Améliorer Exchange Online Protection avec Microsoft Defender pour Office 365
- 5 minutes
Les services Microsoft 365 offrent une protection de la messagerie contre les attaques d'usurpation d'identité et de phishing, le spam et les logiciels malveillants avec Exchange Online Protection (EOP). EOP assure la sécurité des e-mails grâce à une combinaison de techniques, notamment :
- Réputation IP et URL
- réputation du domaine
- filtrage du courrier indésirable
- filtrage des programmes malveillants
- filtrage de contenu
- filtrage des connexions
- veille contre l'usurpation d'identité
Toutes les organisations Microsoft 365 incluent EOP si elles ont Exchange Online boîtes aux lettres. EOP est également disponible en tant que produit autonome pour protéger les boîtes aux lettres locales et dans les environnements hybrides pour protéger les boîtes aux lettres Exchange locales. Pour plus d'informations, voir Protection en ligne Exchange autonome.
Fonctionnement de Exchange Online Protection
Le graphique suivant montre comment EOP traite les e-mails entrants :
- Lorsqu'un message entrant entre dans EOP, il passe d'abord par le filtrage des connexions, qui vérifie la réputation de l'expéditeur. EOP arrête la plupart des courriers indésirables à ce stade et rejette le message. Pour plus d’informations, consultez Configuration du filtrage des connexions.
- EOP inspecte ensuite le message à la recherche de programmes malveillants. Si EOP détecte un programme malveillant dans le message ou les pièces jointes, il envoie le message en quarantaine. Par défaut, seuls les administrateurs peuvent afficher et interagir avec les messages malveillants mis en quarantaine. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour spécifier ce que les utilisateurs peuvent faire pour les messages mis en quarantaine. Pour en savoir plus sur la protection contre les logiciels malveillants, voir Protection anti-malware dans EOP.
- Le message continue à travers le filtrage de stratégie. EOP l’évalue par rapport à toutes les règles de flux de courrier (également appelées règles de transport) que vous avez créées. Par exemple, une règle peut envoyer une notification à un responsable lorsqu'un message arrive d'un expéditeur spécifique.
- Dans une organisation sur site avec des licences Exchange Enterprise CAL with Services, les vérifications Microsoft Purview Data Loss Prevention (DLP) dans EOP se produisent également à ce stade.
- Le message passe par le filtrage de contenu (anti-courrier indésirable et anti-usurpation), qui identifie les messages nuisibles comme suit :
- courrier indésirable
- spam de haute confiance
- hameçonnage
- hameçonnage de haute confiance
- en masse (politiques anti-spam)
- usurpation d'identité (paramètres d'usurpation dans les politiques anti-hameçonnage)
- Vous pouvez configurer l'action à entreprendre sur le message en fonction de :
- le verdict de filtrage (mise en quarantaine, déplacement dans le dossier Courrier indésirable, etc.)
- ce que les utilisateurs peuvent faire des messages mis en quarantaine à l'aide des politiques de quarantaine.
EOP envoie un message qui transmet correctement chaque couche de protection aux destinataires.
Lecture supplémentaire. Pour plus d'informations, consultez Configurer les stratégies anti-spam et Configurer les stratégies anti-hameçonnage dans EOP.
Étendre la fonctionnalité EOP avec Microsoft Defender pour Office 365
Alors que les pirates du monde entier lancent des attaques de plus en plus sophistiquées, les entreprises ont besoin d'outils offrant une protection supplémentaire. Une épidémie typique se compose de deux parties :
- Une attaque zero-day (malware avec des signatures inconnues).
- Une longue période d'attaque.
Les solutions anti-virus/anti-spam traditionnelles ne peuvent pas protéger contre une attaque zero-day, ce qui signifie que les attaquants peuvent passer inaperçus.
Importante
La solution la plus efficace pour la sécurité de la messagerie dans Microsoft 365 consiste à étendre la protection fournie par EOP en activant Microsoft Defender pour Office 365 dans le locataire.
Microsoft Defender pour Office 365 est un ensemble de fonctionnalités conçues pour lutter contre les menaces ciblées avancées, telles que :
- attaques de logiciels malveillants zero-day
- certains types de campagnes de phishing
- URL malveillantes intégrées dans les e-mails et les documents
Les stratégies Microsoft Defender pour Office 365 qu’un organization définit déterminent le comportement et le niveau de protection pour les menaces prédéfinies. Les options de stratégie offrent une flexibilité extrême. Par exemple, l’équipe de sécurité d’un organization peut définir une protection affinée contre les menaces au niveau de l’utilisateur, du organization, du destinataire et du domaine. Il est important de revoir régulièrement vos politiques, car de nouvelles menaces et de nouveaux défis apparaissent chaque jour.
Les principales fonctionnalités de Microsoft Defender pour Office 365 incluent :
Pièces jointes sécurisées. Protège contre les pièces jointes malveillantes du jour zéro en ouvrant une pièce jointe suspecte et inconnue dans un environnement d'hyperviseur spécial et en testant les activités malveillantes. Il détecte les pièces jointes malveillantes avant même que les signatures antivirus ne soient disponibles.
