Detecta pesquisas sobre ataques de phishing e malware relatados pelo usuário

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 11 min. de leitura

    • Execute pesquisas de vistas em e-mails ou observáveis para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada um avistamento. As pesquisas de detecções de observáveis devem ser configuradas para seus armazenamentos de log ou gestão de eventos e informações de segurança (SIEM).

    Assista a este vídeo de três minutos para saber como usar o recurso de pesquisa de detecções para localizar usuários com phishing e rastrear observáveis de phishing e malware no armazenamento de logs em sua rede.

    Os termos a seguir são usados para descrever ataques de phishing relatados pelo usuário:
    • Usuário com phishing: Um usuário que recebeu um e-mail de phishing.
    • Usuário vítima: Um usuário que interagiu com o URL de phishing, normalmente clicando em um link no e-mail de phishing. Esta ação potencialmente expõe credenciais ao invasor.
    Ao começar a analisar um incidente de phishing, você pode Execute uma pesquisa de detecções de e-mail ou Execute uma pesquisa de detecções de observáveis para identificar outros usuários em sua organização que são afetados pelo mesmo ataque de phishing. PESQUISE seus armazenamentos de logs para identificar usuários vítimas e vítimas de phishing. Depois de identificar a lista de usuários afetados, crie incidentes de segurança secundários para executar procedimentos abrangentes de resposta a incidentes usando as ferramentas disponíveis em Resposta a incidentes de segurança.
    Nota:
    Você também pode usar a seguinte abordagem para executar uma pesquisa de detecções:
    • Navegar até Incidentes de segurança > Mostrar todos os incidentes e clique em um incidente de segurança.
    • Clique em Mostrar IOC Em Links relacionados. É apresentada uma lista de observáveis.
    • Selecione um observável na lista e no Ações selecione uma das seguintes opções:
      • Executar pesquisa de detecções de tráfego na web
      • Executar pesquisa de detecções de tráfego de e-mails
    • Especifique o intervalo de tempo e clique em Pesquisa para executar uma pesquisa de detecções.

    Configurações de pesquisa de detecções salvas

    Configure pesquisas de detecções e crie configurações salvas para SIEMs ou outros armazenamentos de log para instâncias de observáveis para determinar a presença de observáveis maliciosos em seu ambiente.
    Nota:
    As pesquisas salvas e as consultas no local são compatíveis somente com a integração do Splunk.

    Execute uma pesquisa de vistas de e-mail para ataques de phishing relatados pelo usuário

    PESQUISE usuários que receberam e-mails de phishing com base em observáveis, como assunto do e-mail, nome do remetente ou ID da mensagem. Em seguida, você pode conter e erradicar esses e-mails de phishing da sua organização.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    PESQUISE os logs de tráfego de e-mail do Splunk para reunir a lista de destinatários de um e-mail suspeito. A pesquisa pode ser realizada usando o remetente do e-mail, o ID da mensagem de e-mail ou o assunto do e-mail associado a um incidente de segurança como critérios.
    Nota:
    • Esta implementação da pesquisa de detecções para observáveis baseados em e-mail foi testada somente com o armazenamento de logs do Splunk Enterprise.
    • Os eventos de log do Splunk devem estar em conformidade com o CIM (Common Information Model, modelo de informação comum) para que a consulta de pesquisa de detecções retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (Nova IU).
    2. Em Incidentes de segurança , selecione um dos filtros, como todos incidentes em aberto , todos os incidentes atribuídos a você , ou todos os incidentes .

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos .

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      A guia Visão geral fornece uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia Visão Geral
    4. Clique em Explorar .
    5. Em Dados do incidente , navegue até Investigação > Pesquisar e-mail e observáveis.
      Pesquisa de e-mail
    6. Expanda a seção Critérios de pesquisa.
    7. Selecione Pesquisa de e-mail como o tipo de pesquisa que você deseja executar e especifique o restante dos critérios de pesquisa.
      Tabela 1. Formulário de critérios de pesquisa
      Campo Descrição
      Integrações Tipo de integrações. Selecione Armazenamento de logs da lista.
      Nota:
      Este recurso é compatível somente com o armazenamento de logs do Splunk.
      De Endereço de e-mail completo do remetente (por exemplo, jane.doe@example.com).
      ID da Mensagem ID da mensagem de e-mail do armazenamento de logs.
      Assunto Assunto do e-mail de phishing.
      Janela de pesquisa Janela de tempo para a pesquisa (por exemplo, as últimas 24 horas).
    8. Em Selecione Ação selecione Pesquisa e clique em Executar .

      O armazenamento de logs do Splunk é pesquisado usando os critérios inseridos, e os usuários visados pelo ataque de phishing são mostrados no Resultados da pesquisa de e-mail . O número total de e-mails de phishing e os detalhes de cada e-mail, incluindo a data de recebimento do e-mail, o destinatário e o ID da mensagem, são exibidos.

    9. Para exibir a lista de usuários que receberam o e-mail de phishing, clique em > Símbolo na coluna Data de pesquisa.
      Resultados da pesquisa de e-mail
    10. Para exibir uma lista de usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário com phishing identifica os destinatários de e-mail.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    11. Para investigar melhor os usuários que são alvos do ataque de phishing, siga estas etapas:
      1. Marque as caixas de seleção ao lado dos nomes de usuário.
      2. Na lista, selecione Criar incidente de segurança secundário e clique em Executar .
      Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique em Explorar e navegue até incidentes > Incidentes de segurança secundário.

    Resultado

    A lista de usuários com phishing é exibida.

    Execute uma pesquisa de avistamentos observáveis para ataques de phishing e malware relatados pelo usuário

    Execute pesquisas de vistas em observáveis para descobrir quantos usuários visitaram um site malicioso ou suspeito em um período específico.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode realizar uma pesquisa de tráfego de rede em observáveis, como o URL, o host de destino ou o endereço IP de destino associado a um incidente de segurança.
    Nota:
    • Esta implementação da pesquisa de detecções de observáveis foi testada somente com o armazenamento de logs do Splunk Enterprise.
    • Os eventos de log do Splunk devem estar em conformidade com o CIM (Common Information Model, modelo de informação comum) para que a consulta de pesquisa de detecções retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (Nova IU).
    2. Em Incidentes de segurança , selecione um filtro diferente, como todos Incidentes atribuídos a mim , Todos os incidentes em aberto , ou Todos os incidentes .

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos .

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      Você pode ver uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia Visão Geral

      Na seção Observáveis, observe que a coluna Observável mostra o endereço de e-mail, o assunto e o URL. Observe também que a coluna de descoberta mostra que o URL foi verificado automaticamente quando o e-mail de phishing foi enviado e determinado como um URL malicioso conhecido. A coluna Contagem de incidentes mostra os outros incidentes que compartilham o mesmo observável. Esses artefatos indicam que você provavelmente está pronto para prosseguir para os procedimentos de contenção desse ataque de phishing, incluindo determinar quantos usuários na organização foram afetados.

      Observáveis

    4. Navegar até Explorar > Investigação > Pesquisar e-mail e observáveis.
    5. Expanda a seção Critérios de pesquisa e clique em Pesquisa de observável .
      Pesquisa de observável
    6. Insira o observável que você está pesquisando e uma janela de tempo para a pesquisa (por exemplo, últimas 24 horas).
    7. Em Selecione Ação selecione Pesquisa .
      O armazenamento de logs do Splunk é pesquisado usando os critérios inseridos e os principais usuários visados pelo ataque malicioso são mostrados no Resultados da Pesquisa de observável .Resultados da pesquisa observável
    8. Para exibir os usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário com phishing identifica os destinatários do e-mail de phishing e a coluna Interação do usuário identifica usuários que clicaram em um URL de phishing ou interagiram com um endereço de e-mail suspeito. A coluna Interação do usuário é definida como verdadeiro ou falso, dependendo se o usuário clicou no link ou IP malicioso.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    9. Para investigar melhor os usuários que clicaram no e-mail de phishing e potencialmente comprometeram suas credenciais:
      1. Nas colunas Usuário com phishing e Interação do usuário, marque as caixas de seleção ao lado dos nomes de usuário exibidos verdadeiro .
      2. Clique em Criar incidente de segurança secundário e clique em Executar .
        Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique em Explorar e navegue até incidentes > Incidentes de segurança secundário.

    Resultado

    A lista de usuários com phishing é exibida.

    Crie registros de configuração de pesquisa de detecções

    Crie vários registros de configuração de pesquisa de detecções e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • As pesquisas salvas e as consultas no local são compatíveis somente com a integração do Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de detecções para invocar pesquisas salvas No armazenamento de log empresarial do Splunk.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com o CIM (Common Information Model, modelo de informação comum) do Splunk.
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinam vários registros de eventos.
    • Design-eficiente e pesquisas eficazes.
    • Use entradas parametrizadas na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de amostra.

    A pesquisa salva e as consultas de configuração no local são consultas de exemplo e podem ser substituídas por parâmetros apropriados para seu ambiente. Crie configurações de pesquisa salvas adicionais conforme necessário. Quando você define uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida na instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de detecções.
    Nota:
    Em sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Selecione Permissões Link para navegar até a página de permissões. Selecione Todos os apps e habilite o. Permissão de leitura opção para Todos . Isso mudará o valor da coluna Compartilhamento de Privado para App para sua consulta de pesquisa salva. Se isso não estiver definido, a consulta de pesquisa salva pode não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida na instância do Splunk:

    1. Navegar até Configurações > Pesquisas, relatórios e alertas.
    2. Mudança Contexto da aplicação para Todos .

      Uma lista de relatórios de pesquisa é exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de detecções contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 1. Formulário de configuração de pesquisa de detecções
    Configuração salva

    Em sua instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - E-mails e os mesmos parâmetros de pesquisa para o endereço de e-mail e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem os mesmos, a pesquisa de detecções não gerará um resultado preciso.

    Procedimento

    1. Navegar até Operações de segurança > Integrações > Configuração da Pesquisa de detecções e criar um novo registro (consulte a tabela para obter descrições dos campos).
      Tabela 2. Formulário de configuração de pesquisa de detecções
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de detecções. Selecione o armazenamento de log Splunk como a origem.
      Ativo Opção para o status de pesquisa salvo. Somente configurações de pesquisa ativas podem ser usadas para executar uma pesquisa de detecções.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é (observável) , Mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com o armazenamento de logs do Splunk.
    2. Selecione Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de detecções.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, selecione Gerar consulta de teste de pesquisa de detecções e especifique uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.