La Global Blocklist utilise des informations sur les menaces par e-mail collectées de façon participative afin d’empêcher les courriers indésirables ou malveillants d’atteindre les boîtes de réception de vos utilisateurs. L’équipe du Laboratoire de recherche des menaces de KnowBe4 compile les données de toutes les PhishER Blocklists et de différentes sources pour établir les entrées de la Global Blocklist. Ces entrées contiennent des informations que votre serveur de messagerie utilise pour filtrer le courrier indésirable.

La fonctionnalité Global Blocklist est disponible uniquement pour les comptes bénéficiant de PhishER Plus. Une fois cette fonctionnalité activée et connectée à votre serveur de messagerie Microsoft 365, KnowBe4 connectera votre serveur de messagerie à la Global Blocklist. Lorsque l’équipe du Laboratoire de recherche des menaces de KnowBe4 met à jour la Global Blocklist, les entrées de la liste de blocage de votre serveur de messagerie sont automatiquement mises à jour.

Pour plus d’informations sur la PhishER Blocklist, consultez notre article Comment utiliser PhishER Blocklist.

Activer et autoriser la Global Blocklist

Vous devez activer la Global Blocklist dans votre plateforme PhishER afin de pouvoir utiliser cette fonctionnalité. Vous devez également autoriser la Global Blocklist en attribuant le rôle Administrateur Exchange à l’application Global Blocklist dans votre compte Microsoft 365 à l’aide de Microsoft Entra ID.

Pour activer et autoriser la Global Blocklist, procédez comme suit :

1. Depuis votre plateforme PhishER, accédez à la page Settings (Paramètres) > Blocklist.
2. Si aucun serveur de messagerie Microsoft 365 n’est connecté à votre liste de blocage, cliquez sur Connect to Microsoft 365 (Connecter à Microsoft 365) et ajoutez une connexion.
   Remarque : vous pouvez ignorer cette étape ainsi que l’étape 6 si vous avez déjà activé PhishER Blocklist et connecté votre serveur de messagerie Microsoft 365.
3. Activez le commutateur situé en regard de Global Blocklist Disabled (Global Blocklist désactivée).
4. La fenêtre contextuelle Terms and Conditions (Conditions générales) s’ouvre alors. Lisez et acceptez le détail des conditions dans Privacy Policy (Politique de confidentialité) et Terms of Service (Conditions générales d’utilisation). Une fois que vous avez passé en revue ces deux éléments, cliquez sur I Accept (J’accepte).
5. Cliquez sur Save (Enregistrer) pour sauvegarder les paramètres de votre Global Blocklist.
6. Dans votre portail Microsoft Entra ID, attribuez le rôle d’administrateur Exchange à l’application Global Blocklist. Pour en savoir plus, consultez notre article Assigner le rôle d’administrateur Exchange à l’application Global Blocklist.

Surveiller les entrées de la Global Blocklist

Une fois que vous avez activé et autorisé la Global Blocklist, votre organisation accédera aux entrées de la liste de blocage gérées par l’équipe du Laboratoire de recherche des menaces de KnowBe4. Pour consulter la liste complète des entrées de la Global Blocklist, accédez à Blocklist > Your Syncing Entries (Vos entrées en cours de synchronisation) et en sélectionnant Global Entries (Entrées globales) dans les options Filter by Entry Type (Filtrer par type d’entrée).

Si vous avez activé la Global Blocklist et la PhishER Blocklist pour votre organisation, le sous-onglet Your Syncing Entries (Vos entrées en cours de synchronisation) affichera vos entrées PhishER Blocklist et les entrées de la Global Blocklist synchronisées avec votre serveur de messagerie. Les entrées sont classées par valeur. Pour plus d’informations sur ce sous-onglet, consultez la capture d’écran et la liste ci-dessous :

