Microsoft Defender : Tirer le meilleur parti pour les politiques d’Office 365
Dans cet article, j’examinerai les différents composants de Defender pour Office 365. Nous verrons aussi la configuration au-delà des paramètres par défaut pour améliorer la pertinence et l’impact des politiques sur votre tenant. Je soulignerai les aspects majeurs à examiner lors d’une modification de la configuration et les raisons d’envisager chaque option.
*Consultez la documentation sur la disponibilité des fonctionnalités dans le cadre de votre abonnement actuel.
Où dois-je commencer ?
Les options configurables de Defender pour Office 365 sont si nombreuses qu’il peut être difficile de savoir par où commencer. Pour vous aider à y voir plus clair, je vais donc les répartir dans les grandes sections suivantes :
- Anti-Phishing
- Anti-Spam
- Anti-Malware
- Liens et pièces jointes sécurisés
Je vais supposer que Configuration Analyzer a appliqué les recommandations standard de Microsoft.
Anti-Phishing
Par défaut Microsoft n’utilise pas les informations pertinentes (utilisateurs et domaines) dans les politiques anti-hameçonnage. Examinons certains paramètres utiles pour améliorer cette situation.
Politique anti-hameçonnage : Permettre aux utilisateurs et aux domaines de se protéger avec la protection contre l’usurpation d’identité
Le whaling est une pratique dans laquelle l’attaquant effectue une attaque de phishing très ciblée. Ainsi, l’attaquant prend l’identité d’une personne de haut niveau, comme le PDG ou le directeur financier d’une organisation. La tentative de phishing a ainsi l’avantage de sembler urgente, ce qui incite le destinataire à l’accepter telle quelle. Par exemple, un email semblant provenir du DF et demandant d’effectuer en urgence un paiement peut inciter les destinataires à agir avant d’en examiner la validité.
Grâce au paramètre « Utilisateurs et domaines à protéger », vous pouvez spécifier les utilisateurs et les domaines à protéger. Si vous protégez l’utilisateur Bruce.Wayne@contoso.com, un e-mail provenant de l’adresse Bruce.Wayne@fabrikam.com aura une probabilité accrue de passer en faux positif.
Il est important de noter que cela ne spécifie pas qui se voit attribuer la politique, cela se fait dans les affectations de politique ordinaires.
De même, si vous protégez le domaine « contoso.com », les emails provenant d’un domaine tel que « contosoo.com » auront une probabilité accrue de passer en faux positifs. Cette méthode peut évidemment poser des problèmes si elle est s’étend à tous les contacts – internes et externes. Cependant elle peut constituer un moyen très efficace de protéger des utilisateurs importants tels que le PDG d’une organisation partenaire. Les paramètres par défaut dans Configuration Analyzer protégeront les domaines acceptés. Mais il convient d’ajouter tout domaine critique de partenaire ou de fournisseur.
Une fois que la protection contre l’usurpation d’identité est active pour ces utilisateurs et domaines, vous pouvez définir l’action à entreprendre dans la section actions, comme le montre la figure 2 :
Politique Anti-Phishing : Activer la protection contre l’usurpation d’identité par Mailbox Intelligence
Mailbox Intelligence dans Defender pour Office 365 utilise l’apprentissage automatique pour rassembler des informations sur les utilisateurs. Cela crée une « carte d’expéditeur » pour l’utilisateur. Defender utilise ensuite ces informations pour éclairer les décisions prises sur les tentatives d’usurpation potentielles en utilisant les données recueillies. Mailbox Intelligence est active par défaut ; cependant, l’option permettant d’exploiter Mailbox Intelligence pour la protection contre l’usurpation d’identité n’est pas active.
Ce paramètre étend la fonctionnalité Mailbox Intelligence aux emails protégés par la protection contre l’usurpation d’identité. Cela améliore la fiabilité des résultats. Par exemple, Bruce.Wayne@contoso.com est un utilisateur protégé et un utilisateur de notre organisation communique fréquemment avec Bruce.Wayne@fabrikam.com. Mailbox Intelligence recueillera ces informations et influencera la confiance de ce scénario. Cela réduira la probabilité que l’expéditeur légitime passe en faux positif.
