Corriger les courriers malveillants remis dans Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
La correction signifie prendre une action prescrite contre une menace. Les e-mails malveillants envoyés à votre organization peuvent être nettoyés par le système, par le biais d’un vidage automatique zéro heure (ZAP), ou par les équipes de sécurité via des actions de correction telles que le déplacement vers la boîte de réception, le déplacement vers le courrier indésirable, le déplacement vers des éléments supprimés, la suppression réversible ou la suppression définitive. Microsoft Defender pour Office 365 Plan 2/E5 permet aux équipes de sécurité de corriger les menaces dans les fonctionnalités de messagerie électronique et de collaboration par le biais d’une investigation manuelle et automatisée.
Ce que vous devez savoir avant de commencer
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Les administrateurs peuvent effectuer l’action requise sur les messages électroniques, mais le rôle Rechercher et vider est requis pour obtenir ces actions approuvées. Pour attribuer le rôle Rechercher et vider , vous disposez des options suivantes :
- Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : opérations de sécurité/données de sécurité/Email & actions avancées de collaboration (gérer).
- Email & les autorisations de collaboration dans le portail Microsoft Defender : appartenance aux groupes de rôles Gestion de l’organisation ou Enquêteur de données. Vous pouvez également créer un groupe de rôles avec le rôle Rechercher et vider attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
Vérifiez que l’examen automatisé est activé à l’adresse https://security.microsoft.com/securitysettings/endpoints/integration.
Correction manuelle et automatisée
La chasse manuelle se produit lorsque les équipes de sécurité identifient les menaces manuellement à l’aide des fonctionnalités de recherche et de filtrage dans Explorer. La correction manuelle des e-mails peut être déclenchée via n’importe quel affichage de courrier électronique (programme malveillant, hameçonnage ou tous les e-mails) après avoir identifié un ensemble d’e-mails qui doivent être corrigés.
Les équipes de sécurité peuvent utiliser Explorer pour sélectionner des e-mails de plusieurs façons :
Choisir des e-mails à la main : utilisez des filtres dans différents affichages. Sélectionnez jusqu’à 100 e-mails à corriger.
Sélection de la requête : sélectionnez une requête entière à l’aide du bouton Sélectionner tout en haut. La même requête est également affichée dans les détails de l’envoi du courrier du centre de notifications. Les clients peuvent envoyer un maximum de 200 000 e-mails à partir de l’Explorateur de menaces.
Sélection de requête avec exclusion : parfois, les équipes des opérations de sécurité peuvent souhaiter corriger les e-mails en sélectionnant une requête entière et en excluant manuellement certains e-mails de la requête. Pour ce faire, un administrateur peut utiliser la zone Sélectionner tout case activée et faire défiler vers le bas pour exclure manuellement les e-mails. La requête peut contenir un maximum de 200 000 e-mails.
Une fois les e-mails sélectionnés via Explorer, vous pouvez commencer la correction en effectuant une action directe ou en mettant en file d’attente les e-mails pour une action :
Approbation directe : lorsque des actions telles que déplacer vers la boîte de réception, déplacer vers du courrier indésirable, déplacer vers des éléments supprimés, suppression réversible ou suppression définitive sont sélectionnées par le personnel de sécurité qui dispose des autorisations appropriées, et que les étapes suivantes de correction sont suivies, le processus de correction commence à exécuter l’action sélectionnée.
Remarque
À mesure que la correction est lancée, elle génère une alerte et une investigation en parallèle. L’alerte s’affiche dans la file d’attente des alertes avec le nom « Action administrative soumise par un administrateur », ce qui suggère que le personnel de sécurité a pris l’action de corriger une entité. Il présente des détails tels que le nom de la personne qui a effectué l’action, le lien d’enquête à l’appui, l’heure, etc. Il fonctionne très bien de savoir chaque fois qu’une action dure comme la correction est effectuée sur les entités. Toutes ces actions peuvent être suivies sous l’ongletActions & Soumissions>Centre de notifications ->Historique (préversion publique).
