Détections en temps réel et de l'Explorateur de menacesThreat Explorer and Real-time detections

S’applique àApplies to

Si votre organisation dispose de Microsoft Defender pour Office 365et que vous disposez des autorisations nécessaires, vous disposez de détections Explorer ou En temps réel (anciennement rapports en temps réel — découvrez les nouveautés !). If your organization has Microsoft Defender for Office 365, and you have the necessary permissions, you have either Explorer or Real-time detections (formerly Real-time reportssee what's new!). Dans le Centre de sécurité & conformité, sélectionnez Gestion des menaces, puis sélectionnez Explorer ou Détections en temps réel.In the Security & Compliance Center, go to Threat management, and then choose Explorer or Real-time detections.



Avec Microsoft Defender pour Office 365 Plan 2, vous pouvez voir :With Microsoft Defender for Office 365 Plan 2, you see: Avec Microsoft Defender pour Office 365 Plan 1, vous pouvez voir :With Microsoft Defender for Office 365 Plan 1, you see:
Explorateur de menaces Détections en temps réel

Les détections d'explorateur ou en temps réel aident votre équipe des opérations de sécurité à examiner les menaces et à y répondre efficacement.Explorer or Real-time detections helps your security operations team investigate and respond to threats efficiently. Le rapport ressemble à l'image suivante :The report resembles the following image:

Accès à l'Explorateur de gestion des > menaces

Avec ce rapport, vous pouvez :With this report, you can:

Améliorations de l'expérience de recherche de menacesImprovements to Threat Hunting Experience

Introduction de l'ID d'alerte pour les alertes MDO dans l'Explorateur/Détections en temps réel (aperçu)Introduction of Alert ID for MDO alerts within Explorer/Real-time detections (Preview)

Aujourd'hui, si vous naviguez d'une alerte vers l'Explorateur de menaces, il ouvre une vue filtrée dans l'Explorateur, avec l'affichage filtré par l'ID de stratégie d'alerte (ID de stratégie étant un identificateur unique pour une stratégie d'alerte).Today, if you navigate from an alert to Threat Explorer, it opens a filtered view within the Explorer, with the view filtered by Alert policy ID (policy ID being a unique identifier for an Alert policy). Nous rendons cette intégration plus pertinente en introduisant l'ID d'alerte (voir un exemple d'ID d'alerte ci-dessous) dans l'Explorateur de menaces et les détections en temps réel afin que vous voyez les messages qui sont pertinents pour l'alerte spécifique, ainsi qu'un nombre de messages électroniques.We are making this integration more relevant by introducing the alert ID (see an example of alert ID below) in Threat Explorer and Real-time detections so that you see messages which are relevant to the specific alert, as well as a count of emails. Vous pourrez également voir si un message faisait partie d'une alerte, ainsi que naviguer de ce message vers l'alerte spécifique.You will also be able to see if a message was part of an alert, as well as navigate from that message to the specific alert.

L'ID d'alerte est disponible dans l'URL lorsque vous affichez une alerte individuelle . exemple https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1 :Alert ID is available within the URL when you are viewing an individual alert; an example being https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1.

Filtrage de l'ID d'alerteFiltering for Alert ID

ID d'alerte dans le volant de détailsAlert ID in details flyout

Extension de la limite de rétention et de recherche des données de l'Explorateur (et des détections en temps réel) pour les clients d'essai de 7 à 30 jours (prévisualisation)Extending the Explorer (and Real-time detections) data retention and search limit for trial tenants from 7 to 30 days (Preview)

Dans le cadre de cette modification, vous pourrez rechercher et filtrer des données de courrier électronique sur 30 jours (une augmentation par rapport aux 7 jours précédents) dans l'Explorateur de menaces/Détections en temps réel pour les clients d'essai de Defender pour Office P1 et P2.As part of this change, you will be able to search for, and filter email data across 30 days (an increase from the previous 7 days) in Threat Explorer/Real-time detections for both Defender for Office P1 and P2 trial tenants. Cela n'a aucune incidence sur les clients de production pour les clients P1 et P2/E5, qui disposent déjà des fonctionnalités de rétention et de recherche de données de 30 jours.This does not impact any production tenants for both P1 and P2/E5 customers, which already has the 30 day data retention and search capabilities.

Limites mises à jour pour l'exportation des enregistrements pour l'Explorateur de menaces (aperçu)Updated limits for Export of records for Threat Explorer (Preview)

Dans le cadre de cette mise à jour, le nombre de lignes pour les enregistrements de courrier électronique qui peuvent être exportés à partir de l'Explorateur de menaces est passé de 9990 à 200 000.As part of this update, the number of rows for Email records that can be exported from Threat Explorer is increased from 9990 to 200,000 records. Le jeu de colonnes qui peut être exporté actuellement reste le même, mais le nombre de lignes augmente par rapport à la limite actuelle.The set of columns that can be exported currently will remain the same, but the number of rows will increase from the current limit.

Balises dans l'Explorateur de menacesTags in Threat Explorer

Notes

La fonctionnalité de balises utilisateur est en prévisualisation, n'est pas disponible pour tout le monde et peut faire l'objet de changements.The user tags feature is in Preview, isn't available to everyone, and is subject to change. Pour plus d'informations sur la planification des publication, consultez la feuille de route De Microsoft 365.For information about the release schedule, check out the Microsoft 365 roadmap.

Les balises utilisateur identifient des groupes spécifiques d'utilisateurs dans Microsoft Defender pour Office 365.User tags identify specific groups of users in Microsoft Defender for Office 365. Pour plus d'informations sur les balises, notamment la gestion des licences et la configuration, voir Balises utilisateur.For more information about tags, including licensing and configuration, see User tags.

Dans l'Explorateur de menaces, vous pouvez voir les informations sur les balises utilisateur dans les expériences suivantes.In Threat Explorer, you can see information about user tags in the following experiences.

Affichage Grille du courrier électroniqueEmail grid view

La colonne Balises de la grille de courrier contient toutes les balises qui ont été appliquées aux boîtes aux lettres de l'expéditeur ou du destinataire.The Tags column in the email grid contains all the tags that have been applied to the sender or recipient mailboxes. Par défaut, les balises système telles que les comptes de priorité sont affichées en premier.By default, system tags like priority accounts are shown first.

Filtrer les balises dans l'affichage Grille du courrier électroniqueFilter tags in email grid view

FiltrageFiltering

Vous pouvez utiliser des balises comme filtre.You can use tags as a filter. Recherchez uniquement les comptes prioritaires ou des scénarios de balises utilisateur spécifiques.Hunt just across priority accounts or specific user tags scenarios. Vous pouvez également exclure les résultats qui ont certaines balises.You can also exclude results that have certain tags. Combinez cette fonctionnalité avec d'autres filtres pour affiner votre portée d'examen.Combine this functionality with other filters to narrow your scope of investigation.

Balises de filtreFilter tags

Balises non filtréesNot filter tags

Flyout des détails des e-mailsEmail detail flyout

Pour afficher les balises individuelles de l'expéditeur et du destinataire, sélectionnez l'objet pour ouvrir le flyout des détails du message.To view the individual tags for sender and recipient, select the subject to open the message details flyout. Sous l'onglet Résumé, les balises de l'expéditeur et du destinataire sont affichées séparément, si elles sont présentes pour un e-mail.On the Summary tab, the sender and recipient tags are shown separately, if they're present for an email. Les informations sur les balises individuelles pour l'expéditeur et le destinataire s'étendent également aux données CSV exportées, où vous pouvez voir ces détails dans deux colonnes distinctes.The information about individual tags for sender and recipient also extends to exported CSV data, where you can see these details in two separate columns.

Balises de détails du courrier électroniqueEmail Details tags

Les informations sur les balises sont également affichées dans le volant des clics d'URL.Tags information is also shown in the URL clicks flyout. Pour l'afficher, consultez l'affichage Hameçonnage ou Tous les e-mails, puis l'onglet Url ou Clics d'URL. Sélectionnez un volant d'URL individuel pour afficher des détails supplémentaires sur les clics pour cette URL, y compris les balises associées à ce clic.To view it, go to Phish or All Email view and then to the URLs or URL Clicks tab. Select an individual URL flyout to view additional details about clicks for that URL, including tags associated with that click.

