Demander l’approbation de suppression pour les e-mails sur le service Microsoft Exchange Online

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Une fois qu’une recherche d’e-mails est terminée avec succès et que les messages correspondants sont identifiés, vous pouvez supprimer définitivement tous les e-mails suspects du service Microsoft Exchange Online liés à l’incident de sécurité et à la campagne d’hameçonnage.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Le système effectue des suppressions sur vos derniers résultats de recherche réussis.

    Pourquoi et quand exécuter cette tâche

    Si les approbations et les notifications par e-mail sont activées, envoyez une demande de suppression des e-mails à un groupe d’approbation avant de les supprimer.

    Les résultats de la recherche d’e-mails sont affichés avec tous les messages qui ont été reçus. Pour vous assurer que les e-mails d’hameçonnage sont supprimés, les résultats de la suppression sont publiés dans les notes de travail de l’incident de sécurité associé. Si le balisage est activé, une balise de sécurité s’affiche également sur l’incident de sécurité associé. Si l’e-mail n’est pas supprimé, vous en êtes également informé dans les notes de travail.

    En fonction des politiques de votre organisation, vous devrez peut-être demander une approbation avant de supprimer les e-mails d’hameçonnage. Le processus d’approbation de suppression nécessite des informations sur le nombre d’e-mails à supprimer et, éventuellement, l’accès à d’autres détails de message. Pour le traitement de la demande de suppression, dans une notification par e-mail, un approbateur reçoit le nombre de messages électroniques correspondants, le lien de l’incident de sécurité pour accéder aux détails complets du message et les liens d’approbation ou de rejet. Les liens contenus dans cet e-mail permettent à un approbateur d’accepter ou de rejeter la demande de suppression à partir de la notification par e-mail. Une piste d’audit complète avec horodatage est également disponible pour suivre le moment où l’état d’approbation a changé dans les notes de travail. Si un groupe d’approbation est affecté, un utilisateur du groupe peut traiter la demande pour l’ensemble du groupe. Chaque membre du groupe d’approbation reçoit une notification par e-mail pour la demande.

    En tant qu’utilisateur disposant du rôle sn_si.analyst, si vous déterminez que les e-mails doivent être corrigés, suivez les étapes requises pour supprimer des e-mails. Si les approbations sont activées, demandez l’approbation pour supprimer des e-mails du Microsoft Exchange Online service.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher tous les incidents.
    2. Cliquez sur la liste connexe Recherche d’e-mails .
    3. Une fois la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur le nom de votre recherche.
      Les résultats de la recherche sont affichés dans la liste connexe Résultats de recherche d’e-mails.

      Pour cet exemple, cette recherche a trouvé des e-mails qui correspondent à vos critères de recherche. Deux actions de recherche sont répertoriées dans l’enregistrement. Une recherche n’a aucune correspondance (0) et l’autre recherche a un e-mail correspondant (1).

      Figure 1. Taille du jeu de résultats de recherche d’e-mail
      Enregistrement de recherche d’e-mail avec la taille de l’ensemble de résultats mise en surbrillance.
    4. Pour supprimer des éléments d’e-mail associés à une recherche, cochez la case d’un ensemble de résultats de recherche à gauche de la colonne Date de recherche.
      Vous pouvez sélectionner un jeu de résultats unique ou plusieurs jeux de résultats dans la liste.
    5. Sélectionnez les jeux de résultats que vous souhaitez supprimer.
      Figure 2. Supprimer les e-mails d'Exchange Online
      Actions sur la liste de choix des lignes sélectionnées développée et Supprimer les e-mails d’Exchange Online mis en surbrillance.
    6. En bas de la liste connexe Résultats de recherche d’e-mails, dans la liste Actions sur les lignes sélectionnées, sélectionnez Supprimer les e-mails d’Exchange Online pour supprimer tous les éléments d’e-mail associés à un ou plusieurs ensembles de résultats du serveur Exchange Online.
      Si un ensemble de résultats contient plusieurs e-mails, vous n’avez pas besoin d’ouvrir l’enregistrement des résultats de recherche d’e-mails et de sélectionner des e-mails individuels pour les supprimer. Tous les éléments d’e-mails avec un statut faux dans la colonne A été supprimé dans l’enregistrement des résultats de recherche d’e-mails sont supprimés une fois que vous avez sélectionné Supprimer les e-mails d’Exchange Online.

      Si un élément d’e-mail d’un jeu de résultats a déjà été supprimé, l’état de la colonne A été supprimé de l’enregistrement des résultats de recherche d’e-mails est vrai. Ces éléments ne sont pas supprimés à nouveau.

      Si l’option d’approbation est désactivée pendant l’étape de configuration, une fois que vous avez sélectionné Supprimer les e-mails d’Exchange Online, les e-mails associés à l’ensemble de résultats sont supprimés. Le jeu de résultats lui-même n’est pas supprimé. Toutefois, l’état de tous les éléments d’e-mail supprimés de l’ensemble de résultats est mis à jour sur vrai dans la colonne A été supprimé de l’enregistrement du résultat de recherche d’e-mail. Pour plus d’informations sur la fonction d’approbation, reportez-vous à Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.
      Figure 3. Détails de la suppression d’e-mail
      La colonne de l’enregistrement des résultats de recherche d’e-mails a été supprimée en surbrillance.

      Ces e-mails sont supprimés du Microsoft Exchange Online locataire sur lequel vous avez effectué les recherches. Une note de travail s’affiche si les e-mails sont supprimés.

      Sur l’enregistrement d’incident de sécurité, la balise de sécurité Suppression d’e-mail - Terminé s’affiche.
      Figure 4. Suppression de l’e-mail : balise de sécurité terminée
      Incident de sécurité avec suppression d’e-mail terminée Balise de sécurité mise en surbrillance.

      Si les approbations sont désactivées pour les demandes de suppression, vous avez correctement supprimé les Microsoft Exchange Online e-mails du locataire.

      Si les approbations sont activées pour les demandes de suppression au cours de l’étape de configuration, une notification par e-mail est envoyée à chaque membre du groupe d’approbation que vous avez sélectionné lors de l’étape de configuration, une notification par e-mail est envoyée à chaque membre du groupe d’approbation que vous avez sélectionné lors de l’étape de configuration.

      Si le balisage est activé pendant l’étape de configuration, la balise de sécurité Suppression d’e-mail : initiée s’affiche sur l’enregistrement d’incident de sécurité connexe. Pour plus d’informations sur le balisage, reportez-vous à la section Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.

      Des notes de travail indiquent qu’une demande de suppression d’e-mails est soumise par l’utilisateur disposant du rôle sn_si.analyst (Hans SecAnalyst).

      Notes de travail avec demande soumise et piste d’audit.

      Si les approbations sont activées, l’étape suivante consiste à traiter la demande de suppression.

    7. Sinon, si vous souhaitez afficher les détails et les éléments d’e-mail individuels d’un enregistrement de recherche avant de le supprimer ou de soumettre une demande de suppression, procédez comme suit.
      1. Une fois la liste connexe Résultats de recherche d’e-mails sélectionnée, dans la colonne Date de recherche, cliquez sur la date d’une recherche que vous souhaitez vérifier.
        Figure 5. Détails de recherche d’e-mail
        Date de recherche mise en évidence sur la liste connexe Résultats de recherche d’e-mail.
        Les informations suivantes sur les e-mails s’affichent :
        • Destinataires
        • Expéditeur
        • Date de réception de l'e-mail
        • État de lecture de l’e-mail (vrai ou faux)
        • A été supprimé (vrai ou faux)
        • Supprimé par l’intégration (vrai ou faux)
          Remarque :

          La valeur est définie sur vrai lorsque l’e-mail est supprimé lorsque l’analyste lance l’opération Supprimer du ou des serveurs de messagerie.

          Les notes de travail sont mises à jour avec le nombre total d’enregistrements supprimés, qui inclut les enregistrements supprimés par intégration et utilisateur.

      2. Une fois que vous avez examiné les données, pour supprimer tous les e-mails ou envoyer une demande de suppression de tous les e-mails, cliquez sur Supprimer des serveurs de messagerie.

        Comme décrit dans l’exemple précédent, s’il y a plusieurs e-mails répertoriés sur l’enregistrement des résultats de recherche, vous n’avez pas besoin de sélectionner les e-mails individuels pour les supprimer. La demande de suppression supprime tous les e-mails associés à la recherche lorsque la valeur « faux » s’affiche dans la colonne A été supprimé des derniers résultats de recherche.

        Bouton Supprimer des serveurs de messagerie en surbrillance et flèche de légende pour la case à cocher sur l’enregistrement des résultats de recherche d’e-mail.
      Si les approbations sont activées, vous avez correctement soumis une demande de suppression d’e-mails. Les balises de sécurité et les notes de travail sont affichées sur l’enregistrement d’incident de sécurité connexe, comme décrit dans l’exemple précédent. En tant qu’approbateur, l’étape suivante consiste à traiter la demande de suppression.