Les informations de Global Blocklist (Liste de blocage globale) au sujet des menaces par courriel sont enrichies de manière ouverte pour vous aider à empêcher les pourriels et les courriels malveillants d’atteindre les boîtes de réception de vos utilisateurs. L’équipe du Laboratoire de recherche sur les menaces de KnowBe4 compile les entrées de Global Blocklist à partir de l’ensemble des listes de blocage PhishER Blocklists et d’autres sources. Ces entrées contiennent les informations que votre serveur de messagerie utilisera pour filtrer les courriels indésirables.

La fonctionnalité Global Blocklist est disponible uniquement pour les comptes PhishER Plus. Une fois la fonctionnalité activée et connectée à votre serveur de messagerie Microsoft 365, KnowBe4 connecte votre serveur de messagerie à Global Blocklist. Lorsque l’équipe du Laboratoire de recherche sur les menaces de KnowBe4 met à jour Global Blocklist, les entrées de la liste de blocage de votre serveur de messagerie sont mises à jour automatiquement.

Pour plus d’informations sur PhishER Blocklist (Liste de blocage PhishER), consultez notre article Comment utiliser PhishER Blocklist.

Activer et autoriser Global Blocklist

Avant d’utiliser Global Blocklist, vous devez l’activer dans votre plateforme PhishER. Vous devez également autoriser Global Blocklist en attribuant le rôle Administrateur Exchange à l’application Global Blocklist dans votre compte Microsoft 365 avec Microsoft Entra ID

Pour activer et autoriser Global Blocklist, suivez les étapes ci-dessous :

1. Dans votre plateforme PhishER, accédez à Settings (Paramètres) > Blocklist (Liste de blocage).
2. Si aucun serveur de messagerie Microsoft 365 n’est connecté à votre liste de blocage, cliquez sur Connect to Microsoft 365 (Se connecter à Microsoft 365) et ajoutez une connexion.
   Remarque :Si vous avez déjà activé PhishER Blocklist et activé votre serveur de messagerie Microsoft 365, vous pouvez passer cette étape et aller directement à l’étape 6.
3. Activez le commutateur situé à côté de Global Blocklist Disabled (Global Blocklist désactivée).
4. Dans la fenêtre contextuelle Terms and Conditions (Modalités), lisez et acceptez la politique de confidentialité et les conditions d’utilisation. Après avoir lu ces deux textes, cliquez sur I Accept (J’accepte).
5. Cliquez sur Save (Enregistrer) pour enregistrer les paramètres de Global Blocklist.
6. Dans votre portail Microsoft Entra ID, assignez le rôle Administrateur Exchange à l’application Global Blocklist. Pour plus d’informations, consultez notre article Assigner le rôle Administrateur Exchange à l’application PhishER Blocklist.

Surveiller les entrées de Global Blocklist

Une fois Global Blocklist activée et autorisée, votre organisation aura accès aux entrées de la liste de blocage gérées par l’équipe du Laboratoire de recherche sur les menaces de KnowBe4. Vous pouvez voir la liste complète des entrées Global Blocklist en accédant à Blocklist (Liste de blocage) > Your Syncing Entries (Vos entrées de synchronisation), puis en sélectionnant Global Entries (Entrées globales) dans les options du filtre Filter by Entry Type (Filtrer par type d’entrée).

Si vous avez activé Global Blocklist et PhishER Blocklist pour votre organisation, le sous-onglet Your Syncing Entries (Vos entrées de synchronisation) affichera les entrées de PhishER Blocklist ainsi que les entrées de Global Blocklist qui sont synchronisées avec votre serveur de messagerie. Les entrées sont affichées selon leur valeur. Pour plus d’informations au sujet de ce sous-onglet, consultez la capture d’écran et la liste ci-dessous.

