Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le hameçonnage est l’un des points d’entrée les plus courants pour les cyberattaques et une charge opérationnelle persistante pour les équipes du centre des opérations de sécurité (SOC). Les analystes sont confrontés à un flux continu d’e-mails suspects signalés par l’utilisateur qui nécessitent un examen et un tri minutieux. À grande échelle, ce volume ralentit la réponse, consomme du temps des analystes et augmente le risque de menaces réelles manquées.
L’agent de triage de hameçonnage dans Microsoft Defender est un agent IA qui aide les équipes de sécurité à mettre à l’échelle le triage et la classification des e-mails de hameçonnage signalés par l’utilisateur, ce qui réduit le travail d’investigation répétitif et accélère la réponse.
L’agent de triage d’hameçonnage utilise une analyse basée sur le modèle de langage large (LLM) pour évaluer les e-mails signalés, déterminer l’intention et classer chaque soumission comme une menace réelle ou un faux positif. Au lieu de s’appuyer sur des règles statiques ou des entrées prédéfinies, l’agent applique un raisonnement contextuel pour évaluer les soumissions de manière dynamique et à grande échelle.
En filtrant les fausses alarmes, l’agent permet aux analystes de se concentrer sur les menaces confirmées et les enquêtes à impact plus élevé, en améliorant l’efficacité, en accélérant la détection et en renforçant la posture de sécurité globale de l’organization.
Fonctionnement de l’agent
L’agent de triage de hameçonnage est un agent Security Copilot dans Microsoft Defender qui améliore l’efficacité des équipes des opérations de sécurité en classant et en triant les incidents de hameçonnage soumis par l’utilisateur. Les principales fonctionnalités de l’agent sont les suivantes :
- Triage autonome : Utilise des outils IA avancés pour effectuer des évaluations sophistiquées et déterminer si une soumission est une menace réelle ou une fausse alarme, sans nécessiter d’entrée ou de code humain pas à pas.
- Justification transparente : Fournit une justification transparente de ses verdicts de classification en langage naturel, en détaillant le raisonnement qui sous-tend ses conclusions et les preuves utilisées pour les atteindre. Il fournit également une représentation visuelle de son processus de raisonnement.
- Apprentissage basé sur les commentaires : Les analystes peuvent fournir des commentaires sur les résultats de la classification. Au fil du temps, ces commentaires permettent d’affiner le comportement de l’agent pour mieux refléter le contexte organisationnel et réduire le suivi manuel.
Pour examiner les tentatives d’hameçonnage, l’agent utilise une combinaison de fonctionnalités de Microsoft Defender et de Microsoft Security Copilot, ainsi qu’un ensemble d’outils de sécurité qui évoluent en permanence à mesure que de nouvelles techniques de détection et intégrations deviennent disponibles. Les exemples actuels sont les suivants :
- Email analyse du contenu : détecte les modèles et indicateurs suspects dans les corps des e-mails.
- Détonation de fichiers et d’URL : exécute et analyse en toute sécurité les liens et fichiers potentiellement malveillants à l’aide des outils d’analyse approfondie de Microsoft.
- Analyse de capture d’écran : examine le contenu visuel des e-mails, des URL et des types de fichiers pris en charge.
- Outils de renseignement sur les menaces : utilise des flux Microsoft Threat Intelligence pour fournir un contexte de détection enrichi.
- Repérage avancé dans la source de données : met en corrélation les signaux entre toutes les sources de données de sécurité disponibles pour contextualiser les activités suspectes et prendre des décisions d’investigation éclairées.
Configuration requise
Pour exécuter l’agent de triage d’hameçonnage dans votre environnement, vous avez besoin des éléments suivants :
| Composants | Détails |
|---|---|
| Produits | - Security Copilot et la capacité approvisionnée dans les unités de calcul de sécurité (SCU). Consultez Bien démarrer avec Security Copilot ou case activée si vous avez le droit aux SKU dans le cadre du modèle d’inclusion Microsoft Security Copilot - Microsoft Defender pour Office 365 Plan 2 déployé |
| Microsoft Defender fonctionnalités requises | - Contrôle d’accès en fonction du rôle (URBAC) unifié activé pour Defender pour Office 365. Pour plus d’informations, consultez Activer les paramètres URBAC .
- Activez Surveiller les messages signalés dans Outlook dans les paramètres signalés par l’utilisateur. Pour plus d’informations , consultez Paramètres signalés par l’utilisateur : la stratégie d’alerte Email signalée par l’utilisateur en tant que programme malveillant ou hameçonnage doit être activée. Pour plus d’informations, consultez Stratégies d’alerte dans le portail Microsoft Defender |
| Plugins | L’agent de triage d’hameçonnage active automatiquement ces plug-ins Security Copilot : - Microsoft Defender XDR - Microsoft Threat Intelligence - Agent de triage d’hameçonnage |
Activer les paramètres URBAC
Activez la charge de travail Defender pour Office 365 dans les paramètres de Microsoft Defender XDR :
Pour plus d’informations, consultez Activer les charges de travail dans les paramètres de Microsoft Defender XDR.