Affichage de chronologie mis à jourUpdated Timeline View

Balises d'URLURL tags

Pour en savoir plus, regardez cette vidéo.Learn more by watching this video.

Améliorations apportées à l'expérience de recherche de menaces (à venir)Improvements to the threat hunting experience (upcoming)

Informations sur les menaces mises à jour pour les e-mailsUpdated threat information for emails

Nous nous sommes concentrés sur les améliorations de la plateforme et de la qualité des données afin d'améliorer la précision et la cohérence des données pour les enregistrements de courrier électronique.We've focused on platform and data-quality improvements to increase data accuracy and consistency for email records. Les améliorations incluent la consolidation des informations de pré-remise et de post-remise, telles que les actions exécutées sur un e-mail dans le cadre du processus ZAP, dans un enregistrement unique.Improvements include consolidation of pre-delivery and post-delivery information, such as actions executed on an email as part of the ZAP process, into a single record. Des détails supplémentaires tels que le verdict du courrier indésirable, les menaces au niveau de l'entité (par exemple, l'URL malveillante) et les derniers emplacements de remise sont également inclus.Additional details like spam verdict, entity-level threats (for example, which URL was malicious), and latest delivery locations are also included.

Après ces mises à jour, une seule entrée s'affiche pour chaque message, quels que soient les différents événements post-remise qui affectent le message.After these updates, you'll see a single entry for each message, regardless of the different post-delivery events that affect the message. Les actions peuvent inclure ZAP, la correction manuelle (ce qui signifie une action de l'administrateur), la remise dynamique, etc.Actions can include ZAP, manual remediation (which means admin action), dynamic delivery, and so on.

Outre l'affichage des programmes malveillants et des menaces de hameçonnage, le verdict de courrier indésirable associé à un e-mail s'affiche.In addition to showing malware and phishing threats, you see the spam verdict associated with an email. Dans l'e-mail, consultez toutes les menaces associées à l'e-mail, ainsi que les technologies de détection correspondantes.Within the email, see all the threats associated with the email along with the corresponding detection technologies. Un e-mail peut avoir zéro, une ou plusieurs menaces.An email can have zero, one, or multiple threats. Vous verrez les menaces actuelles dans la section Détails du volant de courrier électronique.You'll see the current threats in the Details section of the email flyout. Pour plusieurs menaces (telles que les programmes malveillants et le hameçonnage), le champ technique de détection affiche le mappage de la détection des menaces, qui est la technologie de détection qui a identifié la menace.For multiple threats (such as malware and phishing), the Detection tech field shows the threat-detection mapping, which is the detection technology that identified the threat.

L'ensemble des technologies de détection inclut désormais de nouvelles méthodes de détection, ainsi que des technologies de détection du courrier indésirable.The set of detection technologies now includes new detection methods, as well as spam-detection technologies. Vous pouvez utiliser le même ensemble de technologies de détection pour filtrer les résultats dans les différents affichages de courrier électronique (programmes malveillants, hameçonnage, tous les e-mails).You can use the same set of detection technologies to filter the results across the different email views (Malware, Phish, All Email).

Notes

L'analyse du verdict peut ne pas nécessairement être liée à des entités.Verdict analysis might not necessarily be tied to entities. Par exemple, un e-mail peut être classé comme hameçonnage ou courrier indésirable, mais aucune URL n'est marqué avec un verdict de hameçonnage/courrier indésirable.As an example, an email might be classified as phish or spam, but there are no URLs that are stamped with a phish/spam verdict. Cela est dû au fait que les filtres évaluent également le contenu et d'autres détails d'un e-mail avant d'attribuer un verdict.This is because the filters also evaluate content and other details for an email before assigning a verdict.

Menaces dans les URLThreats in URLs

Vous pouvez maintenant voir la menace spécifique pour une URL sous l'onglet Détails du volant de courrier électronique. La menace peut être un programme malveillant, un hameçonnage, un courrier indésirable ou aucun.)You can now see the specific threat for a URL on the email flyout Details tab. The threat can be malware, phish, spam, or none.)

Menaces d'URLURL threats

Affichage chronologique mis à jour (à venir)Updated timeline view (upcoming)

Affichage de chronologie mis à jourUpdated Timeline View

L'affichage Chronologie identifie tous les événements de remise et de post-remise.Timeline view identifies all delivery and post-delivery events. Il inclut des informations sur la menace identifiée à ce moment-là pour un sous-ensemble de ces événements.It includes information about the threat identified at that point of time for a subset of these events. L'affichage Chronologie fournit également des informations sur toute action supplémentaire prise (par exemple, ZAP ou la correction manuelle), ainsi que le résultat de cette action.Timeline view also provides information about any additional action taken (such as ZAP or manual remediation), along with the result of that action. Les informations d'affichage de chronologie incluent :Timeline view information includes:

  • Source : Source de l'événement.Source: Source of the event. Il peut s'qu'il s'adresse à l'administrateur/au système/à l'utilisateur.It can be admin/system/user.
  • Événement : Inclut les événements de niveau supérieur tels que la remise d'origine, la correction manuelle, la zap, les soumissions et la remise dynamique.Event: Includes top-level events like original delivery, manual remediation, ZAP, submissions, and dynamic delivery.
  • Action : Action spécifique qui a été prise dans le cadre de l'action ZAP ou de l'administrateur (par exemple, suppression possible).Action: The specific action that was taken either as part of ZAP or admin action (for example, soft delete).
  • Menaces : Couvre les menaces (programme malveillant, hameçonnage, courrier indésirable) identifiées à ce moment-là.Threats: Covers the threats (malware, phish, spam) identified at that point of time.
  • Résultat/détails : Plus d'informations sur le résultat de l'action, par exemple si elle a été effectuée dans le cadre de l'action ZAP/administrateur.Result/Details: More information about the result of the action, such as whether it was performed as part of ZAP/admin action.

Emplacement de remise d'origine et le plus récentOriginal and latest delivery location

Actuellement, nous faisons surface de l'emplacement de remise dans la grille de courrier électronique et le volant du courrier électronique.Currently, we surface delivery location in the email grid and email flyout. Le champ Emplacement de remise est renommé Emplacement de remise d'origine_. Et nous introduisons un autre champ, _Emplacement de remise le plus récent.The Delivery location field is getting renamed Original delivery location_. And we're introducing another field, _Latest delivery location.

L'emplacement de remise d'origine fournit plus d'informations sur l'endroit où un e-mail a été remis initialement.Original delivery location will give more information about where an email was delivered initially. L'emplacement de remise le plus récent état où un e-mail a été envoyé après des actions système telles que ZAP ou des actions d'administrateur telles que Déplacer vers les éléments supprimés.Latest delivery location will state where an email landed after system actions like ZAP or admin actions like Move to deleted items. L'emplacement de remise le plus récent est destiné à indiquer aux administrateurs le dernier emplacement connu après la remise du message ou toute action système/administrateur.Latest delivery location is intended to tell admins the message's last-known location post-delivery or any system/admin actions. Il n'inclut aucune action de l'utilisateur final dans le courrier électronique.It doesn't include any end-user actions on the email. Par exemple, si un utilisateur a supprimé un message ou déplacé le message vers l'archive/pst, l'emplacement de « remise » du message ne sera pas mis à jour.For example, if a user deleted a message or moved the message to archive/pst, the message "delivery" location won't be updated. Toutefois, si une action du système a mis à jour l'emplacement (par exemple, ZAP et qu'un e-mail est mis en quarantaine), l'emplacement de remise le plus récent s'affiche comme « quarantaine ».But if a system action updated the location (for example, ZAP resulting in an email moving to quarantine), Latest delivery location would show as "quarantine."

Emplacements de remise mis à jourUpdated delivery locations

Notes

Dans certains cas, l'emplacement de remise et l'action de remise peuvent s'afficher comme « inconnus » :There are a few cases where Delivery location and Delivery action may show as "unknown":

  • Vous pouvez voir l'emplacement de remise comme « remis » et l'emplacement de remise comme « inconnu » si le message a été remis, mais une règle de boîte de réception a déplacé le message vers un dossier par défaut (par exemple, Brouillon ou Archive) au lieu du dossier Boîte de réception ou Courrier indésirable.You might see Delivery location as "delivered" and Delivery location as "unknown" if the message was delivered, but an Inbox rule moved the message to a default folder (such as Draft or Archive) instead of to the Inbox or Junk Email folder.

  • L'emplacement de remise le plus récent peut être inconnu si une tentative d'action d'administrateur/système (telle que ZAP) a été tentée, mais que le message n'a pas été trouvé.Latest delivery location can be unknown if an admin/system action (such as ZAP) was attempted, but the message wasn't found. En règle générale, l'action se produit après que l'utilisateur a déplacé ou supprimé le message.Typically, the action happens after the user moved or deleted the message. Dans ce cas, vérifiez la colonne Résultat/Détails dans l'affichage chronologie.In such cases, verify the Result/Details column in timeline view. Recherchez l'instruction « Message déplacé ou supprimé par l'utilisateur ».Look for the statement "Message moved or deleted by the user."

Emplacements de remise pour la chronologieDelivery locations for timeline

Actions supplémentairesAdditional actions

Des actions supplémentaires ont été appliquées après la remise du courrier électronique.Additional actions were applied after delivery of the email. Elles peuvent inclure zap , correction manuelle (action entreprise par un administrateur telle que la suppression possible), remise dynamique et retrait (pour un e-mail détecté comme bon).They can include ZAP, manual remediation (action taken by an Admin such as soft delete), dynamic delivery, and reprocessed (for an email that was retroactively detected as good).

Notes

  • Dans le cadre des modifications en attente, la valeur « Supprimé par ZAP » actuellement mise en avant dans le filtre Action de remise va disparaître.As part of the pending changes, the "Removed by ZAP" value currently surfaced in the Delivery Action filter is going away. Vous pouvez rechercher tous les e-mails avec la tentative ZAP via des actions supplémentaires.You'll have a way to search for all email with the ZAP attempt through Additional actions.

  • Il y aura de nouveaux champs et valeurs pour les technologies de détection et des actions supplémentaires (en particulier pour les scénarios ZAP).There will be new fields and values for Detection technologies and Additional actions (especially for ZAP scenarios). Vous devez évaluer vos requêtes enregistrées existantes et les requêtes de suivi pour vous assurer qu'elles fonctionnent avec les nouvelles valeurs.You'll need to evaluate your existing saved queries and tracked queries to make sure they work with the new values.

Actions supplémentaires dans l'ExplorateurAdditional Actions in Explorer

Remplacements systèmeSystem overrides

Les substitutions système vous permettent d'effectuer des exceptions à l'emplacement de remise prévu d'un message.System overrides enable you to make exceptions to the intended delivery location of a message. Vous remplacez l'emplacement de remise fourni par le système, en fonction des menaces et autres détections identifiées par la pile de filtrage.You override the delivery location provided by the system, based on the threats and other detections identified by the filtering stack. Les substitutions système peuvent être définies par le biais d'une stratégie de client ou d'utilisateur pour remettre le message comme suggéré par la stratégie.System overrides can be set through tenant or user policy to deliver the message as suggested by the policy. Les remplacements peuvent identifier la remise involontaire de messages malveillants en raison de lacunes de configuration, telles qu'une stratégie d'expéditeur sûr trop large définie par un utilisateur.Overrides can identify unintentional delivery of malicious messages due to configurations gaps, such as an overly broad Safe Sender policy set by a user. Ces valeurs de substitution peuvent être :These override values can be:

  • Autorisé par la stratégie utilisateur : un utilisateur crée des stratégies au niveau de la boîte aux lettres pour autoriser les domaines ou les expéditeurs.Allowed by user policy: A user creates policies at the mailbox level to allows domains or senders.

  • Bloqué par la stratégie utilisateur : un utilisateur crée des stratégies au niveau de la boîte de messagerie pour bloquer les domaines ou les expéditeurs.Blocked by user policy: A user creates policies at the mail box level to block domains or senders.

  • Autorisé par la stratégie d'organisation : les équipes de sécurité de l'organisation définissent des stratégies ou des règles de flux de messagerie Exchange (également appelées règles de transport) pour autoriser les expéditeurs et les domaines pour les utilisateurs de leur organisation.Allowed by org policy: The organization's security teams set policies or Exchange mail flow rules (also known as transport rules) to allow senders and domains for users in their organization. Il peut s'agit d'un ensemble d'utilisateurs ou de l'ensemble de l'organisation.This can be for a set of users or the entire organization.

  • Bloqué par la stratégie d'organisation : les équipes de sécurité de l'organisation définissent des stratégies ou des règles de flux de messagerie pour bloquer les expéditeurs, les domaines, les langues de message ou les adresses IPS sources pour les utilisateurs de leur organisation.Blocked by org policy: The organization's security teams set policies or mail flow rules to block senders, domains, message languages, or source IPs for users in their organization. Cela peut être appliqué à un ensemble d'utilisateurs ou à l'ensemble de l'organisation.This can be applied to a set of users or the entire organization.

  • Extension de fichier bloquée par la stratégie d'organisation : l'équipe de sécurité d'une organisation bloque une extension de nom de fichier via les paramètres de stratégie anti-programme malveillant.File extension blocked by org policy: An organization's security team blocks a file name extension through the anti-malware policy settings. Ces valeurs s'affichent désormais dans les détails de l'e-mail pour faciliter les enquêtes.These values will now be displayed in email details to help with investigations. Les équipes Secops peuvent également utiliser la fonctionnalité de filtrage enrichi pour filtrer les extensions de fichier bloquées.Secops teams can also use the rich-filtering capability to filter on blocked file extensions.

Remplacements système dans l'ExplorateurSystem Overrides in Explorer

System Overrides Grid in ExplorerSystem Overrides Grid in Explorer

Améliorations de l'URL et expérience de clicsImprovements for the URL and clicks experience

Les améliorations sont les suivantes :The improvements include:

  • Affichez l'URL sur le clic complet (y compris les paramètres de requête qui font partie de l'URL) dans la section Clics du volant d'URL.Show the full clicked URL (including any query parameters that are part of the URL) in the Clicks section of the URL flyout. Actuellement, le domaine et le chemin d'accès de l'URL apparaissent dans la barre de titre.Currently, the URL domain and path appear in the title bar. Nous étendons ces informations pour afficher l'URL complète.We're extending that information to show the full URL.

  • Correctifs entre les filtres d'URL (URL par rapport au domaine et au chemin d'accès de l'URL) : les mises à jour affectent la recherche de messages contenant un verdict URL/clic. Fixes across URL filters (URL versus URL domain versus URL domain and path): The updates affect searching for messages that contain a URL/click verdict. Nous avons activé la prise en charge des recherches non spécifiques au protocole, afin que vous pouvez rechercher une URL sans utiliser http .We enabled support for protocol-agnostic searches, so you can search for a URL without using http. Par défaut, la recherche d'URL est m'indique http, sauf si une autre valeur est explicitement spécifiée.By default, the URL search maps to http, unless another value is explicitly specified. Par exemple :For example:

    • Recherchez avec et sans le préfixe dans les champs de filtre URL, Domaine d'URL et Domaine http:// d'URL et Chemin d'accès. Search with and without the http:// prefix in the URL, URL Domain, and URL Domain and Path filter fields. Les recherches doivent afficher les mêmes résultats.The searches should show the same results.
    • Recherchez le https:// préfixe dans l'URL.Search for the https:// prefix in URL. Lorsqu'aucune valeur n'est spécifiée, le http:// préfixe est supposé.When no value is specified, the http:// prefix is assumed.
    • /est ignoré au début et à la fin du chemin d'URL, du domaine d'URL, du domaine d'URL et des champs de chemin d'accès./ is ignored at the beginning and end of the URL path, URL Domain, URL domain and path fields. / à la fin du champ URL est ignoré./ at the end of the URL field is ignored.

Niveau de confiance du hameçonnagePhish confidence level

Le niveau de confiance du hameçonnage permet d'identifier le degré de confiance avec lequel un e-mail a été classé comme « hameçonnage ».Phish confidence level helps identify the degree of confidence with which an email was categorized as "phish." Les deux valeurs possibles sont High et Normal.The two possible values are High and Normal. Dans les étapes initiales, ce filtre sera disponible uniquement dans l'affichage Hameçonnage de l'Explorateur de menaces.In the initial stages, this filter will be available only in the Phish view of Threat Explorer.

