Definieren Sie E-Mail-Suchkriterien, und fordern Sie eine Suche im Service Microsoft Exchange Online an

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 10 Minuten Lesedauer

    • Definieren Sie als Benutzer mit der Rolle sn_si.analyst Suchkriterien, und senden Sie eine E-Mail-Suchanforderung basierend auf Incident-Details in einem Security Incident-Datensatz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Die Zahlen in diesem Verfahren werden mit in den Systemeinstellungen ausgewählten Formularen mit Registerkarten angezeigt. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt mit der Bezeichnung Formulare mit Registerkarten anzeigen in Formularlayout konfigurieren auf der Website der Produktdokumentation von ServiceNow.

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Status einzelner Nachrichten, die der Suchabfrage entsprechen, und die Ergebnisse der Suche werden im Security Incident-Datensatz gemeldet. Wenn E-Mail-Benachrichtigungen aktiviert sind, können Sie die Suchergebnisse aus einer E-Mail-Nachricht anzeigen.

    Suchkriterien können Absenderadressen, Empfängeradressen oder Betreffnamen der Nachricht sein. Die folgenden Kombinationen aus Suchparametern für Nachrichtenbetreff, Absender und Empfänger werden häufig verwendet, um Phishing-bezogene E-Mail-Nachrichten zu finden, die Teil einer einzelnen Phishing-Kampagne sein können:
    • Finden Sie alle ursprünglichen E-Mails, die von einem Phishing-Account gesendet wurden: Suche nach Absender.
    • Alle ursprünglichen E-Mails für eine einzelne Phishing-Kampagne finden: Suchen Sie nach Betreff und Absender.
    • Suchen Sie alle E-Mails, die für eine einzelne Phishing-Kampagne empfangen wurden (ursprüngliche und weitergeleitete E-Mails, beliebiger Absender): Suche nach Betreff.
    • Alle weitergeleiteten E-Mails für eine einzelne Phishing-E-Mail von einem einzelnen Anwender finden: Suche nach Empfänger + Betreff.
    • Finden Sie alle Phishing-bezogenen E-Mails, die an einen einzelnen Anwender gesendet wurden: Suchen Sie nach Absender und Empfänger.
    Hinweis:
    Suchen werden nach E-Mails durchgeführt, die innerhalb der letzten 30 Kalendertage gesendet oder empfangen wurden, es sei denn, während der Ersteinrichtung wurde ein kürzeres Suchfenster konfiguriert. Eine erfolgreiche E-Mail-Suche ist erforderlich, bevor Sie E-Mails löschen können.

    Das folgende Beispiel zeigt, wie Sie eine Suche aus einem Security Incident Now Platform initiieren. Ein Security Incident wird basierend auf der ursprünglichen E-Mail eines mutmaßlichen Phishing-Angriffs auf dem Server Microsoft Exchange Online Ihrer Organisation erstellt. In diesem Beispiel lauten die Suchkriterien Absender (Von) plus Betreff, wobei Vonphisher@cbazyx.comund BetreffAnmelden bei Ihrem Konto lauten.

    Ergebnisse für Suchen nach Themen werden zurückgegeben, wenn die Suche Textzeichenfolgen findet, die Schlüsselwörter enthalten, die den eingegebenen Suchkriterien entsprechen. In diesem Beispiel lautet der Betreff Anmelden bei Ihrem Account. Verwenden Sie den Operator AND, um die Suchbedingungen Von und Betreff zu trennen und Ergebnisse für alle E-Mail-Nachrichten zurückzugeben, die diese angegebenen Suchkriterien enthalten. In den folgenden Schritten wird beschrieben, wie Sie eine Suche einrichten, die nur E-Mails findet, die Betreffzeilentext enthalten, der von einem bestimmten Phishing-Account gesendet wurde.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen und suchen Sie den Security Incident, mit dem Sie arbeiten.
    2. Befolgen Sie alternativ diese Schritte, um einen Filter festzulegen und auszuführen, sodass nur Security Incidents angezeigt werden, die durch Phishing-Ereignisse erstellt wurden.
      1. Navigieren zu Security Incident > Alle Incidents anzeigen um die Liste der Security Incidents zu öffnen.
      2. Klicken Sie in der oberen linken Ecke der angezeigten Liste auf das Filtersymbol.
        Filtern.
      3. Wählen Sie in den angezeigten Feldern aus Kurzbeschreibung > enthält Geben Sie in den Auswahllisten Vom Anwender gemeldetes Phishing ein, und klicken Sie auf Ausführen.

        Die Security Incidents im Zusammenhang mit Phishing werden angezeigt.

        Spalte „Kurzbeschreibung“ in der Liste „Security Incidents“ hervorgehoben.
      4. Verwenden Sie den Text in der Spalte Kurzbeschreibung, um den Security Incident zu finden, mit dem Sie arbeiten.
      5. Klicken Sie in der Spalte Nummer auf einen Security Incident, um einen Datensatz zu öffnen.
    3. Scrollen Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

      Wenn die zugehörige Liste E-Mail-Suche nicht angezeigt wird, klicken Sie auf den zugehörigen Link Alle zugehörigen Listen anzeigen, um diese zugehörige Liste anzuzeigen.

      Hervorgehobene zugehörige Liste „E-Mail-Suche“ in einem Security Incident-Datensatz.
    4. Klicken Sie in der zugehörigen Liste „E-Mail-Suche“ auf Neu, um einen neuen E-Mail-Suchdatensatz zu erstellen.
      Das Formular „E-Mail-Suche“ wird angezeigt. Wenn Sie diese Suchabfrage für denselben Phishing-bezogenen Incident mit geringfügigen Änderungen erneut ausführen möchten, können Sie diesen Suchabfrage-Datensatz erneut verwenden. Es ist jedoch unwahrscheinlich, dass Sie diese Suche für einen anderen Incident im Zusammenhang mit Phishing verwenden, da Phishing-Kampagnen dynamisch sind und sich die Felder „Absender“ und „Nachricht“ häufig ändern.
    5. Wahlweise: Um einen vorhandenen Suchabfrage-Datensatz zu bearbeiten, klicken Sie auf Bearbeiten.
    6. Füllen Sie die Felder im Formular „E-Mail-Suche“ aus.
      Tabelle : 1.
      Feld Beschreibung
      Name Informationen zur Beschreibung des Suchtyps. In diesem Beispiel lautet ein Name für eine Suche unter „Von + Betreff “ Phishing "log in to your account".
      Beschreibung Informationen zur Suche im E-Mail-Server. Ein Beispiel für diese Suche ist Von=phisher@cbazyx.com + Betreff=an Ihrem Account anmelden.
      Ein ausgefülltes Formular
    7. Klicken Sie auf Absenden.
      Der Security Incident wird angezeigt, und der Name der E-Mail-Suche wird in der Spalte E-Mail-Suche in der zugehörigen Liste „E-Mail-Suche“ angezeigt. Bevor Sie diese neue Suchabfrage verwenden können, müssen Suchkriterien für den Suchdatensatz definiert werden.
    8. Um Suchkriterien zu definieren, klicken Sie bei ausgewählter zugehöriger Liste E-Mail-Suche in der Spalte E-Mail-Suche auf Phishing "log in to your account" (Bei Ihrem Account anmelden) auf Phishing.
      Registerkarte „E-Mail-Suche“ mit Spalte „E-Mail-Suche“, die für einen Security Incident hervorgehoben ist.
    9. Klicken Sie im angezeigten E-Mail-Suchdatensatz auf die zugehörige Liste E-Mail-Suchkriterien, und klicken Sie dann auf Neu.
      Schaltfläche „Neu“ hervorgehoben.
    10. Füllen Sie die Felder im Formular „E-Mail-Suchkriterien“ aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Tabelle : 2.
      Feld Beschreibung
      E-Mail-Suche Das Feld wird automatisch mit dem Namen ausgefüllt, den Sie für den E-Mail-Suchdatensatz eingegeben haben.
      Suchsymbol Suche mithilfe von Liste.

      Eine Liste der gespeicherten Suchen. Klicken Sie auf das Symbol, um eine Liste der gespeicherten E-Mail-Suchen zu öffnen. Klicken Sie auf ein Element in dieser Liste, um die aktuelle Suche zu entfernen und eine zuvor gespeicherte E-Mail-Suche auszuwählen.
      Informationssymbol Symbol zum Anzeigen des Datensatzes „E-Mail-Suche“. Klicken Sie auf das Symbol, um den E-Mail-Suchdatensatz anzuzeigen.
      Suchfeld Suchkriterium (Betreff, Vonoder Empfänger). Wählen Sie das Suchkriterium aus der Auswahlliste aus, und definieren Sie im Textfeld einen Wert, nach dem Sie suchen möchten. Beginnen Sie in diesem Beispiel mit Von phisher@cbazyx.com (der E-Mail-Adresse des Absenders der Phishing-E-Mail).
      Aktiv Option zum Aktivieren der Suche.

      Die Suche ist standardmäßig aktiviert.

      Wenn Sie diese Option deaktivieren, wird dieser Datensatz nicht in eine Suche einbezogen.
      Betreiber Operatoren (AND, OR) zur weiteren Definition Ihrer Suche.

      AND: Das System sucht nach den durch AND getrennten Bedingungen und gibt nur dann Ergebnisse zurück, wenn alle Bedingungen erfüllt sind. Verwenden Sie für die Suche nach Absender und Betreff den AND- Operator, damit beide Suchbedingungen während der E-Mail-Suche erfüllt werden.

      Verwenden Sie in diesem Beispiel den AND- Operator, sodass die Abfrage „Von (Absender) = phisher@cbazyx.com UND Betreff = bei Ihrem Account anmelden“lautet.

      ODER: Das System sucht und gibt Ergebnisse zurück, wenn eine der durch ODER getrennten Bedingungen erfüllt ist.

      Ein Beispiel ist Von (Absender) = phisher@cbazyx.com ODER Von (Absender) = phisher-2@cbazyx.com.
      Bestellung Wenn Sie mehr als zwei Suchbedingungen eingeben, verwenden Sie die Reihenfolge, um die Bedingungen zu priorisieren. 100 ist der Standardwert. Geben Sie für jede Bedingung einen Wert zwischen 1 und 100 ein, z. B. 100, 95, 90, 80. Die Bedingung mit der niedrigsten zugewiesenen Nummer hat die höchste Suchpriorität innerhalb einer Gruppe von Bedingungen.
      Suchtext Die Textwerte (Stichwörter) für die Suche (E-Mail-Adressen oder Betreffzeilen).

      Das Suchfeld enthält den bei der Suche verwendeten Text, z. B. phisher@cbazyx.com.

      Damit die Suche für die Suche nach Absender (Von) und Empfänger genaue Ergebnisse liefert, müssen die Suchzeichenfolgen genau übereinstimmen. Bei Betreffsuchen kann die Suchzeichenfolge Schlüsselwörter enthalten, die Teil einer größeren Zeichenfolge sind. Beispielsweise kann ein Betreff die genaue Suchzeichenfolge enthalten, die in einem weitergeleiteten oder einem Antwortnachrichtenheader wie FW abgeglichen wird: Melden Sie sich bei Ihrem -Konto an, und ändern Sie sofort Ihr Passwort.

      Beispiel: Melden Sie sich bei Ihrem Account an sind genaue Schlüsselwörter in der Zeichenfolge Melden Sie sich bei Ihrem Account an und ändern Sie sofort Ihr Passwort.

      Es ist keine Platzhalterbezeichnung (*) erforderlich, um den Suchtyp „ enthält“ zu unterstützen. Derzeit ist keine Filtermethode zum Abgleichen einer exakten Suchzeichenfolge vorhanden, die nicht Teil einer größeren Textzeichenfolge ist.
      Formular „E-Mail-Suchkriterien“.
    11. Klicken Sie auf Absenden.
      Der Datensatz „E-Mail-Suche“ wird angezeigt. Im Feld Abfragekriterien werden die Suchkriterien angezeigt, die Sie für Absender (Von) hinzugefügt haben.
      E-Mail-Suchdatensatz
    12. Um diese E-Mail-Suchkriterien mit weiteren Informationen zu aktualisieren, damit die Abfrage die gewünschte Bedingung für Betreff und Absender enthält, führen Sie die Schritte zum Hinzufügen einer weiteren Suchbedingung aus.
      1. Klicken Sie in der zugehörigen Liste E-Mail-Suchkriterien auf Neu.
        Zugehörige Liste „E-Mail-Suchkriterien“.
      2. Wählen Sie in der Liste Suchfeldim angezeigten Datensatz „E-Mail-Suchkriterien“ die Option Betreffaus.
      3. Wählen Sie in der Liste OperatorenAND oder ORaus.
        Wenn Sie ODERauswählen, gibt die Suche Ergebnisse zurück, wenn entweder Schlüsselwörter in der Textzeichenfolge in der Betreffzeile übereinstimmen oder die E-Mail-Adressbedingung erfüllt ist. UND ist für dieses Beispiel ausgewählt, damit die Suche Ergebnisse nur für E-Mails zurückgibt, die die Stichwörter der Betreffzeichenfolge enthalten und mit der E-Mail-Adresse des Absenders übereinstimmen.
      4. Geben Sie im Feld Suchtext den Wert für den Betreffzeilentext ein, und melden Sie sich bei Ihrem Account an.
        Suchtextfeld mit Textzeichenfolge.
      5. Klicken Sie auf Absenden.
        Die neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt, und beide Bedingungen werden im Feld Abfragekriterien durch den UND- Operator getrennt.
        Neue Bedingung wird in der zugehörigen Liste „E-Mail-Suchkriterien“ angezeigt
      6. Wahlweise: Wenn Sie mehr als zwei Suchbedingungen haben und UND auswählen, um jede Bedingung zu trennen, legen Sie den Reihenfolgewert fest, um sie zu priorisieren.
      7. Fügen Sie nach Bedarf Suchkriterien hinzu, ändern oder entfernen Sie sie, und klicken Sie auf Aktualisieren, um Ihre Änderungen im Datensatz zu speichern.
    13. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Aktualisieren Aktualisieren und speichern Sie Ihre Änderungen am Datensatz.
      Auf E-Mail-Server(n) suchen Starten Sie eine Suche auf den Servern mit den Kriterien, die Sie im E-Mail-Suchkriterien-Datensatz gespeichert haben.
      Löschen Löschen Sie diesen E-Mail-Suchdatensatz aus Ihrer Instanz Now Platform. Mit dieser Aktion werden die tatsächlichen E-Mail-Nachrichten nicht gelöscht. Es löscht nur den Suchdatensatz, der zum Suchen von Nachrichten verwendet wird.

      Ein Dialogfeld wird angezeigt. Wenn Sie auf „Löschen“klicken, werden die E-Mail-Suchergebnisse und E-Mail-Suchkriterien für diesen Suchdatensatz gelöscht.

      Bestätigungsdialogfeld zum Löschen eines E-Mail-Suchdatensatzes.

      Wenn ein Datensatz Suchergebnisse enthält, wird die folgende Warnung angezeigt.

      Bestätigungsdialogfeld für Suchergebnisdatensatz.
    14. Um eine E-Mail-Suche zu starten, klicken Sie im E-Mail-Suchdatensatz auf Auf E-Mail-Servern suchen.
      Es wird eine Meldung angezeigt, dass die Suchanforderung gesendet wurde.

      Im Security Incident-Datensatz wird eine Arbeitsnotiz angezeigt, die angibt, dass eine Suche initiiert wurde.

      Arbeitsnotiz protokolliert, dass eine Suche initiiert wird.

      Wenn Tagging aktiviert ist, wird oben im Security Incident-Datensatz das Sicherheits-Tag E-Mail-Suche – Initiiert angezeigt.

      Hervorgehobenes Sicherheits-Tag, das durch E-Mail-Suche initiiert wurde.

      Nachdem die Suche erfolgreich abgeschlossen wurde und E-Mail-Benachrichtigungen aktiviert sind, wird eine E-Mail an die E-Mail-Adresse der Person gesendet, die die Suche initiiert hat.

      In diesem Beispiel hat der Benutzer mit der Rolle sn_si.analyst, Häns SecAnalyst, diese Suche übermittelt. Die folgende Abbildung zeigt, dass diese Benachrichtigung an einen Account in Microsoft Exchange Onlinegesendet wird. Diese Benachrichtigungen können jedoch bei Bedarf an einen anderen E-Mail-Service gesendet werden.

      Mit dieser Benachrichtigung können Sie alle übereinstimmenden Ergebnisse anzeigen, die nachverfolgt und gelöscht werden müssen. Das folgende Beispiel zeigt, dass eine E-Mail den Suchkriterien entspricht. Ein E-Mail-Suchergebnis-Link zum E-Mail-Suchergebnis-Datensatz in Ihrer Instanz Now Platform wird ebenfalls bereitgestellt. Wenn Sie den Suchdatensatz anzeigen möchten, klicken Sie auf diesen Link.

      E-Mail-Benachrichtigung für E-Mail-Suche, übermittelt durch Sicherheitsanalysten.
    15. Um die Suchergebnisse anzuzeigen, klicken Sie in dieser E-Mail auf den Link Suchergebnis senden.
      Der Datensatz für das E-Mail-Suchergebnis wird angezeigt. In diesem Datensatz können Sie die folgenden Daten überprüfen.
      • Im Feld Rohdaten werden die E-Mail-Anzahl für die Anzahl der E-Mails, die den Suchkriterien {"count":1}entsprechen, und die Postfachadressen, unter denen die E-Mails gefunden wurden, angezeigt ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • In der Spalte Empfänger ist der Empfänger der (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • In der Spalte Absender wird die Quelle der E-Mail angezeigt.
      • In der Spalte Empfangsdatum der E-Mail werden das Datum und die Uhrzeit des Empfangs der E-Mail angezeigt, damit Sie die Zeitleisten für Phishing-Kampagnen nachverfolgen können.
      • In der Spalte Lesestatus der E-Mail wird angegeben, dass die E-Mail in diesem Beispiel nicht gelesen wurde (false). Wenn eine E-Mail gelesen wurde, wird true angezeigt.
      • In der Spalte Was gelöscht wurde die E-Mail in diesem Beispiel nicht gelöscht. Wenn eine E-Mail gelöscht wurde, wird „wahr“ angezeigt.
      Rohdatenfeld
    16. Alternativ können Sie die Suchergebnisse aus dem Security Incident anzeigen, indem Sie die folgenden Schritte ausführen.
      1. Navigieren zu Security Incident > Incidents und öffnen Sie den Security Incident, mit dem Sie arbeiten.
        Wenn die Suche erfolgreich abgeschlossen wird, ersetzt oben im Datensatz das Sicherheits-Tag E-Mail-Suche – Abgeschlossen das Sicherheits-Tag E-Mail-Suche – Initiiert.
        Das Sicherheits-Tag „E-Mail-Suche abgeschlossen“ ist hervorgehoben.

        Es werden Arbeitsnotizen angezeigt, dass die Suche erfolgreich abgeschlossen wurde und dass eine übereinstimmende E-Mail-Adresse gefunden wurde.

        Es wurden Arbeitsnotizen gefunden, in denen übereinstimmende E-Mails protokolliert werden.
      2. Scrollen Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

        Wenn die zugehörige Liste E-Mail-Suche nicht angezeigt wird, klicken Sie auf den zugehörigen LinkAlle zugehörigen Listen anzeigen, um diese zugehörige Liste anzuzeigen.

        Zugehörige Liste „E-Mail-Suche“ im Datensatz „Security Incident“.
      3. Wählen Sie die zugehörige Liste „E-Mail-Suche“ aus, und klicken Sie in der Spalte „E-Mail-Suche“ auf den Namen Ihrer Suche.
        E-Mail-Suchspalte mit hervorgehobenem Namen der Suche.
      4. Klicken Sie im Datensatz „E-Mail-Suche“ auf die zugehörige Liste „E-Mail-Suchergebnisse“.
      5. Klicken Sie in der Spalte Suchdatum auf das Datum Ihrer Suche, um die Daten anzuzeigen.
        Der Datensatz für das E-Mail-Suchergebnis wird angezeigt.
        Der Datensatz für das E-Mail-Suchergebnis wird angezeigt.
      Nachdem eine E-Mail-Suche erfolgreich abgeschlossen wurde, werten Sie die Ergebnisse aus. Wenn Sie feststellen, dass E-Mails korrigiert werden müssen, können Sie jetzt E-Mails löschen oder die Löschgenehmigung anfordern.