Configurer les paramètres signalés par l’utilisateur
Activez Surveiller les messages signalés dans Outlook pour définir la façon dont les utilisateurs signalent les messages potentiellement malveillants dans Microsoft Outlook et sélectionnez l’une des options Destinations des messages signalés :
Pour plus d’informations, consultez Utiliser le portail Microsoft Defender pour configurer les paramètres signalés par l’utilisateur.
Si vous utilisez un outil de création de rapports par e-mail tiers, consultez Options pour les outils de création de rapports tiers et affichez les options de votre fournisseur pour intégrer les messages signalés à Microsoft Defender XDR.
Ajouter une stratégie d’alerte
L’agent de triage d’hameçonnage traite les incidents de hameçonnage qui incluent des alertes de type Email signalées par l’utilisateur comme des programmes malveillants ou des hameçonnages. Vérifiez que la stratégie d’alerte correspondante est activée. Pour plus d’informations, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Importante
L’agent de triage d’hameçonnage ne classe pas les alertes que vous supprimez à l’aide de règles de suppression.
Autorisations requises
Ce tableau décrit les autorisations requises pour effectuer diverses actions liées à l’agent de triage d’hameçonnage dans le portail Defender.
| Action de l'utilisateur | Autorisation requise |
|---|---|
| Afficher les résultats de l’agent et enseigner l’agent par le biais de commentaires | Security Copilot (lecture), Notions de base des données de sécurité (lecture),Alertes (gérer), métadonnées de collaboration Email & (lecture) et contenu de collaboration Email & (lecture) sous le groupe Autorisations des opérations de sécurité dans le portail Defender, limité aux Microsoft Defender pour Office 365 source de données. Pour plus d’informations, consultez Autorisations requises de l’agent de triage de hameçonnage. |
| Afficher les paramètres de l’agent |
Security Copilot (lecture) et Informations de base sur les données de sécurité (lecture) sous le groupe Autorisations des opérations de sécurité dans le portail Defender OR Administrateur de la sécurité dans Microsoft Entra ID |
| Page Afficher les commentaires |
Security Copilot (lecture), Notions de base des données de sécurité (lecture) et Email & métadonnées de collaboration (lecture) sous le groupe Autorisations des opérations de sécurité dans le portail Defender OR Administrateur de la sécurité dans Microsoft Entra ID |
| Gérer les paramètres de l’agent (configurer, suspendre, supprimer l’agent et gérer l’identité de l’agent) | Administrateur de la sécurité dans Microsoft Entra ID |
| Rejeter les commentaires | Administrateur de la sécurité dans Microsoft Entra ID |
Pour plus d’informations sur le RBAC unifié dans le portail Defender, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.
Configurer l’agent de triage d’hameçonnage
Vérifiez que vous disposez des autorisations requises et que toutes les conditions préalables sont remplies avant de configurer l’agent.
Commencer la configuration
Vous pouvez accéder à l’Assistant Installation de l’agent de triage d’hameçonnage de deux manières :
Dans la file d’attente Incidents du portail Microsoft Defender, sélectionnez Configurer l’agent.
Vous pouvez également sélectionner Paramètres > système > Microsoft Defender XDR > Vue d’ensemble de > l’agent > de triage d’hameçonnage Configurer pour démarrer le processus.
Attribuer l’identité et les autorisations de l’agent
L’Assistant Installation vous guide tout au long de l’attribution d’une identité à l’agent et des autorisations nécessaires pour effectuer son travail.
Attribuer une identité
L’agent a besoin d’une identité pour fonctionner. L’Assistant vous invite à sélectionner l’un des deux types d’identité.
Sélectionnez:
Créer une identité d’agent (recommandé) : créez automatiquement une nouvelle Identifiant d’assistant Microsoft Entra. Microsoft Entra crée des ID d’agent spécifiquement pour les agents IA. L’utilisation des ID d’agent permet de maintenir l’accès étendu, sécurisé et plus facile à gérer. Pour plus d’informations, consultez Que sont les identités d’agent ?.
OR
Connecter un compte d’utilisateur existant : affectez un compte d’utilisateur existant comme identité d’agent. L’agent hérite de l’accès et des autorisations du compte d’utilisateur. Pour utiliser cette option d’identité, vous devez créer l’identité vous-même et lui attribuer les autorisations dont l’agent a besoin avant l’installation . Pour plus d’informations sur la création d’un compte d’utilisateur, consultez Créer un utilisateur.
Lorsque vous connectez l’agent à un compte, nous vous recommandons de définir une date d’expiration de compte longue et de surveiller de près son status d’authentification pour garantir le fonctionnement continu de l’agent. Si l’authentification expire, l’agent cesse de fonctionner jusqu’à ce qu’il soit renouvelé.
L’identité utilisateur spécifiée de l’agent n’est pas compatible avec PIM ou TAP, car ils ne prennent pas en charge les opérations en arrière-plan à long terme.
Conseil
Utilisez un compte d’identité dédié avec les autorisations minimales requises pour l’agent. Lors de la création du compte, attribuez un nom d’affichage distinct comme Agent de triage d’hameçonnage pour l’identifier facilement dans le portail Microsoft Defender.
