Definieren Sie E-Mail-Suchkriterien, und fordern Sie eine Suche im Service Microsoft Exchange Online an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 10 Minuten Lesedauer

    • Definieren Sie als Benutzer mit der Rolle sn_si.analyst Suchkriterien und senden Sie eine E-Mail-Suchanforderung basierend auf Incident-Details in einem Security Incident-Datensatz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Die Abbildungen in diesem Verfahren werden mit Formularen mit Registerkarten angezeigt, die in den Systemeinstellungen ausgewählt sind. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt „Formulare mit Registerkarten anzeigen“ in Formularlayout konfigurieren auf der ServiceNow-Website mit Produktdokumentation.

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Status einzelner Nachrichten, die der Suchabfrage entsprechen, und die Ergebnisse der Suche werden im Security Incident-Datensatz gemeldet. Wenn E-Mail-Benachrichtigungen aktiviert sind, können Sie die Suchergebnisse aus einer E-Mail-Nachricht anzeigen.

    Suchkriterien können Absenderadressen, Empfängeradressen oder Betreffnamen von Nachrichten sein. Die folgenden Kombinationen der Suchparameter Betreff, Absender und Empfänger werden häufig verwendet, um Phishing-bezogene E-Mail-Nachrichten zu finden, die Teil einer einzelnen Phishing-Kampagne sein können:
    • Suchen Sie alle ursprünglichen E-Mails, die von einem Phishing-Account gesendet wurden: Suchen Sie nach Absender.
    • Alle ursprünglichen E-Mails für eine einzelne Phishing-Kampagne suchen: Suchen Sie nach Betreff und Absender.
    • Suchen Sie alle E-Mails, die für eine einzelne Phishing-Kampagne empfangen wurden (ursprünglich und weitergeleitet, beliebiger Absender): Suchen Sie nach Betreff.
    • Suchen Sie alle weitergeleiteten E-Mails für eine einzelne Phishing-E-Mail von einem einzelnen Benutzer: Suche nach Empfänger + Betreff.
    • Suchen Sie alle Phishing-bezogenen E-Mails, die an einen einzelnen Benutzer gesendet wurden: Suchen Sie nach Absender und Empfänger.
    Hinweis:
    Suchvorgänge werden für E-Mails durchgeführt, die innerhalb der letzten 30 Kalendertage gesendet oder empfangen wurden, es sei denn, während der Ersteinrichtung wird ein kürzeres Suchfenster konfiguriert. Eine erfolgreiche E-Mail-Suche ist erforderlich, bevor Sie E-Mails löschen können.

    Das folgende Beispiel zeigt, wie Sie eine Suche aus einem Now Platform Security Incident initiieren. Ein Security Incident wird basierend auf der ursprünglichen E-Mail eines mutmaßlichen Phishing-Angriffs auf dem Microsoft Exchange Online -Server Ihrer Organisation erstellt. In diesem Beispiel lautet das Suchkriterium Absender (Von) plus Betreff, wobei „ Von“ phisher@cbazyx.comund der Betrefflog in to your account(Anmeldedaten) ist.

    Ergebnisse für Suchvorgänge nach Themen werden zurückgegeben, wenn die Suche Textzeichenfolgen findet, die Schlüsselwörter enthalten, die den eingegebenen Suchkriterien entsprechen. In diesem Beispiel lautet der Betreff log in to your account(Beim Konto anmelden). Verwenden Sie den AND- Operator, um die Suchbedingungen „Von“ und „Betreff“ zu trennen und Ergebnisse für alle E-Mail-Nachrichten zurückzugeben, die diese Suchkriterien enthalten. Die folgenden Schritte beschreiben, wie Sie eine Suche einrichten, die nur E-Mails findet, die Betreffzeilentext enthalten, der von einem bestimmten Phishing-Account gesendet wurde.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen und suchen Sie den Security Incident, an dem Sie arbeiten.
    2. Führen Sie alternativ die folgenden Schritte aus, um einen Filter so festzulegen und auszuführen, dass nur Security Incidents angezeigt werden, die durch Phishing-Ereignisse erstellt wurden.
      1. Navigieren zu Security Incident > Alle Incidents anzeigen , um die Liste der Security Incidents zu öffnen.
      2. Klicken Sie in der oberen linken Ecke der angezeigten Liste auf das Filtersymbol.
        Filterung.
      3. Wählen Sie in den angezeigten Feldern aus Kurzbeschreibung > enthält Geben Sie in den Auswahllisten Benutzer gemeldetes Phishing ein, und klicken Sie auf Ausführen.

