Office
Se connecter

Stratégies des alertes dans le centre de conformité Office 365 sécurité

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Vous pouvez utiliser les outils de tableau de bord alerte et de règle d’alertes dans le Centre de sécurité et conformité Office 365 pour créer des stratégies d’alerte puis afficher les alertes qui sont générés lorsque les utilisateurs effectuent des activités qui correspondent aux conditions d’une stratégie d’alerte. Alerte empiler et d’étendre les fonctionnalités des alertes d’activité en vous permettant de classer la stratégie d’alerte, appliquer la stratégie à tous les utilisateurs de votre organisation, définir un niveau seuil de déclenche d’une alerte, des stratégies et décider de recevoir des courriers électroniques ou non notifications. Il existe également un affichage des alertes alertes de page dans Centre de sécurité et conformité dans laquelle vous pouvez afficher et filtrer, définir le statut d’un alert pour vous aider à gérer les alertes et ignorer puis alertes une fois que vous avez adressé ou résolus sous-jacent incidents. Nous avons également élargi le type d’événements que vous pouvez créer des alertes pour. Par exemple, vous pouvez créer des stratégies des alertes pour suivre les activités des logiciels malveillants et incidents de perte de données. Pour finir, nous avons également inclus un certain nombre de par défaut alerte stratégies pour vous aider à surveiller les privilèges d’administrateur affectation dans Exchange Online, attaques de programmes malveillants et inhabituels niveaux de suppressions de fichier et le partage externe.

Remarque : Stratégies d’alerte sont disponibles pour les organisations avec un Office 365 abonnement entreprise E1, E3 ou E5. Toutefois, certaines fonctionnalités avancées ne sont disponible pour les organisations avec un abonnement E5, ou pour les organisations qui ont un abonnement E1 ou E3 et un Office 365 menaces ou abonnement de module complémentaire Office 365 avancées de conformité. Les fonctionnalités qui requièrent un abonnement E5 ou le module complémentaire sont mise en évidence dans cette rubrique.

Contenu

Comment alerte stratégies travail

Paramètres de stratégie d’alerte

Stratégies des alertes par défaut

Affichage des alertes

Gestion des alertes

Comment alerte stratégies travail

Voici un bref aperçu de travail stratégies comment alerte et les alertes qui sont des déclencheurs lors de l’activité utilisateur ou administrateur répondent aux conditions d’une stratégie d’alerte.

Vue d’ensemble du travail de stratégies comment alerte
  1. Un administrateur de votre organisation crée, configure et Active une stratégie d’alerte à l’aide de la page stratégies des alertes dans la Centre de sécurité et conformité. Vous pouvez également créer des stratégies des alertes à l’aide de l’applet de commande New-ProtectionAlert dans PowerShell.

  2. Un utilisateur effectue une activité répondant aux conditions d’une stratégie d’alerte. Dans le cas d’attaques de programmes malveillants, les messages électroniques infectés envoyés aux utilisateurs de votre organisation peuvent déclencher une alerte.

  3. Office 365 génère une alerte qui s’affiche dans la page Afficher les alertes dans la Centre de sécurité et conformité. En outre, si les notifications par courrier électronique sont activées pour la stratégie d’alerte, Office 365 envoie une notification à une liste de destinataires.

  4. Un administrateur gère les alertes dans la Centre de sécurité et conformité. Gestion des alertes se compose de l’affectation d’un état d’alerte pour aider à effectuer le suivi et gérer une enquête.

Revenir au début

Paramètres de stratégie d’alerte

Une stratégie d’alerte est constitué d’un ensemble de règles et les conditions qui définissent l’utilisateur ou l’activité d’administration qui génère une alerte, une liste des utilisateurs qui se déclenche l’alerte si elles effectuent l’activité, et seuil qui définit la fréquence à laquelle l’activité doit avoir lieu avant un alerte n se déclenche. Classer la stratégie de vous attribuez un niveau de gravité. Ces deux paramètres vous aident à gérer les stratégies des alertes (et les alertes qui sont déclenchés lorsque les conditions de stratégie correspondent), car vous pouvez filtrer sur ces paramètres lors de la gestion des stratégies et affichage des alertes dans la Centre de sécurité et conformité. Par exemple, vous pouvez afficher les alertes répondant aux conditions de la même catégorie ou afficher les alertes avec le même niveau de gravité.

Pour afficher et créer des stratégies d’alerte, accédez aux alertes > stratégies des alertes dans la Centre de sécurité et conformité.

Dans la sécurité et Complinace centre, cliquez sur alertes, puis cliquez sur Stratégies des alertes pour afficher et créer des stratégies des alertes

Une stratégie d’alerte se compose des conditions et les paramètres suivants.

  • Suivi des activités l’alerte    Vous créez une stratégie pour effectuer le suivi d’une activité ou dans certains cas, quelques rubriques connexes, tels un partage d’un fichier avec un utilisateur externe en le partageant, attribution d’autorisations d’accès ou en créant un lien anonyme. Lorsqu’un utilisateur effectue les activités définies par la stratégie, une alerte est déclenchée en fonction des paramètres seuil d’alerte.

    Remarque : Les activités que vous pouvez suivre dépendent Office 365 abonnement entreprise de votre organisation. En règle générale, les activités liées aux campagnes de programmes malveillants et les attaques de phishing nécessitent un abonnement E5 ou abonnement E1 ou E3 avec un abonnement de module complémentaire menaces.

  • Conditions d’activité    Pour la plupart des activités, vous pouvez définir des conditions supplémentaires qui doivent être réunies pour une alerte pour être déclenchées. Conditions courantes incluent IP adresses (de sorte qu’une alerte est déclenchée lorsque l’utilisateur effectue l’activité sur un ordinateur avec une adresse IP spécifique ou à une plage d’adresses IP), si une alerte est déclenchée si un ou plusieurs utilisateurs spécifiques effectuer cette activité et si l’activité est exécutée sur un nom de fichier spécifique ou une URL. Vous pouvez également configurer une condition qui se déclenche une alerte lorsque l’activité est exécutée par les utilisateurs de votre organisation. Notez que les conditions disponibles dépendent de l’activité sélectionnée.

  • Lorsque l’alerte est déclenchée    Vous pouvez configurer un paramètre qui définit la fréquence à laquelle une activité peut se produire avant le déclenche d’une alerte. Cela permet de définir une stratégie pour générer une alerte chaque fois qu’une activité correspond à ces conditions de stratégie, lorsqu’un certain seuil est dépassé, ou lorsque l’alerte effectue le suivi de l’occurrence de l’activité devient inhabituels pour l’organisation.

    Configurer les alertes déclenchées comment, en fonction où l’activité se produit, un seuil ou une activité inhabituelle pour votre organisation

    Si vous sélectionnez le paramètre basé sur une activité inhabituelle, Office 365 établit une valeur de référence qui définit la fréquence normale pour l’activité sélectionnée ; Il faut jusqu'à sept jours pour établir cette référence, pendant laquelle les alertes ne peut pas être générées. Une fois le planning de référence est établie, une alerte sera déclenchée lorsque la fréquence de l’activité suivie par la stratégie d’alerte considérablement dépasse la valeur de référence. Pour les activités liées à l’audit (par exemple, les activités de fichier et de dossier), vous pouvez définir un planning de référence basée sur un seul utilisateur ou sur tous les utilisateurs de votre organisation ; pour les activités liées aux logiciels malveillants, vous pouvez définir un planning de référence basée sur une famille de logiciels malveillants unique, un seul destinataire ou tous les messages dans votre organisation.

    Remarque : La possibilité de configurer les stratégies d’alerte en fonction d’un seuil ou d’une activité inhabituelle requiert un abonnement E5 ou un abonnement E1 ou E3 avec un abonnement de composant additionnel menaces ou conformité avancées. Organisations avec un abonnement E3 et E1 ne peuvent créer une stratégie d’alerte où une alerte est déclenchée chaque fois qu’une activité a lieu.

  • Catégorie d’alerte    Pour aider à suivre et à gérer les alertes générées par une stratégie, vous pouvez affecter une des catégories suivantes à une stratégie.

    • Gouvernance des données

    • Protection contre la perte de données

    • Autorisations

    • Gestion des menaces

    • Autres

    Lorsqu’une activité se produit répondant aux conditions de la stratégie d’alerte, l’alerte est généré balisé par la catégorie définie dans ce paramètre. Cela permet d’effectuer le suivi et de gérer les alertes qui ont le même paramètre de catégorie dans la page Afficher les alertes dans la Centre de sécurité et conformité parce que vous pouvez trier et filtrer les alertes selon la catégorie.