Définissez des stratégies d’accès conditionnel pour Security Copilot afin de permettre à l’agent de fonctionner en fonction du compte d’utilisateur créé pour celui-ci. Pour plus d’informations, consultez Résoudre les problèmes liés aux stratégies d’accès conditionnel pour Microsoft Security Copilot.
Attribuer des autorisations
Conformément au principe des privilèges minimum, nous vous recommandons d’attribuer à l’identité de l’agent uniquement les autorisations dont l’agent de triage de hameçonnage a besoin pour effectuer ses tâches.
Si vous utilisez un ID d’agent, la liste déroulante affiche uniquement les rôles dans votre organization qui disposent des autorisations dont l’agent a besoin. Sélectionnez un rôle existant dans votre organization ou créez automatiquement un rôle avec les autorisations requises si vous n’avez pas déjà configuré un rôle approprié.
Si vous utilisez un compte d’utilisateur existant, vous devez attribuer les autorisations requises à cette identité avant d’attribuer l’identité de l’agent pendant l’installation. Vous ne pouvez pas le faire à partir de l’Assistant Installation.
Autorisations requises de l’agent de triage d’hameçonnage
L’identité de l’agent a besoin de ces autorisations pour accéder aux e-mails, analyser leur contenu et gérer les alertes :
- Notions de base des données de sécurité (lecture) : Utilisé pour accéder aux données de sécurité de base, telles que les alertes et les incidents.
- Alertes (gérer) : Permet de classifier l’alerte et de surveiller l’état de l’alerte, ce qui empêche le remplacement de la status d’alerte.
- Security Copilot (lecture) : permet d’accéder aux fonctionnalités Security Copilot.
- Email & les métadonnées de collaboration (lecture) : permet d’accéder aux métadonnées des e-mails signalés par l’utilisateur.
- Email & contenu de collaboration (lecture) : utilisé pour lire le contenu des e-mails signalés par l’utilisateur nécessaires à l’analyse.
Ces autorisations se trouvent sous le groupe Autorisations des opérations de sécurité :
Veillez à accorder à l’agent l’accès à la Microsoft Defender pour Office 365 source de données.
Pour créer un rôle :
- Vérifiez que les charges de travail Defender pertinentes sont activées pour permettre à l’agent d’analyser efficacement les alertes avec un contexte complet. Suivez les étapes décrites dans Activer les paramètres URBAC.
- Créez un rôle avec les autorisations requises ou attribuez un rôle existant avec ces autorisations à l’agent.
- Attribuez le rôle à l’agent. Veillez à accorder à l’agent l’accès à la Microsoft Defender pour Office 365 source de données.
Importante
Après avoir affecté ses autorisations à l’agent, vérifiez que le groupe d’utilisateurs qui surveille l’agent dispose d’autorisations égales ou supérieures pour superviser son activité et sa sortie. Pour ce faire, comparez les autorisations du groupe d’utilisateurs à l’agent dans la page Autorisations du portail Microsoft Defender.
Améliorer la réponse aux incidents avec l’agent de triage d’hameçonnage
L’agent est conçu pour aider les équipes de sécurité à gérer le volume écrasant d’e-mails suspects reçus quotidiennement par les organisations. Agissant comme un multiplicateur de force pour les équipes SOC, l’agent décharge les tâches de triage fastidieuses, réduit la fatigue des alertes et accélère la réponse aux incidents en identifiant de manière autonome les véritables menaces de hameçonnage. Cela permet aux analystes de réduire le bruit et de concentrer leur attention sur les menaces qui comptent vraiment.
Déclencheur et flux d’agent
Une fois entièrement configuré et en cours d’exécution, l’agent de triage de hameçonnage est automatiquement déclenché lorsqu’un utilisateur signale un e-mail d’hameçonnage suspect et qu’une alerte est créée. L’agent analyse ensuite de manière autonome l’alerte à l’aide d’outils IA sophistiqués et du contexte de votre organization pour déterminer si la menace associée est malveillante ou simplement une fausse alerte.
Si l’alerte est considérée comme une fausse alarme, l’agent la classifie en tant que faux positif et la résout en conséquence. Si l’alerte est considérée comme malveillante, elle est classée comme étant un vrai positif, et la status de l’incident associé reste ouverte et en cours pour qu’un analyste enquête et prenne d’autres mesures.
Pour chaque alerte qu’il traite, l’agent fournit une explication détaillée de son verdict, ce qui améliore la transparence et renforce la confiance des analystes dans l’incident correspondant.
Collaborer avec l’agent
Pour maintenir la transparence, l’agent met régulièrement à jour les champs d’incident pendant le processus de triage. Lorsque le triage démarre, l’agent s’attribue l’alerte et ajoute une balise Agent à l’incident correspondant. Les analystes peuvent filtrer la file d’attente des incidents pour voir uniquement les incidents étiquetés par l’agent, ce qui simplifie la supervision et la hiérarchisation.
Conseil
Vous pouvez également filtrer la file d’attente des incidents en utilisant le nom de l’identité que vous avez attribuée à l’agent de triage de hameçonnage pour voir les incidents sur lesquels l’agent travaille activement.