1. Filter by Attribute (Filtrer par attribut) : Vous pouvez utiliser ces filtres pour afficher les entrées qui ont un type d’attribut en particulier.
   Remarque :PhishER Blocklist permet un maximum de 500 entrées par attribut Sender (Expéditeur), URL et File Hash (Hachage de fichier).
2. Filter by Status (Filtrer par statut) : Vous pouvez utiliser ces filtres pour afficher les entrées qui ont un statut particulier.
3. Filter by Entry Type (Filtrer par type d’entrée) : Vous pouvez utiliser ces filtres pour n’afficher que les entrées de Global Blocklist ou les entrées personnalisées de PhishER Blocklist.
4. Value (Valeur) : Cette colonne affiche la valeur de l’entrée. Les différentes valeurs peuvent être l’adresse d’un expéditeur, une URL ou un hachage de fichier. Votre serveur de messagerie utilisera cette valeur pour filtrer les courriels qui ont cette valeur. Pour plus d’informations au sujet du filtrage des courriels, consultez la liste ci-dessous :
   • URL or File Hash (URL ou hachage de fichier) : Si un courriel contient une URL ou un hachage de fichier qui correspond à une entrée, votre serveur de messagerie déplace automatiquement le courriel dans le dossier de quarantaine.
   • Sender (Expéditeur) : Si un courriel contient une valeur d’expéditeur qui correspond à celle d’une entrée, le serveur de messagerie déplace automatiquement le courriel dans le dossier de courrier indésirable.
   Conseil :Vous pouvez également cliquer sur une valeur dans la colonne pour voir la page Blocklist Audit Log (Journal d’audit de la liste de blocage). Pour plus d’informations, lisez la section Réviser le journal d’audit du présent article.
5. Statut : Cette colonne affiche le statut de l’entrée de la liste de blocage. Pour plus d’informations au sujet des statuts, consultez la liste ci-dessous :
   • Pending (En attente) : Ce statut indique que l’entrée est en cours de traitement pour être ajoutée ou supprimée de la liste de blocage.
   • Active : Ce statut indique que cette entrée a été ajoutée à la liste de blocage et qu’elle a été synchronisée avec le serveur de messagerie connecté.
   • Incomplete (Non terminée) : Ce statut indique que cette entrée a été ajoutée à la liste de blocage et qu’elle a été synchronisée avec au moins un serveur de messagerie connecté, mais pas avec tous.
   • Failed (A échoué) : Ce statut indique que l’entrée n’a été ni ajoutée ni synchronisée. Si plusieurs serveurs de messagerie sont connectés à votre liste de blocage et que la synchronisation d’une entrée échoue avec l’ensemble des serveurs, le statut de l’entrée indique Failed (A échoué).
6. Created by (Créée par) : Cette colonne identifie le créateur de l’entrée. La mention Admin (Administrateur) signale que l’entrée de PhishER Blocklist a été créée par un administrateur PhishER. La mention KnowBe4 signale que l’entrée de Global Blocklist a été créée par l’équipe du Laboratoire de recherche sur les menaces de KnowBe4.
7. Created On (Créée le) : Cette colonne affiche la date et l’heure de l’ajout de l’entrée à la Global Blocklist.
8. Expires On (Expire le) : Cette colonne affiche la date et l’heure auxquelles l’entrée sera supprimée de la Global Blocklist et de la liste verte/de blocage des locataires de Microsoft 365.
   Remarque :Les entrées existantes de votre liste verte/de blocage des locataires de Microsoft 365 peuvent prendre 24 heures avant d’être synchronisées avec la Global Blocklist.
9. Actions : Vous pouvez cliquer sur l’icône de la poubelle qui apparaît dans cette colonne pour ouvrir la fenêtre contextuelle Delete Blocklist Entry (Supprimer une entrée de la liste de blocage). De là, vous pouvez supprimer l’entrée souhaitée de votre PhishER Blocklist. Ou alors, vous pouvez supprimer et ignorer une entrée de façon à ce qu’elle n’apparaisse pas dans PhishER Blocklist. Pour en savoir plus sur les entrées à ignorer, consultez la sous-section Ignorer des entrées ci-dessous.

Ignorer des entrées

Si vous souhaitez éviter que certaines entrées ne soient bloquées sur vos serveurs de messagerie, ajoutez-les à vos entrées à ignorer. Les entrées à ignorer ne peuvent être ajoutées à votre PhishER Blocklist.

Lorsque vous ignorez une entrée, toute entrée correspondante de PhishER Blocklist est mise en attente pour indiquer qu’elle sera supprimée. Vous ne pouvez pas créer une entrée correspondante sur votre liste de blocage à moins que l’entrée à ignorer ne soit supprimée dans le sous-onglet Your Ignored Entries (Vos entrées à ignorer).

Pour ignorer une entrée d’une liste de blocage existante, suivez les étapes ci-dessous :

1. Connectez-vous à votre plateforme PhishER.
2. Accédez à Blocklist (Liste de blocage) > Your Syncing Entries (Vos entrées de synchronisation).
3. Localisez l’entrée que vous souhaitez ignorer.
4. Cliquez sur l’icône de poubelle dans la colonne Actions de cette entrée. La fenêtre contextuelle Delete Blocklist Entry (Supprimer une entrée de la liste de blocage) s’ouvre.
5. Dans le fenêtre contextuelle, cliquez sur Delete and Ignore (Supprimer et ignorer). L’entrée à ignorer sera ajoutée au sous-onglet Your Ignored Entries (Vos entrées à ignorer). Elle sera marquée comme étant en attente dans la liste de blocage, pour indiquer qu’elle sera supprimée.

Pour créer une entrée à ignorer à partir du sous-onglet Your Ignored Entries (Vos entrées à ignorer), suivez les étapes ci-dessous.

