Lucene ist eine Abfragesprache, mit der Sie nach bestimmten Nachrichten suchen können. Mit Lucene können Sie Abfragen in Ihrer PhishER Inbox oder auf der Seite PhishRIP Queries ausführen.
In diesem Artikel erhalten Sie einen Überblick über die Lucene-Abfragesyntax. Dies soll Ihnen den Einstieg bei der Ausführung benutzerdefinierter Abfragen in Ihrer PhishER-Plattform erleichtern. Weitere Informationen finden Sie in der Dokumentation „Apache Lucene - Query Parser Syntax“ von Apache.
Schreiben einer Abfrage
Die Lucene-Abfragesyntax umfasst drei Bereiche: Felder, Begriffe und Operatoren oder Modifizierer. Sie können mithilfe dieser Zeichenfolgen Abfragen ausführen. Bei diesen Abfragen werden Nachrichten in Ihrer PhishER Inbox und auf der Seite PhishRIP Queries gesucht. Sie können eine Kombination aus einem Feld, einem Begriff und einem Operator oder einem Modifizierer verwenden, um eine Abfragezeichenfolge zu bilden. Beispiel für eine Lucene-Abfragezeichenfolge:
field_name: "Das ist die zu suchende Zeichenfolge!" AND "Das"
In den folgenden Abschnitten erfahren Sie mehr über das Schreiben einer Abfragezeichenfolge mit Feldern, Begriffen und Operatoren oder Modifizierern.
Felder
Ein Feld ist die ID oder der Name, über die bzw. den bestimmte Informationen in einer Nachricht gefunden werden sollen. Sie können Felder verwenden, um Nachrichten nach Informationen zu filtern, z. B. wer die E-Mail gemeldet hat oder wann die E-Mail gemeldet wurde. Wenn in einer Abfragezeichenfolge auf ein Feld verwiesen wird, müssen Sie nach dem Feldnamen einen Doppelpunkt (:) eingeben.
In der folgenden Tabelle finden Sie eine Liste der Felder, die Sie in Abfragen aus der PhishER Inbox verwenden können:
| Feldname | Anwendungsbeispiel | Beispiel |
|---|---|---|
| attachment_names | Verwenden Sie dieses Feld, um Nachrichten nach Dateinamen oder Dateierweiterung zu filtern. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Verwenden Sie dieses Feld, um Nachrichten nach einer E-Mail-Adresse zu filtern, die in der ursprünglichen Nachricht auf CC gesetzt war. | cc: "@knowbe4.com" |
| from_name | Verwenden Sie dieses Feld, um Nachrichten nach dem Namen des Absenders bzw. der Absenderin der ursprünglichen Nachricht zu filtern. |
from_name: "CyberheistNews" from_name: Cyberheist* |
| hosts | Verwenden Sie dieses Feld, um Nachrichten nach dem/den Hostnamen der Nachricht zu filtern. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Verwenden Sie dieses Feld, um nach Nachrichten zu suchen, die zu einem bestimmten Datum gemeldet wurden. Das folgende Datumsformat ist zulässig: JJJJ-MM-TT | reported_at: "2018-11-27" |
| reported_by | Verwenden Sie dieses Feld, um Nachrichten nach der E-Mail-Adresse des bzw. der Meldenden zu filtern. | reported_by: *"@knowbe4.com (http://knowbe4.com/)" |
| reported_by_name |
Verwenden Sie dieses Feld, um Nachrichten nach dem Namen des bzw. der Meldenden zu filtern.
Wichtig: Bei der Suche wird nach Groß-/Kleinschreibung unterschieden.
|
reported_by_name: "First Last" |
| sent_at | Verwenden Sie dieses Feld, um Nachrichten nach dem Eingangsdatum bei dem bzw. der Meldenden zu filtern. Das folgende Datumsformat ist zulässig: JJJJ-MM-TT |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | Verwenden Sie dieses Feld, um Nachrichten nach Betreffzeilen zu filtern. |
subject: "invoice" subject: immediate* |
| tags | Verwenden Sie dieses Feld, um Nachrichten nach den beigefügten Tags zu filtern. | tags: "threat"-tags: "threat" |
| to | Verwenden Sie dieses Feld, um Nachrichten nach der E-Mail-Adresse des Empfängers bzw. der Empfängerin zu filtern. |
to: "@knowbe4.com" to: *know* |
| urls | Verwenden Sie dieses Feld, um Nachrichten nach den in der Nachricht gefundenen URLs zu filtern. |
urls: "knowbe4.com" urls:* |
In der folgenden Tabelle finden Sie eine Liste der Felder, die Sie in PhishER-Abfragen auf der Seite „PhishER Queries“ verwenden können:
| Feldname | Anwendungsbeispiel | Beispiel |
|---|---|---|
| source_id |
Verwenden Sie dieses Feld, um Abfragen nach der PhishER-Nachricht zu filtern, durch die PhishRIP initiiert wurde.
