Lucene es un lenguaje de consulta que puede usar para buscar mensajes específicos. Use Lucene para ejecutar consultas en su bandeja de entrada de PhishER o en la página PhishRIP Queries.
Este artículo ofrece una descripción general de la sintaxis de consulta Lucene para ayudarlo a comenzar a ejecutar consultas personalizadas en su plataforma PhishER. Para obtener más información, consulte la documentación Lucene: sintaxis del analizador de consultas de Apache.
Redactar una consulta
La sintaxis de consulta de Lucene se puede dividir en tres partes: campos, términos y operadores o modificadores. Use estas cadenas para ejecutar consultas, que le permitirán buscar mensajes en su bandeja de entrada de PhishER y en la página PhishRIP Queries. Puede usar una combinación de un campo, un término y un operador o modificador para formar una cadena de consulta. A continuación, se incluye un ejemplo de una cadena de consulta de Lucene:
field_name: "This is the phrase I want to search for!" AND "This"
Consulte las siguientes secciones para obtener más información sobre cómo escribir una cadena de consulta utilizando campos, términos y operadores o modificadores.
Campos
Un campo es el ID o nombre que se utiliza para encontrar información específica de un mensaje. Por ejemplo, puede usar campos para filtrar mensajes por información como quién informó el correo electrónico o cuándo se informó el correo electrónico. Si se hace referencia a un campo en una cadena de consulta, debe ingresar dos puntos (:) después del nombre del campo.
Consulte la siguiente tabla para obtener una lista de los campos que puede usar en las consultas de su bandeja de entrada de PhishER:
| Nombre del campo | Caso de uso | Ejemplo |
|---|---|---|
| attachment_names | Use este campo para filtrar mensajes por nombre de archivo o tipo de extensión. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Use este campo para filtrar mensajes por una dirección de correo electrónico que se copió en el mensaje original. | cc: "@knowbe4.com" |
| from_name | Use este campo para filtrar mensajes por el nombre del remitente vinculado al mensaje original. |
from_name: "CyberheistNews" from_name: Cyberheist* |
| hosts | Use este campo para filtrar mensajes por el nombre de host vinculado al mensaje. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Utilice este nombre de campo para buscar mensajes reportados en una fecha específica. Se acepta el siguiente formato de fecha: YYYY-MM-DD | reported_at: "2018-11-27" |
| reported_by | Use este campo para filtrar mensajes por la dirección de correo electrónico del informador. | reported_by: *@knowbe4.com (http://knowbe4.com/) |
| reported_by_name |
Use este campo para filtrar mensajes por el nombre del informador.
Importante: Esta búsqueda distingue entre mayúsculas y minúsculas.
|
reported_by_name: "First Last" |
| sent_at | Use este campo para filtrar mensajes por la fecha en que se enviaron al informador. Se acepta el siguiente formato de fecha: AAAA-MM-DD |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject (asunto) | Use este campo para filtrar mensajes por sus líneas de asunto. |
subject: "invoice" subject: immediate* |
| tags | Use este campo para filtrar mensajes por las etiquetas adjuntas a ellos. | tags: "threat"-tags: "threat" |
| to | Use este campo para filtrar mensajes por la dirección de correo electrónico del destinatario. |
to: "@knowbe4.com" to: *know* |
| urls | Use este campo para filtrar mensajes por las URL encontradas en el mensaje. |
urls: "knowbe4.com" urls:* |
Consulte la siguiente tabla para obtener una lista de los campos que puede usar en las consultas de PhishER de la página PhishRIP Queries:
| Nombre del campo | Caso de uso | Ejemplo |
|---|---|---|
| source_id |
Use este campo para filtrar consultas por el mensaje de PhishER usado para iniciar PhishRIP.
Nota: Puede ver el mensaje en la bandeja de entrada de PhishER en la siguiente URL. Deberá reemplazar source_id por el ID de origen específico del mensaje:https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Use este campo para buscar una consulta de PhishRIP individual. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Use este campo para filtrar mensajes por la fecha en que se creó la consulta. Se acepta el siguiente formato de fecha: AAAA-MM-DD |
started:"2020-04-04" |
| originator | Use este campo para filtrar las consultas por el nombre y el apellido del usuario que inició PhishRIP. | originator:"John Doe" |
Términos
Un término es una palabra o frase por la que puede buscar. Puede buscar dos tipos de términos: Términos y frases únicos. Un ejemplo de término único es "urgent" y un ejemplo de frase es "action needed". No es necesario poner los términos entre comillas. Puede combinar varios términos con operadores o modificadores para formar una consulta más compleja.
Operadores y modificadores
Un operador o modificador es un símbolo o palabra clave que puede usar para buscar términos o excluir términos de la búsqueda.
Consulte la siguiente tabla para obtener una lista de operadores o modificadores y sus significados:
| Operadores y modificadores | Descripción |
|---|---|
| AND | Puede usar esta opción para encontrar ambos términos que existen en el texto de un correo electrónico. Puede usar el símbolo && en lugar de la palabra AND. |
| OR | Puede usar esta opción para encontrar al menos un término que exista en el texto de un correo electrónico. Puede usar el símbolo || en lugar de la palabra OR. |
| NOT | Puede usar esta opción para excluir correos electrónicos que contengan el término después de la palabra NOT. Puede usar el símbolo ! o el símbolo - en lugar de la palabra NOT. |
| * |
Puede usar este marcador de posición comodín para varios caracteres. Este marcador de posición solo se puede usar con términos únicos.
Nota: Los marcadores de posición comodín no se pueden utilizar como primer carácter de una búsqueda.
Por ejemplo, para buscar need, needs, or needed (necesidad, necesidades o necesario), puede buscar el siguiente texto: need*
|
| ? |
Puede usar este marcador de posición comodín para un solo carácter. Este marcador de posición busca términos que coincidan, pero que tengan un único carácter reemplazado. Por ejemplo, para buscar un informador específico, puede buscar el siguiente texto: reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Ejecutar una consulta
Para ejecutar una consulta desde su bandeja de entrada de PhishER, siga estos pasos:
- Vaya a su Inbox de PhishER.
- Ingrese su cadena de consulta en la barra Search… en la esquina superior izquierda de la página.
- Presione la tecla Enter o Intro de su teclado.
Para ejecutar una consulta desde la página PhishRIP Queries, siga estos pasos:
- Vaya a PhishRIP.
- Ingrese su cadena de consulta en la barra Search… en la esquina superior izquierda de la página..
- Presione la tecla Enter o Return de su teclado.
Una vez que haya ejecutado la consulta, puede hacer clic en su nombre para ver los mensajes que se encontraron.
Ejemplos de consultas
Las consultas variarán según la información que esté buscando. Consulte la siguiente tabla para ver ejemplos de cadenas de consulta que puede personalizar y ejecutar en su bandeja de entrada de PhishER:
| Cadena de consulta | Resultado de la búsqueda |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immediately") |
Esta consulta buscará todos los mensajes etiquetados como amenaza con “urgent” (urgente) o “immediately” (inmediatamente) en el asunto. |
-from_name: your-organization-domain.com
OR NOT from_name: your-organization-domain.com
|
Esta consulta buscará todos los mensajes que no hayan sido enviados desde su dominio. Asegúrese de reemplazar your-organization-domain.com por el dominio de su organización. |
subject: "network*" AND -tag: "spam" |
Esta consulta buscará todos los mensajes con palabras o frases que comiencen por “network” (red) en el asunto. Los mensajes etiquetados como correo no deseado (spam) no se incluirán. |