Forum Aux Questions sur la protection anti-programme malveillant

Exchange Online
 

Sapplique à :Exchange Online, Exchange Online Protection

Dernière rubrique modifiée :2016-12-09

Cette section fournit des réponses aux questions fréquemment posées à propos de la protection contre les programmes malveillants. Les réponses sont applicables pour les clients Exchange Online et Exchange Online Protection.

Q. Quelles sont les meilleures pratiques en matière de configuration et d’utilisation du service pour lutter contre les programmes malveillants ?

R. Voir « Définition des options anti-programme malveillant » dans Meilleures pratiques de configuration d’EOP.

Q. À quelle fréquence les définitions de programmes malveillants sont-elles mises à jour ?

R. Chaque serveur vérifie la présence de nouvelles définitions de programmes malveillants provenant de nos partenaires de protection contre les programmes malveillants toutes les heures.

Q. Combien de partenaires de protection contre les programmes malveillants avez-vous ? Puis-je choisir les moteurs de logiciels anti-programmes malveillants à utiliser ?

R. Nous avons des partenariats avec différents fournisseurs de technologies anti-programme malveillant qui figurent parmi les meilleurs. Le nombre de nos partenaires est variable, mais tous nos clients sont automatiquement protégés en permanence par différents partenaires anti-programme malveillant. Les moteurs ne peuvent être choisis en aucune manière.

Q. À quel niveau la détection des programmes malveillants se produit-elle ?

R. La détection des programmes malveillants est appliquée aux messages envoyés à une boîte aux lettres ou reçus en provenance de celle-ci. La détection des programmes malveillants ne s'applique pas aux messages consultés à partir d'une boîte aux lettres, car ils ont déjà fait l'objet d'une détection. Si un message est renvoyé à partir d’une boîte aux lettres, il est de nouveau analysé.

Q. Si je modifie une stratégie anti-programme malveillant, combien de temps après l’enregistrement de mes changements ces derniers prennent-ils effet ?

R. Les changements devraient prendre effet au bout d’une heure maximum.

Q. Le service analyse-t-il des messages internes à la recherche de programmes malveillants ?

A. Pour les clients autonomes Exchange Online Protection, le service n’analyse que les messages entrants et sortants acheminés. Il n’analyse pas les messages dont l’expéditeur et le destinataire appartiennent à votre organisation. Cependant, afin de renforcer la protection, vous pouvez associer le service aux fonctions de protection intégrées d’Exchange Server 2013, qui analysent les messages internes à la recherche de programmes malveillants.

Pour les clients Exchange Online et détenant une licence d’accès client Exchange Enterprise avec Services, le service analyse les messages entrants et sortants acheminés, ainsi que les messages internes dont l’expéditeur et le destinataire appartiennent à votre organisation.

Q. L'analyse heuristique est-elle activée pour tous les moteurs de logiciels anti-programme malveillant utilisés par le service ?

Oui. Les moteurs de logiciels anti-programme malveillant peuvent ainsi vérifier la présence de programmes malveillants à la fois connus (correspondance de signatures) et inconnus (suspects).

Q. Le service peut-il analyser les fichiers compressés (les fichiers .zip, par exemple) ?

Oui. Les moteurs de logiciels anti-programme malveillant peuvent explorer les fichiers d'archive, ou compressés (tels que les fichiers .zip).

Q. La prise en charge de l'analyse des pièces jointes compressées est-elle récursive (fichier .zip dans un fichier .zip dans un fichier .zip) et, le cas échéant, jusqu'à quel niveau ?

Oui, l’analyse de fichiers compressés est récursive, et ce sur plusieurs couches.

Q. Le service fonctionne-t-il avec les versions héritées d’Exchange (comme Exchange Server 2010) et les environnements autres qu’Exchange  ?

R. Oui, le service est indépendant du type de serveur.

Q. Qu’est-ce qu’un virus « zero-day » et comment est-il géré par le service ?

R. Un virus « zero-day » est une variante de programme malveillant de première génération, auparavant inconnue, qui n’a jamais été capturée ni analysée. Par conséquent, nos moteurs anti-programmes malveillants ne possèdent pas encore les définitions nécessaires pour la détecter. Une fois qu’un exemple de virus « zero-day » est capturé et analysé par nos moteurs anti-programmes malveillants, une définition est créée pour le détecter en fonction de la signature unique du programme malveillant, et le virus n’est plus considéré comme « zero-day ».

Q. Comment puis-je configurer le service de manière à bloquer des fichiers exécutables spécifiques (tels que les fichiers *.exe) que je soupçonne de contenir un programme malveillant ?

R. Vous pouvez utiliser le filtre de types de pièces jointes courantes dans le CAE. Sélectionnez protection > filtres anti-programme malveillant. Vous pouvez créer une règle de flux de messagerie Exchange, également appelée règle de transport, qui bloque toute pièce jointe comportant un contenu exécutable. Suivez les étapes décrites dans l’article relatif à la réduction des menaces de logiciels malveillants via le blocage des pièces jointes dans Exchange Online Protection afin de bloquer les types de fichiers répertoriés dans la liste des types de fichiers exécutables pris en charge pour l’inspection de règle de transport dans Utiliser des règles de flux de messagerie pour analyser les pièces jointes des messages.

