Affichages dans l’Explorateur de menaces et détections en temps réelViews in Threat Explorer and real-time detections

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique àApplies to

Threat Explorer

L’Explorateur de menaces (et le rapport de détections en temps réel) est un outil puissant, quasiment en temps réel, qui permet aux équipes des opérations de sécurité d’examiner et de répondre aux menaces dans le portail Microsoft 365 Defender.Threat Explorer (and the real-time detections report) is a powerful, near real-time tool to help Security Operations teams investigate and respond to threats in the Microsoft 365 Defender portal. L’Explorateur (et le rapport de détections en temps réel) affiche des informations sur les programmes malveillants et le hameçonnage suspectés dans le courrier électronique et les fichiers en Office 365, ainsi que d’autres menaces et risques de sécurité pour votre organisation.Explorer (and the real-time detections report) displays information about suspected malware and phish in email and files in Office 365, as well as other security threats and risks to your organization.

  • Si vous avez Microsoft Defender pour Office 365 Plan 2, vous avez Explorer.If you have Microsoft Defender for Office 365 Plan 2, then you have Explorer.
  • Si vous avez Microsoft Defender pour Office 365 Plan 1, vous avez des détections en temps réel.If you have Microsoft Defender for Office 365 Plan 1, then you have real-time detections.

Lorsque vous ouvrez l’Explorateur pour la première fois (ou le rapport de détections en temps réel), l’affichage par défaut affiche les détections de programmes malveillants de messagerie électronique au cours des 7 derniers jours.When you first open Explorer (or the real-time detections report), the default view shows email malware detections for the past 7 days. Ce rapport peut également afficher microsoft Defender pour les détections de Office 365, telles que les URL malveillantes détectées par les liens fiables etles fichiers malveillants détectés par les pièces jointes fiables.This report can also show Microsoft Defender for Office 365 detections, such as malicious URLs detected by Safe Links, and malicious files detected by Safe Attachments. Ce rapport peut être modifié pour afficher les données des 30 derniers jours (avec un abonnement Payant Microsoft Defender Office 365 P2).This report can be modified to show data for the past 30 days (with a Microsoft Defender for Office 365 P2 paid subscription). Les abonnements à la version d’essai incluent uniquement les données des sept derniers jours.Trial subscriptions will include data for the past seven days only.


AbonnementSubscription UtilitaireUtility Jours de donnéesDays of Data
Version d’Office 365 Microsoft Defender pour P1Microsoft Defender for Office 365 P1 trial Détections en temps réelReal-time detections 7
Microsoft Defender pour Office 365 P1 payantMicrosoft Defender for Office 365 P1 paid Détections en temps réelReal-time detections 3030
Microsoft Defender pour les tests Office 365 P1 payants Defender pour Office 365 version d’évaluation P2Microsoft Defender for Office 365 P1 paid testing Defender for Office 365 P2 trial Threat ExplorerThreat Explorer 7
Version d’Office 365 Microsoft Defender pour P2Microsoft Defender for Office 365 P2 trial Threat ExplorerThreat Explorer 7
Microsoft Defender pour Office 365 P2 payantMicrosoft Defender for Office 365 P2 paid Threat ExplorerThreat Explorer 3030

Notes

Nous étendons bientôt la limite de rétention et de recherche des données de l’Explorateur (et des détections en temps réel) pour les clients d’essai de 7 à 30 jours.We will soon be extending the Explorer (and Real-time detections) data retention and search limit for trial tenants from 7 to 30 days. Cette modification est en cours de suivi dans le cadre de l’élément de feuille de route n. 70544 et est actuellement en phase de déploiement.This change is being tracked as part of roadmap item no. 70544, and is currently in a roll-out phase.

Utilisez le menu Affichage pour modifier les informations affichées.Use the View menu to change what information is displayed. Les bulles vous aident à déterminer l’affichage à utiliser.Tooltips help you determine which view to use.

Menu Affichage de l’Explorateur de menaces

Une fois que vous avez sélectionné un affichage, vous pouvez appliquer des filtres et configurer des requêtes pour effectuer une analyse plus approfondie.Once you have selected a view, you can apply filters and set up queries to conduct further analysis. Les sections suivantes donnent un bref aperçu des différents affichages disponibles dans l’Explorateur (ou détections en temps réel).The following sections provide a brief overview of the various views available in Explorer (or real-time detections).

Courrier électronique > programmes malveillantsEmail > Malware

Pour afficher ce rapport, dans l’Explorateur (ou détections en temps réel), choisissez Afficher les programmes malveillants > de > messagerie.To view this report, in Explorer (or real-time detections), choose View > Email > Malware. Cet affichage affiche des informations sur les messages électroniques identifiés comme contenant des programmes malveillants.This view shows information about email messages that were identified as containing malware.

Afficher les données relatives aux e-mails identifiés comme programmes malveillants

Cliquez sur Expéditeur pour ouvrir votre liste d’options d’affichage.Click Sender to open your list of viewing options. Cette liste permet d’afficher les données par expéditeur, destinataire, domaine de l’expéditeur, objet, technologie de détection, état de protection, etc.Use this list to view data by sender, recipients, sender domain, subject, detection technology, protection status, and more.

Par exemple, pour voir les actions qui ont été prises sur les messages électroniques détectés, choisissez l’état protection dans la liste.For example, to see what actions were taken on detected email messages, choose Protection status in the list. Sélectionnez une option, puis cliquez sur le bouton Actualiser pour appliquer ce filtre à votre rapport.Select an option, and then click the Refresh button to apply that filter to your report.

Options d’état de la protection contre les menaces pour l’Explorateur de menaces

Sous le graphique, affichez plus de détails sur des messages spécifiques.Below the chart, view more details about specific messages. Lorsque vous sélectionnez un élément dans la liste, un volet volant s’ouvre, où vous pouvez en savoir plus sur l’élément que vous avez sélectionné.When you select an item in the list, a fly-out pane opens, where you can learn more about the item you selected.

Explorateur de menaces avec le flyout ouvert

Hameçonnage > courrier électroniqueEmail > Phish

Pour afficher ce rapport, dans l’Explorateur (ou détections en temps réel), choisissez Afficher le > hameçonnage de > messagerie.To view this report, in Explorer (or real-time detections), choose View > Email > Phish. Cet affichage affiche les messages électroniques identifiés comme tentatives de hameçonnage.This view shows email messages identified as phishing attempts.

Afficher les données relatives aux e-mails identifiés comme tentatives de hameçonnage

Cliquez sur Expéditeur pour ouvrir votre liste d’options d’affichage.Click Sender to open your list of viewing options. Cette liste permet d’afficher les données par expéditeur, destinataire, domaine de l’expéditeur, adresse IP de l’expéditeur, domaine d’URL, verdict de clic, etc.Use this list to view data by sender, recipients, sender domain, sender IP, URL domain, click verdict, and more.

Par exemple, pour voir les actions qui ont été entreprises lorsque des personnes ont cliqué sur des URL identifiées comme tentatives de hameçonnage, choisissez Verdict de clic dans la liste, sélectionnez une ou plusieurs options, puis cliquez sur le bouton Actualiser.For example, to see what actions were taken when people clicked on URLs that were identified as phishing attempts, choose Click verdict in the list, select one or more options, and then click the Refresh button.

Cliquez sur options de verdict pour le rapport d’hameçonnage

Sous le graphique, affichez plus de détails sur des messages spécifiques, des clics d’URL, des URL et l’origine du courrier électronique.Below the chart, view more details about specific messages, URL clicks, URLs, and email origin.

URL détectées comme hameçonnage dans les messages électroniques

Lorsque vous sélectionnez un élément dans la liste, tel qu’une URL détectée, un volet volant s’ouvre, où vous pouvez en savoir plus sur l’élément que vous avez sélectionné.When you select an item in the list, such as a URL that was detected, a fly-out pane opens, where you can learn more about the item you selected.

