Definir critérios de pesquisa

Zurich Security Management

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

Defina critérios de pesquisa de e-mail e solicite uma pesquisa no Microsoft Exchange Online serviço

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

12 min. de leitura

Como um usuário com a função sn_si.analyst, defina critérios de pesquisa e envie uma solicitação de pesquisa por e-mail com base nos detalhes do incidente em um registro de incidente de segurança.

Antes de Iniciar

Função necessária: sn_si.analyst

As figuras neste procedimento são mostradas com Formulários com guias Selecionado em Configurações do sistema. Para obter mais informações sobre como selecionar e limpar formulários com guias, consulte a seção intitulada Exibir formulários com guias em Configurar o layout de formulário no Site de documentação do produto da ServiceNow .

Função necessária: sn_si.analyst

Por Que e Quando Desempenhar Esta Tarefa

O status de mensagens individuais que correspondem à consulta de pesquisa e os resultados da pesquisa são relatados no registro de incidente de segurança. Se as notificações por e-mail estiverem habilitadas, você poderá exibir os resultados da pesquisa de uma mensagem de e-mail.

Os critérios de pesquisa podem incluir endereços do remetente da mensagem, endereços do destinatário ou nomes de assunto. As seguintes combinações de parâmetros de pesquisa Assunto da mensagem, Remetente e Destinatário são frequentemente usadas para encontrar mensagens de e-mail relacionadas a phishing que podem fazer parte de uma única campanha de phishing:

Encontrar todos os e-mails originais enviados por uma conta de phishing: Pesquisar por remetente.
Encontre todos os e-mails originais para uma única campanha de phishing: PESQUISE por assunto e remetente.
Encontrar todos os e-mails recebidos para uma única campanha de phishing (original e encaminhado, qualquer remetente): Pesquisar por assunto.
Encontre todos os e-mails encaminhados para um único e-mail de phishing de um único usuário: PESQUISE por destinatário e assunto.
Encontre todos os e-mails relacionados a phishing enviados a um único usuário: PESQUISE por remetente e destinatário.

Nota:

As pesquisas são realizadas em e-mails enviados ou recebidos nos últimos 30 dias corridos, a menos que uma janela de pesquisa mais curta seja configurada durante a configuração inicial. Uma pesquisa de e-mail bem-sucedida é necessária antes que você possa excluir e-mails.

O exemplo a seguir mostra como iniciar uma pesquisa de um ServiceNow AI Platform incidente de segurança. Um incidente de segurança é criado com base no e-mail original de um ataque de phishing suspeito no Microsoft Exchange Online servidor da sua organização. Para este exemplo, os critérios de pesquisa são Remetente (De) mais Assunto, em que De . phisher@cbazyx.com e Assunto . faça login na sua conta .

Os resultados das pesquisas sobre assuntos são retornados quando a pesquisa encontra cadeias de caracteres de texto que contêm palavras-chave que correspondem aos critérios de pesquisa inseridos. Neste exemplo, o assunto é faça login na sua conta . Use E. Operador para separar as condições de pesquisa De e Assunto para retornar resultados de todas as mensagens de e-mail que contêm esses critérios de pesquisa fornecidos. As etapas a seguir descrevem como configurar uma pesquisa que encontra somente e-mails que contêm texto de linha de assunto enviado por uma conta de phishing específica.

Procedimento

Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes e localize o incidente de segurança com o qual você está trabalhando.
Como alternativa, siga estas etapas para definir e executar um filtro para que somente os incidentes de segurança criados por eventos de phishing sejam exibidos.
1. Navegar até Incidente de segurança > Mostrar todos os incidentes Para abrir a lista Incidentes de segurança.
2. No canto superior esquerdo da lista exibida, clique no ícone de filtro.
3. Nos campos exibidos, selecione Descrição resumida > contém nas listas de seleção, insira phishing relatado pelo usuário e clique em Executar .
  
