Defina critérios de pesquisa de e-mail e solicite uma pesquisa no Microsoft Exchange Onlineserviço

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 12 min. de leitura
  • Como usuário com a função sn_si.analista, defina critérios de pesquisa e envie uma solicitação de pesquisa por e-mail com base nos detalhes do incidente em um registro de incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analista

    As figuras neste procedimento são mostradas com Formulários com guias Selecionado em Configurações do sistema. Para obter mais informações sobre como selecionar e limpar formulários com guias, consulte a seção Exibir formulários com guias em Configurar o layout de formulário no Site de documentação do produto ServiceNow .

    Função necessária: sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    O status de mensagens individuais que correspondem à consulta de pesquisa e aos resultados da pesquisa são relatados no registro de incidente de segurança. Se as notificações por e-mail estiverem habilitadas, você poderá exibir os resultados da pesquisa de uma mensagem de e-mail.

    Os critérios de pesquisa podem incluir endereços do remetente da mensagem, endereços do destinatário ou nomes do assunto. As seguintes combinações de parâmetros de pesquisa Assunto da mensagem, Remetente e Destinatário são frequentemente usadas para encontrar mensagens de e-mail relacionadas a phishing que podem fazer parte de uma única campanha de phishing:
    • Localizar todos os e-mails originais enviados por uma conta de phishing: Pesquisar por remetente.
    • Encontre todos os e-mails originais para uma única campanha de phishing: PESQUISE por assunto e remetente.
    • Encontre todos os e-mails recebidos para uma única campanha de phishing (original e encaminhado, qualquer remetente): PESQUISE por assunto.
    • Encontre todos os e-mails encaminhados para um único e-mail de phishing de um único usuário: PESQUISE por destinatário e assunto.
    • Encontre todos os e-mails relacionados a phishing enviados a um único usuário: PESQUISE por remetente e destinatário.
    Nota:
    As pesquisas são realizadas em e-mails enviados ou recebidos nos últimos 30 dias corridos, a menos que uma janela de pesquisa mais curta seja configurada durante a configuração inicial. Uma pesquisa de e-mail bem-sucedida é necessária antes que você possa excluir e-mails.

    O exemplo a seguir mostra como iniciar uma pesquisa de um Now Platformincidente de segurança. Um incidente de segurança é criado com base no e-mail original de um ataque de phishing suspeito no Microsoft Exchange Onlineservidor da sua organização. Para este exemplo, o critério de pesquisa é Remetente (de) mais Assunto, em que De é phisher@cbazyx.com e o. Assunto é faça login na sua conta .

    Os resultados das pesquisas sobre assuntos são retornados quando a pesquisa encontra cadeias de caracteres de texto que contêm palavras-chave que correspondem aos critérios de pesquisa inseridos. Neste exemplo, o assunto é faça login na sua conta . Use o. E. Operador para separar as condições de pesquisa de e Assunto para retornar resultados de todas as mensagens de e-mail que contêm esses critérios de pesquisa fornecidos. As etapas a seguir descrevem como configurar uma pesquisa que encontre somente e-mails que contenham texto de linha de assunto enviado por uma conta de phishing específica.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes e localize o incidente de segurança com o qual você está trabalhando.
    2. Como alternativa, siga estas etapas para definir e executar um filtro para que somente os incidentes de segurança criados por eventos de phishing sejam exibidos.
      1. Navegar até Incidente de segurança > Mostrar todos os incidentes Para abrir a lista Incidentes de segurança.
      2. No canto superior esquerdo da lista exibida, clique no ícone de filtro.
        Filtragem.
      3. Nos campos exibidos, selecione Descrição resumida > contém nas listas de seleção, insira phishing relatado pelo usuário e clique em Executar .

        Os incidentes de segurança relacionados a phishing são exibidos.

        Coluna de descrição resumida na lista Incidentes de segurança realçada.
      4. Use o texto na coluna de descrição resumida para ajudar a localizar o incidente de segurança com o qual você está trabalhando.
      5. Na coluna Número, clique em um incidente de segurança para abrir um registro.
    3. Role até a parte inferior do registro de incidente de segurança e clique na lista relacionada Pesquisa de e-mail.

      Se a lista relacionada Pesquisa de e-mail não for exibida, clique em Mostrar todas as listas relacionadas link relacionado para exibir esta lista relacionada.