Détails sur une URL détectée

Envois > courrier électroniqueEmail > Submissions

Pour afficher ce rapport, dans l’Explorateur (ou détections en temps réel), choisissez Afficher les > > envois de courrier électronique.To view this report, in Explorer (or real-time detections), choose View > Email > Submissions. Cette vue affiche les messages électroniques que les utilisateurs ont signalés comme courrier indésirable, non indésirable ou hameçonnage.This view shows email that users have reported as junk, not junk, or phishing email.

Messages électroniques signalés par les utilisateurs

Cliquez sur Expéditeur pour ouvrir votre liste d’options d’affichage.Click Sender to open your list of viewing options. Cette liste permet d’afficher des informations par expéditeur, destinataire, type de rapport (la détermination de l’utilisateur que le courrier était indésirable, non indésirable ou hameçonnage), et bien plus encore.Use this list to view information by sender, recipients, report type (the user's determination that the email was junk, not junk, or phish), and more.

Par exemple, pour afficher des informations sur les messages électroniques signalés comme tentatives d’hameçonnage, cliquez sur Type de rapport de l’expéditeur, sélectionnez Hameçonnage, puis cliquez sur le > bouton Actualiser. For example, to view information about email messages that were reported as phishing attempts, click Sender > Report type, select Phish, and then click the Refresh button.

Hameçonnage sélectionné pour le filtre Type de rapport

Sous le graphique, affichez plus de détails sur des messages électroniques spécifiques, tels que la ligne d’objet, l’adresse IP de l’expéditeur, l’utilisateur qui a signalé le message comme courrier indésirable, non indésirable ou hameçonnage, etc.Below the chart, view more details about specific email messages, such as subject line, the sender's IP address, the user that reported the message as junk, not junk, or phish, and more.

Messages signalés comme tentatives de hameçonnage

Sélectionnez un élément dans la liste pour afficher des détails supplémentaires.Select an item in the list to view additional details.

Courrier électronique > tous les messages électroniquesEmail > All email

Pour afficher ce rapport, dans l’Explorateur, choisissez Afficher tous > les messages > électroniques.To view this report, in Explorer, choose View > Email > All mail. Cette vue présente une vue d’ensemble de l’activité de messagerie, y compris les e-mails identifiés comme malveillants en raison de l’hameçonnage ou des programmes malveillants, ainsi que tous les messages non malveillants (courrier électronique normal, courrier indésirable et courrier en nombre).This views shows an all-up view of email activity, including email identified as malicious due to phishing or malware, as well all non-malicious mail (normal email, spam, and bulk mail).

Notes

Si vous obtenez une erreur qui lit trop de données à afficher, ajoutez un filtre et, si nécessaire, réduisez la plage de dates que vous affichez.If you get an error that reads Too much data to display, add a filter and, if necessary, narrow the date range you're viewing.

Pour appliquer un filtre, choisissez Expéditeur, sélectionnez un élément dans la liste, puis cliquez sur le bouton Actualiser.To apply a filter, choose Sender, select an item in the list, and then click the Refresh button. Dans notre exemple, nous avons utilisé la technologie De détection comme filtre (plusieurs options sont disponibles).In our example, we used Detection technology as a filter (there are several options available). Afficher les informations par expéditeur, domaine de l’expéditeur, destinataires, objet, nom de fichier de pièce jointe, famille de programmes malveillants, état de protection (actions prises par vos fonctionnalités et stratégies de protection contre les menaces dans Office 365), technologie de détection (détection des programmes malveillants) et bien plus encore.View information by sender, sender's domain, recipients, subject, attachment filename, malware family, protection status (actions taken by your threat protection features and policies in Office 365), detection technology (how the malware was detected), and more.

Afficher les données sur le courrier électronique détecté par la technologie de détection

Sous le graphique, affichez plus de détails sur des messages électroniques spécifiques, tels que la ligne d’objet, le destinataire, l’expéditeur, l’état, etc.Below the chart, view more details about specific email messages, such as subject line, recipient, sender, status, and so on.

