Protection pas à pas contre les menaces dans Microsoft Defender pour Office 365Step-by-step threat protection in Microsoft Defender for Office 365

La pile de protection ou de filtrage Microsoft Defender pour Office 365 peut être décomposée en 4 phases, comme dans cet article.The Microsoft Defender for Office 365 protection or filtering stack can be broken out into 4 phases, as in this article. En règle générale, le courrier entrant passe par toutes ces phases avant la remise, mais le chemin d’accès réel pris par le courrier électronique est soumis à la configuration de Defender pour Office 365 d’une organisation.Generally speaking, incoming mail passes through all of these phases before delivery, but the actual path email takes is subject to an organization's Defender for Office 365 configuration.

Conseil

Restez à l’écoute jusqu’à la fin de cet article pour obtenir un graphique unifié des 4 phases de Defender pour la protection Office 365 ! Stay tuned till the end of this article for a unified graphic of all 4 phases of Defender for Office 365 protection!

Phase 1 - Edge ProtectionPhase 1 - Edge Protection

Malheureusement, les blocs Edge qui étaient une fois critiques sont maintenant relativement simples à surmonter pour les mauvais acteurs.Unfortunately, Edge blocks that were once critical are now relatively simple for bad actors to overcome. Au fil du temps, moins de trafic est bloqué ici, mais il reste une partie importante de la pile.Over time, less traffic is blocked here, but it remains an important part of the stack.

Les blocs Edge sont conçus pour être automatiques.Edge blocks are designed to be automatic. Dans le cas d’un faux positif, les expéditeurs sont avertis et leur dire comment résoudre leur problème.In the case of false positive, senders will be notified and told how to address their issue. Les connecteurs de partenaires de confiance avec une réputation limitée peuvent garantir la livrabilité ou des substitutions temporaires peuvent être mises en place lors de l’intégration de nouveaux points de terminaison.Connectors from trusted partners with limited reputation can ensure deliverability, or temporary overrides can be put in place, when onboarding new endpoints.

La phase 1 du filtrage dans Defender pour Office 365 est la protection Edge.

  1. La limitation du réseau protège l’infrastructure Office 365 et les clients contre les attaques par déni de service (DOS) en limitant le nombre de messages qui peuvent être envoyés par un ensemble spécifique d’infrastructure.Network throttling protects Office 365 infrastructure and customers from Denial of Service (DOS) attacks by limiting the number of messages that can be submitted by a specific set of infrastructure.

  2. La réputation et la limitation d’IP bloquent l’envoi de messages provenant d’adresses IP de connexion connues et non bonnes.IP reputation and throttling will block messages being sent from known bad connecting IP addresses. Si une adresse IP spécifique envoie de nombreux messages sur une courte période, ils seront limitées.If a specific IP sends many messages in a short period of time they will be throttled.

  3. La réputation du domaine bloque l’envoi de messages provenant d’un domaine connu comme étant mauvais.Domain reputation will block any messages being sent from a known bad domain.

  4. Le filtrage Edge basé sur l’annuaire bloque les tentatives de recherche des informations d’annuaire d’une organisation via SMTP.Directory-based edge filtering blocks attempts to harvest an organization's directory information through SMTP.

  5. La détection de la backscatter empêche une organisation d’être attaquer par le biais de rapports de non-remise non valides.Backscatter detection prevents an organization from being attacked through invalid non-delivery reports (NDRs).

  6. Le filtrage amélioré pour les connecteurs conserve les informations d’authentification même lorsque le trafic passe par un autre appareil avant d’atteindre Office 365.Enhanced filtering for connectors preserves authentication information even when traffic passes through another device before it reaches Office 365. Cela améliore la précision de la pile de filtrage, y compris le clustering heuristique, la protection contre l’usurpation d’informations et les modèles d’apprentissage automatique anti-hameçonnage, même dans des scénarios de routage complexes ou hybrides.This improves filtering stack accuracy, including heuristic clustering, anti-spoofing, and anti-phishing machine learning models, even when in complex or hybrid routing scenarios.

Phase 2 : Intelligence des expéditeursPhase 2 - Sender Intelligence

Les fonctionnalités d’intelligence de l’expéditeur sont essentielles pour détecter le courrier indésirable, le courrier indésirable, l’emprunt d’identité et les messages usurpés non autorisés, et également prendre en compte la détection du hameçonnage.Features in sender intelligence are critical for catching spam, bulk, impersonation, and unauthorized spoof messages, and also factor into phish detection. La plupart de ces fonctionnalités sont configurables individuellement.Most of these features are individually configurable.

La phase 2 du filtrage dans MDO est l’intelligence de l’expéditeur.

  1. Les déclencheurs et alertes de détection de compromission de compte sont déclenchés lorsqu’un compte présente un comportement anormal, cohérent avec la compromission.Account compromise detection triggers and alerts are raised when an account has anomalous behavior, consistent with compromise. Dans certains cas, le compte d’utilisateur est bloqué et empêché d’envoyer d’autres messages électroniques jusqu’à ce que le problème soit résolu par l’équipe des opérations de sécurité d’une organisation.In some cases, the user account is blocked and prevented from sending any further email messages until the issue is resolved by an organization's security operations team.

  2. L’authentification de messagerie implique des méthodes configurées par le client et des méthodes configurées dans le cloud, visant à s’assurer que les expéditeurs sont autorisés et authentifiés.Email Authentication involves both customer configured methods and methods set up in the Cloud, aimed at ensuring that senders are authorized, authentic mailers. Ces méthodes résistant à l’usurpation d’usurpation.These methods resist spoofing.

    • SPF peut rejeter des messages basés sur des enregistrements TXT DNS répxant les adresses IP et les serveurs autorisés à envoyer des messages au nom de l’organisation.SPF can reject mails based on DNS TXT records that list IP addresses and servers allowed to send mail on the organization's behalf.
    • DKIM fournit une signature chiffrée qui authentifier l’expéditeur.DKIM provides an encrypted signature that authenticates the sender.
    • DMARC permet aux administrateurs de marquer SPF et DKIM comme requis dans leur domaine et applique l’alignement entre les résultats de ces deux technologies.DMARC lets admins mark SPF and DKIM as required in their domain and enforces alignment between the results of these two technologies.
    • ARC n’est pas configuré par le client, mais s’appuie sur DMARC pour travailler avec le forwarding dans les listes de publipostage, lors de l’enregistrement d’une chaîne d’authentification.ARC is not customer configured, but builds on DMARC to work with forwarding in mailing lists, while recording an authentication chain.
  3. La veille contre l’usurpation d’adresse est capable de filtrer les personnes autorisées à « usurper » (c’est-à-dire, celles qui envoient des messages au nom d’un autre compte ou qui sont envoyées pour une liste de diffusion) à partir d’usurpateurs malveillants qui s’attaquent à un domaine d’organisation ou externe connu.Spoof intelligence is capable of filtering those allowed to 'spoof' (that is, those sending mail on behalf of another account, or forwarding for a mailing list) from malicious spoofers imitating an organizational, or known external, domain. Elle sépare les messages légitimes « de la part de » de l’usurpation d’expéditeurs pour remettre les messages de courrier indésirable et de hameçonnage.It separates legitimate 'on behalf of' mail from senders spoofing to deliver spam and phishing messages.

    La veille contre l’usurpation d’informations intra-organisationnelle détecte et bloque les tentatives d’usurpation d’informations à partir d’un domaine au sein de l’organisation.Intra-org spoof intelligence detects and blocks spoof attempts from a domain within the organization.

  4. La veille contre l’usurpation d’usurpation d’un domaine détecte et bloque les tentatives d’usurpation d’informations provenant d’un domaine extérieur à l’organisation.Cross-domain spoof intelligence detects and blocks spoof attempts from a domain outside of the organization.

  5. Le filtrage en bloc permet aux administrateurs de configurer un niveau de confiance en bloc (BCL) indiquant si le message a été envoyé à partir d’un expéditeur en bloc.Bulk filtering lets admins configure a bulk confidence level (BCL) indicating whether the message was sent from a bulk sender. Les administrateurs peuvent utiliser le curseur en bloc dans la stratégie anti-courrier indésirable pour déterminer le niveau de courrier en nombre à traiter comme courrier indésirable.Administrators can use the Bulk Slider in the Antispam policy to decide what level of bulk mail to treat as spam.

