Utilisation des liste de blocage

Partager

C’est article est-il utile?

Dernière mise à jour :

Guide de PhishER Blocklist

La fonctionnalité PhishER Blocklist (Liste de blocage PhishER) aide votre serveur de messagerie à empêcher les courriels malveillants et les pourriels d’atteindre la boîte de réception de vos utilisateurs. Lors de la révision des courriels signalés par les utilisateurs, vous pouvez mettre à jour votre liste de blocage pour envoyer les informations sur les menaces ou les pourriels à votre serveur de messagerie Microsoft 365.

Une fois la liste de blocage activée et connectée à votre serveur de messagerie, vous pouvez créer et gérer les entrées de votre liste de blocage. Chaque entrée contient les informations que votre serveur de messagerie utilisera pour filtrer les futurs messages. Par exemple, si vous créez une entrée pour une adresse courriel malveillante, votre serveur de messagerie déplacera automatiquement les futurs courriels provenant de cette adresse courriel dans le dossier de courrier indésirable des utilisateurs.

Pour en apprendre davantage au sujet de PhishER Blocklist, consultez les sections ci-dessous.

Activer et autoriser PhishER Blocklist

Avant de pouvoir créer des entrées, vous devez activer PhishER Blocklist. Vous devez également autoriser la liste de blocage en attribuant le rôle Administrateur Exchange à l’application PhishER Blocklist dans votre compte Microsoft 365 avec Microsoft Entra ID.

Remarque :Afin d’activer PhishER Blocklist, votre organisation doit disposer d’une instance active de Microsoft 365 reliée au domaine de votre organisation. Pour plus d’informations sur la manière de connecter un serveur de messagerie, consultez notre article Paramètres PhishER : intégrations.

Pour activer et autoriser la liste de blocage, suivez les étapes ci-dessous :

  1. Dans votre console PhishER, accédez à Settings (Paramètres) > Blocklist (Liste de blocage).
  2. Si aucun serveur de messagerie Microsoft 365 n’est connecté à votre liste de blocage, cliquez sur Connect to Microsoft 365 (Se connecter à Microsoft 365) et ajoutez une connexion.
  3. Activez le commutateur situé dans le haut de la page à côté de Disabled (Désactivé), puis cliquez sur Save (Enregistrer).
  4. Dans votre portail Microsoft Entra ID, assignez le rôle d’administrateur à l’application PhishER Blocklist.

    Remarque :Pour plus d’informations sur l’activation de la liste de blocage, consultez la section Liste de blocage de notre article Paramètres PhishER : intégrations. Pour plus d’informations sur l’assignation du rôle, consultez notre article Assigner le rôle Administrateur Exchange à l’application PhishER Blocklist.

Créer des entrées dans PhishER Blocklist

Sous l’onglet Blocklist (Liste de blocage) ou dans la page Message Details (Détails du message), vous pouvez créer des entrées à ajouter à votre liste de blocage. Si vous avez activé PhishML, vous pouvez utiliser les PhishML tags (étiquettes PhishML) pour vous aider à prioriser les messages contenant des valeurs que vous souhaitez ajouter à la liste de blocage.

Remarque :Vous ne pouvez pas modifier les entrées après les avoir créées, mais vous pouvez les supprimer si nécessaire.

Pour apprendre comment créer des entrées dans l’onglet Blocklist (Liste de blocage) ou dans la page Message Details (Détails du message), consultez les sous-sections ci-dessous.

Créer des entrées à partir de l’onglet Blocklist (Liste de blocage)

Pour créer une nouvelle entrée à partir de l’onglet Blocklist, suivez les étapes ci-dessous.