Lorsqu’une alerte est identifiée comme une véritable menace d’hameçonnage, l’agent de triage de hameçonnage la marque comme étant un vrai positif. Cela permet aux analystes de hiérarchiser les menaces d’hameçonnage confirmées et de répondre plus rapidement. Avec ces alertes clairement signalées, les analystes peuvent facilement filtrer la file d’attente pour se concentrer sur les menaces vérifiées, ce qui entraîne une réduction significative de la file d’attente et réduit le temps passé à trier les faux positifs. Cela leur permet de concentrer leurs efforts là où ils comptent le plus.
Transparence et explicabilité dans le triage d’hameçonnage
L’agent de triage d’hameçonnage est conçu pour expliquer clairement pourquoi et comment il a pris chaque décision. Pour chaque alerte qu’il traite, il fournit une explication détaillée en texte brut ainsi qu’une représentation graphique complète de son flux de travail de prise de décision. Ce niveau de transparence permet aux analystes d’interpréter rapidement les résultats, d’établir une confiance dans la sortie de l’agent et de concentrer leur temps sur la prise de décisions éclairées, plutôt que de répéter des étapes manuelles dans le processus de triage de hameçonnage.
Pour passer en revue les résultats de l’agent, procédez comme suit :
Sélectionnez un incident dans la file d’attente des incidents.
Dans la page de l’incident, recherchez l’agent de triage de hameçonnage carte dans le panneau latéral Copilot ou Tâches sous la section Triage des réponses guidées. La tâche est marquée comme terminée et affectée à l’agent. Le carte présente le verdict de l’agent en fonction de sa classification, en mettant en évidence des éléments clés de preuve incriminants qui ont éclairé la décision.
Vous pouvez sélectionner les points de suspension Autres actions pour afficher plus de détails d’alerte, copier les détails de classification de l’agent dans le Presse-papiers ou gérer les commentaires.
Pour afficher les étapes effectuées par l’agent avant d’atteindre sa classification, sélectionnez Afficher l’activité de l’agent dans le carte Agent de triage de hameçonnage. Cela montre la logique derrière la classification finale de l’agent.
Enseigner à l’agent le contexte de votre organization par le biais de commentaires
L’agent de triage d’hameçonnage améliore continuellement sa prise de décision en fonction des commentaires adaptés aux besoins de votre organization. Les analystes peuvent fournir des informations en langage simple et naturel (aucune configuration complexe requise), ce qui facilite le guide et la mise en forme du comportement de l’agent. Ces commentaires sont stockés dans la mémoire de l’agent, ce qui lui permet de s’adapter à la façon dont votre organization interprète et classe les menaces d’hameçonnage. Au fil du temps, cette adaptation améliore la précision et l’efficacité de l’agent dans le tri des alertes futures, avec votre équipe en contrôle.
Pour fournir des commentaires et enseigner à l’agent, procédez comme suit :
Dans la page de l’incident, recherchez le carte Agent de triage de hameçonnage dans le panneau latéral Copilot ou Tâches sous la section Triage des réponses guidées.
Passez en revue la classification et le raisonnement de l’agent affichés dans le titre et le contenu du carte. Si la décision ne s’aligne pas sur les critères de classification de votre organization, sélectionnez Modifier la classification. Vous pouvez également mettre à jour la classification en sélectionnant l’alerte spécifique sous l’onglet Alertes , puis en choisissant Gérer l’alerte.
Dans le volet Gérer l’alerte , sélectionnez la nouvelle classification dans le menu déroulant Classification . Ensuite, indiquez la raison de la modification en remplissant le champ Pourquoi avez-vous modifié cette classification . Cette étape enregistre vos commentaires dans la page de gestion des commentaires à des fins d’audit uniquement. L’agent n’utilisera pas ces commentaires pour améliorer sa prise de décision tant que vous n’aurez pas explicitement sélectionné Utiliser ces commentaires pour enseigner à l’agent. Si vous choisissez de ne pas utiliser ces commentaires pour enseigner à l’agent, vous pouvez sélectionner Enregistrer, ce qui permet uniquement d’auditer les commentaires sans les insérer dans la mémoire de l’agent.
Pour appliquer vos commentaires, sélectionnez Utiliser ces commentaires pour enseigner à l’agent. Vous pouvez utiliser le guide de rédaction de commentaires pour vous aider à créer une entrée efficace, puis choisir Évaluer les commentaires pour vous permettre d’afficher un aperçu de la façon dont l’agent traduit vos commentaires en leçon et d’évaluer si le résultat s’aligne sur votre intention. En outre, l’évaluation des commentaires effectue des vérifications de sécurité de base pour s’assurer que les commentaires appliqués sont pertinents pour l’agent à utiliser et qu’ils n’entrent pas en conflit avec les commentaires précédents.
Remarque
Vous ne pouvez fournir des commentaires à l’agent qu’une seule fois par alerte, et ils peuvent uniquement être utilisés pour enseigner à l’agent comment classifier les alertes de hameçonnage, en particulier en sélectionnant Vrai positif (hameçonnage) ou Faux positif (non malveillant). Passez toujours en revue vos commentaires et vérifiez la réponse générée par l’IA avant d’enregistrer la leçon.
