Lucene es un lenguaje de consulta que puede utilizar para buscar mensajes específicos. Puede utilizar Lucene para ejecutar consultas en su bandeja de entrada de PhishER o en la página PhishRIP Queries (Consultas de PhishRIP).
En este artículo se ofrece un resumen de la sintaxis de consultas Lucene para ayudarle a comenzar a ejecutar consultas personalizadas en la plataforma PhishER. Para obtener más información, consulte la documentación de Apache Lucene: sintaxis del analizador de consultas.
Escritura de una consulta
La sintaxis de consultas Lucene se puede dividir en tres partes: campos, términos y operadores o modificadores. Puede utilizar estas cadenas para ejecutar consultas, lo que le permite buscar mensajes en su bandeja de entrada de PhishER y en la página PhishER Queries (Consultas de PhishER). Puede utilizar una combinación de un campo, un término y un operador o modificador para formar una cadena de consulta. A continuación, se muestra un ejemplo de una cadena de consulta de Lucene:
field_name: "Esta es la frase que quiero buscar" AND "Y esta"
Consulte las siguientes secciones para obtener más información sobre la escritura de una cadena de consulta utilizando campos, términos y operadores o modificadores.
Campos
Un campo es el ID o el nombre utilizado para encontrar información específica de un mensaje. Por ejemplo, puede utilizar campos para filtrar mensajes por información como quién denunció el correo electrónico o cuándo se denunció el correo electrónico. Si se menciona un campo en una cadena de consulta, debe introducir dos puntos (:) después del nombre del campo.
Consulte la siguiente tabla para obtener una lista de los campos que puede utilizar en las consultas de su bandeja de entrada de PhishER:
| Nombre de campo | Caso de uso | Ejemplo |
|---|---|---|
| attachment_names | Utilice este campo para filtrar mensajes por el nombre del archivo o el tipo de extensión. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Utilice este campo para filtrar mensajes por una dirección de correo electrónico que se copió en el mensaje original. | cc: "@knowbe4.com" |
| from_name | Utilice este campo para filtrar mensajes por el nombre del remitente vinculado al mensaje original. |
from_name: "CyberheistNews" from_name: Cyberheist* |
| hosts | Utilice este campo para filtrar mensajes por los nombres de host vinculados al mensaje. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Utilice este nombre de campo para buscar mensajes denunciados en una fecha específica. Se acepta el siguiente formato de fecha: AAAA-MM-DD | reported_at: "2018-11-27" |
| reported_by | Utilice este campo para filtrar mensajes por la dirección de correo electrónico del denunciante. | reported_by: *@knowbe4.com (http://knowbe4.com/) |
| reported_by_name |
Utilice este campo para filtrar mensajes por el nombre del denunciante.
Importante: Esta búsqueda distingue entre mayúsculas y minúsculas.
|
reported_by_name: "Nombre Apellido" |
| sent_at | Utilice este campo para filtrar mensajes por la fecha en la que se envió al denunciante. Se acepta el siguiente formato de fecha: AAAA-MM-DD |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | Utilice este campo para filtrar mensajes por las líneas de asunto. |
subject: "invoice" subject: immediate* |
| tags | Utilice este campo para filtrar mensajes por las etiquetas asociadas a los mismos. | tags: "threat"-tags: "threat" |
| to | Utilice este campo para filtrar mensajes por la dirección de correo electrónico del destinatario. |
to: "@knowbe4.com" to: *know* |
| urls | Utilice este campo para filtrar mensajes por las URL halladas en el mensaje. |
urls: "knowbe4.com" urls:* |
Consulte la siguiente tabla para obtener una lista de campos que puede utilizar en las consultas de PhishER en la página PhishRIP Queries (Consultas de PhishRIP):
| Nombre de campo | Caso de uso | Ejemplo |
|---|---|---|
| source_id |
Utilice este campo para filtrar consultas por el mensaje de PhishER utilizado para iniciar PhishRIP.
