Utilisation des rapports de protection de messagerie dans Office 365 pour afficher les données sur les programmes malveillants, le courrier électronique et les détections de règles

Exchange Online
 

Sapplique à :Exchange Online, Exchange Online Protection

Dernière rubrique modifiée :2016-12-09

Si vous êtes un administrateur Exchange Online ou Exchange Online Protection (EOP), il y a des chances pour que vous souhaitiez surveiller la quantité de courrier indésirable et de programmes malveillants détectés, ou le nombre de fois où vos règles de flux de messagerie, également appelées règles de transport, sont mises en correspondance. Avec les rapports interactifs sur la protection de la messagerie dans le Centre d’administration Office 365, vous pouvez afficher rapidement un rapport des données de synthèse et accéder à des informations plus détaillées sur des messages individuels remontant jusqu’à 90 jours.

Rapports de protection des messages dans Office 365


Cette rubrique traite les questions suivantes :

Vous pouvez personnaliser certains rapports de protection de la messagerie afin de les filtrer par expéditeur et/ou destinataire, ou encore par domaine. Vous pouvez planifier l’envoi automatique de rapports de messagerie à votre boîte de réception. Pour plus d’informations à ce sujet, consultez la rubrique Personnaliser et planifier l’envoi automatique de rapports de protection du courrier électronique vers votre boîte de réception dans Office 365.

Vous pouvez accéder aux rapports sur la protection de la messagerie suivants de la page RAPPORTS dans le Centre d’administration Office 365.

 

Rapport Description

Principaux expéditeurs et destinataires

Affiche les éléments suivants, selon le type de rapport que vous sélectionnez :

  • Principaux destinataires du courrier électronique – les 10 principaux destinataires pour la messagerie globale.

  • Principaux expéditeurs du courrier électronique – les 10 principaux expéditeurs pour la messagerie globale.

  • Principaux destinataires du courrier indésirable – les 10 principaux destinataires des détections de courrier indésirable.

  • Principaux destinataires des programmes malveillants – les 10 principaux destinataires des détections de programmes malveillants.

Principaux programmes malveillants pour le courrier électronique

Indique les 10 principaux programmes malveillants dans le courrier électronique reçu et envoyé.

Détections de programmes malveillants

Affiche le nombre de détections de programmes malveillants dans le courrier envoyé ou reçu avant l'application de l'action de programmes malveillants. Des informations supplémentaires sur les différents messages filtrés de programmes malveillants sont disponibles en sélectionnant un point sur le graphique.

Détections de courrier indésirable

Indique le courrier indésirable détecté dans le courrier envoyé ou reçu, regroupé par type de filtrage de courrier indésirable :

  • Contenu filtré – courrier identifié comme indésirable car ses caractéristiques de message correspondent à celles du courrier indésirable.

  • SMTP bloqué – courrier électronique bloqué avant d'entrer dans le service, basé sur le filtrage des expéditeurs/destinataires.

  • IP bloqué – courrier électronique bloqué avant d'entrer dans le service, basé sur la réputation d'IP.

Par défaut, tous les messages sont inclus. Vous pouvez modifier les détails de ce rapport pour le filtrer par expéditeur et/ou destinataire, ou vous pouvez utiliser l’expression *@domaine pour obtenir un rapport sur un même domaine. Pour plus d’informations à ce sujet, consultez la rubrique Personnaliser et planifier l’envoi automatique de rapports de protection du courrier électronique vers votre boîte de réception dans Office 365.

Des informations supplémentaires sur les messages de filtre de contenu individuels sont disponibles en sélectionnant un point sur le graphique.

Messages entrants et sortants

Affiche les messages envoyés et reçus regroupés par type de trafic :

  • Bon courrier électronique – messages qui ont été reçus et non identifiés comme du courrier indésirable ou un programme malveillant.

  • Courrier indésirable – messages identifiés comme courrier indésirable.

  • Programme malveillant - messages contenant des programmes malveillants.

  • Règles de flux de messagerie (également appelées règles de transport) : messages correspondant à au moins une règle.