Si le résultat répond à vos attentes, vous pouvez choisir d’insérer la leçon dans la mémoire de l’agent pour influencer ses décisions futures. Sélectionnez Enregistrer pour enregistrer la leçon et la stocker en tant que leçon dans la mémoire de l’agent, le cas échéant. Tous les commentaires enregistrés à des fins d’audit et les leçons ajoutées à la mémoire de l’agent peuvent être examinés ultérieurement dans la page de gestion des commentaires.
L’agent utilise les commentaires stockés pour trier et classer des alertes similaires à l’avenir. Lorsqu’une alerte pertinente qui correspond aux caractéristiques des commentaires est reçue, l’agent applique ce commentaire pour déterminer sa classification, en l’incorporant comme preuve à l’appui dans son processus de prise de décision.
Bonnes pratiques pour la rédaction de commentaires
Les leçons fournissent des instructions systématiques qui aident l’agent à déterminer si une alerte est une véritable menace d’hameçonnage ou une fausse alerte. Pour vous assurer que l’agent intègre efficacement vos commentaires, suivez ces bonnes pratiques lors de la fourniture d’une entrée à l’agent de triage d’hameçonnage :
- Vérifiez que les commentaires sont pertinents et contextuels. Les commentaires doivent concerner uniquement l’e-mail actuellement en cours d’examen. Il doit également s’aligner sur la classification mise à jour que vous avez affectée.
- Être descriptif et spécifique. Expliquer clairement les caractéristiques de l’e-mail. Fournissez des détails pertinents tels que l’objet de l’e-mail, le corps du message, l’expéditeur ou les destinataires pour aider l’agent à comprendre le contexte. Des commentaires spécifiques avec plusieurs détails améliorent l’efficacité.
- Garantir la clarté et la détermination. Évitez les instructions vagues ou universelles. Envoyez des commentaires clairs et exploitables. Utilisez des termes d’identification décisifs et clairs.
- Être cohérent avec les commentaires précédents. Assurez-vous que les nouveaux commentaires s’alignent sur ce qui a été fourni précédemment afin d’éviter les contradictions qui pourraient perturber l’agent ou réduire l’exactitude de ses décisions. Vous pouvez passer en revue toutes les entrées précédemment envoyées sur la page Gestion des commentaires .
- Passez en revue l’interprétation de vos commentaires par l’agent. Lorsque vous envoyez des commentaires, vérifiez toujours que les commentaires sont traduits avec précision en leçon. Vérifiez que la leçon reflète votre intention et maintient la cohérence avec votre entrée d’origine. Vérification de la validité des réponses générées par l’IA pour vous assurer qu’elles sont applicables au scénario.
Voici quelques exemples de la façon dont vous pouvez écrire vos commentaires à l’agent.
| Zone | Exemples de commentaires bien écrits | Exemples de commentaires pouvant entraîner un échec | Comparaison |
|---|---|---|---|
| Commentaires sur un expéditeur | Tout e-mail prétendant provenir de fournisseurs d’avantages doit provenir de « @benefits.company.com ». | L’expéditeur dans la 2e alerte de l’incident n’est pas légitime. | Les commentaires doivent se rapporter à l’e-mail dans l’alerte actuelle et à son contexte. Il sera lié à la classification choisie (même s’il n’est pas mentionné explicitement dans les commentaires) et utilisé pour des alertes futures similaires. |
| Commentaires sur l’expéditeur et le corps de l’e-mail | Les e-mails offrant le partage de fichiers ou l’accès aux documents doivent provenir uniquement de notre fournisseur autorisé Contoso.com. | Les e-mails offrant le partage de fichiers ou l’accès aux documents doivent provenir uniquement de nos fournisseurs autorisés. | Les commentaires bien écrits indiquent clairement des exigences spécifiques (par exemple, domaine de l’expéditeur), tandis que les références vagues (par exemple, les « fournisseurs autorisés ») ne contiennent pas d’informations exploitables. |
| Commentaires sur l’objet de l’e-mail | Tout e-mail dont l’objet contient une demande de transaction de facturation n’est pas autorisé dans notre organization et est considéré comme un hameçonnage. | Si le sujet a un sentiment naturel positif, il est légitime. | Les commentaires descriptifs et spécifiques peuvent être validés efficacement, tandis que les commentaires subjectifs peuvent entraîner des résultats inattendus. |
| Commentaires sur le corps de l’e-mail | Les e-mails demandant la vérification des informations d’identification doivent inclure une référence au compte ou au service spécifique. Toute demande générique de « vérification de votre compte » sans détails doit être traitée comme un hameçonnage. | Cet e-mail doit être traité comme un hameçonnage. | Les commentaires qui incluent des informations détaillées sont plus susceptibles d’être clairement compris, tandis que les commentaires qui manquent de détails peuvent être interprétés de différentes façons et peuvent entraîner des résultats imprévisibles. |
| Commentaires sur le corps d’un destinataire et d’un e-mail | Cet e-mail a été envoyé à plusieurs employés, et le corps demande aux destinataires de télécharger une « pièce jointe importante » sans en décrire le contenu. Les e-mails légitimes spécifient toujours les détails des pièces jointes. | Les e-mails internes de masse avec pièces jointes sont des hameçonnages. | Les commentaires qui mettent en évidence des détails manquants spécifiques couramment trouvés dans les e-mails légitimes sont plus efficaces. Les commentaires qui contiennent des généralisations générales (e-mails de masse) ou des termes vagues (comme « interne ») peuvent entraîner un nombre excessif de vrais positifs. |
| Commentaires sur un destinataire et un domaine | Les e-mails d’intégration des nouveaux prestataires doivent uniquement être envoyés aux adresses de messagerie commençant par « v- » pour s’assurer qu’ils sont dirigés vers les destinataires appropriés. | Les e-mails des prestataires sont différents des messages habituels, donc il peut s’agir d’hameçonnage. | Les commentaires bien écrits définissent clairement le format de destinataire attendu, tandis que les commentaires indécis (« peut-être ») et qui manquent de critères d’identification clairs (« semble différent de l’habituel » sans spécifier ce qui est différent), rend la détection peu fiable. |
Résoudre les échecs de commentaires
Lorsque l’agent prend vos commentaires, il les traduit en leçons. Si l’agent ne parvient pas à interpréter les commentaires, un message pertinent indique la cause de l’échec. Vous pouvez résoudre ces échecs en fonction du message retourné par l’agent.
