Demander l’approbation de suppression des e-mails sur le service Microsoft Exchange Online

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Une fois qu’une recherche d’e-mails est effectuée avec succès et que les messages correspondants sont identifiés, vous pouvez supprimer définitivement tous les e-mails suspects du service Microsoft Exchange Online associés à l’incident de sécurité et à la campagne de hameçonnage.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Le système effectue des suppressions sur vos derniers résultats de recherche réussis.

    Pourquoi et quand exécuter cette tâche

    Si les approbations et les notifications par e-mail sont activées, envoyez une demande de suppression des e-mails à un groupe d’approbation avant la suppression des e-mails.

    Les résultats de la recherche d’e-mails s’affichent avec tous les messages qui ont été reçus. Pour s’assurer que les e-mails d’hameçonnage sont correctement supprimés, les résultats de la suppression sont publiés dans les notes de travail de l’incident de sécurité associé. Si le balisage est activé, une balise de sécurité s’affiche également sur l’incident de sécurité associé. Si l’e-mail n’est pas supprimé avec succès, vous en êtes également informé dans les notes de travail.

    En fonction des politiques de votre organisation, vous devrez peut-être demander une approbation avant de supprimer les e-mails d’hameçonnage. Le processus d’approbation de suppression nécessite des informations sur le nombre d’e-mails à supprimer et, éventuellement, l’accès à d’autres détails de messages. Pour traiter la demande de suppression, dans une notification par e-mail, un approbateur reçoit le nombre de messages électroniques correspondants, le lien d’incident de sécurité pour accéder aux détails complets du message et les liens d’approbation ou de rejet. Les liens contenus dans cet e-mail permettent à un approbateur d’accepter ou de rejeter la demande de suppression de la notification par e-mail. Une piste d’audit complète avec horodatage est également disponible pour suivre le moment où l’état d’approbation a changé dans les notes de travail. Si un groupe d’approbation est affecté, un utilisateur du groupe peut traiter la demande pour l’ensemble du groupe. Chaque membre du groupe d’approbation reçoit une notification par e-mail pour la demande.

    En tant qu’utilisateur disposant du rôle sn_si.analyst, si vous déterminez que des e-mails doivent être corrigés, suivez les étapes requises pour supprimer les e-mails. Si les approbations sont activées, demandez l’approbation pour supprimer les e-mails du Microsoft Exchange Online service.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher tous les incidents.
    2. Cliquez sur la liste connexe Recherche d’e-mail .
    3. Après avoir sélectionné la liste connexe Recherche d’e-mail, cliquez sur le nom de votre recherche dans la colonne Recherche d’e-mail.
      Les résultats de la recherche sont affichés dans la liste connexe Résultats de recherche d’e-mail.

      Pour cet exemple, cette recherche a permis de trouver des e-mails qui correspondent à vos critères de recherche. Deux actions de recherche sont répertoriées dans l’enregistrement. Une recherche n’a aucune correspondance (0) et l’autre recherche a une correspondance d’e-mail (1).

      Figure 1. Taille du jeu de résultats de recherche d’e-mail
      Enregistrement de recherche d’e-mail avec la taille du jeu de résultats mis en surbrillance.
    4. Pour supprimer des éléments d’e-mail associés à une recherche, cochez la case correspondante d’un ensemble de résultats de recherche à gauche de la colonne Date de recherche.
      Vous pouvez sélectionner un seul jeu de résultats ou plusieurs jeux de résultats dans la liste.
    5. Sélectionnez les jeux de résultats que vous voulez supprimer.
      Figure 2. Supprimer les e-mails d'Exchange Online
      Actions sur les lignes sélectionnées, liste de choix développée et Supprimer les e-mails d’Exchange Online mis en surbrillance.
    6. En bas de la liste connexe Résultats de recherche d’e-mail, à partir de la liste Actions sur les lignes sélectionnées, sélectionnez Supprimer les e-mails d’Exchange Online pour supprimer tous les éléments d’e-mail associés à un ou plusieurs jeux de résultats du serveur Exchange Online.
      Si un jeu de résultats contient plusieurs e-mails, vous n’avez pas besoin d’ouvrir l’enregistrement Résultat de recherche d’e-mail et de sélectionner des e-mails individuels pour les supprimer. Tous les éléments d’e-mails ayant un état faux dans la colonne A été supprimé de l’enregistrement Résultat de recherche d’e-mail sont supprimés une fois que vous avez sélectionné Supprimer les e-mails d’Exchange Online.

      Si un élément d’e-mail d’un jeu de résultats a déjà été supprimé, l’état de la colonne A été supprimé de l’enregistrement Résultat de recherche d’e-mail est vrai. Ces éléments ne sont pas supprimés à nouveau.

      Si l’option d’approbation est désactivée au cours de l’étape de configuration, une fois que vous avez sélectionné Supprimer les e-mails d’Exchange Online, les e-mails associés au jeu de résultats sont supprimés. Le jeu de résultats lui-même n’est pas supprimé. Toutefois, l’état de tous les éléments d’e-mail supprimés du jeu de résultats est mis à jour sur vrai dans la colonne A été supprimé de l’enregistrement Résultat de recherche d’e-mail. Pour en savoir plus sur la fonctionnalité d’approbation, reportez-vous à la section Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.
      Figure 3. Détails de suppression d’e-mail
      La colonne A été supprimée sur l’enregistrement Résultat de recherche d’e-mail mis en surbrillance.

      Ces e-mails sont supprimés du Microsoft Exchange Online locataire sur lequel vous avez effectué les recherches. Une note de travail s’affiche si les e-mails sont supprimés avec succès.

      Sur l’enregistrement d’incident de sécurité, la balise de sécurité Suppression d’e-mail - Terminé s’affiche.
      Figure 4. Suppression d’e-mail : balise de sécurité terminée
      Incident de sécurité avec suppression d’e-mail terminée balise de sécurité mise en surbrillance.

      Si les approbations sont désactivées pour les demandes de suppression, vous avez supprimé avec succès les Microsoft Exchange Online e-mails du locataire.

      Si les approbations sont activées pour les demandes de suppression au cours de l’étape de configuration, une fois que vous avez sélectionné Supprimer les e-mails d’Exchange Online, une notification par e-mail est envoyée à chaque membre du groupe d’approbation que vous avez sélectionné au cours de l’étape de configuration.

      Si le balisage est activé pendant l’étape de configuration, la balise de sécurité Suppression d’e-mail - Initiée s’affiche sur l’enregistrement d’incident de sécurité connexe. Pour en savoir plus sur le balisage, reportez-vous à la section Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.

      Des notes de travail indiquent qu’une demande de suppression d’e-mails est soumise par l’utilisateur disposant du rôle sn_si.analyst (Hans SecAnalyst).

      Notes de travail avec demande soumise et piste d’audit.

      Si les approbations sont activées, l’étape suivante consiste à traiter la demande de suppression.

    7. Si vous souhaitez également afficher les détails et les éléments d’e-mail individuels d’un enregistrement de recherche avant de le supprimer ou d’envoyer une demande de suppression, procédez comme suit.
      1. Une fois la liste connexe Résultats de recherche d’e-mail sélectionnée, dans la colonne Date de recherche, cliquez sur la date d’une recherche que vous souhaitez examiner.
        Figure 5. Détails de recherche d’e-mail
        Date de recherche mise en évidence sur la liste connexe Résultats de recherche d’e-mail.
        Les informations suivantes sur les e-mails s’affichent :
        • Destinataires
        • Expéditeur
        • Date de réception de l'e-mail
        • État de lecture de l’e-mail (vrai ou faux)
        • A été supprimé (vrai | faux)
        • Supprimé par intégration (vrai | faux)
          Remarque :

          La valeur est définie sur Vrai lorsque l’e-mail est supprimé lorsque l’analyste lance la suppression des serveurs de messagerie.

          Les notes de travail sont mises à jour avec le nombre total d’enregistrements supprimés, qui inclut les enregistrements supprimés par l’intégration et l’utilisateur.

      2. Après avoir examiné les données, pour supprimer tous les e-mails, ou envoyer une demande de suppression de tous les e-mails, cliquez sur Supprimer des serveurs de messagerie.

        Comme décrit dans l’exemple précédent, si plusieurs e-mails sont répertoriés dans l’enregistrement des résultats de recherche, vous n’avez pas besoin de sélectionner les e-mails individuels pour les supprimer. La demande de suppression supprime tous les e-mails associés à la recherche lorsque la valeur faux est affichée dans la colonne A été supprimé des derniers résultats de recherche.

        Bouton Supprimer des serveurs de messagerie mis en surbrillance et flèche de légende pour la case à cocher sur l’enregistrement Résultat de recherche d’e-mail.
      Si les approbations sont activées, cela signifie que vous avez soumis une demande de suppression d’e-mails. Les balises de sécurité et les notes de travail sont affichées sur l’enregistrement d’incident de sécurité connexe, comme décrit dans l’exemple précédent. En tant qu’approbateur, l’étape suivante consiste à traiter la demande de suppression.