Definir critérios de pesquisa de e-mail e solicitar uma pesquisa no serviço Microsoft Exchange Online

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 12 min. de leitura

    • Como um usuário com a função sn_si.analyst, defina os critérios de pesquisa e envie uma solicitação de pesquisa por e-mail com base nos detalhes do incidente em um registro de incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    As imagens neste procedimento são mostradas com Formulários com guias selecionados em Configurações do sistema. Para obter mais informações sobre como selecionar e limpar formulários com guias, consulte a seção intitulada Exibir formulários com guias em Como configurar o layout do formulário no site de documentação de produtos da ServiceNow.

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O status de mensagens individuais que correspondem à consulta de pesquisa e os resultados da pesquisa são relatados no registro de incidente de segurança. Se as notificações por e-mail estiverem habilitadas, você poderá exibir os resultados da pesquisa de uma mensagem de e-mail.

    Os critérios de pesquisa podem incluir endereços de remetentes de mensagens, endereços de destinatários ou nomes de assunto. As seguintes combinações de parâmetros de pesquisa Assunto, Remetente e Destinatário da mensagem geralmente são usadas para encontrar mensagens de e-mail relacionadas a phishing que podem fazer parte de uma única campanha de phishing:
    • Encontrar todos os e-mails originais enviados por uma conta de phishing: pesquisar por remetente.
    • Encontrar todos os e-mails originais de uma única campanha de phishing: pesquise por assunto e remetente.
    • Encontrar todos os e-mails recebidos para uma única campanha de phishing (original e encaminhado, qualquer remetente): pesquise por assunto.
    • Encontrar todos os e-mails encaminhados para um único e-mail de phishing de um único usuário: pesquisar por destinatário + assunto.
    • Encontrar todos os e-mails relacionados a phishing enviados para um único usuário: pesquisar por remetente + destinatário.
    Nota:
    As pesquisas são realizadas em e-mails enviados ou recebidos nos últimos 30 dias corridos, a menos que uma janela de pesquisa mais curta seja configurada durante a configuração inicial. Uma pesquisa de e-mail bem-sucedida é necessária antes que você possa excluir e-mails.

    O exemplo a seguir mostra como iniciar uma pesquisa a partir de um Now Platform incidente de segurança. Um incidente de segurança é criado com base no e-mail original de um ataque de phishing suspeito no servidor Microsoft Exchange Online da sua organização. Para este exemplo, os critérios de pesquisa são Remetente (De) mais Assunto, em que De é phisher@cbazyx.come o Assunto é login na sua conta.

    Os resultados de pesquisas sobre assuntos são retornados quando a pesquisa encontra cadeias de caracteres de texto que contêm palavras-chave que correspondem aos critérios de pesquisa inseridos. Neste exemplo, o assunto é faça login na sua conta. Use o operador E para separar as condições de pesquisa De e Assunto para retornar resultados para todas as mensagens de e-mail que contêm esses critérios de pesquisa fornecidos. As etapas a seguir descrevem como configurar uma pesquisa que encontra somente e-mails que contêm texto de linha de assunto enviado por uma conta de phishing específica.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes e localize o incidente de segurança com o qual você está trabalhando.
    2. Como alternativa, siga estas etapas para definir e executar um filtro para que somente os incidentes de segurança criados por eventos de phishing sejam exibidos.
      1. Navegar até Incidente de segurança > Mostrar todos os incidentes para abrir a lista de Incidentes de segurança.
      2. No canto superior esquerdo da lista exibida, clique no ícone de filtro.
        Filtragem.
      3. Nos campos exibidos, selecione Descrição resumida > contém nas listas de seleção, insira phishing relatado pelo usuário e clique em Executar.

        Os incidentes de segurança relacionados ao phishing são exibidos.

        Coluna Descrição resumida na lista Incidentes de segurança realçada.
      4. Use o texto na coluna Descrição resumida para ajudá-lo a localizar o incidente de segurança com o qual você está trabalhando.
      5. Na coluna Número, clique em um incidente de segurança para abrir um registro.
    3. Role até a parte inferior do registro de Incidente de segurança e clique na lista relacionada Pesquisa de e-mail.

      Se a lista relacionada Pesquisa de e-mail não for exibida, clique no link relacionado Mostrar todas as listas relacionadas para exibir essa lista relacionada.

      Lista relacionada à Pesquisa de e-mail em um registro de incidente de segurança realçado.
    4. Na lista relacionada Pesquisa de e-mail, clique em Novo para criar um novo registro de pesquisa de e-mail.
      O formulário Pesquisa de e-mail é exibido. Se você determinar que deseja executar novamente esta consulta de pesquisa para o mesmo incidente relacionado a phishing com pequenas modificações, poderá usar este registro de consulta de pesquisa novamente. No entanto, é improvável que você use essa pesquisa para um incidente diferente relacionado a phishing, porque as campanhas de phishing são dinâmicas e os campos de remetente e mensagem mudam com frequência.
    5. Opcional: Para editar um registro de consulta de pesquisa existente, clique em Editar.
    6. No formulário Pesquisa de e-mail, preencha os campos.
      Campo Descrição
      Nome Informações para descrever o tipo de pesquisa. Para este exemplo, um nome para uma pesquisa De + Assunto é Phish "faça login na sua conta".
      Descrição Informações sobre a pesquisa no servidor de e-mail. Um exemplo dessa pesquisa é From=phisher@cbazyx.com + Subject=log in to your account.
      Um formulário preenchido.
    7. Clique em Enviar.
      O incidente de segurança é exibido e o nome da pesquisa de e-mail é exibido na coluna Pesquisa de e-mail na lista relacionada Pesquisa de e-mail. Antes que você possa usar esta nova consulta de pesquisa, os critérios de pesquisa devem ser definidos para o registro de pesquisa.
    8. Para definir critérios de pesquisa, com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique em Phish "fazer login na sua conta".
      Guia Pesquisa de e-mail com a coluna Pesquisa de e-mail realçada em um incidente de segurança.
    9. No registro de pesquisa de e-mail exibido, clique na lista relacionada Critérios de pesquisa de e-mail e clique em Novo.
      Novo botão realçado.
    10. No formulário Critérios de pesquisa de e-mail, preencha os campos.

      Um exemplo de um formulário preenchido segue a tabela.

      Campo Descrição
      Pesquisa de e-mail O campo é preenchido automaticamente com o nome que você inseriu para o registro de pesquisa de e-mail.
      Ícone de pesquisa Pesquisa usando lista.

      Uma lista de pesquisas salvas. Clique no ícone para abrir uma lista de pesquisas de e-mail salvas. Clique em um item nesta lista para remover a pesquisa atual e selecionar uma pesquisa de e-mail salva anteriormente.
      Ícone de informações Ícone usado para exibir o registro de pesquisa de e-mail. Clique no ícone para exibir o registro de pesquisa de e-mail.
      Campo de pesquisa Critério de pesquisa (Assunto, Deou Destinatário). Selecione o critério de pesquisa na lista de seleção e defina um valor que você deseja pesquisar no campo de texto. Para este exemplo, comece com From phisher@cbazyx.com (o endereço de e-mail do remetente do e-mail de phishing).
      Ativo Opção para ativar a pesquisa.

      A pesquisa é ativada por padrão.

      Se você desmarcar esta opção, este registro não será incluído em uma pesquisa.
      Operador Operadores (AND, OR) para definir ainda mais sua pesquisa.

      AND: o sistema pesquisará as condições separadas por AND e retornará resultados somente se todas as condições forem atendidas. Para a pesquisa de remetente mais assunto, use o operador E para que ambas as condições de pesquisa sejam atendidas durante a pesquisa de e-mail.

      Para este exemplo, use o operador E para que a consulta seja De (remetente) = phisher@cbazyx.com E Assunto = faça login na sua conta.

      OU: o sistema pesquisará e retornará resultados se qualquer uma das condições separadas por OU for atendida.

      Um exemplo é De (Remetente) = phisher@cbazyx.com OU De (Remetente) = phisher-2@cbazyx.com.
      Ordem Se você inserir mais de duas condições de pesquisa, use Ordem para priorizar as condições. 100 é o padrão. Insira um valor entre 1 e 100 para cada condição, por exemplo, 100, 95, 90, 80. A condição com o número mais baixo atribuído tem a prioridade de pesquisa mais alta em um grupo de condições.
      Pesquisar texto Os valores de texto (palavras-chave) para a pesquisa (endereços de e-mail ou linhas de assunto).

      O campo de pesquisa contém o texto usado na pesquisa, por exemplo, phisher@cbazyx.com.

      Para que a pesquisa retorne resultados precisos para pesquisas de Remetente (De) e destinatário, as cadeias de caracteres de pesquisa devem corresponder exatamente. Para pesquisas de assunto, a cadeia de caracteres de pesquisa pode conter palavras-chave que fazem parte de uma cadeia de caracteres maior. Por exemplo, um assunto pode conter a cadeia de caracteres de pesquisa exata que é correspondida em um cabeçalho de mensagem encaminhada ou de resposta, como FW: faça login na sua conta e mude sua senha imediatamente.

      Por exemplo, Faça login na sua conta são palavras-chave exatas na cadeia de caracteres faça login na sua conta e mude sua senha imediatamente.

      Nenhuma designação de curinga (*) é necessária para oferecer suporte a um tipo de pesquisa " contém ". Atualmente, não existe nenhum método de filtragem para corresponder a uma cadeia de caracteres de pesquisa exata que não faça parte de uma cadeia de caracteres de texto maior.
      Formulário Critérios de pesquisa de e-mail
    11. Clique em Enviar.
      O registro de pesquisa de e-mail é exibido. No campo Consulta de critérios, os critérios de pesquisa que você adicionou para o Remetente (De) são exibidos.
      Registro de pesquisa de e-mail
    12. Para atualizar esses critérios de pesquisa de e-mail com mais informações para que a consulta inclua a condição de assunto mais remetente desejada, siga as etapas para adicionar outra condição de pesquisa.
      1. Na lista relacionada Critérios de pesquisa de e-mail, clique em Novo.
        Lista relacionada aos critérios de pesquisa de e-mail
      2. Na lista Campo de pesquisano registro Critérios de pesquisa de e-mail exibido, selecione Assunto.
      3. Na lista Operador, selecioneE ou OU.
        Se você selecionar OU, a pesquisa retornará resultados se as palavras-chave na cadeia de caracteres de texto da linha de assunto corresponderem ou se a condição do endereço de e-mail for correspondida. E está selecionado para este exemplo para que a pesquisa retorne resultados somente para e-mails que contenham as palavras-chave da cadeia de caracteres de texto do assunto e que correspondam ao endereço de e-mail do remetente.
      4. No campo Texto de pesquisa, insira o valor do texto da linha de assunto, faça login na sua conta.
        Campo de texto de pesquisa com cadeia de caracteres de texto.
      5. Clique em Enviar.
        A nova condição é exibida na lista relacionada Critérios de pesquisa de e-mail e ambas as condições são exibidas no campo Consulta de critérios separados pelo operador E.
        A nova condição é exibida na lista relacionada Critérios de pesquisa de e-mail
      6. Opcional: Se você tiver mais de duas condições de pesquisa e selecionar E para separar cada condição, defina o valor da ordem para priorizá-las.
      7. Continue a adicionar, modificar ou remover critérios de pesquisa conforme desejado e clique em Atualizar para salvar suas mudanças no registro.
    13. Escolha uma opção para continuar.
      OpçãoDescrição
      Atualizar Atualize e salve suas mudanças no registro.
      Pesquisar em Servidor(es) de E-mail Inicie uma pesquisa nos servidores com os critérios que você salvou no registro Critérios de pesquisa de e-mail.
      Excluir Exclua este registro de pesquisa de e-mail da sua instância Now Platform. Esta ação não exclui as mensagens de e-mail reais. Exclui somente o registro de pesquisa usado para localizar mensagens.

      Uma caixa de diálogo é exibida. Se você clicar em Excluir, os resultados da pesquisa de e-mail e os critérios de pesquisa de e-mail para este registro de pesquisa serão excluídos.

      Caixa de diálogo de confirmação para excluir um registro de pesquisa de e-mail.

      Se um registro tiver resultados de pesquisa, o aviso a seguir será exibido.

      Caixa de diálogo de confirmação do registro do resultado da pesquisa.
    14. Para iniciar uma pesquisa de e-mail, no registro de pesquisa de e-mail, clique em Pesquisar em servidores de e-mail.
      Uma mensagem é exibida indicando que a solicitação de pesquisa foi enviada.

      No registro de Incidente de segurança, uma anotação de trabalho é exibida indicando que uma pesquisa foi iniciada.

      A anotação de trabalho registra que uma pesquisa foi iniciada.

      Se a marcação estiver habilitada, na parte superior do registro de Incidente de segurança, o marcador de segurança Pesquisa de e-mail - Iniciado será exibido.

      Marcador de segurança iniciado de pesquisa de e-mail realçado.

      Depois que a pesquisa for concluída com sucesso, se as notificações por e-mail estiverem habilitadas, um e-mail será enviado para o endereço de e-mail do indivíduo que iniciou a pesquisa.

      Neste exemplo, o usuário com a função sn_si.analyst, Hans SecAnalyst, enviou esta pesquisa. A imagem a seguir mostra que esta notificação é enviada para uma conta em Microsoft Exchange Online. No entanto, essas notificações podem ser enviadas para um serviço de e-mail diferente, conforme necessário.

      Esta notificação permite que você exiba todos os resultados correspondentes que exigem acompanhamento e exclusão. O exemplo a seguir mostra que há um e-mail que correspondeu aos critérios de pesquisa. Um link de resultado de pesquisa de e-mail para o registro de resultado de pesquisa de e-mail em sua instância Now Platform também é fornecido. Se você quiser exibir o registro de pesquisa, clique neste link.

      Notificação por e-mail para pesquisa de e-mail enviada pelo analista de segurança.
    15. A partir deste e-mail, para exibir os resultados da pesquisa, clique no link Resultado da pesquisa por e- mail.
      O registro do resultado da pesquisa de e-mail é exibido. Neste registro, você pode verificar e revisar os dados a seguir.
      • No campo Dados brutos, a contagem de e-mail para o número de e-mails que corresponderam aos critérios de pesquisa {"count":1}e os endereços de caixa de correio onde os e-mails foram encontrados são exibidos ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • Na coluna Destinatários, o destinatário é (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • Na coluna Remetente, a origem do e-mail é exibida.
      • Na coluna Data de recebimento do e-mail, a data e a hora em que o e-mail foi recebido são exibidas para ajudar você a rastrear os cronogramas da campanha de phishing.
      • Na coluna Status de leitura de e-mail, o e-mail neste exemplo não foi lido (falso). Se um e-mail tiver sido lido, verdadeiro será exibido.
      • Na coluna Foi excluído, o e-mail neste exemplo não foi excluído. Se um e-mail tiver sido excluído, verdadeiro será exibido.
      Campo de dados brutos
    16. Como alternativa, para exibir os resultados da pesquisa do incidente de segurança, siga estas etapas.
      1. Navegar até Incidente de segurança > Incidentes e abra o incidente de segurança com o qual você está trabalhando.
        Na parte superior do registro, quando a pesquisa é concluída com sucesso, o marcador de segurança Pesquisa de e-mail - Concluído substitui o marcador de segurança Pesquisa de e-mail - Iniciada.
        Marcador de segurança concluído de pesquisa de e-mail realçado.

        As anotações de trabalho são exibidas informando que a pesquisa foi concluída com sucesso e que um e-mail correspondente foi encontrado.

        E-mails correspondentes de registro em log de anotações de trabalho foram encontrados.
      2. Role até a parte inferior do registro de Incidente de segurança e clique na lista relacionada Pesquisa de e-mail.

        Se a lista relacionada Pesquisa de e-mail não for exibida, clique no link relacionadoMostrar todas as listas relacionadas para exibir essa lista relacionada.

        Lista relacionada Pesquisa de e-mail no registro de Incidente de segurança.
      3. Com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique no nome da sua pesquisa.
        Coluna de pesquisa de e-mail com o nome da pesquisa realçado.
      4. No registro Pesquisa de e-mail, clique na lista relacionada Resultados da pesquisa de e-mail.
      5. Na coluna Data de pesquisa, clique na data da pesquisa para exibir os dados.
        O registro do resultado da pesquisa de e-mail é exibido.
        O registro do resultado da pesquisa de e-mail é exibido.
      Depois que uma pesquisa de e-mail for concluída com sucesso, avalie os resultados. Se você determinar que os e-mails precisam de correção, agora você está pronto para excluir e-mails ou solicitar aprovação de exclusão.