Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Configuration de la protection avancée contre les menaces

Microsoft 365 ATP améliore la fonctionnalité de base d’EOP en ajoutant des processus pour identifier les logiciels malveillants et les liens de phishing. Ces deux fonctions vous permettent d’identifier et de bloquer les logiciels malveillants qui sont manqués par la protection anti-malware traditionnelle, qui repose sur les signatures de logiciels malveillants connus. Pour activer Microsoft 365 ATP, vous créez des stratégies de pièces jointes sécurisées et des stratégies de liens sécurisés, puis les appliquez aux utilisateurs. Vous pouvez accéder à l’interface de Microsoft 365 ATP dans le Centre d’administration Exchange en sélectionnant les menaces avancées dans le volet de navigation à gauche.

 

Stratégies de pièces jointes sécurisées

Une stratégie de pièces jointes sécurisées définit la façon dont Microsoft 365 ATP traite les logiciels malveillants inconnus détectés dans les pièces jointes. Lorsque vous créez une stratégie de pièces jointes sécurisées, vous définissez la réponse et les destinataires auxquels elle s’applique. Vous pouvez spécifier des utilisateurs spécifiques, un groupe spécifique ou un domaine destinataire.

L’une des considérations pour la numérisation des pièces jointes est le temps requis. Le traitement d’une pièce jointe prend généralement de 5 à 7 minutes. La première implémentation de Microsoft 365 ATP n’a pas livré le message jusqu’à ce que la pièce jointe a été numérisée. Cependant, ATP implémente maintenant la livraison dynamique qui livre le message immédiatement, mais la pièce jointe n’est pas disponible jusqu’à ce qu’elle soit numérisée.

Le tableau suivant décrit les quatre réponses potentielles d’une stratégie de pièces jointes sécurisées.

Option de réponse

Description

Off - La pièce jointe ne sera pas numérisée pour détecter les logiciels malveillants.

Les messages aux destinataires définis par cette stratégie ne sont pas soumis à l’analyse de pièces jointes par Microsoft 365 ATP. Utilisez cette option si vous êtes convaincu que les destinataires sont suffisamment bien informés pour éviter de déclencher des logiciels malveillants inconnus. Vous pouvez également utiliser cette option lorsque la livraison rapide des pièces jointes est importante.

Moniteur - Continuer à transmettre le message après la détection de logiciels malveillants; suivre les résultats de l’analyse.

Les messages aux destinataires définis par cette stratégie sont livrés même si des logiciels malveillants sont détectés. Toutefois, les détections de logiciels malveillants sont suivies pour les rapports. Vous pouvez utiliser cette option pour identifier la fréquence de détection des logiciels malveillants avant d’implémenter une stratégie qui bloque les logiciels malveillants.

Bloquer - Bloquer les e-mails et pièces jointes actuels et futurs avec des logiciels malveillants détectés.

Les messages aux destinataires définis par cette stratégie ne sont pas livrés. En outre, toutes les instances futures de cette pièce jointe sont automatiquement identifiées comme des logiciels malveillants pour une détection plus rapide.

Remplacer - Bloquer les pièces jointes avec des logiciels malveillants détectés, continuer à livrer le message.

Les messages aux destinataires définis par cette stratégie sont livrés avec la pièce jointe supprimée. Cette réponse permet aux utilisateurs de voir qu’ils ont reçu un message. Il est particulièrement utile lorsqu’il y a un faux positif car l’utilisateur peut contacter un administrateur pour obtenir de l’aide.

Livraison dynamique

Les messages aux destinataires définis par cette stratégie sont livrés immédiatement et la pièce jointe est supprimée. Une fois l’analyse de la pièce jointe terminée, le système attache à nouveau la pièce jointe.