1. Connectez-vous à votre plateforme PhishER.
2. Accédez à Blocklist (Liste de blocage) > Your Ignored Entries (Vos entrées à ignorer).
3. Cliquez sur le bouton Create Ignored Entry (Créer une entrée à ignorer) situé dans le coin supérieur droit de la page. La fenêtre contextuelle Create Ignored Entry (Créer une entrée à ignorer) s’ouvre.
4. Dans la fenêtre contextuelle, créez votre entrée à ignorer. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.
   • Attribute (Attribut) : Sélectionnez le type d’attribut que vous souhaitez utiliser pour votre entrée à ignorer.
   • Sender (Expéditeur) : Sélectionnez cette option pour utiliser l’adresse courriel de l’expéditeur ou son domaine comme valeur. Par exemple, la valeur peut être une adresse courriel complète comme « nomdutilisateur@domaine.com » ou un nom de domaine comme « domaine.com ».
   • URL : Sélectionnez cette option pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, la valeur peut être « www.nomdusite.com/pagedusite » ou « www.nomdusite.com ».
   • File Hash (Hachage de fichier) : Sélectionnez cette option pour utiliser un hachage de fichier SHA-256 comme valeur.
   • Value (Valeur) : Dans ce champ, entrez la valeur spécifique que votre serveur de messagerie ne doit pas bloquer. Par exemple, si vous sélectionnez Sender (Expéditeur) pour le champ Attribute (Attribut), vous devez entrer l’adresse courriel de l’expéditeur dans ce champ.
5. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à votre liste d’entrées à ignorer.

Vous pouvez suivre l’ensemble de vos entrées à ignorer à partir du sous-onglet Your Ignored Entries (Vos entrées à ignorer). Pour plus d’informations au sujet de ce sous-onglet, consultez la capture d’écran et la liste ci-dessous.

1. Search... (Rechercher) : Vous pouvez utiliser ce champ pour filtrer les entrées à ignorer à l’aide de requêtes Lucene.
   Remarque :Il vous faudra utiliser des caractères de remplacement pour rechercher des entrées ayant des valeurs similaires. Lancez par exemple une recherche avec la syntaxe « *yahoo.com » pour trouver toutes les valeurs qui contiennent « yahoo.com ». Pour plus d’informations, consultez notre article Comment utiliser la syntaxe de requête Lucene.
2. Filter by Attribute (Filtrer par attribut) : Vous pouvez utiliser ces filtres pour afficher les entrées qui ont un type d’attribut en particulier.
3. Value (Valeur) : Cette colonne affiche la valeur de l’entrée.
4. Created On (Créée le) : Cette colonne affiche la date et l’heure de l’ajout de l’entrée à ignorer.
5. Actions : Vous pouvez cliquer sur l’icône de la poubelle pour supprimer une entrée à ignorer. Si vous supprimez une entrée à ignorer, vous pouvez utiliser la valeur de cette entrée pour créer une nouvelle entrée dans PhishER Blocklist.

Revoir le journal d’audit

Dans votre plateforme PhishER, accédez à Blocklist (Liste de bocage) > Audit Log (Journal d’audit) pour consulter votre journal d’audit. Le journal d’audit recense l’activité associée à PhishER Blocklist et à Global Blocklist, notamment le moment où les entrées ont été créées, supprimées et synchronisées avec les serveurs de messagerie.

Pour plus d’informations au sujet de ce sous-onglet, consultez la capture d’écran et la liste ci-dessous.

1. Timestamp (Horodatage) : Cette colonne affiche la date et l’heure auxquelles l’action de la colonne Event Action (Action de l’événement) a été effectuée.
2. Event Type (Type d’événement) : Cette colonne affiche le type d’action effectuée. Pour plus d’informations au sujet des types d’événement, consultez la liste ci-dessous :
   • Entry Updated (Entrée mise à jour) : Ce type d’événement indique qu’une entrée a été créée ou supprimée.
   • Entry Synced (Entrée synchronisée) : Ce type d’événement indique qu’une entrée a été synchronisée avec PhishER Blocklist.
   • Blocklist Synced (Liste de blocage synchronisée) : Ce type d’événement indique que toutes les entrées ont été synchronisées pour tous les serveurs de messagerie connectés.
3. Value (Valeur) : Cette colonne affiche la valeur de l’entrée concernée.
4. Updated By (Mise à jour effectuée par) : Cette colonne affiche la source de l’action. En cas de mise à jour, elle indique l’adresse de courriel de l’utilisateur qui est à l’origine de cette modification. En cas de synchronisation d’une entrée individuelle ou des listes de blocage, la colonne indique l’ID ou le nom du serveur de messagerie. Si l’action a été réalisée par le système, la colonne reste vide.
5. Event Action (Action d’événement) : Cette colonne indique quelle action a été réalisée sur une entrée ou sur la liste de blocage. Created (Créée) indique qu’une entrée a été créée. Synced (Synchronisée) indique soit qu’une entrée a été créée, soit qu’une entrée ou la liste de blocage a été synchronisée avec les serveurs de messagerie connectés. Deleted (Supprimée) indique qu’une entrée a été supprimée.
6. Statut : Cette colonne indique si l’action a réussi ou a échoué.