Remarque : Pour que Mailbox Intelligence fonctionne, les boîtes aux lettres des destinataires doivent être dans Exchange Online.
Politique anti-hameçonnage : Conseils de sécurité pour le premier contact
Les conseils de sécurité de premier contact sont un ajout relativement nouveau à Defender pour Office 365. Pour le moment, ils ne semblent pas être présent dans Configuration Analyzer. Lorsqu’il est actif, ce paramètre informe l’utilisateur lorsqu’il reçoit un courrier provenant d’une adresse inconnue avec l’astuce illustrée ci-dessous. Ceci est particulièrement utile pour aider les utilisateurs à rester vigilants :
Je pense que ce paramètre deviendra un jour standard par défaut. Mais il vaut la peine de l’activer manuellement en attendant pour aider les utilisateurs à détecter d’éventuelles tentatives de phishing. Ce paramètre est disponible dans la section « Actions » de la politique anti-hameçonnage.
Politique anti-hameçonnage : Seuil d’hameçonnage
Les suspicions de tentatives de phishing se voient attribuer un indice de confiance par Defender. Ce niveau de confiance peut être » faible « , » moyen « , » élevé » ou » très élevé « . Les messages subissent ensuite un traitement différent en fonction du niveau de confiance attribué.
Par défaut, le seuil de phishing est fixé à 2 (agressif). Ainsi toutes les tentatives marquées comme « élevées » ou « très élevées » activeront le filtre anti-spam. Tandis que « faible » et « moyen » ne déclencheront pas le filtre.
La valeur définie ici dépend fortement de l’organisation, du secteur et du risque associé. Il s’agit d’un élément à surveiller et à ajuster si nécessaire.
Si malgré tout, vous continuez à recevoir des tentatives de phishing, ce seuil peut être utile pour renforcer les protections. De même, si vous obtenez trop de faux positifs, il peut être utile d’envisager un seuil plus bas. Ce paramètre doit également prendre en compte les actions assignées dans les paramètres Anti-spam Phishing et High Confidence Phishing.
Microsoft Defender : Anti-Spam
Dans la politique Anti-Spam, la section « Propriétés du Spam » contient la configuration du filtre anti-spam avancé (ASF). Vous remarquerez qu’elle n’est pas configurée par l’analyseur de configuration. En effet, les paramètres ASF faisant partie des politiques Anti-Spam sont en train d’être dépréciés. La recommandation actuelle est de ne pas les utiliser dans les nouvelles configurations à l’avenir.
Microsoft Defender : Anti-Malware
Les politiques anti-malware traitent du contenu malveillant des fichiers et des e-mails. Il n’y a pas un grand nombre d’options configurables dans les paramètres anti-malware. Mais il y a quelques paramètres que vous voudrez examiner et qui ne sont pas couverts par défaut.
Politique anti-malware : Filtre des pièces jointes communes
Il existe une poignée de types de pièces jointes bloquées par le filtre, couvrant les extensions les plus couramment bloquées. Donc sauf exception, la plupart des extensions répertoriées dans le filtre commun des pièces jointes peuvent être bloquées.
Cela couvre un grand nombre de types de fichiers indésirables. Je vous recommande d’examiner la liste fournie par Microsoft et d’utiliser une » liste blanche » pour choisir des expéditeurs de confiance.
Politique anti-malware : Configurer les notifications
Plusieurs notifications peuvent être configurées pour la politique anti-malware afin d’informer les différentes parties. Je ne recommande pas de notifier un expéditeur externe lorsque quelque chose est bloqué. En effet vous exposez potentiellement des informations sur votre configuration inutilement.
Notifier les expéditeurs internes lors de la mise en quarantaine d’élements est une bonne pratique. Mais la configuration la plus importante est de notifier les admins lorsque des emails contiennent des malwares. La configuration des options :
- « Notifier un administrateur des messages non distribués provenant d’expéditeurs internes » et
- « Notifier un administrateur des messages non distribués provenant d’expéditeurs externes »
pour transmettre les rapports à une boîte aux lettres de sécurité surveillée permettra aux administrateurs de suivre le blocage des logiciels malveillants avec une notification similaire à celle illustrée ci-dessous :
Microsoft Defender : Liens et pièces jointes sécurisés
S’il n’y a aucune politique de pièces jointes sécurisées, les pièces jointes sécurisées n’apparaîtront pas dans Configuration Analyzer. Cela peut donner l’impression que tout est parfaitement conforme alors que ce n’est peut-être pas le cas. La création des politiques initiales les fera entrer dans le champ d’application de l’analyseur. Lorsque les paramètres par défaut sont en place et apparaissent dans l’analyseur de configuration, il y a quelques autres paramètres à surveiller.
Paramètre global de sécurité des pièces jointes
Dans les « Paramètres généraux » de la fonction Pièces jointes sécurisées, vous pouvez activer la fonction pour SharePoint, OneDrive et Teams. Ce paramètre peut étendre les protections appliquées à Exchange, Teams ou SharePoint. Ceci est particulièrement utile lorsque des utilisateurs externes interagissent.
Avec ce paramètre en place, les fichiers téléchargés vers SharePoint mais détectés comme malveillants par Safe Attachments seront verrouillés. Et les utilisateurs ne pourront pas interagir avec le fichier. Par défaut, le téléchargement du fichier est toujours possible. Cependant nous pouvons le désactiver en exécutant la commande suivante dans le Management Shell de SharePoint Online :
1 | Set-SPOTenant -DisallowInfectedFileDownload $true |
Paramètres globaux des pièces jointes sécurisées
La fonction Documents sécurisés pour les clients Office permet d’appliquer une analyse Microsoft Defender for Endpoint avant d’ouvrir un fichier. Malheureusement, les documents sécurisés nécessitent une licence complète Microsoft 365 E5.
Lorsque cette fonction est active, les fichiers qui s’ouvrent en « Vue protégée » sont analysés avant ouverture. Si le fichier est détecté comme étant malveillant, l’utilisateur ne verra pas l’option « Activer la modification ». Il verra un message similaire à celui-ci :
Il y a l’option « Autoriser les gens à cliquer à travers la vue protégée même si Safe Documents a identifié le fichier comme malveillant ». Mais je vous recommande de ne jamais activer cette option en dehors des tests.
Politique de sécurité des pièces jointes : Activer la livraison dynamique pour les environnements non hybrides
Si toutes les BAL ne sont pas sur Exchange Online, Safe Attachments peut bloquer les emails contenant des logiciels malveillants. Les deux options peuvent retarder le flux de courrier pour permettre à Defender d’examiner les pièces jointes.
Dans un environnement où toutes les boîtes aux lettres sont dans Exchange Online, la livraison dynamique peut être active. En définitive, ce paramètre permet de distribuer le courrier immédiatement, sans les pièces jointes. Les pièces jointes sont ensuite numérisées et intégrées au courrier, après la distribution par Defender. Cela permet au processus d’analyse d’avoir un impact minimal sur la productivité des utilisateurs finaux.
Politique de sécurité des pièces jointes
Il arrive parfois que l’analyse ne puisse pas s’effectuer sur un fichier particulier en raison d’un cryptage par exemple. Aussi, je recommande d’activer l’option « Appliquer la réponse de détection des pièces jointes sécurisées si l’analyse ne peut pas s’effectuer ». Si bien que cela permet de s’assurer que ces erreurs ne permettent pas aux pièces jointes non analysées d’atteindre les utilisateurs finaux.
Conclusion
Les paramètres par défaut constituent un moyen fantastique de configurer rapidement Defender pour Office 365. Mais elles ne vous mènent pas jusqu’au bout. En définitive, il y a encore des éléments à examiner et à adapter à votre organisation. Les éléments que j’ai énumérés ici ne sont qu’un sous-ensemble de ce qui est disponible. Combinés aux paramètres par défaut, ils vous aideront à faire passer votre mise en œuvre de Defender au niveau supérieur.
Filtrage des spams avec les règles de flux d’emails d’Exchange