Lucene est un langage de requête qui permet de rechercher des messages spécifiques. Vous pouvez vous en servir pour exécuter des requêtes dans votre boîte de réception PhishER ou sur la page PhishRIP Queries (Requêtes PhishRIP).
Cet article présente la syntaxe de requête Lucene afin de vous aider à exécuter vos premières requêtes personnalisées dans votre plateforme PhishER. Pour obtenir plus d’informations, consultez la documentation Apache relative à la syntaxe de l’analyseur de requête Lucene.
Écrire une requête
La syntaxe de requête Lucene se décompose en trois parties : les champs, les termes et les opérateurs et modificateurs. Grâce à ces chaînes, vous exécutez des requêtes vous permettant de rechercher des messages dans votre boîte de réception PhishER et sur la page PhishRIP Queries (Requêtes PhishRIP). Vous pouvez combiner champ, terme et opérateur ou modificateur pour créer une chaîne de requête. Voici un exemple de la chaîne de requête Lucene :
field_name: "C’est la phrase que je recherche !" AND "C’est"
Consultez les sections ci-dessous pour en apprendre davantage sur l’écriture d’une chaîne de requête à l’aide de champs, termes et opérateurs ou modificateurs.
Champs
Un champ est un identifiant ou un nom utilisé pour rechercher des informations précises dans un message. Il peut par exemple servir à filtrer les messages selon diverses informations telles que la personne qui a signalé l’e-mail ou la date du signalement. Si un champ est référencé dans une chaîne de requête, vous devez entrer deux-points ( : ) après celui-ci.
Reportez-vous au tableau ci-dessous pour découvrir une liste de champs que vous pouvez utiliser dans votre boîte de réception PhisheER :
| Nom du champ | Exemple d’utilisation | Exemple |
|---|---|---|
| attachment_names | Utilisez ce champ pour filtrer les messages par nom de fichier ou type d’extension. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Utilisez ce champ pour filtrer les messages en fonction de l’adresse e-mail qui a été copiée dans le message d’origine. | cc: "@knowbe4.com" |
| from_name | Utilisez ce champ pour filtrer les messages en fonction du nom de l’expéditeur associé au message d’origine. |
from_name: "CyberheistNews" from_name: Cyberheist* |
| hosts | Utilisez ce champ pour filtrer les messages en fonction d’un ou plusieurs noms d’hôte associés au message. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Utilisez ce champ pour rechercher des messages signalés à une date précise. Le format de date suivant est pris en charge : AAAA-MM-JJ | reported_at: "2018-11-27" |
| reported_by | Utilisez ce champ pour filtrer les messages selon l’adresse e-mail de la personne à l’origine du signalement. | reported_by: *"@knowbe4.com (http://knowbe4.com/)" |
| reported_by_name |
Utilisez ce champ pour filtrer les messages selon le nom de la personne à l’origine du signalement.
Important : cette recherche est sensible à la casse.
|
reported_by_name: "Prénom Nom" |
| sent_at | Utilisez ce champ pour filtrer les messages selon la date d’envoi à la personne à l’origine du signalement. Le format de date suivant est pris en charge : AAAA-MM-JJ |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | Utilisez ce champ pour filtrer les messages selon leur objet. |
subject: "facture" subject: immédiat* |
| tags | Utilisez ce champ pour filtrer les messages selon les tags qui y sont associés. | tags: "threat"-tags: "threat" |
| to | Utilisez ce champ pour filtrer les messages selon l’adresse e-mail du destinataire. |
to: "@knowbe4.com" to: *know* |
| urls | Utilisez ce champ pour filtrer les messages en fonction des URL que contient le message. |
urls: "knowbe4.com" urls:* |
Reportez-vous au tableau ci-dessous pour découvrir une liste de champs que vous pouvez utiliser dans les requêtes PhishER exécutées sur la page PhishRIP Queries (Requêtes PhishRIP) :
| Nom du champ | Exemple d’utilisation | Exemple |
|---|---|---|
| source_id |
Utilisez ce champ pour filtrer les requêtes selon le message PhishER qui a déclenché PhishRIP.
Remarque :vous pouvez consulter le message dans la boîte de réception PhishER en accédant à l’URL ci-dessous. Vous devez remplacer « source_id » par l’ID source spécifique du message : https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Utilisez ce champ pour rechercher une requête PhishRIP précise. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Utilisez ce champ pour filtrer les messages selon la date de création de la requête. Le format de date suivant est pris en charge : AAAA-MM-JJ |
started:"2020-04-04" |
| originator | Utilisez ce champ pour filtrer les requêtes selon le prénom et le nom d’un utilisateur qui a déclenché PhishRIP. | originator: "Jean Martin" |
Termes
Un terme est un mot ou une expression que vous recherchez. Il en existe deux types : des termes uniques et des expressions. Par exemple, « urgent » constitue un terme unique et « action requise » une expression. Il n’est par ailleurs pas nécessaire de mettre les termes entre guillemets. Vous pouvez créer une requête plus complexe en combinant plusieurs termes à l’aide d’opérateurs ou de modificateurs.
Opérateurs et modificateurs
Un opérateur ou un modificateur est un symbole ou un mot-clé que vous pouvez utiliser pour rechercher des termes ou en exclure de votre recherche.
Reportez-vous au tableau ci-dessous pour découvrir une liste d’opérateurs et de modificateurs et leur signification :
| Opérateurs et modificateurs | Description |
|---|---|
| AND | Cette option permet de rechercher les deux termes présents dans le corps d’un e-mail. Vous pouvez utiliser && ou AND de façon interchangeable. |
| OR | Cette option permet de rechercher au moins un terme présent dans le corps d’un e-mail. Vous pouvez utiliser || ou OR de façon interchangeable. |
| NOT | Cette option permet d’exclure les e-mails contenant le terme indiqué après NOT. Vous pouvez utiliser !, - ou NOT de façon interchangeable. |
| * |
Utilisez ce texte générique pour remplacer plusieurs caractères. Il ne peut être employé qu’avec des termes uniques.
Remarque : un texte générique ne peut pas être utilisé comme premier caractère d’une recherche.
Ainsi, pour rechercher exigence, exigences et exiger, vous pouvez saisir la requête suivante : exig*
|
| ? |
Utilisez ce texte générique pour remplacer un seul caractère. Il permet de rechercher les termes correspondants dont un seul caractère est remplacé. Ainsi, pour rechercher une personne à l’origine d’un signalement, vous pouvez saisir la requête suivante : reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Exécuter une requête
Pour exécuter une requête dans votre boîte de réception PhishER, procédez comme suit :
- Accédez à votre boîte de réception PhishER (Inbox).
- Saisissez votre chaîne de requête dans la barre Search… (Rechercher…) située dans le coin supérieur gauche de la page.
- Appuyez sur la touche Entrée ou Retour de votre clavier.
Pour exécuter une requête depuis la page PhishRIP Queries (Requêtes PhishRIP), procédez comme suit :
- Accédez à PhishRIP.
- Saisissez votre chaîne de requête dans la barre Search… (Rechercher…) située dans le coin supérieur gauche de la page.
- Appuyez sur la touche Entrée ou Retour de votre clavier.
Une fois la requête exécutée, vous pouvez cliquer sur son nom pour consulter les messages trouvés.
Exemples de requêtes
Chaque requête dépend des informations que vous recherchez. Reportez-vous au tableau ci-dessous pour découvrir des exemples de chaînes de requête que vous pouvez personnaliser et exécuter dans votre boîte de réception PhishER :
| Chaîne de requête | Résultat de la recherche |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immédiatement") |
Cette requête recherche tous les messages marqués menaçants et dont l’objet contient le mot « urgent » ou « immédiatement ». |
-from_name: domaine-de-votre-organisation.com
OR NOT from_name: domaine-de-votre-organisation.com
|
Cette requête recherche tous les messages qui n’ont pas été envoyés depuis votre domaine. Veillez à remplacer domaine-de-votre-organisation.com par le domaine réel de votre organisation. |
subject: "network*" AND -tag: "spam" |
Cette requête recherche tous les messages contenant dans l’objet des mots ou des expressions commençant par « réseau ». Les messages marqués comme courrier indésirable sont exclus. |