Définir des critères de recherche d’e-mails et demander une recherche dans le Microsoft Exchange Online service

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 12 minutes de lecture

    • En tant qu’utilisateur disposant du rôle sn_si.analyst, définissez les critères de recherche et soumettez une demande de recherche d’e-mails basée sur les détails d’incident d’un enregistrement d’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les figures de cette procédure sont affichées avec les formulaires à onglets sélectionnés dans les paramètres système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, consultez la section intitulée Afficher les formulaires à onglets dans Configuration de la mise en page du formulaire sur le site Web de la documentation du produit ServiceNow.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’état des messages individuels qui correspondent à la requête de recherche et les résultats de la recherche sont consignés dans l’enregistrement d’incident de sécurité. Si les notifications par e-mail sont activées, vous pouvez afficher les résultats de la recherche dans un e-mail.

    Les critères de recherche peuvent inclure les adresses d’expéditeur de message, les adresses de destinataire ou les noms de sujets. Les combinaisons suivantes de paramètres de recherche d’objet, d’expéditeur et de destinataire sont souvent utilisées pour trouver des e-mails liés au phishing qui peuvent faire partie d’une seule campagne d’hameçonnage :
    • Retrouvez tous les e-mails originaux envoyés par un compte de phishing : Recherche par expéditeur.
    • Trouvez tous les e-mails originaux pour une seule campagne de phishing : Recherche par sujet et par expéditeur.
    • Retrouvez tous les e-mails reçus pour une seule campagne de phishing (originale et transférée, n’importe quel expéditeur) : Recherche par sujet.
    • Trouvez tous les e-mails transférés pour un seul e-mail d’hameçonnage d’un seul utilisateur : Recherche par destinataire + objet.
    • Trouvez tous les e-mails liés au phishing envoyés à un seul utilisateur : Recherche par expéditeur + destinataire.
    Remarque :
    Les recherches sont effectuées sur les e-mails envoyés ou reçus au cours des 30 derniers jours calendaires, sauf si une fenêtre de recherche plus courte est configurée lors de la configuration initiale. Une recherche d’e-mails réussie est requise avant de pouvoir supprimer des e-mails.

    L’exemple suivant vous montre comment lancer une recherche à partir d’un Now Platform incident de sécurité. Un incident de sécurité est créé en fonction de l’e-mail d’origine d’une attaque de phishing suspectée sur le Microsoft Exchange Online serveur de votre organisation. Pour cet exemple, les critères de recherche sont Expéditeur (De) plus Objet, où De est phisher@cbazyx.com et Objet est Connexion à votre compte.

    Les résultats des recherches sur les sujets sont renvoyés lorsque la recherche trouve des chaînes de texte contenant des mots clés qui correspondent aux critères de recherche entrés. Dans cet exemple, l’objet est la connexion à votre compte. Utilisez l’opérateur ET pour séparer les conditions de recherche De et Objet afin de retourner des résultats pour tous les e-mails contenant ces critères de recherche donnés. Les étapes suivantes décrivent comment configurer une recherche qui trouve uniquement les e-mails contenant du texte de ligne d’objet envoyés par un compte de hameçonnage spécifique.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents et localisez l’incident de sécurité avec lequel vous travaillez.
    2. Vous pouvez également procéder comme suit pour définir et exécuter un filtre afin que seuls les incidents de sécurité créés par des événements de phishing soient affichés.
      1. Accédez à la Incident de sécurité > Afficher les incidents pour ouvrir la liste des incidents de sécurité.
      2. Dans le coin supérieur gauche de la liste qui s’affiche, cliquez sur l’icône de filtre.
        Filtrage.
      3. Dans les champs qui s’affichent, sélectionnez Description brève > contient Dans les listes de choix, saisissez Hameçonnage signalé par l’utilisateur et cliquez sur Exécuter.

        Les incidents de sécurité liés au phishing s’affichent.

        Colonne Brève description de la liste des incidents de sécurité mise en surbrillance.
      4. Utilisez le texte de la colonne Brève description pour vous aider à localiser l’incident de sécurité avec lequel vous travaillez.
      5. Dans la colonne Numéro, cliquez sur un incident de sécurité pour ouvrir un enregistrement.
    3. Faites défiler l’enregistrement d’incident de sécurité jusqu’au bas et cliquez sur la liste connexe Recherche d’e-mails.

      Si la liste connexe Recherche d’e-mails n’est pas affichée, cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher cette liste connexe.

