional conditions that must be met to trigger an alert. Les conditions courantes incluent les adresses IP (de sorte qu’une alerte est déclenchée lorsque l’utilisateur effectue l’activité sur un ordinateur avec une adresse IP spécifique ou dans une plage d’adresses IP), si une alerte est déclenchée si un ou plusieurs utilisateurs effectuent cette activité, et si l’activité est effectuée sur un nom de fichier ou une URL spécifique.Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. Vous pouvez également configurer une condition qui déclenche une alerte lorsque l’activité est effectuée par n’importe quel utilisateur de votre organisation.You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. Les conditions disponibles dépendent de l’activité sélectionnée.The available conditions are dependent on the selected activity.

  • Lorsque l’alerte est déclenchée : vous pouvez configurer un paramètre qui définit la fréquence à utiliser pour qu’une activité se produise avant le déclenchement d’une alerte.When the alert is triggered - You can configure a setting that defines how often an activity can occur before an alert is triggered. Cela vous permet de configurer une stratégie pour générer une alerte chaque fois qu’une activité correspond aux conditions de stratégie, lorsqu’un certain seuil est dépassé ou lorsque l’occurrence de l’activité que l’alerte suit devient inhabituelle pour votre organisation.This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    Configurer le déclenchement des alertes, en fonction du moment où l’activité se produit, d’un seuil ou d’une activité inhabituelle pour votre organisation

    Si vous sélectionnez le paramètre en fonction d’une activité inhabituelle, Microsoft établit une valeur de référence qui définit la fréquence normale de l’activité sélectionnée.If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. Il faut jusqu’à sept jours pour établir cette ligne de base, au cours de laquelle les alertes ne seront pas générées.It takes up to seven days to establish this baseline, during which alerts won't be generated. Une fois la ligne de base établie, une alerte est déclenchée lorsque la fréquence de l’activité suivi par la stratégie d’alerte dépasse grandement la valeur de référence.After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. Pour les activités liées à l’audit (telles que les activités liées aux fichiers et dossiers), vous pouvez établir une ligne de base basée sur un utilisateur unique ou sur tous les utilisateurs de votre organisation ; pour les activités liées aux programmes malveillants, vous pouvez établir une ligne de base basée sur une famille de programmes malveillants unique, un destinataire unique ou tous les messages de votre organisation.For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    Notes

    La possibilité de configurer des stratégies d’alerte basées sur un seuil ou sur la base d’une activité inhabituelle nécessite un abonnement E5/G5, ou un abonnement E1/F1/G1 ou E3/F3/G3 avec microsoft Defender pour Office 365 P2, conformité Microsoft 365 E5 ou abonnement au module de découverte électronique et d’audit Microsoft 365.The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. Les organisations ayant un abonnement E1/F1/G1 et E3/F3/G3 peuvent uniquement créer des stratégies d’alerte lorsqu’une alerte est déclenchée chaque fois qu’une activité se produit.Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • Catégorie d’alerte : pour faciliter le suivi et la gestion des alertes générées par une stratégie, vous pouvez affecter l’une des catégories suivantes à une stratégie.Alert category - To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • Protection contre la perte de donnéesData loss prevention

    • Gouvernance des informationsInformation governance

    • Flux de messagerieMail flow

    • AutorisationsPermissions

    • Gestion des menacesThreat management

    • AutresOthers

    Lorsqu’une activité qui correspond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie définie dans ce paramètre.When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie sur la page Afficher les alertes dans le centre de sécurité et conformité, car vous pouvez trier et filtrer les alertes en fonction de la catégorie.This allows you to track and manage alerts that have the same category setting on the View alerts page in the security and compliance center because you can sort and filter alerts based on category.

  • Gravité de l’alerte : similaire à la catégorie d’alerte, vous affectez un attribut de gravité (Faible, Moyen, Élevé ou Informationnel) aux stratégies d’alerte.Alert severity - Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. Comme pour la catégorie d’alerte, lorsqu’une activité qui correspond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec le même niveau de gravité que celui qui est définie pour la stratégie d’alerte.Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. Là encore, cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de gravité sur la page Afficher les alertes.Again, this allows you to track and manage alerts that have the same severity setting on the View alerts page. Par exemple, vous pouvez filtrer la liste des alertes de sorte que seules les alertes avec une gravité élevée soient affichées.For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    Conseil

    Lors de la configuration d’une stratégie d’alerte, envisagez d’affecter une gravité plus élevée aux activités qui peuvent entraîner des conséquences gravement négatives, telles que la détection de programmes malveillants après leur remise aux utilisateurs, l’affichage de données sensibles ou classifiées, le partage de données avec des utilisateurs externes ou d’autres activités qui peuvent entraîner une perte de données ou des menaces de sécurité.When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. Cela peut vous aider à hiérarchiser les alertes et les actions que vous prenez pour examiner et résoudre les causes sous-jacentes.This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • Notifications par courrier électronique : vous pouvez configurer la stratégie de sorte que les notifications par courrier électronique soient envoyées (ou non) à une liste d’utilisateurs lorsqu’une alerte est déclenchée.Email notifications - You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. Vous pouvez également définir une limite de notification quotidienne de sorte qu’une fois le nombre maximal de notifications atteint, plus aucune notification n’est envoyée pour l’alerte au cours de cette journée.You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. Outre les notifications par courrier électronique, vous ou d’autres administrateurs pouvez afficher les alertes déclenchées par une stratégie dans la page Afficher les alertes.In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the View alerts page. Envisagez d’activer les notifications par courrier électronique pour les stratégies d’alerte d’une catégorie spécifique ou qui ont un paramètre de gravité plus élevé.Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

Stratégies d’alerte par défautDefault alert policies

Microsoft fournit des stratégies d’alerte intégrées qui permettent d’identifier les abus des autorisations d’administrateur Exchange, l’activité des programmes malveillants, les menaces externes et internes potentielles, ainsi que les risques de gouvernance des informations.Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Dans la page Stratégies d’alerte, les noms de ces stratégies intégrées sont en gras et le type de stratégie est défini en tant que Système.On the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. Ces stratégies sont désactivées par défaut.These policies are turned on by default. Vous pouvez désactiver ces stratégies (ou recommencer), configurer une liste de destinataires pour envoyer des notifications par courrier électronique et définir une limite de notification quotidienne.You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. Les autres paramètres de ces stratégies ne peuvent pas être modifiés.The other settings for these policies can't be edited.

