Protection contre les programmes malveillants dans EOPAnti-malware protection in EOP

Important

Bienvenue à Microsoft Defender for Office 365 , le nouveau nom Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365 , the new name for Office 365 Advanced Threat Protection. Si vous souhaitez en savoir plus à ce sujet et sur les autres mises à jour, veuillez consulter la page Microsoft delivers unified SIEM and XDR to modernize security operations.Read more about this and other updates in Microsoft delivers unified SIEM and XDR to modernize security operations.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online, les messages électroniques sont automatiquement protégés contre les programmes malveillants par EOP.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, email messages are automatically protected against malware by EOP. Voici quelques-unes des principales catégories de programmes malveillants :Some of the major categories of malware are:

  • Les virus qui infectent d’autres programmes et données, et qui se propagent via votre ordinateur ou votre réseau, à la recherche de programmes à infecter.Viruses that infect other programs and data, and spread through your computer or network looking for programs to infect.

  • Logiciel espion qui recueille vos informations personnelles, telles que des informations de connexion et des données personnelles, et les renvoie à son auteur.Spyware that that gathers your personal information, such as sign-in information and personal data, and sends it back to its author.

  • Ransomware qui chiffre vos données et demande un paiement pour les déchiffrer.Ransomware that encrypts your data and demands payment to decrypt it. Le logiciel anti-programme malveillant ne vous permet pas de déchiffrer les fichiers chiffrés, mais il peut détecter et supprimer la charge utile du programme malveillant associé aux ransomware.Anti-malware software doesn't help you decrypt encrypted files, but it can detect and remove the malware payload that's associated with the ransomware.

EOP offre une protection multiniveau contre les programmes malveillants conçue pour intercepter tous les programmes malveillants connus qui circulent dans votre organisation.EOP offers multi-layered malware protection that's designed to catch all known malware traveling into or out of your organization. Les options suivantes permettent de fournir une protection anti-programme malveillant :The following options help provide anti-malware protection:

  • Défenses en couches contre les programmes malveillants : plusieurs moteurs d’analyse anti-programmes malveillants permettent de se protéger contre les menaces connues et inconnues.Layered defenses against malware : Multiple anti-malware scan engines help protect against both known and unknown threats. Ces moteurs fournissent une détection heuristique puissante offrant une protection y compris lors des premiers stades de l'apparition d'un programme malveillant.These engines include powerful heuristic detection to provide protection even during the early stages of a malware outbreak. Il a été démontré que cette approche à plusieurs moteurs offre une bien meilleure protection que l'utilisation d'un seul moteur de logiciels anti-programme malveillant.This multi-engine approach has been shown to provide significantly more protection than using just one anti-malware engine.

  • Réponse aux menaces en temps réel : lors de certaines épidémies, l’équipe de blocage des programmes malveillants peut disposer de suffisamment d’informations sur un virus ou une autre forme de programme malveillant pour écrire des règles de stratégie sophistiquées qui détectent la menace, même avant qu’une définition ne soit disponible à partir des moteurs d’analyse utilisés par le service.Real-time threat response : During some outbreaks, the anti-malware team may have enough information about a virus or other form of malware to write sophisticated policy rules that detect the threat, even before a definition is available from any of the scan engines used by the service. Ces règles sont publiées sur le réseau global toutes les 2 heures afin d'offrir à votre organisation un niveau de protection supplémentaire contre les attaques.These rules are published to the global network every 2 hours to provide your organization with an extra layer of protection against attacks.

  • Déploiement rapide des définitions anti-programmes malveillants : l’équipe anti-programme malveillant entretient des relations étroites avec les partenaires qui développent des moteurs anti-programme malveillant.Fast anti-malware definition deployment : The anti-malware team maintains close relationships with partners who develop anti-malware engines. Par conséquent, le service peut recevoir et intégrer des définitions et des correctifs de programmes malveillants avant leur publication publique.As a result, the service can receive and integrate malware definitions and patches before they're publicly released. De plus, notre relation avec ces partenaires nous permet souvent de développer nos propres solutions.Our connection with these partners often allows us to develop our own remedies as well. Le service vérifie la présence de définitions mises à jour pour tous les moteurs de logiciels anti-programme malveillant toutes les heures.The service checks for updated definitions for all anti-malware engines every hour.

Dans EOP, les messages qui contiennent des programmes malveillants dans n’importe quelle pièce jointe sont mis en quarantaine et ne peuvent être mis en quarantaine que par un administrateur. Pour plus d’informations, consultez la rubrique gestion des messages et des fichiers mis en quarantaine en tant qu’administrateur dans EOP.In EOP, messages that are found to contain malware in any attachments are quarantined, and can only be released from quarantine by an admin. For more information, see Manage quarantined messages and files as an admin in EOP.

Pour plus d’informations sur la protection anti-programme malveillant, consultez le FAQ sur la protection anti-programme malveillant.For more information about anti-malware protection, see the Anti-malware protection FAQ.

Pour configurer les stratégies anti-programmes malveillants, consultez la rubrique configure anti-malware Policies.To configure anti-malware policies, see Configure anti-malware policies.

Pour soumettre un programme malveillant à Microsoft, consultez la rubrique signaler des messages et des fichiers à Microsoft.To submit malware to Microsoft, see Report messages and files to Microsoft.

Stratégies de protection contre les programmes malveillantsAnti-malware policies

Les stratégies anti-programme malveillant contrôlent les paramètres et les options de notification pour les détections de programmes malveillants.Anti-malware policies control the settings and notification options for malware detections. Les paramètres importants des stratégies de protection contre les programmes malveillants sont les suivants :The important settings in anti-malware policies are:

  • Notifications de destinataire : par défaut, un destinataire de message n’est pas informé qu’un message destiné à lui être mis en quarantaine en raison d’un programme malveillant.Recipient notifications : By default, a message recipient isn't told that a message intended for them was quarantined due to malware. Toutefois, vous pouvez activer les notifications de destinataire sous la forme de la remise du message d’origine avec toutes les pièces jointes supprimées et remplacées par un fichier nommé alerte par programme malveillant Text.txt contenant le texte suivant :But, you can enable recipient notifications in the form of delivering the original message with all attachments removed and replaced by a single file named Malware Alert Text.txt that contains the following text:

    Un programme malveillant a été détecté dans une ou plusieurs pièces jointes incluses dans ce message électronique.Malware was detected in one or more attachments included with this email message.
    Action : toutes les pièces jointes ont été supprimées.Action: All attachments have been removed.
    <Original malware attachment name> <Malware detection result><Original malware attachment name> <Malware detection result>

    Vous pouvez remplacer le texte par défaut dans le fichier d' alerte de programmes malveillants Text.txt par votre propre texte personnalisé.You can replace the default text in the Malware Alert Text.txt file with your own custom text.

  • Filtre de types de pièces jointes courantes : il existe certains types de fichiers que vous ne devez pas envoyer par courrier électronique (par exemple, les fichiers exécutables).Common Attachment Types Filter : There are certain types of files that you really shouldn't send via email (for example, executable files). Pourquoi ne pas analyser ces types de fichiers pour les programmes malveillants, quand quand même les bloquer ?Why bother scanning these type of files for malware, when you should probably block them all, anyway? C’est là qu’intervient le filtre de types de pièces jointes courantes.That's where the Common Attachment Types Filter comes in. Il est désactivé par défaut, mais lorsque vous l’activez, les types de fichiers que vous spécifiez sont automatiquement traités comme des programmes malveillants.It's disabled by default, but when you enable it, the file types you specify are automatically treated as malware. Vous pouvez utiliser la liste par défaut des types de fichiers ou personnaliser la liste.You can use the default list of file types or customize the list. Les types de fichiers par défaut sont les suivants : .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs .The default file types are: .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs.

    Le filtre de types de pièces jointes courantes utilise le meilleur effort pour détecter le type de fichier indépendamment de l’extension de nom de fichier.The Common Attachment Types Filter uses best effort true-typing to detect the file type regardless of the file name extension. Si la saisie véritable échoue ou n’est pas prise en charge pour le type de fichier spécifié, la correspondance d’extension simple est utilisée.If true-typing fails or isn't supported for the specified file type, then simple extension matching is used.

  • Programme malveillant auto purge (ZAP) : le programme malveillant zap met en quarantaine les messages qui contiennent des programmes malveillants une fois qu’ils ont été remis aux boîtes aux lettres Exchange Online.Malware zero-hour auto purge (ZAP) : Malware ZAP quarantines messages that are found to contain malware after they've been delivered to Exchange Online mailboxes. Par défaut, le logiciel malveillant ZAP est activé, et nous vous recommandons de le laisser activé.By default, malware ZAP is on, and we recommend that you leave it on.

  • Notifications de l’expéditeur : par défaut, l’expéditeur du message n’est pas informé que son message a été mis en quarantaine en raison d’un programme malveillant.Sender notifications : By default, a message sender isn't told that their message was quarantined due to malware. Toutefois, vous pouvez activer les messages de notification pour les expéditeurs selon que l’expéditeur est interne ou externe.But, you can enabled notification messages for senders based on whether the sender is internal or external. Le message de notification par défaut se présente comme suit :The default notification message looks like this:

    De : postmaster postmaster@ <defaultdomain> . comFrom: Postmaster postmaster@ <defaultdomain>.com
    Objet : message non remisSubject: Undeliverable message

    Ce message a été créé automatiquement par un logiciel de remise de courrier.This message was created automatically by mail delivery software. Votre message n’a pas été remis aux destinataires désignés, car un programme malveillant a été détecté.Your email message was not delivered to the intended recipients because malware was detected. Toutes les pièces jointes ont été supprimées.All attachments were deleted.

    ---Des informations supplémentaires--- :--- Additional Information ---:

    Objet: <message subject>Subject: <message subject>
    Expéditeur <message sender>Sender: <message sender>

    Heure de réception : <date/time>Time received: <date/time>
    ID du message : <message id>Message ID: <message id>
    Détections trouvées :Detections found:
    <attachment name> <malware detection result><attachment name> <malware detection result>

    Vous pouvez personnaliser l' adresse de l' objet , l’objet et le texte du message pour les notifications internes et externes.You can customize the From address , subject , and message text for internal and external notifications.

    Vous pouvez également spécifier un destinataire supplémentaire (un administrateur) pour recevoir des notifications pour les programmes malveillants détectés dans les messages provenant d’expéditeurs internes ou externes.You can also specify an additional recipient (an admin) to receive notifications for malware detected in messages from internal or external senders.

  • Filtres de destinataires : pour les stratégies anti-programmes malveillants personnalisées, vous pouvez spécifier des conditions de destinataire et des exceptions qui déterminent à qui la stratégie s’applique.Recipient filters : For custom anti-malware policies, you can specify recipient conditions and exceptions that determine who the policy applies to. Vous pouvez utiliser ces propriétés pour les conditions et les exceptions :You can use these properties for conditions and exceptions:

    • Le destinataire estThe recipient is
    • Le domaine du destinataire estThe recipient domain is
    • Le destinataire est membre deThe recipient is a member of

    Vous ne pouvez utiliser une condition ou une exception qu'une seule fois, mais la condition ou l'exception peut contenir plusieurs valeurs.You can only use a condition or exception once, but the condition or exception can contain multiple values. Plusieurs valeurs de la même condition ou exception utilisent la logique OU (par exemple, <recipient1> ou <recipient2> ).Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2> ). Des conditions ou des exceptions différentes utilisent la logique ET (par exemple, <recipient1> et <member of group 1> ).Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1> ).

  • Priorité : Si vous créez plusieurs stratégies anti-programmes malveillants personnalisées, vous pouvez spécifier l’ordre dans lequel elles sont appliquées.Priority : If you create multiple custom anti-malware policies, you can specify the order that they're applied. Aucune stratégie ne peut avoir la même priorité, et le traitement de stratégie s’arrête une fois la première stratégie appliquée.No two policies can have the same priority, and policy processing stops after the first policy is applied.

    Pour plus d’informations sur l’ordre de priorité et l’évaluation et l’application de plusieurs stratégies, consultez Ordre et la priorité de la protection de la messagerie.For more information about the order of precedence and how multiple policies are evaluated and applied, see Order and precedence of email protection.

Stratégies de protection contre les programmes malveillants dans le centre de sécurité & Compliance CenterAnti-malware policies in the Security & Compliance Center vs PowerShell

Les éléments de base d’une stratégie anti-programme malveillant sont les suivants :The basic elements of an anti-malware policy are:

  • Stratégie de filtrage des programmes malveillants : spécifie les paramètres de notification de destinataire, d’expéditeur et de notification d’administrateur, Zap et les types de pièces jointes courants.The malware filter policy : Specifies the recipient notification, sender and admin notification, ZAP, and the Common Attachment Types Filter settings.
  • La règle de filtrage des programmes malveillants : spécifie la priorité et les filtres de destinataire (auxquels s’applique la stratégie) pour une stratégie de filtrage des programmes malveillants.The malware filter rule : Specifies the priority and recipient filters (who the policy applies to) for a malware filter policy.

La différence entre ces deux éléments n’est pas évidente lorsque vous gérez des stratégies anti-programme malveillant dans le centre de sécurité & Compliance Center :The difference between these two elements isn't obvious when you manage anti-malware polices in the Security & Compliance Center:

  • Lorsque vous créez une stratégie anti-programme malveillant, vous créez en réalité une règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée en même temps en utilisant le même nom pour les deux.When you create an anti-malware policy, you're actually creating a malware filter rule and the associated malware filter policy at the same time using the same name for both.

  • Lorsque vous modifiez une stratégie anti-programme malveillant, les paramètres relatifs au nom, à la priorité, activé ou désactivé et aux filtres de destinataires modifient la règle de filtrage des programmes malveillants.When you modify an anti-malware policy, settings related to the name, priority, enabled or disabled, and recipient filters modify the malware filter rule. Autres paramètres (notification de destinataire, expéditeur et notification d’administrateur, ZAP et le filtre de types de pièces jointes courants) modifiez la stratégie de filtrage des programmes malveillants associée.Other settings (recipient notification, sender and admin notification, ZAP, and the Common Attachment Types Filter) modify the associated malware filter policy.

  • Lorsque vous supprimez une stratégie de blocage des programmes malveillants, la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée sont supprimées.When you remove an anti-malware policy, the malware filter rule and the associated malware filter policy are removed.

Dans Exchange Online PowerShell ou le PowerShell autonome EOP, la différence entre les stratégies de filtrage des programmes malveillants et les règles de filtrage des programmes malveillants est apparente.In Exchange Online PowerShell or standalone EOP PowerShell, the difference between malware filter policies and malware filter rules is apparent. Gérez les stratégies de filtrage des programmes malveillants à l'aide des cmdlets *-MalwareFilterPolicy et gérez les règles de filtrage des programmes malveillants à l'aide des cmdlets *-MalwareFilterRule.You manage malware filter policies by using the *-MalwareFilterPolicy cmdlets, and you manage malware filter rules by using the *-MalwareFilterRule cmdlets.

  • Dans PowerShell, vous devez d’abord créer la stratégie de filtrage des programmes malveillants, puis créer la règle de filtrage des programmes malveillants qui identifie la stratégie à laquelle s’applique la règle.In PowerShell, you create the malware filter policy first, then you create the malware filter rule that identifies the policy that the rule applies to.
  • Dans PowerShell, vous pouvez modifier séparément les paramètres de la stratégie de filtrage des programmes malveillants et de la règle de filtrage des programmes malveillants.In PowerShell, you modify the settings in the malware filter policy and the malware filter rule separately.
  • Lorsque vous supprimez une stratégie de filtrage des programmes malveillants de PowerShell, la règle de filtrage des programmes malveillants correspondante n’est pas automatiquement supprimée, et inversement.When you remove a malware filter policy from PowerShell, the corresponding malware filter rule isn't automatically removed, and vice versa.

Stratégie anti-programme malveillant par défautDefault anti-malware policy

Chaque organisation dispose d’une stratégie anti-programme malveillant intégrée nommée par défaut qui possède les propriétés suivantes :Every organization has a built-in anti-malware policy named Default that has these properties:

  • La stratégie est appliquée à tous les destinataires de l’organisation, même s’il n’y a aucune règle de filtrage des programmes malveillants associée à la stratégie.The policy is applied to all recipients in the organization, even though there's no malware filter rule (recipient filters) associated with the policy.

  • La stratégie a la valeur de priorité personnalisée la plus petite , que vous ne pouvez pas modifier (la stratégie est toujours appliquée en dernier).The policy has the custom priority value Lowest that you can't modify (the policy is always applied last). Les stratégies anti-programmes malveillants personnalisées que vous créez ont toujours une priorité plus élevée que la stratégie nommée par défaut.Any custom anti-malware policies that you create always have a higher priority than the policy named Default.

  • La stratégie est la stratégie par défaut (la propriété IsDefault possède la valeurTrue) et vous ne pouvez pas supprimer la stratégie par défaut.The policy is the default policy (the IsDefault property has the value True), and you can't delete the default policy.