Liens sécurisés. Fournit une protection au moment du clic, qui empêche les utilisateurs d'accéder à des sites Web malveillants et à des escroqueries par hameçonnage lorsqu'ils sélectionnent des liens dans des e-mails et des documents.
Fausse intelligence. Détecte lorsqu'un expéditeur semble envoyer des e-mails au nom d'un ou de plusieurs comptes d'utilisateurs dans l'un des domaines de votre organisation. Il vous permet d'examiner tous les expéditeurs qui usurpent votre domaine. Vous pouvez ensuite choisir d'autoriser l'expéditeur à continuer ou de bloquer l'expéditeur. Le renseignement sur l’usurpation d’identité est disponible dans le portail Microsoft Defender dans la page paramètres anti-courrier indésirable (Email & collaboration > Stratégies & règles > stratégies > de menace Anti-courrier indésirable dans la section Stratégies**)**
Mise en quarantaine. EOP envoie des messages en quarantaine qu’il identifie comme suit :
- courrier indésirable
- courrier en nombre
- courrier d'hameçonnage
- contenant des logiciels malveillants
- ils correspondaient à une règle de flux de messagerie
Par défaut, Microsoft 365 envoie les messages de phishing et les messages contenant des logiciels malveillants directement en quarantaine. Les utilisateurs autorisés peuvent afficher, supprimer ou gérer les e-mails envoyés en quarantaine.
Politiques anti-hameçonnage. Applique un ensemble de modèles d'apprentissage automatique ainsi que des algorithmes de détection d'emprunt d'identité aux messages entrants. Ce processus offre une protection contre les attaques de hameçonnage et de harponnage. Tous les messages sont soumis à un ensemble complet de modèles Machine Learning qui détectent les messages d’hameçonnage. Ils sont également soumis à un ensemble d'algorithmes avancés utilisés pour se protéger contre diverses attaques d'usurpation d'identité d'utilisateur et de domaine. Les fonctionnalités anti-hameçonnage dans Microsoft Defender pour Office 365 protéger vos organization en fonction des stratégies définies par vos administrateurs Microsoft 365 Global ou Sécurité.
Le graphique suivant montre EOP et les principales fonctionnalités de Microsoft Defender pour Office 365 contre les menaces entrantes par courrier électronique.
Microsoft Defender pour Office 365 Plan 1 et Plan 2
Deux plans sont disponibles pour Microsoft Defender pour Office 365. Le tableau suivant récapitule les fonctionnalités de chaque plan.
| Microsoft Defender pour Office 365 Plan 1 | Microsoft Defender pour Office 365 Plan 2 |
|---|---|
| Fonctionnalités de configuration, de protection et de détection : – Pièces jointes sécurisées – Liens sécurisés – Pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams – Protection anti-hameçonnage dans Defender pour Office 365 – Détections en temps réel |
Fonctionnalités de Microsoft Defender pour Office 365 Plan 1 --- plus --- Fonctionnalités d’automatisation, d’examen, de correction et de formation : – Traqueurs de menaces – Explorateur de menaces – Enquête et réponse automatisées – Entraînement à la simulation d'attaque - Rechercher de manière proactive les menaces avec une chasse avancée dans Microsoft Defender XDR - Examiner les incidents dans Microsoft Defender XDR - Examiner les alertes dans Microsoft Defender XDR Note: Microsoft 365 Defender est désormais Microsoft Defender XDR (détection et réponse étendues). |
Utilisation de l’examen des menaces et des fonctionnalités de réponse
Microsoft Defender pour Office 365 Plan 2 inclut les meilleurs outils d'investigation et de réponse aux menaces. Ces fonctionnalités permettent à l'équipe de sécurité de votre organisation d'anticiper, de comprendre et de prévenir les attaques malveillantes.
- Traqueurs de menaces. Fournit les dernières informations sur les problèmes de cybersécurité actuels. Par exemple, vous pouvez afficher des informations sur les derniers programmes malveillants et prendre des contre-mesures avant qu’ils ne deviennent réellement une menace pour votre organisation. Les suivis disponibles incluent des suivis importants, des suivis de tendances, des requêtes suivies et des requêtes enregistrées.
- Explorateur de menaces. Fournit des rapports en temps réel qui vous permettent d'identifier et d'analyser les menaces récentes. Vous pouvez configurer Explorer pour afficher des données pour les périodes personnalisées.
- Entraînement à la simulation d'attaque. Vous permet d'exécuter des scénarios d'attaque réalistes dans votre organisation pour identifier les vulnérabilités. Des simulations des types d'attaques actuels sont disponibles. Les scénarios de simulation incluent les attaques de collecte d'informations d'identification et de pièces jointes par hameçonnage, ainsi que les attaques par pulvérisation de mots de passe et par force brute.
Vérification des connaissances
Choisissez la meilleure réponse pour la question suivante.