Voici des exemples d’échecs que vous pouvez rencontrer lors de l’écriture de commentaires à l’agent, et la façon dont vous pouvez les résoudre.
| Message d’échec | Action recommandée |
|---|---|
Une partie des commentaires fournis ne peut pas être traitée, car l’agent ne prend actuellement pas en charge ce type d’entrée et n’a donc pas pu être traduit en leçon. |
Réécrire vos commentaires et s’assurer qu’ils suivent les meilleures pratiques. Sélectionnez Évaluer les commentaires pour réessayer. |
Les commentaires contiennent des entrées que l’agent peut prendre en charge, mais qui ne sont pas pertinentes pour l’e-mail à portée de main et ne peuvent donc pas être traduites en une leçon actionnable à enregistrer en mémoire. |
Réécrire vos commentaires et assurez-vous qu’ils traitent les descriptions de l’e-mail qu’ils peuvent prendre en charge. Sélectionnez ensuite Évaluer les commentaires pour réessayer. |
Les commentaires donnés sont en conflit avec les commentaires précédents donnés à un e-mail similaire. |
Dans la page de gestion des commentaires , recherchez l’ID de commentaires pour afficher les commentaires avec 2000. En fonction de votre avis, vous pouvez : - Rejeter les commentaires précédents dans la page de gestion des commentaires. Ensuite, sélectionnez Évaluer pour essayer d’insérer à nouveau vos commentaires. - Réécrire vos commentaires donnés d’une manière qui n’est pas en conflit, puis sélectionnez Évaluer les commentaires pour que l’agent réévalue votre nouvelle entrée. |
Remarque
Vous pouvez choisir de ne pas résoudre les échecs de commentaires. Vous pouvez laisser vos commentaires et sélectionner Enregistrer sans cocher la case pour enseigner à l’agent. Les commentaires ne seront pas enregistrés dans la mémoire de l’agent et seront uniquement documentés dans la page de gestion des commentaires pour vos futures modifications de classification de suivi.
Une fois que l’agent est enseigné et équipé de connaissances organisationnelles, il commence à affiner ses capacités de prise de décision. Ce processus d’enseignement interactif garantit que l’agent évolue en permanence, en fournissant des classifications et des réponses de plus en plus précises au fil du temps. En intégrant des boucles de commentaires, le système s’adapte dynamiquement au paysage changeant des priorités organisationnelles et des modèles d’incident.
Gérer l’agent de triage d’hameçonnage
Pour gérer les paramètres de l’agent de triage d’hameçonnage, passer en revue son activité et passer en revue les interactions utilisateur avec l’agent, sélectionnez Gérer l’agent dans le carte au-dessus de la file d’attente des incidents. Vous pouvez également sélectionner Paramètres > Microsoft Defender XDR > Commentaires de l’agent > de triage de hameçonnage.
Afficher l’activité précédente de l’agent
Pour afficher toutes les exécutions précédentes de l’agent :
- Sélectionnez Paramètres > Microsoft Defender XDR > Vue d’ensemble de l’agent > de triage de hameçonnage.
- Sélectionnez Afficher l’activité de l’agent.
Cela ouvre le portail Security Copilot dans un nouvel onglet. L’onglet s’ouvre sur un tableau répertoriant toutes les activités et détails récents de l’agent.
Afficher et gérer les commentaires à l’agent
L’agent de triage d’hameçonnage utilise les commentaires pour améliorer ses performances au fil du temps. Il stocke les commentaires applicables dans sa mémoire sous forme de leçons. Vous pouvez afficher et gérer les commentaires envoyés par l’utilisateur pour l’agent de triage de hameçonnage en accédant à la page De gestion des commentaires.
