이메일 검색 기준을 정의하고 서비스에서 검색을 요청합니다.Microsoft Exchange Online

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기10분

    • sn_si.analyst 역할을 가진 사용자는 검색 기준을 정의하고 보안 인시던트 기록의 인시던트 상세 정보를 기반으로 이메일 검색 요청을 제출합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 절차의 그림은 시스템 설정에서 선택한 탭 양식 과 함께 표시됩니다. 탭 양식 선택 및 선택 취소에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트의 양식 레이아웃 구성에서 탭 양식 표시 섹션을 참조하십시오.

    필요한 역할: sn_si.analyst

    이 태스크 정보

    검색 쿼리와 일치하는 개별 메시지의 상태와 검색 결과는 보안 인시던트 기록에 보고됩니다. 이메일 알림을 사용하는 경우 이메일 메시지에서 검색 결과를 볼 수 있습니다.

    검색 기준에는 메시지 보낸 사람 주소, 받는 사람 주소 또는 제목 이름이 포함될 수 있습니다. 메시지 제목, 보낸 사람 및 받는 사람 검색 매개 변수의 다음 조합은 단일 피싱 캠페인의 일부일 수 있는 피싱 관련 전자 메일 메시지를 찾는 데 자주 사용됩니다.
    • 피싱 계정에서 보낸 모든 원본 이메일 찾기: 보낸 사람으로 검색합니다.
    • 단일 피싱 캠페인에 대한 모든 원본 이메일 찾기: 제목 및 보낸 사람으로 검색합니다.
    • 단일 피싱 캠페인에 대해 수신된 모든 이메일 찾기(원본 및 전달됨, 모든 발신자): 제목으로 검색합니다.
    • 단일 사용자의 단일 피싱 이메일에 대해 전달된 모든 이메일 찾기: 수신자 + 제목으로 검색합니다.
    • 단일 사용자에게 전송된 모든 피싱 관련 이메일 찾기: 발신자 + 수신자로 검색합니다.
    주:
    검색은 초기 설정 중에 더 짧은 검색 창을 구성하지 않은 한 지난 30일 이내에 주고받은 이메일에 대해 수행됩니다. 이메일을 삭제하려면 이메일 검색이 성공해야 합니다.

    다음 예제에서는 보안 인시던트에서 검색을 시작하는 방법을 보여 줍니다 Now Platform . 보안 인시던트는 조직의 서버에서 의심되는 피싱 공격 Microsoft Exchange Online 의 원본 이메일을 기반으로 생성됩니다. 이 예에서 검색 기준은 보낸 사람(보낸 사람)과 제목입니다. 여기서 보낸 사람은 phisher@cbazyx.com 이고 제목계정에 로그인입니다.

    입력한 검색 기준과 일치하는 키워드가 포함된 텍스트 문자열을 찾으면 제목에 대한 검색 결과가 반환됩니다. 이 예에서 제목은 log in to your account입니다. AND 연산자를 사용하여 보낸 사람 및 제목 검색 조건을 구분하여 지정된 검색 조건을 포함하는 모든 이메일 메시지에 대한 결과를 반환합니다. 다음 단계에서는 특정 피싱 계정에서 보낸 제목 텍스트가 포함된 이메일만 찾는 검색을 설정하는 방법을 설명합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시 을 클릭하고 작업 중인 보안 인시던트를 찾습니다.
    2. 또는 다음 단계에 따라 피싱 이벤트에 의해 생성된 보안 인시던트만 표시되도록 필터를 설정하고 실행합니다.
      1. 다음으로 이동 보안 인시던트 > 모든 인시던트 표시 을 클릭하여 보안 인시던트 목록을 엽니다.
      2. 표시된 목록의 왼쪽 위 모서리에서 필터 아이콘을 클릭합니다.
        필터링.
      3. 표시되는 필드에서 간단한 설명 > 포함 선택 목록에서 사용자가 보고한 피싱 을 입력하고 실행을 클릭합니다.

        피싱 관련 보안 인시던트가 표시됩니다.

        보안 인시던트 목록의 간단한 설명 열이 강조 표시되어 있습니다.
      4. 간단한 설명 열의 텍스트를 사용하면 작업 중인 보안 인시던트를 찾는 데 도움이 됩니다.
      5. 번호 열에서 보안 인시던트를 클릭하여 기록을 엽니다.
    3. 보안 인시던트 기록 하단으로 스크롤하여 이메일 검색 관련 목록을 클릭합니다.