  1. Connectez-vous à votre console PhishER.
  2. Accédez à Blocklist (Liste de blocage) > Your Syncing Entries (Vos entrées de synchronisation).
  3. Cliquez sur le bouton Create Blocklist Entry (Créer une entrée dans la liste de blocage) situé dans le coin supérieur droit de la page. La fenêtre contextuelle Create Blocklist Entry (Créer une entrée dans la liste de blocage) s’ouvre.
  4. Dans le fenêtre contextuelle, remplissez les champs pour créer votre entrée. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.
    1. Attribute (Attribut) : Sélectionnez l’attribut que vous souhaitez utiliser pour votre entrée. Cet attribut correspond au type d’information que votre serveur de messagerie devra filtrer. Sélectionnez l’option Expéditeur pour utiliser l’adresse courriel ou le domaine d’un expéditeur comme valeur. Par exemple, la valeur peut être une adresse courriel complète comme « nomdutilisateur@domaine.com » ou un nom de domaine comme « domaine.com ». Sélectionnez l’option URL pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, la valeur peut être « www.nomdusite.com/pagedusite » ou « www.nomdusite.com ». Sélectionnez l’option Hachage de fichier pour utiliser un hachage de fichier SHA-256 comme valeur.
    2. Value (Valeur) : Dans ce champ, entrez l’information spécifique nécessaire pour que le serveur de messagerie filtre un message. Par exemple, si vous sélectionnez Sender (Expéditeur) pour le champ Attribute (Attribut), vous devez entrer l’adresse courriel de l’expéditeur dans ce champ.
    3. Durée : À partir de ce menu déroulant, sélectionnez la durée pour laquelle vous souhaitez que l’entrée reste sur votre liste de blocage. Les entrées seront automatiquement supprimées de votre liste de blocage après cette durée. Par défaut, une durée de 30 jours est sélectionnée, ce qui correspond à la durée par défaut de la Liste verte / de blocage des locataires de Microsoft.
      Remarque :Lorsque le paramètre Allow Blocklist entries without an expiration date (Autoriser les entrées de la liste de blocage sans date d’expiration) est activé dans le sous-onglet Preferences (Préférences) de vos paramètres PhishER, l’option Never Expire (N’expire jamais) est alors disponible.
      Les cybercriminels peuvent modifier leurs méthodes d’attaque rapidement. Il est donc essentiel de maintenir votre liste de blocage à jour. Définir une durée vous permet de mettre à jour votre liste de blocage en fonction des informations provenant des messages signalés récemment par vos utilisateurs.
  5. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à votre liste de blocage.

Après avoir créé l’entrée, vous pouvez surveiller le statut de votre entrée et divers autres détails. Pour plus d’informations, consultez la section Surveiller les entrées de votre liste de blocage du présent article.

Créer des entrées à partir de la page des détails du message

Pour créer une nouvelle entrée à partir de la page Message Details (Détails du message), suivez les étapes ci-dessous.

  1. Connectez-vous à votre console PhishER.
  2. Accédez à l’onglet Inbox (Boîte de réception).
  3. Cliquez sur un message et ouvrez la page Message Details (Détails du message).
  4. Cliquez sur l’icône d’interdiction rouge située à côté d’un attribut. La fenêtre contextuelle Create Blocklist Entry (Créer une entrée dans la liste de blocage) s’ouvre.
  5. Dans le fenêtre contextuelle, remplissez les champs pour créer votre entrée. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.
    1. Attribute (Attribut) : Sélectionnez l’attribut que vous souhaitez utiliser pour votre entrée. Cet attribut correspond au type d’information que votre serveur de messagerie devra filtrer. Sélectionnez l’option Expéditeur pour utiliser l’adresse courriel ou le domaine de l’expéditeur comme valeur. Par exemple, la valeur peut être une adresse courriel complète comme « nomdutilisateur@domaine.com » ou un nom de domaine comme « domaine.com ». Sélectionnez l’option URL pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, la valeur peut être « www.nomdusite.com/pagedusite » ou « www.nomdusite.com ». Sélectionnez l’option Hachage de fichier pour utiliser un hachage de fichier SHA-256 comme valeur.
    2. Value (Valeur) : Dans ce champ, entrez l’information spécifique nécessaire pour que le serveur de messagerie filtre un message. Par exemple, si vous sélectionnez Sender (Expéditeur) pour le champ Attribute (Attribut), vous devez entrer l’adresse courriel de l’expéditeur dans ce champ.
    3. Durée : À partir de ce menu déroulant, sélectionnez la durée pour laquelle vous souhaitez que l’entrée reste sur votre liste de blocage. Les entrées seront automatiquement supprimées de votre liste de blocage après cette durée. Par défaut, une durée de 30 jours est sélectionnée, ce qui correspond à la durée par défaut de la Liste verte / de blocage des locataires de Microsoft.
      Remarque :Lorsque le paramètre Allow Blocklist entries without an expiration date (Autoriser les entrées de la liste de blocage sans date d’expiration) est activé dans le sous-onglet Preferences (Préférences) de vos paramètres PhishER, l’option Never Expire (N’expire jamais) est alors disponible.
      Les cybercriminels peuvent modifier leurs méthodes d’attaque rapidement. Il est donc essentiel de maintenir votre liste de blocage à jour. Définir une durée vous permet de mettre à jour votre liste de blocage en fonction des informations provenant des messages signalés récemment par vos utilisateurs.
  6. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à votre liste de blocage.