1. Filter by Attribute (Filtrer par attribut) : vous pouvez utiliser ces filtres pour consulter les entrées ayant un type d’attribut spécifique.
   Remarque : la PhishER Blocklist peut comporter 500 entrées au maximum par Expéditeur, URL et Hachage de fichier.
2. Filter by Status (Filtrer par statut) : vous pouvez utiliser ces filtres pour consulter les entrées ayant un statut spécifique.
3. Filter by Entry Type (Filtrer par type d’entrée) : vous pouvez utiliser ces filtres pour consulter uniquement les entrées de la Global Blocklist ou les entrées personnalisées de votre PhishER Blocklist.
4. Value (Valeur) : cette colonne affiche la valeur de l’entrée. Il peut s’agir d’une adresse de l’expéditeur, d’une URL ou d’un hachage de fichier. Votre serveur de messagerie filtrera les e-mails contenant cette même valeur. Pour en savoir plus sur la manière dont les e-mails sont filtrés, consultez la liste ci-dessous :
   • URL ou hachage de fichier : si un e-mail contient une valeur d’URL ou de hachage de fichier qui correspond à une entrée, le serveur de messagerie déplace automatiquement l’e-mail dans le dossier Quarantine (Quarantaine).
   • Sender (Expéditeur) : si un e-mail contient une valeur d’expéditeur qui correspond à une entrée, le serveur de messagerie déplace automatiquement l’e-mail dans le dossier Junk (Courrier indésirable).
   Conseil : vous pouvez également cliquer sur une valeur dans la colonne pour afficher la page Blocklist Audit Log (Journal d’audit de la blocklist). Pour en savoir plus, lisez la section Examiner le journal d’audit de cet article.
5. Status (Statut) : cette colonne affiche le statut de l’entrée de la liste de blocage. Consultez la liste ci-dessous pour en savoir plus sur les statuts :
   • Pending (En attente) : ce statut indique que l’entrée est en cours d’ajout ou de suppression de la liste de blocage.
   • Active (Actif) : ce statut indique que l’entrée a été ajoutée à la liste de blocage et synchronisée avec le serveur de messagerie connecté.
   • Incomplete (Inachevé) : ce statut indique qu’une entrée a été ajoutée et synchronisée avec un ou plusieurs des serveurs de messagerie connectés, mais pas avec l’ensemble d’entre eux.
   • Failed (Échec) : ce statut indique que l’entrée n’a pas été ajoutée et synchronisée. Si plusieurs serveurs de messagerie sont connectés à votre liste de blocage et qu’une entrée n’est pas synchronisée avec chacun d’entre eux, l’entrée comportera la mention Failed (Échec).
6. Created By (Créée par) : cette colonne indique qui a créé l’entrée. La mention Admin signifie qu’un administrateur PhishER a créé l’entrée dans votre PhishER Blocklist. La mention KnowBe4 signifie que le Laboratoire de recherche des menaces de KnowBe4 a créé l’entrée pour la Global Blocklist.
7. Created On (Créée le) : cette colonne affiche la date et l’heure auxquelles l’entrée a été ajoutée à la Global Blocklist.
8. Expires On (Expire le) : cette colonne affiche la date et l’heure auxquelles l’entrée sera supprimée de la Global Blocklist et de votre liste Microsoft 365 des locataires autorisés/bloqués.
   Remarque : la synchronisation des entrées figurant dans votre liste Microsoft 365 des locataires autorisés/bloqués avec la Global Blocklist peut prendre jusqu’à 24 heures.
9. Actions : vous pouvez cliquer sur l’icône en forme de corbeille de cette colonne pour ouvrir la fenêtre contextuelle Delete Blocklist Entry (Supprimer l’entrée de la liste de blocage). Vous pouvez alors supprimer une entrée de votre PhishER Blocklist. Vous pouvez également supprimer et ignorer une entrée pour l’empêcher d’être ajoutée à votre PhishER Blocklist. Pour en savoir plus sur les entrées ignorées, consultez la section Ignorer des entrées ci-après.

Ignorer des entrées

Si vous souhaitez éviter que des entrées ne soient bloquées sur vos serveurs de messagerie, vous pouvez les ajouter à vos entrées ignorées. Les entrées ignorées ne peuvent pas être ajoutées à votre PhishER Blocklist.

Lorsque vous ignorez une entrée, toutes les entrées correspondantes de votre PhishER Blocklist sont marquées comme étant en attente pour indiquer qu’elles seront supprimées. Vous ne pouvez pas créer d’entrée correspondante dans votre liste de blocage à moins de supprimer l’entrée ignorée dans le sous-onglet Your Ignored Entries (Vos entrées ignorées).

Pour ignorer une entrée figurant dans la liste de blocage, procédez comme suit :

1. Connectez-vous à votre plateforme PhishER.
2. Accédez à Blocklist > Your Syncing Entries (Vos entrées en cours de synchronisation).
3. Trouvez l’entrée que vous souhaitez ignorer.
4. Cliquez sur l’icône en forme de corbeille correspondant à cette entrée dans la colonne Actions. La fenêtre contextuelle Delete Blocklist Entry (Supprimer une entrée Blocklist) s’ouvre alors.
5. Dans cette fenêtre contextuelle, cliquez sur Delete and Ignore (Supprimer et ignorer). Une entrée ignorée sera ajoutée dans le sous-onglet Your Ignored Entries (Vos entrées ignorées) et l’entrée de la liste de blocage sera marquée comme étant en attente pour indiquer sa prochaine suppression.