Par défaut, tous les messages sont inclus. Vous pouvez modifier les détails de ce rapport pour le filtrer par expéditeur et/ou destinataire, ou vous pouvez utiliser l’expression *@domaine pour obtenir un rapport sur un même domaine. Pour plus d’informations à ce sujet, consultez la rubrique Personnaliser et planifier l’envoi automatique de rapports de protection du courrier électronique vers votre boîte de réception dans Office 365.

Aucune information détaillée sur les messages individuels n'est disponible.

Rapport sur les courriers électroniques avec falsification d’identité

Pour les clients qui possèdent Office 365 Entreprise E5 ou ont acheté des licences Protection avancée contre les menaces, ce graphique affiche les messages électroniques entrants envoyés à votre organisation dont l’expéditeur semble appartenir à votre organisation, alors que son identité réelle est tout autre. Il s’agit d’une « falsification d’identité interne ».

Des organisations peuvent utiliser la falsification d’identité de manière intentionnelle pour une bonne raison, et certains types de falsification d’identité sont malveillants. Ce rapport inclut les deux types de courriers électroniques d’usurpation d’identité reçus par votre organisation et vous aide à prendre des mesures pour autoriser ou bloquer les autres messages électroniques provenant de cet expéditeur. Par exemple, vous pouvez engager un tiers pour qu’il envoie une invitation à tous les employés d’un événement de la société. Ce type de message électronique apparaîtrait dans ce rapport comme n’étant pas un courrier indésirable ou sous le libellé Message électronique valide. Office 365 détecte également les messages envoyés par des expéditeurs malveillants qui prétendent être de votre entreprise et leur attribue le libellé Détecté comme spam.

Vous pouvez afficher une vue détaillée en cliquant sur un point de données dans le graphique pour un jour donné. Les totaux sont cumulés selon les attributs suivants :

  • Expéditeur dont l’identité a été falsifiée : le nom visible de l’expéditeur qui semble provenir de votre organisation.

  • Expéditeur véritable : expéditeur réel associé à l’adresse IP enregistrée. Si ce champ est vide, le domaine de l’expéditeur n’a pas été détecté lorsque l’enregistrement DNS a été examiné par Office 365.

  • Adresse IP de l’expéditeur : adresse IP ou plage d’adresses associée(s) à l’expéditeur du message avec falsification d’identité.

  • Type d’événement : si le message avec falsification d’identité a été marqué comme courrier indésirable (Détecté comme spam) ou comme n’étant pas un courrier indésirable (Message électronique valide).

Vous pouvez bloquer ou autoriser les messages électroniques envoyés à partir de cette adresse IP à l’avenir en sélectionnant Ajouter à la liste d’adresses IP autorisées ou bloquées. N’ajoutez des adresses IP à la liste d’adresses IP autorisées que si vous savez qu’elles appartiennent à des domaines autorisés.

 

Rapport

Description

Principales correspondances de règles pour le courrier électronique

Affiche les 10 principales correspondances de règles de flux de messagerie pour le courrier électronique reçu et envoyé.

Correspondances de règles pour le courrier électronique

Affiche le nombre de correspondances de règles de flux de messagerie, regroupées par gravité de la règle. Des informations détaillées sur les messages individuels sont disponibles en sélectionnant un point sur le graphique.

Par défaut, tous les messages sont inclus. Vous pouvez modifier les détails de ce rapport pour le filtrer par expéditeur et/ou destinataire, ou vous pouvez utiliser l’expression *@domaine pour obtenir un rapport sur un même domaine. Pour plus d’informations à ce sujet, consultez la rubrique Personnaliser et planifier l’envoi automatique de rapports de protection du courrier électronique vers votre boîte de réception dans Office 365.

 

Rapport

Description

Principales correspondances de stratégies DLP pour le courrier électronique

Affiche les 10 principales correspondances de stratégies DLP pour le courrier électronique reçu et envoyé.

Principales correspondances de règles DLP pour le courrier électronique

Affiche les 10 principales correspondances de règles DLP pour le courrier électronique reçu et envoyé.

Correspondances de stratégies DLP par gravité pour le courrier électronique

Affiche le nombre de correspondances de stratégies DLP pour le courrier électronique, regroupées par gravité. Des informations détaillées sur les messages individuels sont disponibles en sélectionnant un point sur le graphique.