Après avoir créé l’entrée, vous pouvez surveiller le statut de votre entrée et divers autres détails. Pour plus d’informations, consultez la section Surveiller les entrées de votre liste de blocage du présent article.

Surveiller les entrées de PhishER Blocklist

Vous pouvez suivre les entrées de votre liste de blocage à partir du sous-onglet Your Syncing Entries (Vos entrées de synchronisation). Les entrées sont affichées selon leur valeur.

Une fois les entrées créées, elles s’afficheront dans le sous-onglet Your Syncing Entries (Vos entrées de synchronisation) de l’onglet Blocklist (Liste de blocage). Vous pouvez aussi supprimer des entrées et afficher le statut de la synchronisation de chaque entrée sur l’ensemble de vos serveurs de messagerie.

Pour plus d’informations au sujet de ce sous-onglet, consultez la capture d’écran et la liste ci-dessous.

  1. Filter by Attribute (Filtrer par attribut) : Vous pouvez utiliser ces filtres pour afficher les entrées qui ont un attribut particulier.
    Remarque :PhishER Blocklist permet un maximum de 500 entrées par attribut Sender (Expéditeur), URL et File Hash (Hachage de fichier).
  2. Filter by Status (Filtrer par statut) : Vous pouvez utiliser ces filtres pour afficher les entrées qui ont un statut particulier.
  3. Filter by Entry Type (Filtrer par type d’entrée) : Si vous avez activé Global Blocklist, vous pouvez utiliser ces filtres pour afficher les entrées de Global Blocklist ou les entrées personnalisées de votre PhishER Blocklist uniquement.
  4. Value (Valeur) : Cette colonne affiche la valeur de l’entrée. Les différentes valeurs peuvent être l’adresse d’un expéditeur, une URL ou un hachage de fichier. Votre serveur de messagerie utilisera cette valeur pour filtrer les courriels qui ont cette valeur. Pour plus d’informations au sujet du filtrage des courriels, consultez la liste ci-dessous :
    • URL or File Hash (URL ou hachage de fichier) : Si un courriel contient une URL ou un hachage de fichier qui correspond à une entrée, votre serveur de messagerie déplace automatiquement le courriel dans le dossier de quarantaine.
    • Sender (Expéditeur) : Si un courriel contient une valeur d’expéditeur qui correspond à une entrée, le serveur de messagerie déplace automatiquement le courriel dans le dossier de courrier indésirable.
    Conseil :Vous pouvez également cliquer sur une valeur dans la colonne pour voir la page Blocklist Audit Log (Journal d’audit de la liste de blocage). Pour plus d’informations, lisez la section Réviser le journal d’audit du présent article.
  5. Statut : Cette colonne indique le statut de l’entrée. Pour plus d’informations au sujet des statuts, consultez la liste ci-dessous :
    • Pending (En attente) : Ce statut indique que l’entrée est en cours de traitement pour être ajoutée ou supprimée de la liste de blocage.
    • Active : Ce statut indique que cette entrée a été ajoutée à la liste de blocage et qu’elle a été synchronisée avec le serveur de messagerie connecté.
    • Incomplete (Non terminée) : Ce statut indique que cette entrée a été ajoutée à la liste de blocage et qu’elle a été synchronisée avec au moins un serveur de messagerie connecté, mais pas avec tous.
    • Failed (A échoué) : Ce statut indique que l’entrée n’a été ni ajoutée ni synchronisée. Si plusieurs serveurs de messagerie sont connectés à votre liste de blocage et que la synchronisation d’une entrée avec l’ensemble des serveurs échoue, le statut de l’entrée indiquera Failed (A échoué).
  6. Created by (Créée par) : Cette colonne identifie le créateur de l’entrée. La mention Admin (Administrateur) signale que l’entrée de PhishER Blocklist a été créée par un administrateur PhishER. La mention KnowBe4 signale que l’entrée de Global Blocklist a été créée par l’équipe du Laboratoire de recherche sur les menaces de KnowBe4.
  7. Created On (Créée le) : Cette colonne affiche la date et l’heure de l’ajout de l’entrée à la liste de blocage.
  8. Expires On (Expire le) : Cette colonne indique la date et l’heure prévue pour le retrait automatique de l’entrée de la liste de blocage.
    Remarque :PhishER Blocklist se synchronise avec votre serveur de messagerie Microsoft 365 toutes les 10 minutes. Lors de cette synchronisation, les entrées en attente sur votre Liste verte / de blocage des locataires de Microsoft 365 sont ajoutées au sous-onglet Your Syncing Entries (Vos entrées de synchronisation) de votre console PhishER. Les entrées existantes de votre liste verte/de blocage des locataires peuvent prendre 24 heures avant d’être synchronisées avec PhishER Blocklist. Dans la colonne Expires On (Expire le), une entrée qui a été synchronisée affiche la date et l’heure à laquelle l’entrée sera supprimée des deux listes de blocage. Si vos entrées de la liste verte/de blocage des locataires ou celles de PhishER Blocklist n’ont pas de date d’expiration, la colonne Expires On (Expire le) indiquera Never Expires (N’expire jamais).
  9. Actions : Vous pouvez cliquer sur l’icône de la poubelle qui apparaît dans cette colonne pour ouvrir la fenêtre contextuelle Delete Blocklist Entry (Supprimer une entrée de la liste de blocage). De là, vous pouvez supprimer l’entrée souhaitée de votre PhishER Blocklist. Ou alors, vous pouvez supprimer et ignorer une entrée de façon à ce qu’elle n’apparaisse pas dans PhishER Blocklist. Pour en savoir plus sur les entrées à ignorer, consultez la sous-section Ignorer des entrées ci-dessous.

