Comment connecter Arsen au bouton de signalement natif Outlook ?
Il est important que vos salariés puissent être en mesure de signaler un email qui leur semble suspect et que ce signalement puisse être remonté automatiquement dans Arsen pour le cas ou il s'agisse d'une simulation ou être envoyé à l'adresse e-mail de votre choix s'il s'agit d'une véritable tentative de phishing.
⚠️ Notez que vous pouvez utiliser indifféremment le complément Report Phishing ou Report Message. Vous pouvez consulter la documentation officielle à tout moment si vous avez des questions.
Avantages et inconvénients par rapport au bouton de signalement Arsen :
Avantages :
Intégration native maintenue par Microsoft
Ne nécessite pas de demandes d'autorisation externes
Inconvénients :
Intégration manuelle
Personnalisation limitée
Nécessite une licence Microsoft 365 Defender pour Office 365 Plan 1 valide
Connectez Arsen au bouton de signalement Outlook et établissez de solides réflexes directement depuis la boîte de réception de vos employés. Augmentez le niveau de sécurité global de votre entreprise en encourageant les employés à signaler. Votre score de sécurité augmentera proportionnellement au niveau de sécurité général de votre organisation car en créant ces réflexes, vous favorisez une culture de signalement nécessaire.
Si l'e-mail provient d'une campagne Arsen, le signalement est ensuite directement envoyé à la plateforme Arsen.
Si l'e-mail provient d'une autre source, il est transféré à Microsoft.
Étape 1 : Créer ou utiliser une adresse mail dédiée au signalement
Étape 2 : Configurer l'utilisation du bouton de signalement Outlook
Étape 3 : Créer une règle pour rediriger les emails
Si une adresse mail dédiée au signalement existe déjà en tant que user Outlook alors vous n'avez pas besoin de continuer à lire cette étape et rendez-vous en étape 2.
Pour créer une adresse mail dédiée au signalement d'email malveillants, allez dans votre Microsoft 365 centre d’administration. Cliquez sur Utilisateurs actifs.
La liste des utilisateurs s'affichent. Cliquez sur ajouter un utilisateur (+Ajouter un utilisateur) avec une adresse mail générique comme dans l'exemple suivant : secops@yourcompany.com avec une licence qui lui permet un accès à Outlook.
Connectez-vous à Microsoft 365 Defender.
Allez dans Paramètres puis dans E-mail & collaboration et cliquez sur Paramètres signalés par l'utilisateur
Voici le lien pour vous y rendre directement :(https://security.microsoft.com/securitysettings/userSubmission)
Sélectionnez Utilisez le bouton Rapport intégré dans Outlook
Vous pouvez ensuite, en utilisant les cases à cocher :
Demander aux utilisateurs qui cliquent sur le bouton de signalement de confirmer leur choix.
Personnaliser le message affiché dans la fenêtre de signalement.
Dans la rubrique Destinations de message signalé, vous devez ensuite :
Sélectionner que les messages de signalements seront envoyés uniquement sur votre adresse mail de signalement.
les emails signalés ne provenant pas d'une simulation Arsen continueront d'être relayés à Microsoft par Arsen automatiquement.
Si vous choisissez de transférer l'email à Microsoft et Arsen en sélectionnant Microsoft et ma boîte aux lettres de compte-rendus, cela implique que Microsoft analyse les simulations Arsen et impacter vos campagnes qui utilisent le même nom de domaine.
Sélectionner ensuite votre adresse mail de signalement. (Étape 1)
N'oubliez pas de cliquer sur sauvegarder. (Save)
Il y a deux règles à créer. La première correspond à la création de règles pour transférer les emails des simulations vers Arsen. La seconde permet de configurer le renvoi des emails malveillants vers Microsoft.
Avec ces deux règles nous couvrons le signalement qui rentre dans le cadre d'une simulation avec un report automatique du signalement sur Arsen, mais aussi le signalement des réels cas de phishing auprès de Microsoft.
Allez dans Exchange Admin Center
Allez dans Flux de courrier puis cliquer sur Règles
Cliquez sur + Ajouter une règle puis sur Créer une nouvelle règle
Commencez par choisir le nom de la règle : Arsen Phishing Simulation Rule
Puis appliquez 2 conditions :
- Cette règle s'applique en premier lieu si le destinataire (Le destintaire) est votre adresse mail de signalement. Sélectionnez Le destinataire > est cette personne et sélectionnez votre adresse mail de signalement.cette personne : secops@yourcompany.com
- Ajoutez une condition en cliquant sur + à droite de la première règle. La nouvelle condition s'affiche en dessous du séparateur et comporte ma mention AND. L'idée de cette règle est d'aller rechercher dans le corps du mail ou dans son objet notre adresse IP. Sélectionnez Objet ou corps > L'objet ou le corps inclut l'un de ces mots et ajoutez notre adresse IP : 161.38.204.14
Enfin, ajoutez notre adresse email en copie cachée pour que nous soyons destinataires de l'alerte et que nous puissions ajouter le signalement de l'employé dans Arsen.
À la suite de "Effectuer les opérations suivantes" utilisez l'attribut Ajouter les destinataires, Dans la zone CC et ajoutez l'adresse mail suivante : phish@arsen.report
Conservez les Paramètres de la règle, puis cliquez sur Enregistrer. N'hésitez pas à ajouter des commentaires dans la règle pour plus de clarté.
Désormais la règle s'affiche dans la liste de vos règles de mail flow sur Exchange. Cliquez sur la règle que nous venons d'ajouter et activez là en cliquant sur : Activé. Il peut y avoir quelques minutes de propagation sur le système.
Dans Exchange Admin Center
Allez dans Flux de courrier puis cliquer sur Règles
Cliquez sur + Ajouter une règle puis sur Créer une nouvelle règle
Commencez par choisir le nom de la règle : Arsen Suspicious Phishing Report
Ajoutez la condition suivante : si le destinataire (the recipient) est votre adresse mail de signalement. Sélectionnez Le destinataire > Est cette personne et sélectionnez votre adresse mail de signalement.cette personne : secops@yourcompany.com
Alors, ajoutez l'adresse mail microsoft en copie cachée pour que les services Microsoft soient destinataires de l'alerte.
À la suite de "Effectuer les opérations suivantes" utilisez l'attribut Ajouter les destinataires, Dans la zone CC et ajoutez l'adresse mail suivante : phish@office365.microsoft.com
Introduisez une exception à cette règle : Sauf si dans le corps ou l'objet de l'email se trouve l'adresse IP d'Arsen.
Ce qui se traduit de la manière suivante : Sauf si l'objet ou le corps > L'objet ou le corps inclut l'un de ces mots
Écrivez 161.38.204.14 , si vous utilisez une méthode whitelisting manuelle.
Ou écrivez x-arsen-report, si vous utilisez la méthode de whitelisting par API delivery, l'API Microsoft Email Delivery.
Conservez les Paramètres de la règle, puis cliquez sur Enregistrer. N'hésitez pas à ajouter des commentaires dans la règle pour plus de clarté.
Désormais la règle s'affiche dans la liste de vos règles de mail flow sur Exchange. Comme pour la règle précédente, activez là en cliquant sur : Activé. Il peut y avoir quelques minutes de propagation sur le système.
⚠️ Notez que vous pouvez utiliser indifféremment le complément Report Phishing ou Report Message. Vous pouvez consulter la documentation officielle à tout moment si vous avez des questions.
Avantages et inconvénients par rapport au bouton de signalement Arsen :
Avantages :
Intégration native maintenue par Microsoft
Ne nécessite pas de demandes d'autorisation externes
Inconvénients :
Intégration manuelle
Personnalisation limitée
Nécessite une licence Microsoft 365 Defender pour Office 365 Plan 1 valide
Connectez Arsen au bouton de signalement Outlook et établissez de solides réflexes directement depuis la boîte de réception de vos employés. Augmentez le niveau de sécurité global de votre entreprise en encourageant les employés à signaler. Votre score de sécurité augmentera proportionnellement au niveau de sécurité général de votre organisation car en créant ces réflexes, vous favorisez une culture de signalement nécessaire.
Si l'e-mail provient d'une campagne Arsen, le signalement est ensuite directement envoyé à la plateforme Arsen.
Si l'e-mail provient d'une autre source, il est transféré à Microsoft.
Sommaire
Étape 1 : Créer ou utiliser une adresse mail dédiée au signalement
Étape 2 : Configurer l'utilisation du bouton de signalement Outlook
Étape 3 : Créer une règle pour rediriger les emails
Étape 1 : Créer ou utiliser une adresse mail dédiée au signalement
Si une adresse mail dédiée au signalement existe déjà en tant que user Outlook alors vous n'avez pas besoin de continuer à lire cette étape et rendez-vous en étape 2.
Pour créer une adresse mail dédiée au signalement d'email malveillants, allez dans votre Microsoft 365 centre d’administration. Cliquez sur Utilisateurs actifs.
La liste des utilisateurs s'affichent. Cliquez sur ajouter un utilisateur (+Ajouter un utilisateur) avec une adresse mail générique comme dans l'exemple suivant : secops@yourcompany.com avec une licence qui lui permet un accès à Outlook.
Étape 2 : Configurer l'utilisation du bouton de signalement Outlook
Connectez-vous à Microsoft 365 Defender.
Allez dans Paramètres puis dans E-mail & collaboration et cliquez sur Paramètres signalés par l'utilisateur
Voici le lien pour vous y rendre directement :(https://security.microsoft.com/securitysettings/userSubmission)
Sélectionnez Utilisez le bouton Rapport intégré dans Outlook
Vous pouvez ensuite, en utilisant les cases à cocher :
Demander aux utilisateurs qui cliquent sur le bouton de signalement de confirmer leur choix.
