이메일 검색 기준 정의 및 서비스 검색 Microsoft Exchange Online 요청

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기10분

    • sn_si.analyst 역할을 가진 사용자는 검색 기준을 정의하고 보안 인시던트 기록의 인시던트 상세 정보를 기반으로 이메일 검색 요청을 제출합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 절차의 그림은 시스템 설정에서 선택한 탭 양식 과 함께 표시됩니다. 탭 폼을 선택하고 지우는 방법에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트에서 폼 레이아웃 구성의 탭 폼 표시 섹션을 참조하십시오.

    필요한 역할: sn_si.analyst

    이 태스크 정보

    검색 쿼리 및 검색 결과와 일치하는 개별 메시지의 상태는 보안 인시던트 기록에 보고됩니다. 이메일 알림을 사용하는 경우 이메일 메시지에서 검색 결과를 볼 수 있습니다.

    검색 기준에는 메시지 보낸 사람 주소, 받는 사람 주소 또는 제목 이름이 포함될 수 있습니다. 다음과 같은 메시지 제목, 보낸 사람 및 받는 사람 검색 매개 변수 조합은 단일 피싱 캠페인의 일부일 수 있는 피싱 관련 전자 메일 메시지를 찾는 데 자주 사용됩니다.
    • 피싱 계정에서 보낸 모든 원본 이메일 찾기: 보낸 사람으로 검색합니다.
    • 단일 피싱 캠페인에 대한 모든 원본 이메일 찾기: 제목 및 보낸 사람으로 검색합니다.
    • 단일 피싱 캠페인에 대해 수신된 모든 이메일 찾기(원본 및 전달된 모든 발신자): 제목으로 검색합니다.
    • 단일 사용자의 단일 피싱 이메일에 대해 전달된 모든 이메일 찾기: 수신자 + 제목으로 검색.
    • 단일 사용자에게 전송된 모든 피싱 관련 이메일 찾기: 보낸 사람 + 받는 사람으로 검색합니다.
    주:
    검색은 초기 설정 중에 더 짧은 검색 기간을 구성하지 않은 한, 지난 30일 이내에 주고받은 이메일에 대해 수행됩니다. 이메일을 삭제하려면 먼저 이메일 검색이 성공해야 합니다.

    다음 예는 보안 인시던트에서 Now Platform 검색을 시작하는 방법을 보여줍니다. 조직의 서버에서 피싱 공격으로 의심되는 이메일의 원본 이메일을 기반으로 보안 인시던트가 Microsoft Exchange Online 생성됩니다. 이 예에서 검색 기준은 보낸 사람(보낸 사람)과 제목이며, 여기서 보낸 사람은 phisher@cbazyx.com 이고 제목계정에 로그인입니다.

    검색에서 입력한 검색 조건과 일치하는 키워드가 포함된 텍스트 문자열을 찾으면 주제에 대한 검색 결과가 반환됩니다. 이 예에서 제목은 계정에 로그인입니다. AND 연산자를 사용하여 보낸 사람 및 제목 검색 조건을 구분하여 지정된 검색 기준을 포함하는 모든 전자 메일 메시지에 대한 결과를 반환합니다. 다음 단계에서는 특정 피싱 계정에서 보낸 제목 줄 텍스트가 포함된 이메일만 찾는 검색을 설정하는 방법을 설명합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시 을 클릭하고 작업 중인 보안 인시던트를 찾습니다.
    2. 또는 피싱 이벤트에 의해 생성된 보안 인시던트만 표시되도록 다음 단계에 따라 필터를 설정하고 실행합니다.
      1. 다음으로 이동 보안 인시던트 > 모든 인시던트 표시 을 클릭하여 보안 인시던트 목록을 엽니다.
      2. 표시되는 목록의 왼쪽 위 모서리에서 필터 아이콘을 클릭합니다.
        필터링.
      3. 표시되는 필드에서 간단한 설명 > 포함 선택 목록에서 User reported phishing(사용자 보고 피싱 )을 입력하고 Run(실행)을 클릭합니다.

        피싱 관련 보안 인시던트가 표시됩니다.

        보안 인시던트 목록의 짧은 설명 열이 강조 표시되어 있습니다.
      4. 짧은 설명 열의 텍스트를 사용하면 작업 중인 보안 인시던트를 찾는 데 도움이 됩니다.
      5. 번호 열에서 보안 인시던트를 클릭하여 기록을 엽니다.
    3. 보안 인시던트 기록의 아래쪽으로 스크롤한 다음 이메일 검색 관련 목록을 클릭합니다.