Hinweis: Sie können die Nachricht in der PhishER Inbox einsehen, indem Sie die unten aufgeführte URL aufrufen. Sie müssen die source_id durch die jeweilige Quell-ID der Nachricht ersetzen: https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Verwenden Sie dieses Feld, um nach einer einzelnen PhishRIP-Abfrage zu suchen. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Verwenden Sie dieses Feld, um Nachrichten nach dem Erstellungsdatum der Abfrage zu filtern. Das folgende Datumsformat ist zulässig: JJJJ-MM-TT |
started:"2020-04-04" |
| originator | Verwenden Sie dieses Feld, um Abfragen nach dem Vor- und Nachnamen von Nutzer:innen zu filtern, die PhishRIP initiiert haben. | originator:"Max Mustermann" |
Begriffe
Ein Begriff ist ein Wort oder ein Ausdruck, nach dem Sie suchen können. Sie können nach zwei Arten von Begriffen suchen: Einzelbegriffe und Ausdrücke. Ein Beispiel für einen Einzelbegriff ist „dringend“, ein Beispiel für einen Ausdruck ist „Maßnahme erforderlich“. Die Begriffe müssen nicht in Anführungszeichen gesetzt werden. Sie können mehrere Begriffe mit Operatoren oder Modifizierern kombinieren. Dadurch erhalten Sie eine komplexere Abfrage.
Operatoren und Modifizierer
Ein Operator oder Modifizierer ist ein Symbol oder ein Schlüsselwort für die Suche nach Begriffen bzw. den Ausschluss von Begriffen bei der Suche.
In der folgenden Tabelle finden Sie eine Liste mit Operatoren und Modifizierern und deren Bedeutung:
| Operatoren und Modifizierer | Beschreibung |
|---|---|
| AND | Mit dieser Option werden E-Mails ermittelt, die beide Begriffe enthalten. Sie können anstelle von AND auch && verwenden. |
| OR | Mit dieser Option werden E-Mails ermittelt, die mindestens einen der Begriffe enthalten. Sie können anstelle von OR auch || verwenden. |
| NOT | Mit dieser Option werden E-Mails ausgeschlossen, die den Begriff enthalten, der nach NOT angegeben wird. Sie können anstelle von NOT auch ! oder - verwenden. |
| * |
Sie können diesen Platzhalter für mehrere Zeichen verwenden. Dieser Platzhalter kann nur bei Einzelbegriffen verwendet werden.
Hinweis: Platzhalter können nicht am Anfang eines Suchbegriffs stehen.
Beispielsweise suchen Sie wie folgt nach „brauchen“, „braucht“ oder „brauche“: brauch*
|
| ? |
Sie können diesen Platzhalter für ein einzelnes Zeichen verwenden. Dieser Platzhalter sucht nach passenden Begriffen, die sich durch ein einzelnes Zeichen unterscheiden. Wenn Sie beispielsweise nach einem bzw. einer bestimmten Meldenden suchen, können Sie dies wie folgt tun: reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Ausführen einer Abfrage
Gehen Sie wie folgt vor, um eine Abfrage bei Ihrer PhishER Inbox durchzuführen:
- Navigieren Sie zu Ihrer PhishER Inbox.
- Geben Sie oben links auf der Seite in der Leiste Search… Ihre Abfragezeichenfolge ein.
- Drücken Sie auf Ihrer Tastatur die Eingabetaste.
Gehen Sie wie folgt vor, um eine Abfrage auf der Seite PhishRIP Queries auszuführen:
- Navigieren Sie zu „PhishRIP“.
- Geben Sie oben links auf der Seite in der Leiste Search… Ihre Abfragezeichenfolge ein.
- Drücken Sie auf Ihrer Tastatur die Eingabetaste.
Wenn Sie die Abfrage ausgeführt haben, können Sie auf deren Namen klicken und die gefundenen Nachrichten anzeigen.
Beispielabfragen
Abfragen sind abhängig von den Informationen, nach denen Sie suchen. In der folgenden Tabelle sind Beispiele für Abfragezeichenfolgen aufgeführt, die Sie anpassen und in Ihrer PhishER Inbox ausführen können:
| Abfragezeichenfolge | Suchergebnis |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immediately") |
Bei dieser Abfrage wird nach allen als Bedrohung gekennzeichneten Nachrichten mit „urgent“ ODER „immediately“ in der Betreffzeile gesucht. |
-from_name: your-organization-domain.com
OR NOT from_name: your-organization-domain.com
|
Bei dieser Abfrage wird nach allen Nachrichten gesucht, die nicht von Ihrer Domain aus gesendet werden. Sie müssen your-organization-domain.com durch die Domain Ihrer Organisation ersetzen. |
subject: "network*" AND -tag: "spam" |
Bei dieser Abfrage wird nach allen Nachrichten gesucht, die in der Betreffzeile Wörter und Ausdrücke enthalten, die mit „network“ beginnen. Nachrichten, die als Spam gekennzeichnet sind, werden nicht berücksichtigt. |