Approuver les demandes de suppression d’e-mail pour l’intégration Microsoft Exchange Online

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Si l’option d’approbation est activée dans votre Now Platform instance, les demandes de suppression d’e-mails sont envoyées par e-mail à chaque membre du groupe d’approbation. Vous sélectionnez le groupe d’approbation au cours de l’étape de configuration. Les approbations fournissent à votre organisation un niveau supplémentaire de contrôle sur la suppression des e-mails.

    Avant de commencer

    Vérifiez que l’option Approbations est sélectionnée dans l’onglet Paramètres supplémentaires du formulaire Paramètres de configuration de la recherche et de la suppression d’e-mails Exchange Online.

    Vérifiez que vous avez activé les options E-mail Envoi d’e-mail activéet Réception d’e-mail activée dans votre Now Platform instance pour les demandes d’approbation. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration Microsoft Exchange Online.

    Lorsque l’utilisateur doté du rôle sn_si.analyst envoie des demandes de suppression d’e-mail, ces demandes sont envoyées par défaut par e-mail au sn_si.admin. Si vous avez créé un groupe d’approbation, chaque membre du groupe reçoit une notification. Les approbateurs peuvent traiter les demandes de suppression d’e-mail directement à partir de la notification par e-mail. De même, les demandes peuvent être traitées à partir des enregistrements de résultats de recherche d’e-mail dans Now Platform les instances. Cette rubrique présente les deux méthodes d’approbation.

    Les informations suivantes décrivent la demande dans la notification par e-mail :

    Numéro d’enregistrement des résultats de recherche d’e-mail
    Numéro unique affecté à l’enregistrement de recherche par l’utilisateur Now Platform dans le cadre de la piste d’audit.
    Nom de l’analyste qui a soumis la demande
    Nom de la personne qui a soumis la demande dans le cadre de la piste d’audit.
    Lien vers l’incident de sécurité
    Un lien vers l’incident de sécurité lié à l’événement d’hameçonnage. Affichez l’incident de sécurité avec les notes de travail, les recherches d’e-mails et les résultats de recherche d’e-mails directement à partir de l’e-mail.
    Approuver ou rejeter les liens
    Liens pour approuver ou rejeter la demande à partir de la notification par e-mail. Après avoir cliqué sur l’un des liens, le système lance automatiquement le workflow connexe et une note de travail est publiée dans l’enregistrement d’incident de sécurité.

    Rôle requis : sn_si.admin ou tous les membres d’un groupe d’approbation affecté.

    Procédure

    1. Pour traiter la demande de suppression à partir de la notification par e-mail, procédez comme suit.
      1. En tant qu’approbateur, recherchez l’e-mail de notification dans le compte de messagerie que vous avez configuré dans votre Now Platform compte d’utilisateur.

        Dans cet exemple, l’utilisateur disposant du rôle sn_si.analyst (Hans SecAnalyst) soumet une demande de suppression d’un e-mail. Johann SecAdmin est membre du groupe d’approbation.

        Notification par e-mail pour supprimer une demande d’approbation.
      2. Dans la notification par e-mail, choisissez une option pour continuer.
      OptionDescription
      Cliquez sur le lien Cliquez ici pour approuver Approuver Approuvez la demande de suppression. Tous les éléments d’e-mail avec l’état faux dans la colonne A été supprimés qui sont associés à l’enregistrement de résultats de recherche sont automatiquement supprimés du Microsoft Exchange Online locataire.

      L’état de tous les éléments d’e-mail de l’ensemble de résultats est mis à jour sur true dans la colonne A été supprimé de l’enregistrement de résultat de recherche d’e-mail.

      Une note de travail est publiée dans l’enregistrement d’incident de sécurité avec le nombre d’e-mails supprimés avec succès. Si le balisage est activé, la balise Suppression d’e-mail - Terminée remplace la balise Suppression d’e-mail - Initiée .
      Cliquez sur le lien Cliquez ici pour rejeter Rejetez la demande de suppression. Une note de travail est publiée avec le nom de la personne qui a rejeté la demande.

      Une fois qu’une demande est rejetée, en tant qu’utilisateur ayant le rôle sn_si.analyst, vous devez soumettre une nouvelle demande de suppression si vous déterminez que les e-mails doivent être supprimés.
      Cliquez sur le lien vers l’enregistrement d’incident de sécurité (SIR0010002) Examinez l’incident de sécurité associé et toutes les données de recherche connexes avant de traiter la demande.

      L’image suivante montre un exemple de piste d’audit créée par les notes de travail sur l’enregistrement d’incident de sécurité connexe. Lorsque la demande est rejetée à partir de la notification par e-mail par un approbateur, une note de travail est publiée par la personne qui a rejeté la demande. Johann SecAdmin rejette cette demande.

      Notes de travail avec piste d’audit pour une demande refusée.

      Dans le Now Platform cas de la personne qui a rejeté la demande (Johann SecAdmin), dans Libre-service > Mes approbations, Rejeté s’affiche dans la colonne État.

      Une fois qu’une demande est rejetée par un seul membre du groupe d’approbation, en tant qu’utilisateur ayant le rôle sn_si.analyst, vous devez soumettre une nouvelle demande de suppression de ces e-mails si vous déterminez qu’ils doivent être supprimés.

      Par exemple, une fois la demande rejetée, l’utilisateur disposant du rôle sn_si.analyst envoie une nouvelle demande.

      Un autre membre du groupe d’approbation, John Approver, reçoit un e-mail similaire à celui affiché dans l’exemple précédent. John Approver peut également traiter cette demande.

    2. Les approbateurs peuvent également accéder à Libre-service > Mes approbations dans leurs Now Platform instances pour afficher et traiter les demandes de suppression.
      Pour traiter une demande à partir de Mes approbations, procédez comme suit.
      1. Accédez à la Libre-service > Mes approbations.
        Figure 1. Ma liste d’approbations
        Liste des approbations
      2. Dans la colonne État, cliquez sur l’élément demandé.

        L’enregistrement d’approbation qui s’affiche répertorie les données relatives à la recherche, à la demande de recherche et aux résultats de recherche.

        Figure 2. Détails de l’approbation
        Enregistrement d’approbation à partir de Mes approbations
      3. Sur cet enregistrement, cliquez sur Approuver pour approuver la demande.
        Une fois la demande approuvée, le système lance le workflow de suppression pour supprimer les e-mails. L’image suivante montre un exemple de piste d’audit créée par les notes de travail sur l’enregistrement d’incident de sécurité connexe. Une fois que cette demande de suppression est soumise à nouveau, elle est approuvée. Quelle que soit la méthode utilisée pour approuver une demande, le nombre d’e-mails supprimés avec succès est publié dans une note de travail.
        Les notes de travail journalisant la piste d’audit à partir d’une recherche d’e-mails initiée via des e-mails sont supprimées avec succès.

        Une fois les e-mails supprimés, sur l’enregistrement d’incident de sécurité connexe, si le balisage est activé, la balise Suppression d’e-mail - Terminé remplace la balise Suppression d’e-mail - Initiée .

        Entrante Libre-service > Mes approbations pour l’approbateur (John Approbover), l’état passe de Demandé à Approuvé.

        Entrante Libre-service > Mes approbations pour les autres membres du groupe d’approbation, par exemple Johann SecAdmin, l’état passe à N’est plus nécessaire une fois la demande approuvée.

    3. Alternativement, pour confirmer que les e-mails sont supprimés dans l’enregistrement des résultats de recherche d’e-mail sur l’enregistrement d’incident de sécurité connexe, suivez les étapes suivantes.
      1. Accédez à la Incidents de sécurité > afficher tous les incidents et localisez l’incident de sécurité lié au hameçonnage.
        Les listes connexes s’affichent en bas de l’enregistrement.
      2. Cliquez sur la liste connexe Recherche d’e-mail .
      3. Cliquez sur le nom de la recherche dans la colonne Recherche d’e-mail (Phish « connectez-vous à votre compte »).
        L’enregistrement Recherche d’e-mail s’affiche. Si la liste connexe Recherche d’e-mail n’est pas visible, cliquez sur le lien Afficher toutes les listes connexes.
      4. Cliquez sur la liste connexe Résultats de recherche d’e-mail .
        Dans la colonne Date de recherche, les actions de recherche et de suppression d’e-mails sont affichées avec les dates correspondantes.
      5. Dans la colonne Date de recherche, cliquez sur l’élément qui correspond à l’action de suppression.
        Dans l’enregistrement Résultat de recherche d’e-mail qui s’affiche, l’état de la colonne A été supprimé indique que l’e-mail a été supprimé (vrai).
        La colonne A été supprimée mise en surbrillance sur l’enregistrement des résultats de recherche d’e-mail.

        Vous avez approuvé avec succès les demandes de suppression d’e-mails provenant à la fois d’une notification par e-mail et d’un enregistrement d’approbation, et confirmé que les e-mails sont supprimés. Pour plus d’informations sur la localisation de l’enregistrement Résultat de recherche d’e-mail, reportez-vous à Définir des critères de recherche d’e-mails et demander une recherche sur le Microsoft Exchange Online service.