Pour renforcer la protection, nous vous recommandons également de bloquer tout ou partie des extensions suivantes à l’aide de règles de flux de messagerie, également appelées règles de transport : ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh. Pour ce faire, vous pouvez utiliser la condition Toute extension de fichier joint contient ces mots.

Q. Pourquoi ce programme malveillant est-il passé à travers les filtres ?

R. Vous pouvez recevoir un programme malveillant pour deux raisons.

La première, la plus probable, est que la pièce jointe reçue ne contient aucun code nuisible actif. Dans ce cas, certains moteurs de logiciels anti-programme malveillant exécutés sur les ordinateurs peuvent se montrer plus agressifs et interrompre les messages avec des charges utiles tronquées.

Seconde raison possible, le programme malveillant que vous avez reçu est une nouvelle variante et nos partenaires de protection anti-programme malveillant ne disposent pas encore du fichier modèle correspondant au service à déployer. Le temps nécessaire au lancement d'une mise à jour dépend des partenaires de protection anti-programme malveillant.

Q. Comment puis-je envoyer à Microsoft un programme malveillant ayant déjoué les filtres ? Par ailleurs, comment envoyer un fichier qui, selon moi, a été détecté de manière erronée comme un programme malveillant ?

R. Consultez la rubrique Soumission de programmes malveillants et non malveillants à Microsoft pour analyse.

Q. J'ai reçu un message contenant une pièce jointe inhabituelle pour moi. S'agit-il d'un programme malveillant ou puis-je ignorer cette pièce jointe ?

A. Nous vous conseillons vivement de ne pas ouvrir les pièces jointes que vous ne connaissez pas. Si vous souhaitez que nous analysions la pièce jointe, accédez au Centre de protection contre les programmes malveillants et envoyez-nous le programme potentiellement malveillant en procédant comme décrit plus haut.

Q. Où puis-je récupérer les messages qui ont été supprimés par les filtres anti-programme malveillant ?

R. Les messages contiennent du code nuisible et, de ce fait, nous ne vous autorisons pas à y accéder. Ils sont tout simplement supprimés.

Q. Je ne parviens pas à recevoir une pièce jointe, car elle a été détectée de manière erronée comme un programme malveillant par les filtres. Puis-je autoriser cette pièce jointe à l'aide des règles de transport ?

R. Non. Vous ne pouvez pas utiliser les règles de transport pour contourner les filtres anti-programme malveillant. Si vous souhaitez que cette pièce jointe contourne les filtres anti-programme malveillant, envoyez-la au destinataire souhaité en la plaçant dans un fichier .zip protégé par mot de passe. Tout fichier protégé par un mot de passe est contourné par le filtre anti-programme malveillant.

Q. Puis-je obtenir des données de rapport sur la détection de programmes maveillants ?

R. Oui, vous pouvez accéder à des rapports dans le centre d'administration Office 365 ou en téléchargeant un classeur de rapports Excel. Pour plus d'informations sur les rapports, consultez les liens suivants :

Clients Exchange Online : Analyse, création de rapports et suivi des messages dans Exchange Online

Clients Exchange Online Protection : Création de rapports et suivi des messages dans Exchange Online Protection

Q. Existe-t-il un outil permettant de suivre un message détecté comme programme malveillant à travers le service ?

Oui, l'outil de suivi des messages vous permet de suivre les messages électroniques quand ils sont acheminés via le service. Pour plus d'informations sur l'utilisation de l'outil de suivi des messages pour comprendre pourquoi un message a été détecté comme contenant un programme malveillant, consultez la rubrique Was a message detected to contain malware?

Q. Puis-je utiliser un fournisseur tiers de blocage de courrier indésirable et de programme malveillant en association avec Exchange Online ?

R. Oui, vous pouvez configurer un autre service de filtrage anti-courrier indésirable et anti-programme malveillant pour protéger vos boîtes aux lettres Exchange Online. Pour le courrier entrant, vous devez rediriger les messages électroniques vers le fournisseur tiers en modifiant vos enregistrements MX afin qu’ils pointent vers ce fournisseur, puis rediriger les messages vers EOP à des fins de traitement supplémentaire. Pour le courrier sortant, configurez la destination de remise de message au fournisseur tiers (hôte actif), comme indiqué dans la rubrique Scénario : Hébergement actif sortant - Cette rubrique n’est plus disponible.

Q. Le courrier indésirable et les messages malveillants font-ils l’objet d’une enquête pour savoir qui les a envoyés, ou sont-ils transférés à des services chargés de l’application de la loi ?

R. Le service se concentre sur la détection et la suppression du courrier indésirable et des programmes malveillants. Il nous arrive toutefois d’enquêter sur des campagnes de courrier indésirable ou d’attaque particulièrement dangereuses ou nuisibles, et de poursuivre leurs auteurs. Cela peut impliquer une collaboration avec nos unités criminalité numérique et juridique afin de retrouver le réseau zombie de l’expéditeur du courrier indésirable, d’empêcher celui-ci d’utiliser le service (s’il l’utilise pour envoyer des messages sortants) et de transmettre les informations à la justice en vue de poursuites pénales.

 
Afficher: