Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Recherche UDM

La fonction de recherche UDM vous permet de trouver des alertes et des événements UDM (Unified Data Model) au sein de votre instance Chronicle. La recherche UDM comprend diverses options de recherche vous permettant de parcourir vos données UDM. Vous pouvez rechercher des événements UDM individuels et des groupes d'événements UDM liés à des termes de recherche partagés.

Pour en savoir plus sur UDM, consultez Mettre en forme des données de journal en UDM et Liste des champs du modèle de données unifié.

Pour accéder à Chronicle UDM Search, sélectionnez UDM Search dans le menu de l'application de la page de destination Chronicle. Vous pouvez également accéder à la recherche UDM en saisissant un champ UDM valide depuis n'importe quel champ de recherche de Chronicle, puis en appuyant sur CTRL+Entrée.

Pour obtenir la liste de tous les champs UDM valides, consultez Liste des champs du modèle de données unifié.

Recherche UDM

Figure 1. Recherche UDM

Recherche UDM vide

Figure 2. Fenêtre de recherche UDM qui s'ouvre en appuyant sur CTRL+Entrée

Pour saisir une recherche UDM dans le champ Recherche UDM, procédez comme suit : Une fois la recherche UDM terminée, cliquez sur EXÉCUTER LA RECHERCHE. L'interface utilisateur Chronicle vous permet uniquement de saisir une expression de recherche UDM valide. Vous pouvez également ajuster la période de recherche en ouvrant la fenêtre des dates.

Date et exécution de la recherche

Figure 3. Lancer la recherche

Les requêtes UDM sont basées sur des champs UDM, qui sont tous répertoriés dans la liste des champs du modèle de données unifié. Vous pouvez également afficher les champs UDM dans le contexte des recherches à l'aide de filtres ou de la recherche brute de journal.

  1. Pour rechercher des événements, saisissez un nom de champ UDM dans le champ de recherche. L'interface utilisateur comprend la saisie automatique et affiche des champs UDM valides en fonction de ce que vous avez saisi.

  2. Une fois que vous avez saisi un champ UDM valide, sélectionnez un opérateur valide. L'interface utilisateur affiche les opérateurs valides disponibles en fonction du champ UDM que vous avez saisi. Les opérateurs suivants sont acceptés :

    • <, >
    • <=, >=
    • =, !=
    • nocase : compatible avec les chaînes

  3. Une fois que vous avez saisi un champ et un opérateur UDM valides, saisissez les données de journal correspondantes que vous recherchez. Les types de données suivants sont acceptés:

    • Valeurs énumérées:l'interface utilisateur affiche une liste de valeurs énumérées valides pour un champ UDM donné.

      Par exemple (utilisez des guillemets doubles et tout en majuscules): metadata.event_type = "NETWORK_CONNECTION"

    • Valeurs supplémentaires:vous pouvez utiliser "field[key] = value" pour rechercher des champs supplémentaires et des libellés pour les événements.

      Par exemple : additional.fields["key"]="value"

    • bools:vous pouvez utiliser true ou false (tous les caractères ne sont pas sensibles à la casse et le mot clé n'est pas placé entre guillemets).

      Par exemple : network.dns.response = true

    • Entiers

      Par exemple : target.port = 443

    • Flottant:pour les champs UDM de type float, saisissez une valeur à virgule flottante telle que 3.1. Vous pouvez également saisir un nombre entier, tel que 3, ce qui équivaut à saisir 3.0.

      Par exemple : security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Expressions régulières:l'expression régulière doit comporter des barres obliques (/)

      Par exemple : principal.ip = /10.*/

      Pour en savoir plus sur les expressions régulières, consultez la page Expressions régulières.

    • Chaînes

      Par exemple (les guillemets doivent être utilisés): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Vous pouvez utiliser l'opérateur nocase pour rechercher n'importe quelle combinaison de versions en majuscules et minuscules d'une chaîne donnée:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Les barres obliques inverses et les guillemets doubles dans les chaînes doivent être échappées à l'aide d'une barre oblique inverse. Exemple :

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Vous pouvez utiliser des expressions booléennes pour affiner davantage la plage de données affichée. Les exemples suivants illustrent certains types d'expressions booléennes compatibles (les opérateurs booléens AND, OR et NOT peuvent être utilisés):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Les exemples suivants illustrent la syntaxe à adopter:

    Connexion des événements au serveur financier: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Exemple d'utilisation d'une expression régulière pour rechercher l'exécution de l'outil psexec.exe sous Windows 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Exemple d'utilisation de l'opérateur plus de (>) pour rechercher des connexions dont plus de 10 Mo de données ont été envoyés 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Exemple d'utilisation de plusieurs conditions pour rechercher Winword lancement de cmd.exe ou powershell.exe 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Vous pouvez également utiliser la recherche UDM pour rechercher des paires clé-valeur spécifiques dans les champs supplémentaires et libellés.

    Les champs supplémentaires et de libellés sont utilisés comme paramètres de capture personnalisables pour les données d 'événement qui n'entrent pas dans un champ UDM standard. Les champs supplémentaires peuvent contenir plusieurs paires clé-valeur. Les champs de libellé ne peuvent contenir qu'une seule paire clé-valeur. Cependant, chaque instance du champ ne contient qu'une seule clé et une seule valeur. La clé doit être placée entre crochets, et la valeur doit être sur le côté droit.

    Les exemples suivants montrent comment rechercher des événements contenant des paires clé-valeur spécifiées: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    L'exemple suivant montre comment utiliser l'opérateur ET avec des recherches de paires clé-valeur: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Vous pouvez utiliser la syntaxe suivante pour rechercher tous les événements contenant la clé spécifiée (quelle que soit leur valeur) : 

        additional.fields["pod_name"] != ""
    Vous pouvez également utiliser des expressions régulières et l'option "nocase" : 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Vous pouvez également utiliser des commentaires de blocage et des commentaires sur une seule ligne.

    L'exemple suivant montre comment utiliser un commentaire bloquant: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    L'exemple suivant montre comment utiliser un commentaire d'une seule ligne: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Cliquez sur EXÉCUTER LA RECHERCHE pour exécuter votre recherche UDM et afficher les résultats.

  10. Les événements s'affichent sur la page Recherche UDM dans le tableau chronologique des événements. Vous pouvez affiner davantage les résultats en ajoutant des champs UDM supplémentaires manuellement ou en utilisant l'interface.

Pour afficher les alertes, cliquez sur l'onglet Alertes à droite de l'onglet Événements dans l'angle supérieur droit de la page Recherche UDM.

Affichage des alertes

Chronicle compare les événements renvoyés dans la recherche UDM par rapport aux événements existants associés aux alertes dans l'environnement client. Lorsqu'un événement de requête de recherche correspond à un événement présent dans une alerte, il s'affiche dans la chronologie et le tableau d'alerte obtenu.

Définition des événements et des alertes

Un événement est généré à partir d'une source de journal brute qui est ingérée dans Chronicle et traitée par le processus d'ingestion et de normalisation de Chronicle. Plusieurs événements peuvent être générés à partir d'un seul enregistrement source de journal brut. Un événement représente un ensemble de points de données pertinents pour la sécurité qui sont générés à partir de ce journal brut.

Dans une recherche UDM, une alerte est définie comme une détection de règle YARA-L avec des alertes activées. Pour en savoir plus, consultez la section Exécuter une règle sur des données en direct.

D'autres sources de données peuvent être ingérées dans Chronicle en tant qu'alertes, comme les alertes Falcon de CrowdStrike. Ces alertes n'apparaîtront pas dans les résultats de recherche UDM, sauf si elles sont traitées par le moteur de détection Chronicle en tant que règle YARA-L.

Capture d'écran des alertes complètes

Figure 4. Chronologie des alertes

Les événements associés à une ou plusieurs alertes sont signalés par une icône d'alerte dans la chronologie des événements. Si plusieurs alertes sont associées à la chronologie, la puce affiche le nombre d'alertes associées.

La chronologie affiche les 1 000 alertes les plus récentes extraites des résultats de recherche. Lorsque la limite de 1 000 utilisateurs est atteinte, plus aucune alerte n'est récupérée. Pour obtenir tous les résultats pertinents, affinez votre recherche à l'aide de filtres.

Examiner une alerte

Pour en savoir plus sur une alerte, cliquez dessus. La visionneuse d'alertes s'affiche sur le côté droit de l'alerte et affiche les détails correspondants, y compris la fenêtre de détection et le score de risque.

Lecteur d'alerte

Figure 5. Lecteur d'alerte

Pour afficher plus de détails sur une alerte, cliquez sur Afficher les détails. La page Détails de l'alerte s'ouvre.

Détails de l'alerte

Figure 6. Détails de l'alerte

Utiliser des listes de référence dans les recherches UDM

Vous pouvez également utiliser le processus d'application des listes de référence dans les règles dans la recherche. Vous pouvez inclure jusqu'à sept listes par requête de recherche. Tous les types de listes de référence (chaîne, expression régulière et CIDR) sont compatibles.

Vous pouvez créer des listes pour toutes les variables dont vous souhaitez effectuer le suivi. Par exemple, vous pouvez créer une liste d'adresses IP suspectes: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Vous pouvez utiliser plusieurs listes en utilisant AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Affiner les résultats de recherche

Vous pouvez utiliser l'interface utilisateur de recherche UDM pour filtrer et affiner les résultats, plutôt que de la modifier et de la relancer.

Graphique chronologique

Le graphique chronologique vous permet d'obtenir une représentation graphique du nombre d'événements et d'alertes détectés chaque jour par la recherche UDM. Les événements et les alertes s'affichent sur le même graphique chronologique, à la fois dans les onglets Événements et Alertes.

La largeur de chaque barre dépend de l'intervalle de temps recherché. Par exemple, chaque barre représente 10 minutes lorsque la recherche couvre 24 heures de données. Ce graphique est mis à jour de manière dynamique à mesure que vous modifiez la recherche UDM existante.

Graphique chronologique des événements

Figure 8. Graphique chronologique des événements

Ajustement de la période

Vous pouvez ajuster la période du graphique en déplaçant les curseurs blancs vers la gauche ou vers la droite. Vous pouvez ainsi ajuster la période et vous concentrer sur la période qui vous intéresse. Lorsque vous ajustez la période, les tableaux des champs et valeurs d'UDM sont mis à jour pour refléter la sélection actuelle. Vous pouvez également cliquer sur une seule barre du graphique pour ne répertorier que ces événements au cours de cette période.

Une fois la période ajustée, les cases Événements filtrés et Événements de requête s'affichent, ce qui vous permet de restreindre davantage les types d'événements affichés.

Graphique chronologique des événements avec commandes de période

Figure 9. Graphique chronologique des événements avec commandes de période

Modifier la recherche UDM avec Quick Filters

Les filtres rapides vous permettent d'affiner votre recherche UDM. Vous pouvez soit faire défiler la liste des champs UDM, soit rechercher des champs ou des valeurs UDM spécifiques à l'aide du champ Rechercher. Les champs UDM listés ici sont associés aux listes d'événements existantes générées par votre recherche UDM. Chaque champ UDM inclut le nombre d'événements inclus dans votre recherche UDM actuelle qui incluent également cette donnée. La liste des champs UDM affiche le nombre total de valeurs uniques dans un champ. Cette fonctionnalité vous permet de rechercher des types spécifiques de données de journal qui pourraient vous intéresser.

Les champs UDM sont listés dans l'ordre suivant:

  1. Les champs associés au nombre d'événements le plus élevé sont comptabilisés dans le nombre d'événements le plus faible.
  2. Les champs ne comportant qu'une seule valeur sont toujours présents en dernier.
  3. Les champs comportant exactement le même nombre total d'événements sont classés par ordre alphabétique de A à Z.

Filtres rapides

Figure 10. Filtres rapides

Modifier un filtre rapide

Si vous sélectionnez une valeur de champ UDM dans la liste "Filtres rapides" et cliquez sur l'icône de menu, vous avez le choix entre Afficher uniquement les événements qui incluent également cette valeur de champ UDM ou Filtrer cette valeur de champ UDM. Si le champ UDM stocke des valeurs entières (par exemple: target.port), des options de filtrage par <,>,<=,>= s'affichent également. Les options de filtrage raccourciront la liste des événements affichés.

Vous pouvez également épingler des champs (à l'aide de l'icône en forme d'épingle) dans Quick Filter pour les enregistrer dans vos favoris. Ils apparaissent en haut de la liste "Filtres rapides".

Afficher uniquement

Figure 11. Exemple: Sélectionner "Afficher uniquement"

Ces filtres UDM supplémentaires sont également ajoutés au champ des événements de filtre ci-dessus. Le champ "Filtrer les événements" vous permet d'effectuer le suivi des autres champs UDM que vous avez ajoutés à la recherche UDM. Vous pouvez également supprimer rapidement ces champs UDM supplémentaires si nécessaire.

Filtrer les événements

Figure 12. Filtrer les événements

Si vous cliquez sur l'icône de menu "Filtrer les événements" ou sur Ajouter un filtre à gauche, une fenêtre s'ouvre pour vous permettre de sélectionner des champs UDM supplémentaires.

Fenêtre "Filtrer les événements"

Figure 13. Fenêtre "Filtrer les événements"

Lorsque vous cliquez sur APPLIQUER À RECHERCHER ET EXÉCUTER, les champs UDM sont ajoutés au champ "Filtrer les événements" (voir Figure 8). Les événements affichés sont filtrés en fonction de ces filtres supplémentaires. Vous pouvez également cliquer sur Apply to Search and Run (Appliquer aux fonctionnalités de recherche et d'exécution) pour les ajouter au champ de recherche principal d'UDM en haut de la page. La recherche est automatiquement exécutée à nouveau avec les mêmes paramètres de date et d'heure. Nous vous recommandons d'affiner votre recherche autant que possible avant de cliquer sur APPLIQUER À LA RECHERCHE ET À L'EXÉCUTER. Cela permet d'améliorer la précision et de réduire les temps de recherche.

Afficher les événements dans le tableau "Événements"

Tous ces filtres et commandes mettent à jour la liste d'événements affichée dans le tableau "Événements". Cliquez sur l'un des événements de la liste pour ouvrir la visionneuse de journaux, où vous pouvez examiner le journal brut et l'enregistrement UDM de cet événement. Si vous cliquez sur l'horodatage d'un événement, vous pouvez également accéder à la vue "Asset", "Adresse IP", "Domain", "Hash" ou "User" associée. Vous pouvez également utiliser le champ de recherche en haut du tableau pour rechercher un événement spécifique.

Tableau des événements

Figure 14. Tableau des événements

Afficher les alertes dans le tableau des alertes

Vous pouvez afficher les alertes en cliquant sur l'onglet Alertes à droite de l'onglet Événements. Vous pouvez utiliser les filtres rapides pour trier les alertes en fonction des éléments suivants:

  • Cas
  • Name (Nom)
  • Priorité
  • Gravité
  • État
  • Verdict

Vous pouvez ainsi vous concentrer sur les alertes les plus importantes.

Les alertes s'affichent sur la même période que les événements de l'onglet "Événements". Cela vous permet de voir facilement le lien entre les événements et les alertes.

Si vous souhaitez en savoir plus sur une alerte spécifique, cliquez sur celle-ci. Une page d'informations correspondante s'ouvre alors et contient des informations plus détaillées sur cette alerte.

Afficher les événements dans l'observateur d'événements

Si vous pointez sur un événement dans le tableau "Événements", l'icône de l'observateur ouvert s'affiche à droite de l'événement en surbrillance. Cliquez dessus pour ouvrir l'observateur d'événements.

Observateur d'événements

Figure 15. Observateur d'événements

La fenêtre "Journal brut" affiche le journal brut d'origine dans l'un des formats suivants:

  • Données
  • JSON
  • XML
  • CSV
  • Hex/ASCII

La fenêtre UDM affiche l'enregistrement UDM structuré. Vous pouvez pointer sur n'importe quel champ UDM. Une définition s'affiche alors dans une fenêtre pop-up. En cochant la case des champs UDM, vous bénéficiez d'options supplémentaires:

  • Vous pouvez copier l'enregistrement UDM. Sélectionnez un ou plusieurs champs UDM, puis sélectionnez l'option Copier UDM dans le menu déroulant Afficher les actions. Les champs et les valeurs UDM sont copiés dans le presse-papiers du système.

  • Vous pouvez ajouter les champs UDM en tant que colonnes dans le tableau "Événements" en sélectionnant l'option Ajouter des colonnes dans le menu déroulant Afficher les actions.

Utilisez l'option Colonnes pour définir les colonnes d'informations à afficher dans le tableau "Événements". Le menu contextuel "Colonnes" s'affiche. Les options disponibles varient en fonction des types d'événements renvoyés par la recherche UDM.

Si vous le souhaitez, vous pouvez enregistrer l'ensemble de colonnes sélectionné en cliquant sur Enregistrer. Attribuez un nom à l'ensemble des colonnes sélectionnées, puis cliquez à nouveau sur Enregistrer. Vous pouvez charger un ensemble de colonnes enregistrées en cliquant sur Charger et en sélectionnant l'ensemble de colonnes enregistrées dans la liste.

Vous pouvez également télécharger les événements affichés en cliquant sur le menu à trois points, puis en sélectionnant Télécharger au format CSV. Tous les résultats de recherche seront alors téléchargés jusqu'à un million d'événements. L'interface utilisateur indique le nombre d'événements qu'il va télécharger.

Colonnes de recherche UDM

Figure 16. Colonnes de recherche UDM

Effectuer une recherche dans "Recherches rapides"

  1. Cliquez sur Recherches rapides pour ouvrir la fenêtre "Recherches rapides". Cette fenêtre affiche vos recherches enregistrées et l'historique de vos recherches.

  2. Cliquez sur l'une des recherches répertoriées pour la charger dans le champ de recherche UDM.

  3. Cliquez sur Lancer la recherche lorsque vous êtes prêt.

Les recherches listées sont enregistrées dans votre compte Chronicle. Pour modifier l'une de vos recherches enregistrées (par exemple, renommer une recherche existante), supprimer des recherches enregistrées ou de l'historique des recherches, ouvrez le Gestionnaire de recherche en cliquant sur Afficher toutes les recherches.

Utiliser des modèles dans les recherches rapides

  1. Ouvrez les recherches rapides en cliquant sur Recherches rapides à droite de la recherche UDM.
  2. Trois panneaux apparaissent: Enregistré, Modèles et Historique. Templates (Modèles) contient des modèles prédéfinis. Chacune d'elles est accompagnée d'une brève description de la tâche que la recherche effectuera.
  3. Lorsque vous cliquez sur l'un des modèles, vous pouvez le charger directement dans l'éditeur (si aucune entrée n'est nécessaire) ou l'ouvrir dans un nouveau panneau (s'il en a besoin).
  4. Si vous en avez choisi un qui nécessite une saisie (par exemple, User Logins by product/vendor), saisissez les valeurs requises dans les champs ouverts. Tous les champs doivent être remplis s'ils sont nécessaires pour effectuer la recherche.
  5. Après avoir saisi vos informations, cliquez sur Charger la recherche. Le modèle est chargé dans l'éditeur.

Pour quitter la recherche rapide, cliquez sur Annuler afin de revenir au panneau de recherche rapide.

Les recherches listées sont enregistrées dans votre compte Chronicle. Pour modifier l'une de vos recherches enregistrées (par exemple, renommer une recherche existante), supprimer des recherches enregistrées ou de l'historique des recherches, ouvrez le Gestionnaire de recherche en cliquant sur Afficher toutes les recherches.

Recherche rapide

Figure 17. Fenêtre de recherche rapide

Présentation des recherches enregistrées et de l'historique des recherches

Pour récupérer des recherches enregistrées et afficher l'historique de vos recherches, cliquez sur Search Manager. Les recherches enregistrées et l'historique des recherches sont tous deux stockés dans votre compte Chronicle. Les recherches enregistrées et l'historique des recherches ne sont visibles et accessibles que par un seul utilisateur, sauf si vous utilisez la fonctionnalité de recherche partagée pour partager votre recherche avec votre organisation.

Gestionnaire de recherche

Figure 18. Search Manager

Utiliser des modèles dans Search Manager

  1. Ouvrez le gestionnaire de recherche en cliquant sur l'onglet Gestionnaire de recherche à côté de "Recherches rapides".
  2. Trois onglets apparaissent: Enregistré, Modèles et Historique. Cliquez sur Modèles.
  3. Choisissez le modèle que vous souhaitez utiliser.
  4. Si vous avez sélectionné un modèle nécessitant des informations supplémentaires, saisissez les informations requises dans les champs ouverts, puis cliquez sur Charger la recherche. Si vous avez sélectionné un modèle ne nécessitant aucune information, cliquez sur Charger la recherche.

Pour enregistrer une recherche:

  1. Sur la page de recherche UDM, cliquez sur ENREGISTRER pour enregistrer votre recherche UDM afin de la retrouver ultérieurement. Le gestionnaire de recherche s'ouvre. Nous vous recommandons de donner un nom explicite à votre recherche enregistrée.

  2. Lorsque vous avez terminé, cliquez sur Enregistrer les modifications.

  3. Pour afficher les recherches enregistrées, cliquez sur Gestionnaire de recherche, puis sur l'onglet Recherches enregistrées.

Pour récupérer et exécuter une recherche enregistrée:

  1. Cliquez sur Recherches enregistrées.

  2. Sélectionnez une recherche enregistrée dans la liste. Ces recherches enregistrées sont enregistrées dans votre compte Chronicle. Vous pouvez supprimer une recherche en cliquant sur "Supprimer".

  3. Vous pouvez modifier le nom de la recherche. Lorsque vous avez terminé, cliquez sur Enregistrer les modifications.

  4. Cliquez sur Charger la recherche. La recherche est chargée dans le champ principal de recherche UDM.

  5. Cliquez sur EXÉCUTER LA RECHERCHE pour consulter les événements associés à cette recherche.

Récupérer une recherche de votre historique des recherches

Pour récupérer et exécuter une recherche à partir de votre historique des recherches:

  1. Cliquez sur Historique des recherches.

  2. Sélectionnez une recherche dans votre historique des recherches. Votre historique des recherches est enregistré dans votre compte Chronicle. Vous pouvez supprimer une recherche en cliquant sur "Supprimer".

  3. Cliquez sur Charger la recherche. La recherche est chargée dans le champ principal de recherche UDM.

  4. Cliquez sur EXÉCUTER LA RECHERCHE pour consulter les événements associés à cette recherche.

Effacer, désactiver ou activer l'historique des recherches

Pour effacer, désactiver ou activer l'historique des recherches:

  1. Cliquez sur .

  2. Sélectionnez Effacer l'historique des recherches pour effacer l'historique des recherches.

  3. Cliquez sur Désactiver pour désactiver l'historique des recherches. Vous pouvez:

    • Désactiver uniquement : désactive l'historique des recherches.

    • Désactiver et effacer : désactivez l'historique des recherches et supprimez l'historique des recherches enregistré.

  4. Si vous avez désactivé l'historique des recherches, vous pouvez le réactiver en cliquant sur Activer l'historique des recherches.

  5. Cliquez sur Fermer pour quitter la fenêtre Search Manager.

Partager une recherche

Les recherches partagées vous permettent de partager vos recherches avec le reste de votre équipe. Dans l'onglet Recherches enregistrées, vous pouvez partager, dupliquer ou supprimer des recherches. Vous pouvez également filtrer vos recherches en cliquant sur l'icône de filtre à côté de la barre de recherche et trier les recherches par Toutes, Partagées ou Modifiés par moi.

Si vous modifiez une recherche partagée, vous devez l'enregistrer en tant que recherche enregistrée. Vos modifications ne modifieront pas la recherche partagée d'origine.

  1. Cliquez sur Recherches enregistrées.
  2. Cliquez sur la recherche que vous souhaitez partager.
  3. Cliquez sur à droite de la recherche. Une boîte de dialogue permettant de partager votre recherche s'affiche.
  4. Cliquez sur Partager avec tout le monde.
  5. Un pop-up indiquant "Partage de votre recherche" sera visible par les membres de votre organisation. Voulez-vous vraiment partager l'élément ? Cliquez sur Oui.

Si vous souhaitez que votre recherche ne soit visible que par vous, cliquez sur , puis sur Rendre privée. Si vous arrêtez le partage, vous seul pouvez utiliser cette recherche.