  • Gravité d’alerte    Similaire à la catégorie d’alerte, vous affectez un attribut gravité (faible, moyenne ou grande ) à stratégies des alertes. Comme la catégorie d’alerte, lorsqu’une activité se produit répondant aux conditions de la stratégie d’alerte, l’alerte est généré balisé avec le même niveau de gravité est défini pour la stratégie d’alerte. Là encore, cela permet d’effectuer le suivi et de gérer les alertes qui ont le même paramètre gravité dans la page Afficher les alertes. Par exemple, vous pouvez filtrer la liste des alertes afin que seules les alertes gravité est élevé sont affichent.

    Conseil : Lorsque vous configurez une stratégie d’alerte, vous pouvez affecter une gravité aux activités pouvant entraîner de conséquences strictement négatives, telles que la détection de logiciels malveillants après leur livraison aux utilisateurs, l’affichage des données sensibles ou confidentielles, partage de données avec des utilisateurs externes, ou d’autres activités pouvant entraîner menaces de perte ou de sécurité des données. Cela peut vous aider à hiérarchiser les alertes et les actions à qu'entreprendre pour identifier et résoudre les causes sous-jacentes.

  • Notifications par courrier électronique    Vous pouvez configurer la stratégie afin que les notifications par courrier électronique sont envoyées (ou ne pas envoyer) à une liste des utilisateurs lorsqu’une alerte est déclenchée. Vous pouvez également définir une limite de notification quotidienne afin qu’une fois que le nombre maximal de notifications a été atteinte, aucun plus notifications ne sont envoyées pour l’alerte pendant ce jour. Dans supplémentaires pour les notifications, de messagerie que vous ou autres administrateurs peuvent afficher les alertes qui sont déclenchés par une stratégie dans la page Afficher les alertes. Pensez à activer les notifications par courrier électronique pour les stratégies des alertes d’une catégorie spécifique ou qui ont un paramètre de gravité plus élevé.

Revenir au début

Stratégies des alertes par défaut

Office 365 fournit des stratégies des alertes intégrés qui permettent d’identifier abuse d’autorisations d’administration Exchange, les activités des logiciels malveillants et les risques de gouvernance données. Dans la page stratégies des alertes, le nom de ces stratégies intégrées apparaissent en gras et le type de stratégie est défini comme système. Ces politiques sont activées par défaut. Désactiver ces politiques (ou vice versa sur), configurer une liste de destinataires à envoyer des notifications par courrier électronique à et définir une limite de notification quotidienne. Les autres paramètres de ces stratégies ne peuvent pas être modifiés.

Le tableau suivant répertorie et décrit les règles d’alerte par défaut disponibles et indique les Office 365 abonnement entreprise requis pour chacun d'entre eux. Notez que certaines stratégies des alertes par défaut sont disponibles si votre organisation dispose de l’abonnement de module complémentaire approprié outre un abonnement E1 ou E3.

Stratégie d’alerte par défaut

Description

Abonnement à Office 365 entreprise

Création d’une règle de transfert de/redirection   

Génère une alerte lorsqu’une personne de votre organisation crée une règle de boîte de réception de leur boîte aux lettres qui transfère ou redirige les messages vers un autre compte de messagerie. Cette stratégie suit uniquement les règles de boîte de réception sont créées à l’aide de Outlook Web App ou Exchange Online PowerShell. Cette stratégie a un paramètre de gravité faible. Pour plus d’informations à l’aide de règles de boîte de réception à transférer et rediriger les messages dans Outlook Web App, voir utiliser des règles dans Outlook Web App pour transférer automatiquement des messages vers un autre compte.

E1, E3 ou E5

Élévation de privilèges d’administrateur Exchange   

Génère une alerte lorsqu’une personne reçoit des autorisations d’administration dans votre organisation Exchange Online; par exemple, si un utilisateur est ajouté au groupe de rôles gestion de l’organisation dans Exchange Online. Cette stratégie a un paramètre de gravité faible.

E1, E3 ou E5

Les messages ont été retardées   

Génère une alerte quand Office 365 ne peut pas remettre les messages électroniques à votre organisation locale ou à un partenaire serveurs à l’aide d’un connecteur. Lorsque cela se produire, le message est en attente dans Office 365. Cette alerte se déclenche lorsqu’il y a 2 000 messages ou plus en file d’attente pour plus d’une heure. Cette stratégie a un paramètre de gravité élevé.