      Liste connexe de recherche d’e-mails dans un enregistrement d’incident de sécurité mis en surbrillance.
    4. Dans la liste connexe Recherche d’e-mails, cliquez sur Nouveau pour créer un enregistrement de recherche d’e-mails.
      Le formulaire Recherche d’e-mail s’affiche. Si vous souhaitez réexécuter cette requête de recherche pour le même incident lié à l’hameçonnage avec des modifications mineures, vous pouvez réutiliser cet enregistrement de requête de recherche. Cependant, il est peu probable que vous utilisiez cette recherche pour un autre incident lié au phishing, car les campagnes de phishing sont dynamiques et les champs Expéditeur et Message changent souvent.
    5. Facultatif : Pour modifier un enregistrement de requête de recherche existant, cliquez sur Modifier.
    6. Renseignez les champs du formulaire Recherche d’e-mails.
      Tableau 1.
      Champ Description
      Nom Informations permettant de décrire le type de recherche. Pour cet exemple, un nom pour une recherche De + Objet est Phish « connectez-vous à votre compte ».
      Description Informations relatives à la recherche dans le serveur de messagerie. Un exemple pour cette recherche est From=phisher@cbazyx.com + Objet=connectez-vous à votre compte.
      Un formulaire rempli.
    7. Cliquez sur Envoyer.
      L’incident de sécurité s’affiche et le nom de la recherche d’e-mail s’affiche dans la colonne Recherche d’e-mails de la liste connexe Recherche d’e-mails. Avant de pouvoir utiliser cette nouvelle requête de recherche, des critères de recherche doivent être définis pour l’enregistrement de recherche.
    8. Pour définir des critères de recherche, une fois la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur Phish « se connecter à votre compte ».
      Onglet Recherche d’e-mail avec colonne de recherche d’e-mails en surbrillance sur un incident de sécurité.
    9. Dans l’enregistrement de recherche d’e-mails qui s’affiche, cliquez sur la liste connexe Critères de recherche d’e-mails et cliquez sur Nouveau.
      Nouveau bouton mis en surbrillance.
    10. Renseignez les champs du formulaire Critères de recherche d’e-mails.

      Un exemple de formulaire rempli suit la table.

      Tableau 2.
      Champ Description
      Recherche d'e-mail Le champ est renseigné automatiquement avec le nom que vous avez saisi pour l’enregistrement de recherche d’e-mail.
      Icône de recherche Chercher dans une liste.

      Une liste des recherches enregistrées. Cliquez sur l’icône pour ouvrir une liste des recherches d’e-mails enregistrées. Cliquez sur un élément de cette liste pour supprimer la recherche actuelle et sélectionner une recherche d’e-mail précédemment enregistrée.
      Icône d'informations Icône utilisée pour afficher l’enregistrement de recherche d’e-mail. Cliquez sur l’icône pour afficher l’enregistrement de recherche d’e-mail.
      Champ de recherche Critère de recherche (Objet, De ou Destinataire). Sélectionnez le critère de recherche dans la liste de choix et définissez une valeur que vous souhaitez rechercher dans le champ de texte. Pour cet exemple, commencez par De phisher@cbazyx.com (l’adresse e-mail de l’expéditeur de l’e-mail d’hameçonnage).
      Actif Option permettant d’activer la recherche.

      La recherche est activée par défaut.

      Si vous décochez cette option, cet enregistrement n’est pas inclus dans une recherche.
      Opérateur Opérateurs (ET, OU) pour affiner votre recherche.

      ET : le système recherche les conditions séparées par ET et ne renvoie les résultats que si toutes les conditions sont remplies. Pour la recherche expéditeur plus objet, utilisez l’opérateur ET afin que les deux conditions de recherche soient remplies lors de la recherche d’e-mail.

      Pour cet exemple, utilisez l’opérateur ET pour que la requête soit De (Expéditeur) = phisher@cbazyx.com ET Objet = Connectez-vous à votre compte.

      OU : le système recherche et renvoie des résultats si l’une des conditions séparées par OU est remplie.

      Par exemple, From (Sender) = phisher@cbazyx.com OR From (Sender) = phisher-2@cbazyx.com.
      Commande Si vous entrez plus de deux conditions de recherche, utilisez l’ordre pour classer les conditions par ordre de priorité. 100 est la valeur par défaut. Saisissez une valeur comprise entre 1 et 100 pour chaque condition, par exemple 100, 95, 90, 80. La condition avec le numéro le plus bas affecté a la priorité de recherche la plus élevée au sein d’un groupe de conditions.
      Texte de recherche Les valeurs de texte (mots clés) pour la recherche (adresses e-mail ou lignes d’objet).

      Le champ de recherche contient le texte utilisé dans la recherche, par exemple, phisher@cbazyx.com.

      Pour que la recherche renvoie des résultats précis pour les recherches de l’expéditeur (De) et du destinataire, les chaînes de recherche doivent correspondre exactement. Pour les recherches par sujet, la chaîne de recherche peut contenir des mots clés qui font partie d’une chaîne plus large. Par exemple, un objet peut contenir la chaîne de recherche exacte qui correspond à un en-tête de message transféré ou de réponse tel que FW : connectez-vous à votre compte et changez votre mot de passe immédiatement.

      Par exemple, Connectez-vous à votre compte sont des mots-clés exacts dans la chaîne connectez-vous à votre compte et changez votre mot de passe immédiatement.

      Aucune désignation de caractère générique (*) n’est requise pour prendre en charge un type de recherche contain. Actuellement, il n’existe aucune méthode de filtrage pour faire correspondre une chaîne de recherche exacte qui ne fait pas partie d’une chaîne de texte plus grande.
      Formulaire Critères de recherche d’e-mails
    11. Cliquez sur Envoyer.
      L’enregistrement de recherche d’e-mail s’affiche. Dans le champ Critères de requête d’origine , les critères de recherche que vous avez ajoutés pour l’expéditeur (De) s’affichent.
      Enregistrement de recherche d’e-mail
    12. Pour mettre à jour ces critères de recherche d’e-mails avec plus d’informations afin que la requête inclue la condition objet-plus-expéditeur que vous souhaitez, suivez les étapes pour ajouter une autre condition de recherche.
      1. Dans la liste connexe aux critères de recherche d’e-mails, cliquez sur Nouveau.
        Liste connexe Critères de recherche d’e-mails
      2. Dans la liste des champs Rechercherde l’enregistrement Critères de recherche d’e-mails qui s’affiche, sélectionnez Objet.
      3. Dans la liste Opérateur, sélectionnezET ou OU.
        Si vous sélectionnez OU, la recherche renvoie des résultats si les mots clés de la chaîne de texte de la ligne d’objet correspondent, ou si la condition d’adresse e-mail est vérifiée. ET est sélectionné pour cet exemple afin que la recherche ne renvoie des résultats que pour les e-mails qui contiennent les mots clés de la chaîne de texte de l’objet et qui correspondent à l’adresse e-mail de l’expéditeur.
      4. Dans le champ Texte de recherche , saisissez la valeur du texte de la ligne d’objet, connectez-vous à votre compte.
        Champ de texte de recherche avec chaîne de texte.
      5. Cliquez sur Envoyer.
        La nouvelle condition s’affiche dans la liste connexe Critères de recherche d’e-mails, et les deux conditions sont affichées dans le champ Interroger à partir de critères , séparés par l’opérateur ET .
        La nouvelle condition s’affiche dans la liste connexe Critères de recherche d’e-mails
      6. Facultatif : Si vous avez plus de deux conditions de recherche et que vous sélectionnez ET pour séparer chaque condition, définissez la valeur d’ordre pour les classer par ordre de priorité.
      7. Continuez à ajouter, modifier ou supprimer des critères de recherche comme vous le souhaitez, puis cliquez sur Mettre à jour pour enregistrer vos changements dans l’enregistrement.
    13. Choisissez une option pour continuer.
      OptionDescription
      Mettre à jour Mettez à jour et enregistrez vos changements dans l’enregistrement.
      Rechercher sur les serveurs de messagerie Lancez une recherche sur les serveurs avec les critères que vous avez enregistrés dans l’enregistrement des critères de recherche d’e-mails.
      Supprimer Supprimez cet enregistrement de recherche d’e-mails de votre Now Platform instance. Cette action ne supprime pas les e-mails réels. Elle supprime uniquement l’enregistrement de recherche utilisé pour trouver des messages.

      Une boîte de dialogue s’affiche. Si vous cliquez sur Supprimer, les résultats de la recherche d’e-mails et les critères de recherche d’e-mails de cet enregistrement de recherche sont supprimés.

      Boîte de dialogue de confirmation pour supprimer un enregistrement de recherche d’e-mail.

      Si un enregistrement possède des résultats de recherche, l’avertissement suivant s’affiche.

      Boîte de dialogue de confirmation de l’enregistrement des résultats de recherche.
    14. Pour lancer une recherche d’e-mail, sur l’enregistrement de recherche d’e-mail, cliquez sur Rechercher sur le(s) serveur(s) de messagerie.
      Un message s’affiche pour indiquer que la demande de recherche a été envoyée.

