Definieren Sie E-Mail-Suchkriterien, und fordern Sie eine Suche in an Microsoft Exchange OnlineService

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 10 Minuten Lesedauer

    • Definieren Sie als Anwender mit der Rolle „sn_si.Analyst“ Suchkriterien, und senden Sie eine E-Mail-Suchanforderung basierend auf Incident-Details in einem Security Incident-Datensatz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Die Zahlen in diesem Verfahren werden mit angezeigt Formulare mit Registerkarten In Systemeinstellungen ausgewählt. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt Formulare mit Registerkarten anzeigen in Formularlayout konfigurieren auf ServiceNow-Produktdokumentationswebsite .

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Status einzelner Nachrichten, die der Suchabfrage entsprechen, und die Suchergebnisse werden im Security Incident-Datensatz gemeldet. Wenn E-Mail-Benachrichtigungen aktiviert sind, können Sie die Suchergebnisse aus einer E-Mail-Nachricht anzeigen.

    Suchkriterien können Absenderadressen, Empfängeradressen oder Betreffnamen von Nachrichten umfassen. Die folgenden Kombinationen von Suchparametern für Nachrichtenbetreff, Absender und Empfänger werden häufig verwendet, um Phishing-bezogene E-Mail-Nachrichten zu finden, die Teil einer einzelnen Phishing-Kampagne sein können:
    • Alle ursprünglichen E-Mails suchen, die von einem Phishing-Account gesendet wurden: Suche nach Absender.
    • Suchen Sie alle ursprünglichen E-Mails für eine einzelne Phishing-Kampagne: Suchen Sie nach Betreff und Absender.
    • Suchen Sie alle E-Mails, die für eine einzelne Phishing-Kampagne empfangen wurden (Original und weitergeleitet, beliebiger Absender): Suchen Sie nach Betreff.
    • Suchen Sie alle weitergeleiteten E-Mails für eine einzelne Phishing-E-Mail von einem einzelnen Anwender: Suchen Sie nach Empfänger + Betreff.
    • Suchen Sie alle Phishing-bezogenen E-Mails, die an einen einzelnen Anwender gesendet wurden: Suchen Sie nach Absender + Empfänger.
    Hinweis:
    Suchvorgänge werden für E-Mails durchgeführt, die innerhalb der letzten 30 Kalendertage gesendet oder empfangen wurden, es sei denn, während des ersten Setups wird ein kürzeres Suchfenster konfiguriert. Eine erfolgreiche E-Mail-Suche ist erforderlich, bevor Sie E-Mails löschen können.

    Das folgende Beispiel zeigt, wie Sie eine Suche über initiieren Now PlatformSecurity Incident. Ein Security Incident wird basierend auf der ursprünglichen E-Mail eines vermuteten Phishing-Angriffs in erstellt Microsoft Exchange OnlineServer Ihrer Organisation. In diesem Beispiel sind die Suchkriterien Absender (von) plus Betreff, wobei Von Ist phisher@cbazyx.com , Und Betreff Ist Melden Sie sich bei Ihrem Account an .

    Ergebnisse für die Suche nach Themen werden zurückgegeben, wenn die Suche Textzeichenfolgen findet, die Schlüsselwörter enthalten, die den eingegebenen Suchkriterien entsprechen. In diesem Beispiel lautet der Betreff Melden Sie sich bei Ihrem Account an . Verwenden Sie UND Operator zum Trennen der Suchbedingungen „von“ und „Betreff“, um Ergebnisse für alle E-Mail-Nachrichten zurückzugeben, die diese angegebenen Suchkriterien enthalten. Die folgenden Schritte beschreiben, wie Sie eine Suche einrichten, die nur E-Mails findet, die Betreffzeilentext enthalten, der von einem bestimmten Phishing-Account gesendet wird.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen Und suchen Sie den Security Incident, mit dem Sie arbeiten.
    2. Alternativ führen Sie diese Schritte aus, um einen Filter so festzulegen und auszuführen, dass nur Security Incidents angezeigt werden, die durch Phishing-Ereignisse erstellt wurden.
      1. Navigieren zu Security Incident > Alle Incidents anzeigen Zum Öffnen der Liste „Security Incidents“.
      2. Klicken Sie in der oberen linken Ecke der angezeigten Liste auf das Filtersymbol.
        Wird Gefiltert.
      3. Wählen Sie in den angezeigten Feldern aus Kurzbeschreibung > enthält Geben Sie in den Auswahllisten ein Anwender hat Phishing gemeldet Und klicken Sie auf Ausführen .