Niveau de confiance du hameçonnage dans l'ExplorateurPhish Confidence Level in Explorer

Signal d'URL ZAPZAP URL signal

Le signal d'URL ZAP est généralement utilisé pour les scénarios d'alerte d'hameçonnage ZAP dans le cas où un e-mail a été identifié comme hameçonnage et supprimé après la remise.The ZAP URL signal is typically used for ZAP Phish alert scenarios where an email was identified as Phish and removed after delivery. Ce signal connecte l'alerte aux résultats correspondants dans l'Explorateur.This signal connects the alert with the corresponding results in Explorer. Il s'agit de l'un des IOCs de l'alerte.It's one of the IOCs for the alert.

Pour améliorer le processus de repérage, nous avons mis à jour l'Explorateur de menaces et les détections en temps réel pour rendre l'expérience de repérage plus cohérente.To improve the hunting process, we've updated Threat Explorer and Real-time detections to make the hunting experience more consistent. Les modifications sont décrites ici :The changes are outlined here:

Filtrer par balises utilisateurFilter by user tags

Vous pouvez désormais trier et filtrer des balises utilisateur système ou personnalisées pour saisir rapidement l'étendue des menaces.You can now sort and filter on system or custom user tags to quickly grasp the scope of threats. Pour en savoir plus, consultez balises utilisateur.To learn more, see User tags.

Important

Le filtrage et le tri par balises utilisateur sont actuellement en prévisualisation publique.Filtering and sorting by user tags is currently in public preview. Cette fonctionnalité peut être considérablement modifiée avant sa publication commerciale.This functionality may be substantially modified before it's commercially released. Microsoft n'offre aucune garantie, expressément ou implicite, en ce qui concerne les informations fournies à son sujet.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

Colonne Balises dans l'ExplorateurTags column in Explorer

Améliorations apportées au fuseau horaireTimezone improvements

Vous verrez le fuseau horaire pour les enregistrements de courrier dans le portail, ainsi que pour les données exportées.You'll see the time zone for the email records in the Portal as well as for Exported data. Il sera visible dans toutes les expériences telles que la grille de courrier électronique, le flyout détails, la chronologie des e-mails et les e-mails similaires, afin que le fuseau horaire du jeu de résultats soit clair.It will be visible across experiences like Email Grid, Details flyout, Email Timeline, and Similar Emails, so the time zone for the result set is clear.

Afficher le fuseau horaire dans l'ExplorateurView time zone in Explorer

Mise à jour dans le processus d'actualisationUpdate in the refresh process

Certains utilisateurs ont commenté la confusion avec l'actualisation automatique (par exemple, dès que vous modifiez la date, la page est actualisée) et l'actualisation manuelle (pour d'autres filtres).Some users have commented about confusion with automatic refresh (for example, as soon as you change the date, the page refreshes) and manual refresh (for other filters). De même, la suppression de filtres entraîne l'actualisation automatique.Similarly, removing filters leads to automatic refresh. La modification des filtres lors de la modification de la requête peut entraîner des expériences de recherche incohérentes.Changing filters while modifying the query can cause inconsistent search experiences. Pour résoudre ces problèmes, nous allons passer à un mécanisme de filtrage manuel.To resolve these issues, we're moving to a manual-filtering mechanism.

Du point de vue de l'expérience, l'utilisateur peut appliquer et supprimer la plage de filtres différente (du jeu de filtres et de la date) et sélectionner le bouton d'actualisation pour filtrer les résultats après avoir défini la requête.From an experience standpoint, the user can apply and remove the different range of filters (from the filter set and date) and select the refresh button to filter the results after they've defined the query. Le bouton Actualiser est désormais mis en avant à l'écran.The refresh button is also now emphasized on the screen. Nous avons également mis à jour les informations d'outils associées et la documentation sur le produit.We've also updated the related tooltips and in-product documentation.

Sélectionnez Actualiser pour filtrer les résultatsSelect Refresh to filter results

Chart drilldown to add to filtersChart drilldown to add to filters

Vous pouvez désormais graphiquer les valeurs de légende pour les ajouter en tant que filtres.You can now chart legend values to add them as filters. Sélectionnez le bouton Actualiser pour filtrer les résultats.Select the Refresh button to filter the results.

Descendre dans les graphiques pour filtrerDrill down through charts to Filter

Mises à jour des informations sur le produitIn-product information updates

Des détails supplémentaires sont désormais disponibles dans le produit, tels que le nombre total de résultats de recherche dans la grille (voir ci-dessous).Additional details are now available within the product, such as the total number of search results within the grid (see below). Nous avons amélioré les étiquettes, les messages d'erreur et les info-bulles pour fournir plus d'informations sur les filtres, l'expérience de recherche et le jeu de résultats.We've improved labels, error messages, and tooltips to provide more information about the filters, search experience, and result set.

Afficher les informations dans le produitView in-product information

Fonctionnalités étendues dans l'Explorateur de menacesExtended capabilities in Threat Explorer

Utilisateurs les plus ciblésTop targeted users

Aujourd'hui, nous exposons la liste des utilisateurs les plus ciblés dans l'affichage Programmes malveillants pour les e-mails, dans la section Familles de programmes malveillants les plus ciblées.Today we expose the list of the top targeted users in the Malware view for emails, in the Top Malware Families section. Nous étendrons également cette vue dans les affichages Hameçonnage et Tous les messages électroniques.We'll be extending this view in the Phish and All Email views as well. Vous pourrez voir les cinq premiers utilisateurs ciblés, ainsi que le nombre de tentatives pour chaque utilisateur pour l'affichage correspondant.You'll be able to see the top-five targeted users, along with the number of attempts for each user for the corresponding view. Par exemple, pour l'affichage hameçonnage, vous verrez le nombre de tentatives d'hameçonnage.For example, for Phish view, you'll see the number of Phish attempts.

Vous pourrez exporter la liste des utilisateurs ciblés, jusqu'à une limite de 3 000, ainsi que le nombre de tentatives d'analyse hors connexion pour chaque affichage de courrier électronique.You'll be able to export the list of targeted users, up to a limit of 3,000, along with the number of attempts for offline analysis for each email view. En outre, la sélection du nombre de tentatives (par exemple, 13 tentatives dans l'image ci-dessous) ouvre une vue filtrée dans l'Explorateur de menaces, afin que vous pouvez voir plus de détails sur les messages électroniques et les menaces pour cet utilisateur.In addition, selecting the number of attempts (for example, 13 attempts in the image below) will open a filtered view in Threat Explorer, so you can see more details across emails and threats for that user.

Utilisateurs les plus ciblésTop targeted users

Règles de transport ExchangeExchange transport rules

Dans le cadre de l'enrichissement de données, vous pourrez voir toutes les différentes règles de transport Exchange (ETR) appliquées à un message.As part of data enrichment, you'll be able to see all the different Exchange transport rules (ETR) that were applied to a message. Ces informations seront disponibles dans l'affichage Grille de courrier électronique.This information will be available in the Email grid view. Pour l'afficher, sélectionnez Options de colonne dans la grille, puis Ajoutez une règle de transport Exchange à partir des options de colonne.To view it, select Column options in the grid and then Add Exchange Transport Rule from the column options. Il sera également visible dans le volant Détails de l'e-mail.It will also be visible on the Details flyout in the email.

Vous pourrez voir le GUID et le nom des règles de transport qui ont été appliquées au message.You'll be able to see both the GUID and the name of the transport rules that were applied to the message. Vous pourrez rechercher les messages à l'aide du nom de la règle de transport.You'll be able to search for the messages by using the name of the transport rule. Il s'agit d'une recherche « Contient », ce qui signifie que vous pouvez également effectuer des recherches partielles.This is a "Contains" search, which means you can do partial searches as well.

Important

La recherche ETR et la disponibilité des noms dépendent du rôle spécifique qui vous est attribué.ETR search and name availability depend on the specific role that's assigned to you. Vous devez avoir l'un des rôles/autorisations suivants pour afficher les noms ETR et la recherche.You need to have one of the following roles/permissions to view the ETR names and search. Si aucun de ces rôles ne vous est attribué, vous ne pouvez pas voir les noms des règles de transport ou rechercher des messages à l'aide de noms ETR.If you don't have any of these roles assigned to you, you can't see the names of the transport rules or search for messages by using ETR names. Toutefois, vous pouvez voir l'étiquette ETR et les informations guid dans les détails de l'e-mail.However, you could see the ETR label and GUID information in the Email Details. Les autres expériences d'affichage d'enregistrement dans les grilles de courrier électronique, les volants de courrier électronique, les filtres et l'exportation ne sont pas affectées.Other record-viewing experiences in Email Grids, Email flyouts, Filters, and Export are not affected.