Programme malveillant > contenuContent > Malware

Pour afficher ce rapport, dans l’Explorateur (ou détections en temps réel), choisissez Afficher les programmes > malveillants de > contenu.To view this report, in Explorer (or real-time detections), choose View > Content > Malware. Cette vue affiche les fichiers identifiés comme malveillants par Microsoft Defender pour Office 365 dans SharePoint Online, OneDrive Entreprise et Microsoft Teams.This view shows files that were identified as malicious by Microsoft Defender for Office 365 in SharePoint Online, OneDrive for Business, and Microsoft Teams.

Afficher les informations par famille de programmes malveillants, technologie de détection (détection des programmes malveillants) et charge de travail (OneDrive, SharePoint ou Teams).View information by malware family, detection technology (how the malware was detected), and workload (OneDrive, SharePoint, or Teams).

Afficher les données sur les programmes malveillants détectés

Sous le graphique, affichez plus de détails sur des fichiers spécifiques, tels que le nom de fichier de pièce jointe, la charge de travail, la taille du fichier, qui a modifié le fichier en dernier, et bien plus encore.Below the chart, view more details about specific files, such as attachment filename, workload, file size, who last modified the file, and more.

Fonctionnalités « Cliquer pour filtrer »Click-to-filter capabilities

Avec l’Explorateur (et les détections en temps réel), vous pouvez appliquer un filtre en un clic.With Explorer (and real-time detections), you can apply a filter in a click. Cliquez sur un élément dans la légende et cet élément devient un filtre pour le rapport.Click an item in the legend, and that item becomes a filter for the report. Par exemple, supposons que nous regardions la vue Programmes malveillants dans l’Explorateur :For example, suppose we are looking at the Malware view in Explorer:

Accès à l’Explorateur de gestion des > menaces

Le fait de cliquer sur la déstonation atp dans ce graphique entraîne un affichage comme celui-ci :Clicking ATP Detonation in this chart results in a view like this:

Explorateur filtré pour afficher uniquement defender pour les Office 365 de détonation

Dans cette vue, nous regardons maintenant les données des fichiers qui ont été détonés par des pièces jointes sécurisées.In this view, we are now looking at data for files that were detonated by Safe Attachments. Sous le graphique, nous pouvons voir des détails sur des messages électroniques spécifiques dont des pièces jointes ont été détectées par des pièces jointes sécurisées.Below the chart, we can see details about specific email messages that had attachments that were detected by Safe Attachments.

Détails spécifiques sur les messages électroniques avec pièces jointes détectées

La sélection d’un ou de plusieurs éléments active le menu Actions, qui propose plusieurs choix parmi lesquels choisir pour les éléments sélectionnés.Selecting one or more items activates the Actions menu, which offers several choices from which to choose for the selected item(s).

La sélection d’un élément active le menu Actions

La possibilité de filtrer en un clic et d’accéder à des détails spécifiques peut vous faire gagner beaucoup de temps pour examiner les menaces.The ability to filter in a click and navigate to specific details can save you a lot of time in investigating threats.

Requêtes et filtresQueries and filters

L’Explorateur (ainsi que le rapport de détections en temps réel) dispose de plusieurs filtres et fonctionnalités d’interrogation puissants qui vous permettent d’explorer des détails, tels que les utilisateurs les plus ciblés, les principales familles de programmes malveillants, la technologie de détection et bien plus encore.Explorer (as well as the real-time detections report) has several powerful filters and querying capabilities that enable you to drill into details, such as top targeted users, top malware families, detection technology and more. Chaque type de rapport offre de nombreuses façons d’afficher et d’explorer des données.Each kind of report offers a variety of ways to view and explore data.

Important

N’utilisez pas de caractères génériques, tels qu’un astérisque ou un point d’interrogation, dans la barre de requête de l’Explorateur (ou détections en temps réel).Do not use wildcard characters, such as an asterisk or a question mark, in the query bar for Explorer (or real-time detections). Lorsque vous recherchez des messages électroniques dans le champ Objet, l’Explorateur (ou détections en temps réel) effectue une correspondance partielle et produit des résultats semblables à une recherche par caractères génériques. When you search on the Subject field for email messages, Explorer (or real-time detections) will perform partial matching and yield results similar to a wildcard search.