Definieren Sie E-Mail-Suchkriterien, und fordern Sie eine Suche im an Microsoft Exchange Online Service

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 10 Minuten Lesedauer

    • Definieren Sie als Anwender mit der Rolle „sn_si.Analyst“ Suchkriterien, und senden Sie eine E-Mail-Suchanforderung basierend auf Incident-Details in einem Security Incident-Datensatz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Die Zahlen in diesem Verfahren werden mit angezeigt Formulare mit Registerkarten In Systemeinstellungen ausgewählt. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt Formulare mit Registerkarten anzeigen in Formularlayout für konfigurieren ServiceNow-Produktdokumentationswebsite .

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Status einzelner Nachrichten, die der Suchabfrage entsprechen, und die Suchergebnisse werden im Security Incident-Datensatz gemeldet. Wenn E-Mail-Benachrichtigungen aktiviert sind, können Sie die Suchergebnisse aus einer E-Mail-Nachricht anzeigen.

    Suchkriterien können Absenderadressen, Empfängeradressen oder Betreffnamen von Nachrichten umfassen. Die folgenden Kombinationen von Suchparametern für Nachrichtenbetreff, Absender und Empfänger werden häufig verwendet, um Phishing-bezogene E-Mail-Nachrichten zu finden, die Teil einer einzelnen Phishing-Kampagne sein können:
    • Alle ursprünglichen E-Mails suchen, die von einem Phishing-Account gesendet wurden: Suche nach Absender.
    • Suchen Sie alle ursprünglichen E-Mails für eine einzelne Phishing-Kampagne: Suchen Sie nach Betreff und Absender.
    • Alle E-Mails suchen, die für eine einzelne Phishing-Kampagne empfangen wurden (Original und weitergeleitet, beliebiger Absender): Suche nach Betreff.
    • Suchen Sie alle weitergeleiteten E-Mails für eine einzelne Phishing-E-Mail von einem einzelnen Anwender: Suchen Sie nach Empfänger + Betreff.
    • Suchen Sie alle Phishing-bezogenen E-Mails, die an einen einzelnen Anwender gesendet wurden: Suchen Sie nach Absender + Empfänger.
    Hinweis:
    Suchvorgänge werden anhand von E-Mails durchgeführt, die innerhalb der letzten 30 Kalendertage gesendet oder empfangen wurden, es sei denn, während des ersten Setups wird ein kürzeres Suchfenster konfiguriert. Eine erfolgreiche E-Mail-Suche ist erforderlich, bevor Sie E-Mails löschen können.

    Das folgende Beispiel zeigt, wie Sie eine Suche von einem aus initiieren ServiceNow AI Platform Security Incident. Ein Security Incident wird basierend auf der ursprünglichen E-Mail eines vermuteten Phishing-Angriffs in erstellt Microsoft Exchange Online Server Ihrer Organisation. In diesem Beispiel sind die Suchkriterien Absender (von) plus Betreff (wobei) Von Ist phisher@cbazyx.com , Und Betreff Ist Melden Sie sich bei Ihrem Account an .

    Ergebnisse für die Suche nach Themen werden zurückgegeben, wenn die Suche Textzeichenfolgen findet, die Schlüsselwörter enthalten, die den eingegebenen Suchkriterien entsprechen. In diesem Beispiel lautet der Betreff Melden Sie sich bei Ihrem Account an . Verwenden Sie UND Operator zum Trennen der Suchbedingungen von und Betreff, um Ergebnisse für alle E-Mail-Nachrichten zurückzugeben, die diese angegebenen Suchkriterien enthalten. Die folgenden Schritte beschreiben, wie Sie eine Suche einrichten, die nur E-Mails findet, die Betreffzeilentext enthalten, der von einem bestimmten Phishing-Account gesendet wird.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen Und suchen Sie den Security Incident, mit dem Sie arbeiten.
    2. Alternativ führen Sie die folgenden Schritte aus, um einen Filter festzulegen und auszuführen, sodass nur Security Incidents angezeigt werden, die durch Phishing-Ereignisse erstellt wurden.
      1. Navigieren zu Security Incident > Alle Incidents anzeigen Zum Öffnen der Liste Security Incidents.
      2. Klicken Sie in der oberen linken Ecke der angezeigten Liste auf das Filtersymbol.
        Filterung.
      3. Wählen Sie in den angezeigten Feldern die Option aus Kurzbeschreibung > enthält Geben Sie in den Auswahllisten ein Anwender hat Phishing gemeldet Und klicken Sie auf Ausführen .