      이메일 검색 관련 목록이 표시되어 있지 않으면 모든 관련 목록 표시 관련 링크를 클릭하여 이 관련 목록을 표시합니다.

      보안 인시던트 기록의 이메일 검색 관련 목록이 강조 표시되어 있습니다.
    4. 이메일 검색 관련 목록에서 새로 만들기를 클릭하여 새 이메일 검색 기록을 만듭니다.
      이메일 검색 양식이 표시됩니다. 약간의 수정을 통해 동일한 피싱 관련 인시던트에 대해 이 검색 쿼리를 다시 실행하기로 결정한 경우 이 검색 쿼리 기록을 다시 사용할 수 있습니다. 그러나 피싱 캠페인은 동적이고 보낸 사람 및 메시지 필드가 자주 변경되기 때문에 다른 피싱 관련 인시던트에 대해 이 검색을 사용할 가능성은 거의 없습니다.
    5. 옵션: 기존 검색 쿼리 기록을 편집하려면 편집을 클릭합니다.
    6. 이메일 검색 양식의 필드에 내용을 입력합니다.
      표 1.
      필드 설명
      이름 검색 유형을 설명하는 정보입니다. 이 예제에서 보낸 사람 + 제목 검색의 이름은 피싱 "계정에 로그인"입니다.
      설명 이메일 서버의 검색에 대한 정보입니다. 이 검색의 예는 From=phisher@cbazyx.com + Subject=계정에 로그인입니다.
      작성된 양식입니다.
    7. 제출을 클릭합니다.
      보안 인시던트가 표시되며, 이메일 검색 관련 목록의 이메일 검색 열에 이메일 검색 이름이 표시됩니다. 이 새 검색 쿼리를 사용하려면 먼저 검색 기록에 대해 검색 기준을 정의해야 합니다.
    8. 검색 조건을 정의하려면 전자 메일 검색 관련 목록을 선택한 상태에서 전자 메일 검색 열에서 피시 "계정에 로그인"을 클릭합니다.
      보안 인시던트에서 강조 표시된 이메일 검색 열이 있는 이메일 검색 탭입니다.
    9. 표시되는 이메일 검색 기록에서 이메일 검색 기준 관련 목록을 클릭하고 신규를 클릭합니다.
      새 버튼이 강조 표시되었습니다.
    10. 이메일 검색 기준 양식의 필드에 내용을 입력합니다.

      완료된 양식의 예가 테이블 다음에 나옵니다.

      표 2.
      필드 설명
      이메일 검색 이메일 검색 기록에 입력한 이름으로 필드가 자동으로 채워집니다.
      검색 아이콘 목록을 사용하여 조회합니다.

      저장된 검색 목록입니다. 아이콘을 클릭하여 저장된 이메일 검색 목록을 엽니다. 이 목록에서 항목을 클릭하여 현재 검색을 제거하고 이전에 저장한 이메일 검색을 선택합니다.
      정보 아이콘 이메일 검색 기록을 보는 데 사용되는 아이콘입니다. 아이콘을 클릭하여 이메일 검색 기록을 봅니다.
      검색 필드 검색 기준(제목, 보낸 사람 또는 수신자) 선택 목록에서 검색 기준을 선택하고 텍스트 필드에서 검색할 값을 정의합니다. 이 예에서는 보낸 사람 phisher@cbazyx.com (피싱 전자 메일 보낸 사람의 전자 메일 주소)로 시작합니다.
      활성 검색을 활성화하기 위한 옵션입니다.

      검색은 기본적으로 활성화됩니다.

      이 옵션의 선택을 취소하면 이 기록은 검색에 포함되지 않습니다.
      운영자 연산자(AND, OR)를 사용하여 검색을 추가로 정의합니다.

      AND: 시스템은 AND 로 구분된 조건을 검색하고 모든 조건이 충족되는 경우에만 결과를 반환합니다. 보낸 사람 플러스 제목 검색의 경우 전자 메일 검색 중에 두 검색 조건이 모두 충족되도록 AND 연산자를 사용합니다.

      이 예제에서는 쿼리가 From (Sender) = phisher@cbazyx.com AND Subject = 계정에 로그인되도록 AND 연산자를 사용합니다.

      OR: OR로 구분된 조건이 충족되면 시스템에서 결과를 검색하여 반환합니다.

