Approuver les demandes de suppression d’e-mail pour l’intégration Microsoft Exchange Online

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Si l’option d’approbation est activée dans votre Now Platform instance, les demandes de suppression d’e-mails sont envoyées à chaque membre du groupe d’approbation par e-mail. Vous sélectionnez le groupe d’approbation au cours de l’étape de configuration. Les approbations fournissent à votre organisation un niveau supplémentaire de contrôle sur la suppression des e-mails.

    Avant de commencer

    Vérifiez que l’option Approbations est sélectionnée dans l’onglet Paramètres supplémentaires du formulaire Paramètres de configuration de la recherche et de la suppression d’e-mails Exchange Online.

    Vérifiez que vous avez activé les options Envoi d’e-mail activéet Réception d’e-mail activée dans votre instance pour les Now Platform demandes d’approbation. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration Microsoft Exchange Online.

    Lorsque l’utilisateur disposant du rôle sn_si.analyst soumet des demandes de suppression par e-mail, ces demandes sont envoyées par défaut par e-mail à sn_si.admin. Si vous avez créé un groupe d’approbation, chaque membre du groupe reçoit une notification. Les approbateurs peuvent traiter les demandes de suppression d’e-mail directement à partir de la notification par e-mail. Les demandes peuvent également être traitées à partir des enregistrements de résultats de recherche d’e-mail dans Now Platform les instances. Cette rubrique présente les deux méthodes d’approbation.

    Les informations suivantes décrivent la demande dans la notification par e-mail :

    Numéro d’enregistrement du résultat de recherche d’e-mail
    Numéro unique affecté à l’enregistrement de recherche par le Now Platform dans le cadre de la piste d’audit.
    Nom de l’analyste ayant soumis la demande
    Nom de la personne qui a soumis la demande dans le cadre de la piste d’audit.
    Lien vers l’incident de sécurité
    Un lien vers l’incident de sécurité lié à l’événement d’hameçonnage. Affichez l’incident de sécurité avec les notes de travail, les recherches d’e-mails et les résultats de recherche d’e-mails directement à partir de l’e-mail.
    Approuver ou rejeter les liens
    Liens pour approuver ou rejeter la demande à partir de la notification par e-mail. Une fois que vous avez cliqué sur l’un ou l’autre des liens, le système lance automatiquement le workflow connexe et une note de travail est ajoutée à l’enregistrement de l’incident de sécurité.

    Rôle requis : sn_si.admin ou tous les membres d’un groupe d’approbation affecté.

    Procédure

    1. Pour traiter la demande de suppression de la notification par e-mail, procédez comme suit.
      1. En tant qu’approbateur, recherchez l’e-mail de notification dans le compte de messagerie que vous avez configuré dans votre Now Platform compte d’utilisateur.

        Dans cet exemple, l’utilisateur disposant du rôle sn_si.analyst (Hans SecAnalyst) soumet une demande pour supprimer un e-mail. Johann SecAdmin est membre du groupe d’approbation.

        Notification par e-mail pour la demande d’approbation de suppression.
      2. Dans la notification par e-mail, choisissez une option pour continuer.
      OptionDescription
      Cliquez sur le lien Cliquez ici pour approuver Approuver Approuvez la demande de suppression. Tous les éléments d’e-mail ayant un état faux dans la colonne A été supprimé qui sont associés à l’enregistrement des résultats de recherche sont automatiquement supprimés du Microsoft Exchange Online locataire.

      L’état de tous les éléments d’e-mail du jeu de résultats est mis à jour sur vrai dans la colonne A été supprimé de l’enregistrement de résultat de recherche d’e-mail.

      Une note de travail est publiée dans l’enregistrement d’incident de sécurité avec le nombre d’e-mails supprimés avec succès. Si le balisage est activé, la balise Suppression d’e-mail : balise terminée remplace la balise Suppression d’e-mail : initiée .
      Cliquez sur le lien Cliquez ici pour rejeter Rejetez la demande de suppression. Une note de travail est publiée avec le nom de la personne qui a rejeté la demande.

      Après le rejet d’une demande, en tant qu’utilisateur disposant du rôle sn_si.analyst, vous devez soumettre une nouvelle demande de suppression si vous déterminez que les e-mails doivent être supprimés.
      Cliquez sur le lien vers l’enregistrement d’incident de sécurité (SIR0010002) Examinez l’incident de sécurité connexe et toutes les données de recherche connexes avant de traiter la demande.

      L’image suivante montre un exemple de piste d’audit créée par les notes de travail sur l’enregistrement d’incident de sécurité connexe pour cet exemple. Lorsque la demande est rejetée à partir de la notification par e-mail par un approbateur, une note de travail est publiée par la personne qui a rejeté la demande. Johann SecAdmin rejette cette demande.

      Notes de travail avec piste d’audit pour une demande rejetée.

      Dans le Now Platform cas de la personne qui a rejeté la demande (Johann SecAdmin), dans Libre-service > Mes approbations, Rejeté s’affiche dans la colonne État.

      Une fois qu’une demande est rejetée par un membre unique du groupe d’approbation, en tant qu’utilisateur disposant du rôle sn_si.analyst, vous devez soumettre une nouvelle demande de suppression de ces e-mails si vous déterminez qu’ils doivent être supprimés.

      Dans cet exemple, une fois la demande rejetée, l’utilisateur disposant du rôle sn_si.analyst envoie une nouvelle demande.

      Un autre membre du groupe d’approbation, John Approver, reçoit un e-mail similaire à celui affiché dans l’exemple précédent. John Approver peut également traiter cette demande.

    2. Les approbateurs peuvent également accéder à Libre-service > Mes approbations dans leurs Now Platform instances pour afficher et traiter les demandes de suppression.
      Pour traiter une demande à partir de Mes approbations, procédez comme suit.
      1. Accédez à la Libre-service > Mes approbations.
        Figure 1. Ma liste d’approbations
        Liste des approbations
      2. Dans la colonne État, cliquez sur l’élément demandé.

        L’enregistrement d’approbation qui s’affiche répertorie les données relatives à la recherche, à la demande de recherche et aux résultats de la recherche.

        Figure 2. Détails de l’approbation
        Enregistrement de l’approbation à partir de Mes approbations
      3. Dans cet enregistrement, cliquez sur Approuver pour approuver la demande.
        Une fois la demande approuvée, le système lance le workflow de suppression pour supprimer les e-mails. L’image suivante montre un exemple de piste d’audit créée par les notes de travail sur l’enregistrement d’incident de sécurité connexe pour cet exemple. Une fois que cette demande de suppression est soumise à nouveau, elle est approuvée. Quelle que soit la méthode utilisée pour approuver une demande, le nombre d’e-mails supprimés avec succès est publié dans une note de travail.
        Notes de travail consignation de la piste d’audit à partir de la recherche d’e-mails initiée via des e-mails supprimés avec succès.

        Une fois les e-mails supprimés avec succès, dans l’enregistrement d’incident de sécurité connexe, si le balisage est activé, la balise Suppression d’e-mail : terminée remplace la balise Suppression d’e-mail : initiée .

        Entrante Libre-service > Mes approbations pour l’approbateur (John Approver), l’état passe de Demandé à Approuvé.

        Entrante Libre-service > Mes approbations pour les autres membres du groupe d’approbation (par exemple, Johann SecAdmin), l’état devient N’est plus nécessaire une fois la demande approuvée.

    3. Pour confirmer que les e-mails sont également supprimés dans l’enregistrement Résultat de recherche d’e-mail de l’enregistrement d’incident de sécurité connexe, procédez comme suit.
      1. Accédez à la Incidents de sécurité > afficher tous les incidents et localisez l’incident de sécurité lié au hameçonnage.
        Les listes connexes s’affichent au bas de l’enregistrement.
      2. Cliquez sur la liste connexe Recherche d’e-mail .
      3. Cliquez sur le nom de la recherche dans la colonne Recherche d’e-mails (Phish « connectez-vous à votre compte »).
        L’enregistrement de recherche d’e-mail s’affiche. Si la liste connexe Recherche d’e-mail n’est pas visible, cliquez sur le lien Afficher toutes les listes connexes.
      4. Cliquez sur la liste connexe Résultats de recherche d’e-mail .
        Dans la colonne Date de recherche, les actions de recherche et de suppression d’e-mails sont affichées avec les dates correspondantes.
      5. Dans la colonne Rechercher une date, cliquez sur l’élément qui correspond à l’action de suppression.
        Dans l’enregistrement Résultat de recherche d’e-mail qui s’affiche, l’état de la colonne A été supprimé indique que l’e-mail est supprimé (vrai).
        A été supprimé colonne mise en surbrillance sur l’enregistrement Résultat de recherche d’e-mail.

        Vous avez approuvé avec succès les demandes de suppression d’e-mail à partir d’une notification par e-mail et d’un enregistrement d’approbation, et vous avez confirmé que les e-mails sont supprimés. Pour en savoir plus sur la localisation de l’enregistrement Résultat de recherche d’e-mail, reportez-vous à la section Définir des critères de recherche d’e-mails et demander une recherche sur le Microsoft Exchange Online service.