Correspondances de stratégies DLP, de remplacements et de faux positifs pour le courrier électronique

Affiche le nombre de correspondances de stratégies DLP, de remplacements (l'utilisateur a envoyé le courrier malgré une correspondance de stratégie DLP) et de faux positifs (l'utilisateur signale qu'une correspondance de stratégie DLP était incorrecte). Des informations détaillées sur les messages individuels sont disponibles en sélectionnant un point sur le graphique.

RemarqueRemarque :
La fonctionnalité DLP est disponible uniquement avec certains plans d’abonnement Exchange Online et EOP. Pour plus d’informations sur la disponibilité de la fonctionnalité DLP avec chaque plan, consultez les entrées de la table de prévention des pertes de données dans la description du service Exchange Online et la description du service de protection Exchange Online.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter ces procédures :

    • Administrateurs Exchange Online : pour pouvoir visualiser les rapports du Centre d’administration Office 365, vous devez avoir le rôle administrateur Office 365 « administrateur global » et les rôles administrateur Exchange répertoriés pour l’entrée « Afficher les rapports » dans la rubrique Autorisations des fonctionnalités dans Exchange Online.

    • Administrateurs EOP : pour pouvoir visualiser les rapports du Centre d’administration Office 365, vous devez avoir le rôle administrateur Office 365 « administrateur global » et les rôles administrateur Exchange répertoriés pour l’entrée « Afficher les rapports » dans la rubrique Autorisations des fonctionnalités dans EOP.

  • Pour plus d’informations sur le moment où les données sont disponibles et la durée de leur disponibilité, consultez la section « Disponibilité et latence des rapports et des données de suivi des messages » dans Création de rapports et suivi des messages dans Exchange Online Protection.

  • Si un rapport détaillé est exécuté pour les messages datant de plus de 7 jours, le rapport est disponible sous forme de fichier téléchargeable .csv, que vous pouvez ouvrir dans une application comme Excel.

  • Les rapports de protection de la messagerie Exchange sont également accessibles par le biais de Windows PowerShell à distance. Pour une liste complète des cmdlets de création de rapports Exchange Online, voir Cmdlets de création de rapports dans Exchange Online.

ConseilConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection

Lorsque vous cliquez sur un lien de rapport de protection de courrier électronique, comme le rapport Messages entrants et sortants, une nouvelle fenêtre s'ouvre et affiche un graphique interactif avec des informations de niveau résumé.

Rapport des messages reçus et envoyés

Données récapitulatives : Vous pouvez sélectionner la plage de dates appropriée pour afficher des données récapitulatives remontant jusqu’à 90 jours. Vous pouvez modifier la vue pour afficher uniquement les messages qui répondent à des critères spécifiques en modifiant les segments de la série situés à droite du graphique. Par exemple, si vous souhaitez afficher tous les messages sauf les messages de courrier indésirable, décochez l'option de segment Courrier indésirable. Certains rapports peuvent aussi afficher des paramètres au-dessus du graphique qui vous permettent d'affiner vos critères. Pour plus d’informations sur le rapport et ses paramètres, vous pouvez placer le curseur sur le lien d’informations en regard du titre du rapport.

Données détaillées : Des données de message détaillées sont disponibles pour certains rapports et peuvent être affichées en cliquant sur un point de données spécifique dans le graphique. Lorsque vous sélectionnez un point, les détails du message sont affichés sous le graphique dans une table. Vous pouvez parcourir les différentes pages de messages détaillés s’il y a plus d'enregistrements qui peuvent être affichés sur une page. Chaque détail affiche les informations suivantes :

  • Date à laquelle le message a été envoyé.

  • Expéditeur et destinataire du message (seul un destinataire est répertorié par ligne).

  • ID de message (dans l'en-tête du message, généralement au format suivant : 08f1e0f6806a47b4ac103961109ae6ef@server.domain>).

  • Texte de la ligne d’objet du message.

Selon le type de rapport, il peut y avoir des champs supplémentaires qui incluent des informations telles que le type d'événement de courrier indésirable, la règle de flux de messagerie mise en correspondance et l'action associée à une règle.

