Définir des critères de recherche d’e-mails et demander une recherche dans le Microsoft Exchange Online service

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 12 minutes de lecture

    • En tant qu’utilisateur disposant du rôle sn_si.analyst, définissez des critères de recherche et soumettez une demande de recherche d’e-mail basée sur les détails d’incident d’un enregistrement d’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les figures de cette procédure sont affichées avec des formulaires à onglets sélectionnés dans les paramètres système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, consultez la section intitulée Afficher les formulaires à onglets dans Configuration de la mise en page du formulaire sur le site Web de la documentation produit ServiceNow.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’état des messages individuels qui correspondent à la requête de recherche et les résultats de la recherche sont consignés dans l’enregistrement de l’incident de sécurité. Si les notifications par e-mail sont activées, vous pouvez afficher les résultats de la recherche à partir d’un message électronique.

    Les critères de recherche peuvent inclure les adresses d’expéditeur de message, les adresses de destinataire ou les noms de sujets. Les combinaisons suivantes de paramètres de recherche Objet, Expéditeur et Destinataire du message sont souvent utilisées pour trouver des e-mails liés au hameçonnage pouvant faire partie d’une seule campagne d’hameçonnage :
    • Retrouvez tous les e-mails originaux envoyés par un compte de phishing : Recherche par expéditeur.
    • Retrouvez tous les e-mails originaux pour une seule campagne de phishing : Recherche par sujet et par expéditeur.
    • Retrouvez tous les e-mails reçus pour une seule campagne de phishing (originale et transférée, quel qu’en soit l’expéditeur) : Recherche par sujet.
    • Trouvez tous les e-mails transférés pour un seul e-mail d’hameçonnage d’un seul utilisateur : recherche par destinataire + objet.
    • Retrouvez tous les e-mails liés au phishing envoyés à un seul utilisateur : Recherche par expéditeur + destinataire.
    Remarque :
    Les recherches sont effectuées sur les e-mails envoyés ou reçus au cours des 30 derniers jours calendaires, sauf si une fenêtre de recherche plus courte est configurée lors de la configuration initiale. Une recherche d’e-mails réussie est requise avant de pouvoir supprimer des e-mails.

    L’exemple suivant vous montre comment lancer une recherche à partir d’un ServiceNow AI Platform incident de sécurité. Un incident de sécurité est créé en fonction de l’e-mail d’origine d’une attaque d’hameçonnage présumée dans le Microsoft Exchange Online serveur de votre organisation. Pour cet exemple, les critères de recherche sont Expéditeur (De) plus Objet, où De est phisher@cbazyx.com et Objet est Connexion à votre compte.

    Les résultats des recherches sur les sujets sont renvoyés lorsque la recherche trouve des chaînes de texte contenant des mots clés qui correspondent aux critères de recherche saisis. Dans cet exemple, l’objet est de vous connecter à votre compte. Utilisez l’opérateur ET pour séparer les conditions de recherche De et Objet afin de renvoyer des résultats pour tous les e-mails contenant ces critères de recherche donnés. Les étapes suivantes décrivent comment configurer une recherche qui trouve uniquement les e-mails contenant du texte de ligne d’objet envoyés par un compte d’hameçonnage spécifique.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents et localisez l’incident de sécurité avec lequel vous travaillez.
    2. Vous pouvez également suivre ces étapes pour définir et exécuter un filtre afin que seuls les incidents de sécurité créés par des événements d’hameçonnage s’affichent.
      1. Accédez à la Incident de sécurité > Afficher les incidents pour ouvrir la liste des incidents de sécurité.
      2. Dans le coin supérieur gauche de la liste qui s’affiche, cliquez sur l’icône de filtre.
        Filtrage.
      3. Dans les champs qui s’affichent, sélectionnez Description courte > contient dans les listes de choix, puis saisissez Hameçonnage signalé par un utilisateur et cliquez sur Exécuter.

        Les incidents de sécurité associés au hameçonnage s’affichent.

        Colonne Description brève de la liste des incidents de sécurité mise en surbrillance.
      4. Utilisez le texte de la colonne Description brève pour vous aider à localiser l’incident de sécurité avec lequel vous travaillez.
      5. Dans la colonne Numéro, cliquez sur un incident de sécurité pour ouvrir un enregistrement.
    3. Faites défiler vers le bas de l’enregistrement d’incident de sécurité et cliquez sur la liste connexe Recherche d’e-mails.

      Si la liste connexe Recherche d’e-mails n’est pas affichée, cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher cette liste connexe.

      Liste connexe de recherche d’e-mail dans un enregistrement d’incident de sécurité mis en surbrillance.
    4. Dans la liste connexe Recherche d’e-mails, cliquez sur Nouveau pour créer un enregistrement de recherche d’e-mails.
      Le formulaire Recherche d’e-mail s’affiche. Si vous décidez de réexécuter cette requête de recherche pour le même incident lié au hameçonnage avec des modifications mineures, vous pouvez réutiliser cet enregistrement de requête de recherche. Cependant, il est peu probable que vous utilisiez cette recherche pour un autre incident lié au hameçonnage, car les campagnes d’hameçonnage sont dynamiques et les champs de l’expéditeur et du message changent souvent.
    5. Facultatif : Pour modifier un enregistrement de requête de recherche existant, cliquez sur Modifier.
    6. Renseignez les champs du formulaire Recherche d’e-mails.
      Champ Description
      Nom Informations permettant de décrire le type de recherche. Pour cet exemple, un nom pour une recherche De + Objet est Phish « connectez-vous à votre compte ».
      Description Informations relatives à la recherche dans le serveur de messagerie. Un exemple pour cette recherche est From=phisher@cbazyx.com + Objet=connectez-vous à votre compte.
      Un formulaire rempli.
    7. Cliquez sur Envoyer.
      L’incident de sécurité s’affiche et le nom de la recherche d’e-mail s’affiche dans la colonne Recherche d’e-mails de la liste connexe Recherche d’e-mails. Avant de pouvoir utiliser cette nouvelle requête de recherche, des critères de recherche doivent être définis pour l’enregistrement de recherche.
    8. Pour définir des critères de recherche, avec la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur Phish « se connecter à votre compte ».
      Onglet Recherche d’e-mails avec colonne de recherche d’e-mails en surbrillance sur un incident de sécurité.
    9. Dans l’enregistrement de recherche d’e-mail qui s’affiche, cliquez sur la liste connexe Critères de recherche d’e-mail, puis cliquez sur Nouveau.
      Nouveau bouton mis en surbrillance.
    10. Renseignez les champs du formulaire Critères de recherche d’e-mails.

      Un exemple de formulaire rempli suit la table.

      Champ Description
      Recherche d'e-mail Le champ est renseigné automatiquement avec le nom que vous avez saisi pour l’enregistrement de recherche d’e-mail.
      Icône de recherche Effectuez une recherche à l’aide de la liste.

      Liste des recherches enregistrées. Cliquez sur l’icône pour ouvrir une liste de recherches d’e-mails enregistrées. Cliquez sur un élément de cette liste pour supprimer la recherche actuelle et sélectionnez une recherche d’e-mail précédemment enregistrée.
      Icône d'informations Icône utilisée pour afficher l’enregistrement de recherche d’e-mail. Cliquez sur l’icône pour afficher l’enregistrement de recherche d’e-mail.
      Champ de recherche Critère de recherche (Objet, De ou Destinataire). Sélectionnez le critère de recherche dans la liste de choix et définissez une valeur que vous souhaitez rechercher dans le champ de texte. Pour cet exemple, commencez par À partir de phisher@cbazyx.com (l’adresse e-mail de l’expéditeur de l’e-mail d’hameçonnage).
      Actives Option permettant d’activer la recherche.

      La recherche est activée par défaut.

      Si vous décochez cette option, cet enregistrement n’est pas inclus dans une recherche.
      Opérateur Opérateurs (ET, OU) pour affiner votre recherche.

      ET : le système recherche les conditions séparées par ET et renvoie les résultats uniquement si toutes les conditions sont remplies. Pour la recherche expéditeur plus objet, utilisez l’opérateur ET afin que les deux conditions de recherche soient remplies lors de la recherche d’e-mail.

      Pour cet exemple, utilisez l’opérateur ET pour que la requête soit De (Expéditeur) = phisher@cbazyx.com ET Objet = Connectez-vous à votre compte.

      OU : le système recherche et renvoie des résultats si l’une des conditions séparées par OU est remplie.

      Par exemple, De (expéditeur) = phisher@cbazyx.com OU De (expéditeur) = phisher-2@cbazyx.com.
      Ordre Si vous entrez plus de deux conditions de recherche, utilisez Ordre pour classer les conditions par ordre de priorité. 100 est la valeur par défaut. Entrez une valeur comprise entre 1 et 100 pour chaque condition, par exemple, 100, 95, 90, 80. La condition dotée du numéro le plus bas affecté a la priorité de recherche la plus élevée au sein d’un groupe de conditions.
      Texte de recherche Les valeurs de texte (mots clés) pour la recherche (adresses e-mail ou lignes d’objet).

      Le champ de recherche contient le texte utilisé dans la recherche, par exemple, phisher@cbazyx.com.

      Pour que la recherche renvoie des résultats précis pour les recherches de l’expéditeur (De) et du destinataire, les chaînes de recherche doivent correspondre exactement. Pour les recherches par sujet, la chaîne de recherche peut contenir des mots clés qui font partie d’une chaîne plus large. Par exemple, un sujet peut contenir la chaîne de recherche exacte qui correspond à un en-tête de message transféré ou de réponse tel que FW : connectez-vous à votre compte et changez votre mot de passe immédiatement.

      Par exemple, Se connecter à votre compte sont des mots clés exacts dans la chaîne connectez-vous à votre compte et changez votre mot de passe immédiatement.

      Aucune désignation générique (*) n’est requise pour prendre en charge un type de recherche contains . Actuellement, il n’existe aucune méthode de filtrage pour faire correspondre une chaîne de recherche exacte qui ne fait pas partie d’une chaîne de texte plus grande.
      Formulaire Critères de recherche d’e-mails
    11. Cliquez sur Envoyer.
      L’enregistrement Recherche d’e-mail s’affiche. Dans le champ Critères de requête par , les critères de recherche que vous avez ajoutés pour l’expéditeur (De) s’affichent.
      Enregistrement de recherche d’e-mail
    12. Pour mettre à jour ces critères de recherche d’e-mails avec plus d’informations afin que la requête inclue la condition objet-plus-expéditeur souhaitée, procédez comme suit pour ajouter une autre condition de recherche.
      1. Dans la liste connexe Critères de recherche d’e-mails, cliquez sur Nouveau.
        Liste connexe des critères de recherche d’e-mails
      2. Dans la liste Champ Rechercherde l’enregistrement Email Search Criteria (Critères de recherche d’e-mail) qui s’affiche, sélectionnez Subject (Objet).
      3. Dans la liste Opérateur, sélectionnezET ou OU.
        Si vous sélectionnez OU, la recherche renvoie des résultats si les mots clés de la chaîne de texte de la ligne d’objet sont mis en correspondance ou si la condition d’adresse e-mail est vérifiée. ET est sélectionné pour cet exemple afin que la recherche ne renvoie des résultats que pour les e-mails qui contiennent les mots clés de la chaîne de texte de l’objet et qui correspondent à l’adresse e-mail de l’expéditeur.
      4. Dans le champ de texte Rechercher , entrez la valeur du texte de la ligne d’objet, connectez-vous à votre compte.
        Champ de texte de recherche avec chaîne de texte.
      5. Cliquez sur Envoyer.
        La nouvelle condition s’affiche dans la liste connexe Critères de recherche d’e-mails, et les deux conditions sont affichées dans le champ Query from criteria (Requête à partir de critères ), séparées par l’opérateur AND .
        La nouvelle condition s’affiche dans la liste connexe Critères de recherche d’e-mails
      6. Facultatif : Si vous avez plus de deux conditions de recherche et que vous sélectionnez ET pour séparer chaque condition, définissez la valeur d’ordre pour les classer par ordre de priorité.
      7. Continuez à ajouter, modifier ou supprimer des critères de recherche comme vous le souhaitez, puis cliquez sur Mettre à jour pour enregistrer vos changements dans l’enregistrement.
    13. Choisissez une option pour continuer.
      OptionDescription
      Mettre à jour Mettez à jour et enregistrez vos changements dans l’enregistrement.
      Rechercher sur les serveurs de messagerie Lancez une recherche sur les serveurs en utilisant les critères que vous avez enregistrés dans l’enregistrement des critères de recherche d’e-mails.
      Supprimer Supprimez cet enregistrement de recherche d’e-mails de votre ServiceNow AI Platform instance. Cette action ne supprime pas les messages électroniques réels. Cela supprime uniquement l’enregistrement de recherche utilisé pour trouver des messages.

      Une boîte de dialogue s’affiche. Si vous cliquez sur Supprimer, les résultats de la recherche d’e-mails et les critères de recherche d’e-mails pour cet enregistrement de recherche sont supprimés.

      Boîte de dialogue de confirmation pour supprimer un enregistrement de recherche d’e-mail.

      Si un enregistrement possède des résultats de recherche, l’avertissement suivant s’affiche.

      Boîte de dialogue de confirmation pour l’enregistrement des résultats de recherche.
    14. Pour lancer une recherche d’e-mail, dans l’enregistrement de recherche d’e-mail, cliquez sur Rechercher sur le(s) serveur(s) de messagerie.
      Un message s’affiche indiquant que la demande de recherche a été envoyée.

      Sur l’enregistrement d’incident de sécurité, une note de travail s’affiche indiquant qu’une recherche a été lancée.

      Journaux de notes de travail indiquant qu’une recherche est lancée.

      Si le balisage est activé, la balise de sécurité Recherche d’e-mail - Initiée s’affiche en haut de l’enregistrement d’incident de sécurité.

      Recherche d’e-mail lancée balise de sécurité mise en surbrillance.

      Une fois la recherche terminée, si les notifications par e-mail sont activées, un e-mail est envoyé à l’adresse e-mail de la personne qui a initié la recherche.

      Dans cet exemple, l’utilisateur ayant le rôle sn_si.analyst, Hans SecAnalyst, a soumis cette recherche. L’image suivante montre que cette notification est envoyée à un compte dans Microsoft Exchange Online. Toutefois, ces notifications peuvent être envoyées à un autre service de messagerie, selon les besoins.

      Cette notification vous permet d’afficher tous les résultats correspondants qui nécessitent un suivi et une suppression. L’exemple suivant montre qu’un seul e-mail correspond aux critères de recherche. Un lien de résultat de recherche d’e-mail vers l’enregistrement de résultat de recherche d’e-mail dans votre ServiceNow AI Platform instance est également fourni. Si vous souhaitez afficher l’enregistrement de recherche, cliquez sur ce lien.

      Notification par e-mail pour la recherche d’e-mail soumise par l’analyste de sécurité.
    15. À partir de cet e-mail, pour afficher les résultats de la recherche, cliquez sur le lien Résultat de recherche d’e-mail .
      L’enregistrement du résultat de la recherche d’e-mails s’affiche. Sur cet enregistrement, vous pouvez vérifier et examiner les données suivantes.
      • Dans le champ Données brutes , le nombre d’e-mails correspondant aux critères de recherche {"count » :1} et les adresses de boîte aux lettres où les e-mails ont été trouvés sont affichés ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • Dans la colonne Destinataires, le destinataire est (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • Dans la colonne Expéditeur , la source de l’e-mail s’affiche.
      • Dans la colonne Date de réception de l’e-mail , la date et l’heure de réception de l’e-mail s’affichent pour vous aider à suivre les chronologies des campagnes d’hameçonnage.
      • Dans la colonne État de lecture de l’e-mail , l’e-mail dans cet exemple n’a pas été lu (faux). Si un e-mail a été lu, vrai s’affiche.
      • Dans la colonne A été supprimé , l’e-mail dans cet exemple n’a pas été supprimé. Si un e-mail a été supprimé, la valeur Vrai s’affiche.
      Champ de données brutes
    16. Pour afficher les résultats de la recherche de l’incident de sécurité, procédez également.
      1. Accédez à la Incident de sécurité > Incidents et ouvrez l’incident de sécurité avec lequel vous travaillez.
        En haut de l’enregistrement, lorsque la recherche est terminée avec succès, la balise de sécurité Recherche d’e-mail : terminée remplace la balise de sécurité Recherche d’e-mail : lancée .
        Recherche d’e-mail terminée balise de sécurité mise en surbrillance.

        Des notes de travail s’affichent indiquant que la recherche est terminée avec succès et qu’un e-mail correspondant a été trouvé.

        Notes de travail enregistrant les e-mails correspondants trouvés.
      2. Faites défiler vers le bas de l’enregistrement d’incident de sécurité et cliquez sur la liste connexe Recherche d’e-mails.

        Si la liste connexe Recherche d’e-mails n’est pas affichée, cliquez sur le lien connexeAfficher toutes les listes connexes pour afficher cette liste connexe.

        Liste connexe Recherche d’e-mail sur l’enregistrement d’incident de sécurité.
      3. Une fois la liste connexe Recherche d’e-mail sélectionnée, dans la colonne Recherche d’e-mail, cliquez sur le nom de votre recherche.
        Colonne de recherche d’e-mail avec le nom de la recherche mis en surbrillance.
      4. Dans l’enregistrement de recherche d’e-mail, cliquez sur la liste connexe Résultats de recherche d’e-mail.
      5. Dans la colonne Date de recherche, cliquez sur la date de votre recherche pour afficher les données.
        L’enregistrement du résultat de la recherche d’e-mails s’affiche.
        L’enregistrement du résultat de la recherche d’e-mails s’affiche.
      Une fois la recherche d’e-mails terminée, évaluez les résultats. Si vous déterminez que les e-mails doivent être corrigés, vous êtes maintenant prêt à supprimer des e-mails ou à demander l’approbation de suppression.