  6. L’intelligence des boîtes aux lettres apprend les comportements de messagerie standard de l’utilisateur.Mailbox intelligence learns from standard user email behaviors. Il exploite le graphique de communication d’un utilisateur pour détecter quand un expéditeur semble être une personne avec qui l’utilisateur communique généralement, mais qui est en réalité malveillante.It leverages a user's communication graph to detect when a sender only appears to be someone the user usually communicates with, but is actually malicious. Cette méthode détecte l’emprunt d’identité.This method detects impersonation.

  7. L’emprunt d’identité d’intelligence de boîte aux lettres active ou désactive les résultats d’emprunt d’identité améliorés en fonction de la carte d’expéditeur individuelle de chaque utilisateur.Mailbox intelligence impersonation enables or disables enhanced impersonation results based on each user's individual sender map. Lorsqu’elle est activée, cette fonctionnalité permet d’identifier l’emprunt d’identité.When enabled, this feature helps to identify impersonation.

  8. L’emprunt d’identité d’utilisateur permet à un administrateur de créer une liste de cibles à valeur élevée susceptibles d’être usurpées.User impersonation allows an admin to create a list of high value targets likely to be impersonated. Si un message arrive là où l’expéditeur semble avoir uniquement le même nom et la même adresse que le compte à valeur élevée protégé, le message est marqué ou marqué.If a mail arrives where the sender only appears to have the same name and address as the protected high value account, the mail is marked or tagged. (Par exemple, trα cye@contoso.com pour tracye@contoso.com).(For example, trαcye@contoso.com for tracye@contoso.com).

  9. L’emprunt d’identité de domaine détecte les domaines qui sont similaires au domaine du destinataire et qui tentent de ressembler à un domaine interne.Domain impersonation detects domains that are similar to the recipient's domain and that attempt to look like an internal domain. Par exemple, cet emprunt d’tracye@liw α re.com pour tracye@litware.com.For example, this impersonation tracye@liwαre.com for tracye@litware.com.

Phase 3 : Filtrage du contenuPhase 3 - Content Filtering

Dans cette phase, la pile de filtrage commence à gérer le contenu spécifique du courrier, y compris ses liens hypertexte et ses pièces jointes.In this phase the filtering stack begins to handle the specific contents of the mail, including its hyperlinks and attachments.

La phase 3 du filtrage dans MDO est le filtrage de contenu.

  1. Les règles de transport (également appelées règles de flux de messagerie ou règles de transport Exchange) permettent à un administrateur d’prendre un large éventail d’actions lorsqu’un large éventail de conditions est respecté pour un message.Transport rules (also known as mail flow rules or Exchange transport rules) allow an admin to take a wide range of actions when an equally wide range of conditions are met for a message. Tous les messages qui circulent dans votre organisation sont évalués par rapport aux règles de flux de messagerie/règles de transport activées.All messages that flow through your organization are evaluated against the enabled mail flow rules / transport rules.

  2. L’Antivirus Microsoft Defender et deux moteurs antivirus tiers sont utilisés pour détecter tous les programmes malveillants connus dans les pièces jointes.Microsoft Defender Antivirus and two third-party Antivirus engines are used to detect all known malware in attachments.

  3. Les moteurs antivirus sont également utilisés pour taper toutes les pièces jointes de sorte que le blocage des types puisse bloquer toutes les pièces jointes de types spécifiés par l’administrateur.The anti-virus (AV) engines are also used to true-type all attachments, so that Type blocking can block all attachments of types the admin specifies.

  4. Chaque fois que Microsoft Defender pour Office 365 détecte une pièce jointe malveillante, le hachage du fichier et un hachage de son contenu actif sont ajoutés à la réputation d’Exchange Online Protection (EOP).Whenever Microsoft Defender for Office 365 detects a malicious attachment, the file's hash, and a hash of its active content, are added to Exchange Online Protection (EOP) reputation. Le blocage de la réputation des pièces jointes bloque ce fichier sur tous les Office 365 et sur les points de terminaison, via les appels cloud MSAV.Attachment reputation blocking will block that file across all Office 365, and on endpoints, through MSAV cloud calls.

