Définir des critères de recherche d’e-mails et demander une recherche sur le Microsoft Exchange Online service

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 12 minutes de lecture

    • En tant qu’utilisateur disposant du rôle sn_si.analyste, définissez les critères de recherche et soumettez une demande de recherche d’e-mails basée sur les détails d’un incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les chiffres de cette procédure sont affichés avec les formulaires à onglets sélectionnés dans les paramètres du système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, consultez la section intitulée Afficher les formulaires à onglets dans Configuration de la mise en page du formulaire sur le site web de la documentation produit ServiceNow.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’état des messages individuels qui correspondent à la requête de recherche et les résultats de la recherche sont signalés dans l’enregistrement d’incident de sécurité. Si les notifications par e-mail sont activées, vous pouvez afficher les résultats de la recherche à partir d’un message par e-mail.

    Les critères de recherche peuvent inclure les adresses de l’expéditeur du message, l’adresse du destinataire ou le nom de l’objet. Les combinaisons suivantes des paramètres de recherche Objet, Expéditeur et Destinataire du message sont souvent utilisées pour trouver des e-mails liés au phishing qui peuvent faire partie d’une seule campagne d’hameçonnage :
    • Recherchez tous les e-mails originaux envoyés par un compte d’hameçonnage : Recherchez par expéditeur.
    • Recherchez tous les e-mails originaux d’une seule campagne d’hameçonnage : effectuez une recherche par objet et par expéditeur.
    • Retrouvez tous les e-mails reçus pour une même campagne d’hameçonnage (originaux et transférés, n’importe quel expéditeur) : Recherche par objet.
    • Recherchez tous les e-mails transférés pour un seul e-mail d’hameçonnage provenant d’un seul utilisateur : Recherche par destinataire + objet.
    • Rechercher tous les e-mails liés au phishing envoyés à un seul utilisateur : Recherche par expéditeur + destinataire.
    Remarque :
    Les recherches sont effectuées sur les e-mails envoyés ou reçus au cours des 30 derniers jours calendaires, sauf si une fenêtre de recherche plus courte est configurée lors de la configuration initiale. Une recherche d’e-mails réussie est requise avant de pouvoir supprimer des e-mails.

    L’exemple suivant vous montre comment lancer une recherche à partir d’un Now Platform incident de sécurité. Un incident de sécurité est créé sur la base de l’e-mail d’origine d’une attaque de phishing présumée dans le Microsoft Exchange Online serveur de votre organisation. Pour cet exemple, les critères de recherche sont Expéditeur (De) plus Objet, où De est phisher@cbazyx.com et Objet est Connexion à votre compte.

    Les résultats des recherches sur les sujets sont renvoyés lorsque la recherche trouve des chaînes de texte contenant des mots clés qui correspondent aux critères de recherche entrés. Dans cet exemple, l’objet est de vous connecter à votre compte. Utilisez l’opérateur ET pour séparer les conditions de recherche De et Objet afin de renvoyer des résultats pour tous les messages électroniques contenant ces critères de recherche donnés. Les étapes suivantes décrivent comment configurer une recherche qui ne trouve que les e-mails contenant du texte de ligne d’objet envoyé par un compte d’hameçonnage spécifique.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents et localisez l’incident de sécurité sur lequel vous travaillez.
    2. Vous pouvez également suivre les étapes suivantes pour définir et exécuter un filtre afin que seuls les incidents de sécurité créés par des événements d’hameçonnage soient affichés.
      1. Accédez à la Incident de sécurité > Afficher les incidents pour ouvrir la liste des incidents de sécurité.
      2. Dans le coin supérieur gauche de la liste qui s’affiche, cliquez sur l’icône de filtre.
        Filtrage.
      3. Dans les champs qui s’affichent, sélectionnez Description brève > contient dans les listes de choix, saisissez ensuite Hameçonnage signalé par les utilisateurs et cliquez sur Exécuter.

        Les incidents de sécurité liés au phishing sont affichés.

        Colonne Brève description dans la liste des incidents de sécurité mise en surbrillance.
      4. Utilisez le texte de la colonne Brève description pour vous aider à localiser l’incident de sécurité sur lequel vous travaillez.
      5. Dans la colonne Nombre, cliquez sur un incident de sécurité pour ouvrir un enregistrement.
    3. Faites défiler l’écran jusqu’au bas de l’enregistrement d’incident de sécurité et cliquez sur la liste connexe Recherche d’e-mail.

      Si la liste connexe Recherche d’e-mail n’est pas affichée, cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher cette liste connexe.

      Liste connexe Recherche d’e-mail dans un enregistrement d’incident de sécurité mis en surbrillance.
    4. Dans la liste connexe Recherche d’e-mail, cliquez sur Nouveau pour créer un enregistrement de recherche d’e-mail.
      Le formulaire Recherche d’e-mail s’affiche. Si vous souhaitez réexécuter cette requête de recherche pour le même incident associé au hameçonnage avec des modifications mineures, vous pouvez réutiliser cet enregistrement de requête de recherche. Toutefois, il est peu probable que vous utilisiez cette recherche pour un autre incident associé au hameçonnage, car les campagnes d’hameçonnage sont dynamiques et les champs Expéditeur et Message changent souvent.
    5. Facultatif : Pour modifier un enregistrement de requête de recherche existant, cliquez sur Modifier.
    6. Renseignez les champs du formulaire Recherche d’e-mail.
      Champ Description
      Nom Informations permettant de décrire le type de recherche. Dans cet exemple, un nom pour une recherche De + Sujet est Hameçonnage « connectez-vous à votre compte ».
      Description Informations sur la recherche dans le serveur de messagerie. Un exemple pour cette recherche est From=phisher@cbazyx.com + Subject=connectez-vous à votre compte.
      Un formulaire dûment rempli.
    7. Cliquez sur Envoyer.
      L’incident de sécurité s’affiche et le nom de la recherche d’e-mail s’affiche dans la colonne Recherche d’e-mail de la liste connexe Recherche d’e-mail. Avant de pouvoir utiliser cette nouvelle requête de recherche, des critères de recherche doivent être définis pour l’enregistrement de recherche.
    8. Pour définir les critères de recherche, avec la liste connexe Recherche d’e-mail sélectionnée, dans la colonne Recherche d’e-mail, cliquez sur Hameçonnage « se connecter à votre compte ».
      Onglet Recherche d’e-mail avec colonne de recherche d’e-mail en surbrillance sur un incident de sécurité.
    9. Dans l’enregistrement de recherche d’e-mail qui s’affiche, cliquez sur la liste connexe Critères de recherche d’e-mail, puis cliquez sur Nouveau.
      Nouveau bouton mis en surbrillance.
    10. Renseignez les champs du formulaire Critères de recherche d’e-mail.

      Le tableau ci-dessous un exemple de formulaire rempli.

      Champ Description
      Recherche d'e-mail Le champ est renseigné automatiquement avec le nom que vous avez saisi pour l’enregistrement de recherche d’e-mail.
      Icône de recherche Chercher à l’aide d’une liste.

      Liste des recherches enregistrées. Cliquez sur l’icône pour ouvrir une liste des recherches d’e-mails enregistrées. Cliquez sur un élément de cette liste pour supprimer la recherche actuelle et sélectionner une recherche d’e-mails précédemment enregistrée.
      Icône d'informations Icône utilisée pour afficher l’enregistrement de recherche d’e-mail. Cliquez sur l’icône pour afficher l’enregistrement de recherche d’e-mail.
      Champ de recherche Critère de recherche (Objet, De ou Destinataire). Sélectionnez le critère de recherche dans la liste de choix et définissez une valeur que vous souhaitez rechercher dans le champ de texte. Pour cet exemple, commencez par De phisher@cbazyx.com (l’adresse e-mail de l’expéditeur de l’e-mail d’hameçonnage).
      Actif Option permettant d’activer la recherche.

      La recherche est activée par défaut.

      Si vous désactivez cette option, cet enregistrement n’est pas inclus dans une recherche.
      Opérateur Opérateurs (ET, OU) pour affiner votre recherche.

      ET : le système recherche les conditions séparées par ET et renvoie des résultats uniquement si toutes les conditions sont remplies. Pour la recherche de l’expéditeur et de l’objet, utilisez l’opérateur ET afin que les deux conditions de recherche soient réunies lors de la recherche d’e-mails.

      Pour cet exemple, utilisez l’opérateur AND de sorte que la requête soit De (Expéditeur) = phisher@cbazyx.com ET Objet = Connectez-vous à votre compte.

      OU : le système recherche et renvoie des résultats si l’une des conditions séparées par OU est remplie.

      Par exemple, de (expéditeur) = phisher@cbazyx.com OU de (expéditeur) = phisher-2@cbazyx.com.
      Ordre Si vous entrez plus de deux conditions de recherche, utilisez l’ordre pour classer les conditions par ordre de priorité. 100 est la valeur par défaut. Entrez une valeur comprise entre 1 et 100 pour chaque condition, par exemple, 100, 95, 90, 80. La condition dont le numéro est le plus bas affecté a la priorité de recherche la plus élevée dans un groupe de conditions.
      Texte de recherche Les valeurs de texte (mots clés) pour la recherche (adresses e-mail ou lignes d’objet).