Cette page fournit une liste complète de tous les commentaires envoyés à l’agent. Vous pouvez consulter les détails clés de chaque commentaire, notamment :
- Classification d’origine de l’agent et modification appliquée par l’utilisateur
- Commentaires d’origine fournis par l’utilisateur, lors de la modification de la classification
- Leçon traduite générée par l’agent (le cas échéant)
- Commentaires status : en cours d’utilisation, non utilisé ou en conflit
- L’utilisateur qui a fourni les commentaires
- Date de soumission des commentaires, ID de commentaires, ID d’alerte et ID d’incident
Les status de commentaires peuvent signifier :
| Statut | Description |
|---|---|
| En cours d’utilisation | Les commentaires ont été correctement convertis en leçon dans la mémoire de l’agent et sont activement utilisés pour trier et classer des incidents similaires. |
| Conflit | Les commentaires fournis étaient en conflit avec les commentaires précédemment fournis dans un incident similaire. Découvrez comment résoudre les échecs de commentaires. |
| Non utilisé | Les commentaires n’ont pas été incorporés dans la mémoire de l’agent ou non marqués par l’utilisateur pour l’enseignement. Les leçons rejetées apparaissent comme « non utilisées » et sont enregistrées uniquement pour l’audit, et non pour le triage et la classification des incidents. Pour plus d’informations, sélectionnez le panneau d’informations. |
Conseil
Les commentaires ne peuvent être gérés qu’individuellement. La gestion en bloc de plusieurs entrées de commentaires n’est actuellement pas prise en charge.
Pour passer en revue les détails d’un commentaire spécifique, sélectionnez une entrée dans la liste des commentaires. Dans le volet Vérifier les commentaires, case activée les détails des commentaires fournis, la leçon de l’agent, les modifications de classification et d’autres détails importants. Vous pouvez utiliser ces détails pour décider de conserver les commentaires dans la mémoire de l’agent ou de les rejeter.
Remarque
Pour rejeter les commentaires fournis, vous avez besoin du rôle Administrateur de la sécurité dans Microsoft Entra ID.
Pour rejeter des commentaires spécifiques, ouvrez le volet Vérifier les commentaires et sélectionnez Rejeter les commentaires. Lorsque vous le faites, l’agent l’enregistre comme rejeté et cesse de l’utiliser dans les décisions de triage ultérieures.
Modifier l’identité et le rôle de l’agent
Pour gérer l’identité et le rôle de l’agent à tout moment, sélectionnez Paramètres > système > Microsoft Defender XDR > Vue d’ensemble de > l’agent > de triage d’hameçonnage Identité et rôle.
Dans cette page, vous pouvez afficher l’identité actuelle de l’agent, accéder aux détails de la dernière mise à jour et sélectionner un nouveau type d’identité pour l’agent si nécessaire. Le processus de modification d’une identité est similaire à la configuration initiale de l’identité et du rôle de l’agent.
Suspendre ou reprendre l’agent
La suspension de l’agent arrête temporairement toute activité de triage, y compris toutes les tâches de tri en cours. L’agent ne traite pas les nouveaux incidents tant qu’il n’a pas repris. La reprise de l’agent reprend toutes ses activités, ce qui lui permet de commencer à trier et classifier à nouveau les alertes entrantes.
Pour suspendre ou reprendre l’agent :
Sélectionnez Paramètres > système > Microsoft Defender XDR > Vue d’ensemble de l’agent > de triage d’hameçonnage dans le portail Defender.
Sélectionnez Suspendre pour arrêter temporairement l’agent. Une fois suspendu, le bouton passe à Reprendre, que vous pouvez sélectionner lorsque vous êtes prêt à réactiver les activités de l’agent.
Supprimer l’agent
La suppression de l’agent le désactive définitivement. Une fois supprimés, le tri et la classification des nouveaux incidents s’arrêtent, et tous les commentaires sont supprimés. Toutefois, l’historique des incidents précédemment triés est conservé pour référence.
Pour supprimer l’agent :
- Sélectionnez Paramètres > système > Microsoft Defender XDR > Vue d’ensemble de l’agent > de triage d’hameçonnage.
- Sélectionnez Supprimer l’agent.
Foire aux questions
Voici les réponses aux questions fréquemment posées sur l’agent de triage de hameçonnage. Pour plus d’informations sur les fonctionnalités et les exigences de l’agent, consultez les sections Fonctionnement de l’agent et conditions préalables de cet article.
Quand l’agent est-il déclenché ?
L’agent s’exécute automatiquement lorsqu’un utilisateur signale une tentative d’hameçonnage potentielle et qu’une alerte est créée.
Pourquoi l’agent de triage de hameçonnage est-il important ?
L’hameçonnage reste l’une des méthodes les plus courantes par lesquelles les attaquants obtiennent un accès initial aux systèmes. Bien que les outils de sécurité bloquent efficacement la plupart des menaces, certains parviennent toujours à se glisser, écrasant les boîtes de réception et laissant les utilisateurs de courriers électroniques incertains si un e-mail suspect est une tentative légitime d’hameçonnage ou un courrier indésirable inoffensif. Cette incertitude entraîne souvent un afflux de rapports soumis par l’utilisateur. Par conséquent, la gestion de ces incidents devient une tâche fastidieuse et répétitive pour les analystes du Centre des opérations de sécurité (SOC). Chaque alerte peut nécessiter jusqu’à 30 minutes de tri manuel, nécessitant un effort considérable pour passer au crible un grand nombre d’incidents à la recherche de la menace réelle au milieu du bruit. Cet effort surcharge les analystes, qui ont un temps limité à consacrer à la réalisation des demandes critiques. En allégeant la charge de travail réactif, l’agent de triage d’hameçonnage permet aux analystes de se concentrer sur des mesures de sécurité proactives, ce qui renforce finalement les postures de sécurité globales des organisations.
