Guide des opérations de sécurité Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Cet article fournit une vue d’ensemble des exigences et des tâches pour le bon fonctionnement des Microsoft Defender pour Office 365 dans votre organization. Ces tâches permettent de s’assurer que votre centre d’opérations de sécurité (SOC) fournit une approche fiable et de haute qualité pour protéger, détecter et répondre aux menaces de sécurité liées aux e-mails et à la collaboration.

Le reste de ce guide décrit les activités requises pour le personnel SecOps. Les activités sont regroupées en tâches quotidiennes, hebdomadaires, mensuelles et ad hoc.

Un article complémentaire de ce guide fournit une vue d’ensemble de la gestion des incidents et des alertes à partir de Defender for Office 365 sur la page Incidents du portail Microsoft Defender.

Le Guide des opérations de sécurité Microsoft Defender XDR contient des informations supplémentaires que vous pouvez utiliser pour la planification et le développement.

Pour obtenir une vidéo sur ces informations, consultez https://youtu.be/eQanpq9N1Ps.

Activités quotidiennes

Surveiller la file d’attente des incidents Microsoft Defender XDR

La page Incidents du portail Microsoft Defender à l’adresse https://security.microsoft.com/incidents-queue (également appelée file d’attente Incidents) vous permet de gérer et de surveiller les événements à partir des sources suivantes dans Defender for Office 365 :

Pour plus d’informations sur la file d’attente Incidents, consultez Hiérarchiser les incidents dans Microsoft Defender XDR.

Votre plan de triage pour la surveillance de la file d’attente des incidents doit utiliser l’ordre de priorité suivant pour les incidents :

  1. Un clic d’URL potentiellement malveillant a été détecté.
  2. L’utilisateur n’est pas autorisé à envoyer des e-mails.
  3. Modèles d’envoi d’e-mails suspects détectés.
  4. Email signalés par l’utilisateur comme des programmes malveillants ou hameçonnages, et plusieurs utilisateurs ont signalé le courrier électronique comme programme malveillant ou hameçonnage.
  5. Email messages contenant des fichiers malveillants supprimés après remise, Email messages contenant une URL malveillante supprimée après la remise et Email messages d’une campagne supprimés après la remise.
  6. Hameçonnage remis en raison d’un remplacement ETR, Hameçonnage remis parce que le dossier Courrier indésirable d’un utilisateur est désactivé et Hameçonnage remis en raison d’une stratégie d’autorisation d’adresse IP
  7. Les programmes malveillants ne sont pas zapés, car ZAP est désactivé et Phish n’est pas zapé car ZAP est désactivé.

La gestion des files d’attente d’incidents et les personnes responsables sont décrites dans le tableau suivant :

Activité Cadence Description Persona
Triez les incidents dans la file d’attente Incidents à l’adresse https://security.microsoft.com/incidents-queue. Journalière Vérifiez que tous les incidents de gravité moyenne et élevée de Defender for Office 365 sont triés. Équipe des opérations de sécurité
Examiner et prendre des mesures de réponse sur les incidents. Journalière Examinez tous les incidents et effectuez activement les actions de réponse recommandées ou manuelles. Équipe des opérations de sécurité
Résoudre les incidents. Journalière Si l’incident a été corrigé, résolvez l’incident. La résolution de l’incident résout toutes les alertes actives liées et associées. Équipe des opérations de sécurité
Classifier les incidents. Journalière Classifiez les incidents comme étant vrai ou faux. Pour les alertes vraies, spécifiez le type de menace. Cette classification permet à votre équipe de sécurité de voir les modèles de menaces et de défendre vos organization contre eux. Équipe des opérations de sécurité

Gérer les détections de faux positifs et de faux négatifs

Dans Defender for Office 365, vous gérez les faux positifs (bons messages marqués comme mauvais) et les faux négatifs (courrier incorrect autorisé) aux emplacements suivants :

Pour plus d’informations, consultez la section Gérer les détections de faux positifs et de faux négatifs plus loin dans cet article.