Le tableau suivant répertorie et décrit les stratégies d’alerte par défaut disponibles et la catégorie à qui chaque stratégie est affectée.The following table lists and describes the available default alert policies and the category each policy is assigned to. La catégorie permet de déterminer les alertes qu’un utilisateur peut afficher dans la page Afficher les alertes.The category is used to determine which alerts a user can view on the View alerts page. Pour plus d’informations, voir les autorisations RBAC requises pour afficher les alertes.For more information, see RBAC permissions required to view alerts.

Le tableau indique également le plan Office 365 Entreprise et Office 365 pour le gouvernement américain requis pour chacun d’eux.The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. Certaines stratégies d’alerte par défaut sont disponibles si votre organisation dispose de l’abonnement au module complément approprié en plus d’un abonnement E1/F1/G1 ou E3/F3/G3.Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

Stratégie d’alerte par défautDefault alert policy DescriptionDescription CatégorieCategory Abonnement EntrepriseEnterprise subscription
Un clic d’URL potentiellement malveillant a été détectéA potentially malicious URL click was detected Génère une alerte lorsqu’un utilisateur protégé par des liens sécurisés dans votre organisation clique sur un lien malveillant.Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. Cet événement est déclenché lorsque les modifications du verdict d’URL sont identifiées par Microsoft Defender pour Office 365 ou lorsque les utilisateurs remplacent les pages de liens sécurisés (en fonction de la stratégie de liens sécurisés Microsoft 365 pour les entreprises de votre organisation).This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). Cette stratégie d’alerte a un paramètre de gravité élevée.This alert policy has a High severity setting. Pour les clients Defender pour Office 365 P2, E5 et G5, cette alerte déclenche automatiquement un examen et une réponse automatisés dans Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Pour plus d’informations sur les événements qui déclenchent cette alerte, voir Configurer des stratégies de liens sécurisés.For more information on events that trigger this alert, see Set up Safe Links policies. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Résultat de la soumission de l’administrateur terminéAdmin Submission result completed Génère une alerte lorsqu’une soumission d’administrateur termine la rescan de l’entité soumise.Generates an alert when an Admin Submission completes the rescan of the submitted entity. Une alerte est déclenchée chaque fois qu’un résultat de rescan est rendu à partir d’une soumission d’administrateur.An alert will be triggered every time a rescan result is rendered from an Admin Submission. Ces alertes sont destinées à vous rappeler de passer en revue les résultats des soumissions précédentes,de soumettre les messages signalés par l’utilisateur pour obtenir la dernière vérification de stratégie et de rescaner les verdicts, et de vous aider à déterminer si les stratégies de filtrage de votre organisation ont l’impact prévu.These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. Cette stratégie a un paramètre de gravité faible.This policy has a Low severity setting. Gestion des menacesThreat management E1/F1, E3/F3 ou E5E1/F1, E3/F3, or E5
L’administrateur a déclenché une enquête manuelle sur le courrier électroniqueAdmin triggered manual investigation of email Génère une alerte lorsqu’un administrateur déclenche l’examen manuel d’un e-mail à partir de l’Explorateur de menaces.Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. Pour plus d’informations, voir [Exemple : un administrateur de sécurité déclenche une enquête à partir de l’Explorateur de menaces] ( https://docs.microsoft.com/microsoft-365/security/office-365-security/automated-investigation-response-office#example-a-security-administrator-triggers-an-investigation-from-threat-explorer) .For more information, see [Example: A security administrator triggers an investigation from Threat Explorer] (https://docs.microsoft.com/microsoft-365/security/office-365-security/automated-investigation-response-office#example-a-security-administrator-triggers-an-investigation-from-threat-explorer). Cette alerte informe votre organisation que l’enquête a été lancée.This alert notifies your organization that the investigation was started. L’alerte fournit des informations sur la personne qui l’a déclenchée et inclut un lien vers l’enquête.The alert provides information about who triggered it and includes a link to the investigation. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Microsoft Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Création d’une règle de redirection/de redirectionCreation of forwarding/redirect rule Génère une alerte lorsqu’une personne de votre organisation crée une règle de boîte de réception pour sa boîte aux lettres qui redirige les messages vers un autre compte de messagerie.Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. Cette stratégie suit uniquement les règles de boîte de réception créées à l’aide d’Outlook sur le web (anciennement Outlook Web App) ou d’Exchange Online PowerShell.This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. Cette stratégie a un paramètre de gravité faible.This policy has a Low severity setting. Pour plus d’informations sur l’utilisation de règles de boîte de réception pour le redirection et le redirection de messages électroniques dans Outlook sur le web, consultez la page Utiliser des règles dans Outlook sur le web pour envoyer automatiquement des messages vers un autre compte.For more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Recherche eDiscovery démarrée ou exportéeeDiscovery search started or exported Génère une alerte lorsqu’une personne utilise l’outil de recherche de contenu dans le Centre de sécurité et conformité.Generates an alert when someone uses the Content search tool in the Security and compliance center. Une alerte est déclenchée lorsque les activités de recherche de contenu suivantes sont effectuées :An alert is triggered when the following content search activities are performed:

* Une recherche de contenu est démarrée* A content search is started
* Les résultats d’une recherche de contenu sont exportés* The results of a content search are exported
* Un rapport de recherche de contenu est exporté* A content search report is exported