L’agent de triage d’hameçonnage peut-il être approuvé ?
Les agents Microsoft AI suivent des directives strictes en matière d’IA responsable et font l’objet d’examens approfondis pour garantir la conformité à toutes les normes et mesures de protection relatives à l’IA. L’agent de triage d’hameçonnage de Security Copilot est entièrement intégré à ces contrôles. Pendant l’installation, vous attribuez une identité à l’agent et vous la configurez avec les autorisations minimales requises pour son fonctionnement, en veillant à ce qu’il ne dispose pas d’autorisations inutiles. Toutes les activités de l’agent sont consignées en détail, le flux complet pouvant être examiné par les analystes et les administrateurs à tout moment. Les commentaires fournis à l’agent pour l’aider à s’adapter à l’environnement de l’organization sont consignés, reflétés dans le système et accessibles pour révision et modification par les administrateurs si nécessaire.
En quoi l’agent diffère-t-il d’une solution SOAR standard ?
Bien que les solutions SOAR et l’agent de triage de hameçonnage visent à automatiser des aspects des opérations de sécurité, leurs approches sont fondamentalement différentes. Les outils SOAR s’appuient sur des workflows statiques, basés sur des stratégies et des règles qui nécessitent une logique prédéfinie et un réglage manuel. En revanche, l’agent utilise un raisonnement récursif pour effectuer des tâches de manière autonome : apprentissage, adaptation et amélioration au fil du temps.
L’agent n’a pas besoin d’être reprogrammé pour chaque nouvelle situation. Dans les limites définies, il s’ajuste à la tâche en cours, ce qui le rend beaucoup plus flexible que l’automatisation traditionnelle. Au lieu d’être rigide et réactif, il évolue en permanence avec votre environnement et le paysage des menaces, guidé par les commentaires des analystes et ancré dans des données réelles. Spécialement conçu pour les équipes de sécurité, l’agent de triage de hameçonnage permet d’accélérer les réponses et de réduire les charges de travail manuelles, ce qui permet aux analystes de se concentrer sur des initiatives stratégiques.
Quel niveau de visibilité et de contrôle ai-je sur l’agent ?
Microsoft fournit des outils permettant aux organisations de maintenir la visibilité et le contrôle de l’agent de triage d’hameçonnage depuis le déploiement jusqu’aux opérations en cours. L’agent respecte les normes IA responsable (RAI) de Microsoft en matière d’équité , de fiabilité, de sécurité, de confidentialité, de sécurité, d’inclusion, de transparence et de responsabilité.
Les administrateurs configurent les niveaux d’identité et d’accès de l’agent pendant l’installation, en suivant les principes de privilège minimum. Les équipes de sécurité et informatiques peuvent autoriser des actions spécifiques, surveiller les performances et examiner les sorties directement dans Microsoft Defender. La consommation de capacité et les limites d’accès aux données sont également configurables par les administrateurs.
L’agent de triage d’hameçonnage fonctionne dans un environnement de confiance zéro. Le système applique des stratégies organisationnelles à chaque action de l’agent en évaluant l’intention et l’étendue de chaque opération. Toutes les décisions, raisonnements et actions prises par l’agent sont documentés en toute transparence sous la forme d’un arbre de décision dans Defender et enregistrés dans les journaux d’audit Microsoft Purview pour la traçabilité et la conformité.
Je souhaite essayer l’agent de triage de hameçonnage : comment le configurer dans Microsoft Defender ?
Pour configurer l’agent, vous devez avoir accès à Security Copilot dans Microsoft Defender et remplir les conditions préalables nécessaires. Si vous n’avez pas intégré Security Copilot, consultez Bien démarrer avec Security Copilot ou contactez votre représentant Microsoft. Une fois que vous êtes intégré à Security Copilot, l’option de configuration de l’agent peut prendre un peu de temps pour être disponible dans le portail Microsoft Defender.
J’ai essayé l’agent de triage de hameçonnage : comment puis-je estimer la capacité SCU nécessaire pour l’agent dans mon organization ?
Après l’installation, l’agent commence automatiquement à consommer les SKU approvisionnées pour l’espace de travail à la fin de la période d’évaluation.
Il est important de vous assurer que votre organization dispose de suffisamment de SKU pour un fonctionnement sain de l’agent. Pour évaluer l’utilisation des SCU et planifier la capacité à l’avenir, consultez le tableau de bord Surveillance de l’utilisation dans le portail Security Copilot et case activée si vous avez droit aux SCU dans le cadre du modèle d’inclusion Microsoft Security Copilot. Le tableau de bord montre :
- Coût par e-mail traité
- Consommation de capacité au fil du temps
Vous pouvez également exporter les données du tableau de bord dans Excel pour une analyse plus détaillée et pour filtrer uniquement sur les opérations de l’agent.
Après avoir évalué vos besoins d’utilisation de SCU, mettez à jour la capacité de SCU pour votre organization. Pour plus d’informations sur la gestion des SKU, consultez Gérer l’utilisation des unités de calcul de sécurité dans Security Copilot.