Pour créer une entrée ignorée dans le sous-onglet Your Ignored Entries (Vos entrées ignorées), procédez comme suit :

1. Connectez-vous à votre plateforme PhishER.
2. Accédez à Blocklist > Your Ignored Entries (Vos entrées ignorées).
3. Cliquez sur le bouton Create Ignored Entry (Créer une entrée ignorée) dans l’angle supérieur droit de la page. La fenêtre contextuelle Create Ignored Entry (Créer une entrée ignorée) s’ouvre alors.
4. Créez votre entrée ignorée dans la fenêtre contextuelle. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous :
   • Attribute (Attribut) : sélectionnez le type d’attribut que vous souhaitez utiliser pour votre entrée ignorée.
   • Sender (Expéditeur) : sélectionnez cette option pour utiliser l’adresse e-mail ou le domaine d’un expéditeur comme valeur. Par exemple, vous pouvez saisir une adresse e-mail entière telle que « nom_utilisateur@domaine.com » ou un nom de domaine tel que « domaine.com » comme Value (Valeur).
   • URL : sélectionnez cette option pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, vous pouvez saisir « www.nomdusite.com/pagedusite » ou « www.nomdusite.com » comme Value (Valeur).
   • File Hash (Hachage de fichier) : sélectionnez cette option pour utiliser un hachage de fichier SHA-256 comme valeur.
   • Valeur : saisissez dans ce champ la valeur spécifique qui ne doit pas être bloquée sur votre serveur de messagerie. Par exemple, si vous sélectionnez Sender (Expéditeur) dans le champ Attribute (Attribut), saisissez l’adresse e-mail de l’expéditeur dans ce champ.
5. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à vos entrées ignorées.

Vous pouvez surveiller les entrées ignorées depuis le sous-onglet Your Ignored Entries (Vos entrées ignorées). Pour plus d’informations sur ce sous-onglet, consultez la capture d’écran et la liste ci-dessous :

1. Search… (Rechercher) : vous pouvez utiliser ce champ pour filtrer les entrées ignorées à l’aide de requêtes Lucene.
   Remarque : pour chercher des entrées avec une valeur similaire, vous devez utiliser des caractères génériques. Par exemple, vous pouvez rechercher « *yahoo.com » pour trouver toutes les valeurs contenant « *yahoo.com ». Pour en savoir plus, consultez notre article Comment utiliser la syntaxe des requêtes Lucene.
2. Filter by Attribute (Filtrer par attribut) : vous pouvez utiliser ces filtres pour consulter les entrées ayant un type d’attribut spécifique.
3. Value (Valeur) : cette colonne affiche la valeur de l’entrée.
4. Created On (Créée le) : cette colonne affiche la date et l’heure auxquelles l’entrée ignorée a été ajoutée.
5. Actions : vous pouvez cliquer sur l’icône en forme de corbeille de cette colonne pour supprimer une entrée ignorée. Si vous supprimez une entrée ignorée, vous pouvez utiliser la valeur de l’entrée pour créer une nouvelle entrée dans votre PhishER Blocklist.

Examiner le journal d’audit

Sur votre plateforme PhishER, accédez à Blocklist > Audit Log (Journal d’audit) pour consulter le journal d’audit. Ce journal répertorie toute activité relative à votre PhishER Blocklist et la Global Blocklist et vous permet notamment de savoir quand une entrée a été créée, supprimée et synchronisée avec vos serveurs de messagerie.

Pour plus d’informations sur ce sous-onglet, consultez la capture d’écran et la liste ci-dessous :

1. Timestamp (Horodatage) : cette colonne affiche la date et l’heure auxquelles l’action indiquée dans la colonne Event Action (Événement d’action) a été effectuée.
2. Event Type (Type d’événement) : cette colonne affiche le type d’action effectuée. Pour en savoir plus sur les types d’événements, consultez la liste ci-dessous :
   • Entry Updated (Mise à jour de l’entrée) : indique qu’une entrée a été créée ou supprimée.
   • Entry Synced (Synchronisation de l’entrée) : indique qu’une entrée a été synchronisée avec la PhishER Blocklist.
   • Blocklist Synced (Synchronisation de la blocklist) : indique que toutes les entrées ont été synchronisées avec tous les serveurs de messagerie connectés.
3. Value (Valeur) : affiche la valeur de l’entrée concernée.
4. Updated By (Mise à jour par) : indique la source de l’action. Lorsqu’une entrée est mise à jour, cette colonne indique l’adresse e-mail de l’utilisateur ayant effectué la mise à jour. Lorsqu’une entrée individuelle ou les listes de blocage sont synchronisées, cette colonne indique l’identifiant du serveur de messagerie ou le nom du serveur de messagerie. Si l’action a été effectuée par le système, la colonne est vierge.
5. Event Action (Action de l’événement) : indique quelle action a été effectuée pour une entrée spécifique ou pour la liste de blocage. Created (Créée) indique quand une entrée a été créée. Synced (Synchronisée) s’affiche lorsqu’une entrée (ou une liste de blocage) est synchronisée avec les serveurs de messagerie connectés. Deleted (Supprimée) s’affiche lorsqu’une entrée est supprimée.
6. Status (Statut) : indique si l’action a réussi ou échoué.