Approbation en deux étapes : une action « Ajouter à la correction » peut être effectuée par les administrateurs qui ne disposent pas des autorisations appropriées ou qui doivent attendre pour exécuter l’action. Dans ce cas, les e-mails ciblés sont ajoutés à un conteneur de correction. L’approbation est nécessaire avant l’exécution de la correction.
Les actions automatisées d’investigation et de réponse sont déclenchées par des alertes ou par les équipes des opérations de sécurité de Explorer. Il peut s’agir d’actions de correction recommandées qui doivent être approuvées par une équipe des opérations de sécurité. Ces actions sont incluses sous l’onglet Action de l’examen automatisé.
Toutes les corrections (approbations directes) créées dans Explorer, repérage avancé ou investigation automatisée sont affichées dans le centre de notifications sous l’onglet Historique ducentre> de notifications Actions & Soumissions > (https://security.microsoft.com/action-center/history).
Actions manuelles en attente d’approbation à l’aide du processus d’approbation en deux étapes (1. Ajoutez à la correction par un membre de l’équipe d’opérations de sécurité, 2. Les révisions et approbations par un autre membre de l’équipe d’opérations de sécurité) sont visibles sous l’onglet Actions & Soumissions> Sous >l’ongletEn attente (https://security.microsoft.com/action-center/pending). Après approbation, ils sont visibles sous l’ongletHistorique ducentre>de notifications Actions & Soumissions> (https://security.microsoft.com/action-center/history).
Le Centre de notifications unifié affiche les actions de correction des 30 derniers jours. Les actions effectuées via Explorer sont répertoriées par le nom fourni par l’équipe des opérations de sécurité lors de la création de la correction, ainsi que par l’ID d’approbation et l’ID d’enquête. Les actions effectuées par le biais d’enquêtes automatisées ont des titres qui commencent par l’alerte associée qui a déclenché l’enquête, par exemple Zap email cluster.
Ouvrez n’importe quel élément de correction pour afficher les détails le concernant, notamment son nom de correction, son ID d’approbation, son ID d’examen, sa date de création, sa description, status, sa source d’action, son type d’action, son status. Il ouvre également un volet latéral avec les détails de l’action, les détails du cluster de messagerie, les détails de l’alerte et de l’incident.
Ouvrir la page Investigation permet d’ouvrir une investigation d’administrateur qui contient moins de détails et d’onglets. Il affiche des détails tels que : alerte associée, entité sélectionnée pour correction, action entreprise, correction status, nombre d’entités, journaux, approbateur d’action. Cette investigation conserve une trace de l’investigation effectuée manuellement par l’administrateur et contient des détails sur les sélections effectuées par l’administrateur. Elle est donc appelée investigation d’action de l’administrateur. Il n’est pas nécessaire d’agir sur l’enquête et d’alerter son état déjà approuvé.
nombre de Email Affiche le nombre d’e-mails envoyés via le Explorer des menaces. Ces e-mails peuvent être actionnables ou non actionnables.
Journaux d’action Affichez les détails des états de correction tels que réussite, échec et déjà dans la destination.
Actionnable : Email dans les emplacements de boîtes aux lettres cloud suivants peuvent être actionnables et déplacées :
- Boîte de réception
- Camelote*
- dossier Éléments supprimés*
- Dossier Éléments récupérables\Suppressions (éléments supprimés de manière réversible)*
- Quarantaine
* Non disponible pour les éléments mis en quarantaine.
Non actionnable : les Email aux emplacements suivants ne peuvent pas être prises en compte ou déplacées dans les actions de correction :
- Dossier supprimé en dur
- Local/externe
- Échec/suppression
- Inconnu
Types d’actions de déplacement et de suppression prises en charge :
Déplacer vers le dossier courrier indésirable : déplace les messages vers le dossier Email de courrier indésirable de l’utilisateur.
