メール検索条件の定義と Microsoft Exchange Online サービスに対する検索の要求

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:14分

    • sn_si.analyst ロールを持つユーザーとして、検索条件を定義し、セキュリティインシデントレコードのインシデントの詳細に基づいてメール検索要求を送信します。

    始める前に

    必要なロール:sn_si.analyst

    この手順の図は、 [システムの設定] で選択されたタブ付きフォームで示します。タブ付きフォームのオン/オフの詳細については、ServiceNow 製品ドキュメント Web サイトの「フォームレイアウトを設定する際のタブ付きフォームの表示 (Display tabbed forms in Configuring the form layout)」セクションを参照してください。

    必要なロール:sn_si.analyst

    このタスクについて

    検索クエリに一致する個々のメッセージのステータスと検索結果は、セキュリティインシデントレコードで報告されます。メール通知が有効になっている場合は、メールメッセージから検索結果を表示できます。

    検索条件には、メッセージの送信者アドレス、受信者アドレス、件名を含めることができます。次のようなメッセージの件名、送信者、受信者の検索パラメーターの組み合わせは、1 つの特定のフィッシングキャンペーンの一部である可能性があるフィッシング関連のメールメッセージを検索するためによく使用されます。
    • 1 つのフィッシングアカウントから送信されたすべての元のメールを検索する:送信者で検索します。
    • 1 つのフィッシングキャンペーンのすべての元のメールを検索する:件名と送信者で検索します。
    • 1 つのフィッシングキャンペーンのすべての受信メールを検索する (元のメールと転送の両方、送信者を問わない):件名で検索します。
    • 1 人のユーザーから送信された 1 つのフィッシングメールのすべての転送メールを検索する:受信者と件名で検索します。
    • 1 人のユーザーに送信されたすべてのフィッシング関連メールを検索する:送信者と受信者で検索します。
    注:
    初期セットアップ時に検索範囲を短く設定していない限り、検索は過去 30 暦日以内に送信または受信されたメールに対して行われます。メールが削除できるようになる前に、メールの検索を成功させる必要があります。

    次の例は、ServiceNow AI Platform セキュリティインシデントから検索を開始する方法を示しています。組織の Microsoft Exchange Online サーバー内の疑わしいフィッシング攻撃の元のメールに基づいて、セキュリティインシデントが作成されます。この例では、検索条件は送信者 (差出人) と件名で、[差出人]phisher@cbazyx.com[件名]は「アカウントへのログイン (log in to your account)」です。

    入力した検索条件に一致するキーワードを含むテキスト文字列が検索で見つかると、件名の検索結果が返されます。この例では、件名は「アカウントへのログイン (log in to your account)」です。 AND 演算子を使用して検索条件の差出人と件名を分離し、これらの検索条件を含むすべてのメールメッセージの結果が返されるようにします。次の手順では、特定のフィッシングアカウントから送信された件名テキストを含むメールのみを発見する検索をセットアップする方法について説明します。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示 をクリックし、目的のセキュリティインシデントを見つけます。
    2. または、次の手順に従ってフィルターを設定して実行し、フィッシングイベントによって作成されたセキュリティインシデントのみが表示されるようにします。
      1. 移動先 セキュリティインシデント > すべてのインシデントを表示 をクリックして [セキュリティインシデント] リストを開きます。
      2. 表示されたリストの左上隅にあるフィルターアイコンをクリックします。
        フィルタリング
      3. 表示されるフィールドで、 簡単な説明 > 次の値を含む を選択し、「 ユーザーから報告されたフィッシング 」と入力して 、[実行] をクリックします。

        フィッシング関連のセキュリティインシデントが表示されます。

        ハイライト表示された [セキュリティインシデント] リストの [簡単な説明] 列
      4. [簡単な説明] 列のテキストを使用すると、目的のセキュリティインシデントを見つけることができます。
      5. [番号] 列で、セキュリティインシデントをクリックしてレコードを開きます。
    3. [セキュリティインシデント] レコードの一番下までスクロールし、[メールの検索 (Email Search)] 関連リストをクリックします。

      [メールの検索 (Email Search)] 関連リストが表示されない場合は、 [すべての関連リストを表示] 関連リンクをクリックして、この関連リストを表示します。

      セキュリティインシデントレコードでハイライト表示された [メールの検索 (Email Search)] 関連リスト
    4. [メールの検索 (Email Search)] 関連リストで、 [新規] をクリックして新しいメール検索レコードを作成します。
      [メールの検索 (Email Search)] フォームが表示されます。この検索クエリを少し変更して、同じフィッシング関連インシデントに対して再実行したい場合は、この検索クエリレコードを再利用できます。ただし、フィッシングキャンペーンは動的であり、送信者とメッセージのフィールドは頻繁に変更されるため、この検索を別のフィッシング関連のインシデントに使用するようなことはほとんどありません。
    5. オプション: 既存の検索クエリレコードを編集するには、[編集] をクリックします。
    6. [メールの検索 (Email Search)] フォームで、フィールドに入力します。
      表 : 1.
      フィールド 説明
      名前 検索のタイプを説明する情報。この例では、差出人 (From) + 件名 (Subject) 検索の名前は、「フィッシング「アカウントへのログイン」 (Phish "log in to your account")」です。
      説明 メールサーバー内の検索に関する情報。この検索の例は、From=phisher@cbazyx.com + Subject=log in to your account です。
      完成したフォーム
    7. [Submit] をクリックします。
      セキュリティインシデントが表示され、メール検索の名前が [メールの検索 (Email Search)] 関連リストの [メールの検索 (Email Search)] 列に表示されます。検索レコードの検索条件を定義してからでないと、この新しい検索クエリは使用できません。
    8. 検索条件を定義するには、[メールの検索 (Email Search)] 関連リストを選択した状態で、[メールの検索 (Email Search)] 列で [フィッシング「アカウントにログイン」(Phish "log in to your account")] をクリックします。
      セキュリティインシデントで [メールの検索] 列がハイライト表示された [メールの検索] タブ
    9. 表示されるメール検索レコードで、[メール検索基準] 関連リストをクリックし、[新規] をクリックします。
      ハイライト表示された [新規] ボタン。
    10. [メール検索基準] フォームで、フィールドに入力します。

      完成したフォームの例が表の後に表示されます。

      表 : 2.
      フィールド 説明
      メールの検索 [メールの検索 (Email Search)] レコードに入力した名前がフィールドに自動的に入力されます。
      検索アイコン リストを使ったルックアップ。

      保存された検索のリスト。アイコンをクリックすると、保存済みのメール検索のリストが開きます。このリストのアイテムをクリックすると、現在の検索が削除され、以前に保存されたメール検索が選択されます。
      情報アイコン [メールの検索 (Email Search)] レコードを表示するために使用するアイコン。[メールの検索 (Email Search)] レコードを表示するためのアイコンをクリックします。
      検索フィールド 検索条件 ([件名][差出人]、または [受信者])。選択リストから検索条件を選択し、テキストフィールドで検索する値を定義します。この例では、[差出人] phisher@cbazyx.com (フィッシングメールの送信者のメールアドレス) から始まります。
      アクティブ 検索をアクティブ化するためのオプション。

      検索はデフォルトで有効になります。

      このオプションをオフにすると、このレコードは検索に含まれなくなります。
      演算子 検索を細かく定義するための演算子 (ANDOR)。

      AND:システムは AND で区切られた条件を検索し、すべての条件が満たされた場合にのみ結果を返します。送信者プラス件名の検索では、 AND 演算子を使用して、メールの検索時に両方の検索条件が満たされるようにします。

      この例では、AND 演算子を使用し、クエリは [差出人] (sender) = phisher@cbazyx.com AND [件名] (subject) = log in to your account になっています。

