Sichtungen sucht nach von Anwendern gemeldeten Phishing- und Malware-Angriffen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Führen Sie Sichtungssuchen für E-Mails oder erkennbare Elemente durch, um festzustellen, wie oft bestimmte Arten von Angriffen, z. B. Phishing-Angriffe oder Kommunikation mit einer schädlichen IP oder URL, in Ihrem Netzwerk auftreten. Jedes Vorkommen wird als Sichtung betrachtet. Sichtungssuchen nach erkennbaren Elementen müssen für Ihre Protokollspeicher oder Security Information and Event Management (SIEM) konfiguriert werden.

    Sehen Sie sich dieses dreiminütige Video an, um zu erfahren, wie Sie die Sichtungssuchfunktion verwenden, um Phishing- und Malware-Elemente innerhalb des Protokollspeichers in Ihrem Netzwerk zu finden.

    Die folgenden Begriffe werden verwendet, um von Anwendern gemeldete Phishing-Angriffe zu beschreiben:
    • Phishing-Anwender: Ein Anwender, der eine Phishing-E-Mail erhalten hat.
    • Opferanwender: Ein Anwender, der mit der Phishing-URL interagiert hat, normalerweise durch Klicken auf einen Link in der Phishing-E-Mail. Diese Aktion stellt dem Angreifer potenziell Anmeldeinformationen zur Verfügung.
    Wenn Sie mit der Analyse eines Phishing-Incidents beginnen, können Sie dies Führen Sie eine E-Mail-Sichtungssuche durch Oder Führen Sie eine Sichtungssuche für erkennbare Elemente durch Um andere Anwender in Ihrer Organisation zu identifizieren, die von demselben Phishing-Angriff betroffen sind. Durchsuchen Sie Ihre Protokollspeicher, um Phishing- und Opferanwender zu identifizieren. Nachdem Sie die Liste der betroffenen Anwender identifiziert haben, erstellen Sie untergeordnete Security Incidents, um mithilfe der in verfügbaren Tools umfassende Verfahren zur Reaktion auf Incidents durchzuführen Security Incident Response.
    Hinweis:
    Sie können auch den folgenden Ansatz verwenden, um eine Sichtungssuche durchzuführen:
    • Navigieren zu Security Incidents > Alle Incidents anzeigen Und klicken Sie auf einen Security Incident.
    • Klicken Sie Auf IOC anzeigen Unter zugehörige Links. Eine Liste der erkennbaren Elemente wird angezeigt.
    • Wählen Sie ein erkennbares Element aus der Liste und aus der aus Aktionen Wählen Sie eine der folgenden Optionen aus:
      • Sichtungssuche für Webdatenverkehr ausführen
      • Sichtungssuche für E-Mail-Datenverkehr ausführen
    • Geben Sie den Zeitrahmen an, und klicken Sie auf Suchen Um eine Sichtungssuche durchzuführen.

    Gespeicherte Sichtungssuchkonfigurationen

    Konfigurieren Sie Sichtungssuchen, und erstellen Sie gespeicherte Konfigurationen für SIEMs oder andere Protokollspeicher für Instanzen erkennbarer Elemente, um das Vorhandensein schädlicher erkennbarer Elemente in Ihrer Umgebung zu bestimmen.
    Hinweis:
    Gespeicherte Suchen und Inplace-Abfragen werden nur für Splunk-Integration unterstützt.

    Führen Sie eine E-Mail-Sichtungssuche nach von Anwendern gemeldeten Phishing-Angriffen durch

    Suchen Sie basierend auf erkennbaren Elementen wie E-Mail-Betreff, Absendername oder Nachrichten-ID nach Anwendern, die Phishing-E-Mails erhalten haben. Sie können diese Phishing-E-Mails dann in Ihrer Organisation eindämmen und löschen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Durchsuchen Sie die Splunk-E-Mail-Datenverkehrsprotokolle, um die Liste der Empfänger einer verdächtigen E-Mail zu erfassen. Die Suche kann anhand des E-Mail-Absenders, der E-Mail-Nachrichten-ID oder des E-Mail-Betreffs durchgeführt werden, der einem Security Incident zugeordnet ist.
    Hinweis:
    • Diese Implementierung der Sichtungssuche nach E-Mail-basierten erkennbaren Elementen wurde nur mit dem Splunk Enterprise-Protokollspeicher getestet.
    • Die Splunk-Protokollereignisse müssen mit dem Common Information Model (CIM) konform sein, damit die Sichtungssuchabfrage genaue Ergebnisse zurückgibt.

    Prozedur

    1. Navigieren Sie zu , um die Ihrem Team zugewiesenen Security Incidents anzuzeigen Security Incident > Incidents (neue UI)an.
    2. Von Security Incidents Wählen Sie einen der Filter aus, z. B. alle Offene Incidents , Alle Ihnen zugewiesenen Incidents , Oder Alle Incidents .

      Um Security Incidents eines bestimmten Typs anzuzeigen, z. B. kritische Incidents oder Phishing-E-Mails, klicken Sie auf einen der Schnellfilter .

      Security Incidents
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Die Registerkarte Übersicht bietet eine Übersicht über den Security Incident, einschließlich einer Liste erkennbarer Elemente, betroffener Anwender und ähnlicher Security Incidents.

      Registerkarte „Übersicht“
    4. Klicken Sie auf Erkunden Registerkarte.
    5. Unter Incident-Daten , Navigieren Sie zu Ermittlung > Suchen Sie E-Mail Und Erkennbare Elementean.
      E-Mail-Suche
    6. Erweitern Sie den Abschnitt Suchkriterien.
    7. Wählen Sie Aus E-Mail-Suche Als Typ der Suche, die Sie ausführen möchten, und geben Sie die restlichen Suchkriterien an.
      Tabelle : 1. Formular „Suchkriterien“
      Feld Beschreibung
      Integrationen Integrationstyp. Wählen Sie Aus Protokollspeicher Aus der Liste.
      Hinweis:
      Diese Funktion wird nur mit dem Splunk-Protokollspeicher unterstützt.
      Von Vollständige E-Mail-Adresse des Absenders (z. B. jane.doe@example.com).
      Nachrichten-ID E-Mail-Nachrichten-ID aus dem Protokollspeicher.
      Betreff Betreff der Phishing-E-Mail.
      Suchfenster Zeitfenster für die Suche (z. B. die letzten 24 Stunden).
    8. Von Wählen Sie Aktion Aus Liste, wählen Sie aus Suchen Und klicken Sie dann auf Ausführen .

      Der Splunk-Protokollspeicher wird anhand der von Ihnen eingegebenen Kriterien durchsucht, und die Anwender, die vom Phishing-Angriff betroffen sind, werden im angezeigt E-Mail-Suchergebnisse Registerkarte. Die Gesamtzahl der Phishing-E-Mails und die Details jeder E-Mail, einschließlich Empfangsdatum, Empfänger und Nachrichten-ID, werden angezeigt.

    9. Um die Liste der Anwender anzuzeigen, die die Phishing-E-Mail erhalten haben, klicken Sie auf > Symbol in der Spalte „Suchdatum“.
      E-Mail-Suchergebnisse
    10. Um eine Liste der Anwender anzuzeigen, die die E-Mail erhalten haben, navigieren Sie zu Anwender > Betroffene Anwenderan.

      Die Spalte Phishing User (Phishing User) identifiziert die E-Mail-Empfänger.

      Hinweis:
      Auf der Seite „Betroffene Anwender“ werden nur die Anwenderdatensätze angezeigt, die in der ServiceNow-Instanz vorhanden sind.
    11. Um die Anwender, die Ziele des Phishing-Angriffs sind, weiter zu untersuchen, gehen Sie wie folgt vor:
      1. Aktivieren Sie die Kontrollkästchen neben den Anwendernamen.
      2. Wählen Sie in der Liste aus Untergeordneten Security Incident Erstellen , Und klicken Sie auf Ausführen .
      Eine Meldung zeigt an, dass ein untergeordneter Security Incident erstellt wurde. Klicken Sie auf , um die untergeordneten Security Incidents anzuzeigen, die einem übergeordneten Incident zugeordnet sind Erkunden Registerkarte und navigieren Sie zu Incidents > Untergeordnete Security Incidentsan.

    Ergebnisse

    Die Liste der Phishing-Anwender wird angezeigt.

    Führen Sie eine Sichtungssuche für erkennbare Elemente nach von Anwendern gemeldeten Phishing- und Malware-Angriffen durch

    Führen Sie Sichtungssuchen nach erkennbaren Elementen durch, um herauszufinden, wie viele Anwender innerhalb eines bestimmten Zeitraums eine schädliche oder verdächtige Website besucht haben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können eine Netzwerkdatenverkehrssuche für erkennbare Elemente wie die URL, den Zielhost oder die Ziel-IP-Adresse durchführen, die einem Security Incident zugeordnet sind.
    Hinweis:
    • Diese Implementierung der Sichtungssuche nach erkennbaren Elementen wurde nur mit dem Splunk Enterprise-Protokollspeicher getestet.
    • Die Splunk-Protokollereignisse müssen mit dem Common Information Model (CIM) konform sein, damit die Sichtungssuchabfrage genaue Ergebnisse zurückgibt.

    Prozedur

    1. Navigieren Sie zu , um die Security Incidents anzuzeigen, die Ihrem Team zugewiesen sind Security Incident > Incidents (neue UI)an.
    2. Von Security Incidents Wählen Sie einen anderen Filter aus, z. B. alle Mir zugewiesene Incidents , Alle Offenen Incidents , Oder Alle Incidents .

      Um Security Incidents eines bestimmten Typs anzuzeigen, z. B. kritische Incidents oder Phishing-E-Mails, klicken Sie auf einen der Schnellfilter .

      Security Incidents
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Sie können eine Übersicht über den Security Incident anzeigen, einschließlich einer Liste erkennbarer Elemente, betroffener Anwender und ähnlicher Security Incidents.

      Registerkarte „Übersicht“

      Beachten Sie im Abschnitt „erkennbare Elemente“, dass die Spalte „erkennbares Element“ die E-Mail-Adresse, den Betreff und die URL anzeigt. Beachten Sie auch, dass die Spalte „Ergebnis“ zeigt, dass die URL automatisch gescannt wurde, als die Phishing-E-Mail übermittelt wurde, und dass sie als schädliche URL bekannt ist. Die Spalte Incident-Anzahl zeigt die anderen Incidents an, die dasselbe erkennbare Element teilen. Diese Artefakte zeigen an, dass Sie wahrscheinlich bereit sind, mit Eindämmungsverfahren für diesen Phishing-Angriff fortzufahren, einschließlich der Bestimmung, wie viele Anwender in der Organisation betroffen waren.

      Erkennbare Elemente

    4. Navigieren zu Untersuchen > Ermittlung > Suchen Sie E-Mail Und Erkennbare Elementean.
    5. Erweitern Sie den Abschnitt Suchkriterien, und klicken Sie auf Suche Erkennbarer Elemente .
      Suche erkennbarer Elemente
    6. Geben Sie das erkennbare Element, nach dem Sie suchen, und ein Zeitfenster für die Suche ein (z. B. letzte 24 Stunden).
    7. Von Wählen Sie Aktion Aus Liste, wählen Sie aus Suchen .
      Der Splunk-Protokollspeicher wird anhand der von Ihnen eingegebenen Kriterien durchsucht, und die wichtigsten Anwender, die von dem böswilligen Angriff betroffen sind, werden im angezeigt Suchergebnisse Erkennbarer Elemente Registerkarte.Suchergebnisse erkennbarer Elemente
    8. Um die Anwender anzuzeigen, die die E-Mail erhalten haben, navigieren Sie zu Anwender > Betroffene Anwenderan.

      Die Spalte Phishing-Anwender identifiziert die Empfänger der Phishing-E-Mail, und die Spalte Anwenderinteraktion identifiziert Anwender, die auf eine Phishing-URL geklickt oder mit einer verdächtigen E-Mail-Adresse interagiert haben. Die Spalte Anwenderinteraktion wird auf „wahr“ oder „falsch“ festgelegt, je nachdem, ob der Anwender auf den schädlichen Link oder die schädliche IP geklickt hat.

      Hinweis:
      Auf der Seite „Betroffene Anwender“ werden nur die Anwenderdatensätze angezeigt, die in der ServiceNow-Instanz vorhanden sind.
    9. So untersuchen Sie die Anwender, die auf die Phishing-E-Mail geklickt und ihre Anmeldeinformationen potenziell gefährdet haben:
      1. Aktivieren Sie sowohl in den Spalten Phishing User (Phishing-Anwender) als auch Anwenderinteraktion die Kontrollkästchen neben den angezeigten Anwendernamen Wahr .
      2. Klicken Sie Auf Untergeordneten Security Incident Erstellen Und klicken Sie dann auf Ausführen .
        Eine Meldung zeigt an, dass ein untergeordneter Security Incident erstellt wurde. Klicken Sie auf , um die untergeordneten Security Incidents anzuzeigen, die einem übergeordneten Incident zugeordnet sind Erkunden Registerkarte und navigieren Sie zu Incidents > Untergeordnete Security Incidentsan.

    Ergebnisse

    Die Liste der Phishing-Anwender wird angezeigt.

    Erstellen Sie Konfigurationsdatensätze für Sichtungssuche

    Erstellen Sie mehrere Sichtungssuchkonfigurationsdatensätze, und verwenden Sie sie, wenn Sie mehrere Protokollspeicher abfragen oder die Suchparameter ändern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    • Das CIM-Add-on muss auf der Splunk-Instanz installiert sein.
    • Gespeicherte Suchen und Inplace-Abfragen werden nur für Splunk-Integration unterstützt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auch Konfigurationsdatensätze für Sichtungssuche erstellen, um sie aufzurufen Gespeicherte Suchen Im Splunk Enterprise-Protokollspeicher.
    Hinweis:
    Die Suchkonfigurationsabfragen basieren auf Splunk-Protokolldaten, um Splunk Common Information Model (CIM)-konform zu sein.
    Mit gespeicherten Suchkonfigurationen können Sie:
    • Erstellen Sie anwenderdefinierte Suchen, die mehrere Ereignisdatensätze kombinieren.
    • Designeffiziente und effektive Suchen.
    • Verwenden Sie parametrisierte Eingaben in der gespeicherten Splunk-Suche.

    Das Basissystem enthält die Beispielkonfigurationen, wie in dieser Abbildung gezeigt:

    Abbildung : 1. Gespeicherte Suchkonfigurationen
    Suchkonfiguration
    Die gespeicherten Such- und Inplace-Konfigurationsabfragen sind Beispielabfragen und können durch entsprechende Parameter für Ihre Umgebung ersetzt werden. Erstellen Sie nach Bedarf zusätzliche gespeicherte Suchkonfigurationen. Wenn Sie eine gespeicherte Suchkonfiguration definieren, müssen der Name und die Parameter in der Suchabfrage mit der gespeicherten Konfiguration übereinstimmen, die in Ihrer Splunk-Instanz definiert ist. Wenn der Name und die Parameter nicht identisch sind, werden bei einer Sichtungssuche möglicherweise keine genauen Ergebnisse angezeigt.
    Hinweis:
    Navigieren Sie in Ihrer Splunk-Instanz zur Seite Suchen, Berichte und Warnungen, und suchen Sie Ihre gespeicherte Suchabfrage. Klicken Sie auf Berechtigungen Link, um zur Seite „Berechtigungen“ zu navigieren. Wählen Sie aus Alle Apps Optionsschaltfläche und aktivieren Sie Leseberechtigung Option für Alle . Dadurch wird der Wert der Spalte „Freigeben“ für Ihre gespeicherte Suchabfrage von „Privat“ in „App“ geändert. Wenn dies nicht festgelegt ist, gibt die gespeicherte Suchabfrage möglicherweise keine Ergebnisse zurück.

    So überprüfen Sie, ob die gespeicherte Suchkonfiguration mit der in Ihrer Splunk-Instanz definierten Konfiguration übereinstimmt:

    1. Navigieren zu Einstellungen > Suchen, Berichte und Warnungenan.
    2. Ändern App-Kontext Bis Alle .

      Eine Liste der Suchberichte wird angezeigt.

    3. Bestätigen Sie, dass die gespeicherte Suchabfrage in der Liste vorhanden ist.
    Beispielsweise enthält das Formular „Sichtungssuchkonfiguration“ die E-Mail-Adresse und den E-Mail-Absender als Suchparameter:
    Abbildung : 2. Formular „Konfiguration der Sichtungssuche“
    Gespeicherte Konfiguration

    Definieren Sie in Ihrer Splunk-Instanz die gespeicherte Suche mit dem gleichen Namen, der standardmäßig gespeicherten Suche – E-Mails und den gleichen Suchparametern für die E-Mail-Adresse und den E-Mail-Betreff. Wenn Name und Suchparameter nicht identisch sind, wird bei der Sichtungssuche kein genaues Ergebnis generiert.

    Prozedur

    1. Navigieren zu Security Operations > Integrationen > Sichtungssuche – Konfiguration Und erstellen Sie einen neuen Datensatz (Feldbeschreibungen finden Sie in der Tabelle).
      Tabelle : 2. Formular „Konfiguration der Sichtungssuche“
      Feld Beschreibung
      Name Name der Konfiguration
      Ist gespeicherte Suche Wenn Sie diese Option auswählen, wird eine gespeicherte Suchkonfiguration erstellt.
      Sichtungssuchquelle Die Quelle für die Sichtungssuche. Wählen Sie den Splunk-Protokollspeicher als Quelle aus.
      Aktiv Option für den gespeicherten Suchstatus. Nur aktive Suchkonfigurationen können verwendet werden, um eine Sichtungssuche durchzuführen.
      Typ des erkennbaren Elements Der Typ des erkennbaren Elements kann ein beliebiger Typ des erkennbaren Elements sein, z. B. IP, Hash-Wert, URL, Domänenname usw.
      Maximale erkennbare Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die von der Suche zurückgegeben werden sollen.
      Suchen Die Standardsuchzeichenfolge ist $(erkennbares Element) , Sie können jedoch Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die vom Splunk-Protokollspeicher unterstützt werden.
    2. Klicken Sie auf Absenden.

    Ergebnisse

    Sie haben einen Konfigurationsdatensatz für die Sichtungssuche erstellt.

    Nächste Maßnahme

    Klicken Sie nach dem Definieren der Suchabfrage auf Testabfrage Für Sichtungssuche Generieren , Und geben Sie eine Liste erkennbarer Werte an, um eine Testabfrage basierend auf dieser gespeicherten Suchkonfiguration zu generieren.