  • EXO uniquement - Protection contre la perte de données : tousEXO Only - Data Loss Prevention: All
  • EXO uniquement - O365SupportViewConfig : tousEXO Only - O365SupportViewConfig: All
  • Microsoft Azure Active Directory ou EXO - Administrateur de sécurité : tousMicrosoft Azure Active Directory or EXO - Security Admin: All
  • AAD ou EXO - Lecteur sécurité : tousAAD or EXO - Security Reader: All
  • EXO uniquement - Règles de transport : tousEXO Only - Transport Rules: All
  • EXO uniquement - configuration View-Only : tousEXO Only - View-Only Configuration: All

Dans la grille de courrier électronique, le volant Détails et le CSV exporté, les ETR sont présentés avec un nom/GUID, comme illustré ci-dessous.Within the email grid, Details flyout, and Exported CSV, the ETRs are presented with a Name/GUID as shown below.

Règles de transport ExchangeExchange Transport Rules

Connecteurs entrantsInbound connectors

Les connecteurs sont un ensemble d'instructions qui personnalisent la façon dont vos messages électroniques circulent vers et depuis votre organisation Microsoft 365 ou Office 365.Connectors are a collection of instructions that customize how your email flows to and from your Microsoft 365 or Office 365 organization. Elles vous permettent d'appliquer des restrictions ou contrôles de sécurité.They enable you to apply any security restrictions or controls. Dans l'Explorateur de menaces, vous pouvez désormais afficher les connecteurs associés à un e-mail et rechercher des e-mails à l'aide de noms de connecteur.Within Threat Explorer, you can now view the connectors that are related to an email and search for emails by using connector names.

La recherche de connecteurs est de nature « contient », ce qui signifie que les recherches partielles par mots clés doivent également fonctionner.The search for connectors is "contains" in nature, which means partial keyword searches should work as well. Dans l'affichage Grille principale, le volant Détails et le fichier CSV exporté, les connecteurs sont affichés au format Nom/GUID, comme illustré ici :Within the Main grid view, the Details flyout, and the Exported CSV, the connectors are shown in the Name/GUID format as shown here:

Détails du connecteurConnector details

Nouvelles fonctionnalités dans l'Explorateur de menaces et détections en temps réelNew features in Threat Explorer and Real-time detections

Afficher les e-mails de hameçonnage envoyés à des utilisateurs et domaines usurpésView phishing emails sent to impersonated users and domains

Pour identifier les tentatives de hameçonnage sur les utilisateurs et les domaines dont l'identité est usurpée, vous devez être ajouté à la liste des utilisateurs à protéger.To identify phishing attempts against users and domains that are impersonated users must be added to the list of Users to protect. Pour les domaines, les administrateurs doivent activer les domaines de l'organisation ou ajouter un nom de domaine aux domaines à protéger.For domains, admins must either enable Organization domains, or add a domain name to Domains to protect. Les domaines à protéger se trouvent dans la page stratégie anti-hameçonnage de la section Emprunt d'identité.The domains to protect are found on the Anti-Phishing policy page in the Impersonation section.

Pour passer en revue les messages d'hameçonnage et rechercher des domaines ou des utilisateurs usurpés d'identité, utilisez l'affichage Hameçonnage > de l'Explorateur.To review phish messages and search for impersonated users or domains, use the Email > Phish view of Explorer.

Cet exemple utilise l'Explorateur de menaces.This example uses Threat Explorer.

  1. Dans le Centre de sécurité & conformité ( , choisissez Gestion des menaces > Explorer https://protection.office.com) (ou Détections en temps réel).In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections).

  2. Dans le menu Affichage, sélectionnez Courrier électronique > Hameçonnage.In the View menu, choose Email > Phish.

    Ici, vous pouvez choisir un domaine usurpé d'identité ou un utilisateur dont l'identité est usurpée.Here you can choose impersonated domain or impersonated user.

  3. Sélectionnez le domaine dont l'identité est emprunt d'identité, puis tapez un domaine protégé dans la boîte de texte.EITHER select Impersonated domain, and then type a protected domain in the textbox.

    Par exemple, recherchez des noms de domaine protégés tels que contoso, contoso.com ou contoso.com.au.For example, search for protected domain names like contoso, contoso.com, or contoso.com.au.

  4. Sélectionnez l'objet d'un message sous l'onglet Courrier >'onglet Détails pour voir des informations supplémentaires sur l'emprunt d'identité, telles que domaine usurpé/emplacement détecté.Select the Subject of any message under the Email tab > Details tab to see additional impersonation information like Impersonated Domain / Detected location.

    OROR

    Sélectionnez Utilisateur dont l'identité est usurpée et tapez l'adresse e-mail d'un utilisateur protégé dans la boîte de texte.Select Impersonated user and type a protected user's email address in the textbox.

    Conseil

    Pour obtenir de meilleurs résultats, utilisez des adresses de messagerie complètes pour rechercher des utilisateurs protégés.For best results, use full email addresses to search protected users. Vous trouverez votre utilisateur protégé plus rapidement et plus efficacement si vous recherchez firstname.lastname@contoso.com, par exemple, lors de l'enquête sur l'emprunt d'identité d'utilisateur.You will find your protected user quicker and more successfully if you search for firstname.lastname@contoso.com, for example, when investigating user impersonation. Lorsque vous recherchez un domaine protégé, la recherche prend le domaine racine (contoso.com, par exemple) et le nom de domaine (contoso).When searching for a protected domain the search will take the root domain (contoso.com, for example), and the domain name (contoso). La recherche de l'contoso.com de domaine racine retournera les emprunts d'identité de contoso.com et le nom de domaine contoso.Searching for the root domain contoso.com will return both impersonations of contoso.com and the domain name contoso.

  5. Sélectionnez l'objet d'un message sous l'onglet Détails de l'onglet Courrier électronique pour voir des informations supplémentaires sur l'emprunt d'identité sur l'utilisateur ou le domaine, ainsi que > l'emplacement détecté.Select the Subject of any message under Email tab > Details tab to see additional impersonation information about the user or domain, and the Detected location.

    Volet d'informations de l'Explorateur de menaces pour un utilisateur protégé affichant l'emplacement de détection et la menace détectée (ici l'emprunt d'identité par hameçonnage d'un utilisateur).

Notes

À l'étape 3 ou 5, si vous choisissez la technologie de détection et sélectionnez respectivement le domaine d'emprunt d'identité ou l'utilisateur de l'emprunt d'identité, les informations de l'onglet Courrier électronique sur l'utilisateur ou le domaine et l'emplacement détecté s'afficheront uniquement sur les messages relatifs à l'utilisateur ou au domaine répertoriés dans la page stratégie > anti-hameçonnage.In step 3 or 5, if you choose Detection Technology and select Impersonation domain or Impersonation user respectively, the information in the Email tab > Details tab about the user or domain, and the Detected location will be shown only on the messages that are related to the user or domain listed on the Anti-Phishing policy page.

Afficher un aperçu de l'en-tête du courrier électronique et télécharger le corps de l'e-mailPreview email header and download email body

Vous pouvez désormais afficher un aperçu d'un en-tête d'e-mail et télécharger le corps de l'e-mail dans l'Explorateur de menaces.You can now preview an email header and download the email body in Threat Explorer. Les administrateurs peuvent analyser les en-têtes/messages électroniques téléchargés pour les menaces.Admins can analyze downloaded headers/email messages for threats. Étant donné que le téléchargement de messages électroniques peut risque d'exposer des informations, ce processus est contrôlé par le contrôle d'accès basé sur un rôle (RBAC).Because downloading email messages can risk exposure of information, this process is controlled by role-based access control (RBAC). Un nouveau rôle, Preview, doit être ajouté à un autre groupe de rôles (par exemple, Opérations de sécurité ou Administrateur de la sécurité) pour accorder la possibilité de télécharger des messages électroniques dans l'affichage des messages électroniques.A new role, Preview, must be added to another role group (such as Security Operations or Security Administrator) to grant the ability to download mails in all-email messages view. Toutefois, l'affichage de l'en-tête de courrier électronique ne nécessite aucun rôle supplémentaire (autre que celui requis pour afficher les messages dans l'Explorateur de menaces).However, viewing the email header does not require any additional role (other than what is required to view messages in Threat Explorer).