      OR:システムは検索を実行し、OR で区切られた条件のいずれかが満たされた場合に結果を返します。

      たとえば、[差出人] (sender) = phisher@cbazyx.com OR [差出人] (sender) = phisher-2@cbazyx.com です。
      順序 3 つ以上の検索条件を入力する場合は、 [順序] を使用して条件の優先順位を決めます。デフォルトは 100 です。各条件に 1 ~ 100 の値を入力します (例:100、95、90、80)。最も小さい数値が割り当てられた条件は、条件のグループの中で検索優先度が最も高くなります。
      検索テキスト 検索 (メールアドレスまたは件名) のテキスト値 (キーワード)。

      検索フィールドには、検索で使用されるテキストが含まれます (例: phisher@cbazyx.com)。

      検索で送信者 (差出人) と受信者の正確な検索結果が返されるようにするには、検索文字列が完全に一致する必要があります。件名検索の場合、長い文字列の一部であるキーワードを検索文字列に含めることができます。たとえば、件名に、転送または返信のメッセージヘッダーで一致した検索文字列そのものが含まれている場合があります。たとえば、 転送:アカウントにログインし、パスワードをすぐに変更してください (FW: log in to your account and change your password immediately) などです。

      たとえば、アカウントにログイン (Log in to your account) は、アカウントにログインし、パスワードをすぐに変更してください (log in to your account and change your password immediately) という文字列に含まれるキーワードそのものです。

      [含む (contains)] タイプの検索をサポートするためにワイルドカード (*) を指定する必要はありません。現在のところ、長いテキスト文字列の一部ではない検索文字列そのものに一致させるためのフィルタリング方法はありません。
      [メール検索基準] フォーム
    11. [Submit] をクリックします。
      [メールの検索 (Email Search)] レコードが表示されます。[条件から生成されたクエリ] フィールドに、送信者 (sender) について追加した検索条件が表示されます。
      [メールの検索 (Email Search)] レコード
    12. このメール検索条件を追加情報で更新し、必要な件名と送信者の条件がクエリに含まれるようにするには、次の手順に従って別の検索条件を追加します。
      1. [メール検索基準] 関連リストで、[新規] をクリックします。
        [メール検索基準] 関連リスト
      2. 表示される [メール検索基準] レコードで、[検索フィールド] リストから、[件名]を選択します。
      3. [演算子] リストから、[AND] または [OR] を選択します。
        [OR] を選択した場合、件名のテキスト文字列のキーワードが一致するか、メールアドレスの条件が一致すると、検索結果が返されます。この例では [AND] が選択されているため、件名のテキスト文字列のキーワードを含み、かつ送信者のメールアドレスと一致するメールの検索結果のみが返されます。
      4. [テキストを検索] フィールドに件名のテキストの値「アカウントにログイン (log in to your account)」を入力します。
        テキスト文字列の入力された [テキストを検索] フィールド
      5. [Submit] をクリックします。
        [メール検索条件] 関連リストに新しい条件が表示され、両方の条件が [条件から生成されたクエリ] フィールドに AND 演算子で区切られて表示されます。
        新しい条件が [メール検索基準] 関連リストに表示されています。
      6. オプション: 検索条件が 3 つ以上あり、[AND] を選択して各条件を区切る場合は、順序値を設定して優先順位を決めます。
      7. 必要に応じて検索条件の追加、変更、または削除を続け、[更新] をクリックしてレコードへの変更を保存します。
    13. オプションを 1 つ選択して続行します。
      オプション説明
      更新 レコードへの変更を更新して保存します。
      メールサーバーで検索 [メール検索基準] レコードに保存した条件を使用して、サーバーで検索を開始します。
      削除 ServiceNow AI Platform インスタンスからこの [メールの検索 (Email Search)] レコードを削除します。このアクションでは、実際のメールメッセージは削除されません。メッセージの検索に使用される検索レコードのみが削除されます。

      ダイアログボックスが表示されます。[削除]をクリックすると、この検索レコードのメール検索結果とメール検索条件が削除されます。

      メール検索レコードを削除する [確認] ダイアログボックス

      レコードに検索結果がある場合は、次の警告が表示されます。

      検索結果レコードの [確認] ダイアログボックス
    14. メール検索を開始するには、メール検索レコードで [メールサーバーを検索 (Search on Email Servers(s))] をクリックします。
      検索要求が送信されたことを示すメッセージが表示されます。

      セキュリティインシデントレコードに、検索が開始されたことを示す作業メモが表示されます。

      作業メモは検索が開始されたことを記録します。

      タグ付けが有効になっている場合は、セキュリティインシデントレコードの上に、[メールの検索 - 開始 (Email Search - Initiated)] セキュリティタグが表示されます。

      ハイライト表示されたメール検索の開始セキュリティタグ

      メール通知が有効になっている場合、検索が正常に完了すると、検索を開始した個人のメールアドレスにメールが送信されます。

      この例では、sn_si.analyst ロールを持つユーザー、Hans SecAnalyst が、この検索を送信しました。次の画像は、この通知が Microsoft Exchange Online のアカウントに送信されることを示しています。ただし、これらの通知は、必要に応じて別のメールサービスに送信することもできます。

      この通知では、フォローアップや削除が必要な、条件に一致した結果を確認できます。次の例は、検索条件に一致したメールが 1 件あることを示しています。ServiceNow AI Platform インスタンスのメール検索結果レコードへの [メール検索結果] リンクも表示されます。検索レコードを表示するには、このリンクをクリックします。

      セキュリティアナリストによって送信されたメール検索のメール通知
    15. このメールから検索結果を表示するには、[メールの検索結果] リンクをクリックします。
      メールの検索結果レコードが表示されます。このレコードでは、次のデータを検証およびレビューできます。
      • [生データ] フィールドには、検索条件に一致したメールの件数 {"count":1} とメールが見つかったメールボックスアドレス ["JuanCustomer@nowsecopslab.onmicrosoft.com"] が表示されます。
      • [受信者] 列には、受信者 (JuanCustomer@nowsecopslab.onmicrosoft.com) が表示されます。
      • [送信者] 列にはメールのソースが表示されます。
      • [メール受信日 (Email date received)] 列には、メールを受信した日時が表示され、フィッシングキャンペーンのタイムラインを追跡するのに役立ちます。
      • [メール読み取りステータス] 列では、この例のメールは未読です (false)。メールが既読の場合は、true が表示されます。
      • [削除済み] 列では、この例のメールは削除されていません。メールが削除済みの場合は、true が表示されます。
      [生データ] フィールド
    16. または、セキュリティインシデントから検索結果を表示するには、次の手順に従います。
      1. 移動先 セキュリティインシデント > インシデント をクリックし、操作しているセキュリティインシデントを開きます。
        レコードの上部で、検索が正常に完了すると、[メールの検索 - 開始 (Email Search - Initiated)] セキュリティタグが [メールの検索 - 完了 (Email Search - Completed)] セキュリティタグで置き換わります。
        ハイライト表示されたメールの検索完了セキュリティタグ

        検索が正常に完了し、条件に一致するメールが 1 件見つかったことを示す作業メモが表示されます。

        条件に一致したメールが見つかったことを記録する作業メモ
      2. [セキュリティインシデント] レコードの一番下までスクロールし、[メールの検索 (Email Search)] 関連リストをクリックします。

        [メールの検索 (Email Search)] 関連リストが表示されない場合は、[すべての関連リストを表示] 関連リンクをクリックして、この関連リストを表示します。

        セキュリティインシデントレコードの [メールの検索 (Email Search)] 関連リスト
      3. [メールの検索 (Email Search)] 関連リストを選択した状態で、[メールの検索 (Email Search)] 列で検索の名前をクリックします。
        検索の名前がハイライト表示された [メールの検索 (Email Search)] 列
      4. [メールの検索 (Email Search)] レコードで、 [メールの検索結果] 関連リストをクリックします。
      5. [検索日] 列で、データを表示する検索の日付をクリックします。
        メールの検索結果レコードが表示されます。
        メールの検索結果レコードが表示されます。
      メール検索が正常に完了したら、結果を評価します。メールの修正が必要であると判断した場合は、これでメールを削除するか、削除承認を要求する準備ができています。