        Die Phishing-bezogenen Security Incidents werden angezeigt.

        Hervorgehobene Spalte „Kurzbeschreibung“ in der Liste „Security Incidents“.
      4. Verwenden Sie den Text in der Spalte Kurzbeschreibung, um den Security Incident zu finden, an dem Sie arbeiten.
      5. Klicken Sie in der Spalte Nummer auf einen Security Incident, um einen Datensatz zu öffnen.
    3. Scrollen Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

      Wenn die zugehörige Liste E-Mail-Suche nicht angezeigt wird, klicken Sie auf den zugehörigen Link Alle zugehörigen Listen anzeigen, um diese zugehörige Liste anzuzeigen.

      Hervorgehobene zugehörige Liste „E-Mail-Suche“ in einem Security Incident-Datensatz.
    4. Klicken Sie in der zugehörigen Liste E-Mail-Suche auf Neu, um einen neuen E-Mail-Suchdatensatz zu erstellen.
      Das Formular „E-Mail-Suche“ wird angezeigt. Wenn Sie der Meinung sind, dass Sie diese Suchabfrage für denselben Phishing-bezogenen Incident mit geringfügigen Änderungen erneut ausführen möchten, können Sie diesen Suchabfragedatensatz erneut verwenden. Es ist jedoch unwahrscheinlich, dass Sie diese Suche nach einem anderen Phishing-bezogenen Incident verwenden, da Phishing-Kampagnen dynamisch sind und sich die Absender- und Nachrichtenfelder häufig ändern.
    5. Wahlweise: Um einen vorhandenen Suchabfragedatensatz zu bearbeiten, klicken Sie auf Bearbeiten.
    6. Füllen Sie die Felder im Formular „E-Mail-Suche“ aus.
      Feld Beschreibung
      Name Informationen zur Beschreibung des Suchtyps. In diesem Beispiel lautet der Name für die Suche „Von + Betreff “ Phish „log in to your account“(Phish „melden Sie sich bei Ihrem Konto an“).
      Beschreibung Informationen zur Suche auf dem E-Mail-Server. Ein Beispiel für diese Suche ist From=phisher@cbazyx.com + Subject=log in to your account.
      Ein ausgefülltes Formular.
    7. Klicken Sie auf Absenden.
      Der Security Incident wird angezeigt, und der Name der E-Mail-Suche wird in der Spalte E-Mail-Suche in der zugehörigen Liste „E-Mail-Suche“ angezeigt. Bevor Sie diese neue Suchabfrage verwenden können, müssen Suchkriterien für den Suchdatensatz definiert werden.
    8. Um Suchkriterien zu definieren, klicken Sie bei ausgewählter zugehöriger Liste „E-Mail-Suche“ in der Spalte „E-Mail-Suche“ auf Phishing „melden Sie sich bei Ihrem Konto an“.
      Registerkarte „E-Mail-Suche“ mit hervorgehobener Spalte „E-Mail-Suche“ für einen Security Incident
    9. Klicken Sie im angezeigten E-Mail-Suchdatensatz auf die zugehörige Liste E-Mail-Suchkriterien und dann auf Neu.
      Hervorgehobene Schaltfläche „Neu“.
    10. Füllen Sie die Felder im Formular „E-Mail-Suchkriterien“ aus.

      Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.

      Feld Beschreibung
      E-Mail-Suche Das Feld wird automatisch mit dem Namen ausgefüllt, den Sie für den E-Mail-Suchdatensatz eingegeben haben.
      Suchsymbol Nachschlagen mit Liste.

      Eine Liste der gespeicherten Suchen. Klicken Sie auf das Symbol, um eine Liste der gespeicherten E-Mail-Suchen zu öffnen. Klicken Sie auf ein Element in dieser Liste, um die aktuelle Suche zu entfernen und eine zuvor gespeicherte E-Mail-Suche auszuwählen.
      Informationssymbol Symbol zum Anzeigen des E-Mail-Suchdatensatzes. Klicken Sie auf das Symbol, um den E-Mail-Suchdatensatz anzuzeigen.
      Suchfeld Suchkriterium (Subject, Fromoder Recipient). Wählen Sie das Suchkriterium aus der Auswahlliste aus, und definieren Sie einen Wert, nach dem Sie im Textfeld suchen möchten. Beginnen Sie für dieses Beispiel mit From phisher@cbazyx.com (die E-Mail-Adresse des Absenders der Phishing-E-Mail).
      Aktiv Option zum Aktivieren der Suche.

      Die Suche ist standardmäßig aktiviert.

      Wenn Sie diese Option deaktivieren, wird dieser Datensatz nicht in eine Suche einbezogen.
      Operator Operatoren (AND, OR), um Ihre Suche weiter zu definieren.

      UND: Das System sucht nach den durch UND getrennten Bedingungen und gibt nur dann Ergebnisse zurück, wenn alle Bedingungen erfüllt sind. Verwenden Sie für die Suche nach Absender und Betreff den UND -Operator, damit beide Suchbedingungen während der E-Mail-Suche erfüllt sind.

      Verwenden Sie für dieses Beispiel den AND- Operator, sodass die Abfrage „Von (Absender) = phisher@cbazyx.com UND Betreff = bei Ihrem Konto anmelden“ lautet.

      ODER: Das System sucht und gibt Ergebnisse zurück, wenn eine der durch ODER getrennten Bedingungen erfüllt ist.

      Ein Beispiel ist Von (Absender) = phisher@cbazyx.com ODER Von (Absender) = phisher-2@cbazyx.com.
      Reihenfolge Wenn Sie mehr als zwei Suchbedingungen eingeben, verwenden Sie Reihenfolge, um die Bedingungen zu priorisieren. 100 ist der Standardwert. Geben Sie für jede Bedingung einen Wert zwischen 1 und 100 ein, z. B. 100, 95, 90, 80. Die Bedingung mit der niedrigsten zugewiesenen Nummer hat die höchste Suchpriorität innerhalb einer Gruppe von Bedingungen.
      Suchtext Die Textwerte (Schlüsselwörter) für die Suche (E-Mail-Adressen oder Betreffzeilen).

      Das Suchfeld enthält den in der Suche verwendeten Text, z. B. phisher@cbazyx.com.

      Damit die Suche genaue Ergebnisse für die Suche nach Absender (Von) und Empfänger zurückgibt, müssen die Suchzeichenfolgen genau übereinstimmen. Bei Betreffsuchen kann die Suchzeichenfolge Schlüsselwörter enthalten, die Teil einer größeren Zeichenfolge sind. Beispielsweise kann ein Betreff genau die Suchzeichenfolge enthalten, die in einer weitergeleiteten oder einer Antwortnachrichtenkopfzeile abgeglichen wird, z. B. FW: Melden Sie sich bei Ihrem Konto an, und ändern Sie sofort Ihr Passwort.

      Zum Beispiel sind Bei Ihrem Konto anmelden exakte Schlüsselwörter in der Zeichenfolge bei Ihrem Konto anmelden und sofort Ihr Passwort ändern.

      Zur Unterstützung des Suchtyps „ Enthält “ ist kein Platzhalter (*) erforderlich. Derzeit gibt es keine Filtermethode für den Abgleich einer exakten Suchzeichenfolge, die nicht Teil einer größeren Textzeichenfolge ist.
      Formular E-Mail-Suchkriterien
    11. Klicken Sie auf Absenden.
      Der E-Mail-Suchdatensatz wird angezeigt. Im Feld Abfrage anhand von Kriterien werden die Suchkriterien angezeigt, die Sie für den Absender (Von) hinzugefügt haben.
      E-Mail-Suchdatensatz
    12. Um diese E-Mail-Suchkriterien mit weiteren Informationen zu aktualisieren, sodass die Abfrage die gewünschte Bedingung für Betreff und Absender enthält, führen Sie die Schritte zum Hinzufügen einer weiteren Suchbedingung aus.
      1. Klicken Sie in der zugehörigen Liste E-Mail-Suchkriterien auf Neu.
        Zugehörige Liste „E-Mail-Suchkriterien“.
      2. Wählen Sie in der Liste Suchfeld im Datensatz „E-Mail- Suchkriterien“, der angezeigt wird, Betreffaus.
      3. Wählen Sie in der Liste Operator die OptionUND oder ODERaus.
        Wenn Sie ORauswählen, gibt die Suche Ergebnisse zurück, wenn entweder Schlüsselwörter in der Betreffzeilen-Textzeichenfolge übereinstimmen oder die E-Mail-Adressbedingung erfüllt ist. UND ist für dieses Beispiel ausgewählt, damit die Suche nur Ergebnisse für E-Mails zurückgibt, die die Schlüsselwörter der Betreffzeichenfolge enthalten und mit der E-Mail-Adresse des Absenders übereinstimmen.
      4. Geben Sie im Feld Suchtext den Wert für Betreffzeilentext ein, und melden Sie sich bei Ihrem -Konto an.
        Suchtextfeld mit Textzeichenfolge.
      5. Klicken Sie auf Absenden.
        Die neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt, und beide Bedingungen werden im Feld Abfrage aus Kriterien angezeigt, getrennt durch den Operator UND.
        Die neue Bedingung wird in der zugehörigen Liste E-Mail-Suchkriterien angezeigt
      6. Wahlweise: Wenn Sie mehr als zwei Suchbedingungen haben und Sie AND auswählen, um die einzelnen Bedingungen zu trennen, legen Sie den Wert für die Reihenfolge fest, um sie zu priorisieren.
      7. Fügen Sie nach Bedarf Suchkriterien hinzu, ändern oder entfernen Sie sie, und klicken Sie auf Aktualisieren, um Ihre Änderungen am Datensatz zu speichern.
    13. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Aktualisieren Aktualisieren und speichern Sie Ihre Änderungen am Datensatz.
      Auf E-Mail-Server(n) suchen Starten Sie eine Suche auf den Servern mit den Kriterien, die Sie im Datensatz „E-Mail-Suchkriterien“ gespeichert haben.
      Löschen Löschen Sie diesen E-Mail-Suchdatensatz aus Ihrer Instanz Now Platform. Mit dieser Aktion werden die tatsächlichen E-Mail-Nachrichten nicht gelöscht. Es löscht nur den Suchdatensatz, der für die Suche nach Nachrichten verwendet wird.

      Ein Dialogfeld wird angezeigt. Wenn Sie auf Löschenklicken, werden die E-Mail-Suchergebnisse und E-Mail-Suchkriterien für diesen Suchdatensatz gelöscht.

      Bestätigungsdialogfeld zum Löschen eines E-Mail-Suchdatensatzes.

      Wenn ein Datensatz Suchergebnisse enthält, wird die folgende Warnung angezeigt.

      Bestätigungsdialogfeld für Suchergebnisdatensatz.
    14. Um eine E-Mail-Suche zu initiieren, klicken Sie im E-Mail- Suchdatensatz auf E-Mail-Serverdurchsuchen.
      Eine Nachricht wird angezeigt, die angibt, dass die Suchanforderung übermittelt wurde.

      Im Security Incident-Datensatz wird eine Arbeitsnotiz angezeigt, die angibt, dass eine Suche initiiert wurde.

      Arbeitsnotiz protokolliert, dass eine Suche initiiert wurde.

      Wenn Tagging aktiviert ist, wird oben im Security Incident-Datensatz das Sicherheits-Tag E- Mail-Suche – Initiiert angezeigt.

      Hervorgehobenes Sicherheits-Tag „E-Mail-Suche initiiert“.

      Wenn die Suche erfolgreich abgeschlossen wurde und E-Mail-Benachrichtigungen aktiviert sind, wird eine E-Mail an die E-Mail-Adresse der Person gesendet, die die Suche initiiert hat.

      In diesem Beispiel hat der Benutzer mit der Rolle „sn_si.analyst“, „Hans SecAnalyst“, diese Suche übermittelt. Die folgende Abbildung zeigt, dass diese Benachrichtigung an ein Konto in Microsoft Exchange Onlinegesendet wird. Diese Benachrichtigungen können jedoch bei Bedarf an einen anderen E-Mail-Service gesendet werden.