      예를 들어 보낸 사람(보낸 사람) = phisher@cbazyx.com 또는 보낸 사람(보낸 사람) = phisher-2@cbazyx.com 입니다.
      순서 검색 조건을 세 개 이상 입력하는 경우 순서를 사용하여 조건의 우선순위를 지정합니다. 기본값은 100입니다. 각 조건에 대해 1에서 100 사이의 값을 입력합니다(예: 100, 95, 90, 80). 가장 낮은 번호가 할당된 조건은 조건 그룹 내에서 검색 우선순위가 가장 높습니다.
      검색 텍스트 검색할 텍스트 값(키워드)(이메일 주소 또는 제목 라인)입니다.

      검색 필드에는 검색에 사용되는 텍스트(예: phisher@cbazyx.com)가 포함되어 있습니다.

      검색에서 보낸 사람(보낸 사람) 및 받는 사람 검색에 대한 결과를 정확하게 반환하려면 검색 문자열이 정확히 일치해야 합니다. 주제 검색의 경우 검색 문자열에 더 큰 문자열의 일부인 키워드가 포함될 수 있습니다. 예를 들어, 제목에는 FW: 계정에 로그인하고 즉시 암호를 변경하십시오.

      예를 들어, Log in to your accountlog in to your account and change your password immediately 문자열의 정확한 키워드입니다.

      포함 유형의 검색을 지원하는 데 와일드카드(*) 지정이 필요하지 않습니다. 현재 더 큰 텍스트 문자열에 속하지 않는 정확한 검색 문자열을 일치시키기 위한 필터링 방법이 없습니다.
      이메일 검색 기준 양식
    11. 제출을 클릭합니다.
      이메일 검색 기록이 표시됩니다. 쿼리 원본 기준 필드에 보낸 사람(보낸 사람)에 대해 추가한 검색 기준이 표시됩니다.
      이메일 검색 기록
    12. 쿼리에 원하는 제목과 보낸 사람 조건이 포함되도록 이 이메일 검색 기준을 추가 정보로 업데이트하려면 다른 검색 조건을 추가하는 단계를 수행합니다.
      1. 이메일 검색 기준 관련 목록에서 새로 만들기를 클릭합니다.
        이메일 검색 기준 관련 목록
      2. 표시되는 이메일 검색 기준 기록의 검색 필드목록에서 제목을 선택합니다.
      3. 연산자 목록에서AND 또는 OR을 선택합니다.
        OR를 선택하면 제목 줄 텍스트 문자열의 키워드가 일치하거나 이메일 주소 조건이 일치하면 검색 결과가 반환됩니다. 이 예에서는 AND가 선택되어 있으므로 검색에서 제목 텍스트 문자열의 키워드를 포함하고 보낸 사람의 이메일 주소와 일치하는 이메일에 대해서만 결과를 반환합니다.
      4. 검색 텍스트 필드에 제목 라인 텍스트에 대한 값을 입력하고 계정에 로그인합니다.
        텍스트 문자열이 있는 검색 텍스트 필드입니다.
      5. 제출을 클릭합니다.
        새 조건이 이메일 검색 기준 관련 목록에 표시되며, 두 조건 모두 쿼리 원본 기준 필드에 AND 연산자로 구분되어 표시됩니다.
        이메일 검색 기준 관련 목록에 새 조건이 표시됩니다.
      6. 옵션: 검색 조건이 두 개 이상이고 AND 를 선택하여 각 조건을 구분하는 경우 순서 값을 설정하여 우선 순위를 지정합니다.
      7. 원하는 경우 검색 기준을 추가, 수정 또는 제거하고 업데이트를 클릭하여 기록에 대한 변경 내용을 저장합니다.
    13. 계속하려면 하나의 옵션을 선택하십시오.
      옵션설명
      업데이트 변경 내용을 업데이트하고 기록에 저장합니다.
      이메일 서버에서 검색 이메일 검색 기준 기록에 저장한 기준으로 서버에서 검색을 시작합니다.
      삭제 인스턴스에서 이 이메일 검색 기록을 Now Platform 삭제합니다. 이 작업은 실제 이메일 메시지를 삭제하지 않습니다. 메시지를 찾는 데 사용되는 검색 기록만 삭제합니다.

      대화 상자가 표시됩니다. 삭제를 클릭하면 이 검색 기록에 대한 이메일 검색 결과와 이메일 검색 기준이 삭제됩니다.

      이메일 검색 기록을 삭제하기 위한 확인 대화 상자입니다.

      기록에 검색 결과가 있으면 다음 경고가 표시됩니다.

      검색 결과 기록에 대한 확인 대화 상자입니다.
    14. 이메일 검색을 시작하려면 이메일 검색 기록에서 이메일 서버에서 검색을 클릭합니다.
      검색 요청이 제출되었음을 나타내는 메시지가 표시됩니다.

      보안 인시던트 기록에 검색이 시작되었음을 나타내는 작업 메모가 표시됩니다.

      검색이 시작되었음을 알리는 작업 메모 로그입니다.

      태그 지정을 사용하는 경우 보안 인시던트 기록 상단에 이메일 검색 - 시작된 보안 태그가 표시됩니다.

      이메일 검색 시작 보안 태그가 강조 표시되었습니다.

      검색이 성공적으로 완료된 후 이메일 알림을 사용하는 경우 검색을 시작한 개인의 이메일 주소로 이메일이 전송됩니다.

      이 예에서는 sn_si.analyst 역할을 가진 사용자인 Hans SecAnalyst가 이 검색을 제출했습니다. 다음 이미지는 이 알림이 의 계정으로 Microsoft Exchange Online전송되는 것을 보여줍니다. 그러나 이러한 알림은 필요에 따라 다른 이메일 서비스로 전송될 수 있습니다.

      이 알림을 사용하면 후속 조치 및 삭제가 필요한 일치하는 결과를 볼 수 있습니다. 다음 예에서는 검색 기준과 일치하는 이메일이 하나 있음을 보여줍니다. 인스턴스의 이메일 검색 결과 기록 Now Platform 에 대한 이메일 검색 결과 링크도 제공됩니다. 검색 기록을 보려면 이 링크를 클릭합니다.

      보안 분석가가 제출한 이메일 검색에 대한 이메일 알림입니다.
    15. 이 이메일에서 검색 결과를 보려면 이메일 검색 결과 링크를 클릭합니다.
      이메일 검색 결과 기록이 표시됩니다. 이 기록에서 다음 데이터를 검증하고 검토할 수 있습니다.
      • 원시 데이터 필드에는 검색 기준 {"count":1}과 일치하는 이메일 수에 대한 이메일 개수와 이메일이 발견된 사서함 주소가 표시됩니다["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • 수신자 열에서 수신자는 (JuanCustomer@nowsecopslab.onmicrosoft.com)입니다.
      • 보낸 사람 열에 이메일 원본이 표시됩니다.
      • 이메일 수신 날짜 열에는 피싱 캠페인 타임라인을 추적하는 데 도움이 되도록 이메일을 받은 날짜 및 시간이 표시됩니다.
      • 이메일 읽음 상태 열에서 이 예의 이메일은 읽히지 않았습니다(false). 이메일을 읽은 경우 true 가 표시됩니다.
      • 삭제 열에서 이 예제의 이메일은 삭제되지 않았습니다. 이메일이 삭제된 경우 true 가 표시됩니다.
      원시 데이터 필드
    16. 또는 보안 인시던트의 검색 결과를 보려면 다음 단계를 수행합니다.
      1. 다음으로 이동 보안 인시던트 > 인시던트 을 클릭하고 작업 중인 보안 인시던트를 엽니다.
        기록 상단에서 검색이 성공적으로 완료되면 이메일 검색 - 완료됨 보안 태그가 이메일 검색 - 시작된 보안 태그를 대체합니다.
        이메일 검색 완료됨 보안 태그가 강조 표시되었습니다.

        검색이 성공적으로 완료되었고 일치하는 이메일이 하나 발견되었다는 작업 메모가 표시됩니다.

        작업 메모 로깅과 일치하는 이메일을 찾았습니다.
      2. 보안 인시던트 기록의 아래쪽으로 스크롤한 다음 이메일 검색 관련 목록을 클릭합니다.

        이메일 검색 관련 목록이 표시되어 있지 않으면모든 관련 목록 표시 관련 링크를 클릭하여 이 관련 목록을 표시합니다.

        보안 인시던트 기록의 이메일 검색 관련 목록
      3. 이메일 검색 관련 목록을 선택한 상태에서 이메일 검색 열에서 검색 이름을 클릭합니다.
        검색 이름이 강조 표시된 이메일 검색 열입니다.
      4. 이메일 검색 기록에서 이메일 검색 결과 관련 목록을 클릭합니다.
      5. 검색 날짜 열에서 검색 날짜를 클릭하여 데이터를 표시합니다.
        이메일 검색 결과 기록이 표시됩니다.
        이메일 검색 결과 기록이 표시됩니다.
      이메일 검색이 성공적으로 완료되면 결과를 평가합니다. 이메일에 정정이 필요하다고 판단되면 이제 이메일을 삭제하거나 삭제 승인을 요청할 수 있습니다.