E1, E3 ou E5

Campagne de programmes malveillants détecté après remise   

Génère une alerte lorsqu’un inhabituelle grand nombre de messages contiennent des logiciels malveillants est remis aux boîtes aux lettres de votre organisation. Si cet événement se produit, Office 365 supprime les messages infectés Exchange Online boîtes aux lettres. Cette stratégie a un paramètre de gravité élevé.

E5 ou Office 365 abonnement de module complémentaire menaces

Campagne de logiciels malveillants détectés et bloqués   

Génère une alerte lorsqu’une personne a tenté d’envoyer un inhabituelle grand nombre de messages électroniques contenant un certain type de logiciels malveillants aux utilisateurs de votre organisation. Si cet événement se produit, les messages infectés sont bloqués par Office 365 et pas été remis aux boîtes aux lettres. Cette stratégie a un paramètre de gravité faible.

E5 ou Office 365 abonnement de module complémentaire menaces

Campagne de logiciels malveillants détectée dans SharePoint et OneDrive   

Génère une alerte lorsqu’un grand volume de logiciels malveillants ou virus sont détectées dans les fichiers situés dans des sites SharePoint ou OneDrive comptes dans votre organisation. Cette stratégie a un paramètre de gravité élevé.

E5 ou Office 365 abonnement de module complémentaire menaces

Activité du fichier d’utilisateur externe inhabituels   

Génère une alerte lorsqu’un généralement grand nombre d’activités est effectué sur des fichiers dans SharePoint ou OneDrive par les utilisateurs externes à votre organisation. Cela inclut les activités telles que l’accès aux fichiers, téléchargement de fichiers et suppression de fichiers. Cette stratégie a un paramètre de gravité élevé.

E5 ou Office 365 abonnement composant additionnel menaces ou conformité avancées

Volume inhabituels du partage de fichiers externes   

Génère une alerte lorsqu’un généralement grand nombre de fichiers dans SharePoint ou OneDrive est partagé avec des utilisateurs externes à votre organisation. Cette stratégie a un paramètre de gravité moyenne.

E5 ou Office 365 abonnement composant additionnel menaces ou conformité avancées

Volume inhabituel de suppression des fichiers   

Génère une alerte lorsqu’un inhabituelle grand nombre de fichiers est supprimé dans SharePoint ou OneDrive dans un court délai. Cette stratégie a un paramètre de gravité moyenne.

E5 ou Office 365 abonnement composant additionnel menaces ou conformité avancées

Augmentation inhabituelle de messagerie signalé comme hameçonnage   

Génère une alerte lorsqu’il y a une augmentation significative du nombre de personnes de votre organisation à l’aide de la macro complémentaire Message du rapport dans Outlook aux messages de rapport en tant que courrier hameçonnage. Cette stratégie a un paramètre de gravité élevé. Pour plus d’informations sur ce complément, voir utiliser le complément Message du rapport.

E5 ou Office 365 abonnement de module complémentaire menaces

Notez que l’activité inhabituelle contrôlée par certaines stratégies intégrées est basée sur la même procédure que le seuil d’alerte qui a déjà été décrite. Office 365 établit une valeur de référence qui définit la fréquence normale pour l’activité « habituelle ». Alertes sont alors déclenchées lors de la fréquence des activités suivies par la stratégie d’alerte intégrée considérablement dépasse la valeur de référence.

Revenir au début

Affichage des alertes

Lorsqu’une activité effectuée par les utilisateurs de votre organisation correspondent aux paramètres d’une stratégie d’alerte, une alerte est générée et affichée dans la page Afficher les alertes dans la Centre de sécurité et conformité. Selon les paramètres d’une stratégie d’alerte, une notification par courrier électronique est également envoyée à une liste d’utilisateurs spécifiés lorsqu’une alerte est déclenchée. Pour chaque alerte, le tableau de bord dans la page Afficher les alertes affiche le nom de la stratégie d’alerte correspondante, la catégorie et la gravité de l’alerte (défini dans la stratégie d’alerte) et le nombre de fois qu'une activité s’est produite qui a donné lieu dans l’alerte en cours généré ; Cette valeur est basée sur le paramètre de seuil de la stratégie d’alerte. Le tableau de bord affiche également l’état de chaque alerte. Consultez la section Gestion des alertes pour plus d’informations sur l’utilisation de la propriété status pour gérer les alertes.

Pour afficher les alertes, accédez aux alertes > Afficher les alertes dans la Centre de sécurité et conformité.