L'image suivante affiche le rapport des détections de courrier indésirable avec des données détaillées.

Rapport sur la détection des courriers indésirables
RemarqueRemarque :
Le nombre de détails peut différer du nombre de résumés. Chaque rapport aura une explication sur la façon dont le nombre d'enregistrements détaillés est calculé.
ConseilConseil :
Vous pouvez cliquer sur le lien Afficher la table pour afficher les données dans une table plutôt que dans un graphique. Néanmoins, vous ne pouvez pas accéder aux détails des messages dans la vue de la table.

Les données détaillées pour les messages qui datent de plus de 7 jours sont disponibles pour le téléchargement. Ceci s'affichera comme zone dans le graphique avec un arrière-plan gris. Lorsque vous sélectionnez un point de données dans le graphique de synthèse des données datant de plus de 7 jours, un lien Demander ce rapport sera affiché en bas de la page.

Détections de spam supérieures à 7 jours

Lorsque vous cliquerez sur le lien Demander ce rapport, une nouvelle page apparaîtra qui vous permettra de fournir des informations de notification et de filtrer davantage la demande.

Paramètres de rapport de demande

Vous pouvez spécifier les paramètres suivants :

  • Heure et date de début et Heure et date de fin   Spécifiez la plage de dates à partir de laquelle vous souhaitez consulter les données de création de rapports. L'heure et la date de fin doivent dater d'au moins 24 heures.

  • État de remise   Dans la liste, sélectionnez l'état du message dont vous souhaitez consulter les informations. Conservez la valeur par défaut Tous pour couvrir tous les états. Les autres valeurs possibles sont les suivantes :

    • Remis   Le message a bien été remis à la destination souhaitée.

    • Échec   Le message n'a pas été remis. Soit la tentative de remise a échoué, soit il n'a pas été remis à la suite d'actions effectuées par le service de filtrage. Ce peut être le cas, par exemple, si le service de filtrage détermine que le message contient un programme malveillant.

    • Étendu   Le message a été envoyé à une liste de distribution et étendu afin que les membres de la liste puissent être affichés individuellement.

  • ID de message   ID de message Internet (également appelé ID client) figurant dans l’en-tête du message avec le jeton « Message-ID: ». Des utilisateurs peuvent vous fournir ces informations pour étudier des messages spécifiques.

    La forme de cet ID varie en fonction du système expédiant le message. Voici un exemple : 08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

    RemarqueRemarque :
    Veillez à inclure la chaîne ID complète du message. Celle-ci peut comprendre des crochets (<>).

    Cet ID doit être unique. Toutefois, sa génération dépend du système d'envoi du message et tous les systèmes ne se comportent pas de la même manière. Par conséquent, il est possible que vous receviez des résultats pour plusieurs messages avec une recherche sur un seul ID de message.

  • Adresse IP du client d’origine   Spécifiez l’adresse IP du client de l’expéditeur.

  • Titre du rapport   Indiquez l’identificateur unique de ce rapport. Il sera également utilisé comme texte d’objet pour le message de notification. Le format par défaut est « <Type de rapport> rapport détaillé <jour de la semaine>, <date actuelle><heure actuelle> ». Voici un exemple : « Courrier indésirable rapport détaillé jeudi 27 février 2014 07:21:09 ».

  • Adresse de messagerie pour les notifications   Indiquez l’adresse de messagerie sur laquelle vous souhaitez recevoir la notification avertissant que la demande de rapport est terminée. Cette adresse doit se trouver dans un domaine accepté.

Cliquez sur Envoyer pour envoyer la demande de rapport. Bien que le nombre de rapports que vous pouvez exécuter sur une période de 24 heures doive être suffisant pour vos besoins d'informations, vous serez averti si vous atteignez le seuil du nombre de rapports que vous êtes autorisé à exécuter sur une période de 24 heures.

