Vous pouvez intégrer le Phish Alert Button (PAB) avec Microsoft Defender pour Office afin d’envoyer des e-mails vers la page Soumissions de Microsoft pour analyse. Sur la plateforme Microsoft 365 Defender, la page Soumissions reçoit les e-mails que les utilisateurs ont signalés à l’aide du bouton Signaler de Microsoft. Grâce à cette intégration, vous pouvez permettre à vos utilisateurs de signaler des e-mails suspects auprès de votre organisation et de votre page Soumissions à l’aide du PAB. Lorsque les utilisateurs signalent les e-mails d’hameçonnage simulé de KnowBe4 avec le bouton Signaler, Microsoft peut classifier par erreur ces e-mails comme constituant une menace. Cette intégration peut aider Microsoft à reconnaître les e-mails d’hameçonnage simulés de KnowBe4 et éviter les faux positifs parmi les e-mails signalés par les utilisateurs.

Prérequis

Pour pouvoir effectuer cette intégration, vous devez avoir au préalable activé et configuré le PAB dans les Paramètres de votre compte KSAT. Pour en savoir plus, consultez la rubrique Activation et configuration du Manuel de produit du Phish Alert Button (PAB).

Le service Microsoft 365 Defender pour Office doit également être activé pour le serveur de messagerie de votre organisation. Configurez ensuite une boîte de messagerie des opérations de sécurité (SecOps) pour votre compte Microsoft afin que les e-mails puissent être envoyés vers votre page Soumissions. Pour en savoir plus, consultez l’article Utiliser le portail Microsoft 365 Defender pour configurer des boîtes de messagerie SecOps dans la politique de livraison avancée.

Configuration de l’intégration

Pour configurer cette intégration, vous devrez autoriser des outils de création de rapports tiers pour votre plateforme Microsoft 365 Defender. Pour en savoir plus, consultez l’article de Microsoft Options pour les outils de création de rapports tiers. Pour autoriser les outils de création de rapports tiers, procédez comme suit :

1. Connectez-vous à votre compte Microsoft 365 à l’aide de vos identifiants d’administrateur.
2. Accédez au portail Microsoft 365 Defender > Paramètres > E-mail et collaboration.
3.  Cliquez sur Paramètres signalés par l’utilisateur. Vous pouvez également accéder à la page Paramètres signalés par l’utilisateur depuis https://security.microsoft.com/securitysettings/userSubmission.
4. Sur la page Paramètres signalés par l’utilisateur, cochez la case Surveiller les messages signalés dans Outlook pour activer les options de création de rapports.
5. Dans la section Sélectionnez une configuration du bouton de rapport Outlook, choisissez Utiliser le bouton d’un complément non-Microsoft.
   Important : si vous sélectionnez cette option, le bouton Signaler de Microsoft sera désactivé automatiquement.
   
6. Sous le menu déroulant Envoyer les messages signalés à :, sélectionnez Ma boîte aux lettres de signalement uniquement ou Microsoft et ma boîte aux lettres de signalement.

   

   Remarque : si vous sélectionnez Microsoft et ma boîte aux lettres de signalement, tous les messages signalés seront automatiquement envoyés à Microsoft pour analyse. Pour en savoir plus, consultez la section Options des outils de création de rapports Microsoft de l’article Paramètres signalés par l’utilisateur.
7. Dans le champ Ajouter une boîte de messagerie Exchange Online vers laquelle envoyer les messages signalés : saisissez l’adresse e-mail associée à la page Soumissions de votre compte Microsoft et à votre boîte de messagerie SecOps.
   Remarque : saisissez la même adresse e-mail que celle utilisée pour configurer votre boîte de messagerie SecOps. Pour en savoir plus, consultez l’article Utiliser le portail Microsoft 365 Defender pour configurer des boîtes de messagerie SecOps dans la politique de livraison avancée.
   
8. (Facultatif) Vous pouvez cocher la case Autoriser le signalement des messages mis en quarantaine. Seuls les administrateurs peuvent signaler des messages Teams mis en quarantaine pour permettre à vos utilisateurs de signaler des e-mails placés dans leur dossier de quarantaine.

Une fois que vous avez configuré ces paramètres dans Microsoft 365 Defender, vous devrez effectuer la configuration dans votre console KSAT. Pour effectuer la configuration dans votre console KSAT, procédez comme suit :

1. Connectez-vous à votre console KSAT.
2. Dans l’angle supérieur droit de la page, cliquez sur votre adresse e-mail. Dans le menu déroulant qui s’ouvre, sélectionnez Paramètres du compte.
3. Accédez à Intégrations du compte > Phish Alert.
4. Cliquez sur l’icône + située à côté de l’instance du PAB pour afficher vos paramètres.
5. Cochez la case Activer l’intégration de Microsoft 365 Defender.
6. Dans le champ Envoyer les e-mails signalés à : saisissez l’adresse e-mail liée à la page Soumissions et à la boîte de messagerie SecOps de votre compte Microsoft.
   Important : en plus de l’adresse e-mail associée à votre compte Microsoft, vous devez saisir une autre adresse e-mail dans le champ Envoyer les e-mails non simulés à : afin de fournir une copie des e-mails signalés par les utilisateurs aux administrateurs de votre organisation. Si vous souhaitez uniquement envoyer les e-mails signalés directement à votre boîte de messagerie SecOps, laissez le champ Envoyer des e-mails non simulés à : vierge.
7. (Facultatif) Vous pouvez cocher la case Enregistrer une copie des e-mails signalés si vous souhaitez que le PAB enregistre une copie des e-mails signalés dans le dossier Envoyés de l’utilisateur les ayant signalés.
8. Cliquez sur le bouton Enregistrer les paramètres de Phish Alert.
9. Cliquez sur le bouton Enregistrer les modifications situé en bas de la page.

Expérience utilisateur

Une fois l’intégration configurée, vos utilisateurs peuvent utiliser le PAB pour signaler tout e-mail suspect à la fois à KnowBe4 et à Microsoft.

Lorsqu’un utilisateur signale un e-mail, il doit le classer. Par défaut, il peut sélectionner Hameçonnage/Suspect ou Spam/Courrier indésirable. Si vous avez activé la fonctionnalité Commentaires utilisateur et classement des e-mails, vos utilisateurs peuvent également ajouter des commentaires et sélectionner le classement Inconnu.

Si un utilisateur classe un e-mail comme Inconnu, l’e-mail signalé sera initialement étiqueté comme Hameçonnage sur la page Soumissions de Microsoft. Pour plus d’informations, consultez notre Guide sur les commentaires utilisateur et le classement des e-mails avec le Phish Alert Button (PAB).

Une fois signalé par un utilisateur, l’e-mail est supprimé de sa boîte de réception et deux copies de cet e-mail sont envoyées. La première copie est envoyée vers l’adresse e-mail renseignée dans le champ Envoyer les e-mails non simulés à : des Paramètres du compte KSAT. La seconde copie est envoyée à l’adresse e-mail renseignée dans le champ Envoyer les e-mails signalés à : des Paramètres du compte KSAT, associée à la page Soumissions de Microsoft Defender. Si vous avez activé l’option Enregistrer une copie des e-mails signalés, une copie de l’e-mail signalé sera également enregistrée dans le dossier Envoyés de l’utilisateur.

Lorsqu’un e-mail est signalé à Microsoft, il s’affiche dans l’onglet Signalement utilisateur de la page Soumissions sur votre portail Microsoft 365 Defender au bout de quelques minutes.