Ignorer des entrées

Si vous souhaitez éviter que certaines entrées ne soient bloquées sur vos serveurs de messagerie, ajoutez-les à vos entrées à ignorer. Les entrées à ignorer ne peuvent être ajoutées à votre PhishER Blocklist. Le domaine de votre organisation est automatiquement ignoré et ne peut être ajouté manuellement à vos entrées à ignorer.

Lorsque vous ignorez une entrée, toute entrée correspondante dans PhishER Blocklist est mise en attente pour indiquer qu’elle sera supprimée. Vous ne pouvez pas créer une entrée correspondante sur votre liste de blocage à moins que l’entrée à ignorer ne soit supprimée dans le sous-onglet Your Ignored Entries (Vos entrées à ignorer).

Remarque :Si vous disposez d’un abonnement PhishER Plus et que vous activez la fonctionnalité Global Blocklist, vous pouvez également ignorer les entrées de Global Blocklist. Pour plus d’informations, consultez notre article Comment utiliser Global Blocklist.

Pour ignorer une entrée d’une liste de blocage existante, suivez les étapes ci-dessous :

  1. Connectez-vous à votre console PhishER.
  2. Accédez à Blocklist (Liste de blocage) > Your Syncing Entries (Vos entrées de synchronisation).
  3. Localisez l’entrée que vous souhaitez ignorer.
  4. Cliquez sur l’icône de poubelle dans la colonne Actions de cette entrée. La fenêtre contextuelle Delete Blocklist Entry (Supprimer une entrée de la liste de blocage) s’ouvre.
  5. Dans le fenêtre contextuelle, cliquez sur Delete and Ignore (Supprimer et ignorer). L’entrée à ignorer sera ajoutée au sous-onglet Your Ignored Entries (Vos entrées à ignorer). Elle sera marquée comme étant en attente dans la liste de blocage, pour indiquer qu’elle sera supprimée.

Pour créer une entrée à ignorer à partir du sous-onglet Your Ignored Entries (Vos entrées à ignorer), suivez les étapes ci-dessous.

  1. Connectez-vous à votre console PhishER.
  2. Accédez à Blocklist (Liste de blocage) > Your Ignored Entries (Vos entrées à ignorer).
  3. Cliquez sur le bouton Create Ignored Entry (Créer une entrée à ignorer) situé dans le coin supérieur droit de la page. La fenêtre contextuelle Create Ignored Entry (Créer une entrée à ignorer) s’ouvre.
  4. Dans la fenêtre contextuelle, créez votre entrée à ignorer. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.
    1. Attribute (Attribut) : Sélectionnez le type d’attribut que vous souhaitez utiliser pour votre entrée à ignorer. Sélectionnez l’option Expéditeur pour utiliser l’adresse courriel ou le domaine de l’expéditeur comme valeur. Par exemple, la valeur peut être une adresse courriel complète comme « nomdutilisateur@domaine.com » ou un nom de domaine comme « domaine.com ». Sélectionnez l’option URL pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, la valeur peut être « www.nomdusite.com/pagedusite » ou « www.nomdusite.com ». Sélectionnez l’option Hachage de fichier pour utiliser un hachage de fichier SHA-256 comme valeur.
    2. Value (Valeur) : Dans ce champ, entrez la valeur spécifique que votre serveur de messagerie ne doit pas bloquer. Par exemple, si vous sélectionnez Sender (Expéditeur) pour le champ Attribute (Attribut), vous devez entrer l’adresse courriel de l’expéditeur dans ce champ.
  5. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à votre liste d’entrées à ignorer.