      Mit dieser Benachrichtigung können Sie alle übereinstimmenden Ergebnisse anzeigen, die nachverfolgt und gelöscht werden müssen. Das folgende Beispiel zeigt, dass eine E-Mail den Suchkriterien entspricht. Ein E-Mail-Suchergebnis-Link zum E-Mail-Suchergebnisdatensatz in Ihrer Now Platform -Instanz wird ebenfalls bereitgestellt. Wenn Sie den Suchdatensatz anzeigen möchten, klicken Sie auf diesen Link.

      E-Mail-Benachrichtigung für E-Mail-Suche vom Sicherheitsanalysten übermittelt.
    15. Klicken Sie in dieser E-Mail auf den Link E-Mail-Suchergebnis, um die Suchergebnisse anzuzeigen.
      Der E-Mail-Suchergebnisdatensatz wird angezeigt. In diesem Datensatz können Sie die folgenden Daten überprüfen.
      • Im Feld Rohdaten werden die E-Mail-Anzahl für die Anzahl der E-Mails angezeigt, die den Suchkriterien {"count":1}entsprechen, und die Postfachadressen, unter denen die E-Mails gefunden wurden ["JuanCustomer@nowsecopslab.onmicrosoft.com"].
      • In der Spalte Empfänger lautet der Empfänger (JuanCustomer@nowsecopslab.onmicrosoft.com).
      • In der Spalte Absender wird die Quelle der E-Mail angezeigt.
      • In der Spalte Empfangene E-Mail werden das Datum und die Uhrzeit des E-Mail-Empfangs angezeigt, damit Sie die Zeitachsen der Phishing-Kampagne nachverfolgen können.
      • In der Spalte E- Mail-Lesestatus wurde die E-Mail in diesem Beispiel nicht gelesen (false). Wenn eine E-Mail gelesen wurde, wird „ true “ angezeigt.
      • In der Spalte Wurde gelöscht wurde die E-Mail in diesem Beispiel nicht gelöscht. Wenn eine E-Mail gelöscht wurde, wird true angezeigt.
      Rohdatenfeld
    16. Führen Sie alternativ die folgenden Schritte aus, um die Suchergebnisse aus dem Security Incident anzuzeigen.
      1. Navigieren zu Security Incident > Incidents und öffnen Sie den Security Incident, mit dem Sie arbeiten.
        Wenn die Suche oben im Datensatz erfolgreich abgeschlossen wurde, ersetzt das Sicherheits-Tag „E- Mail-Suche – Abgeschlossen “ das Sicherheits-Tag „E- Mail-Suche – Initiiert “.
        Hervorgehobenes Sicherheits-Tag „E-Mail-Suche abgeschlossen“.

        Arbeitsnotizen werden angezeigt, dass die Suche erfolgreich abgeschlossen wurde und eine übereinstimmende E-Mail gefunden wurde.

        Arbeitsnotizen, die übereinstimmende E-Mails protokollieren, wurden gefunden.
      2. Scrollen Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf die zugehörige Liste E-Mail-Suche.

        Wenn die zugehörige Liste E-Mail-Suche nicht angezeigt wird, klicken Sie auf den zugehörigen LinkAlle zugehörigen Listen anzeigen, um diese zugehörige Liste anzuzeigen.

        Zugehörige Liste „E-Mail-Suche“ im Security Incident-Datensatz.
      3. Wählen Sie die zugehörige Liste „E-Mail-Suche“ aus und klicken Sie in der Spalte „E-Mail-Suche“ auf den Namen Ihrer Suche.
        E-Mail-Suchspalte mit hervorgehobenem Namen der Suche.
      4. Klicken Sie im Datensatz „E-Mail-Suche“ auf die zugehörige Liste „E-Mail-Suchergebnisse“.
      5. Klicken Sie in der Spalte Suchdatum auf das Datum der Suche, um die Daten anzuzeigen.
        Der E-Mail-Suchergebnisdatensatz wird angezeigt.
        Der E-Mail-Suchergebnisdatensatz wird angezeigt.
      Nachdem eine E-Mail-Suche erfolgreich abgeschlossen wurde, werten Sie die Ergebnisse aus. Wenn Sie der Meinung sind, dass E-Mails korrigiert werden müssen, können Sie E-Mails jetzt löschen oder die Genehmigung zum Löschen anfordern.