  Os incidentes de segurança relacionados a phishing são exibidos.
4. Use o texto na coluna Descrição resumida para ajudá-lo a localizar o incidente de segurança com o qual você está trabalhando.
5. Na coluna Número, clique em um incidente de segurança para abrir um registro.
Role até a parte inferior do registro de Incidente de segurança e clique na lista relacionada Pesquisa de e-mail.

Se a lista relacionada Pesquisa de e-mail não for exibida, clique em Mostrar todas as listas relacionadas link relacionado para exibir esta lista relacionada.
Na lista relacionada Pesquisa de e-mail, clique em Novo para criar um novo registro de pesquisa de e-mail.
O formulário Pesquisa de e-mail é exibido. Se você determinar que deseja executar novamente esta consulta de pesquisa para o mesmo incidente relacionado a phishing com pequenas modificações, poderá usar este registro de consulta de pesquisa novamente. No entanto, é improvável que você use essa pesquisa para um incidente relacionado a phishing diferente, porque as campanhas de phishing são dinâmicas e os campos de remetente e mensagem mudam com frequência.
Opcional: Para editar um registro de consulta de pesquisa existente, clique em Editar .

No formulário Pesquisa de e-mail, preencha os campos.

Tabela 1.
Campo	Descrição
Nome	Informações para descrever o tipo de pesquisa. Para este exemplo, um nome para uma pesquisa De e assunto é `Phish "faça login na sua conta"` .
Descrição	Informações sobre a pesquisa no servidor de e-mail. Um exemplo para esta pesquisa é `Mais de phisher@cbazyx.com assunto: Faça login na sua conta` .

Clique em Enviar.
O incidente de segurança é exibido e o nome da pesquisa de e-mail é exibido na coluna Pesquisa de e-mail na lista relacionada Pesquisa de e-mail. Para que você possa usar esta nova consulta de pesquisa, os critérios de pesquisa devem ser definidos para o registro de pesquisa.
Para definir critérios de pesquisa, com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique em Phish "faça login na sua conta" .
No registro de pesquisa de e-mail exibido, clique na lista relacionada Critérios de pesquisa de e-mail e clique em Novo .

No formulário Critérios de pesquisa de e-mail, preencha os campos.

Um exemplo de um formulário preenchido segue a tabela.

Tabela 2.
Campo	Descrição
Pesquisa de e-mail	O campo é preenchido automaticamente com o nome que você inseriu para o registro de Pesquisa de e-mail.
Ícone de pesquisa	Pesquisa usando lista. Uma lista de pesquisas salvas. Clique no ícone para abrir uma lista de pesquisas de e-mail salvas. Clique em um item nesta lista para remover a pesquisa atual e selecionar uma pesquisa de e-mail salva anteriormente.
Ícone de informações	Ícone usado para exibir o registro de Pesquisa de e-mail. Clique no ícone para exibir o registro de pesquisa de e-mail.
Campo de pesquisa	Critério de pesquisa ( Assunto , De ou Destinatário ). Selecione o critério de pesquisa na lista de seleção e defina um valor que você deseja pesquisar no campo de texto. Para este exemplo, comece com de `phisher@cbazyx.com` (o endereço de e-mail do remetente do e-mail de phishing).
Ativo	Opção para ativar a pesquisa. A pesquisa é ativada por padrão. Se você desmarcar esta opção, este registro não será incluído em uma pesquisa.
Operador	Operadores ( E. , OU ) para definir ainda mais sua pesquisa. E. : O sistema pesquisa as condições separadas por E. e retornará resultados somente se todas as condições forem atendidas. Para a pesquisa de remetente mais assunto, use E. para que ambas as condições de pesquisa sejam atendidas durante a pesquisa de e-mail. Para este exemplo, use E. Para que a consulta seja de (remetente) `phisher@cbazyx.com` E. Assunto `faça login na sua conta` . OU : O sistema pesquisa e retorna resultados se qualquer uma das condições for separada por OU atendidos. Um exemplo é De (remetente) `phisher@cbazyx.com` OU De (remetente) `phisher-2@cbazyx.com` .
Ordem	Se você inserir mais de duas condições de pesquisa, use a ordem para priorizar as condições. 100 é o padrão. Insira um valor entre 1 e 100 para cada condição, por exemplo, 100, 95, 90, 80. A condição com o menor número atribuído tem a prioridade de pesquisa mais alta em um grupo de condições.
Pesquisar texto	Os valores de texto (palavras-chave) da pesquisa (endereços de e-mail ou linhas de assunto). O campo de pesquisa contém o texto usado na pesquisa, por exemplo, `phisher@cbazyx.com` . Para que a pesquisa retorne resultados com precisão para pesquisas de remetente (de) e destinatário, as cadeias de caracteres de pesquisa devem corresponder exatamente. Para pesquisas de assunto, a cadeia de caracteres de pesquisa pode conter palavras-chave que fazem parte de uma cadeia de caracteres maior. Por exemplo, um assunto pode conter a cadeia de caracteres de pesquisa exata que corresponde a um cabeçalho de mensagem encaminhada ou de resposta, como `FW: Faça login em sua conta e mude sua senha imediatamente` . Por exemplo, `Faça login na sua conta` são palavras-chave exatas na cadeia de caracteres `faça login em sua conta e mude sua senha imediatamente` . Nenhuma designação curinga (*) é necessária para oferecer suporte a contém tipo de pesquisa. Atualmente, não existe nenhum método de filtragem para corresponder a uma cadeia de caracteres de pesquisa exata que não faz parte de uma cadeia de caracteres de texto maior.

Formulário Critérios de pesquisa de e-mail

Clique em Enviar.
O registro de Pesquisa de e-mail é exibido. Em Consulta a partir dos critérios Os critérios de pesquisa adicionados para o remetente (de) são exibidos.
Para atualizar esses critérios de pesquisa de e-mail com mais informações para que a consulta inclua a condição assunto mais remetente desejada, siga as etapas para adicionar outra condição de pesquisa.
1. Na lista relacionada Critérios de pesquisa de e-mail, clique em Novo .
2. Em Campo de pesquisa No registro Critérios de pesquisa de e-mail exibido, selecione Assunto .
3. Na lista Operador, selecione E. ou OU .
  Se você selecionar OU , a pesquisa retornará resultados se as palavras-chave na cadeia de caracteres de texto da linha de assunto forem correspondidas ou se a condição do endereço de e-mail for correspondida. E. está selecionado para este exemplo para que a pesquisa retorne resultados somente para e-mails que contenham as palavras-chave da cadeia de caracteres de texto do assunto e que correspondam ao endereço de e-mail do remetente.
4. Em Texto de pesquisa , insira o valor do texto da linha de assunto, faça login na sua conta .
5. Clique em Enviar.
  A nova condição é exibida na lista relacionada Critérios de pesquisa de e-mail e ambas as condições são exibidas no Consulta a partir dos critérios campo separado por E. operador.
6. Opcional: Se você tiver mais de duas condições de pesquisa e selecionar E. para separar cada condição, defina o valor do pedido para priorizá-las.
7. Continue a adicionar, modificar ou remover critérios de pesquisa conforme desejado e clique em Atualização para salvar suas mudanças no registro.

Escolha uma opção para continuar.

Opção	Descrição
Atualizar	Atualize e salve suas mudanças no registro.
Pesquisar em Servidor(es) de E-mail	Inicie uma pesquisa nos servidores com os critérios salvos no registro Critérios de pesquisa de e-mail.
Excluir	Exclua este registro de Pesquisa de e-mail do seu ServiceNow AI Platform instância. Esta ação não exclui as mensagens de e-mail reais. Exclui somente o registro de pesquisa usado para encontrar mensagens. Uma caixa de diálogo é exibida. Se você clicar em Excluir , os resultados da pesquisa de e-mail e os critérios de pesquisa de e-mail para este registro de pesquisa são excluídos. Se um registro tiver resultados de pesquisa, o aviso a seguir será exibido.