Personnaliser le message affiché dans la fenêtre de signalement.
Dans la rubrique Destinations de message signalé, vous devez ensuite :
Sélectionner que les messages de signalements seront envoyés uniquement sur votre adresse mail de signalement.
les emails signalés ne provenant pas d'une simulation Arsen continueront d'être relayés à Microsoft par Arsen automatiquement.
Si vous choisissez de transférer l'email à Microsoft et Arsen en sélectionnant Microsoft et ma boîte aux lettres de compte-rendus, cela implique que Microsoft analyse les simulations Arsen et impacter vos campagnes qui utilisent le même nom de domaine.
Sélectionner ensuite votre adresse mail de signalement. (Étape 1)
N'oubliez pas de cliquer sur sauvegarder. (Save)
Étape 3 : Créer les règles de redirection des signalement d'emails.
Il y a deux règles à créer. La première correspond à la création de règles pour transférer les emails des simulations vers Arsen. La seconde permet de configurer le renvoi des emails malveillants vers Microsoft.
Avec ces deux règles nous couvrons le signalement qui rentre dans le cadre d'une simulation avec un report automatique du signalement sur Arsen, mais aussi le signalement des réels cas de phishing auprès de Microsoft.
Règle 1 : Signalement des emails de simulation Arsen.
Allez dans Exchange Admin Center
Allez dans Flux de courrier puis cliquer sur Règles
Cliquez sur + Ajouter une règle puis sur Créer une nouvelle règle
Commencez par choisir le nom de la règle : Arsen Phishing Simulation Rule
Puis appliquez 2 conditions :
- Cette règle s'applique en premier lieu si le destinataire (Le destintaire) est votre adresse mail de signalement. Sélectionnez Le destinataire > est cette personne et sélectionnez votre adresse mail de signalement.cette personne : secops@yourcompany.com
- Ajoutez une condition en cliquant sur + à droite de la première règle. La nouvelle condition s'affiche en dessous du séparateur et comporte ma mention AND. L'idée de cette règle est d'aller rechercher dans le corps du mail ou dans son objet notre adresse IP. Sélectionnez Objet ou corps > L'objet ou le corps inclut l'un de ces mots et ajoutez notre adresse IP : 161.38.204.14
Enfin, ajoutez notre adresse email en copie cachée pour que nous soyons destinataires de l'alerte et que nous puissions ajouter le signalement de l'employé dans Arsen.
À la suite de "Effectuer les opérations suivantes" utilisez l'attribut Ajouter les destinataires, Dans la zone CC et ajoutez l'adresse mail suivante : phish@arsen.report
Conservez les Paramètres de la règle, puis cliquez sur Enregistrer. N'hésitez pas à ajouter des commentaires dans la règle pour plus de clarté.
Désormais la règle s'affiche dans la liste de vos règles de mail flow sur Exchange. Cliquez sur la règle que nous venons d'ajouter et activez là en cliquant sur : Activé. Il peut y avoir quelques minutes de propagation sur le système.
Règle 2 : Signalement des emails malveillants vers Microsoft
Dans Exchange Admin Center
Allez dans Flux de courrier puis cliquer sur Règles
Cliquez sur + Ajouter une règle puis sur Créer une nouvelle règle
Commencez par choisir le nom de la règle : Arsen Suspicious Phishing Report
Ajoutez la condition suivante : si le destinataire (the recipient) est votre adresse mail de signalement. Sélectionnez Le destinataire > Est cette personne et sélectionnez votre adresse mail de signalement.cette personne : secops@yourcompany.com
Alors, ajoutez l'adresse mail microsoft en copie cachée pour que les services Microsoft soient destinataires de l'alerte.
À la suite de "Effectuer les opérations suivantes" utilisez l'attribut Ajouter les destinataires, Dans la zone CC et ajoutez l'adresse mail suivante : phish@office365.microsoft.com
Introduisez une exception à cette règle : Sauf si dans le corps ou l'objet de l'email se trouve l'adresse IP d'Arsen.
Ce qui se traduit de la manière suivante : Sauf si l'objet ou le corps > L'objet ou le corps inclut l'un de ces mots
Écrivez 161.38.204.14 , si vous utilisez une méthode whitelisting manuelle.
Ou écrivez x-arsen-report, si vous utilisez la méthode de whitelisting par API delivery, l'API Microsoft Email Delivery.
Conservez les Paramètres de la règle, puis cliquez sur Enregistrer. N'hésitez pas à ajouter des commentaires dans la règle pour plus de clarté.
Désormais la règle s'affiche dans la liste de vos règles de mail flow sur Exchange. Comme pour la règle précédente, activez là en cliquant sur : Activé. Il peut y avoir quelques minutes de propagation sur le système.
Mis à jour le : 08/04/2024
Merci !