Dans la sécurité et Complinace centre, cliquez sur alertes, puis cliquez sur Afficher les alertes pour afficher les alertes

Vous pouvez utiliser les filtres suivants pour afficher un sous-ensemble de toutes les alertes dans la page Afficher les alertes.

  • État    Utilisez ce filtre pour afficher les alertes affectés un statut particulier ; l’état par défaut est actif. Vous ou autres administrateurs peuvent modifier la valeur de statut.

  • Stratégies    Utilisez ce filtre pour afficher les alertes qui correspondent à la configuration de stratégies alertes un ou plusieurs. Ou bien, vous pouvez simplement afficher toutes les alertes pour tous les stratégies des alertes.

  • Laps de temps    Utilisez ce filtre pour afficher les alertes qui ont été générés au sein d’une date spécifique et la plage horaire.

  • Gravité    Utilisez ce filtre pour afficher les alertes affectés une gravité spécifique.

  • Catégorie    Utilisez ce filtre pour afficher les alertes à partir d’une ou plusieurs catégories d’alerte.

Revenir au début

Gestion des alertes

Une fois les alertes ont été générés et affichés dans la page Afficher les alertes dans la Centre de sécurité et conformité, vous pouvez trier, étudier et les résoudre. Voici certaines tâches que vous pouvez effectuer pour gérer les alertes.

  • Affecter un statut aux alertes    Vous pouvez affecter un des statuts suivants aux alertes : Active (la valeur par défaut), Investigating, résolu ou Dismissed. Ensuite, vous pouvez filtrer ce paramètre pour afficher les alertes avec le même paramètre d’état. Ce paramètre de statut permettent de suivre le processus de gestion des alertes.

  • Afficher les détails d’alerte    Vous pouvez cliquer sur une alerte pour afficher une page volant avec des détails sur l’alerte. Les informations détaillées dépendant de la stratégie d’alerte correspondante, mais il comprend généralement les éléments suivants : nom de l’opération réelle qui a déclenché l’alerte (par exemple, une applet de commande), une description de l’activité qui a déclenché l’alerte, l’utilisateur (ou la liste des utilisateurs) qui a déclenché l’alerte, et le nom (et le lier) du correspondant avertit stratégie.

    • Le nom de l’opération réelle qui a déclenché l’alerte, par exemple une applet de commande ou une opération de journal d’audit.

    • Une description de l’activité qui a déclenché l’alerte.

    • L’utilisateur qui a déclenché l’alerte ; Il s’agit inclus uniquement pour les stratégies d’alerte qui sont configurés pour effectuer le suivi d’un utilisateur unique ou une seule activité.

    • Le nombre de fois l’activité suivie par l’alerte a été effectué. Notez que ce numéro peut correspond pas à ce nombre réel d’alertes connexes répertorié dans la page Afficher les alertes car des alertes supplémentaires ont été déclenchées.

    • Un lien vers une liste d’activités qui inclut un élément pour chaque activité qui a été exécutée qui a déclenché l’alerte. Chaque entrée de cette liste identifie lorsque l’activité s’est produite, le nom de l’opération réelle, (par exemple, « FileDeleted ») et l’utilisateur ayant effectué l’activité, l’objet (par exemple, un fichier, un cas eDiscovery ou une boîte aux lettres) l’activité a été réalisée sur et l’adresse IP adresse de l’ordinateur de l’utilisateur. Pour les programmes malveillants associées alertes, cette fournit des liens vers une liste de messages.

    • Nom (et lien vers) de la stratégie d’alerte correspondante.

  • Supprimer les notifications de messagerie    Vous pouvez désactiver (ou supprimer) les notifications par courrier électronique à partir de la page volant d’une alerte. Lorsque vous supprimez des notifications par courrier électronique, Office 365 ne sont pas envoyer de notifications lorsque les activités ou des événements qui remplissent les conditions de la stratégie d’alerte. Toutefois, des alertes continueront d’être déclencheur lorsque activités effectuées par les utilisateurs répondent aux conditions de la stratégie d’alerte. Vous pouvez également désactiver les notifications par courrier électronique en modifiant la stratégie d’alerte.

  • Résoudre les alertes    Vous pouvez marquer une alerte comme résolu dans la page volant d’une alerte (qui définit l’état de l’alerte à résolu ). Sauf si vous modifiez le filtre, alertes résolues ne sont pas affichées dans la page Afficher les alertes.

Revenir au début

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×