Les détections de l'explorateur et du temps réel obtiennent également de nouveaux champs qui fournissent une image plus complète de l'endroit où vos messages électroniques sont envoyés.Explorer and Real-time detections will also get new fields that provide a more complete picture of where your email messages land. Ces modifications facilitent le recherche pour les opérations de sécurité.These changes make hunting easier for Security Ops. Mais le résultat principal est que vous pouvez connaître l'emplacement des messages électroniques problématiques en un coup d'œil.But the main result is you can know the location of problem email messages at a glance.

Comment cela se fait-il ?How is this done? L'état de remise est maintenant divisé en deux colonnes :Delivery status is now broken out into two columns:

  • Action de remise : état de l'e-mail.Delivery action - Status of the email.
  • Emplacement de remise : emplacement où le courrier a été acheminé.Delivery location - Where the email was routed.

L'action de remise est l'action entreprise sur un e-mail en raison de stratégies ou de détections existantes.Delivery action is the action taken on an email due to existing policies or detections. Voici les actions possibles pour un e-mail :Here are the possible actions for an email:



RemisDelivered JunkedJunked BlockedBlocked RemplacéReplaced
Le courrier électronique a été remis à la boîte de réception ou au dossier d'un utilisateur, et l'utilisateur peut y accéder.Email was delivered to the inbox or folder of a user, and the user can access it. Le courrier électronique a été envoyé au dossier Courrier indésirable ou Supprimé de l'utilisateur, et l'utilisateur peut y accéder.Email was sent to the user's Junk or Deleted folder, and the user can access it. Messages électroniques mis en quarantaine, qui ont échoué ou ont été supprimés.Emails that are quarantined, that failed, or were dropped. Ces messages ne sont pas accessibles à l'utilisateur.These mails are inaccessible to the user. Le courrier électronique avait des pièces jointes malveillantes remplacées par des fichiers .txt qui daient la pièce jointe comme malveillante.Email had malicious attachments replaced by .txt files that state the attachment was malicious.

Voici ce que l'utilisateur peut et ne peut pas voir :Here is what the user can and can't see:



Accessible aux utilisateurs finauxAccessible to end users Inaccessible aux utilisateurs finauxInaccessible to end users
RemisDelivered BlockedBlocked
JunkedJunked RemplacéReplaced

L'emplacement de remise affiche les résultats des stratégies et des détections qui s'exécutent après la remise.Delivery location shows the results of policies and detections that run post-delivery. Il est lié à l'action de remise.It's linked to Delivery action. Voici les valeurs possibles :These are the possible values:

  • Boîte de réception ou dossier: l'e-mail se trouve dans la boîte de réception ou un dossier (conformément à vos règles de messagerie).Inbox or folder: The email is in the inbox or a folder (according to your email rules).
  • Local ou externe: la boîte aux lettres n'existe pas sur le cloud mais est en local.On-prem or external: The mailbox doesn't exist on cloud but is on-premises.
  • Dossier de courrier indésirable: le courrier électronique se trouve dans le dossier Courrier indésirable d'un utilisateur.Junk folder: The email is in a user's Junk folder.
  • Dossier Éléments supprimés: courrier électronique dans le dossier Éléments supprimés d'un utilisateur.Deleted items folder: The email in a user's Deleted items folder.
  • Quarantaine : le courrier électronique est en quarantaine et non dans la boîte aux lettres d'un utilisateur.Quarantine: The email is in quarantine and not in a user's mailbox.
  • Échec : l'e-mail n'a pas pu atteindre la boîte aux lettres.Failed: The email failed to reach the mailbox.
  • L'e-mail a été perdu quelque part dans le flux de messagerie.Dropped: The email got lost somewhere in the mail flow.

Chronologie de l'e-mailEmail timeline

La chronologie de la messagerie est une nouvelle fonctionnalité de l'Explorateur qui améliore l'expérience de recherche pour les administrateurs.The Email timeline is a new Explorer feature that improves the hunting experience for admins. Cela réduit le temps passé à vérifier les différents emplacements pour essayer de comprendre l'événement.It cuts the time spent checking different locations to try to understand the event. Lorsque plusieurs événements se produisent au même moment ou presque à l'arrivée d'un message électronique, ces événements sont affichés dans un affichage chronologique.When multiple events happen at or close to the same time an email arrives, those events are displayed in a timeline view. Certains événements qui se produisent après la remise de votre courrier électronique sont capturés dans la colonne Action spéciale.Some events that happen to your email post-delivery are captured in the Special action column. Les administrateurs peuvent combiner les informations de la chronologie avec l'action spéciale entreprise sur la post-remise du courrier pour obtenir des informations sur le fonctionnement de leurs stratégies, l'endroit où le courrier a été finalement acheminé et, dans certains cas, l'évaluation finale.Admins can combine information from the timeline with the special action taken on the mail post-delivery to get insight into how their policies work, where the mail was finally routed, and, in some cases, what the final assessment was.

Pour plus d'informations, voir Examiner et corriger les messages malveillants qui ont été remis dans Office 365.For more information, see Investigate and remediate malicious email that was delivered in Office 365.

Exporter les données de clic d'URLExport URL click data

Vous pouvez maintenant exporter des rapports pour les clics d'URL vers Microsoft Excel pour afficher leur ID de message réseau et cliquer sur verdict, ce qui permet d'expliquer l'origine du trafic de clic de votre URL.You can now export reports for URL clicks to Microsoft Excel to view their network message ID and click verdict, which helps explain where your URL click traffic originated. Voici comment cela fonctionne : dans la gestion des menaces dans la barre de lancement rapide d'Office 365, suivez cette chaîne :Here's how it works: In Threat Management on the Office 365 quick-launch bar, follow this chain:

Explorateur > Afficher le hameçonnage > Clics > Les URL les plus fréquentes ou les clics précédents de l'URL sélectionnent n'importe quel > enregistrement pour ouvrir le volant d'URL.Explorer > View Phish > Clicks > Top URLs or URL Top Clicks > select any record to open the URL flyout.

Lorsque vous sélectionnez une URL dans la liste, un nouveau bouton Exporter s'affichera dans le panneau volant.When you select a URL in the list, you'll see a new Export button on the fly-out panel. Utilisez ce bouton pour déplacer des données vers une feuille de calcul Excel afin de faciliter les rapports.Use this button to move data to an Excel spreadsheet for easier reporting.

Suivez ce chemin d'accès pour vous rendre au même emplacement dans le rapport de détections en temps réel :Follow this path to get to the same location in the Real-time detections report:

Explorateur > Détections en temps réel > Afficher le hameçonnage > URL > URL principales ou Clics principaux : sélectionnez n'importe quel enregistrement pour ouvrir le volant d'URL et accédez > à > l'onglet Clics.Explorer > Real-time detections > View Phish > URLs > Top URLs or Top Clicks > Select any record to open the URL flyout > navigate to the Clicks tab.

Conseil

L'ID de message réseau maie le clic de retour à des messages spécifiques lorsque vous recherchez sur l'ID via l'Explorateur ou des outils tiers associés.The Network Message ID maps the click back to specific mails when you search on the ID through Explorer or associated third-party tools. Ces recherches identifient l'e-mail associé à un résultat de clic.Such searches identify the email associated with a click result. L'ID de message réseau corrélé permet une analyse plus rapide et plus puissante.Having the correlated Network Message ID makes for quicker and more powerful analysis.

Clique sur l'onglet dans l'ExplorateurClicks tab in Explorer

Voir les programmes malveillants détectés dans la messagerie électronique par la technologieSee malware detected in email by technology

Supposons que vous vouliez voir les programmes malveillants détectés dans les e-mails triés par la technologie Microsoft 365.Suppose you want to see malware detected in email sorted by Microsoft 365 technology. Pour ce faire, utilisez la vue Courrier > programmes malveillants de l'Explorateur (ou détections en temps réel).To do this, use the Email > Malware view of Explorer (or Real-time detections).

  1. Dans le Centre de sécurité & conformité ( ), choisissez l'Explorateur de gestion des https://protection.office.com > menaces (ou détections en temps réel).In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections). (Cet exemple utilise l'Explorateur.)(This example uses Explorer.)

  2. Dans le menu Affichage, sélectionnez Programme malveillant de > messagerie.In the View menu, choose Email > Malware.

    Menu Afficher pour l'ExplorateurView menu for Explorer

  3. Cliquez sur Expéditeur, puis choisissez Technologie de détection de > base.Click Sender, and then choose Basic > Detection technology.

    Vos technologies de détection sont désormais disponibles en tant que filtres pour le rapport.Your detection technologies are now available as filters for the report.

    Technologies de détection de programmes malveillantsMalware detection technologies

  4. Choisissez une option.Choose an option. Sélectionnez ensuite le bouton Actualiser pour appliquer ce filtre.Then select the Refresh button to apply that filter.

    Technologie de détection sélectionnéeSelected detection technology

Le rapport est actualisé pour afficher les résultats détectés par les programmes malveillants détectés dans le courrier électronique, à l'aide de l'option technologique que vous avez sélectionnée.The report refreshes to show the results that malware detected in email, using the technology option you selected. À partir de là, vous pouvez effectuer une analyse plus approfondie.From here, you can conduct further analysis.

Afficher l'URL de hameçonnage et cliquer sur les données de verdictView phishing URL and click verdict data

Supposons que vous vouliez voir les tentatives de hameçonnage par le biais d'URL dans le courrier électronique, y compris une liste d'URL qui ont été autorisées, bloquées et bloquées.Suppose that you want to see phishing attempts through URLs in email, including a list of URLs that were allowed, blocked, and overridden. Pour identifier les URL sur qui vous avez cliqué, les liens sécurisés doivent être configurés.To identify URLs that were clicked, Safe Links must be configured. Veillez à configurer des stratégies de liens sécurisés pour la protection au moment du clic et la journalisation des verdicts de clic par liens sécurisés.Make sure that you set up Safe Links policies for time-of-click protection and logging of click verdicts by Safe Links.

Pour passer en revue les URL de hameçonnage dans les > messages et cliquer sur les URL des messages d'hameçonnage, utilisez l'affichage Hameçonnage de l'Explorateur ou les détections en temps réel.To review phish URLs in messages and clicks on URLs in phish messages, use the Email > Phish view of Explorer or Real-time detections.

  1. Dans le Centre de sécurité & conformité ( ), choisissez l'Explorateur de gestion des https://protection.office.com > menaces (ou détections en temps réel).In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections). (Cet exemple utilise l'Explorateur.)(This example uses Explorer.)

  2. Dans le menu Affichage, sélectionnez > Hameçonnage de messagerie.In the View menu, choose Email > Phish.

    Afficher le menu de l'Explorateur dans le contexte de hameçonnageView menu for Explorer in phishing context

  3. Cliquez sur Expéditeur, puis choisissez URL Verdict de > clic.Click Sender, and then choose URLs > Click verdict.

  4. Sélectionnez une ou plusieurs options, telles que Blocked et Block overridden, puis sélectionnez le bouton Actualiser sur la même ligne que les options à appliquer à ce filtre.Select one or more options, such as Blocked and Block overridden, and then select the Refresh button on the same line as the options to apply that filter. (N'actualisez pas la fenêtre de votre navigateur.)(Don't refresh your browser window.)

    URL et verdicts de clicURLs and click verdicts

    Le rapport est actualisé pour afficher deux tables d'URL différentes sous l'onglet URL sous le rapport :The report refreshes to show two different URL tables on the URL tab under the report:

    • Les URL principales sont les URL des messages que vous avez filtrés vers le bas et le nombre d'actions de remise de courrier pour chaque URL.Top URLs are the URLs in the messages that you filtered down to and the email delivery action counts for each URL. Dans l'affichage de courrier d'hameçonnage, cette liste contient généralement des URL légitimes.In the Phish email view, this list typically contains legitimate URLs. Les attaquants incluent un mélange d'URL bonnes et mauvaises dans leurs messages pour essayer de les remettre, mais ils rendent les liens malveillants plus intéressants.Attackers include a mix of good and bad URLs in their messages to try to get them delivered, but they make the malicious links look more interesting. Le tableau des URL est trié par nombre total de messages électroniques, mais cette colonne est masquée pour simplifier l'affichage.The table of URLs is sorted by total email count, but this column is hidden to simplify the view.

    • Les clics les plus fréquents sont les URL enveloppées de liens sécurisés sur qui vous avez cliqué, triées par nombre total de clics.Top clicks are the Safe Links-wrapped URLs that were clicked, sorted by total click count. Cette colonne n'est pas non plus affichée, pour simplifier l'affichage.This column also isn't displayed, to simplify the view. Le nombre total par colonne indique le nombre de verdicts de clics de liens sécurisés pour chaque URL cliquée.Total counts by column indicate the Safe Links click verdict count for each clicked URL. Dans l'affichage courrier d'hameçonnage, il s'agit généralement d'URL suspectes ou malveillantes.In the Phish email view, these are usually suspicious or malicious URLs. Toutefois, l'affichage peut inclure des URL qui ne sont pas des menaces mais qui figurent dans des messages d'hameçonnage.But the view could include URLs that aren't threats but are in phish messages. Les clics d'URL sur les liens déballés ne s'affiche pas ici.URL clicks on unwrapped links don't show up here.

    Les deux tableaux d'URL indiquent les PRINCIPALES URL des messages électroniques de hameçonnage par action de remise et emplacement.The two URL tables show top URLs in phishing email messages by delivery action and location. Les tableaux indiquent les clics d'URL qui ont été bloqués ou visités malgré un avertissement, afin que vous pouvez voir quels liens de mauvaises adresses ont été présentés aux utilisateurs et que l'utilisateur a cliqué.The tables show URL clicks that were blocked or visited despite a warning, so you can see what potential bad links were presented to users and that the user's clicked. À partir de là, vous pouvez effectuer une analyse plus approfondie.From here, you can conduct further analysis. Par exemple, sous le graphique, vous pouvez voir les URL les plus fréquentes dans les messages électroniques bloqués dans l'environnement de votre organisation.For example, below the chart you can see the top URLs in email messages that were blocked in your organization's environment.

    URL d'explorateur qui ont été bloquéesExplorer URLs that were blocked

    Sélectionnez une URL pour afficher des informations plus détaillées.Select a URL to view more detailed information.

    Notes

    Dans la boîte de dialogue du volant d'URL, le filtrage des messages électroniques est supprimé pour afficher la vue complète de l'exposition de l'URL dans votre environnement.In the URL flyout dialog box, the filtering on email messages is removed to show the full view of the URL's exposure in your environment. Cela vous permet de filtrer les messages électroniques qui vous préoccupent dans l'Explorateur, de rechercher des URL spécifiques qui sont des menaces potentielles, puis d'étendre votre compréhension de l'exposition des URL dans votre environnement (via la boîte de dialogue Détails de l'URL) sans avoir à ajouter de filtres d'URL à l'affichage De l'Explorateur lui-même.This lets you filter for email messages you're concerned about in Explorer, find specific URLs that are potential threats, and then expand your understanding of the URL exposure in your environment (via the URL details dialog box) without having to add URL filters to the Explorer view itself.

Interprétation des verdicts de clicInterpretation of click verdicts

Dans les volants d'e-mail ou d'URL, les clics principaux ainsi que dans nos expériences de filtrage, vous verrez différentes valeurs de verdict de clic :Within the Email or URL flyouts, Top Clicks as well as within our filtering experiences, you'll see different click verdict values:

  • Aucun : Impossible de capturer le verdict pour l'URL.None: Unable to capture the verdict for the URL. L'utilisateur a peut-être cliqué sur l'URL.The user might have clicked through the URL.
  • Autorisé : L'utilisateur a été autorisé à accéder à l'URL.Allowed: The user was allowed to navigate to the URL.
  • Bloqué : L'accès à l'URL a été bloqué pour l'utilisateur.Blocked: The user was blocked from navigating to the URL.
  • Verdict en attente : La page en attente de détonation s'est présentée à l'utilisateur.Pending verdict: The user was presented with the detonation-pending page.
  • Blocked overridden: L'utilisateur ne peut pas accéder directement à l'URL.Blocked overridden: The user was blocked from navigating directly to the URL. Toutefois, l'utilisateur a overrode le bloc pour accéder à l'URL.But the user overrode the block to navigate to the URL.
  • Verdict en attente contourné : La page de détonation s'est présentée à l'utilisateur.Pending verdict bypassed: The user was presented with the detonation page. Toutefois, l'utilisateur a overrode le message pour accéder à l'URL.But the user overrode the message to access the URL.
  • Erreur : La page d'erreur s'est présentée à l'utilisateur, ou une erreur s'est produite lors de la capture du verdict.Error: The user was presented with the error page, or an error occurred in capturing the verdict.
  • Échec : Une exception inconnue s'est produite lors de la capture du verdict.Failure: An unknown exception occurred while capturing the verdict. L'utilisateur a peut-être cliqué sur l'URL.The user might have clicked through the URL.

Passer en revue les messages électroniques signalés par les utilisateursReview email messages reported by users

Supposons que vous vouliez voir les messages électroniques signalés par les utilisateurs de votre organisation comme courrier indésirable, non indésirable ou hameçonnage via le add-in Signaler un message ou le module de signalement du hameçonnage.Suppose that you want to see email messages that users in your organization reported as Junk, Not Junk, or Phishing through the Report Message add-in or the Report Phishing add-in. Pour les afficher, utilisez l'affichage > Envois de courrier de l'Explorateur (ou détections en temps réel).To see them, use the Email > Submissions view of Explorer (or Real-time detections).

  1. Dans le Centre de sécurité & conformité ( ), choisissez l'Explorateur de gestion des https://protection.office.com > menaces (ou détections en temps réel).In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections). (Cet exemple utilise l'Explorateur.)(This example uses Explorer.)

  2. Dans le menu Affichage, sélectionnez > Envois de courrier électronique.In the View menu, choose Email > Submissions.

    Afficher le menu de l'Explorateur pour les e-mailsView menu for Explorer for emails

  3. Cliquez sur Expéditeur, puis choisissez Type de rapport de > base.Click Sender, and then choose Basic > Report type.

  4. Sélectionnez une option, par exemple Hameçonnage, puis sélectionnez le bouton Actualiser.Select an option, such as Phish, and then select the Refresh button.

    Hameçonnage signalé par l'utilisateurUser-reported phish

Le rapport est actualisé pour afficher les données sur les messages électroniques signalés par les membres de votre organisation comme tentative de hameçonnage.The report refreshes to show data about email messages that people in your organization reported as a phishing attempt. Vous pouvez utiliser ces informations pour effectuer une analyse plus approfondie et, si nécessaire, ajuster vos stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.You can use this information to conduct further analysis, and, if necessary, adjust your anti-phishing policies in Microsoft Defender for Office 365.

Démarrer un examen et une réponse automatisésStart automated investigation and response

Notes

Des fonctionnalités automatisées d'examen et de réponse sont disponibles dans Microsoft Defender pour Office 365 Plan 2 et Office 365 E5.Automated investigation and response capabilities are available in Microsoft Defender for Office 365 Plan 2 and Office 365 E5.

L'examen et la réponse automatisés peuvent faire gagner du temps et des efforts à votre équipe en matière d'opérations de sécurité pour examiner et réduire les cyberattaques.Automated investigation and response can save your security operations team time and effort spent investigating and mitigating cyberattacks. En plus de configurer des alertes qui peuvent déclencher un manuel de sécurité, vous pouvez démarrer un processus d'examen et de réponse automatisé à partir d'un affichage dans l'Explorateur.In addition to configuring alerts that can trigger a security playbook, you can start an automated investigation and response process from a view in Explorer. Pour plus d'informations, voir l'exemple : un administrateur de sécurité déclenche une enquête à partir de l'Explorateur.For details, see Example: A security administrator triggers an investigation from Explorer.

Autres façons d'utiliser l'Explorateur et les détections en temps réelMore ways to use Explorer and Real-time detections

Outre les scénarios décrits dans cet article, de nombreuses autres options de rapport sont disponibles avec l'Explorateur (ou détections en temps réel).In addition to the scenarios outlined in this article, you have many more reporting options available with Explorer (or Real-time detections). Consultez les articles suivants :See the following articles:

Licences et autorisations requisesRequired licenses and permissions

Vous devez avoir Microsoft Defender pour Office 365 pour utiliser l'Explorateur ou les détections en temps réel.You must have Microsoft Defender for Office 365 to use Explorer or Real-time detections.

  • Explorer est inclus dans Defender pour Office 365 Plan 2.Explorer is included in Defender for Office 365 Plan 2.
  • Le rapport détections en temps réel est inclus dans Defender pour Office 365 Plan 1.The Real-time detections report is included in Defender for Office 365 Plan 1.
  • Prévoyez d'attribuer des licences à tous les utilisateurs qui doivent être protégés par Defender pour Office 365.Plan to assign licenses for all users who should be protected by Defender for Office 365. Les détections d'explorateur et en temps réel montrent les données de détection pour les utilisateurs sous licence.Explorer and Real-time detections show detection data for licensed users.

Pour afficher et utiliser les détections de l'Explorateur ou en temps réel, vous devez avoir les autorisations appropriées, telles que celles accordées à un administrateur de sécurité ou à un lecteur de sécurité.To view and use Explorer or Real-time detections, you must have appropriate permissions, such as those granted to a security administrator or security reader.

  • Pour le Centre de sécurité & conformité, l'un des rôles suivants doit vous être attribué :For the Security & Compliance Center, you must have one of the following roles assigned:

    • Gestion de l’organisationOrganization Management
    • Administrateur de sécurité (peut être affecté dans le Centre d'administration Azure Active Directory ( https://aad.portal.azure.com )Security Administrator (this can be assigned in the Azure Active Directory admin center (https://aad.portal.azure.com)
    • Lecteur de sécuritéSecurity Reader
  • Pour Exchange Online, vous devez avoir l'un des rôles suivants attribués dans le Centre d'administration Exchange () ou https://admin.protection.outlook.com/ecp/ Dans Exchange Online PowerShell:For Exchange Online, you must have one of the following roles assigned in either the Exchange admin center (https://admin.protection.outlook.com/ecp/) or Exchange Online PowerShell:

    • Gestion de l’organisationOrganization Management
    • Afficher uniquement la gestion de l’organisationView-Only Organization Management
    • Afficher uniquement les destinatairesView-Only Recipients
    • Gestion de la conformitéCompliance Management

Pour en savoir plus sur les rôles et les autorisations, consultez les ressources suivantes :To learn more about roles and permissions, see the following resources:

Différences entre l'Explorateur de menaces et les détections en temps réelDifferences between Threat Explorer and Real-time detections

  • Le rapport détections en temps réel est disponible dans Defender pour Office 365 Plan 1.The Real-time detections report is available in Defender for Office 365 Plan 1. L'Explorateur de menaces est disponible dans Defender pour Office 365 Plan 2.Threat Explorer is available in Defender for Office 365 Plan 2.
  • Le rapport de détections en temps réel vous permet d'afficher les détections en temps réel.The Real-time detections report allows you to view detections in real time. L'Explorateur de menaces le fait également, mais fournit également des détails supplémentaires pour une attaque donnée.Threat Explorer does this as well, but it also provides additional details for a given attack.
  • Un affichage de courrier tout est disponible dans l'Explorateur de menaces, mais pas dans le rapport de détections en temps réel.An All email view is available in Threat Explorer but not in the Real-time detections report.
  • D'autres fonctionnalités de filtrage et actions disponibles sont incluses dans l'Explorateur de menaces.More filtering capabilities and available actions are included in Threat Explorer. Pour plus d'informations, voir Description du service Microsoft Defender pour Office 365 : disponibilité des fonctionnalités dans les plans Defender pour Office 365.For more information, see Microsoft Defender for Office 365 Service Description: Feature availability across Defender for Office 365 plans.

Examiner les e-mails avec la page Entité de messagerieInvestigate emails with the Email Entity Page