Les alertes sont également déclenchées lorsque les activités de recherche de contenu précédentes sont effectuées en association avec un cas eDiscovery.Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Pour plus d’informations sur les activités de recherche de contenu, voir Rechercher des activités eDiscovery dans le journal d’audit.For more information about content search activities, see Search for eDiscovery activities in the audit log.
Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Élévation du privilège d’administrateur ExchangeElevation of Exchange admin privilege Génère une alerte lorsqu’une personne se voit attribuer des autorisations administratives dans votre organisation Exchange Online.Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. Par exemple, lorsqu’un utilisateur est ajouté au groupe de rôles Gestion de l’organisation dans Exchange Online.For example, when a user is added to the Organization Management role group in Exchange Online. Cette stratégie a un paramètre de gravité faible.This policy has a Low severity setting. AutorisationsPermissions E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Messages électroniques contenant des programmes malveillants supprimés après la remiseEmail messages containing malware removed after delivery Génère une alerte lorsqu’un message contenant un programme malveillant est remis aux boîtes aux lettres de votre organisation.Generates an alert when any messages containing malware are delivered to mailboxes in your organization. Si cet événement se produit, Microsoft supprime les messages infectés des boîtes aux lettres Exchange Online à l’aide d’une purge automatique de zéro heure.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Cette stratégie a un paramètre de gravité d’information et déclenche automatiquement une enquête et une réponse automatisées dans Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Gestion des menacesThreat management E5/G5 ou Microsoft Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Messages électroniques contenant des URL de hameçonnage supprimées après la remiseEmail messages containing phish URLs removed after delivery Génère une alerte lorsque des messages contenant du hameçonnage sont remis aux boîtes aux lettres de votre organisation.Generates an alert when any messages containing phish are delivered to mailboxes in your organization. Si cet événement se produit, Microsoft supprime les messages infectés des boîtes aux lettres Exchange Online à l’aide d’une purge automatique de zéro heure.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Cette stratégie a un paramètre de gravité d’information et déclenche automatiquement une enquête et une réponse automatisées dans Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Courrier électronique signalé par l’utilisateur comme programme malveillant ou hameçonnageEmail reported by user as malware or phish Génère une alerte lorsque les utilisateurs de votre organisation signalent des messages en tant que courriers de hameçonnage à l’aide du add-in Signaler un message.Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Pour plus d’informations sur ce add-in, voir Utiliser le add-in Report Message.For more information about this add-in, see Use the Report Message add-in. Pour les clients Defender pour Office 365 P2, E5 et G5, cette alerte déclenche automatiquement un examen et une réponse automatisés dans Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Limite d’envoi de courrier électronique dépasséeEmail sending limit exceeded Génère une alerte lorsqu’une personne de votre organisation a envoyé plus de messages que ce qui est autorisé par la stratégie de courrier indésirable sortant.Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. Cela indique généralement que l’utilisateur envoie trop de messages électroniques ou que le compte peut être compromis.This is usually an indication the user is sending too much email or that the account may be compromised. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Si vous recevez une alerte générée par cette stratégie d’alerte, il est bon de vérifier si le compte d’utilisateur est compromis.If you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Formulaire bloqué en raison d’une tentative de hameçonnage potentielleForm blocked due to potential phishing attempt Génère une alerte lorsqu’une personne de votre organisation a été restreinte au partage de formulaires et à la collecte de réponses à l’aide de Microsoft Forms en raison d’un comportement répété de tentative de hameçonnage.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E1, E3/F3 ou E5E1, E3/F3, or E5
Formulaire marqué et confirmé comme hameçonnageForm flagged and confirmed as phishing Génère une alerte lorsqu’un formulaire créé dans Microsoft Forms à partir de votre organisation a été identifié comme hameçonnage potentiel par le biais de signalement de l’abus et confirmé comme hameçonnage par Microsoft.Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E1, E3/F3 ou E5E1, E3/F3, or E5
Les messages ont été retardésMessages have been delayed Génère une alerte lorsque Microsoft ne peut pas remettre de messages électroniques à votre organisation sur site ou à un serveur partenaire à l’aide d’un connecteur.Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. Lorsque cela se produit, le message est mis en file d’attente dans Office 365.When this happens, the message is queued in Office 365. Cette alerte est déclenchée lorsqu’au moins 2 000 messages ont été mis en file d’attente pendant plus d’une heure.This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Flux de messagerieMail flow E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Campagne anti-programme malveillant détectée après la remiseMalware campaign detected after delivery Génère une alerte lorsqu’un nombre anormalement élevé de messages contenant un programme malveillant est remis aux boîtes aux lettres de votre organisation.Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. Si cet événement se produit, Microsoft supprime les messages infectés des boîtes aux lettres Exchange Online.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E5/G5 ou Microsoft Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Campagne anti-programme malveillant détectée et bloquéeMalware campaign detected and blocked Génère une alerte lorsqu’une personne a tenté d’envoyer un nombre anormalement élevé de messages électroniques contenant un certain type de programme malveillant aux utilisateurs de votre organisation.Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. Si cet événement se produit, les messages infectés sont bloqués par Microsoft et ne sont pas remis aux boîtes aux lettres.If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. Cette stratégie a un paramètre de gravité faible.This policy has a Low severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Campagne anti-programme malveillant détectée dans SharePoint et OneDriveMalware campaign detected in SharePoint and OneDrive Génère une alerte lorsqu’un volume anormalement élevé de programmes malveillants ou de virus est détecté dans des fichiers situés dans des sites SharePoint ou des comptes OneDrive dans votre organisation.Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Programmes malveillants non détectés car ZAP est désactivéMalware not zapped because ZAP is disabled Génère une alerte lorsque Microsoft détecte la remise d’un message de programme malveillant à une boîte aux lettres car Zero-Hour purge automatique des messages d’hameçonnage est désactivée.Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Hameçonnage remis car le dossier Courrier indésirable d’un utilisateur est désactivéPhish delivered because a user's Junk Mail folder is disabled Génère une alerte lorsque Microsoft détecte que le dossier Courrier indésirable d’un utilisateur est désactivé, ce qui permet de transmettre un message de hameçonnage à haut niveau de confiance à une boîte aux lettres.Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Hameçonnage remis en raison d’une substitution ETRPhish delivered due to an ETR override Génère une alerte lorsque Microsoft détecte une règle de transport Exchange (ETR) qui a autorisé la remise d’un message de hameçonnage à haut niveau de confiance à une boîte aux lettres.Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Pour plus d’informations sur les règles de transport Exchange (règles de flux de messagerie), voir Règles de flux de messagerie (règles de transport) dans Exchange Online.For more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Hameçonnage remis en raison d’une stratégie d’adresse IP d’adresses IPPhish delivered due to an IP allow policy Génère une alerte lorsque Microsoft détecte une stratégie d’adresse IP autorisée pour la remise d’un message de hameçonnage à haut niveau de confiance à une boîte aux lettres.Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Pour plus d’informations sur la stratégie d’accès IP (filtrage des connexions), voir Configurer la stratégie de filtrage des connexions par défaut - Office 365.For more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Hameçonnage non- car ZAP est désactivéPhish not zapped because ZAP is disabled Génère une alerte lorsque Microsoft détecte la remise d’un message de hameçonnage à haut niveau de confiance à une boîte aux lettres, car Zero-Hour purge automatique des messages d’hameçonnage est désactivée.Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Cette stratégie a un paramètre de gravité d’information.This policy has an Informational severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Hameçonnage remis en raison du remplacement du client ou de l’utilisateur1Phish delivered due to tenant or user override1 Génère une alerte lorsque Microsoft détecte qu’un remplacement d’administrateur ou d’utilisateur a autorisé la remise d’un message de hameçonnage à une boîte aux lettres.Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. Parmi les exemples de remplacements figurent une règle de boîte de réception ou de flux de messagerie qui autorise les messages provenant d’un expéditeur ou d’un domaine spécifique, ou une stratégie anti-courrier indésirable qui autorise les messages provenant d’expéditeurs ou de domaines spécifiques.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Activité de forwarding de courrier suspecteSuspicious email forwarding activity Génère une alerte lorsqu’une personne de votre organisation a reçu automatiquement des messages électroniques vers un compte externe suspect.Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. Il s’agit d’un avertissement précoce pour un comportement qui peut indiquer que le compte est compromis, mais pas assez grave pour restreindre l’utilisateur.This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Bien que cela soit rare, une alerte générée par cette stratégie peut être une anomalie.Although it's rare, an alert generated by this policy may be an anomaly. Il est bon de vérifier si le compte d’utilisateur est compromis.It's a good idea to check whether the user account is compromised. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Modèles d’envoi de courrier suspects détectésSuspicious email sending patterns detected Génère une alerte lorsqu’une personne de votre organisation a envoyé des messages suspects et risque d’être limitée à l’envoi de courriers électroniques.Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. Il s’agit d’un avertissement précoce pour un comportement qui peut indiquer que le compte est compromis, mais pas assez grave pour restreindre l’utilisateur.This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Bien que cela soit rare, une alerte générée par cette stratégie peut être une anomalie.Although it's rare, an alert generated by this policy may be an anomaly. Toutefois, il est bon de vérifier si le compte d’utilisateur est compromis.However, it's a good idea to check whether the user account is compromised. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Client restreint à l’envoi de courrier électroniqueTenant restricted from sending email Génère une alerte lorsque la plupart du trafic de courrier provenant de votre organisation a été détecté comme suspect et que Microsoft a restreint l’envoi de courriers électroniques à votre organisation.Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. Examinez les comptes d’utilisateur et d’administrateur potentiellement compromis, les nouveaux connecteurs ou les relais ouverts, puis contactez le Support Microsoft pour débloquer votre organisation.Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Pour plus d’informations sur les raisons pour lesquelles les organisations sont bloquées, voir Corriger les problèmes de remise des e-mails pour le code d’erreur 5.7.7xx dans Exchange Online.For more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Activité inhabituelle de fichier d’utilisateur externeUnusual external user file activity Génère une alerte lorsqu’un nombre anormalement élevé d’activités est effectué sur des fichiers dans SharePoint ou OneDrive par des utilisateurs en dehors de votre organisation.Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. Cela inclut des activités telles que l’accès aux fichiers, le téléchargement de fichiers et la suppression de fichiers.This includes activities such as accessing files, downloading files, and deleting files. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gouvernance des informationsInformation governance E5/G5, Microsoft Defender pour Office 365 P2 ou un abonnement au module add-on Microsoft 365 E5E5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volume inhabituel de partage de fichiers externesUnusual volume of external file sharing Génère une alerte lorsqu’un nombre anormalement élevé de fichiers dans SharePoint ou OneDrive sont partagés avec des utilisateurs en dehors de votre organisation.Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Gouvernance des informationsInformation governance E5/G5, Defender pour Office 365 P2 ou un abonnement au module add-on Microsoft 365 E5E5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volume inhabituel de suppression de fichiersUnusual volume of file deletion Génère une alerte lorsqu’un nombre anormalement élevé de fichiers sont supprimés dans SharePoint ou OneDrive dans un court laps de temps.Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Gouvernance des informationsInformation governance E5/G5, Defender pour Office 365 P2 ou un abonnement au module add-on Microsoft 365 E5E5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Augmentation inhabituelle du nombre de messages électroniques signalés comme hameçonnageUnusual increase in email reported as phish Génère une alerte lorsqu’il y a une augmentation significative du nombre de personnes dans votre organisation qui utilisent le add-in Signaler un message dans Outlook pour signaler des messages comme courrier de hameçonnage.Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Pour plus d’informations sur ce add-in, voir Utiliser le add-in Report Message.For more information about this add-in, see Use the Report Message add-in. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Hameçonnage d’emprunt d’identité d’utilisateur remis dans la boîte de réception/le dossier 1,2User impersonation phish delivered to inbox/folder1,2 Génère une alerte lorsque Microsoft détecte qu’un remplacement d’administrateur ou d’utilisateur a autorisé la remise d’un message de hameçonnage d’emprunt d’identité d’utilisateur dans la boîte de réception (ou un autre dossier accessible à l’utilisateur) d’une boîte aux lettres.Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. Parmi les exemples de remplacements figurent une règle de boîte de réception ou de flux de messagerie qui autorise les messages provenant d’un expéditeur ou d’un domaine spécifique, ou une stratégie anti-courrier indésirable qui autorise les messages provenant d’expéditeurs ou de domaines spécifiques.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Cette stratégie a un paramètre de gravité moyenne.This policy has a Medium severity setting. Gestion des menacesThreat management E5/G5 ou Defender pour l’abonnement au module add-on Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Utilisateur restreint à l’envoi de courrier électroniqueUser restricted from sending email Génère une alerte lorsqu’une personne de votre organisation est limitée à l’envoi de messages sortants.Generates an alert when someone in your organization is restricted from sending outbound mail. Cela se produit généralement lorsqu’un compte est compromis et que l’utilisateur est répertorié sur la page Utilisateurs restreints dans le Centre de sécurité & conformité.This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Security & Compliance Center. (Pour accéder à cette page, accédez à Gestion des menaces > examiner > utilisateurs restreints).(To access this page, go to Threat management > Review > Restricted Users). Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Pour plus d’informations sur les utilisateurs restreints, voir Suppression d’un utilisateur, d’un domaine ou d’une adresse IP d’une liste d’adresses IP bloqués après l’envoi de courrier indésirable.For more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. Gestion des menacesThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Utilisateur restreint au partage de formulaires et à la collecte de réponsesUser restricted from sharing forms and collecting responses Génère une alerte lorsqu’une personne de votre organisation a été restreinte au partage de formulaires et à la collecte de réponses à l’aide de Microsoft Forms en raison d’un comportement répété de tentative de hameçonnage.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Cette stratégie a un paramètre de gravité élevée.This policy has a High severity setting. Gestion des menacesThreat management E1, E3/F3 ou E5E1, E3/F3, or E5

