Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.
S’applique à
- Exchange Online Protection
- Microsoft Defender for Office 365 Plan 1 et Plan 2
- Microsoft Defender XDR
Cet article fournit des questions fréquentes et des réponses sur la protection contre les programmes malveillants pour les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online.
Pour accéder à des questions et des réponses sur la mise en quarantaine, voir FAQ sur la mise en quarantaine.
Pour les questions et réponses sur la protection anti-courrier indésirable, consultez FAQ sur la protection anti-courrier indésirable.
Pour des questions et des réponses sur la protection contre l’usurpation d’identité, consultez FAQ sur la protection contre l’usurpation d’identité.
Quelles sont les meilleures pratiques en matière de configuration et d’utilisation du service pour lutter contre les programmes malveillants ?
Consultez Paramètres de stratégie anti-programme malveillant EOP.
À quelle fréquence les définitions de logiciels malveillants sont-elles mises à jour ?
Chaque serveur vérifie la présence de nouvelles définitions de programmes malveillants provenant de nos partenaires de protection contre les programmes malveillants toutes les heures.
Combien de partenaires de protection contre les programmes malveillants avez-vous ? Puis-je choisir les moteurs de logiciels anti-programmes malveillants à utiliser ?
Nous avons des partenariats avec plusieurs fournisseurs de technologies anti-programme malveillant. Les messages sont analysés à l’aide des moteurs microsoft anti-programme malveillant, d’un moteur supplémentaire basé sur une signature et d’analyses de réputation d’URL et de fichier à partir de plusieurs sources. Nos partenaires sont susceptibles de changer, mais EOP utilise toujours la protection anti-programme malveillant de plusieurs partenaires. Vous ne pouvez pas choisir un moteur anti-programme malveillant plutôt qu’un autre.
À quel niveau la détection des programmes malveillants se produit-elle ?
Nous recherchons les programmes malveillants dans les messages envoyés ou envoyés à partir d’une boîte aux lettres (messages en transit). Pour Exchange Online boîtes aux lettres, nous avons également un vidage automatique zéro heure (ZAP) pour que les programmes malveillants analysent les messages qui ont déjà été remis. Si vous renvoyez un message à partir d’une boîte aux lettres, il est à nouveau analysé (car il est en transit).
Si je modifie une stratégie anti-programme malveillant, combien de temps après l’enregistrement de mes changements ces derniers prennent-ils effet ?
L’application des modifications peut prendre jusqu’à 1 heure.
Le service analyse-t-il des messages internes à la recherche de programmes malveillants ?
Pour les organisations disposant de boîtes aux lettres Exchange Online, le service recherche les programmes malveillants dans tous les messages entrants et sortants, y compris les messages envoyés entre les destinataires internes.
Un abonnement EOP autonome analyse les messages à mesure qu’ils entrent ou quittent l’e-mail local organization. Les messages envoyés entre les destinataires locaux internes ne sont pas analysés à la recherche de programmes malveillants. Toutefois, vous pouvez utiliser les fonctionnalités intégrées d’analyse anti-programme malveillant de Exchange Server. Pour plus d’informations, consultez Protection contre les programmes malveillants dans Exchange Server.
L'analyse heuristique est-elle activée pour tous les moteurs de logiciels anti-programme malveillant utilisés par le service ?
Oui. L’analyse heuristique recherche à la fois les logiciels malveillants connus (correspondance de signature) et inconnus (suspects).
Le service peut-il analyser les fichiers compressés (les fichiers .zip, par exemple) ?
Oui. Les moteurs anti-programme malveillant peuvent explorer les fichiers compressés (archive).
La prise en charge de l'analyse des pièces jointes compressées est-elle récursive (fichier .zip dans un fichier .zip dans un fichier .zip) et, le cas échéant, jusqu'à quel niveau ?
Oui, l’analyse récursive des fichiers compressés analyse de nombreuses couches en profondeur.
Le service fonctionne-t-il avec les versions Exchange héritées et les environnements non-Exchange ?
Oui, le service est indépendant du type de serveur.
Qu’est-ce qu’un virus zero-day et comment est-il géré par le service ?
Un virus zero-day est une variante de programme malveillant de première génération, précédemment inconnue, qui n’a jamais été capturée ou analysée.
Une fois qu’un échantillon de virus zero-day est capturé et analysé par nos moteurs anti-programme malveillant, une définition et une signature unique sont créées pour détecter le programme malveillant.
Lorsqu’une définition ou une signature existe pour le programme malveillant, il n’est plus considéré comme un jour zéro.
Comment puis-je configurer le service pour bloquer des fichiers exécutables spécifiques (tels que \*.exe) qui, je le crains, contiennent des programmes malveillants ?