Para iniciar uma pesquisa de e-mail, no registro de pesquisa de e-mail, clique em Pesquisar em servidores de e-mail .
É exibida uma mensagem indicando que a solicitação de pesquisa foi enviada.
No registro de Incidente de segurança, uma anotação de trabalho é exibida indicando que uma pesquisa foi iniciada.

Se a marcação estiver habilitada, na parte superior do registro de Incidente de segurança, o. Pesquisa de e-mail - Iniciada o marcador de segurança é exibido.

Se a pesquisa for concluída com sucesso, se as notificações por e-mail estiverem habilitadas, um e-mail será enviado para o endereço de e-mail do indivíduo que iniciou a pesquisa.
Neste exemplo, o usuário com a função sn_si.analyst, Hans SecAnalyst esta pesquisa foi enviada. A imagem a seguir mostra que esta notificação é enviada para uma conta em Microsoft Exchange Online. No entanto, essas notificações podem ser enviadas para um serviço de e-mail diferente, conforme necessário.
Esta notificação permite exibir todos os resultados correspondentes que exigem acompanhamento e exclusão. O exemplo a seguir mostra que há um e-mail que correspondeu aos critérios de pesquisa. Um link do resultado da pesquisa por e-mail para o registro do resultado da pesquisa por e-mail em seu ServiceNow AI Platform a instância também é fornecida. Se você quiser exibir o registro de pesquisa, clique neste link.
Neste e-mail, para exibir os resultados da pesquisa, clique em Resultado da pesquisa de e-mail link.
O registro do resultado da pesquisa de e-mail é exibido. Neste registro, você pode verificar e revisar os dados a seguir.
- Em Dados brutos campo, a contagem de e-mails referente ao número de e-mails que corresponderam aos critérios de pesquisa "contagem": 1 e os endereços de caixa de correio em que os e-mails foram encontrados são exibidos [" JuanCustomer@nowsecopslab.onmicrosoft.com"] .
- Na coluna Destinatários, o destinatário é ( JuanCustomer@nowsecopslab.onmicrosoft.com ).
- Em Remetente , a origem do e-mail é exibida.
- Em Data de recebimento do e-mail a data e a hora em que o e-mail foi recebido são exibidas para ajudar você a rastrear os cronogramas da campanha de phishing.
- Em Status de leitura de e-mail , o e-mail neste exemplo não foi lido ( falso ). Se um e-mail tiver sido lido, verdadeiro é exibido.
- Em Excluído , o e-mail neste exemplo não foi excluído. Se um e-mail tiver sido excluído, verdadeiro é exibido.
Como alternativa, para exibir os resultados da pesquisa do incidente de segurança, siga estas etapas.
1. Navegar até Incidente de segurança > incidentes e abra o incidente de segurança com o qual você está trabalhando.
  Na parte superior do registro, quando a pesquisa é concluída com sucesso, o. Pesquisa de e-mail - Concluída o marcador de segurança substitui o. Pesquisa de e-mail - Iniciada marcador de segurança.
  
  As anotações de trabalho são exibidas informando que a pesquisa foi concluída com sucesso e que um e-mail correspondente foi encontrado.
2. Role até a parte inferior do registro de Incidente de segurança e clique na lista relacionada Pesquisa de e-mail.
  
  Se a lista relacionada Pesquisa de e-mail não for exibida, clique em Mostrar todas as listas relacionadas link relacionado para exibir esta lista relacionada.
3. Com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique no nome da pesquisa.
4. No registro de Pesquisa de e-mail, clique na lista relacionada Resultados da pesquisa de e-mail.
5. Na coluna Data da pesquisa, clique na data da pesquisa para exibir os dados.
  O registro do resultado da pesquisa de e-mail é exibido.
Depois que uma pesquisa de e-mail for concluída com sucesso, avalie os resultados. Se você determinar que os e-mails exigem correção, agora você está pronto para excluir e-mails ou solicitar aprovação de exclusão.