La gestion des faux positifs et faux négatifs et les personnages responsables sont décrits dans le tableau suivant :

Activité Cadence Description Persona
Envoyez des faux positifs et des faux négatifs à Microsoft à l’adresse https://security.microsoft.com/reportsubmission. Journalière Fournissez des signaux à Microsoft en signalant des détections de fichiers, d’URL et d’e-mails incorrects. Équipe des opérations de sécurité
Analysez les détails de la soumission de l’administrateur. Journalière Comprenez les facteurs suivants pour les soumissions que vous soumettez à Microsoft :
  • Ce qui a provoqué le faux positif ou le faux négatif.
  • L’état de votre configuration Defender for Office 365 au moment de la soumission.
  • Si vous devez apporter des modifications à votre configuration Defender for Office 365.
 Équipe des opérations de sécurité

Administration de la sécurité
Ajoutez des entrées de bloc dans la liste verte/bloquée du locataire à l’adresse https://security.microsoft.com/tenantAllowBlockList. Journalière Utilisez la liste verte/bloquée du locataire pour ajouter des entrées de bloc pour les détections d’URL, de fichier ou d’expéditeur de faux négatifs selon les besoins. Équipe des opérations de sécurité
Libérer le faux positif de la mise en quarantaine. Journalière Une fois que le destinataire a confirmé que le message a été mis en quarantaine de manière incorrecte, vous pouvez publier ou approuver les demandes de mise en production pour les utilisateurs.

Pour contrôler ce que les utilisateurs peuvent faire à leurs propres messages mis en quarantaine (y compris la mise en production ou la demande de mise en production), consultez Stratégies de mise en quarantaine.		 Équipe des opérations de sécurité

Équipe de messagerie

Passer en revue les campagnes de hameçonnage et de programmes malveillants qui ont entraîné la remise du courrier

Activité Cadence Description Persona
Passez en revue les campagnes d’e-mail. Journalière Passez en revue les campagnes d’e-mail qui ciblaient votre organization sur https://security.microsoft.com/campaigns. Concentrez-vous sur les campagnes qui ont entraîné la remise de messages aux destinataires.

Supprimez les messages des campagnes qui existent dans les boîtes aux lettres utilisateur. Cette action est requise uniquement lorsqu’une campagne contient des e-mails qui n’ont pas déjà été corrigés par des actions d’incidents, de purge automatique de zéro heure (ZAP) ou de correction manuelle.		 Équipe des opérations de sécurité

Activités hebdomadaires

Dans Defender for Office 365, vous pouvez utiliser les rapports suivants pour passer en revue les tendances de détection des e-mails dans votre organization :

Activité Cadence Description Persona
Passez en revue les rapports de détection des e-mails à l’adresse suivante : En semaines Passez en revue les tendances de détection des e-mails pour les programmes malveillants, l’hameçonnage et le courrier indésirable par rapport aux bons e-mails. L’observation au fil du temps vous permet de voir les modèles de menace et de déterminer si vous devez ajuster vos stratégies de Defender for Office 365. Administration de la sécurité

Équipe des opérations de sécurité

Suivre et répondre aux menaces émergentes à l’aide de l’analytique des menaces

Utilisez l’analyse des menaces pour passer en revue les menaces actives et tendances.

Activité Cadence Description Persona
Passez en revue les menaces dans Analyse des menaces à l’adresse https://security.microsoft.com/threatanalytics3. En semaines L’analyse des menaces fournit une analyse détaillée, notamment les éléments suivants :
  • ICS.
  • Requêtes de chasse sur les acteurs de menace actifs et leurs campagnes.
  • Techniques d’attaque populaires et nouvelles.
  • Vulnérabilités critiques.
  • Surfaces d’attaque courantes.
  • Programmes malveillants répandus.
 Équipe des opérations de sécurité

Équipe de chasse aux menaces

Passer en revue les principaux utilisateurs ciblés pour les programmes malveillants et l’hameçonnage

Utilisez l’onglet Utilisateurs les plus ciblés (vue) dans la zone d’informations des affichages Tous les e-mails, Programmes malveillants et Hameçonnage dans Menace Explorer pour découvrir ou confirmer les utilisateurs qui sont les principales cibles des programmes malveillants et des e-mails d’hameçonnage.