Vous pouvez activer et configurer le filtre de pièces jointes courantes (également appelé blocage des pièces jointes courantes), comme décrit dans Filtre de pièces jointes courantes dans les stratégies anti-programme malveillant.
Vous pouvez également créer une règle de flux de messagerie Exchange (également appelée règle de transport) qui bloque toute pièce jointe d’e-mail contenant du contenu exécutable.
Suivez les étapes décrites dans Comment réduire les menaces de programmes malveillants via le blocage des pièces jointes dans Exchange Online Protection pour bloquer les types de fichiers répertoriés dans Types de fichiers pris en charge pour l’inspection du contenu des règles de flux de messagerie dans Exchange Online.
Pour une protection accrue, nous vous recommandons également d’utiliser la condition Toute extension de fichier joint inclut ces mots dans les règles de flux de messagerie pour bloquer tout ou partie des extensions suivantes : ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Pourquoi un programme malveillant spécifique a-t-il dépassé les filtres ?
Le programme malveillant que vous avez reçu est une nouvelle variante (consultez Qu’est-ce qu’un virus zero-day et comment est-il géré par le service ?). Le temps nécessaire à une mise à jour de la définition de programme malveillant dépend de nos partenaires anti-programme malveillant.
N’oubliez pas qu’aucun paramètre configurable par l’utilisateur ou l’administrateur ne peut exempter les pièces jointes des e-mails d’être analysés par la protection anti-programme malveillant.
Comment puis-je envoyer des programmes malveillants qui ont dépassé les filtres à Microsoft ? Par ailleurs, comment envoyer un fichier qui, selon moi, a été détecté de manière erronée comme un programme malveillant ?
J’ai reçu un e-mail avec une pièce jointe inconnue. S'agit-il d'un programme malveillant ou puis-je ignorer cette pièce jointe ?
Nous vous déconseillons vivement d’ouvrir les pièces jointes que vous ne reconnaissez pas. Si vous souhaitez que nous examinions la pièce jointe, signalez le fichier à Microsoft.
Où puis-je obtenir les messages qui ont été supprimés par les filtres de logiciels malveillants ?
Les messages contiennent du code malveillant actif et, par conséquent, nous n’autorisons pas l’accès à ces messages. Ils sont supprimés sans prétention.
Je ne parviens pas à recevoir une pièce jointe spécifique, car elle est faussement identifiée comme un programme malveillant. Puis-je autoriser cette pièce jointe via des règles de flux de messagerie ?
Non. Vous ne pouvez pas utiliser les règles de flux de messagerie Exchange pour ignorer le filtrage des programmes malveillants. La seule façon d’ignorer le filtrage des programmes malveillants pour un destinataire consiste à identifier la boîte aux lettres en tant que boîte aux lettres SecOps. Pour plus d’informations, consultez Utiliser le portail Microsoft Defender pour configurer des boîtes aux lettres SecOps dans la stratégie de remise avancée.
Puis-je obtenir des données de rapport sur les détections de programmes malveillants ?
Oui, vous pouvez accéder aux rapports dans le portail Microsoft Defender. Pour plus d’informations, consultez Afficher les rapports de sécurité des e-mails dans le portail Microsoft Defender.
Existe-t-il un outil permettant de suivre un message détecté comme programme malveillant à travers le service ?
Oui, l'outil de suivi des messages vous permet de suivre les messages électroniques quand ils sont acheminés via le service. Pour plus d’informations sur l’utilisation de l’outil de suivi des messages pour savoir pourquoi un message a été détecté comme contenant des programmes malveillants, voir Suivi des messages dans le centre d’administration Exchange moderne.
Puis-je utiliser un fournisseur anti-courrier indésirable et anti-programme malveillant tiers avec Exchange Online ?
Oui. Dans la plupart des cas, nous vous recommandons de pointer vos enregistrements MX vers (c’est-à-dire de remettre le courrier directement à) EOP. Si vous devez d’abord acheminer votre courrier électronique ailleurs, vous devez activer le filtrage amélioré pour les connecteurs afin qu’EOP puisse utiliser la véritable source de message dans les décisions de filtrage.
Le courrier indésirable et les messages malveillants font-ils l’objet d’une enquête pour savoir qui les a envoyés, ou sont-ils transférés à des services chargés de l’application de la loi ?
Le service se concentre sur la détection et la suppression du courrier indésirable et des programmes malveillants, bien que nous puissions parfois enquêter sur les campagnes de spam ou d’attaque particulièrement dangereuses ou nuisibles et poursuivre les auteurs.
Nous travaillons souvent avec nos unités juridiques et numériques pour prendre les mesures suivantes :
- Démontez un botnet de courrier indésirable.
- Empêcher un attaquant d’utiliser le service.
- Transmettez les informations aux forces de l’ordre pour des poursuites pénales.