      Pesquisa de e-mail relacionada em um registro de incidente de segurança realçada.
    4. Na lista relacionada Pesquisa de e-mail, clique em Novo para criar um novo registro de pesquisa de e-mail.
      O formulário Pesquisa de e-mail é exibido. Se você determinar que deseja executar novamente esta consulta de pesquisa para o mesmo incidente relacionado a phishing com pequenas modificações, poderá usar este registro de consulta de pesquisa novamente. No entanto, é improvável que você use essa pesquisa para um incidente relacionado a phishing diferente, porque as campanhas de phishing são dinâmicas e os campos de remetente e mensagem mudam com frequência.
    5. Opcional: Para editar um registro de consulta de pesquisa existente, clique em Editar .
    6. No formulário Pesquisa de e-mail, preencha os campos.
      Tabela 1.
      Campo Descrição
      Nome Informações para descrever o tipo de pesquisa. Para este exemplo, um nome para uma pesquisa de "De" e "Assunto" é Phish "faça login na sua conta" .
      Descrição Informações sobre a pesquisa no servidor de e-mail. Um exemplo para esta pesquisa é Mais de phisher@cbazyx.com assunto: Faça login na sua conta .
      Um formulário preenchido.
    7. Clique em Enviar.
      O incidente de segurança é exibido e o nome da pesquisa de e-mail é exibido na coluna Pesquisa de e-mail na lista relacionada Pesquisa de e-mail. Para que você possa usar esta nova consulta de pesquisa, os critérios de pesquisa devem ser definidos para o registro de pesquisa.
    8. Para definir critérios de pesquisa, com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique em Phish "faça login na sua conta" .
      Guia Pesquisa de e-mail com a coluna Pesquisa de e-mail destacada em um incidente de segurança.
    9. No registro de pesquisa de e-mail exibido, clique na lista relacionada Critérios de pesquisa de e-mail e clique em Novo .
      Novo botão realçado.
    10. No formulário Critérios de pesquisa de e-mail, preencha os campos.

      Um exemplo de um formulário preenchido segue a tabela.

      Tabela 2.
      Campo Descrição
      Pesquisa de e-mail O campo é preenchido automaticamente com o nome que você inseriu para o registro de Pesquisa de e-mail.
      Ícone de pesquisa Pesquisa usando a lista.

      Uma lista de pesquisas salvas. Clique no ícone para abrir uma lista de pesquisas de e-mail salvas. Clique em um item nesta lista para remover a pesquisa atual e selecionar uma pesquisa de e-mail salva anteriormente.

      Ícone de informações Ícone usado para exibir o registro de Pesquisa de e-mail. Clique no ícone para exibir o registro de pesquisa de e-mail.
      Campo de pesquisa Critério de pesquisa ( Assunto , De , ou Destinatário ). Selecione o critério de pesquisa na lista de seleção e defina um valor que você deseja pesquisar no campo de texto. Para este exemplo, comece com de phisher@cbazyx.com (o endereço de e-mail do remetente do e-mail de phishing).
      Ativo Opção para ativar a pesquisa.

      A pesquisa é ativada por padrão.

      Se você desmarcar esta opção, este registro não será incluído em uma pesquisa.

      Operador Operadores ( E. , OU ) para definir melhor sua pesquisa.

      E. : O sistema pesquisa as condições separadas por E. e retornará resultados somente se todas as condições forem atendidas. Para a pesquisa de remetente mais assunto, use E. para que ambas as condições de pesquisa sejam atendidas durante a pesquisa de e-mail.

      Para este exemplo, use E. Operador para que a consulta seja de (remetente): phisher@cbazyx.com E. Assunto: faça login na sua conta .

      OU : O sistema pesquisa e retorna resultados se alguma das condições for separada por OU são atendidos.

      Um exemplo é De (remetente): phisher@cbazyx.com OU De (remetente) phisher-2@cbazyx.com .

      Ordem Se você inserir mais de duas condições de pesquisa, use a ordem para priorizar as condições. 100 é o padrão. Insira um valor entre 1 e 100 para cada condição, por exemplo, 100, 95, 90, 80. A condição com o menor número atribuído tem a prioridade de pesquisa mais alta em um grupo de condições.
      Pesquisar texto Os valores de texto (palavras-chave) da pesquisa (endereços de e-mail ou linhas de assunto).

      O campo de pesquisa contém o texto usado na pesquisa, por exemplo, phisher@cbazyx.com .

      Para que a pesquisa retorne resultados com precisão para pesquisas de remetente (de) e destinatário, as cadeias de caracteres de pesquisa devem corresponder exatamente. Para pesquisas de assunto, a cadeia de caracteres de pesquisa pode conter palavras-chave que fazem parte de uma cadeia de caracteres maior. Por exemplo, um assunto pode conter a cadeia de caracteres de pesquisa exata correspondente em um cabeçalho de mensagem encaminhada ou de resposta, como FW: Faça login em sua conta e mude sua senha imediatamente .

      Por exemplo, Faça login na sua conta são palavras-chave exatas na cadeia de caracteres faça login em sua conta e mude sua senha imediatamente .

      Nenhuma designação de curinga (*) é necessária para oferecer suporte a contém tipo de pesquisa. No momento, não existe nenhum método de filtragem para corresponder a uma cadeia de caracteres de pesquisa exata que não faz parte de uma cadeia de caracteres de texto maior.

      Formulário de critérios de pesquisa de e-mail
    11. Clique em Enviar.
      O registro de Pesquisa de e-mail é exibido. Em Consulta dos critérios Os critérios de pesquisa adicionados ao remetente (de) são exibidos.
      Registro de Pesquisa de e-mail
    12. Para atualizar estes critérios de pesquisa de e-mail com mais informações para que a consulta inclua a condição assunto mais remetente desejada, siga as etapas para adicionar outra condição de pesquisa.
      1. Na lista relacionada Critérios de pesquisa de e-mail, clique em Novo .
        Lista relacionada de critérios de pesquisa de e-mail
      2. Em Campo de pesquisa No registro de critérios de pesquisa de e-mail exibido, selecione Assunto .
      3. Na lista Operador, selecione E. ou OU .
        Se você selecionar OU , a pesquisa retorna resultados se as palavras-chave na cadeia de caracteres de texto da linha de assunto forem correspondentes ou se a condição do endereço de e-mail for correspondida. E. está selecionado para este exemplo para que a pesquisa retorne resultados somente para e-mails que contenham as palavras-chave da cadeia de caracteres de texto do assunto e que correspondam ao endereço de e-mail do remetente.
      4. Em Texto de pesquisa insira o valor do texto da linha de assunto, faça login na sua conta .
        Campo de texto de pesquisa com cadeia de caracteres de texto.
      5. Clique em Enviar.
        A nova condição é exibida na lista relacionada Critérios de pesquisa de e-mail e ambas as condições são exibidas no Consulta dos critérios campo separado por E. operador.
        A nova condição é exibida na lista relacionada Critérios de pesquisa de e-mail
      6. Opcional: Se você tiver mais de duas condições de pesquisa e selecionar E. para separar cada condição, defina o valor do pedido para priorizá-las.
      7. Continue a adicionar, modificar ou remover critérios de pesquisa conforme desejado e clique em Atualizar para salvar suas mudanças no registro.
    13. Escolha uma opção para continuar.
      OpçãoDescrição
      Atualizar Atualize e salve suas mudanças no registro.
      Pesquisar em Servidor(es) de E-mail Inicie uma pesquisa nos servidores com os critérios salvos no registro Critérios de pesquisa de e-mail.
      Excluir Exclua este registro de Pesquisa de e-mail do seu Now Platforminstância. Esta ação não exclui as mensagens de e-mail reais. Exclui somente o registro de pesquisa usado para encontrar mensagens.

      Uma caixa de diálogo é exibida. Se você clicar em Excluir , os resultados da pesquisa de e-mail e os critérios de pesquisa de e-mail deste registro de pesquisa foram excluídos.

      Caixa de diálogo de confirmação para excluir um registro de pesquisa de e-mail.

      Se um registro tiver resultados de pesquisa, o seguinte aviso será exibido.

      Caixa de diálogo de confirmação do registro de resultado da pesquisa.
    14. Para iniciar uma pesquisa de e-mail, no registro de pesquisa de e-mail, clique em Pesquisar em servidores(s) de e-mail .
      É exibida uma mensagem que indica que a solicitação de pesquisa foi enviada.

      No registro de Incidente de segurança, uma anotação de trabalho é exibida indicando que uma pesquisa foi iniciada.

      Registra a anotação de trabalho em que uma pesquisa foi iniciada.

      Se a marcação estiver habilitada, na parte superior do registro de incidente de segurança, o. Pesquisa de e-mail - Iniciada o marcador de segurança é exibido.

      Marcador de segurança iniciada pela pesquisa de e-mail realçado.

      Depois que a pesquisa for concluída com sucesso, se as notificações por e-mail estiverem habilitadas, um e-mail será enviado para o endereço de e-mail do indivíduo que iniciou a pesquisa.

      Neste exemplo, o usuário com a função sn_si.analista, Analista de Segurança , enviou esta pesquisa. A imagem a seguir mostra que esta notificação foi enviada para uma conta em Microsoft Exchange Online. No entanto, essas notificações podem ser enviadas para um serviço de e-mail diferente, conforme necessário.

      Esta notificação permite exibir todos os resultados correspondentes que exigem acompanhamento e exclusão. O exemplo a seguir mostra que há um e-mail que corresponde aos critérios de pesquisa. Um link do resultado da pesquisa de e-mail para o registro do resultado da pesquisa de e-mail em seu Now Platforma instância também é fornecida. Se você quiser exibir o registro de pesquisa, clique neste link.

      Notificação por e-mail para pesquisa de e-mail enviada pelo analista de segurança.
    15. Neste e-mail, para exibir os resultados da pesquisa, clique em Resultado da pesquisa de e-mail link.
      O registro do resultado da pesquisa de e-mail é exibido. Neste registro, você pode verificar e revisar os dados a seguir.
      • Em Dados brutos campo, a contagem de e-mails referente ao número de e-mails que corresponderam aos critérios de pesquisa "count":1 e os endereços de caixa de correio onde os e-mails foram encontrados são exibidos [" JuanCustomer@nowsecopslab.onmicrosoft.com"] .
      • Na coluna Destinatários, o destinatário é ( JuanCustomer@nowsecopslab.onmicrosoft.com ).
      • Em Remetente , a origem do e-mail é exibida.
      • Em Data de recebimento do e-mail a data e hora em que o e-mail foi recebido são exibidas para ajudar você a rastrear cronogramas da campanha de phishing.
      • Em Status de leitura do e-mail , o e-mail neste exemplo não foi lido ( falso ). Se um e-mail tiver sido lido, verdadeiro é exibido.
      • Em Foi excluído , o e-mail neste exemplo não foi excluído. Se um e-mail tiver sido excluído, verdadeiro é exibido.
      Campo de dados brutos
    16. Como alternativa, para exibir os resultados da pesquisa do incidente de segurança, siga estas etapas.
      1. Navegar até Incidente de segurança > Incidentes e abra o incidente de segurança com o qual você está trabalhando.
        Na parte superior do registro, quando a pesquisa é concluída com sucesso, o. Pesquisa de e-mail - Concluída o marcador de segurança substitui o. Pesquisa de e-mail - Iniciada marcador de segurança.
        Marcador de segurança de Pesquisa de e-mail concluída realçado.

        As anotações de trabalho são exibidas informando que a pesquisa foi concluída com sucesso e que um e-mail correspondente foi encontrado.

        E-mails correspondentes em log de anotações de trabalho foram encontrados.
      2. Role até a parte inferior do registro de incidente de segurança e clique na lista relacionada Pesquisa de e-mail.

        Se a lista relacionada Pesquisa de e-mail não for exibida, clique em Mostrar todas as listas relacionadas link relacionado para exibir esta lista relacionada.

        Pesquisa de e-mail relacionada no registro de incidente de segurança.
      3. Com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique no nome da sua pesquisa.
        Coluna de pesquisa de e-mail com o nome da pesquisa realçado.
      4. No registro de Pesquisa de e-mail, clique na lista relacionada Resultados da pesquisa de e-mail.
      5. Na coluna Data da pesquisa, clique na data da pesquisa para exibir os dados.
        O registro do resultado da pesquisa de e-mail é exibido.
        O registro do resultado da pesquisa de e-mail é exibido.
      Depois que uma pesquisa de e-mail for concluída com sucesso, avalie os resultados. Se você determinar que os e-mails exigem correção, agora você está pronto para excluir e-mails ou solicitar aprovação de exclusão.