        Die Phishing-bezogenen Security Incidents werden angezeigt.

        Spalte „Kurzbeschreibung“ in der Liste „Security Incidents“ hervorgehoben.
      4. Verwenden Sie den Text in der Spalte „Kurzbeschreibung“, um den Security Incident zu finden, mit dem Sie arbeiten.
      5. Klicken Sie in der Spalte Nummer auf einen Security Incident, um einen Datensatz zu öffnen.
    3. Scrollen Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

      Wenn die zugehörige Liste E-Mail-Suche nicht angezeigt wird, klicken Sie auf Alle Zugehörigen Listen Anzeigen Zugehöriger Link zum Anzeigen dieser zugehörigen Liste.

      Zugehörige Liste der E-Mail-Suche in einem Security Incident-Datensatz hervorgehoben.
    4. Klicken Sie in der zugehörigen Liste E-Mail-Suche auf Neu Dient zum Erstellen eines neuen E-Mail-Suchdatensatzes.
      Das Formular „E-Mail-Suche“ wird angezeigt. Wenn Sie feststellen, dass Sie diese Suchabfrage für denselben Phishing-bezogenen Incident mit geringfügigen Änderungen erneut ausführen möchten, können Sie diesen Suchabfragedatensatz erneut verwenden. Es ist jedoch unwahrscheinlich, dass Sie diese Suche für einen anderen Phishing-bezogenen Incident verwenden, da Phishing-Kampagnen dynamisch sind und sich die Absender- und Nachrichtenfelder häufig ändern.
    5. Wahlweise: Klicken Sie auf, um einen vorhandenen Suchabfragedatensatz zu bearbeiten Bearbeiten .
    6. Füllen Sie die Felder im Formular „E-Mail-Suche“ aus.
      Tabelle : 1.
      Feld Beschreibung
      Name Informationen zur Beschreibung der Art der Suche. In diesem Beispiel ist ein Name für eine von + Betreffsuche Phishing „bei Ihrem Account anmelden“ .
      Beschreibung Informationen zur Suche auf dem E-Mail-Server. Ein Beispiel für diese Suche ist Ab=phisher@cbazyx.com + Betreff=melden Sie sich bei Ihrem Account an .
      Ein ausgefülltes Formular.
    7. Klicken Sie auf Absenden.
      Der Security Incident wird angezeigt, und der Name der E-Mail-Suche wird in der Spalte E-Mail-Suche in der zugehörigen Liste E-Mail-Suche angezeigt. Bevor Sie diese neue Suchabfrage verwenden können, müssen Suchkriterien für den Suchdatensatz definiert werden.
    8. Um Suchkriterien zu definieren, klicken Sie in der Spalte E-Mail-Suche auf die zugehörige Liste E-Mail-Suche Phishing „bei Ihrem Account anmelden“ .
      Registerkarte „E-Mail-Suche“ mit hervorgehobener E-Mail-Suchspalte für einen Security Incident.
    9. Klicken Sie im angezeigten E-Mail-Suchdatensatz auf die zugehörige Liste E-Mail-Suchkriterien, und klicken Sie auf Neu .
      Schaltfläche „Neu“ hervorgehoben.
    10. Füllen Sie die Felder im Formular „E-Mail-Suchkriterien“ aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Tabelle : 2.
      Feld Beschreibung
      E-Mail-Suche Das Feld wird automatisch mit dem Namen ausgefüllt, den Sie für den E-Mail-Suchdatensatz eingegeben haben.
      Suchsymbol Suchen Sie mithilfe der Liste.

      Eine Liste gespeicherter Suchvorgänge. Klicken Sie auf das Symbol, um eine Liste der gespeicherten E-Mail-Suchen zu öffnen. Klicken Sie auf ein Element in dieser Liste, um die aktuelle Suche zu entfernen und eine zuvor gespeicherte E-Mail-Suche auszuwählen.
      Informationssymbol Symbol zum Anzeigen des E-Mail-Suchdatensatzes. Klicken Sie auf das Symbol, um den E-Mail-Suchdatensatz anzuzeigen.
      Suchfeld Suchkriterium ( Betreff , Von , Oder Empfänger ). Wählen Sie das Suchkriterium aus der Auswahlliste aus, und definieren Sie einen Wert, nach dem Sie im Textfeld suchen möchten. Beginnen Sie in diesem Beispiel mit ab phisher@cbazyx.com (Die E-Mail-Adresse des Absenders der Phishing-E-Mail).
      Aktiv Option zum Aktivieren der Suche.

      Die Suche ist standardmäßig aktiviert.

      Wenn Sie diese Option deaktivieren, wird dieser Datensatz nicht in eine Suche aufgenommen.
      Operator Operatoren ( UND , ODER ), um Ihre Suche weiter zu definieren.

      UND : Das System sucht nach den Bedingungen getrennt durch UND Und gibt nur Ergebnisse zurück, wenn alle Bedingungen erfüllt sind. Verwenden Sie für die Suche nach Absender und Betreff die UND Operator, damit beide Suchbedingungen während der E-Mail-Suche erfüllt werden.

      Verwenden Sie für dieses Beispiel die UND Operator, damit die Abfrage von (Absender) = stammt phisher@cbazyx.com UND Betreff = Melden Sie sich bei Ihrem Account an .

      ODER : Das System sucht und gibt Ergebnisse zurück, wenn eine der Bedingungen durch getrennt ist ODER Sind erfüllt.

      Ein Beispiel ist von (Absender) = phisher@cbazyx.com ODER Von (Absender) = phisher-2@cbazyx.com .
      Reihenfolge Wenn Sie mehr als zwei Suchbedingungen eingeben, verwenden Sie Reihenfolge, um die Bedingungen zu priorisieren. 100 ist der Standard. Geben Sie für jede Bedingung einen Wert zwischen 1 und 100 ein, z. B. 100, 95, 90, 80. Die Bedingung mit der niedrigsten zugewiesenen Zahl hat die höchste Suchpriorität innerhalb einer Gruppe von Bedingungen.
      Suchtext Die Textwerte (Stichwörter) für die Suche (E-Mail-Adressen oder Betreffzeilen).

      Das Suchfeld enthält den in der Suche verwendeten Text, z. B. phisher@cbazyx.com .

      Damit die Suche Ergebnisse für die Absender- und Empfängersuche genau zurückgibt, müssen die Suchzeichenfolgen genau übereinstimmen. Bei Betreffsuchen kann die Suchzeichenfolge Stichwörter enthalten, die Teil einer größeren Zeichenfolge sind. Beispielsweise kann ein Betreff die genaue Suchzeichenfolge enthalten, die in einem weitergeleiteten Header oder einem Antwortnachrichten wie abgeglichen wird FW: Melden Sie sich bei Ihrem Account an, und ändern Sie Ihr Passwort sofort .

      Beispiel: Melden Sie sich bei Ihrem Account an Sind genaue Stichwörter in der Zeichenfolge Melden Sie sich bei Ihrem Account an, und ändern Sie Ihr Passwort sofort .

      Zur Unterstützung von ist keine Platzhalterbezeichnung (*) erforderlich Enthält Typ der Suche. Derzeit ist keine Filtermethode zum Abgleichen einer genauen Suchzeichenfolge vorhanden, die nicht Teil einer größeren Textzeichenfolge ist.
      Formular „E-Mail-Suchkriterien“
    11. Klicken Sie auf Absenden.
      Der Datensatz „E-Mail-Suche“ wird angezeigt. In Abfrage aus Kriterien Feld werden die Suchkriterien angezeigt, die Sie für den Absender (von) hinzugefügt haben.
      E-Mail-Suchdatensatz
    12. Um diese E-Mail-Suchkriterien mit weiteren Informationen zu aktualisieren, damit die Abfrage die gewünschte Bedingung „Betreff plus Absender“ enthält, führen Sie die Schritte aus, um eine weitere Suchbedingung hinzuzufügen.
      1. Klicken Sie in der zugehörigen Liste E-Mail-Suchkriterien auf Neu .
        Zugehörige Liste „E-Mail-Suchkriterien“
      2. Von Suchfeld Wählen Sie im angezeigten Datensatz für E-Mail-Suchkriterien die Option aus Betreff .
      3. Wählen Sie in der Liste Operator die Option aus UND Oder ODER .
        Wenn Sie auswählen ODER , Die Suche gibt Ergebnisse zurück, wenn entweder Stichwörter in der Textzeichenfolge der Betreffzeile übereinstimmen oder die Bedingung der E-Mail-Adresse erfüllt ist. UND Ist für dieses Beispiel ausgewählt, damit die Suche nur Ergebnisse für E-Mails zurückgibt, die die Stichwörter der Betrefftextzeichenfolge enthalten und der E-Mail-Adresse des Absenders entsprechen.
      4. In Suchtext Feld den Wert für Betreffzeilentext eingeben, Melden Sie sich bei Ihrem Account an .
        Suchtextfeld mit Textzeichenfolge.
      5. Klicken Sie auf Absenden.
        Die neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt, und beide Bedingungen werden in angezeigt Abfrage aus Kriterien Feld durch getrennt UND Operator.
        Neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt
      6. Wahlweise: Wenn Sie mehr als zwei Suchbedingungen haben, und wählen Sie aus UND Um jede Bedingung zu trennen, legen Sie den Reihenfolgenwert fest, um sie zu priorisieren.
      7. Fahren Sie mit dem Hinzufügen, Ändern oder Entfernen von Suchkriterien nach Bedarf fort, und klicken Sie auf Aktualisieren Um Ihre Änderungen am Datensatz zu speichern.
    13. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Aktualisieren Aktualisieren und speichern Sie Ihre Änderungen am Datensatz.
      Auf E-Mail-Server(n) suchen Initiieren Sie eine Suche auf den Servern mit den Kriterien, die Sie im Datensatz „E-Mail-Suchkriterien“ gespeichert haben.
      Löschen Löschen Sie diesen E-Mail-Suchdatensatz aus Ihrem ServiceNow AI Platform Instanz. Mit dieser Aktion werden die tatsächlichen E-Mail-Nachrichten nicht gelöscht. Löscht nur den Suchdatensatz, der zum Suchen von Nachrichten verwendet wird.

      Ein Dialogfeld wird angezeigt. Wenn Sie auf klicken Löschen , Die E-Mail-Suchergebnisse und E-Mail-Suchkriterien für diesen Suchdatensatz werden gelöscht.

      Bestätigungsdialogfeld zum Löschen eines E-Mail-Suchdatensatzes.

      Wenn ein Datensatz Suchergebnisse enthält, wird die folgende Warnung angezeigt.

      Bestätigungsdialogfeld für Suchergebnisdatensatz.
    14. Um eine E-Mail-Suche zu initiieren, klicken Sie im E-Mail-Suchdatensatz auf E-Mail-Server durchsuchen .
      Eine Nachricht wird angezeigt, die angibt, dass die Suchanforderung übermittelt wurde.

      Im Security Incident-Datensatz wird eine Arbeitsnotiz angezeigt, die angibt, dass eine Suche initiiert wurde.

      Arbeitsnotizprotokolle, dass eine Suche initiiert wird.

      Wenn Tagging aktiviert ist, wird oben im Security Incident-Datensatz der E-Mail-Suche – Initiiert Sicherheits-Tag wird angezeigt.

      Sicherheits-Tag „E-Mail-Suche initiiert“ hervorgehoben.

      Wenn die Suche erfolgreich abgeschlossen wurde und E-Mail-Benachrichtigungen aktiviert sind, wird eine E-Mail an die E-Mail-Adresse der Person gesendet, die die Suche initiiert hat.

      In diesem Beispiel wird der Anwender mit der Rolle „sn_si.Analyst“ Hans SecAnalyst , Hat diese Suche übermittelt. Die folgende Abbildung zeigt, dass diese Benachrichtigung an einen Account in gesendet wird Microsoft Exchange Online. Diese Benachrichtigungen können jedoch bei Bedarf an einen anderen E-Mail-Service gesendet werden.

      Mit dieser Benachrichtigung können Sie alle übereinstimmenden Ergebnisse anzeigen, die Nachverfolgung und Löschung erfordern. Das folgende Beispiel zeigt, dass es eine E-Mail gibt, die den Suchkriterien entspricht. Ein E-Mail-Suchergebnislink zum E-Mail-Suchergebnisdatensatz in Ihrem ServiceNow AI Platform Instanz wird ebenfalls bereitgestellt. Wenn Sie den Suchdatensatz anzeigen möchten, klicken Sie auf diesen Link.

      E-Mail-Benachrichtigung für die E-Mail-Suche, die vom Sicherheitsanalysten übermittelt wurde.
    15. Klicken Sie in dieser E-Mail auf , um die Suchergebnisse anzuzeigen E-Mail-Suchergebnis Link.
      Der Datensatz des E-Mail-Suchergebnisses wird angezeigt. In diesem Datensatz können Sie die folgenden Daten überprüfen und überprüfen.
      • In Rohdaten Feld, die E-Mail-Anzahl für die Anzahl der E-Mails, die den Suchkriterien entsprechen {"count":1} , Und die Postfachadressen, in denen die E-Mails gefunden wurden, werden angezeigt [" JuanCustomer@nowsecopslab.onmicrosoft.com"] .
      • In der Spalte Empfänger ist der Empfänger ( JuanCustomer@nowsecopslab.onmicrosoft.com ).
      • In Absender Spalte, wird die Quelle der E-Mail angezeigt.
      • In E-Mail-Empfangsdatum Spalte werden Datum und Uhrzeit des Empfangs der E-Mail angezeigt, um die Zeitlinien der Phishing-Kampagne nachzuverfolgen.
      • In E-Mail-Lesestatus Spalte, die E-Mail in diesem Beispiel wurde nicht gelesen ( Falsch ). Wenn eine E-Mail gelesen wurde, Wahr Wird angezeigt.
      • In Wurde gelöscht Spalte, die E-Mail in diesem Beispiel wurde nicht gelöscht. Wenn eine E-Mail gelöscht wurde, Wahr Wird angezeigt.
      Rohdatenfeld
    16. Alternativ können Sie die folgenden Schritte ausführen, um die Suchergebnisse aus dem Security Incident anzuzeigen.
      1. Navigieren zu Security Incident > Incidents Und öffnen Sie den Security Incident, mit dem Sie arbeiten.
        Wenn die Suche erfolgreich abgeschlossen wurde, wird oben im Datensatz die angezeigt E-Mail-Suche: Abgeschlossen Sicherheits-Tag ersetzt E-Mail-Suche – Initiiert Sicherheits-Tag.
        Sicherheits-Tag „E-Mail-Suche abgeschlossen“ hervorgehoben.

        Arbeitsnotizen werden angezeigt, dass die Suche erfolgreich abgeschlossen wurde und eine übereinstimmende E-Mail gefunden wurde.

        Es wurden übereinstimmende E-Mails für die Protokollierung von Arbeitsnotizen
      2. Scrollen Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

        Wenn die zugehörige Liste E-Mail-Suche nicht angezeigt wird, klicken Sie auf Alle Zugehörigen Listen Anzeigen Zugehöriger Link zum Anzeigen dieser zugehörigen Liste.

        Zugehörige Liste „E-Mail-Suche“ im Security Incident-Datensatz.
      3. Wenn die zugehörige Liste E-Mail-Suche ausgewählt ist, klicken Sie in der Spalte E-Mail-Suche auf den Namen Ihrer Suche.
        E-Mail-Suchspalte mit hervorgehobenem Namen der Suche.
      4. Klicken Sie im Datensatz E-Mail-Suche auf die zugehörige Liste E-Mail-Suchergebnisse.
      5. Klicken Sie in der Spalte Suchdatum auf das Datum Ihrer Suche, um die Daten anzuzeigen.
        Der Datensatz des E-Mail-Suchergebnisses wird angezeigt.
        Der Datensatz des E-Mail-Suchergebnisses wird angezeigt.
      Nachdem eine E-Mail-Suche erfolgreich abgeschlossen wurde, bewerten Sie die Ergebnisse. Wenn Sie feststellen, dass E-Mails korrigiert werden müssen, sind Sie jetzt bereit, E-Mails zu löschen oder eine Löschgenehmigung anzufordern.