Créer des incidents de sécurité à partir d’e-mails d’hameçonnage signalés par un utilisateur

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 24 minutes de lecture

    • Utilisez cette fonctionnalité pour créer des incidents de sécurité à partir d’e-mails d’hameçonnage signalés par les utilisateurs.

    La fonctionnalité améliorée de hameçonnage signalé par les utilisateurs comprend des options d’agrégation, d’extraction d’en-tête d’e-mail et de configuration.

    • Vous pouvez signaler les e-mails d’hameçonnage de plusieurs façons :
      • Les e-mails peuvent être transférés sous forme de pièces jointes.
      • Si le module d’extension PhishAlarm (anciennement connu sous le nom de Wombat) est configuré avec le client Microsoft Outlook, vous pouvez :
        • Sélectionnez le bouton Report Phish (Signaler un hameçonnage ).
        • Transférer des e-mails d’hameçonnage à partir d’un appareil mobile à l’aide de l’option Signaler un hameçonnage .

        Signaler des e-mails d’hameçonnage
      • Vous pouvez charger un e-mail d’hameçonnage (au format .eml).
        Signaler des e-mails d’hameçonnage en tant que pièces jointes
    • Le hameçonnage signalé par un utilisateur comprend une logique métier d’agrégation qui identifie les e-mails d’hameçonnage en double signalés par les utilisateurs d’une organisation. Les utilisateurs peuvent utiliser cette aptitude pour :
      • Regrouper les incidents d’hameçonnage en double ou similaires signalés par un utilisateur (campagnes d’hameçonnage lancées par l’entreprise).
      • Évitez de trier les incidents d’hameçonnage signalés par les utilisateurs en double et réduisez l’effort manuel nécessaire à la consolidation des incidents.
      • Permettez aux analystes de sécurité de travailler sur un seul incident d’hameçonnage signalé par un seul utilisateur.
    • Fournit des en-têtes d’e-mail d’hameçonnage dans l’incident d’hameçonnage signalé par l’utilisateur.
      • Les analystes de sécurité peuvent rechercher les informations clés d’en-tête d’e-mail dans l’incident.
      • Il n’est plus nécessaire de fournir des efforts manuels pour recueillir des renseignements sur l’en-tête à partir d’autres sources.
    • L’e-mail d’hameçonnage d’origine soumis est stocké en tant qu’enregistrement d’e-mail d’hameçonnage dans une nouvelle table.
    • Les analystes de sécurité peuvent consulter les détails de l’e-mail d’hameçonnage d’origine, tels que le contenu, les en-têtes et l’origine de l’e-mail d’hameçonnage.
    • Les administrateurs de sécurité peuvent configurer et apporter certaines améliorations, notamment :
      • Configurations pour extraire les en-têtes d’e-mail du corps de l’e-mail (Signaler les soumissions d’hameçonnage ).
      • Filtres pour capturer les en-têtes sélectionnés.
      • Configurations pour gérer l’association parent-enfant d’incident lorsque des enregistrements d’e-mails d’hameçonnage en double sont identifiés.
      • Configurations de Concepteur de flux pour modifier la logique métier d’agrégation en fonction des besoins.

    Configurer des règles d’intégration pour le hameçonnage signalé par les utilisateurs

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance des e-mails pour filtrer les e-mails d’hameçonnage signalés par les utilisateurs en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés directement ou via le bouton Signaler un hameçonnage à security@acme.com sont classés comme des e-mails d’hameçonnage signalés par les utilisateurs. Pour plus d'informations, consultez Configurer des règles d’intégration pour le hameçonnage signalé par un utilisateur.

    Définir les propriétés de hameçonnage signalé par un utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails d’hameçonnage signalés par l’utilisateur. Pour plus d'informations, consultez Définir les propriétés de hameçonnage signalé par l’utilisateur.

    Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par les utilisateurs

    Les e-mails d’hameçonnage signalés par un utilisateur sont convertis en incidents de sécurité en fonction des règles de correspondance des e-mails qui ont été définies. Pour plus d'informations, consultez Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par les utilisateurs.

    Transformer l’e-mail d’hameçonnage en incident de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité. Pour plus d'informations, consultez Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Affichez les détails de l’enregistrement des incidents de sécurité, y compris les listes connexes, les notes de travail et d’autres informations importantes. Pour plus d'informations, consultez Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Composants et modules d’extension requis

    La fonctionnalité de hameçonnage signalé par un utilisateur disponible est une version améliorée de la fonctionnalité existante de hameçonnage signalé par un utilisateur. Consultez Créer des règles pour valider les attaques par hameçonnage signalées par les utilisateurs.

    Instructions d’installation importantes

    Cette amélioration remplace la conception existante de hameçonnage signalé par les utilisateurs. Le nouveau design comprend les mises à jour suivantes :
    • Les actions entrantes des e-mails d’hameçonnage signalés par un utilisateur (Type = Transférer et Type = Nouveau) ont été désactivées.
    • Une nouvelle action entrante Créer un e-mail d’hameçonnage est désormais disponible.
    • Il s’agit Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité d’un nouveau flux qui contient la logique métier de création et d’agrégation d’incidents de sécurité pour la nouvelle conception. Vous devez activer ce flux pour que la nouvelle conception prenne effet.
    • Les règles existantes de hameçonnage signalé par un utilisateur ont été préservées pendant la mise à niveau.
    Remarque :
    Si vous utilisez des actions entrantes d’e-mails personnalisées et des workflows personnalisés pour les soumissions de hameçonnage signalées par les utilisateurs, vous devez examiner les anciennes et les nouvelles conceptions pour détecter les fonctionnalités en conflit ou se chevauchant.
    Hameçonnage signalé par un utilisateur Détails de l’amélioration : Voici les détails de l’amélioration :
    Remarque :
    • Les actions entrantes de hameçonnage signalé par un utilisateur disponibles avant la version Réponse aux incidents de sécurité 9.0 sont désormais désactivées. Les incidents de sécurité ne sont plus créés via les actions entrantes désactivées.
    • L’application Spoke Security Operations doit être installée pour que la nouvelle conception prenne effet. Cela inclut le Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité flux qui est disponible par défaut dans un état inactif. Activez ce flux pour créer des incidents de sécurité à partir des enregistrements d’e-mails d’hameçonnage.
    Pour utiliser la fonctionnalité améliorée de hameçonnage signalé par un utilisateur, les modules d’extension et composants suivants sont requis :
    • Prise en charge de la sécurité commune (sn_sec_cmn) : comprend :
      • Action entrante
      • Nouveau script EmailUserReportedPhishing
      • Table Règles d’ingestion
    • Réponse aux incidents de sécurité (sn_si) : Comprend :
      • Table des incidents de sécurité (sn_si_incident)
      • Table des e-mails d’hameçonnage de sécurité (sn_si_phishing_email)
      • Table des en-têtes d’e-mails d’hameçonnage de sécurité (sn_si_phishing_email_header)
      • Créateur d’enregistrement de chargement EML
    • Security Operations Spoke

      Flux et flux secondaires pour l’agrégation des e-mails et la transformation des e-mails d’hameçonnage en incidents de sécurité.

    La figure suivante montre la nouvelle table d’e-mails de hameçonnage avec des références à la règle URP correspondante et à l’enregistrement d’incident de sécurité cible (sn_si_incident).


    Modèle de données URP

    Configurer des règles d’intégration pour le hameçonnage signalé par un utilisateur

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance des e-mails pour filtrer les e-mails d’hameçonnage signalés par les utilisateurs en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés directement ou via le bouton Signaler un hameçonnage à security@acme.com sont classés comme des e-mails d’hameçonnage signalés par les utilisateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Opérations de sécurité > Traitement des e-mails > Règles d'intégration : hameçonnage signalé par un utilisateur.
    2. Sélectionnez Nouveau pour créer une nouvelle règle de correspondance des e-mails.
    3. Entrez un nom et définissez une ou plusieurs conditions pour la règle.
      Vous pouvez configurer le type de règle et sélectionner sa valeur :
      • Autoriser : si la condition correspond à un e-mail entrant, un incident de sécurité est créé.
      • Refuser : si la condition correspond à un e-mail entrant, aucun incident de sécurité n’est créé.
      Remarque :
      Les e-mails entrants sont d’abord évalués en fonction des règles de refus, quelle que soit la valeur de la commande .
    4. Sélectionnez Soumettre pour enregistrer la règle.
      Voici quelques exemples de règles :
      • Règle d’arrivée : filtrez les e-mails qui ont été envoyés directement ou transférés à security@example.com identifiant d’e-mail . Définir ToRule
      • Règle d’ID d’utilisateur : filtrez les e-mails qui ont été envoyés à partir d’un identifiant d’e-mail spécifique. Définir la règle d’ID d’utilisateur

    Définir les propriétés de hameçonnage signalé par l’utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails d’hameçonnage signalés par les utilisateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Utilisez ces options pour configurer les paramètres de hameçonnage signalés par les utilisateurs suivants.
    • Configuration pour extraire les en-têtes des e-mails du corps de l’e-mail. (Signaler les soumissions d’hameçonnage .)
    • Filtrez pour sélectionner des en-têtes.
    • Activer ou désactiver l’association parent-enfant.

    Procédure

    1. Accédez à la Tous > Opérations de sécurité > Traitement des e-mails > Propriétés de hameçonnage signalé par un utilisateur.
      Propriétés de hameçonnage signalé par un utilisateur
    2. Spécifiez la configuration d’extraction des en-têtes d’e-mail du corps de l’e-mail :
      • Saisissez une chaîne qui identifie le début de l’en-tête de l’e-mail.
      • Entrez une chaîne qui identifie la fin de l’en-tête de l’e-mail.
        Remarque :
        Appliquez ces paramètres uniquement aux en-têtes capturés dans le corps de l’e-mail d’hameçonnage. Par exemple, si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client Microsoft Outlook, lorsque l’utilisateur sélectionne le bouton Signaler un hameçonnage , les en-têtes des e-mails sont capturés selon la configuration définie ici. Les informations d’en-tête ne sont pas capturées si l’e-mail d’hameçonnage est transféré en tant que pièce jointe.
    3. Spécifiez des filtres pour éliminer les en-têtes qui ne sont pas nécessaires pour enquêter sur l’incident de sécurité.

      Saisissez une liste séparée par des virgules des en-têtes d’e-mail à capturer à partir de l’e-mail d’hameçonnage signalé par l’utilisateur. Si vous ne spécifiez aucune valeur ici, toutes les informations d’en-tête sont capturées.

    4. Activer ou désactiver l’association parent-enfant.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour indiquer que les incidents de sécurité enfants doivent être créés lorsque les e-mails d’hameçonnage signalés par un utilisateur sont agrégés. Si vous sélectionnez Non, les incidents de sécurité enfants ne sont pas créés, mais les e-mails d’hameçonnage signalés par l’utilisateur sont associés à l’incident de sécurité et l’enregistrement d’incident de sécurité est mis à jour. Consultez la rubrique Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité pour en savoir plus sur la façon dont les incidents de sécurité enfants sont créés.
    5. Activez ou désactivez l’option permettant d’afficher le contenu de l’e-mail d’hameçonnage au format HTML.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour afficher le contenu de l’e-mail d’hameçonnage au format HTML. Si vous sélectionnez Non, le contenu de l’e-mail au format HTML ne sera pas visible dans un enregistrement d’hameçonnage.

    Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par les utilisateurs

    Les e-mails d’hameçonnage signalés par un utilisateur sont convertis en incidents de sécurité en fonction des règles de correspondance des e-mails qui ont été définies.

    Lorsqu’un nouvel e-mail d’hameçonnage est signalé, les actions suivantes ont lieu :
    • Un enregistrement d’e-mail est créé dans la table sys_email .
    • L’action Créer un e-mail d’hameçonnage entrant s’exécute sur l’enregistrement d’e-mail et utilise les règles de correspondance des e-mails (voir Configurer des règles d’intégration pour le hameçonnage signalé par un utilisateur) pour déterminer s’il s’agit d’un e-mail d’hameçonnage.
      Remarque :
      L’e-mail est d’abord vérifié avec toutes les règles de correspondance d’e-mail où le type de règle est défini sur Refuser. Si l’e-mail correspond à la condition de l’une des règles de refus, un enregistrement d’audit est créé dans la table sn_si_phishing_email_deny_audit . Aucun incident de sécurité n’est créé pour un tel e-mail.
    • Lorsque l’e-mail est identifié comme un e-mail d’hameçonnage et qu’il correspond à une règle de correspondance d’e-mail dont le type de règle est défini sur Autoriser, un enregistrement d’e-mail d’hameçonnage est créé dans la table sn_si_phishing_email .
    • Enfin, le Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité flux est appliqué pour convertir l’enregistrement de l’e-mail d’hameçonnage en incident de sécurité.

    Pour afficher les détails de l’e-mail, accédez à Incident de sécurité > Afficher tous les e-mails d'hameçonnage. Une liste des enregistrements d’e-mails d’hameçonnage s’affiche. Sélectionnez le lien de date dans la colonne Créé pour afficher l’enregistrement de l’e-mail.


    E-mail d’hameçonnage avec règle À
    Tableau 1. Détails de l’e-mail d’hameçonnage de l’incident de sécurité
    Nom de champ Description
    Numéro Numéro attribué à l’e-mail d’hameçonnage signalé par l’utilisateur.
    Objet Objet de l’e-mail. La règle d’objet est utile dans les simulations de campagnes ou de tests d’hameçonnage. Dans ce cas, les organisations envoient des e-mails trompeurs à leur propre personnel pour tester leur réponse au phishing et aux attaques par e-mail similaires.

    Dans les tests d’e-mail d’hameçonnage simulés, si le client de messagerie Microsoft Outlook avec le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) est utilisé, l’utilisateur peut sélectionner le bouton Signaler l’hameçonnage pour signaler l’e-mail d’hameçonnage. L’e-mail est envoyé à l’équipe Security Operations avec la simulation d’hameçonnage ajoutée à l’objet de l’e-mail. Cela permet d’identifier l’e-mail comme un e-mail de hameçonnage simulé.
    De Adresse e-mail à partir de laquelle provient cet e-mail d’hameçonnage. Ces informations sont disponibles si l’e-mail d’hameçonnage est transféré au format . Pièce jointe au fichier EML ou si les en-têtes d’origine sont intégrés dans l’e-mail.

    Si l’utilisateur a transféré directement l’e-mail d’hameçonnage, l’adresse de l’émetteur peut ne pas être disponible.
    Reporté par ID d’e-mail de l’utilisateur qui a signalé cet e-mail d’hameçonnage. Sélectionnez l’icône Informations pour afficher des détails supplémentaires.
    ID de message ID affecté au message.
    Règle URP correspondante La règle d’hameçonnage signalé par un utilisateur qui doit être appliquée à cet e-mail. Sélectionnez l’icône Informations pour afficher des détails supplémentaires.
    Règle d’ingestion URP

    Comme vous pouvez le voir, dans cet exemple, le champ Condition montre que la ToRule est appliquée sur cet e-mail et qu’un incident de sécurité est créé. Consultez Configurer des règles d’intégration pour le hameçonnage signalé par un utilisateur pour plus d’informations sur la définition de règles de correspondance des e-mails.
    État Lorsqu’un nouvel enregistrement d’e-mail d’hameçonnage est créé dans la table sn_si_phishing_email , le champ État est défini sur Nouveau. Lorsque cet enregistrement d’e-mail est converti en incident de sécurité (voir Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité), le champ État est mis à jour et prend la valeur Traité.
    Origine de l’en-tête Ce champ indique l’origine des en-têtes de l’e-mail ou la manière dont l’utilisateur a signalé l’e-mail d’hameçonnage :
    • En-tête de l’e-mail : l’utilisateur a transféré l’e-mail d’hameçonnage à l’équipe des opérations de sécurité.
    • Corps du texte de l’e-mail :
      • L’utilisateur a sélectionné l’option Report Phish (si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client de messagerie).
      • En fonction de la règle de hameçonnage signalé par un utilisateur définie, l’e-mail d’hameçonnage est transféré à l’équipe des opérations de sécurité.
    • En-tête de pièce jointe EML :
      • Pièce jointe : l’utilisateur a transféré l’e-mail en tant que pièce jointe (. EML).
      • Soumission de Catalogue de services : l’utilisateur a téléchargé l’e-mail au format . EML sur le bureau, puis l’a téléchargé à un emplacement spécifié. L’incident de sécurité est ensuite créé à partir de l’e-mail.
    • Corps de la pièce jointe EML :
      • L’utilisateur a sélectionné l’option Report Phish (si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client de messagerie).
      • En fonction de la règle d’hameçonnage signalé par un utilisateur définie, l’e-mail d’hameçonnage est transféré en pièce jointe à l’équipe des opérations de sécurité.
    Incident de sécurité Ce champ est vide lorsque l’e-mail d’hameçonnage signalé par l’utilisateur est signalé pour la première fois. Lorsque le flux a été exécuté, cet Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité e-mail est converti en enregistrement d’incident de sécurité et le numéro de cet enregistrement s’affiche ici.
    Remarque :
    L’incident de sécurité est créé uniquement pour les e-mails, qui correspondent à une règle de correspondance d’e-mails dont le type de règle est défini sur Autoriser.
    En-têtes bruts Ce champ affiche les informations d’en-tête complètes extraites de l’e-mail, telles que définies dans la Définir les propriétés de hameçonnage signalé par l’utilisateur page. Les en-têtes sont analysés en paires de valeurs clés et affichés dans la liste En-têtes des e-mails d’hameçonnage.
    En-têtes d’e-mails d’hameçonnage
    Corps Nombrede l’e-mail d’hameçonnage signalé par les utilisateurs.

    Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité

    Le fluxTransformer l’e-mail d’hameçonnage en incident de sécurité convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité.

    Avant de commencer

    Remarque :
    Pour activer la fonctionnalité d’hameçonnage signalé par un utilisateur, vous devez faire une copie du flux et l’activer . Si vous avez créé des actions entrantes personnalisées et des flux personnalisés pour gérer les soumissions de hameçonnage signalées par les utilisateurs, les modifications de flux suggérées ici ne sont pas requises.
    • Rôle requis : sn_si.admin
    • Le spoke Concepteur de flux doit être installé.

    Pourquoi et quand exécuter cette tâche

    Ce flux est automatiquement lancé lorsqu’un enregistrement d’e-mail d’hameçonnage avec l’état défini sur Nouveau est créé. Ce flux contient la logique pour :
    • Regroupez les incidents de sécurité.
    • Mettez à jour les incidents de sécurité avec les remarques pertinentes.
    • Ajouter des données d’en-tête.
    • Créez des incidents enfants selon vos besoins.

    Procédure

    • Accédez à la Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations (Opérations de sécurité).
      Flux Security Operations
    • Sélectionnez le lien Transformer l’e-mail d’hameçonnage en incidents de sécurité pour afficher le flux.
    • Ce flux est fourni avec le système de base, est en mode Lecture seule et ne peut pas être utilisé.
      Sélectionnerl’icône Plus, faites une copie du flux et ouvrez-le pour votre utilisation. Vous pouvez maintenant modifier votre flux, par exemple en modifiant des conditions ou des actions de déclenchement ou en ajoutant et en supprimant des actions. Après avoir apporté les changements nécessaires, vous devez activer (voir Activer un Réponse aux incidents de sécurité flux) le flux afin qu’il puisse être exécuté.Flux Transformer l’e-mail d’hameçonnage en incidents de sécurité

      Cette figure illustre le déclencheur et les étapes exécutées avec le flux. Le panneau de droite affiche le flux de données. Sélectionnez une icône pour développer l’étape et afficher les détails.

    • Sélectionnez l’icône Déclencheur .
      Dans la première étape, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions du déclencheur et de la tâche à effectuer lorsque les conditions sont remplies. Ce flux est lancé lorsqu’un nouvel enregistrement est chargé dans la table sn_si_phishing_email .Flux de transformation : déclencheur
    • À l’étape 1, le flux vérifie si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées ? est activé ou désactivé sur la Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité page.
      Flux de transformation : action 1
    • L’étape 2 permet d’identifier l’incident de sécurité parent le plus ancien.
      Remarquez l’icône à l’étape 2. Cela indique que le flux secondaire d’agrégation d’e-mails d’hameçonnage sera exécuté dans le cadre de cette étape.Flux de transformation : action 2

      Sélectionnez l’icône du concepteur d’action pour afficher une vue détaillée de l’action. Ce flux secondaire vérifie l’e-mail d’hameçonnage et le met en correspondance avec un incident de sécurité existant en fonction des critères spécifiés.

      Flux de transformation : flux secondaire d’agrégation d’e-mails d’hameçonnage
      Ces deux actions sont effectuées lorsque ce flux secondaire est exécuté. Cliquez sur le lien de la première action pour afficher des détails supplémentaires.
      Flux de transformation : flux secondaire : action
      Cette action vérifie les e-mails qui correspondent aux critères du nouvel e-mail entrant en fonction de conditions telles que :Si ces conditions sont remplies, vous pouvez voir le nombre d’enregistrements qui correspondent aux critères dans le champ Nombre maximal de résultats. L’enregistrement le plus ancien ou le premier de la liste est désigné comme l’enregistrement parent par rapport auquel les incidents de sécurité sont agrégés.
    • L’étape 3 ne s’applique que si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées ? a été défini sur Non dans la Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité page.
      Dans ce cas, l’e-mail d’hameçonnage est associé à l’enregistrement d’incident de sécurité et le flux s’arrête.
      Flux de transformation : action 3
    • Si l’option Créer des incidents enfants pour les soumissions d’e-mails agrégées ? est défini sur Oui, le flux continue de s’exécuter et un nouvel incident de sécurité est créé en fonction de l’e-mail d’hameçonnage signalé par l’utilisateur.
      Flux de transformation : action 4
    • À l’étape 5, les utilisateurs qui ont reçu l’e-mail d’hameçonnage (employés dans la liste À et CC de l’e-mail d’hameçonnage) sont ajoutés à la liste connexe Utilisateurs affectés dans l’enregistrement d’incident de sécurité.
      Transformer le formulaire : action 4
    • À l’étape 6, les observables listés pour Autoriser sont filtrés à partir de la liste des observables dans l’incident de sécurité.
      Ces observables sur la liste d’autorisation ne seront pas ajoutés à l’incident de sécurité.
      Flux de transformation : filtrer les éléments observables répertoriés autorisés
    • À l’étape 7, les observables inconnus provenant de l’e-mail d’hameçonnage signalé par les utilisateurs sont identifiés et ajoutés à la liste connexe Observables.
      Flux de transformation : ajouter des observables
    • À l’étape 8, une requête de recherche d’e-mail est générée, qui est une combinaison de l’objet et de l’adresse De de l’e-mail.
      Ces informations sont utiles pour identifier les employés de l’organisation qui ont été victimes d’hameçonnage.
      Flux de transformation : créer une requête de recherche d’e-mail
    • À l’étape 9, l’e-mail d’hameçonnage signalé par l’utilisateur est associé à l’incident de sécurité et l’enregistrement d’incident de sécurité (créé à l’étape 4) est mis à jour.
      Flux de transformation : mettre à jour l’enregistrement d’incident de sécurité
    • À l’étape 10, l’incident de sécurité parent est identifié et une vérification est effectuée pour voir s’il s’agit d’un enregistrement d’incident de sécurité ouvert.
      Flux de transformation : rechercher un enregistrement d’incident de sécurité
    • Si la sécurité parent est active, des notes sont ajoutées aux enregistrements d’incident de sécurité enfant et parent, indiquant comment ils sont associés les uns aux autres.
    • À l’étape 12, si aucun utilisateur affecté n’a été trouvé (à l’étape 5 du flux), une note de travail est ajoutée et l’enregistrement d’incident de sécurité est mis à jour.
      Flux de transformation : ajouter une note de travail pour les utilisateurs sans correspondance
    • À l’étape 13, une note de travail est ajoutée avec la liste des observables sur liste d’autorisation.
      Flux de transformation : ajouter une liste des observables sur la liste d’autorisation

    Que faire ensuite

    Vous pouvez sélectionner Tester pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, sélectionnez Activer pour activer le flux afin qu’il puisse être exécuté.

    Sélectionnez Exécutions pour afficher les détails d’exécution du flux.


    Flux de transformation : détails de l’exécution

    Lorsque le flux a été exécuté, l’enregistrement de l’e-mail d’hameçonnage est converti en incident de sécurité. Consultez Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Les enregistrements d’e-mails d’hameçonnage stockés dans la table sn_si_phishing_email sont convertis en enregistrements d’incidents de sécurité.

    Pour afficher l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage, cliquez sur Incident de sécurité > E-mail de hameçonnage > Afficher tous les e-mails d’hameçonnage.


    Table des e-mails de hameçonnage

    Cliquez sur le lien dans la colonne Incident de sécurité associé à l’enregistrement d’e-mail d’hameçonnage. Les détails de l’incident de sécurité sont affichés.


    Incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage

    Listes connexes

    Faites défiler la page vers le bas jusqu’à la section Liens connexes de l’incident de sécurité, puis cliquez sur la liste connexe Afficher tout. Affichez des détails tels que les incidents de sécurité enfants, les utilisateurs affectés, les e-mails d’hameçonnage associés.

    Incidents de sécurité enfants

    Cliquez sur l’onglet Incidents de sécurité enfants . Vous pouvez afficher une liste des incidents de sécurité enfants associés à l’incident de sécurité parent en fonction de la logique d’agrégation qui a été appliquée. Pour chaque enregistrement enfant ajouté, une activité système automatisée est ajoutée (dans la section Worknote) à l’enregistrement parent. Cela informe l’analyste sécurité de l’enregistrement enfant agrégé.
    Remarque :
    Vous pouvez voir les incidents de sécurité enfants ici uniquement si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées est défini sur Oui dans la page Propriétés d’hameçonnage signalé par un utilisateur. Reportez-vous Définir les propriétés de hameçonnage signalé par l’utilisateur à la section pour plus de détails.

    E-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Une liste des enregistrements d’e-mails d’hameçonnage (enregistrements en double) associés à l’enregistrement d’e-mail d’hameçonnage parent.
    Enregistrements d’e-mails d’hameçonnage associés

    En-têtes d’e-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Vous voyez les détails de l’en-tête de l’e-mail d’hameçonnage qui ont été capturés dans le cadre de l’incident de sécurité. Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et les enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    En-têtes d’e-mails d’hameçonnage associés

    Observables sur liste d’autorisation

    Au fur et à mesure de l’exécution du Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité flux, vous pouvez surveiller l’état de l’incident de sécurité. Lorsque certains observables sont marqués comme observables de la liste d’autorisation, ils ne sont pas ajoutés à la liste connexe des observables. En marquant les observables dans la liste d’autorisation, vous pouvez vous assurer que seuls les détails importants sont affichés. Par exemple, si www.google.com est l’une des URL qui a été balisée comme liste d’autorisation, le message système suivant s’affiche. Les observables de la liste d’autorisation garantissent que seuls les observables importants sont surveillés.

    Capture des utilisateurs sans correspondance

    Certains ID d’e-mail dans la liste À et CC de l’e-mail d’hameçonnage peuvent ne pas appartenir aux utilisateurs de l’organisation. Ces ID d’e-mail sont classés comme des utilisateurs sans correspondance et ne sont pas inclus dans la liste connexe Utilisateurs affectés. Une note de travail indiquant qu’il s’agit d’utilisateurs sans correspondance s’affiche.
    Utilisateurs sans correspondance

    Hameçonnage signalé par un utilisateur dans l’espace de travail de l’analyste de sécurité

    Vous pouvez afficher les incidents de sécurité associés aux enregistrements d’e-mail d’hameçonnage dans l’espace de travail de l’analyste de sécurité.

    Accédez à la Incident de sécurité > Nouvelle interface utilisateur. L’espace de travail s’ouvre dans un onglet de navigateur distinct. Sélectionnez l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage pour afficher l’incident de sécurité.

    Sélectionnez l’icône des jumelles. L’e-mail d’hameçonnage d’origine s’affiche.

    Dans l’onglet Explorer , sélectionnez Incidents > Incidents de sécurité enfants.

    Sélectionner Incidents > En-têtes d'hameçonnage associés > . Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et les enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.

    Cliquez sur le lien de l’e-mail d’hameçonnage pour afficher l’enregistrement de l’e-mail d’hameçonnage associé à l’incident de sécurité.

    Sélectionnez l’onglet Chronologie des incidents .

    Vous pouvez voir les mises à jour système qui mettent en évidence :
    • Identification des enregistrements enfants en double.
    • Liste d’autorisation des observables.
    • Utilisateurs sans correspondance ayant reçu l’e-mail d’hameçonnage, mais n’appartenant pas à la liste des utilisateurs affectés.

    Questions fréquentes

    Cette section couvre certaines des questions fréquemment posées sur la fonctionnalité améliorée d’hameçonnage signalé par les utilisateurs.

    1. J’ai installé le nouveau spoke Réponse aux incidents de sécurité, mais je ne peux afficher aucun incident de hameçonnage signalé par un utilisateur.

      Par défaut, la fonctionnalité de hameçonnage signalé par un utilisateur a été désactivée.

      Pour activer cette fonctionnalité, vous devez effectuer une copie du flux en lecture seule Transformer les e-mails de hameçonnage signalés par les utilisateurs en incidents de sécurité et l’activer avant de l’utiliser.

    2. Lors de l’ingestion d’e-mails d’hameçonnage et de leur conversion en incidents de sécurité, quelles mesures de précaution sont utilisées pour gérer les liens et les pièces jointes malveillants contenus dans les e-mails d’hameçonnage ?

      L’analyseur ServiceNow antivirus analyse ces pièces jointes et liens malveillants. Cependant, pour que les analystes de sécurité puissent enquêter avec précision sur les incidents, l’application Réponse aux incidents de sécurité capture tous les artefacts qui font partie d’un e-mail d’hameçonnage. Cependant, la fonctionnalité User Reported Phishing désactive les liens malveillants contenus dans l’e-mail d’hameçonnage afin que les analystes de sécurité ne cliquent pas accidentellement sur ces liens. En ce qui concerne les pièces jointes malveillantes, les analystes de sécurité doivent être prudents avant de les télécharger.

    3. Captonnons-nous tous les fichiers malveillants qui font partie des e-mails d’hameçonnage pour enrichir les incidents de sécurité ?

      Oui, nous capturons tous les fichiers des e-mails d’hameçonnage. Vous pouvez afficher ces détails sont disponibles dans le cadre des observables d’incident de sécurité sous la forme d’un hachage de fichier.

    4. Envoyons-nous des fichiers et des liens malveillants des e-mails d’hameçonnage à une instance de bac à sable pour enquête ?

      Actuellement, nous ne prenons pas en charge les intégrations de bac à sable prêtes à l’emploi pour enquêter sur les liens et les fichiers malveillants.

    5. Existe-t-il une fenêtre de temps ou un déclencheur qui définit la durée pendant laquelle les enregistrements d’e-mails d’hameçonnage en double entrants sont associés à un incident de sécurité parent ?

      Les enregistrements d’e-mails d’hameçonnage en double sont agrégés uniquement à un incident de sécurité parent actif. Si l’incident parent est fermé ou annulé, le nouvel e-mail d’hameçonnage en double entrant est créé en tant que nouvel incident de sécurité. Toutefois, dans ce scénario, au sein du nouvel incident de sécurité, vous pouvez afficher l’incident de sécurité parent fermé ou annulé dans la liste connexe Incident de sécurité similaire .

      Remarque :
      Ce comportement peut être configuré à l’aide du concepteur de flux.
    6. La fonctionnalité User Report Phishing prend-elle en charge l’utilisation uniquement du module d’extension Microsoft Outlook PhishAlarm (précédemment connu sous le nom de Wombat) pour capturer les détails de l’en-tête des e-mails ?

      La fonctionnalité Signalé par l’utilisateur a été conçue pour analyser les en-têtes d’e-mail et est conforme à la norme RFC 822. Ainsi, à l’instar du plugin PhishAlarm (anciennement connu sous le nom de Wombat), tous les autres plugins Microsoft Outlook qui capturent les en-têtes d’e-mails basés sur les normes RFC822 sont pris en charge.