        Die Phishing-bezogenen Security Incidents werden angezeigt.

        Spalte „Kurzbeschreibung“ in der Liste „Security Incidents“ hervorgehoben.
      4. Verwenden Sie den Text in der Spalte „Kurzbeschreibung“, um den Security Incident zu finden, mit dem Sie arbeiten.
      5. Klicken Sie in der Spalte Nummer auf einen Security Incident, um einen Datensatz zu öffnen.
    3. Scrollen Sie zum unteren Rand des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

      Wenn die zugehörige Liste „E-Mail-Suche“ nicht angezeigt wird, klicken Sie auf Alle Zugehörigen Listen Anzeigen Zugehöriger Link zum Anzeigen dieser zugehörigen Liste.

      Zugehörige Liste der E-Mail-Suche in einem Security Incident-Datensatz hervorgehoben.
    4. Klicken Sie in der zugehörigen Liste E-Mail-Suche auf Neu Dient zum Erstellen eines neuen E-Mail-Suchdatensatzes.
      Das Formular „E-Mail-Suche“ wird angezeigt. Wenn Sie feststellen, dass Sie diese Suchabfrage für denselben Phishing-bezogenen Incident mit geringfügigen Änderungen erneut ausführen möchten, können Sie diesen Suchabfragedatensatz erneut verwenden. Es ist jedoch unwahrscheinlich, dass Sie diese Suche für einen anderen Phishing-bezogenen Incident verwenden, da Phishing-Kampagnen dynamisch sind und sich die Absender- und Nachrichtenfelder häufig ändern.
    5. Wahlweise: Klicken Sie auf, um einen vorhandenen Suchabfragedatensatz zu bearbeiten Bearbeiten .
    6. Füllen Sie im Formular „E-Mail-Suche“ die Felder aus.
      Tabelle : 1.
      Feld Beschreibung
      Name Informationen zur Beschreibung des Suchtyps. In diesem Beispiel ist ein Name für eine von + Betreffsuche Phishing „bei Ihrem Account anmelden“ .
      Beschreibung Informationen zur Suche auf dem E-Mail-Server. Ein Beispiel für diese Suche ist Ab=phisher@cbazyx.com + Betreff=melden Sie sich bei Ihrem Account an .
      Ein ausgefülltes Formular.
    7. Klicken Sie auf Absenden.
      Der Security Incident wird angezeigt, und der Name der E-Mail-Suche wird in der Spalte E-Mail-Suche in der zugehörigen Liste E-Mail-Suche angezeigt. Bevor Sie diese neue Suchabfrage verwenden können, müssen Suchkriterien für den Suchdatensatz definiert werden.
    8. Um Suchkriterien zu definieren, klicken Sie in der Spalte E-Mail-Suche auf die zugehörige Liste E-Mail-Suche Phishing „bei Ihrem Account anmelden“ .
      Registerkarte „E-Mail-Suche“ mit hervorgehobener E-Mail-Suchspalte für einen Security Incident.
    9. Klicken Sie im angezeigten E-Mail-Suchdatensatz auf die zugehörige Liste E-Mail-Suchkriterien, und klicken Sie auf Neu .
      Schaltfläche „Neu“ hervorgehoben.
    10. Füllen Sie im Formular E-Mail-Suchkriterien die Felder aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Tabelle : 2.
      Feld Beschreibung
      E-Mail-Suche Das Feld wird automatisch mit dem Namen ausgefüllt, den Sie für den E-Mail-Suchdatensatz eingegeben haben.
      Suchsymbol Suchen mit Liste.

      Eine Liste der gespeicherten Suchen. Klicken Sie auf das Symbol, um eine Liste der gespeicherten E-Mail-Suchen zu öffnen. Klicken Sie auf ein Element in dieser Liste, um die aktuelle Suche zu entfernen und eine zuvor gespeicherte E-Mail-Suche auszuwählen.
      Informationssymbol Symbol, das zum Anzeigen des Datensatzes der E-Mail-Suche verwendet wird. Klicken Sie auf das Symbol, um den E-Mail-Suchdatensatz anzuzeigen.
      Suchfeld Suchkriterium ( Betreff , Von , Oder Empfänger ). Wählen Sie das Suchkriterium aus der Auswahlliste aus, und definieren Sie einen Wert, nach dem Sie im Textfeld suchen möchten. Beginnen Sie in diesem Beispiel mit ab phisher@cbazyx.com (Die E-Mail-Adresse des Absenders der Phishing-E-Mail).
      Aktiv Option zum Aktivieren der Suche.

      Die Suche ist standardmäßig aktiviert.

      Wenn Sie diese Option deaktivieren, wird dieser Datensatz nicht in eine Suche aufgenommen.
      Operator Operatoren ( UND , ODER ), um Ihre Suche weiter zu definieren.

      UND : Das System sucht nach den Bedingungen getrennt durch UND Und gibt nur Ergebnisse zurück, wenn alle Bedingungen erfüllt sind. Verwenden Sie für die Suche nach Absender und Betreff UND Operator, damit beide Suchbedingungen während der E-Mail-Suche erfüllt werden.

      Verwenden Sie für dieses Beispiel UND Operator, damit die Abfrage von (Absender) = stammt phisher@cbazyx.com UND Betreff = Melden Sie sich bei Ihrem Account an .

      ODER : Das System sucht und gibt Ergebnisse zurück, wenn eine der Bedingungen durch getrennt ist ODER Sind erfüllt.

      Ein Beispiel ist von (Absender) = phisher@cbazyx.com ODER Von (Absender) = phisher-2@cbazyx.com .
      Bestellung Wenn Sie mehr als zwei Suchbedingungen eingeben, verwenden Sie Reihenfolge, um die Bedingungen zu priorisieren. 100 ist der Standard. Geben Sie für jede Bedingung einen Wert zwischen 1 und 100 ein, z. B. 100, 95, 90, 80. Die Bedingung mit der niedrigsten zugewiesenen Zahl hat die höchste Suchpriorität innerhalb einer Gruppe von Bedingungen.
      Suchtext Die Textwerte (Stichwörter) für die Suche (E-Mail-Adressen oder Betreffzeilen).

      Das Suchfeld enthält den in der Suche verwendeten Text, z. B. phisher@cbazyx.com .

      Damit die Suche Ergebnisse für Absender- und Empfängersuchen genau zurückgibt, müssen die Suchzeichenfolgen genau übereinstimmen. Bei Betreffsuchen kann die Suchzeichenfolge Stichwörter enthalten, die Teil einer größeren Zeichenfolge sind. Beispielsweise kann ein Betreff die genaue Suchzeichenfolge enthalten, die in einem weitergeleiteten Header oder einem Antwortnachrichten wie abgeglichen wird FW: Melden Sie sich bei Ihrem Account an, und ändern Sie Ihr Passwort sofort .

      Beispiel: Melden Sie sich bei Ihrem Account an Sind genaue Stichwörter in der Zeichenfolge Melden Sie sich bei Ihrem Account an, und ändern Sie Ihr Passwort sofort .

      Zur Unterstützung von ist keine Platzhalterbezeichnung (*) erforderlich Enthält Typ der Suche. Derzeit ist keine Filtermethode zum Abgleichen einer genauen Suchzeichenfolge vorhanden, die nicht Teil einer größeren Textzeichenfolge ist.
      Formular „E-Mail-Suchkriterien“
    11. Klicken Sie auf Absenden.
      Der E-Mail-Suchdatensatz wird angezeigt. In Abfrage aus Kriterien Feld werden die Suchkriterien angezeigt, die Sie für den Absender (von) hinzugefügt haben.
      E-Mail-Suchdatensatz
    12. Um diese E-Mail-Suchkriterien mit weiteren Informationen zu aktualisieren, damit die Abfrage die gewünschte Bedingung „Betreff plus Absender“ enthält, führen Sie die Schritte aus, um eine weitere Suchbedingung hinzuzufügen.
      1. Klicken Sie in der zugehörigen Liste E-Mail-Suchkriterien auf Neu .
        Zugehörige Liste der E-Mail-Suchkriterien
      2. Von Suchfeld Wählen Sie im angezeigten Datensatz „E-Mail-Suchkriterien“ aus Betreff .
      3. Wählen Sie in der Liste Operator die Option aus UND Oder ODER .
        Wenn Sie auswählen ODER , Die Suche gibt Ergebnisse zurück, wenn entweder Stichwörter in der Textzeichenfolge der Betreffzeile übereinstimmen oder die Bedingung für die E-Mail-Adresse erfüllt ist. UND Ist für dieses Beispiel ausgewählt, damit die Suche nur Ergebnisse für E-Mails zurückgibt, die die Stichwörter der Betrefftextzeichenfolge enthalten und der E-Mail-Adresse des Absenders entsprechen.
      4. In Suchtext Feld den Wert für Betreffzeilentext eingeben, Melden Sie sich bei Ihrem Account an .
        Suchtextfeld mit Textzeichenfolge.
      5. Klicken Sie auf Absenden.
        Die neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt, und beide Bedingungen werden in angezeigt Abfrage aus Kriterien Feld durch getrennt UND Operator.
        Neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt
      6. Wahlweise: Wenn Sie mehr als zwei Suchbedingungen haben, und wählen Sie aus UND Um jede Bedingung zu trennen, legen Sie den Reihenfolgewert fest, um sie zu priorisieren.
      7. Fahren Sie mit dem Hinzufügen, Ändern oder Entfernen von Suchkriterien nach Bedarf fort, und klicken Sie auf Aktualisieren Um Ihre Änderungen am Datensatz zu speichern.
    13. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Aktualisieren Aktualisieren und speichern Sie Ihre Änderungen am Datensatz.
      Auf E-Mail-Server(n) suchen Initiieren Sie eine Suche auf den Servern mit den Kriterien, die Sie im Datensatz „E-Mail-Suchkriterien“ gespeichert haben.
      Löschen Löschen Sie diesen E-Mail-Suchdatensatz aus Ihrem Now PlatformInstanz. Mit dieser Aktion werden die tatsächlichen E-Mail-Nachrichten nicht gelöscht. Löscht nur den Suchdatensatz, der zum Suchen von Nachrichten verwendet wird.

      Ein Dialogfeld wird angezeigt. Wenn Sie auf klicken Löschen , Die E-Mail-Suchergebnisse und E-Mail-Suchkriterien für diesen Suchdatensatz werden gelöscht.

      Bestätigungsdialogfeld zum Löschen eines E-Mail-Suchdatensatzes.

      Wenn ein Datensatz Suchergebnisse enthält, wird die folgende Warnung angezeigt.

      Bestätigungsdialogfeld für Suchergebnisdatensatz.
    14. Um eine E-Mail-Suche zu initiieren, klicken Sie im E-Mail-Suchdatensatz auf E-Mail-Server durchsuchen .
      Eine Nachricht wird angezeigt, die angibt, dass die Suchanforderung übermittelt wurde.

      Im Datensatz „Security Incident“ wird eine Arbeitsnotiz angezeigt, die angibt, dass eine Suche initiiert wurde.

      Arbeitsnotizprotokolle, dass eine Suche initiiert wird.

      Wenn Tagging aktiviert ist, wird oben im Security Incident-Datensatz der E-Mail-Suche – Initiiert Sicherheits-Tag wird angezeigt.

      Sicherheits-Tag „E-Mail-Suche initiiert“ hervorgehoben.

      Nachdem die Suche erfolgreich abgeschlossen wurde und E-Mail-Benachrichtigungen aktiviert sind, wird eine E-Mail an die E-Mail-Adresse der Person gesendet, die die Suche initiiert hat.

      In diesem Beispiel der Anwender mit der Rolle „sn_si.Analyst“, Hans SecAnalyst , Hat diese Suche übermittelt. Das folgende Bild zeigt, dass diese Benachrichtigung an einen Account in gesendet wird Microsoft Exchange Online. Diese Benachrichtigungen können jedoch nach Bedarf an einen anderen E-Mail-Service gesendet werden.

      Mit dieser Benachrichtigung können Sie alle übereinstimmenden Ergebnisse anzeigen, die Nachverfolgung und Löschung erfordern. Das folgende Beispiel zeigt, dass eine E-Mail den Suchkriterien entspricht. Ein E-Mail-Suchergebnislink zum E-Mail-Suchergebnisdatensatz in Ihrem Now PlatformInstanz ist ebenfalls angegeben. Wenn Sie den Suchdatensatz anzeigen möchten, klicken Sie auf diesen Link.

      E-Mail-Benachrichtigung für die E-Mail-Suche, die vom Sicherheitsanalysten übermittelt wurde.
    15. Klicken Sie in dieser E-Mail auf, um die Suchergebnisse anzuzeigen E-Mail-Suchergebnis Link.
      Der E-Mail-Suchergebnisdatensatz wird angezeigt. In diesem Datensatz können Sie die folgenden Daten verifizieren und überprüfen.
      • In Rohdaten Feld, die E-Mail-Anzahl für die Anzahl der E-Mails, die den Suchkriterien entsprechen {"count":1} , Und die Postfachadressen, in denen die E-Mails gefunden wurden, werden angezeigt [" JuanCustomer@nowsecopslab.onmicrosoft.com"] .
      • In der Spalte Empfänger ist der Empfänger ( JuanCustomer@nowsecopslab.onmicrosoft.com ).
      • In Absender Spalte, die Quelle der E-Mail wird angezeigt.
      • In E-Mail-Empfangsdatum Spalte, Datum und Uhrzeit des Empfangs der E-Mail werden angezeigt, damit Sie die Zeitlinien der Phishing-Kampagne nachverfolgen können.
      • In E-Mail-Lesestatus Spalte, die E-Mail in diesem Beispiel wurde nicht gelesen ( Falsch ). Wenn eine E-Mail gelesen wurde, Wahr Wird angezeigt.
      • In Wurde gelöscht Spalte, die E-Mail in diesem Beispiel wurde nicht gelöscht. Wenn eine E-Mail gelöscht wurde, Wahr Wird angezeigt.
      Rohdatenfeld
    16. Führen Sie alternativ die folgenden Schritte aus, um die Suchergebnisse aus dem Security Incident anzuzeigen.
      1. Navigieren zu Security Incident > Incidents Und öffnen Sie den Security Incident, mit dem Sie arbeiten.
        Wenn die Suche erfolgreich abgeschlossen wurde, wird oben im Datensatz angezeigt E-Mail-Suche: Abgeschlossen Sicherheits-Tag ersetzt E-Mail-Suche – Initiiert Sicherheits-Tag.
        Sicherheits-Tag „E-Mail-Suche abgeschlossen“ hervorgehoben.

        Arbeitsnotizen werden angezeigt, dass die Suche erfolgreich abgeschlossen wurde und dass eine übereinstimmende E-Mail gefunden wurde.

        Übereinstimmende E-Mails für die Protokollierung von Arbeitsnotizen wurden gefunden
      2. Scrollen Sie zum unteren Rand des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

        Wenn die zugehörige Liste „E-Mail-Suche“ nicht angezeigt wird, klicken Sie auf Alle Zugehörigen Listen Anzeigen Zugehöriger Link zum Anzeigen dieser zugehörigen Liste.

        Zugehörige Liste der E-Mail-Suche im Security Incident-Datensatz.
      3. Wenn die zugehörige Liste E-Mail-Suche ausgewählt ist, klicken Sie in der Spalte E-Mail-Suche auf den Namen Ihrer Suche.
        E-Mail-Suchspalte mit hervorgehobenem Namen der Suche.
      4. Klicken Sie im Datensatz E-Mail-Suche auf die zugehörige Liste E-Mail-Suchergebnisse.
      5. Klicken Sie in der Spalte Suchdatum auf das Datum Ihrer Suche, um die Daten anzuzeigen.
        Der E-Mail-Suchergebnisdatensatz wird angezeigt.
        Der E-Mail-Suchergebnisdatensatz wird angezeigt.
      Nachdem eine E-Mail-Suche erfolgreich abgeschlossen wurde, bewerten Sie die Ergebnisse. Wenn Sie feststellen, dass E-Mails korrigiert werden müssen, sind Sie jetzt bereit, E-Mails zu löschen oder eine Löschgenehmigung anzufordern.