Lorsque des logiciels malveillants sont détectés, vous pouvez également choisir de rediriger le message. Lorsque vous redirigez le message, il est livré à une boîte aux lettres que vous sélectionnez. Vous pouvez utiliser cette boîte aux lettres comme une quarantaine pour transférer des pièces jointes détectées comme de faux positifs sur les utilisateurs. Par défaut, s’il y a une erreur dans le traitement de la pièce jointe, la réponse pour le message est la même que si un logiciel malveillant a été détecté. Cela garantit que les logiciels malveillants ne sont pas livrés en raison d’une erreur de traitement. Toutefois, cela signifie également que toutes les erreurs de traitement génèrent une détection faussement positive. Cette option peut être désactivée.

Les messages aux destinataires définis par cette stratégie sont livrés immédiatement et la pièce jointe est supprimée. Une fois l’analyse de la pièce jointe terminée, le système attache à nouveau la pièce jointe.

Lorsque des logiciels malveillants sont détectés, vous pouvez également choisir de rediriger le message. Lorsque vous redirigez le message, il est livré à une boîte aux lettres que vous sélectionnez. Vous pouvez utiliser cette boîte aux lettres comme une quarantaine pour transférer des pièces jointes détectées comme de faux positifs sur les utilisateurs. Par défaut, s’il y a une erreur dans le traitement de la pièce jointe, la réponse pour le message est la même que si un logiciel malveillant a été détecté. Cela garantit que les logiciels malveillants ne sont pas livrés en raison d’une erreur de traitement. Toutefois, cela signifie également que toutes les erreurs de traitement génèrent une détection faussement positive. Cette option peut être désactivée.

Stratégies de liens sûrs

Une stratégie de liens sécurisés définit la façon dont Microsoft 365 ATP analyse les URL dans les messages électroniques pour les logiciels malveillants. Les liens vers les logiciels malveillants sont une méthode de plus en plus courante utilisée par les distributeurs de logiciels malveillants pour éviter la détection basée sur la signature pour les pièces jointes. Par exemple, le logiciel malveillant peut être localisé sur un site Web ou un service de partage de fichiers basé sur le cloud. Vous devez définir les destinataires auxquels s’applique une stratégie de liens sécurisés.

Lorsque l’action d’une stratégie de liens sécurisés est en cours, Microsoft 365 ATP réécrit les URL dans les messages. Lorsqu’un utilisateur sélectionne le lien réécrit, Microsoft 365 ATP analyse l’URL du lien. Lorsqu’un lien est identifié comme potentiellement dangereux, Microsoft 365 ATP redirige l’utilisateur vers une page d’avertissement.

Microsoft 365 ATP identifie les liens dans les messages électroniques html et les messages électroniques texte. La protection des liens sécurisés Microsoft 365 ATP s’étend désormais aux hyperliens dans les e-mails et dans Microsoft 365 Apps pour les documents d’entreprise, tels que Microsoft Word, Microsoft Excel et Microsoft PowerPoint sur les appareils Windows, iOS et Android, et les fichiers Microsoft Visio sur les appareils Windows. Vous pouvez activer des liens sécurisés pour d’autres types de documents dans la stratégie de liens sécurisés pour votre organisation.

Le tableau suivant répertorie certaines options spécifiques qui peuvent être activées. Certaines options peuvent être configurées au niveau de l’organisation, tandis que d’autres peuvent être configurées au niveau de l’utilisateur ou du groupe.

Option

Description

Utiliser des pièces jointes sécurisées pour numériser du contenu téléchargeable

Ajoute une couche supplémentaire de protection qui analyse les fichiers téléchargeables pour les logiciels malveillants. Cela peut empêcher la livraison de logiciels malveillants de jour zéro par des liens dans les messages électroniques.

Bloquer les URL suivantes

Bloque les URL spécifiées dans les messages électroniques et dans les fichiers Microsoft 365 Apps, Office pour iOS et Office pour Android. Vous pouvez utiliser trois astérisques génériques (*) par URL

Ne pas suivre lorsque l’utilisateur clique sur des liens sécurisés

Empêche les clics utilisateur d’être suivis dans les rapports. En général, le suivi des clics est utile pour identifier l’infection des logiciels malveillants après le fait, mais vous pouvez désactiver cela pour des raisons de confidentialité.

Ne laissez pas les utilisateurs cliquer sur des liens sécurisés vers l’URL d’origine

Lorsqu’une URL dangereuse est détectée, les utilisateurs ont la possibilité de cliquer sur ce site de toute façon. La sélection de cette option supprime l’option à cliquer.

Ne pas réécrire les URL suivantes

Définit une liste d’URL qui ne seront pas réécrites. Vous pouvez utiliser cette option pour définir des URL et des URL sécurisées connues pour des applications Web qui peuvent ne pas fonctionner correctement lors de la réécriture. Par exemple, vous pouvez ajouter l’URL de vos sites SharePoint internes ici.

Stratégies anti-phishing

L’une des attaques les plus courantes qui se produisent par e-mail est le phishing par courriel. Le but de l’hameçonnage par courriel est d’obtenir des informations sensibles ou d’effectuer des actions sensibles à la sécurité telles que le transfert d’argent. Le phishing fonctionne en d déguiser un pirate malveillant comme une entité digne de confiance dans une communication électronique.

L’attaque d’hameçonnage la plus courante est un courriel frauduleux du pdg ou du directeur financier d’une organisation, qui fournit des instructions pour un virement ou une transaction financière similaire. Les utilisateurs doivent être conscients de la possibilité d’hameçonnage par courriel afin qu’ils puissent reconnaître une attaque de phishing par courriel s’ils en font l’expérience. Vous pouvez configurer des stratégies anti-phishing dans Exchange Online à partir du Centre de sécurité et de conformité Microsoft 365 ou à l’aide de l’applet de commande Set-PhishFilterPolicy de Windows PowerShell.

Lors de la configuration des stratégies anti-phishing, vous pouvez configurer les paramètres suivants :

  • Ajoutez des utilisateurs à protéger. Ce paramètre définit les adresses e-mail protégées contre l’usurpation d’identité.
  • Ajoutez des domaines à protéger. Ce paramètre définit les domaines à protéger. Vous pouvez choisir d’inclure tous les domaines que vous possédez.
  • Choisissez des actions. Avec ce paramètre, vous pouvez choisir l’action à prendre :
    • Mettre en quarantaine le message
    • Rediriger le message vers une autre adresse e-mail
    • Déplacer le message vers le dossier courrier indésirable du destinataire
    • Transmettre le message et ajouter d’autres adresses à la ligne Bcc
    • N’appliquez aucune action
  • Activez l’intelligence des boîtes aux lettres. Ce paramètre améliore les résultats d’usurpation d’identité en fonction des personnes que chaque utilisateur envoie et reçoit des e-mails.
  • Ajoutez des expéditeurs et des domaines approuvés. Ce paramètre définit les adresses e-mail et les domaines à ignorer.
  • Appliqué à. Ce paramètre définit les utilisateurs dont les e-mails entrants seront protégés.
  • Seuils avancés de phishing. Ce paramètre définit le niveau de la façon dont les messages d’hameçonnage sont traités. Vous pouvez également décider comment gérer les messages d’hameçonnage. Vous pouvez décider de les mettre en quarantaine, de les déplacer dans le dossier de messagerie indésirable du destinataire ou de ne rien faire.

En plus d’utiliser la stratégie anti-phishing, vous pouvez prévenir les attaques de phishing en bloquant les e-mails malveillants entrants à partir d’une source externe qui semble avoir été envoyé à partir de votre propre domaine. En général, vous n’utiliserez jamais un serveur de messagerie externe pour envoyer un e-mail à votre propre domaine dans Microsoft 365. Par conséquent, si un e-mail est envoyé à partir d’une source externe, il s’agit probablement d’une attaque de phishing. Pour identifier si un e-mail provient d’une source externe, vous pouvez utiliser les règles de flux de messagerie.

Print Friendly, PDF & Email