Définir des critères de recherche d’e-mails et demander une recherche sur le Microsoft Exchange Online service

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 12 minutes de lecture

    • En tant qu’utilisateur disposant du rôle sn_si.analyst, définissez les critères de recherche et soumettez une demande de recherche d’e-mails en fonction des détails d’incident d’un enregistrement d’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les chiffres de cette procédure sont affichés avec les formulaires à onglets sélectionnés dans les paramètres système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, consultez la section intitulée Afficher les formulaires à onglets dans Configuration de la mise en page des formulaires sur le site web de la documentation produit ServiceNow.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’état des messages individuels qui correspondent à la requête de recherche et les résultats de la recherche sont signalés dans l’enregistrement d’incident de sécurité. Si les notifications par e-mail sont activées, vous pouvez afficher les résultats de recherche à partir d’un message électronique.

    Les critères de recherche peuvent inclure les adresses de l’expéditeur du message, les adresses des destinataires ou les noms d’objets. Les combinaisons suivantes des paramètres de recherche de l’objet, de l’expéditeur et du destinataire du message sont souvent utilisées pour trouver des e-mails liés au phishing susceptibles de faire partie d’une seule campagne d’hameçonnage :
    • Pour rechercher tous les e-mails originaux envoyés par un compte d’hameçonnage, effectuez une recherche par expéditeur.
    • Recherchez tous les e-mails originaux d’une seule campagne d’hameçonnage : Effectuez une recherche par sujet et par expéditeur.
    • Retrouvez tous les e-mails reçus pour une seule campagne d’hameçonnage (originaux et transférés, n’importe quel expéditeur) : Recherche par objet.
    • Rechercher tous les e-mails transférés pour un seul e-mail d’hameçonnage d’un seul utilisateur : recherche par destinataire + objet.
    • Pour rechercher tous les e-mails liés au phishing envoyés à un seul utilisateur : Recherche par expéditeur + destinataire.
    Remarque :
    Les recherches sont effectuées sur les e-mails envoyés ou reçus au cours des 30 derniers jours calendaires, sauf si une fenêtre de recherche plus courte est configurée lors de la configuration initiale. Une recherche réussie des e-mails est requise avant de pouvoir supprimer des e-mails.

    L’exemple suivant vous montre comment lancer une recherche à partir d’un Now Platform incident de sécurité. Un incident de sécurité est créé à partir de l’e-mail d’origine d’une attaque de phishing présumée sur le Microsoft Exchange Online serveur de votre organisation. Pour cet exemple, le critère de recherche est Expéditeur (De) plus Objet, où De est phisher@cbazyx.com et l’objet est Connexion à votre compte.

    Les résultats des recherches sur des sujets sont renvoyés lorsque la recherche trouve des chaînes de texte contenant des mots-clés qui correspondent aux critères de recherche saisis. Dans cet exemple, l’objet est Connectez-vous à votre compte. Utilisez l’opérateur AND pour séparer les conditions de recherche De et Objet afin de renvoyer les résultats de tous les messages électroniques qui contiennent ces critères de recherche donnés. Les étapes suivantes décrivent comment configurer une recherche qui trouve uniquement les e-mails contenant du texte dans la ligne d’objet envoyés par un compte d’hameçonnage spécifique.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents et localisez l’incident de sécurité sur lequel vous travaillez.
    2. Vous pouvez également suivre ces étapes pour définir et exécuter un filtre afin que seuls les incidents de sécurité créés par des événements de hameçonnage soient affichés.
      1. Accédez à la Incident de sécurité > Afficher tous les incidents pour ouvrir la liste des incidents de sécurité.
      2. Dans le coin supérieur gauche de la liste qui s’affiche, cliquez sur l’icône de filtre.
        Filtrage.
      3. Dans les champs qui s’affichent, sélectionnez Description brève > contient dans les listes de choix, puis saisissez hameçonnage signalé par l’utilisateur et cliquez sur Exécuter.

        Les incidents de sécurité liés au hameçonnage s’affichent.

        Colonne Brève description dans la liste des incidents de sécurité mise en évidence.
      4. Utilisez le texte dans la colonne Brève description pour vous aider à localiser l’incident de sécurité sur lequel vous travaillez.
      5. Dans la colonne Nombre, cliquez sur un incident de sécurité pour ouvrir un enregistrement.
    3. Faites défiler l’écran vers le bas de l’enregistrement d’incident de sécurité et cliquez sur la liste connexe Recherche d’e-mails.

      Si la liste connexe Recherche d’e-mail ne s’affiche pas, cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher cette liste connexe.

      Liste connexe Recherche d’e-mail dans un enregistrement d’incident de sécurité en surbrillance.
    4. Dans la liste connexe Recherche d’e-mails, cliquez sur Nouveau pour créer un enregistrement de recherche d’e-mails.
      Le formulaire de recherche d’e-mail s’affiche. Si vous souhaitez réexécuter cette requête de recherche pour le même incident lié au hameçonnage avec des modifications mineures, vous pouvez réutiliser cet enregistrement de requête de recherche. Cependant, il est peu probable que vous utilisiez cette recherche pour un autre incident lié au phishing, car les campagnes d’hameçonnage sont dynamiques et les champs de l’expéditeur et du message changent souvent.
    5. Facultatif : Pour modifier un enregistrement de requête de recherche existant, cliquez sur Modifier.
    6. Remplissez les champs du formulaire Recherche d’e-mail.
      Champ Description
      Nom Informations décrivant le type de recherche. Dans cet exemple, le nom d’une recherche De + Objet est Phish « connectez-vous à votre compte ».
      Description Informations sur la recherche dans le serveur de messagerie. Un exemple pour cette recherche est From=phisher@cbazyx.com + Objet = connectez-vous à votre compte.
      Un formulaire complété.
    7. Cliquez sur Envoyer.
      L’incident de sécurité s’affiche et le nom de la recherche d’e-mails s’affiche dans la colonne Recherche d’e-mails de la liste connexe Recherche d’e-mails. Avant de pouvoir utiliser cette nouvelle requête de recherche, des critères de recherche doivent être définis pour l’enregistrement de recherche.
    8. Pour définir les critères de recherche, avec la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur Hameçonnage « Connectez-vous à votre compte ».
      Onglet Recherche d’e-mail avec colonne Recherche d’e-mail mise en évidence sur un incident de sécurité.
    9. Dans l’enregistrement de recherche d’e-mail qui s’affiche, cliquez sur la liste connexe Critères de recherche d’e-mail, puis cliquez sur Nouveau.
      Bouton Nouveau mis en surbrillance.
    10. Renseignez les champs du formulaire Critères de recherche d’e-mail.

      Le tableau ci-dessous fournit un exemple de formulaire rempli.

      Champ Description
      Recherche d'e-mail Le champ est automatiquement renseigné avec le nom que vous avez saisi pour l’enregistrement Recherche d’e-mail.
      Icône de recherche Chercher à l’aide d’une liste.

      Une liste des recherches enregistrées. Cliquez sur l’icône pour ouvrir une liste des recherches d’e-mails enregistrées. Cliquez sur un élément de cette liste pour supprimer la recherche actuelle et sélectionner une recherche d’e-mails précédemment enregistrée.
      Icône d'informations Icône servant à afficher l’enregistrement de recherche d’e-mail. Cliquez sur l’icône pour afficher l’enregistrement de recherche d’e-mail.
      Champ de recherche Critère de recherche (Objet, De ou Destinataire). Sélectionnez le critère de recherche dans la liste de choix et définissez une valeur que vous souhaitez rechercher dans le champ de texte. Pour cet exemple, commencez par From phisher@cbazyx.com (l’adresse e-mail de l’expéditeur de l’e-mail d’hameçonnage).
      Actif Option d’activation de la recherche.

      La recherche est activée par défaut.

      Si vous désactivez cette option, cet enregistrement n’est pas inclus dans une recherche.
      Opérateur Opérateurs (ET,OU) pour affiner votre recherche.

      ET : le système recherche les conditions séparées par ET et renvoie des résultats uniquement si toutes les conditions sont remplies. Pour la recherche de l’expéditeur et de l’objet, utilisez l’opérateur AND afin que les deux conditions de recherche soient remplies pendant la recherche d’e-mails.

      Pour cet exemple, utilisez l’opérateur AND pour que la requête soit De (expéditeur) = phisher@cbazyx.com ET Objet = connectez-vous à votre compte.

      OU : le système recherche et renvoie des résultats si l’une des conditions séparées par OU est remplie.

      Par exemple, de (expéditeur) = phisher@cbazyx.com OU de (expéditeur) = phisher-2@cbazyx.com.
      Ordre Si vous saisissez plus de deux conditions de recherche, utilisez l’ordre pour classer les conditions par ordre de priorité. 100 est la valeur par défaut. Saisissez une valeur comprise entre 1 et 100 pour chaque condition, par exemple, 100, 95, 90, 80. La condition avec le numéro le plus bas affecté a la priorité de recherche la plus élevée dans un groupe de conditions.
      Texte de recherche Les valeurs textuelles (mots clés) pour la recherche (adresses e-mail ou lignes d’objet).

      Le champ de recherche contient le texte utilisé dans la recherche, par exemple, phisher@cbazyx.com.

      Pour que la recherche renvoie des résultats précis pour les recherches d’expéditeur (De) et de destinataire, les chaînes de recherche doivent correspondre exactement. Pour les recherches par sujet, la chaîne de recherche peut contenir des mots-clés qui font partie d’une chaîne plus grande. Par exemple, un objet peut contenir la chaîne de recherche exacte qui correspond à l’en-tête d’un message transféré ou d’un message de réponse, tel que FW : connectez-vous à votre compte et changez immédiatement votre mot de passe.

      Par exemple, Se connecter à votre compte sont des mots-clés exacts dans la chaîne Connectez-vous à votre compte et changez votre mot de passe immédiatement.

      Aucune désignation générique (*) n’est requise pour prendre en charge un type de recherche contains . Actuellement, il n’existe aucune méthode de filtrage permettant de faire correspondre une chaîne de recherche exacte qui ne fait pas partie d’une chaîne de texte plus grande.
      Formulaire Critères de recherche d’e-mail
    11. Cliquez sur Envoyer.
      L’enregistrement Recherche d’e-mail s’affiche. Le champ Demander à partir des critères , les critères de recherche que vous avez ajoutés pour l’expéditeur (De) s’affichent.
      Enregistrement de recherche d’e-mail
    12. Pour mettre à jour ces critères de recherche d’e-mails avec plus d’informations afin que la requête inclue la condition objet plus expéditeur de votre choix, suivez les étapes pour ajouter une autre condition de recherche.
      1. Cliquez sur Nouveau dans la liste connexe Critères de recherche d’e-mail.
        Liste connexe Critères de recherche d’e-mail
      2. Dans la liste des champs de recherchede l’enregistrement de critères de recherche d’e-mail qui s’affiche, sélectionnez Objet.
      3. Dans la liste Opérateur, sélectionnezET ou OU.
        Si vous sélectionnez OU, la recherche renvoie des résultats si l’un des mots clés de la chaîne de texte de la ligne d’objet correspond ou si la condition d’adresse e-mail correspond. AND est sélectionné pour cet exemple afin que la recherche ne renvoie des résultats que pour les e-mails qui contiennent les mots clés de la chaîne de texte d’objet et qui correspondent à l’adresse e-mail de l’expéditeur.
      4. Dans le champ Texte de recherche , saisissez la valeur du texte de la ligne d’objet, connectez-vous à votre compte.
        Champ de texte de recherche avec chaîne de texte.
      5. Cliquez sur Envoyer.
        La nouvelle condition est affichée dans la liste connexe Critères de recherche d’e-mail, et les deux conditions sont affichées dans le champ Demander à partir de critères séparés par l’opérateur ET .
        Une nouvelle condition s’affiche dans la liste connexe des critères de recherche d’e-mail
      6. Facultatif : Si vous avez plusieurs conditions de recherche et que vous sélectionnez ET pour les séparer, définissez la valeur d’ordre pour les classer par ordre de priorité.
      7. Continuez à ajouter, modifier ou supprimer des critères de recherche à votre guise, puis cliquez sur Mettre à jour pour enregistrer vos changements apportés à l’enregistrement.
    13. Choisissez une option pour continuer.
      OptionDescription
      Mettre à jour Mettez à jour et enregistrez les changements apportés à l’enregistrement.
      Rechercher sur les serveurs de messagerie Lancez une recherche sur les serveurs avec les critères que vous avez enregistrés dans l’enregistrement Critères de recherche d’e-mail.
      Supprimer Supprimez cet enregistrement de recherche d’e-mail de votre Now Platform instance. Cette action ne supprime pas les e-mails réels. Elle supprime uniquement l’enregistrement de recherche utilisé pour trouver des messages.

      Une boîte de dialogue s’affiche. Si vous cliquez sur Supprimer, les résultats de recherche d’e-mails et les critères de recherche d’e-mails de cet enregistrement de recherche sont supprimés.

      Boîte de dialogue de confirmation pour supprimer un enregistrement de recherche d’e-mails.

      Si un enregistrement comporte des résultats de recherche, l’avertissement suivant s’affiche.

      Boîte de dialogue de confirmation pour l’enregistrement des résultats de recherche.
    14. Pour lancer une recherche d’e-mails, sur l’enregistrement de recherche d’e-mails, cliquez sur Rechercher sur le(s) serveur(s) de messagerie.
      Un message s’affiche indiquant que la demande de recherche a été envoyée.

      Sur l’enregistrement d’incident de sécurité, une note de travail s’affiche indiquant qu’une recherche a été lancée.

      Les notes de travail indiquent qu’une recherche est lancée.

      Si le balisage est activé, la balise de sécurité Recherche d’e-mail - initiée s’affiche en haut de l’enregistrement d’incident de sécurité.

      Balise de sécurité initiée par la recherche d’e-mail mise en évidence.

      Une fois la recherche terminée avec succès, si les notifications par e-mail sont activées, un e-mail est envoyé à l’adresse e-mail de la personne qui a initié la recherche.

      Dans cet exemple, l’utilisateur disposant du rôle sn_si.analyst, Hans SecAnalyst, a soumis cette recherche. L’image suivante montre que cette notification est envoyée à un compte dans Microsoft Exchange Online. Toutefois, ces notifications peuvent être envoyées à un autre service de messagerie, selon les besoins.

      Cette notification vous permet d’afficher tous les résultats correspondants qui nécessitent un suivi et une suppression. L’exemple suivant montre qu’il existe un e-mail qui correspond aux critères de recherche. Un lien des résultats de recherche d’e-mail vers l’enregistrement des résultats de recherche d’e-mail dans votre Now Platform instance est également fourni. Si vous souhaitez afficher l’enregistrement de recherche, cliquez sur ce lien.

      Notification par e-mail pour la recherche d’e-mails soumise par l’analyste de sécurité.
    15. À partir de cet e-mail, pour afficher les résultats de recherche, cliquez sur le lien Résultat de recherche par e-mail .
      L’enregistrement des résultats de recherche d’e-mail s’affiche. Dans cet enregistrement, vous pouvez vérifier et examiner les données suivantes.
      • Dans le champ Données brutes , le nombre d’e-mails correspondant aux critères de recherche {"count » :1}, ainsi que les adresses de boîte aux lettres où les e-mails ont été trouvés sont affichés ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • Dans la colonne Destinataires, le destinataire est (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • La source de l’e-mail s’affiche dans la colonne Expéditeur .
      • Dans la colonne Date de réception de l’e-mail , la date et l’heure de réception de l’e-mail s’affichent pour vous aider à suivre les chronologies des campagnes d’hameçonnage.
      • Dans la colonne État de lecture de l’e-mail , l’e-mail de cet exemple n’a pas été lu (faux). Si un e-mail a été lu, true s’affiche.
      • Dans la colonne A été supprimé , l’e-mail de cet exemple n’a pas été supprimé. Si un e-mail a été supprimé, la valeur true s’affiche.
      Champ de données brutes
    16. Pour afficher les résultats de recherche de l’incident de sécurité, vous pouvez également suivre les étapes suivantes.
      1. Accédez à la Incident de sécurité > Incidents et ouvrez l’incident de sécurité sur lequel vous travaillez.
        En haut de l’enregistrement, lorsque la recherche est terminée avec succès, la balise de sécurité Recherche d’e-mail - Terminée remplace la balise de sécurité Recherche d’e-mail - Initiée .
        Balise de sécurité Recherche d’e-mail terminée en surbrillance.

        Des notes de travail indiquent que la recherche est terminée avec succès et qu’un e-mail correspondant a été trouvé.

        Les notes de travail consignant les e-mails correspondants sont trouvées.
      2. Faites défiler l’écran vers le bas de l’enregistrement d’incident de sécurité et cliquez sur la liste connexe Recherche d’e-mails.

        Si la liste connexe Recherche d’e-mail ne s’affiche pas, cliquez sur le lienconnexe Afficher toutes les listes connexes pour afficher cette liste connexe.

        Liste connexe Recherche d’e-mail sur l’enregistrement d’incident de sécurité.
      3. Avec la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur le nom de votre recherche.
        Colonne de recherche d’e-mail avec le nom de la recherche mis en surbrillance.
      4. Dans l’enregistrement Recherche d’e-mail, cliquez sur la liste connexe Résultats de recherche d’e-mail.
      5. Dans la colonne Date de recherche, cliquez sur la date de votre recherche pour afficher les données.
        L’enregistrement des résultats de recherche d’e-mail s’affiche.
        L’enregistrement des résultats de recherche d’e-mail s’affiche.
      Une fois qu’une recherche d’e-mails est terminée avec succès, évaluez les résultats. Si vous déterminez que des e-mails doivent être corrigés, vous pouvez maintenant les supprimer ou demander l’approbation de suppression.