Déplacer vers la boîte de réception : déplace les messages vers le dossier Boîte de réception des utilisateurs.
Déplacer vers des éléments supprimés : déplace les messages vers le dossier Éléments supprimés de l’utilisateur.
Suppression réversible : supprimez le message du dossier Éléments supprimés (accédez au dossier Éléments récupérables\Suppressions). Le message est récupérable par l’utilisateur et les administrateurs.
Supprimer la copie de l’expéditeur : essayez également de supprimer de manière réversible le message du dossier Éléments envoyés de l’expéditeur si l’expéditeur est le organization.
Suppression définitive : videz le message supprimé. Les administrateurs peuvent récupérer des éléments supprimés en dur à l’aide de la récupération d’un seul élément. Pour plus d’informations sur les éléments supprimés en dur et supprimés de manière réversible, consultez Éléments supprimés de manière réversible et supprimés de manière définitive.
Les messages suspects sont classés comme pouvant être corrigés ou non immédiats. Dans la plupart des cas, les messages récursables et non immédiats combinent le nombre total de messages envoyés. Mais dans de rares cas, cela peut ne pas être vrai. Cela peut se produire en raison de retards système, de délais d’expiration ou de messages arrivés à expiration. Les messages expirent en fonction de la période de rétention Explorer pour votre organization.
À moins que vous ne corrigez les anciens messages après la période de rétention Explorer de votre organization, il est recommandé de réessayer de corriger les éléments si vous constatez des incohérences de nombre. Pour les retards système, les mises à jour de correction sont généralement actualisées en quelques heures.
Si la période de rétention de votre organization pour les e-mails dans Explorer est de 30 jours et que vous corrigez les e-mails remontant à 29 à 30 jours, le nombre d’envois de messages électroniques peut ne pas toujours s’additionner. Les e-mails ont peut-être déjà commencé à sortir de la période de rétention.
Si les corrections sont bloquées à l’état « En cours » pendant un certain temps, cela est probablement dû à des retards du système. La correction peut prendre jusqu’à quelques heures. Vous pouvez voir des variations dans le nombre de soumissions de courrier, car certains e-mails n’ont peut-être pas été inclus dans la requête au début de la correction en raison de retards du système. Il est judicieux de réessayer de corriger dans de tels cas.
Remarque
Pour de meilleurs résultats, la correction doit être effectuée par lots de 50 000 ou moins.
Seuls les e-mails pouvant être corrigés sont pris en compte pendant la correction. Les e-mails non immédiats ne peuvent pas être corrigés par le système de messagerie Office 365, car ils ne sont pas stockés dans des boîtes aux lettres cloud.
Les administrateurs peuvent prendre des mesures sur les e-mails en quarantaine si nécessaire, mais ces e-mails expirent en dehors de la quarantaine s’ils ne sont pas vidés manuellement. Par défaut, les e-mails mis en quarantaine en raison de contenus malveillants ne sont pas accessibles par les utilisateurs. Par conséquent, le personnel de sécurité n’a pas à prendre de mesures pour se débarrasser des menaces en quarantaine. Si les e-mails sont locaux ou externes, l’utilisateur peut être contacté pour traiter l’e-mail suspect. Ou les administrateurs peuvent utiliser des outils de sécurité/serveur de messagerie distincts pour la suppression. Ces e-mails peuvent être identifiés en appliquant l’emplacement de remise = filtre externe local dans Explorer. En cas d’échec ou de suppression d’e-mails, ou d’e-mails non accessibles par les utilisateurs, il n’y aura pas d’e-mail à atténuer, car ces messages n’atteignent pas la boîte aux lettres.
Journaux d’action : affiche les messages corrigés, réussis, ayant échoué, déjà dans la destination.
L’état peut être :
-
Démarré : la correction est déclenchée.
- Mis en file d’attente : la correction est mise en file d’attente pour l’atténuation des e-mails.
- En cours : l’atténuation est en cours.
- Terminé : atténuation de tous les e-mails pouvant être corrigés, soit correctement, soit avec quelques échecs.
- Échec : aucune correction n’a réussi.
Étant donné que seuls les e-mails pouvant être corrigés peuvent être pris en compte, le nettoyage de chaque e-mail s’affiche comme ayant réussi ou échoué. À partir du nombre total d’e-mails pouvant être corrigés, les atténuations réussies et ayant échoué sont signalées.
Réussite : l’action souhaitée sur les e-mails pouvant être corrigés a été accomplie. Par exemple : un administrateur souhaite supprimer les e-mails des boîtes aux lettres, de sorte que l’administrateur effectue l’action de suppression réversible des e-mails. Si un e-mail corrigeable est introuvable dans le dossier d’origine une fois l’action effectuée, le status s’affiche comme ayant réussi.
Échec : l’action souhaitée sur les e-mails pouvant être corrigés a échoué. Par exemple : un administrateur souhaite supprimer les e-mails des boîtes aux lettres, de sorte que l’administrateur effectue l’action de suppression réversible des e-mails. Si un e-mail pouvant être corrigé est toujours trouvé dans la boîte aux lettres une fois l’action effectuée, status s’affiche comme ayant échoué.
Déjà dans la destination : l’action souhaitée a déjà été effectuée sur l’e-mail OU l’e-mail existait déjà dans l’emplacement de destination. Par exemple : un e-mail a été supprimé de manière réversible par l’administrateur via Explorer le premier jour. Ensuite, des e-mails similaires s’affichent le jour 2, qui sont à nouveau supprimés de manière réversible par l’administrateur. Lors de la sélection de ces e-mails, l’administrateur finit par sélectionner des e-mails dès le premier jour qui sont déjà supprimés de manière réversible. Maintenant, ces e-mails ne seront plus suivis, ils s’afficheront simplement comme « déjà dans la destination », car aucune action n’a été effectuée sur eux, car ils existaient dans l’emplacement de destination.
Nouveau : une colonne Déjà dans la destination a été ajoutée dans le journal des actions. Cette fonctionnalité utilise le dernier emplacement de remise dans Threat Explorer pour signaler si le courrier a déjà été corrigé. Déjà dans la destination permet aux équipes de sécurité de comprendre le nombre total de messages qui doivent encore être traités.
-
Démarré : la correction est déclenchée.
Les actions peuvent uniquement être effectuées sur les messages dans les dossiers Boîte de réception, Courrier indésirable, Supprimé et Supprimé de manière réversible de Threat Explorer. Voici un exemple de fonctionnement de la nouvelle colonne. Une action de suppression réversible a lieu sur le message présent dans la boîte de réception, puis le message est géré en fonction des stratégies. La prochaine fois qu’une suppression réversible est effectuée, ce message s’affichera sous la colonne « Déjà dans la destination » indiquant qu’il n’a pas besoin d’être traité à nouveau.
Sélectionnez n’importe quel élément dans le journal des actions pour afficher les détails de la correction. Si les détails indiquent « réussite » ou « introuvable dans la boîte aux lettres », cet élément a déjà été supprimé de la boîte aux lettres. Parfois, il y a une erreur système lors de la correction. Dans ce cas, il est judicieux de réessayer l’action de correction.
En cas de correction de grands lots d’e-mails, exportez les messages envoyés pour correction via l’envoi de courrier électronique et les messages qui ont été corrigés via les journaux d’action. La limite d’exportation est augmentée à 100 000 enregistrements.
Les administrateurs peuvent prendre des mesures correctives telles que le déplacement des e-mails vers le dossier Courrier indésirable, Boîte de réception ou Éléments supprimés, et des actions de suppression telles que la suppression réversible ou la suppression définitive des pages de repérage avancé.
La correction atténue les menaces, traite les e-mails suspects et contribue à assurer la sécurité d’un organization.