Lucene est un langage de requête que vous pouvez utiliser pour rechercher des messages spécifiques. Vous pouvez utiliser Lucene pour exécuter des requêtes dans votre boîte de réception PhishER ou dans la page PhishRIP Queries (Requêtes PhishRIP).
Cet article vous offre un aperçu de la syntaxe de requête Lucene pour vous aider à commencer à exécuter des requêtes personnalisées dans votre plateforme PhishER. Pour plus d’informations, consultez la documentation d’Apache Lucene - Query Parser Syntax.
Écrire une requête
La syntaxe de requête Lucene peut être décrite en trois parties : les champs, les termes et les opérateurs ou modificateurs. Vous pouvez utiliser ces éléments pour exécuter des requêtes qui vous permettent de rechercher des messages dans votre boîte de réception PhishER et dans la page PhishRIP Queries (Requêtes PhishRIP). Vous pouvez utiliser la combinaison d’un champ, d’un terme et d’un opérateur ou d’un modificateur pour former une chaîne de requête. Voici un exemple d’une chaîne de requête Lucene :
field_name: "Voici la phrase que je recherche!" AND "Voici"
Consultez les sections ci-dessous pour en apprendre davantage au sujet de l’écriture d’une chaîne de requête à l’aide de champs, de termes et d’opérateurs ou de modificateurs.
Champs
Un champ est l’ID ou le nom utilisé pour trouver une information particulière dans un message. Par exemple, vous pouvez utiliser des champs pour filtrer des messages selon certaines informations, comme l’utilisateur qui a signalé le message ou la date à laquelle le courriel a été signalé. Lorsqu’un champ est référencé dans une chaîne de requête, vous devez ajouter les deux points (:) après le nom du champ.
Consultez le tableau ci-dessous pour connaître la liste des champs que vous pouvez utiliser dans des requêtes sur votre boîte de réception PhishER.
| Nom du champ | Cas d’utilisation | Exemple |
|---|---|---|
| attachment_names | Utilisez ce champ pour filtrer les messages selon le nom du fichier ou le type d’extension. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Utilisez ce champ pour filtrer les messages selon une adresse courriel auquel le message original a été envoyé en copie. | cc: "@knowbe4.com" |
| from_name | Utilisez ce champ pour filtrer les messages selon le nom de l’expéditeur du message original. |
from_name: "CyberBraquageInfos" from_name: CyberBraquage* |
| hosts | Utilisez ce champ pour filtrer les messages selon le nom d’hôte du message original. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Utilisez ce champ pour rechercher des messages signalés à une date en particulier. Le format de date suivant est accepté : AAAA-MM-JJ | reported_at: "2018-11-27" |
| reported_by | Utilisez ce champ pour filtrer les messages selon l’adresse courriel de l’utilisateur qui les a signalés. | reported_by: *"@knowbe4.com (http://knowbe4.com/)" |
| reported_by_name |
Utilisez ce champ pour filtrer les messages selon le nom de l’utilisateur qui les a signalés.
Important : La recherche est sensible à la casse.
|
reported_by_name: "Prénom Nom" |
| sent_at | Utilisez ce champ pour filtrer les messages selon la date à laquelle ils ont été envoyés à l’utilisateur qui les a signalés. Le format de date suivant est accepté : AAAA-MM-JJ |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | Utilisez ce champ pour filtrer les messages selon leur ligne d’objet. |
subject: "facture" subject: immédiat* |
| tags | Utilisez ce champ pour filtrer les messages selon les étiquettes qui y sont associées. | tags: "threat"-tags: "threat" |
| to | Utilisez ce champ pour filtrer les messages selon l’adresse courriel du destinataire. |
to: "@knowbe4.com" to: *know* |
| urls | Utilisez ce champ pour filtrer les messages selon les URL trouvées dans le message. |
urls: "knowbe4.com" urls:* |
Consultez le tableau ci-dessous pour connaître la liste des champs que vous pouvez utiliser dans des requêtes PhishER dans votre page PhishRIP Queries (Requêtes PhishRIP).
| Nom du champ | Cas d’utilisation | Exemple |
|---|---|---|
| source_id |
Utilisez ce champ pour filtrer les requêtes selon le message PhishER utilisé pour lancer PhishRIP.