Vous pouvez suivre l’ensemble de vos entrées à ignorer à partir du sous-onglet Your Ignored Entries (Vos entrées à ignorer). Pour plus d’informations au sujet de ce sous-onglet, consultez la capture d’écran et la liste ci-dessous.

  1. Search... (Rechercher) : Vous pouvez utiliser ce champ pour filtrer les entrées à ignorer à l’aide de requêtes Lucene.

    Remarque :Il vous faudra utiliser des caractères de remplacement pour rechercher des entrées ayant des valeurs similaires. Lancez par exemple une recherche avec la syntaxe « *yahoo.com » pour trouver toutes les valeurs qui contiennent « yahoo.com ». Pour plus d’informations, consultez notre article Comment utiliser la syntaxe de requête Lucene.
  2. Filter by Attribute (Filtrer par attribut) : Vous pouvez utiliser ces filtres pour afficher les entrées qui ont un type d’attribut en particulier.
  3. Value (Valeur) : Cette colonne affiche la valeur de l’entrée.
  4. Created On (Créée le) : Cette colonne affiche la date et l’heure de l’ajout de l’entrée à ignorer.
  5. Actions : Vous pouvez cliquer sur l’icône de la poubelle pour supprimer une entrée à ignorer. Si vous supprimez une entrée à ignorer, vous pouvez utiliser la valeur de cette entrée pour créer une nouvelle entrée dans PhishER Blocklist.

Revoir le journal d’audit

Dans votre console PhishER, accédez à Blocklist (Liste de bocage) > sous-onglet Audit Log (Journal d’audit) pour consulter votre journal d’audit. Le journal d’audit recense l’activité associée à PhishER Blocklist et à Global Blocklist, notamment le moment où les entrées ont été créées, supprimées et synchronisées avec les serveurs de messagerie.

Pour plus d’informations au sujet de ce sous-onglet, consultez la capture d’écran et la liste ci-dessous.

  1. Timestamp (Horodatage) : Cette colonne affiche la date et l’heure auxquelles l’action de la colonne Event Action (Action de l’événement) a été effectuée.
  2. Event Type (Type d’événement) : Cette colonne affiche le type d’action effectuée. Pour plus d’informations au sujet des types d’événement, consultez la liste ci-dessous :
    • Entry Updated (Entrée mise à jour) : Indique qu’une entrée a été créée ou supprimée.
    • Entry Synced (Entrée synchronisée) : Indique qu’une entrée a été synchronisée dans PhishER Blocklist.
    • Blocklist Synced (Liste de blocage synchronisée) : Indique que toutes les entrées ont été synchronisées pour tous les serveurs de messagerie connectés.
  3. Value (Valeur) : Cette colonne affiche la valeur de l’entrée concernée.
  4. Updated By (Mise à jour effectuée par) : Cette colonne affiche la source de l’action. En cas de mise à jour, elle indique l’adresse de courriel de l’utilisateur qui est à l’origine de cette modification. En cas de synchronisation d’une entrée individuelle ou de la liste de blocage, elle indique l’ID ou le nom du serveur de messagerie. Si l’action a été réalisée par le système, la ligne reste vide.
  5. Event Action (Action d’événement) : Cette colonne indique quelle action a été réalisée sur une entrée particulière ou sur la liste de blocage. Created (Créée) indique qu’une entrée a été créée. Synced (Synchronisée) indique soit qu’une entrée a été créée, soit qu’une entrée ou la liste de blocage a été synchronisée avec les serveurs de messagerie connectés. Deleted (Supprimée) indique qu’une entrée a été supprimée.
  6. Statut : Cette colonne indique si l’action a réussi ou a échoué.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 5 sur 7

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance