Detecta pesquisas sobre ataques de phishing e malware relatados pelo usuário

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 11 min. de leitura
  • Execute pesquisas de vistas em e-mails ou observáveis para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada um avistamento. As pesquisas de vistas de observáveis devem ser configuradas para seus armazenamentos de log ou gestão de eventos e informações de segurança (SIEM).

    Assista a este vídeo de três minutos para saber como usar o recurso de pesquisa de avistamentos para localizar usuários com phishing e rastrear observáveis de phishing e malware no armazenamento de logs em sua rede.

    Os seguintes termos são usados para descrever ataques de phishing relatados pelo usuário:
    • Usuário com phishing: Um usuário que recebeu um e-mail de phishing.
    • Usuário vítima: Um usuário que interagiu com o URL de phishing, normalmente clicando em um link no e-mail de phishing. Potencialmente, esta ação expõe credenciais ao invasor.
    Ao começar a analisar um incidente de phishing, você pode Execute uma pesquisa de vistas de e-mail ou Execute uma pesquisa de vistas observáveis identificar outros usuários em sua organização que são afetados pelo mesmo ataque de phishing. PESQUISE seus armazenamentos de logs para identificar usuários vítimas e com phishing. Depois de identificar a lista de usuários afetados, crie incidentes de segurança secundários para executar procedimentos abrangentes de resposta a incidentes usando as ferramentas disponíveis em Resposta a incidentes de segurança.
    Nota:
    Você também pode usar a seguinte abordagem para executar uma pesquisa de vistas:
    • Navegar até Incidentes de segurança > Mostrar todos os incidentes e clique em um incidente de segurança.
    • Clique em Mostrar IOC Em Links relacionados. Uma lista de observáveis é exibida.
    • Selecione um observável na lista e no Ações , selecione uma das seguintes opções:
      • Executar pesquisa de detecções de tráfego na web
      • Executar pesquisa de detecções de tráfego de e-mails
    • Especifique o intervalo de tempo e clique em Pesquisa para executar uma pesquisa de vistas.

    Configurações de pesquisa de vistas salvas

    Configure pesquisas de vistas e crie configurações salvas para SIEMs ou outros armazenamentos de log para instâncias de observáveis para determinar a presença de observáveis mal-intencionados em seu ambiente.
    Nota:
    Pesquisas salvas e consultas no local são compatíveis somente com a Integração Splunk.

    Execute uma pesquisa de vistas de e-mail para ataques de phishing relatados pelo usuário

    PESQUISE usuários que receberam e-mails de phishing com base em observáveis, como assunto do e-mail, nome do remetente ou ID da mensagem. Você pode conter e erradicar esses e-mails de phishing da sua organização.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    PESQUISE os logs de tráfego de e-mail do Splunk para coletar a lista de destinatários de um e-mail suspeito. A pesquisa pode ser realizada usando o remetente do e-mail, o ID da mensagem de e-mail ou o assunto do e-mail associado a um incidente de segurança como critérios.
    Nota:
    • Esta implementação da pesquisa de vistas para observáveis baseados em e-mail foi testada somente com o armazenamento de logs do Splunk Enterprise.
    • Os eventos de log do Splunk devem ser compatíveis com CIM (Common Information Model, Modelo de informações comuns) para que a consulta de pesquisa de vistas retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (Nova IU).
    2. Em Incidentes de segurança , selecione um dos filtros, como todos incidentes em aberto , todos os incidentes atribuídos a você ou todos os incidentes .

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos .

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      A guia Visão geral fornece uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia "Visão geral"
    4. Clique em Explorar guia.
    5. Em Dados do incidente , navegue até Investigação > Pesquisar e-mail e observáveis.
      Pesquisa de e-mail
    6. Expanda a seção Critérios de pesquisa.
    7. Selecione Pesquisa de e-mail como o tipo de pesquisa que você deseja executar e especifique o restante dos critérios de pesquisa.
      Tabela 1. Formulário Critérios de pesquisa
      Campo Descrição
      Integrações Tipo de integrações. Selecione Armazenamento de logs da lista.
      Nota:
      Este recurso é compatível somente com o armazenamento de logs do Splunk.
      De Endereço de e-mail completo do remetente (por exemplo, jane.doe@example.com).
      ID da Mensagem ID da mensagem de e-mail do armazenamento de logs.
      Assunto Assunto do e-mail de phishing.
      Janela de pesquisa Janela de tempo para a pesquisa (por exemplo, as últimas 24 horas).
    8. Em Selecione Ação , selecione Pesquisa e clique em Executar .

      O armazenamento de logs do Splunk é pesquisado usando os critérios inseridos, e os usuários visados pelo ataque de phishing são mostrados no Resultados da pesquisa de e-mail guia. O número total de e-mails de phishing e os detalhes de cada e-mail, incluindo a data de recebimento do e-mail, o destinatário e o ID da mensagem, são exibidos.

    9. Para exibir a lista de usuários que receberam o e-mail de phishing, clique em > Símbolo na coluna Data de pesquisa.
      Resultados da pesquisa por e-mail
    10. Para exibir uma lista de usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário com phishing identifica os destinatários do e-mail.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    11. Para investigar melhor os usuários que são alvos do ataque de phishing, siga estas etapas:
      1. Marque as caixas de seleção ao lado dos nomes de usuário.
      2. Na lista, selecione Criar incidente de segurança secundário e clique em Executar .
      Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique em Explorar e navegue até incidentes > Incidentes de segurança secundários.

    Resultado

    A lista de usuários com phishing é exibida.

    Execute uma pesquisa de avistamentos observáveis para ataques de phishing e malware relatados pelo usuário

    Execute pesquisas de vistas em observáveis para descobrir quantos usuários visitaram um site malicioso ou suspeito em um período específico.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode executar uma pesquisa de tráfego de rede em observáveis, como o URL, o host de destino ou o endereço IP de destino associado a um incidente de segurança.
    Nota:
    • Esta implementação da pesquisa de vistas para observáveis foi testada somente com o armazenamento de logs do Splunk Enterprise.
    • Os eventos de log do Splunk devem ser compatíveis com CIM (Common Information Model, Modelo de informações comuns) para que a consulta de pesquisa de vistas retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (Nova IU).
    2. Em Incidentes de segurança , selecione um filtro diferente, como todos Incidentes atribuídos a mim , Todos os incidentes em aberto ou Todos os incidentes .

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos .

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      Você pode ver uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia "Visão geral"

      Na seção Observáveis, observe que a coluna Observável mostra o endereço de e-mail, o assunto e o URL. Observe também que a coluna Descoberta mostra que o URL foi verificado automaticamente quando o e-mail de phishing foi enviado e determinado como um URL mal-intencionado conhecido. A coluna Contagem de incidentes mostra os outros incidentes que compartilham o mesmo observável. Esses artefatos indicam que você provavelmente está pronto para prosseguir para os procedimentos de contenção desse ataque de phishing, incluindo a determinação de quantos usuários na organização foram afetados.

      Observáveis

    4. Navegar até Explorar > Investigação > Pesquisar e-mail e observáveis.
    5. Expanda a seção Critérios de pesquisa e clique em Pesquisa de observável .
      Pesquisa observável
    6. Insira o observável que você está procurando e uma janela de tempo para a pesquisa (por exemplo, últimas 24 horas).
    7. Em Selecione Ação , selecione Pesquisa .
      O armazenamento de logs do Splunk é pesquisado usando os critérios inseridos e os principais usuários visados pelo ataque mal-intencionado são mostrados no Resultados da Pesquisa observável guia.Resultados da pesquisa observável
    8. Para exibir os usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário com phishing identifica os destinatários do e-mail de phishing e a coluna Interação do usuário identifica os usuários que clicaram em um URL de phishing ou interagiram com um endereço de e-mail suspeito. A coluna Interação do usuário é definida como verdadeira ou falsa, dependendo se o usuário clicou no link mal-intencionado ou no IP.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    9. Para investigar melhor os usuários que clicaram no e-mail de phishing e potencialmente comprometer suas credenciais:
      1. Nas colunas Usuário com phishing e Interação do usuário, marque as caixas de seleção ao lado dos nomes de usuário exibidos verdadeiro .
      2. Clique em Criar incidente de segurança secundário e clique em Executar .
        Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique em Explorar e navegue até incidentes > Incidentes de segurança secundários.

    Resultado

    A lista de usuários com phishing é exibida.

    Criar registros de configuração de pesquisa de vistas

    Crie vários registros de configuração de pesquisa de vistas e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • Pesquisas salvas e consultas no local são compatíveis somente com a Integração Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de vistas para invocar pesquisas salvas No armazenamento de logs do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com CIM (Common Information Model, Modelo de informações comuns) do Splunk.
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinam vários registros de evento.
    • Pesquisas eficientes e eficazes.
    • Use entradas com parâmetros na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de amostra mostradas nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração no local são consultas de exemplo e podem ser substituídas por parâmetros apropriados para seu ambiente. Crie configurações de pesquisa salvas adicionais conforme necessário. Quando você define uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida em sua instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de vistas.
    Nota:
    Em sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique em Permissões Link para navegar até a página Permissões. Selecione Todos os aplicativos botão de opção e habilite Permissão de leitura opção para Todos . Isso mudará o valor da coluna Compartilhamento de Privado para App para sua consulta de pesquisa salva. Se isso não estiver definido, a consulta de pesquisa salva poderá não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida em sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, Relatórios e Alertas.
    2. Mudança Contexto da aplicação . Todos .

      Uma lista de relatórios de pesquisa é exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de vistas contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário Configuração de pesquisa de vistas
    Configuração salva

    Em sua instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - E-mails e os mesmos parâmetros de pesquisa para o endereço de e-mail e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem os mesmos, a pesquisa de vistas não gerará um resultado preciso.

    Procedimento

    1. Navegar até Operações de segurança > Integrações > Configuração da Pesquisa de detecções e criar um novo registro (consulte a tabela para obter descrições dos campos).
      Tabela 2. Formulário Configuração de pesquisa de vistas
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de vistas. Selecione o armazenamento de logs do Splunk como a origem.
      Ativo Opção para o status da pesquisa salva. Somente configurações de pesquisa ativas podem ser usadas para executar uma pesquisa de vistas.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é (observável) , Mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com o armazenamento de logs do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de vistas.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de vistas e especificam uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.