Remarque :Vous pouvez voir le message dans la boîte de réception PhishER en accédant à l’URL ci-dessous. Vous devrez remplacer « source_id » par l’ID source spécifique au message : https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Utilisez ce champ pour rechercher une requête PhishRIP individuelle. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Utilisez ce champ pour filtrer les messages selon la date à laquelle la requête a été créée. Le format de date suivant est accepté : AAAA-MM-JJ |
started:"2020-04-04" |
| originator | Utilisez ce champ pour filtrer les requêtes selon le prénom et le nom d’un utilisateur ayant lancé PhishRIP. | originator:"Pierre Untel" |
Termes
Un terme est un mot ou une expression que vous pouvez rechercher. Vous pouvez rechercher deux types de termes : Un Single Term (Terme unique) ou des Phrases (Expressions). Un exemple d’un terme unique est « urgent » et un exemple d’expression est « action requise ». Les termes ne doivent pas nécessairement être entourés de guillemets. Vous pouvez combiner plusieurs termes avec des opérateurs ou des modificateurs pour créer une requête plus complexe.
Opérateurs et modificateurs
Un opérateur ou un modificateur est un symbole ou un mot clé que vous pouvez utiliser pour rechercher ou exclure des termes de votre recherche.
Consultez le tableau ci-dessous pour connaître la liste des opérateurs et des modificateurs ainsi que leur signification.
| Opérateurs et modificateurs | Description |
|---|---|
| AND | Vous pouvez utiliser cette option pour trouver les deux termes dans le texte d’un courriel. Vous pouvez remplacer le mot AND par le symbole &&. |
| OR | Vous pouvez utiliser cette option pour trouver au moins un des termes dans le texte d’un courriel. Vous pouvez remplacer le mot OU par le symbole ||. |
| NOT | Vous pouvez utiliser cette option pour exclure les courriels qui contiennent le terme qui apparaît après le mot NOT. Vous pouvez remplacer le mot NOT par le symbole ! ou le symbole -. |
| * |
Vous pouvez utiliser cet espace réservé pour remplacer plusieurs caractères. Cet espace réservé ne peut être utilisé qu’avec les termes uniques.
Remarque : Les espaces réservés de remplacement ne peuvent pas être utilisés comme premier caractère d’une recherche.
Par exemple, pour rechercher les mots « exigence », « exigences » ou « exigé », vous pouvez rechercher le texte suivant : exig*
|
| ? |
Vous pouvez utiliser cet espace réservé pour remplacer un seul caractère. Cet espace réservé permet de rechercher les termes qui correspondent, mais dont un seul caractère est différent. Par exemple, pour rechercher un utilisateur spécifique ayant signalé un message, vous pouvez rechercher le texte suivant : reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Exécuter une requête
Pour exécuter une requête dans votre Inbox (Boîte de réception) PhishER, suivez les étapes ci-dessous.
- Accédez à votre Inbox (Boîte de réception) PhishER.
- Entrez la chaîne de requête dans la barre de recherche Search... située dans le coin supérieur gauche de la page.
- Appuyez sur la touche Enter (Entrée) ou la touche Return (Retour) de votre clavier.
Pour exécuter une requête dans la page PhishRIP Queries (Requêtes PhishRIP), suivez les étapes ci-dessous.
- Accédez à PhishRIP.
- Entrez la chaîne de requête dans la barre de recherche Search... située dans le coin supérieur gauche de la page.
- Appuyez sur la touche Enter (Entrée) ou la touche Return (Retour) de votre clavier.
Une fois votre requête exécutée, vous pouvez cliquer sur son nom pour voir les messages trouvés.
Exemples de requêtes
Les requêtes varieront selon l’information que vous recherchez. Consultez le tableau ci-dessous pour voir des exemples de chaînes de requêtes que vous pouvez personnaliser et exécuter dans votre boîte de réception PhishER.
| Chaînes de requête | Résultats de la recherche |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immédiatement") |
Cette requête recherchera tous les messages étiquetés comme des menaces et qui contiennent les mots « urgent » ou « immédiatement » dans la ligne d’objet. |
-from_name: domaine-de-votre-organisation.com
OR NOT -from_name: domaine-de-votre-organisation.com
|
Cette requête recherchera tous les messages qui ne proviennent pas de votre domaine. Assurez-vous de remplacer domaine-de-votre-organisation.com par le nom de domaine de votre organisation. |
subject: "network*" AND -tag: "spam" |
Cette requête recherchera tous les messages dont la ligne d’objet contient des mots ou des expressions qui commencent par « réseau ». Les messages étiquetés comme « pourriel » seront exclus. |