Nota:Puede ver el mensaje en la bandeja de entrada de PhishER dirigiéndose a la siguiente URL. Deberá sustituir «source_id» por el ID de origen específico del mensaje: https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Utilice este campo para buscar una consulta de PhishRIP individual. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Utilice este campo para filtrar mensajes por la fecha en la que se creó la consulta. Se acepta el siguiente formato de fecha: AAAA-MM-DD. |
started:"2020-04-04" |
| originator | Utilice este campo para filtrar consultas por el nombre y los apellidos de un usuario que inició PhishRIP. | originator:"John Doe" |
Términos
Un término es una palabra o frase que se puede buscar. Puede buscar dos tipos de términos: términos simples y frases. «Urgente» es un ejemplo de término simple y «acción necesaria», un ejemplo de frase. Los términos no deben ir entre comillas. Puede combinar varios términos con operadores o modificadores para formar una consulta más compleja.
Operadores y modificadores
Un operador o modificador es un símbolo o palabra clave que puede utilizar para buscar o excluir términos en su búsqueda.
Consulte la siguiente tabla para obtener una lista de operadores o modificadores y sus significados:
| Operadores y modificadores | Descripción |
|---|---|
| AND | Puede utilizar esta opción para encontrar dos términos que aparezcan en el texto de un correo electrónico. También puede utilizar el símbolo && en lugar de la palabra AND. |
| OR | Puede utilizar esta opción para encontrar al menos un término que aparezca en el texto de un correo electrónico. También puede utilizar el símbolo || en lugar de la palabra OR. |
| NOT | Puede utilizar esta opción para excluir correos electrónicos que contengan el término que aparece después de la palabra NOT. También puede utilizar los símbolos ! o - en lugar de la palabra NOT. |
| * |
Puede utilizar este marcador de posición comodín para sustituir varios caracteres. Este marcador de posición solo se puede utilizar con términos simples.
Nota: Los marcadores de posición comodín no se pueden utilizar como el primer carácter de una búsqueda.
Por ejemplo, para buscar necesidad, necesidades o necesario, puede buscar el siguiente texto: neces*
|
| ? |
Puede utilizar este marcador de posición comodín para sustituir un único carácter. Este marcador de posición busca términos que coincidan, pero que tengan un único carácter sustituido. Por ejemplo, para buscar un denunciante específico, puede indicar el siguiente texto: reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Ejecución de una consulta
Para ejecutar una consulta en su bandeja de entrada de PhishER, siga estos pasos:
- Diríjase a la Inbox (Bandeja de entrada) de PhishER.
- Introduzca su cadena de consulta en la barra Search… (Buscar…) en la esquina superior izquierda de la página.
- Pulse la tecla Entrar o Intro en el teclado.
Para ejecutar una consulta en la página PhishRIP Queries (Consultas de PhishRIP), siga estos pasos:
- Diríjase a PhishRIP.
- Introduzca su cadena de consulta en la barra Search… (Buscar…) en la esquina superior izquierda de la página.
- Pulse la tecla Entrar o Intro en el teclado.
Cuando haya ejecutado la consulta, podrá hacer clic en el nombre para ver los mensajes que se encontraron.
Ejemplos de consultas
Las consultas variarán en función de la información que busque. Consulte la siguiente tabla para obtener ejemplos de cadenas de consultas que puede personalizar y ejecutar en su bandeja de entrada de PhishER:
| Cadena de consulta | Resultado de la búsqueda |
|---|---|
tags: "threat" AND (subject: "urgente" OR "de inmediato") |
Esta consulta buscará mensajes etiquetados como una amenaza con «urgente» o «de inmediato» en la línea de asunto. |
-from_name: dominio-de-su-organización.com
OR NOT from_name: dominio-de-su-organización.com
|
Esta consulta buscará los mensajes que no se hayan enviado desde su dominio. Asegúrese de sustituir dominio-de-su-organización.com por el dominio de su organización. |
subject: "network*" AND -tag: "spam" |
Esta consulta buscará los mensajes con palabras o frases que empiecen por «red» en la línea de asunto. No se incluirán los mensajes etiquetados como spam. |