      Sur l’enregistrement d’incident de sécurité, une note de travail s’affiche indiquant qu’une recherche a été lancée.

      Journaux de notes de travail indiquant qu’une recherche est lancée.

      Si le balisage est activé, en haut de l’enregistrement d’incident de sécurité, la balise de sécurité Recherche d’e-mail - Initiée s’affiche.

      Balise de sécurité initiée par la recherche d’e-mails mise en surbrillance.

      Une fois la recherche terminée, si les notifications par e-mail sont activées, un e-mail est envoyé à l’adresse e-mail de la personne qui a initié la recherche.

      Dans cet exemple, l’utilisateur ayant le rôle sn_si.analyst, Hans SecAnalyst, a soumis cette recherche. L’image suivante montre que cette notification est envoyée à un compte dans Microsoft Exchange Online. Toutefois, ces notifications peuvent être envoyées à un autre service de messagerie, selon les besoins.

      Cette notification vous permet d’afficher tous les résultats correspondants qui nécessitent un suivi et une suppression. L’exemple suivant montre qu’il existe un e-mail qui correspond aux critères de recherche. Un lien de résultat de recherche d’e-mail vers l’enregistrement de résultat de recherche d’e-mail dans votre Now Platform instance est également fourni. Si vous souhaitez afficher l’enregistrement de recherche, cliquez sur ce lien.

      Notification par e-mail pour la recherche d’e-mail soumise par l’analyste de sécurité.
    15. À partir de cet e-mail, pour afficher les résultats de la recherche, cliquez sur le lien Résultat de recherche d’e-mail .
      L’enregistrement du résultat de la recherche d’e-mail s’affiche. Sur cet enregistrement, vous pouvez vérifier et examiner les données suivantes.
      • Dans le champ Données brutes , le nombre d’e-mails correspondant aux critères de recherche {"count » :1}, et les adresses de boîte aux lettres où les e-mails ont été trouvés sont affichés ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • Dans la colonne Destinataires, le destinataire est (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • Dans la colonne Expéditeur , la source de l’e-mail s’affiche.
      • Dans la colonne Date de réception de l’e-mail , la date et l’heure de réception de l’e-mail s’affichent pour vous aider à suivre les chronologies des campagnes d’hameçonnage.
      • Dans la colonne État de lecture de l’e-mail , l’e-mail dans cet exemple n’a pas été lu (faux). Si un e-mail a été lu, la valeur Vrai s’affiche.
      • Dans la colonne A été supprimé , l’e-mail de cet exemple n’a pas été supprimé. Si un e-mail a été supprimé, la valeur Vrai s’affiche.
      Champ de données brutes
    16. Pour afficher les résultats de recherche de l’incident de sécurité, procédez comme suit.
      1. Accédez à la Incident de sécurité > Incidents et ouvrez l’incident de sécurité avec lequel vous travaillez.
        En haut de l’enregistrement, lorsque la recherche est terminée avec succès, la balise de sécurité Recherche d’e-mail - Terminée remplace la balise de sécurité Recherche d’e-mail - Initiée .
        Recherche d’e-mail terminée Balise de sécurité mise en surbrillance.

        Des notes de travail s’affichent indiquant que la recherche a été effectuée avec succès et qu’un e-mail correspondant a été trouvé.

        Notes de travail enregistrant les e-mails correspondants trouvés.
      2. Faites défiler l’enregistrement d’incident de sécurité jusqu’au bas et cliquez sur la liste connexe Recherche d’e-mails.

        Si la liste connexe Recherche d’e-mails n’est pas affichée, cliquez sur le lien connexeAfficher toutes les listes connexes pour afficher cette liste connexe.

        Liste connexe de recherche d’e-mails sur l’enregistrement d’incident de sécurité.
      3. Une fois la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur le nom de votre recherche.
        Colonne de recherche d’e-mail avec le nom de la recherche mis en surbrillance.
      4. Dans l’enregistrement de recherche d’e-mail, cliquez sur la liste connexe Résultats de recherche d’e-mail.
      5. Dans la colonne Date de recherche, cliquez sur la date de votre recherche pour afficher les données.
        L’enregistrement du résultat de la recherche d’e-mail s’affiche.
        L’enregistrement du résultat de la recherche d’e-mail s’affiche.
      Une fois qu’une recherche d’e-mails est terminée avec succès, évaluez les résultats. Si vous déterminez que les e-mails doivent être corrigés, vous pouvez maintenant supprimer des e-mails ou demander l’approbation de suppression.