      이메일 검색 관련 목록이 표시되지 않으면 모든 관련 목록 표시 관련 링크를 클릭하여 이 관련 목록을 표시합니다.

      보안 인시던트 기록의 이메일 검색 관련 목록이 강조 표시됩니다.
    4. 이메일 검색 관련 목록에서 새로 만들기 를 클릭하여 새 이메일 검색 기록을 만듭니다.
      이메일 검색 양식이 표시됩니다. 약간의 수정을 거쳐 동일한 피싱 관련 인시던트에 대해 이 검색 쿼리를 다시 실행하기로 결정한 경우 이 검색 쿼리 기록을 다시 사용할 수 있습니다. 그러나 피싱 캠페인은 동적이고 보낸 사람 및 메시지 필드가 자주 변경되기 때문에 다른 피싱 관련 인시던트에 이 검색을 사용할 가능성은 거의 없습니다.
    5. 옵션: 기존 검색 쿼리 기록을 편집하려면 Edit(편집)를 클릭합니다.
    6. 이메일 검색 양식의 필드에 내용을 입력합니다.
      필드 설명
      이름 검색 유형을 설명하는 정보입니다. 이 예제에서 From + Subject 검색의 이름은 Phish "계정에 로그인"입니다.
      설명 이메일 서버의 검색에 대한 정보입니다. 이 검색의 예는 From=phisher@cbazyx.com + Subject=로그인입니다.
      완성된 양식입니다.
    7. 제출을 클릭합니다.
      보안 인시던트가 표시되고 이메일 검색 관련 목록의 이메일 검색 열에 이메일 검색 이름이 표시됩니다. 이 새 검색 쿼리를 사용하려면 검색 기준이 검색 기록에 대해 정의되어 있어야 합니다.
    8. 검색 조건을 정의하려면 이메일 검색 관련 목록을 선택한 상태에서 이메일 검색 열에서 피싱 "계정에 로그인"을 클릭합니다.
      보안 인시던트에서 이메일 검색 열이 강조 표시된 이메일 검색 탭.
    9. 표시되는 이메일 검색 기록에서 이메일 검색 기준 관련 목록을 클릭하고 새로 만들기를 클릭합니다.
      새로 만들기 버튼이 강조 표시되어 있습니다.
    10. 이메일 검색 기준 양식의 필드에 내용을 입력합니다.

      다음 표 아래에 작성된 양식의 예가 나와 있습니다.

      필드 설명
      이메일 검색 필드는 이메일 검색 기록에 대해 입력한 이름으로 자동으로 채워집니다.
      검색 아이콘 목록을 사용하여 조회합니다.

      저장된 검색 목록입니다. 아이콘을 클릭하여 저장된 이메일 검색 목록을 엽니다. 이 목록의 항목을 클릭하여 현재 검색을 제거하고 이전에 저장한 이메일 검색을 선택합니다.
      정보 아이콘 이메일 검색 기록을 보는 데 사용되는 아이콘입니다. 아이콘을 클릭하여 이메일 검색 기록을 봅니다.
      검색 필드 검색 기준(제목, 보낸 사람 또는 수신자). 선택 목록에서 검색 기준을 선택하고 텍스트 필드에서 검색할 값을 정의합니다. 이 예에서는 보낸 사람 phisher@cbazyx.com (피싱 이메일 보낸 사람의 이메일 주소)로 시작합니다.
      활성 검색을 활성화하는 옵션입니다.

      검색은 기본적으로 활성화됩니다.

      이 옵션의 선택을 취소하면 이 기록은 검색에 포함되지 않습니다.
      운영자 연산자(AND, OR)를 사용하여 검색을 추가로 정의할 수 있습니다.

      AND: 시스템은 AND 로 구분된 조건을 검색하고 모든 조건이 충족되는 경우에만 결과를 반환합니다. 발신자 더하기 제목 검색의 경우 이메일 검색 중에 두 검색 조건이 모두 충족되도록 AND 연산자를 사용합니다.

      이 예제에서는 쿼리가 From (Sender) = phisher@cbazyx.com AND Subject = log in to your account가 되도록 AND 연산자를 사용합니다.

      OR:시스템은 OR 로 구분된 조건 중 하나라도 충족되면 결과를 검색하고 반환합니다.

      예를 들어 From (Sender) = phisher@cbazyx.com OR From (Sender) = phisher-2@cbazyx.com 입니다.
      순서 검색 조건을 세 개 이상 입력하는 경우 순서를 사용하여 조건의 우선순위를 지정합니다. 기본값은 100입니다. 각 조건에 대해 1에서 100 사이의 값(예: 100, 95, 90, 80)을 입력합니다. 가장 낮은 숫자가 할당된 조건은 조건 그룹 내에서 검색 우선순위가 가장 높습니다.
      검색 텍스트 검색에 사용할 텍스트 값(키워드)(이메일 주소 또는 제목 줄)입니다.

      검색 필드에는 검색에 사용되는 텍스트(예: phisher@cbazyx.com)가 포함됩니다.

      검색에서 보낸 사람(보낸 사람) 및 받는 사람 검색에 대한 결과를 정확하게 반환하려면 검색 문자열이 정확히 일치해야 합니다. 주제 검색의 경우 검색 문자열에 더 큰 문자열의 일부인 키워드가 포함될 수 있습니다. 예를 들어, 제목에는 전달된 메시지 또는 응답 메시지 헤더( 예: FW: sign in to your account and change your password immediately)에서 일치하는 정확한 검색 문자열이 포함될 수 있습니다.

      예를 들어, Log in to your account 는 문자열 log in to your account and change your password immediately의 정확한 키워드입니다.

      포함 검색 유형을 지원하기 위해 와일드카드(*) 지정이 필요하지 않습니다. 현재 더 큰 텍스트 문자열의 일부가 아닌 정확한 검색 문자열을 일치시키기 위한 필터링 방법은 없습니다.
      이메일 검색 기준 양식
    11. 제출을 클릭합니다.
      이메일 검색 기록이 표시됩니다. 조건의 쿼리 필드에 보낸 사람(보낸 사람)에 대해 추가한 검색 기준이 표시됩니다.
      이메일 검색 기록
    12. 쿼리에 원하는 제목과 보낸 사람 조건이 포함되도록 이 이메일 검색 기준을 더 많은 정보로 업데이트하려면 단계에 따라 다른 검색 조건을 추가합니다.
      1. 이메일 검색 기준 관련 목록에서 새로 만들기를 클릭합니다.
        이메일 검색 기준 관련 목록
      2. 표시되는 이메일 검색 기준 기록의 검색 필드목록에서 제목을 선택합니다.
      3. 연산자 목록에서AND 또는 OR를 선택합니다.
        OR을 선택하면 제목 줄 텍스트 문자열의 키워드가 일치하거나 이메일 주소 조건이 일치하는 경우 검색 결과가 반환됩니다. 이 예에서는 제목 텍스트 문자열의 키워드를 포함하고 보낸 사람의 전자 메일 주소와 일치하는 전자 메일에 대해서만 검색 결과를 반환하도록 AND를 선택합니다.
      4. Search text(검색 텍스트) 필드에 제목 줄 텍스트의 값을 입력하고 계정에 로그인합니다.
        텍스트 문자열이 있는 검색 텍스트 필드.
      5. 제출을 클릭합니다.
        새 조건이 이메일 검색 기준 관련 목록에 표시되고, 두 조건 모두 AND 연산자로 구분된 기준 필드에서 쿼리에 표시됩니다.
        이메일 검색 기준 관련 목록에 새 조건이 표시됩니다.
      6. 옵션: 검색 조건이 세 개 이상이고 AND 를 선택하여 각 조건을 구분하는 경우 순서 값을 설정하여 우선 순위를 지정합니다.
      7. 계속해서 원하는 대로 검색 기준을 추가, 수정 또는 제거하고 업데이트를 클릭하여 기록의 변경 내용을 저장합니다.
    13. 계속하려면 하나의 옵션을 선택합니다.
      옵션설명
      업데이트 기록에 대한 변경 내용을 업데이트하고 저장합니다.
      이메일 서버에서 검색 이메일 검색 기준 기록에 저장한 기준을 사용하여 서버에서 검색을 시작합니다.
      삭제 인스턴스에서 Now Platform 이 이메일 검색 기록을 삭제합니다. 이 작업은 실제 이메일 메시지를 삭제하지 않습니다. 메시지를 찾는 데 사용되는 검색 기록만 삭제합니다.

      대화 상자가 표시됩니다. 삭제를 클릭하면 이 검색 기록에 대한 이메일 검색 결과와 이메일 검색 기준이 삭제됩니다.

      이메일 검색 기록을 삭제하는 확인 대화 상자입니다.

      기록에 검색 결과가 있으면 다음 경고가 표시됩니다.

      검색 결과 기록에 대한 확인 대화 상자입니다.
    14. 이메일 검색을 시작하려면 이메일 검색 기록에서 이메일 서버에서 검색을 클릭합니다.
      검색 요청이 제출되었음을 나타내는 메시지가 표시됩니다.

      보안 인시던트 기록에는 검색이 시작되었음을 나타내는 작업 메모가 표시됩니다.

      작업 메모는 검색이 시작되었음을 로그합니다.

      태그 지정이 활성화된 경우 보안 인시던트 기록 상단에 이메일 검색 - 시작된 보안 태그가 표시됩니다.

      이메일 검색 시작 보안 태그가 강조 표시되어 있습니다.

      검색이 성공적으로 완료된 후 이메일 알림이 활성화되면 검색을 시작한 개인의 이메일 주소로 이메일이 전송됩니다.

      이 예에서는 sn_si.analyst 역할을 가진 사용자인 Hans SecAnalyst가 이 검색을 제출했습니다. 다음 이미지는 이 알림이 의 Microsoft Exchange Online계정으로 전송되는 것을 보여줍니다. 그러나 이러한 알림은 필요에 따라 다른 이메일 서비스로 보낼 수 있습니다.

      이 알림을 통해 후속 조치 및 삭제가 필요한 일치하는 결과를 볼 수 있습니다. 다음 예에서는 검색 조건과 일치하는 이메일이 하나 있음을 보여줍니다. 인스턴스의 이메일 검색 결과 기록에 Now Platform 대한 이메일 검색 결과 링크도 제공됩니다. 검색 기록을 보려면 이 링크를 클릭합니다.

      보안 분석가가 제출한 이메일 검색에 대한 이메일 알림입니다.
    15. 이 이메일에서 검색 결과를 보려면 이메일 검색 결과 링크를 클릭합니다.
      이메일 검색 결과 기록이 표시됩니다. 이 기록에서 다음 데이터를 확인하고 검토할 수 있습니다.
      • 원시 데이터 필드에는 검색 조건 {"count":1}과 일치하는 이메일 수에 대한 이메일 개수와 이메일이 발견된 사서함 주소가 ["JuanCustomer@nowsecopslab.onmicrosoft.com"]로 표시됩니다.
      • 수신자 열에서 수신자는 (JuanCustomer@nowsecopslab.onmicrosoft.com)입니다.
      • 보낸 사람 열에 이메일의 소스가 표시됩니다.
      • 이메일 수신 날짜 열에는 피싱 캠페인 타임라인을 추적하는 데 도움이 되도록 이메일을 받은 날짜와 시간이 표시됩니다.
      • Email read status(이메일 읽기 상태) 열에서 이 예제의 이메일을 읽지 않았습니다(false). 이메일을 읽은 경우 true 가 표시됩니다.
      • 삭제됨 열에서 이 예제의 이메일은 삭제되지 않았습니다. 이메일이 삭제된 경우 true 가 표시됩니다.
      원시 데이터 필드
    16. 또는 보안 인시던트의 검색 결과를 보려면 다음 단계를 수행합니다.
      1. 다음으로 이동 보안 인시던트 > 인시던트 을 클릭하고 작업 중인 보안 인시던트를 엽니다.
        기록 상단에서 검색이 성공적으로 완료되면 이메일 검색 - 완료됨 보안 태그가 이메일 검색 - 시작된 보안 태그를 대체합니다.
        이메일 검색 완료된 보안 태그가 강조 표시되어 있습니다.

        검색이 성공적으로 완료되었고 일치하는 이메일이 하나 발견되었다는 작업 메모가 표시됩니다.

        일치하는 이메일을 로깅하는 작업 메모가 발견되었습니다.
      2. 보안 인시던트 기록 하단으로 스크롤하여 이메일 검색 관련 목록을 클릭합니다.

        이메일 검색 관련 목록이 표시되지 않으면모든 관련 목록 표시 관련 링크를 클릭하여 이 관련 목록을 표시합니다.

        보안 인시던트 기록의 이메일 검색 관련 목록입니다.
      3. 이메일 검색 관련 목록을 선택한 상태에서 이메일 검색 열에서 검색 이름을 클릭합니다.
        검색 이름이 강조 표시된 이메일 검색 열.
      4. 이메일 검색 기록에서 이메일 검색 결과 관련 목록을 클릭합니다.
      5. 검색 날짜 열에서 검색 날짜를 클릭하여 데이터를 표시합니다.
        이메일 검색 결과 기록이 표시됩니다.
        이메일 검색 결과 기록이 표시됩니다.
      이메일 검색이 성공적으로 완료되면 결과를 평가합니다. 이메일에 정정이 필요하다고 판단되면 이메일을 삭제하거나 삭제 승인을 요청할 준비가 된 것입니다.