Une fois que vous avez cliqué sur le bouton Envoyer, un message devrait apparaître vous informant que la demande de rapport a été envoyée avec succès et qu'une notification par courrier électronique sera envoyée à l'adresse de messagerie (si elle a été fournie) lorsqu'elle est terminée. L'exécution de la demande de rapport peut prendre jusqu'à quelques heures. (Si la demande est traitée et que les données correspondant à vos critères de recherche sont récupérées avec succès, ce message de notification comprendra des informations sur le rapport et un lien vers le fichier .csv téléchargeable. Si aucune donnée correspondant aux critères de recherche indiqués n’est trouvée, vous serez invité à soumettre une nouvelle demande avec de nouveaux critères, afin d’obtenir des résultats valides.)

Pour afficher l'état des demandes de rapports, vous pouvez cliquer sur le lien Afficher les demandes terminées ou en attente sur la page principale pour ouvrir la page demandes en attente ou terminées.

Demandes en attente ou terminées

La page demandes en attente ou terminées affiche l'état de toutes vos demandes envoyées (en plus de vos demandes de rapports, elle répertorie également vos demandes de suivi de message envoyées). À ce stade, vous pouvez annuler les demandes en attente ou télécharger un rapport finalisé.

La liste des demandes peut être triée en cliquant sur l'un des en-têtes de colonnes. Outre le titre du rapport, la date et l’heure de l'envoi de la demande, et le nombre de messages contenus dans le rapport, les valeurs d'état suivantes sont répertoriées :

  • Non commencée   La demande a été envoyée mais n’a pas encore commencé. À ce stade, vous avez encore la possibilité d’annuler la demande.

  • Annulée   La demande a été envoyée mais a été annulée.

  • En cours   La demande est en cours et vous ne pouvez pas l'annuler ni télécharger le rapport.

  • Terminé   La demande est terminée et vous pouvez cliquer sur Télécharger ce rapport pour extraire les résultats dans un fichier .csv. Si vos résultats dépassent 5 000 messages pour un rapport, ils seront tronqués à 5 000 messages. Si vous ne visualisez pas tous les résultats recherchés, nous vous recommandons de décomposer votre recherche en plusieurs requêtes.

Lorsque vous sélectionnez un rapport spécifique, des informations supplémentaires apparaissent dans le volet de droite, qui présente les critères de recherche que vous avez spécifiés pour ce rapport.

RemarqueRemarque :
Les rapports sont automatiquement supprimés après 10 jours. Ils ne peuvent pas être supprimés manuellement.

ImportantImportant :
Pour afficher des rapports téléchargés sur les règles de flux de messagerie et la protection de la messagerie, le rôle « Destinataires en affichage uniquement » doit être affecté à votre groupe de rôles. Par défaut, ce rôle est affecté aux groupes de rôles suivants : Gestion de la conformité, Support technique, Gestion de l’hygiène, Gestion de l’organisation et Gestion de l’organisation en affichage seul. Pour afficher les rapports DLP téléchargés, le rôle requis est « Prévention contre la perte de données », et par défaut, il n'est disponible que pour le groupe de rôles Gestion de la conformité.

Lorsque vous téléchargez un rapport soit de la page demandes en attente ou terminées soit d'un courrier électronique de notification, vous pouvez l'ouvrir et l'afficher dans une application telle que Microsoft Excel.

Les informations suivantes sur chaque message sont incluses pour chaque type de rapport :

  • origin_timestamp   Date et heure auxquelles le message a été reçu par le service, en temps universel coordonné.

  • sender_address   Adresse de messagerie de l’expéditeur au format alias@domaine.

  • recipient_address   Destinataire du message.

  • message_subject   Texte de la ligne d’objet du message. Si la longueur de ce texte dépasse 256 caractères, le texte est tronqué.

  • total_bytes   Taille du message, pièces jointes comprises, en octets.

  • message_id   ID de message Internet (également appelé ID client) figurant dans l’en-tête du message avec le jeton « Message-ID: ». Le format de cet ID varie en fonction du système expédiant le message. Voici un exemple : 08f1e0f6806a47b4ac103961109ae6ef@serveur.domaine>.

    Cet ID doit être unique. Toutefois, sa génération dépend du système d'envoi du message et tous les systèmes ne se comportent pas de la même manière. Par conséquent, il est possible que vous receviez des résultats pour plusieurs messages après avoir effectué une recherche pour un seul ID de message.