Activité Cadence Description Persona
Passez en revue l’onglet Utilisateurs les plus ciblés dans Explorer menaces à l’adresse https://security.microsoft.com/threatexplorer. En semaines Utilisez les informations pour décider si vous devez ajuster les stratégies ou les protections pour ces utilisateurs. Ajoutez les utilisateurs concernés aux comptes prioritaires pour bénéficier des avantages suivants :
  • Visibilité supplémentaire lorsque les incidents les affectent.
  • Heuristique personnalisée pour les modèles de flux de messagerie de l’exécutif (protection des comptes prioritaires).
  • Email rapport sur les comptes prioritaires
 Administration de la sécurité

Équipe des opérations de sécurité

Passez en revue les principaux programmes malveillants et campagnes d’hameçonnage qui ciblent vos organization

Les vues de campagne révèlent les attaques par programme malveillant et par hameçonnage contre votre organization. Pour plus d’informations, consultez Affichages de campagne dans Microsoft Defender pour Office 365.

Activité Cadence Description Persona
Utilisez les vues de campagne sur https://security.microsoft.com/campaigns pour passer en revue les programmes malveillants et les attaques par hameçonnage qui vous affectent. En semaines Découvrez les attaques et les techniques et ce que Defender for Office 365 a pu identifier et bloquer.

Pour plus d’informations sur une campagne, utilisez Télécharger le rapport sur les menaces dans les affichages de campagne.		 Équipe des opérations de sécurité

Activités ad hoc

Examen manuel et suppression des e-mails

Activité Cadence Description Persona
Examinez et supprimez les e-mails incorrects dans Threat Explorer sur https://security.microsoft.com/threatexplorer en fonction des demandes des utilisateurs. Ad hoc Utilisez l’action Déclencher l’investigation dans Threat Explorer pour démarrer un playbook d’investigation et de réponse automatisé sur n’importe quel e-mail des 30 derniers jours. Le déclenchement manuel d’une investigation permet de gagner du temps et des efforts en incluant de manière centralisée :
  • Une investigation racine.
  • Étapes pour identifier et mettre en corrélation les menaces.
  • Actions recommandées pour atténuer ces menaces.

Pour plus d’informations, consultez Exemple : Un message hameçonnage signalé par l’utilisateur lance un playbook d’investigation

Vous pouvez également utiliser threat Explorer pour examiner manuellement les e-mails à l’aide de puissantes fonctionnalités de recherche et de filtrage et effectuer une action de réponse manuelle directement à partir du même endroit. Actions manuelles disponibles :
  • Accéder à la boîte de réception
  • Passer au courrier indésirable
  • Déplacer vers éléments supprimés
  • Supprimer (récupération possible)
  • Suppression définitive.
 Équipe des opérations de sécurité

Repérage proactif des menaces

Activité Cadence Description Persona
Chasse régulière et proactive des menaces à :. Ad hoc Recherche pour les menaces à l’aide du Explorer des menaces et de la chasse avancée. Équipe des opérations de sécurité

Équipe de chasse aux menaces
Partager des requêtes de chasse. Ad hoc Partagez activement des requêtes fréquemment utilisées et utiles au sein de l’équipe de sécurité pour accélérer la recherche et la correction manuelles des menaces.

Utilisez des suivis de menaces et des requêtes partagées dans Repérage avancé.		 Équipe des opérations de sécurité

Équipe de chasse aux menaces
Create des règles de détection personnalisées à l’adresse https://security.microsoft.com/custom_detection. Ad hoc Create des règles de détection personnalisées pour surveiller de manière proactive les événements, les modèles et les menaces en fonction des données Defender for Office 365 dans la chasse anticipée. Les règles de détection contiennent des requêtes de chasse avancées qui génèrent des alertes en fonction des critères de correspondance. Équipe des opérations de sécurité

Équipe de chasse aux menaces

Passer en revue les configurations de stratégie Defender for Office 365

Activité Cadence Description Persona
Passez en revue la configuration des stratégies Defender for Office 365 à l’adresse https://security.microsoft.com/configurationAnalyzer. Ad hoc

Mensuelle		 Utilisez l’analyseur de configuration pour comparer vos paramètres de stratégie existants aux valeurs Standard ou Strict recommandées pour Defender for Office 365. L’analyseur de configuration identifie les modifications accidentelles ou malveillantes qui peuvent réduire la posture de sécurité de votre organization.

Vous pouvez également utiliser l’outil ORCA basé sur PowerShell.		 Administration de la sécurité

Équipe de messagerie
Passez en revue les remplacements de détection dans Defender for Office 365 à l’adressehttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Ad hoc

Mensuelle		 Utilisez la vue Afficher les données par remplacement > système Répartition du graphique par raison dans le rapport de status protection contre les menaces pour passer en revue les e-mails détectés comme hameçonnage, mais remis en raison des paramètres de stratégie ou de remplacement utilisateur.

Examinez activement, supprimez ou ajustez activement les remplacements pour éviter la remise d’e-mails qui ont été jugés malveillants.		 Administration de la sécurité

Équipe de messagerie

Passer en revue les détections d’usurpation d’identité et d’usurpation d’identité

Activité Cadence Description Persona
Passez en revue les insights de renseignement sur l’usurpation d’identité et les insights de détection d’emprunt d’identité à l’adresse. Ad hoc

Mensuelle		 Utilisez l’insight d’usurpation d’identité et l’insightd’emprunt d’identité pour ajuster le filtrage des détections d’usurpation d’identité et d’usurpation d’identité. Administration de la sécurité

Équipe de messagerie

Vérifier l’appartenance au compte prioritaire

Activité Cadence Description Persona
Vérifiez qui est défini comme compte prioritaire à l’adresse https://security.microsoft.com/securitysettings/userTags. Ad hoc Maintenez l’appartenance des comptes prioritaires à jour avec les modifications de l’organisation afin d’obtenir les avantages suivants pour ces utilisateurs :
  • Meilleure visibilité dans les rapports.
  • Filtrage dans les incidents et les alertes.
  • Heuristique personnalisée pour les modèles de flux de messagerie de l’exécutif (protection des comptes prioritaires).

Utilisez des étiquettes utilisateur personnalisées pour que d’autres utilisateurs obtiennent :
  • Meilleure visibilité dans les rapports.
  • Filtrage dans les incidents et les alertes.
 Équipe des opérations de sécurité

Annexe

En savoir plus sur les outils et les processus Microsoft Defender pour Office 365

Les membres de l’équipe d’opérations de sécurité et de réponse doivent intégrer Defender for Office 365 outils et fonctionnalités dans les enquêtes et les processus de réponse existants. L’apprentissage des nouveaux outils et fonctionnalités peut prendre du temps, mais il s’agit d’une partie essentielle du processus d’intégration. Le moyen le plus simple pour les membres de SecOps et de l’équipe de sécurité de messagerie d’en savoir plus sur Defender for Office 365 consiste à utiliser le contenu de formation disponible dans le cadre du contenu de formation Ninja sur https://aka.ms/mdoninja.

Le contenu est structuré pour différents niveaux de connaissances (Fondamentaux, Intermédiaires et Avancés) avec plusieurs modules par niveau.

De courtes vidéos pour des tâches spécifiques sont également disponibles sur la chaîne YouTube Microsoft Defender pour Office 365.

Autorisations pour les activités et les tâches Defender for Office 365

Les autorisations de gestion des Defender for Office 365 dans le portail Microsoft Defender et PowerShell sont basées sur le modèle d’autorisations de contrôle d’accès en fonction du rôle (RBAC). RBAC est le même modèle d’autorisations que celui utilisé par la plupart des services Microsoft 365. Pour plus d’informations, consultez Autorisations dans le portail Microsoft Defender.

Remarque

Privileged Identity Management (PIM) dans Microsoft Entra ID est également un moyen d’attribuer les autorisations requises au personnel SecOps. Pour plus d’informations, consultez Privileged Identity Management (PIM) et pourquoi l’utiliser avec Microsoft Defender pour Office 365.

Les autorisations suivantes (rôles et groupes de rôles) sont disponibles dans Defender for Office 365 et peuvent être utilisées pour accorder l’accès aux membres de l’équipe de sécurité :

  • Microsoft Entra ID : rôles centralisés qui attribuent des autorisations pour tous les services Microsoft 365, y compris les Defender for Office 365. Vous pouvez afficher les rôles Microsoft Entra et les utilisateurs affectés dans le portail Microsoft Defender, mais vous ne pouvez pas les gérer directement. Au lieu de cela, vous gérez Microsoft Entra rôles et membres sur https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Les rôles les plus fréquents utilisés par les équipes de sécurité sont les suivants :

  • Exchange Online et Email & collaboration : rôles et groupes de rôles qui accordent des autorisations spécifiques à Microsoft Defender pour Office 365. Les rôles suivants ne sont pas disponibles dans Microsoft Entra ID, mais peuvent être importants pour les équipes de sécurité :

    • Rôle d’aperçu (Email & collaboration) : attribuez ce rôle aux membres de l’équipe qui doivent afficher un aperçu ou télécharger des messages électroniques dans le cadre d’activités d’investigation. Permet aux utilisateurs d’afficher un aperçu et de télécharger des messages électroniques à partir de boîtes aux lettres cloud à l’aide des détections Explorer de menaces (Explorer) ou en temps réel et de la page d’entité Email.

      Par défaut, le rôle En préversion est attribué uniquement aux groupes de rôles suivants :

      • Enquêteur de données
      • Le gestionnaire eDiscovery

      Vous pouvez ajouter des utilisateurs à ces groupes de rôles, ou vous pouvez créer un groupe de rôles avec le rôle Aperçu attribué et ajouter les utilisateurs au groupe de rôles personnalisé.

    • Recherche et purger le rôle (Email & collaboration) : approuvez la suppression des messages malveillants comme recommandé par AIR ou effectuez des actions manuelles sur les messages dans les expériences de repérage telles que les Explorer de menaces.

      Par défaut, les rôles Recherche et Purge sont attribués uniquement aux groupes de rôles suivants :

      • Enquêteur de données
      • Gestion de l’organisation

      Vous pouvez ajouter des utilisateurs à ces groupes de rôles, ou vous pouvez créer un groupe de rôles avec le rôle Recherche et Vider attribués, puis ajouter les utilisateurs au groupe de rôles personnalisé.

    • Gestionnaire AllowBlockList de locataire (Exchange Online) : gérer les entrées d’autorisation et de blocage dans la liste verte/bloquée du locataire. Le blocage des URL, des fichiers (à l’aide du hachage de fichier) ou des expéditeurs est une action de réponse utile à effectuer lors de l’examen des e-mails malveillants qui ont été remis.

      Par défaut, ce rôle est attribué uniquement au groupe de rôles Opérateur de sécurité dans Exchange Online, et non dans Microsoft Entra ID. L’appartenance au rôle Opérateur de sécurité dans Microsoft Entra IDne vous permet pas de gérer les entrées de la liste verte/bloquée du locataire.

      Les membres des rôles Administrateur de la sécurité ou Gestion de l’organisation dans Microsoft Entra ID ou les groupes de rôles correspondants dans Exchange Online sont en mesure de gérer les entrées dans la liste verte/bloquée du locataire.

Intégration SIEM/SOAR

Defender for Office 365 expose la plupart de ses données via un ensemble d’API programmatiques. Ces API vous aident à automatiser les flux de travail et à tirer pleinement profit des fonctionnalités de Defender for Office 365. Les données sont disponibles via les API Microsoft Defender XDR et peuvent être utilisées pour intégrer des Defender for Office 365 dans des solutions SIEM/SOAR existantes.

  • API d’incident : les alertes Defender for Office 365 et les enquêtes automatisées sont des parties actives des incidents dans Microsoft Defender XDR. Les équipes de sécurité peuvent se concentrer sur les éléments critiques en regroupant l’étendue complète de l’attaque et toutes les ressources impactées.

  • API de streaming d’événements : permet l’expédition d’événements et d’alertes en temps réel dans un seul flux de données à mesure qu’ils se produisent. Les types d’événements pris en charge dans Defender for Office 365 sont les suivants :

    Les événements contiennent les données du traitement de tous les e-mails (y compris les messages intra-organisation) au cours des 30 derniers jours.

  • API De repérage avancé : autorise la chasse aux menaces inter-produits.

  • API d’évaluation des menaces : peut être utilisée pour signaler le courrier indésirable, les URL d’hameçonnage ou les pièces jointes de programmes malveillants directement à Microsoft.

Pour connecter des incidents Defender for Office 365 et des données brutes avec Microsoft Sentinel, vous pouvez utiliser le connecteur Microsoft Defender XDR (M365D)

Vous pouvez utiliser l’exemple « Hello World » suivant pour tester l’accès de l’API à Microsoft Defender API : Hello World pour Microsoft Defender XDR’API REST.

Pour plus d’informations sur l’intégration des outils SIEM, consultez Intégrer vos outils SIEM à Microsoft Defender XDR.

Résoudre les faux positifs et les faux négatifs dans Defender for Office 365

Les messages signalés par l’utilisateur et les envois de messages électroniques par l’administrateur sont des signaux de renforcement positifs critiques pour nos systèmes de détection machine learning. Les soumissions nous aident à examiner, à trier, à apprendre rapidement et à atténuer les attaques. Le signalement actif de faux positifs et de faux négatifs est une activité importante qui fournit des commentaires aux Defender for Office 365 lorsque des erreurs sont commises lors de la détection.

Les organisations disposent de plusieurs options pour configurer les messages signalés par l’utilisateur. Selon la configuration, les équipes de sécurité peuvent être plus actives lorsque les utilisateurs envoient des faux positifs ou des faux négatifs à Microsoft :

  • Les messages signalés par l’utilisateur sont envoyés à Microsoft à des fins d’analyse lorsque les paramètres signalés par l’utilisateur sont configurés avec l’un des paramètres suivants :

    • Envoyez les messages signalés à : Microsoft uniquement.
    • Envoyez les messages signalés à : Microsoft et ma boîte aux lettres de création de rapports.

    Les membres des équipes de sécurité doivent effectuer des soumissions d’administrateur ad hoc lorsque l’équipe d’exploitation découvre des faux positifs ou des faux négatifs qui n’ont pas été signalés par les utilisateurs.

  • Lorsque les messages signalés par l’utilisateur sont configurés pour envoyer des messages uniquement à la boîte aux lettres de l’organization, les équipes de sécurité doivent activement envoyer des faux positifs et des faux négatifs signalés par l’utilisateur à Microsoft via des soumissions d’administrateur.

Lorsqu’un utilisateur signale un message comme hameçonnage, Defender for Office 365 génère une alerte et l’alerte déclenche un playbook AIR. La logique d’incident met en corrélation ces informations avec d’autres alertes et événements lorsque cela est possible. Cette consolidation des informations permet aux équipes de sécurité de trier, d’examiner et de répondre aux messages signalés par les utilisateurs.

Le pipeline de soumission dans le service suit un processus étroitement intégré lorsque les messages de rapport utilisateur et les administrateurs envoient des messages. Ce processus comprend les éléments suivants :

  • Réduction du bruit.
  • Triage automatisé.
  • Notation par les analystes de sécurité et les solutions basées sur le Machine Learning en partenariat humain.

Pour plus d’informations, consultez Création de rapports d’un e-mail dans Defender for Office 365 - Microsoft Tech Community.

Les membres de l’équipe de sécurité peuvent effectuer des soumissions à partir de plusieurs emplacements dans le portail Microsoft Defender à l’adresse https://security.microsoft.com:

  • Administration soumission : utilisez la page Soumissions pour envoyer des courriers indésirables, des hameçonnages, des URL et des fichiers suspects à Microsoft.

  • Directement à partir de Threat Explorer à l’aide de l’une des actions de message suivantes :

    • Propre de rapport
    • Signaler l’hameçonnage
    • Signaler les programmes malveillants
    • Signaler le courrier indésirable

    Vous pouvez sélectionner jusqu’à 10 messages pour effectuer une soumission en bloc. Administration soumissions créées à l’aide de ces méthodes sont visibles dans les onglets respectifs de la page Soumissions.

Pour l’atténuation à court terme des faux négatifs, les équipes de sécurité peuvent gérer directement les entrées de bloc pour les fichiers, les URL, les domaines ou les adresses e-mail dans la liste verte/bloquée du locataire.

Pour l’atténuation à court terme des faux positifs, les équipes de sécurité ne peuvent pas gérer directement les entrées d’autorisation pour les domaines et les adresses e-mail dans la liste verte/bloquée des locataires. Au lieu de cela, ils doivent utiliser les soumissions de l’administrateur pour signaler le message électronique en tant que faux positif. Pour obtenir des instructions, consultez Signaler un bon e-mail à Microsoft.

La mise en quarantaine dans Defender for Office 365 contient des messages et des fichiers potentiellement dangereux ou indésirables. Les équipes de sécurité peuvent afficher, publier et supprimer tous les types de messages mis en quarantaine pour tous les utilisateurs. Cette fonctionnalité permet aux équipes de sécurité de répondre efficacement lorsqu’un fichier ou un message faux positif est mis en quarantaine.

Intégrer des outils de création de rapports tiers à Defender for Office 365 messages signalés par l’utilisateur

Si votre organization utilise un outil de création de rapports tiers qui permet aux utilisateurs de signaler en interne les e-mails suspects, vous pouvez intégrer l’outil aux fonctionnalités de messagerie signalées par l’utilisateur de Defender for Office 365. Cette intégration offre les avantages suivants aux équipes de sécurité :

  • Intégration aux fonctionnalités AIR de Defender for Office 365.
  • Triage simplifié.
  • Temps d’investigation et de réponse réduits.

Désignez la boîte aux lettres de création de rapports où les messages signalés par l’utilisateur sont envoyés sur la page Paramètres signalés par l’utilisateur dans le portail Microsoft Defender à l’adresse https://security.microsoft.com/securitysettings/userSubmission. Pour plus d’informations, consultez Paramètres signalés par l’utilisateur.

Remarque

  • La boîte aux lettres de création de rapports doit être une boîte aux lettres Exchange Online.
  • L’outil de création de rapports tiers doit inclure le message signalé d’origine sous la forme d’un message non compressé. EML ou . Pièce jointe MSG dans le message envoyé à la boîte aux lettres de création de rapports (ne vous contentez pas de transférer le message d’origine à la boîte aux lettres de création de rapports). Pour plus d’informations, consultez Format de soumission de message pour les outils de création de rapports tiers.
  • La boîte aux lettres de création de rapports nécessite des prérequis spécifiques pour permettre la remise de messages potentiellement incorrects sans être filtrés ou modifiés. Pour plus d’informations, consultez Configuration requise pour la boîte aux lettres de création de rapports.

Lorsqu’un message signalé par un utilisateur arrive dans la boîte aux lettres de création de rapports, Defender for Office 365 génère automatiquement l’alerte nommée Email signalée par l’utilisateur comme programme malveillant ou hameçonnage. Cette alerte lance un playbook AIR. Le playbook effectue une série d’étapes d’investigation automatisées :

  • Collecter des données sur l’e-mail spécifié.
  • Collectez des données sur les menaces et les entités associées à cet e-mail (par exemple, les fichiers, les URL et les destinataires).
  • Fournissez les actions recommandées à l’équipe SecOps en fonction des résultats de l’enquête.

Email signalés par l’utilisateur comme des alertes de programmes malveillants ou de hameçonnage, les enquêtes automatisées et les actions recommandées sont automatiquement corrélées aux incidents dans Microsoft Defender XDR. Cette corrélation simplifie davantage le processus de triage et de réponse pour les équipes de sécurité. Si plusieurs utilisateurs signalent des messages identiques ou similaires, tous les utilisateurs et messages sont corrélés dans le même incident.

Les données des alertes et des enquêtes dans Defender for Office 365 sont automatiquement comparées aux alertes et enquêtes des autres produits Microsoft Defender XDR :

  • Microsoft Defender pour point de terminaison
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour l’identité

Si une relation est découverte, le système crée un incident qui donne une visibilité pour l’ensemble de l’attaque.