Notes

1 Nous avons temporairement supprimé cette stratégie d’alerte par défaut en fonction des commentaires des clients.1 We've temporarily removed this default alert policy based on customer feedback. Nous travaillons pour l’améliorer et la remplacerons par une nouvelle version prochainement.We're working to improve it, and will replace it with a new version in the near future. En attendant, vous pouvez créer une stratégie d’alerte personnalisée pour remplacer cette fonctionnalité à l’aide des paramètres suivants :Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * L’activité est le courrier de hameçonnage détecté au moment de la remise  * Activity is Phish email detected at time of delivery
  * Le courrier n’est pas ZAP’d  * Mail is not ZAP'd
  * Direction du courrier entrant  * Mail direction is Inbound
  * L’état de remise du courrier est remis  * Mail delivery status is Delivered
  * La technologie de détection est la rétention d’URL malveillantes, la détonation d’URL, le filtre d’hameçonnage avancé, le filtre d’hameçonnage général, l’emprunt d’identité de domaine, l’emprunt d’identité d’utilisateur et l’emprunt d’identité de marque  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Pour plus d’informations sur l’anti-hameçonnage dans Office 365, voir Configurer des stratégies anti-hameçonnage et anti-hameçonnage.   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 Pour recréer cette stratégie d’alerte, suivez les instructions de la note de bas de page précédente, mais choisissez l’emprunt d’identité d’utilisateur comme seule technologie de détection.2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

L’activité inhabituelle surveillée par certaines des stratégies intégrées est basée sur le même processus que le paramètre de seuil d’alerte précédemment décrit.The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. Microsoft établit une valeur de référence qui définit la fréquence normale de l’activité « habituelle ».Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. Les alertes sont ensuite déclenchées lorsque la fréquence des activités de suivi par la stratégie d’alerte intégrée dépasse largement la valeur de référence.Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

Affichage des alertesViewing alerts

Lorsqu’une activité effectuée par les utilisateurs de votre organisation correspond aux paramètres d’une stratégie d’alerte, une alerte est générée et affichée sur la page Afficher les alertes dans le centre de sécurité et conformité.When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the View alerts page in the security and compliance center. Selon les paramètres d’une stratégie d’alerte, une notification par courrier électronique est également envoyée à une liste d’utilisateurs spécifiés lorsqu’une alerte est déclenchée.Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. Pour chaque alerte, le tableau de bord de la page Afficher les alertes affiche le nom de la stratégie d’alerte correspondante, la gravité et la catégorie de l’alerte (définie dans la stratégie d’alerte) et le nombre de fois qu’une activité s’est produite et a généré l’alerte.For each alert, the dashboard on the View alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. Cette valeur est basée sur le paramètre de seuil de la stratégie d’alerte.This value is based on the threshold setting of the alert policy. Le tableau de bord affiche également l’état de chaque alerte.The dashboard also shows the status for each alert. Pour plus d’informations sur l’utilisation de la propriété d’état pour gérer les alertes, voir Gestion des alertes.For more information about using the status property to manage alerts, see Managing alerts.

Pour afficher les alertes, sélectionnez https://protection.office.com Alertes > Afficher les alertes.To view alerts, go to https://protection.office.com and then select Alerts > View alerts.

Dans la sécurité et la conformité, sélectionnez Alertes, puis afficher les alertes pour afficher les alertes

Vous pouvez utiliser les filtres suivants pour afficher un sous-ensemble de toutes les alertes dans la page Afficher les alertes.You can use the following filters to view a subset of all the alerts on the View alerts page.

  • État.Status. Utilisez ce filtre pour afficher les alertes affectées à un état particulier.Use this filter to show alerts that are assigned a particular status. L’état par défaut est Actif.The default status is Active. Vous ou d’autres administrateurs pouvez modifier la valeur d’état.You or other administrators can change the status value.

  • Stratégie.Policy. Utilisez ce filtre pour afficher les alertes qui correspondent au paramètre d’une ou plusieurs stratégies d’alerte.Use this filter to show alerts that match the setting of one or more alert policies. Vous pouvez également afficher toutes les alertes pour toutes les stratégies d’alerte.Or you can display all alerts for all alert policies.

  • Plage de temps.Time range. Utilisez ce filtre pour afficher les alertes qui ont été générées dans une plage de dates et d’heures spécifiques.Use this filter to show alerts that were generated within a specific date and time range.

  • Gravité.Severity. Utilisez ce filtre pour afficher les alertes affectées à une gravité spécifique.Use this filter to show alerts that are assigned a specific severity.

  • Catégorie.Category. Utilisez ce filtre pour afficher les alertes d’une ou de plusieurs catégories d’alertes.Use this filter to show alerts from one or more alert categories.

  • Balises.Tags. Utilisez ce filtre pour afficher les alertes à partir d’une ou plusieurs balises utilisateur.Use this filter to show alerts from one or more user tags. Les balises sont reflétées en fonction des boîtes aux lettres marquées ou des utilisateurs qui apparaissent dans les alertes.Tags are reflected based on tagged mailboxes or users that appear in the alerts. Pour en savoir plus, consultez balises utilisateur dans Office 356 ATP.See User tags in Office 356 ATP to learn more.

  • Source.Source. Utilisez ce filtre pour afficher les alertes déclenchées par les stratégies d’alerte dans le centre de sécurité et conformité ou les alertes déclenchées par les stratégies De sécurité des applications cloud Office 365, ou les deux.Use this filter to show alerts triggered by alert policies in the security and compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. Pour plus d’informations sur les alertes de sécurité des applications cloud Office 365, consultez l’affichage des alertes Cloud App Security.For more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

Important

Le filtrage et le tri par balises utilisateur sont actuellement en prévisualisation publique.Filtering and sorting by user tags is currently in public preview. Il peut être considérablement modifié avant sa publication commerciale.It may be substantially modified before it's commercially released. Microsoft n’offre aucune garantie, expressément ou implicite, en ce qui concerne les informations fournies à son sujet.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

Agrégation d’alertesAlert aggregation

Lorsque plusieurs événements qui correspondent aux conditions d’une stratégie d’alerte se produisent sur une courte période de temps, ils sont ajoutés à une alerte existante par un processus appelé agrégation d’alertes.When multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. Lorsqu’un événement déclenche une alerte, l’alerte est générée et affichée sur la page Afficher les alertes et une notification est envoyée.When an event triggers an alert, the alert is generated and displayed on the View alerts page and a notification is sent. Si le même événement se produit dans l’intervalle d’agrégation, Microsoft 365 ajoute des détails sur le nouvel événement à l’alerte existante au lieu de déclencher une nouvelle alerte.If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. L’objectif de l’agrégation d’alertes est de réduire la « lassitude » des alertes et de vous permettre de vous concentrer et d’agir sur moins d’alertes pour le même événement.The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

La durée de l’intervalle d’agrégation dépend de votre abonnement Office 365 ou Microsoft 365.The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

AbonnementSubscription Intervalle d’agrégationAggregation interval
Office 365 ou Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 minute1 minute
Microsoft Defender pour Office 365 Plan 2Defender for Office 365 Plan 2 1 minute1 minute
Module de conformité E5 ou module de découverte et audit E5E5 Compliance add-on or E5 Discovery and Audit add-on 1 minute1 minute
Office 365 ou Microsoft 365 E1/F1/G1 ou E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 minutes15 minutes
Defender pour Office 365 Plan 1 ou Exchange Online ProtectionDefender for Office 365 Plan 1 or Exchange Online Protection 15 minutes15 minutes

Lorsque des événements qui correspondent à la même stratégie d’alerte se produisent dans l’intervalle d’agrégation, des détails sur l’événement suivant sont ajoutés à l’alerte d’origine.When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. Pour tous les événements, les informations sur les événements agrégés sont affichées dans le champ Détails et le nombre de fois qu’un événement s’est produit avec l’intervalle d’agrégation est affiché dans le champ activité/nombre d’accès.For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. Vous pouvez afficher plus d’informations sur toutes les instances d’événements agrégés en visualxant la liste d’activités.You can view more information about all aggregated events instances by viewing the activity list.

La capture d’écran suivante montre une alerte avec quatre événements agrégés.The following screenshot shows an alert with four aggregated events. La liste d’activités contient des informations sur les quatre messages électroniques pertinents pour l’alerte.The activity list contains information about the four email messages relevant to the alert.

Exemple d’agrégation d’alertes

Gardez les éléments suivants à l’esprit concernant l’agrégation d’alertes :Keep the following things in mind about alert aggregation:

  • Les alertes déclenchées par le clic sur une URL potentiellement malveillante ont été détectées comme stratégie d’alerte par défaut ne sont pas regroupées. Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. En raison du fait que les alertes déclenchées par cette stratégie sont propres à chaque utilisateur et message électronique.This is because alerts triggered by this policy are unique to each user and email message.