  5. Le clustering heuristique peut déterminer qu’un fichier est suspect en fonction de l’heuristique de remise.Heuristic clustering can determine that a file is suspicious based on delivery heuristics. Lorsqu’une pièce jointe suspecte est trouvée, l’intégralité de la campagne est suspendue et le fichier est en bac à sable.When a suspicious attachment is found, the entire campaign pauses, and the file is sandboxed. Si le fichier est jugé malveillant, toute la campagne est bloquée.If the file is found to be malicious, the entire campaign is blocked.

  6. Les modèles d’apprentissage automatique agissent sur l’en-tête, le contenu du corps et les URL d’un message pour détecter les tentatives de hameçonnage.Machine learning models act on the header, body content, and URLs of a message to detect phishing attempts.

  7. Microsoft utilise une détermination de la réputation à partir du bac à sable (sandbox) d’URL, ainsi que de la réputation d’URL provenant de flux tiers dans le blocage de la réputation de l’URL, pour bloquer tout message avec une URL malveillante connue.Microsoft uses a determination of reputation from URL sandboxing as well as URL reputation from third party feeds in URL reputation blocking, to block any message with a known malicious URL.

  8. Les heuristiques de contenu peuvent détecter des messages suspects en fonction de la structure et de la fréquence des mots dans le corps du message, à l’aide de modèles d’apprentissage automatique.Content heuristics can detect suspicious messages based on structure and word frequency within the body of the message, using machine learning models.

  9. Les pièces jointes sécurisées bac à sable (sandbox) de chaque pièce jointe pour les clients Defender pour Office 365, à l’aide de l’analyse dynamique pour détecter les menaces jamais vues.Safe Attachments sandboxes every attachment for Defender for Office 365 customers, using dynamic analysis to detect never-before seen threats.

  10. La détonation de contenu lié traite chaque URL liée à un fichier dans un e-mail comme une pièce jointe, en bac à sable (sandbox) asynchrone au moment de la remise.Linked content detonation treats every URL linking to a file in an email as an attachment, asynchronously sandboxing the file at the time of delivery.

  11. Le détonation d’URL se produit lorsque la technologie anti-hameçonnage en amont trouve qu’un message ou une URL est suspect.URL Detonation happens when upstream anti-phishing technology finds a message or URL to be suspicious. La détonation d’URL bac à sable (sandbox) permet d’afficher les URL du message au moment de la remise.URL detonation sandboxes the URLs in the message at the time of delivery.

Phase 4 : Protection après remisePhase 4 - Post-Delivery Protection

La dernière étape a lieu après la remise du courrier ou du fichier, agissant sur le courrier qui se trouve dans différentes boîtes aux lettres, fichiers et liens qui apparaissent dans des clients tels que Microsoft Teams.The last stage takes place after mail or file delivery, acting on mail that is in various mailboxes and files and links that appear in clients like Microsoft Teams.

La phase 4 du filtrage dans Defender pour Office 365 est la protection post-remise.

  1. La protection de liens sécurisés est la protection au moment du clic de MDO.Safe Links is MDO's time-of-click protection. Chaque URL de chaque message est enveloppée pour pointer vers les serveurs de liens sécurisés Microsoft.Every URL in every message is wrapped to point to Microsoft Safe Links servers. Lorsqu’un utilisateur clique sur une URL, elle est vérifiée par rapport à la dernière réputation, avant que l’utilisateur soit redirigé vers le site cible.When a URL is clicked it is checked against the latest reputation, before the user is redirected to the target site. L’URL est en bac à sable asynchrone pour mettre à jour sa réputation.The URL is asynchronously sandboxed to update its reputation.

  2. Le hameçonnage Zero-Hour la purge automatique (ZAP) détecte et s’attaque aux messages de hameçonnage malveillants qui ont déjà été remis aux boîtes aux lettres Exchange Online.Phish Zero-Hour Auto-purge (ZAP) retroactively detects and neutralizes malicious phishing messages that have already been delivered to Exchange Online mailboxes.

  3. La protection ZAP contre les programmes malveillants détecte et programme d’attaque les messages malveillants qui ont déjà été remis aux boîtes aux lettres Exchange Online.Malware ZAP retroactively detects and neutralizes malicious malware messages that have already been delivered to Exchange Online mailboxes.

  4. La loi ZAP de courrier indésirable détecte et détecte de manière malveillante les messages de courrier indésirable qui ont déjà été remis aux boîtes aux lettres Exchange Online.Spam ZAP retroactively detects and neutralizes malicious spam messages that have already been delivered to Exchange Online mailboxes.

  5. Les affichages campagnes offrent aux administrateurs une vue d’ensemble d’une attaque, plus rapidement et plus complètement que n’importe quelle équipe ne pourrait l’être sans automatisation.Campaign Views let administrators see the big picture of an attack, faster and more completely, than any team could without automation. Microsoft exploite les grandes quantités de données anti-hameçonnage, anti-courrier indésirable et anti-programme malveillant dans l’ensemble du service pour identifier les campagnes, puis permet aux administrateurs de les examiner de bout en bout, y compris les cibles, les impacts et les flux, qui sont également disponibles dans une écriture de campagne téléchargeable.Microsoft leverages the vast amounts of anti-phishing, anti-spam, and anti-malware data across the entire service to help identify campaigns, and then allows admins to investigate them from start to end, including targets, impacts, and flows, that are also available in a downloadable campaign write-up.

  6. Les add-ins Signaler un message permettent aux utilisateurs de signaler facilement à Microsoft des faux positifs (bon e-mail, marqués par erreur comme faux ) ou des faux négatifs (courriers électroniques erronés marqués comme étant bons) à Microsoft pour une analyse plus approfondie.The Report Message add-ins enable people to easily report false positives (good email, mistakenly marked as bad) or false negatives (bad email marked as good) to Microsoft for further analysis.

  7. Les clients Liens sécurisés pour Office offrent la même protection en temps de clic des liens sécurisés, en natif, à l’intérieur des clients Office tels que Word, PowerPoint et Excel.Safe Links for Office clients offers the same Safe Links time-of-click protection, natively, inside of Office clients like Word, PowerPoint, and Excel.

  8. La protection pour OneDrive, SharePoint et Teams offre la même protection contre les pièces jointes sécurisées contre les fichiers malveillants, en natif, à l’intérieur de OneDrive, SharePoint et Microsoft Teams.Protection for OneDrive, SharePoint, and Teams offers the same Safe Attachments protection against malicious files, natively, inside of OneDrive, SharePoint, and Microsoft Teams.

  9. Lorsqu’une URL qui pointe vers un fichier est sélectionnée après la remise, la détonation de contenu lié affiche une page d’avertissement jusqu’à ce que le bac à sable du fichier soit terminé et que l’URL soit sûre.When a URL that points to a file is selected post delivery, linked content detonation displays a warning page until the sandboxing of the file is complete, and the URL is found to be safe.

Diagramme de pile de filtrageThe filtering stack diagram

Le diagramme final (comme pour toutes les parties du diagramme qui le compose) peut être changé à mesure que le produit croît et se développe.The final diagram (as with all parts of the diagram composing it) is subject to change as the product grows and develops. Signetz cette page et utilisez l’option de commentaires que vous trouverez en bas si vous devez demander après les mises à jour.Bookmark this page and use the feedback option you'll find at the bottom if you need to ask after updates. Pour vos enregistrements, il s’agit de la pile avec toutes les phases dans l’ordre :For your records, this is the the stack with all the phases in order:

Toutes les phases de filtrage dans MDO dans l’ordre, 1 à 4.

Plus d’informationsMore information

Avez-vous besoin de configurer Microsoft Defender pour Office 365 *maintenant _?Do you need to set up Microsoft Defender for Office 365 *right now _? Utilisez cette pile, _now*, avec cette étape par étape pour commencer à protéger votre organisation.Use this stack, _now*, with this step-by-step to start protecting your organization.

Nous remercions tout particulièrement MSFTTracyP et l’équipe d’écriture de documents pour ce contenu.Special thanks from MSFTTracyP and the docs writing team to Giulian Garruba for this content.