      Le champ de recherche contient le texte utilisé dans la recherche, par exemple phisher@cbazyx.com.

      Pour que la recherche renvoie des résultats précis pour les recherches de l’expéditeur (De) et du destinataire, les chaînes de recherche doivent correspondre exactement. Pour les recherches par sujet, la chaîne de recherche peut contenir des mots-clés qui font partie d’une chaîne plus grande. Par exemple, un objet peut contenir la chaîne de recherche exacte qui correspond à un en-tête de message de transfert ou de réponse, par exemple FW : connectez-vous à votre compte et changez immédiatement votre mot de passe.

      Par exemple, Connectez-vous à votre compte sont des mots-clés exacts dans la chaîne Connectez-vous à votre compte et changez votre mot de passe immédiatement.

      Aucune désignation de caractère générique (*) n’est requise pour prendre en charge un type de recherche Contenant . Actuellement, il n’existe aucune méthode de filtrage permettant de faire correspondre une chaîne de recherche exacte qui ne fait pas partie d’une chaîne de texte plus grande.
      Formulaire Critères de recherche d’e-mail
    11. Cliquez sur Envoyer.
      L’enregistrement de recherche d’e-mail s’affiche. Dans le champ Requête à partir de critères , les critères de recherche que vous avez ajoutés pour l’expéditeur (De) s’affichent.
      Enregistrement de recherche d’e-mail
    12. Pour mettre à jour ces critères de recherche d’e-mails avec plus d’informations afin que la requête inclue la condition objet plus expéditeur souhaitée, suivez les étapes pour ajouter une autre condition de recherche.
      1. Dans la liste connexe Critères de recherche d’e-mail, cliquez sur Nouveau.
        Liste connexe Critères de recherche d’e-mail
      2. Dans la liste des champs de recherchede l’enregistrement Critères de recherche d’e-mail qui s’affiche, sélectionnez Objet.
      3. Dans la liste Opérateur, sélectionnezET ou OU.
        Si vous sélectionnez OU, la recherche renvoie des résultats si les mots clés de la chaîne de texte de la ligne d’objet correspondent ou si la condition d’adresse e-mail est respectée. AND est sélectionné pour cet exemple afin que la recherche renvoie des résultats uniquement pour les e-mails qui contiennent les mots clés de la chaîne de texte de l’objet et qui correspondent à l’adresse e-mail de l’expéditeur.
      4. Dans le champ Texte de recherche , saisissez la valeur du texte de la ligne d’objet, connectez-vous à votre compte.
        Champ de texte de recherche avec chaîne de texte.
      5. Cliquez sur Envoyer.
        La nouvelle condition est affichée dans la liste connexe Critères de recherche d’e-mail, et les deux conditions sont affichées dans le champ Demander à partir de critères séparés par l’opérateur ET .
        La nouvelle condition s’affiche dans la liste connexe Critères de recherche d’e-mail
      6. Facultatif : Si vous avez plusieurs conditions de recherche et que vous sélectionnez ET pour séparer chaque condition, définissez la valeur d’ordre pour les classer par ordre de priorité.
      7. Continuez d’ajouter, de modifier ou de supprimer des critères de recherche comme vous le souhaitez, puis cliquez sur Mettre à jour pour enregistrer vos changements apportés à l’enregistrement.
    13. Choisissez une option pour continuer.
      OptionDescription
      Mettre à jour Mettez à jour et enregistrez vos changements apportés à l’enregistrement.
      Rechercher sur les serveurs de messagerie Lancez une recherche sur les serveurs avec les critères que vous avez enregistrés dans l’enregistrement Critères de recherche d’e-mail.
      Supprimer Supprimez cet enregistrement de recherche d’e-mail de votre Now Platform instance. Cette action ne supprime pas les e-mails réels. Il supprime uniquement l’enregistrement de recherche utilisé pour trouver des messages.

      Une boîte de dialogue s’affiche. Si vous cliquez sur Supprimer, les résultats de recherche d’e-mails et les critères de recherche d’e-mails de cet enregistrement de recherche sont supprimés.

      Boîte de dialogue de confirmation permettant de supprimer un enregistrement de recherche d’e-mail.

      Si un enregistrement comporte des résultats de recherche, l’avertissement suivant s’affiche.

      Boîte de dialogue de confirmation pour l’enregistrement des résultats de la recherche.
    14. Pour lancer une recherche d’e-mails, dans l’enregistrement de recherche d’e-mails, cliquez sur Rechercher sur les serveurs de messagerie.
      Un message s’affiche pour indiquer que la demande de recherche est envoyée.

      Sur l’enregistrement d’incident de sécurité, une note de travail s’affiche indiquant qu’une recherche a été lancée.

      Les notes de travail consignent le lancement d’une recherche.

      Si le balisage est activé, en haut de l’enregistrement d’incident de sécurité, la balise de sécurité Recherche d’e-mail - Initiée s’affiche.

      Balise de sécurité initiée par la recherche d’e-mail mise en surbrillance.

      Une fois la recherche terminée avec succès, si les notifications par e-mail sont activées, un e-mail est envoyé à l’adresse e-mail de la personne qui a initié la recherche.

      Dans cet exemple, c’est l’utilisateur disposant du rôle sn_si.analyst, Hans SecAnalyst, qui a soumis cette recherche. L’image suivante montre que cette notification est envoyée à un compte dans Microsoft Exchange Online. Toutefois, ces notifications peuvent être envoyées à un autre service de messagerie, selon les besoins.

      Cette notification vous permet d’afficher tous les résultats correspondants qui nécessitent un suivi et une suppression. L’exemple suivant montre qu’il existe un e-mail qui correspond aux critères de recherche. Un lien de résultat de recherche d’e-mail vers l’enregistrement des résultats de recherche d’e-mail dans votre Now Platform instance est également fourni. Si vous souhaitez afficher l’enregistrement de recherche, cliquez sur ce lien.

      Notification par e-mail pour la recherche d’e-mail soumise par l’analyste de sécurité.
    15. À partir de cet e-mail, pour afficher les résultats de la recherche, cliquez sur le lien de résultat de recherche d’e-mail .
      L’enregistrement des résultats de recherche d’e-mail s’affiche. Dans cet enregistrement, vous pouvez vérifier et examiner les données suivantes.
      • Dans le champ Données brutes , le nombre d’e-mails correspondant au nombre d’e-mails qui correspondaient aux critères de recherche {"count » :1}, ainsi que les adresses des boîtes aux lettres où les e-mails ont été trouvés sont affichés ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • Dans la colonne Destinataires, le destinataire est (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • Dans la colonne Expéditeur , la source de l’e-mail est affichée.
      • Dans la colonne Date de réception de l’e-mail , la date et l’heure de réception de l’e-mail sont affichées pour vous aider à suivre les chronologies des campagnes d’hameçonnage.
      • Dans la colonne État de lecture de l’e-mail , l’e-mail de cet exemple n’a pas été lu (faux). Si un e-mail a été lu, vrai s’affiche.
      • Dans la colonne A été supprimé , l’e-mail de cet exemple n’a pas été supprimé. Si un e-mail a été supprimé, vrai s’affiche.
      Champ de données brutes
    16. Pour afficher les résultats de la recherche de l’incident de sécurité, vous pouvez également suivre les étapes suivantes.
      1. Accédez à la Incident de sécurité > Incidents et ouvrez l’incident de sécurité sur lequel vous travaillez.
        En haut de l’enregistrement, lorsque la recherche est terminée avec succès, la balise de sécurité Recherche d’e-mail - Terminée remplace la balise de sécurité Recherche d’e-mail - Initiée .
        Recherche d’e-mail terminée balise de sécurité mise en surbrillance.

        Des notes de travail indiquent que la recherche a été effectuée avec succès et qu’un e-mail correspondant a été trouvé.

        Des notes de travail enregistrant des e-mails correspondants sont trouvés.
      2. Faites défiler l’écran jusqu’au bas de l’enregistrement d’incident de sécurité et cliquez sur la liste connexe Recherche d’e-mail.

        Si la liste connexe Recherche d’e-mail n’est pas affichée, cliquez sur le lien connexeAfficher toutes les listes connexes pour afficher cette liste connexe.

        Liste connexe Recherche d’e-mail sur l’enregistrement d’incident de sécurité.
      3. Après avoir sélectionné la liste connexe Recherche d’e-mail, cliquez sur le nom de votre recherche dans la colonne Recherche d’e-mail.
        Colonne de recherche d’e-mail avec le nom de la recherche en surbrillance.
      4. Dans l’enregistrement Recherche d’e-mail, cliquez sur la liste connexe Résultats de recherche d’e-mail.
      5. Dans la colonne Date de recherche, cliquez sur la date de votre recherche pour afficher les données.
        L’enregistrement des résultats de recherche d’e-mail s’affiche.
        L’enregistrement des résultats de recherche d’e-mail s’affiche.
      Une fois qu’une recherche d’e-mails est terminée avec succès, évaluez les résultats. Si vous déterminez que des e-mails doivent être corrigés, vous pouvez les supprimer ou demander leur approbation.