  • Pour l’instant, la propriété d’alerte de nombre de résultats n’indique pas le nombre d’événements agrégés pour toutes les stratégies d’alerte.At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. Pour les alertes déclenchées par ces stratégies d’alerte, vous pouvez afficher les événements agrégés en cliquant sur Afficher la liste des messages ou afficher l’activité sur l’alerte.For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. Nous travaillons pour que le nombre d’événements agrégés répertoriés dans la propriété d’alerte de nombre de frappes soit disponible pour toutes les stratégies d’alerte. We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

Autorisations RBAC requises pour afficher les alertesRBAC permissions required to view alerts

Les autorisations RBAC (Contrôle d’accès basé sur un rôle) attribuées aux utilisateurs de votre organisation déterminent les alertes qu’un utilisateur peut voir dans la page Afficher les alertes.The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the View alerts page. Comment cela s’accomplit-t-il ?How is this accomplished? Les rôles de gestion attribués aux utilisateurs (en fonction de leur appartenance aux groupes de rôles dans le Centre de sécurité & conformité) déterminent les catégories d’alertes qu’un utilisateur peut voir dans la page Afficher les alertes.The management roles assigned to users (based on their membership in role groups in the Security & Compliance Center) determine which alert categories a user can see on the View alerts page. Voici quelques exemples :Here are some examples:

  • Les membres du groupe de rôles Gestion des enregistrements peuvent afficher uniquement les alertes générées par les stratégies d’alerte affectées à la catégorie de gouvernance des informations.Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • Les membres du groupe de rôles Administrateur de conformité ne peuvent pas afficher les alertes générées par les stratégies d’alerte affectées à la catégorie de gestion des menaces.Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • Les membres du groupe de rôles Gestionnaire eDiscovery ne peuvent pas afficher les alertes, car aucun des rôles attribués ne permet d’afficher les alertes à partir d’une catégorie d’alerte.Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

Cette conception (basée sur les autorisations RBAC) vous permet de déterminer les alertes qui peuvent être vues (et gérées) par les utilisateurs dans des rôles spécifiques au sein de votre organisation.This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

Le tableau suivant répertorie les rôles requis pour afficher les alertes des six catégories d’alertes différentes.The following table lists the roles that are required to view alerts from the six different alert categories. La première colonne des tableaux répertorie tous les rôles du Centre de sécurité & conformité.The first column in the tables lists all roles in the Security & Compliance Center. Une coche indique qu’un utilisateur affecté à ce rôle peut afficher les alertes de la catégorie d’alerte correspondante répertoriée dans la ligne supérieure.A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

Pour voir à quelle catégorie une stratégie d’alerte par défaut est affectée, consultez le tableau dans stratégies d’alerte par défaut.To see which category a default alert policy is assigned to, see the table in Default alert policies.

RoleRole Gouvernance des informationsInformation governance Protection contre la perte de donnéesData loss prevention Flux de messagerieMail flow AutorisationsPermissions Gestion des menacesThreat management AutresOthers
Journaux d’auditAudit Logs
Gestion des casCase Management
Administrateur de conformitéCompliance Administrator Coche Coche Coche Coche
Recherche de conformitéCompliance Search
Gestion des appareilsDevice Management
Gestion de la dispositionDisposition Management
Gestion de la conformité DLPDLP Compliance Management Coche
ExporterExport
SuspensionHold
Gérer les alertesManage Alerts Coche
Configuration de l’organisationOrganization Configuration Coche
AperçuPreview
Gestion des enregistrementRecord Management Coche
Gestion de la rétentionRetention Management Coche
RévisionReview
Déchiffrement RMSRMS Decrypt
Gestion des rôlesRole Management Coche
Recherche et purgeSearch And Purge
Administrateur de sécuritéSecurity Administrator Coche Coche Coche Coche
Lecteur de sécuritéSecurity Reader Coche Coche Coche Coche
Affichage De l’assurance serviceService Assurance View
Administrateur de la révision de surveillanceSupervisory Review Administrator
Journaux d'audit en affichage seulView-Only Audit Logs
View-Only gestion des appareilsView-Only Device Management
View-Only de conformité DLPView-Only DLP Compliance Management Coche
View-Only gérer les alertesView-Only Manage Alerts Coche
Afficher uniquement les destinatairesView-Only Recipients Coche
View-Only gestion des enregistrementView-Only Record Management Coche
View-Only rétention des donnéesView-Only Retention Management Coche

Conseil

Pour afficher les rôles attribués à chacun des groupes de rôles par défaut, exécutez les commandes suivantes dans le Centre de sécurité & conformité PowerShell :To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

Vous pouvez également afficher les rôles attribués à un groupe de rôles dans le Centre de sécurité & conformité.You can also view the roles assigned to a role group in the Security & Compliance Center. Go to the Permissions page, and select a role group.Go to the Permissions page, and select a role group. Les rôles attribués sont répertoriés dans la page volante.The assigned roles are listed on the flyout page.

Gestion des alertesManaging alerts

Une fois les alertes générées et affichées sur la page Afficher les alertes dans le centre de sécurité et conformité, vous pouvez les trier, les examiner et les résoudre.After alerts have been generated and displayed on the View alerts page in the security and compliance center, you can triage, investigate, and resolve them. Voici quelques tâches que vous pouvez effectuer pour gérer les alertes.Here are some tasks you can perform to manage alerts.

  • Attribuez un état aux alertes.Assign a status to alerts. Vous pouvez affecter l’un des états suivants aux alertes : Actif (valeur par défaut), En cours d’investigation, Résolu ou Rejeté.You can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. Ensuite, vous pouvez filtrer ce paramètre pour afficher les alertes avec le même paramètre d’état.Then, you can filter on this setting to display alerts with the same status setting. Ce paramètre d’état peut vous aider à suivre le processus de gestion des alertes.This status setting can help track the process of managing alerts.

  • Afficher les détails de l’alerte.View alert details. Vous pouvez sélectionner une alerte pour afficher une page volante avec des détails sur l’alerte.You can select an alert to display a flyout page with details about the alert. Les informations détaillées dépendent de la stratégie d’alerte correspondante, mais elles incluent généralement les éléments suivants : le nom de l’opération qui a déclenché l’alerte (par exemple, une cmdlet), une description de l’activité ayant déclenché l’alerte, l’utilisateur (ou la liste des utilisateurs) qui a déclenché l’alerte et le nom (et le lien vers) de la stratégie d’alerte correspondante.The detailed information depends on the corresponding alert policy, but it typically includes the following: name of the actual operation that triggered the alert (such as a cmdlet), a description of the activity that triggered the alert, the user (or list of users) who triggered the alert, and the name (and link to) of the corresponding alert policy.

    • Nom de l’opération qui a déclenché l’alerte, telle qu’une cmdlet ou une opération de journal d’audit.The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • Description de l’activité qui a déclenché l’alerte.A description of the activity that triggered the alert.

    • Utilisateur qui a déclenché l’alerte.The user who triggered the alert. Il est inclus uniquement pour les stratégies d’alerte qui sont définies pour suivre un seul utilisateur ou une seule activité.This is included only for alert policies that are set up to track a single user or a single activity.

    • Nombre de fois que l’activité suivi par l’alerte a été effectuée.The number of times the activity tracked by the alert was performed. Ce nombre peut ne pas correspondre au nombre réel d’alertes associées répertoriées dans la page Afficher les alertes, car d’autres alertes peuvent avoir été déclenchées.This number may not match that actual number of related alerts listed on the View alerts page because more alerts may have been triggered.

    • Lien vers une liste d’activités qui inclut un élément pour chaque activité qui a déclenché l’alerte.A link to an activity list that includes an item for each activity that was performed that triggered the alert. Chaque entrée de cette liste identifie le moment où l’activité s’est produite, le nom de l’opération réelle (telle que « FileDeleted ») et l’utilisateur qui a effectué l’activité, l’objet (par exemple, un fichier, un cas eDiscovery ou une boîte aux lettres) sur qui l’activité a été effectuée et l’adresse IP de l’ordinateur de l’utilisateur.Each entry in this list identifies when the activity occurred, the name of actual operation (such as "FileDeleted"), and the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. Pour les alertes liées aux programmes malveillants, il s’agit d’un lien vers une liste de messages.For malware-related alerts, this links to a message list.

    • Nom (et lien vers) de la stratégie d’alerte correspondante.The name (and link to) of the corresponding alert policy.

  • Supprimer les notifications par courrier électronique.Suppress email notifications. Vous pouvez désactiver (ou supprimer) les notifications par courrier électronique à partir de la page volante pour une alerte.You can turn off (or suppress) email notifications from the flyout page for an alert. Lorsque vous supprimez des notifications par courrier électronique, Microsoft n’envoie pas de notifications lorsque des activités ou des événements qui correspondent aux conditions de la stratégie d’alerte.When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy. Toutefois, les alertes sont déclenchées lorsque les activités effectuées par les utilisateurs correspondent aux conditions de la stratégie d’alerte.But alerts will be triggered when activities performed by users match the conditions of the alert policy. Vous pouvez également désactiver les notifications par courrier électronique en éditant la stratégie d’alerte.You can also turn off email notifications by editing the alert policy.

  • Résoudre les alertes.Resolve alerts. Vous pouvez marquer une alerte comme résolue dans la page volante d’une alerte (qui définit l’état de l’alerte sur Résolu).You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). Sauf si vous modifiez le filtre, les alertes résolues ne sont pas affichées dans la page Afficher les alertes.Unless you change the filter, resolved alerts aren't displayed on the View alerts page.

Affichage des alertes Cloud App SecurityViewing Cloud App Security alerts

Les alertes déclenchées par les stratégies de sécurité des applications cloud Office 365 sont désormais affichées dans la page Afficher les alertes dans le Centre de sécurité et conformité.Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the View alerts page in the security and compliance center. Cela inclut les alertes déclenchées par les stratégies d’activité et les alertes déclenchées par les stratégies de détection des anomalies dans La sécurité des applications cloud Office 365.This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. Cela signifie que vous pouvez afficher toutes les alertes dans le centre de sécurité et conformité.This means you can view all alerts in the security and compliance center. Office 365 Cloud App Security est disponible uniquement pour les organisations ayant un abonnement Office 365 Entreprise E5 ou Office 365 pour le gouvernement américain G5.Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. Pour plus d’informations, voir Vue d’ensemble de Cloud App Security.For more information, see Overview of Cloud App Security.

Les organisations qui ont Microsoft Cloud App Security dans le cadre d’un abonnement Enterprise Mobility + Security E5 ou en tant que service autonome peuvent également afficher les alertes Cloud App Security liées aux applications et services Office 365 dans le Centre de sécurité & conformité.Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Office 365 apps and services in the Security & Compliance Center.

Pour afficher uniquement les alertes Cloud App Security dans le centre de sécurité et conformité, utilisez le filtre Source et sélectionnez Cloud App Security.To display only Cloud App Security alerts in the security and compliance center, use the Source filter and select Cloud App Security.

Utiliser le filtre Source pour afficher uniquement les alertes Cloud App Security

Comme pour une alerte déclenchée par une stratégie d’alerte dans le centre de sécurité et conformité, vous pouvez sélectionner une alerte Cloud App Security pour afficher une page de présentation avec des détails sur l’alerte.Similar to an alert triggered by an alert policy in the security and compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. L’alerte inclut un lien pour afficher les détails et gérer l’alerte dans le portail Cloud App Security et un lien vers la stratégie Cloud App Security correspondante qui a déclenché l’alerte.The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. Voir Surveiller les alertes dans Cloud App Security.See Monitor alerts in Cloud App Security.

Les détails de l’alerte contiennent des liens vers le portail Cloud App Security

Important

La modification de l’état d’une alerte Cloud App Security dans le centre de sécurité et conformité ne met pas à jour l’état de résolution de la même alerte dans le portail Cloud App Security.Changing the status of a Cloud App Security alert in the security and compliance center won't update the resolution status for the same alert in the Cloud App Security portal. Par exemple, si vous marquez l’état de l’alerte comme résolu dans le centre de sécurité et conformité, l’état de l’alerte dans le portail Cloud App Security est inchangé.For example, if you mark the status of the alert as Resolved in the security and compliance center, the status of the alert in the Cloud App Security portal is unchanged. Pour résoudre ou ignorer une alerte Cloud App Security, gérez l’alerte dans le portail Cloud App Security.To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.