  • network_message_id   Valeur unique d’ID de message qui persiste dans les copies du message éventuellement créées suite à une bifurcation ou à une expansion du groupe de distribution. 1341ac7b13fb42ab4d4408cf7f55890f est un exemple de valeur.

  • original_client_ip   Adresse IP du client de l’expéditeur.

  • direction   Ce champ indique si le message est entrant (1), c’est-à-dire envoyé vers votre organisation, ou sortant (2), c’est-à-dire envoyé depuis votre organisation.

Les champs suivants sont également inclus dans les rapports sur les messages de courrier indésirable détectés :

  • event_type   Indique si le type de filtrage du courrier indésirable est :

    • Contenu filtré   Le message a été identifié comme étant du courrier indésirable en raison de son contenu.

    • SMTP bloqué   Le message a été bloqué avant d'entrer dans le service basé sur le filtrage des expéditeurs/destinataires.

    • IP bloqué   Le message a été bloqué avant d'entrer dans le service basé sur la réputation d'IP.

  • scl   Pour plus d’informations sur les différentes valeurs de SCL et leur signification, voir Seuils de probabilité de courrier indésirable.

  • pays   Le pays ou la région de provenance du message, si disponible.

  • langue   Le code de la langue dans laquelle le message a été écrit (par exemple, en indique que le message a été écrit en anglais).

  • chaîne helo   La chaîne HELO ou EHLO du serveur de messagerie de connexion.

  • reverse_dns   L'enregistrement PTR de l’adresse IP d’envoi, également appelée adresse DNS inverse.

Les champs suivants sont également inclus dans les rapports sur les messages de détection de programmes malveillants :

  • event_type   Ce sera toujours programme malveillant.

  • nom de fichier   Le nom du fichier qui contenait le programme malveillant.

  • malware_name   Le nom du programme malveillant détecté.

Les champs suivants sont également inclus dans les rapports sur les messages qui correspondent à une règle de flux de messagerie :

  • ID de la règle   L'ID de règle qui a été mis en correspondance, par exemple 368067fd-c36c-4b56-9f38-08d0ffcf8b23. Chaque règle possède un ID unique. Vous pouvez obtenir cette valeur via Windows PowerShell à distance

  • action   L'action appliquée. Pour consulter la liste des actions disponibles, voir Courrier des actions de règle de flux dans Exchange en ligne.

  • gravité   La gravité d'audit de la règle qui a été mise en correspondance.

  • set_time   La date et l'heure (en UTC) de la correspondance de la règle.

  • mode   Le mode de la règle. Les valeurs possibles sont les suivantes :

    • Appliquer   Toutes les actions de la règle seront appliquées.

    • Tester avec les conseils de stratégie   Toutes les actions de conseils de stratégie seront envoyées, mais les autres actions d’application ne seront pas effectuées.

    • Tester sans conseils de stratégie   Les actions seront consignées dans un fichier journal mais les expéditeurs ne recevront aucune notification et les actions d’application ne seront pas effectuées.

Les champs suivants sont également inclus dans les rapports sur les messages qui correspondent à une stratégie DLP :

  • dlpid   L'ID de stratégie DLP qui a été mis en correspondance. Chaque stratégie a un identifiant unique. Vous pouvez obtenir cette valeur via Windows PowerShell à distance.

  • sender_override   Un utilisateur final a signalé un remplacement ou un faux positif pour une règle.

  • Sender_just   Le texte de justification entré par l'utilisateur final comme motif pour la classification des données devrait être remplacé.

  • dcid   L'ID de la classification des données qui a été mise en correspondance.

  • dc_count   Le nombre de classifications de données mises en correspondance.

  • dc_conf   Le niveau de confiance de la classification de données qui a été mise en correspondance. Pour une explication détaillée du niveau de confiance, consultez la section « Règles de l'entité » dans Développement de packages de règles des informations sensibles.

RemarqueRemarque :
Les champs ruleid, action, gravité, set_time et mode définis précédemment pour les rapports de la règle de flux de messagerie apparaissent également dans les rapports DLP.
 
Afficher: