Lucene è un linguaggio di query che puoi utilizzare per cercare messaggi specifici. Puoi usare Lucene per eseguire delle query nella tua Inbox (Posta in arrivo) di PhishER o nella pagina Query PhishRIP.
Questo articolo offre una panoramica della sintassi delle query Lucene per aiutarti a iniziare a eseguire query personalizzate nella tua piattaforma PhishER. Per maggiori informazioni, consulta la documentazione di Apache Lucene - Query Parser Syntax.
Scrivere una query
La sintassi delle query di Lucene può essere suddivisa in tre parti: campi, termini e operatori o modificatori. Puoi usare queste stringhe per eseguire delle query che ti permettono di cercare i messaggi nella tua Inbox (Posta in arrivo) di PhishER e nella pagina Query PhishRIP. Puoi utilizzare una combinazione di campi, termini e operatori o modificatori per formare una stringa di query. Di seguito è riportato un esempio di stringa di query Lucene:
nome_campo: "Frase da cercare" AND "Questo"
Consulta le sezioni seguenti per saperne di più sulla scrittura di una stringa di query utilizzando campi, termini e operatori o modificatori.
Campi
Un campo è un ID o un nome utilizzato per trovare informazioni specifiche in un messaggio. Ad esempio, puoi usare i campi per filtrare i messaggi in base a informazioni come chi ha segnalato l’e-mail o quando è stata segnalata. Se un campo viene citato in una stringa di query, devi inserire i due punti ( : ) dopo il nome del campo.
Consulta la tabella seguente per un elenco dei campi che puoi utilizzare nelle query della tua Inbox (Posta in arrivo) di PhishER:
| Nome del campo | Caso d’uso | Esempio |
|---|---|---|
| attachment_names | Usa questo campo per filtrare i messaggi in base al nome del file o al tipo di estensione. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Usa questo campo per filtrare i messaggi in base a un indirizzo e-mail che è stato copiato nel messaggio originale. | cc: "@knowbe4.com" |
| from_name | Usa questo campo per filtrare i messaggi in base al nome del mittente legato al messaggio originale. |
from_name: "CyberheistNews" from_name: Cyberheist* |
| host | Utilizza questo campo per filtrare i messaggi in base al nome dell’host o degli host collegati al messaggio. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Utilizza questo nome di campo per cercare i messaggi segnalati in una data specifica. Il seguente formato di data è accettato: AAAA-MM-GG | reported_at: "2018-11-27" |
| reported_by | Usa questo campo per filtrare i messaggi in base all’indirizzo e-mail del segnalatore. | reported_by: *@knowbe4.com (http://knowbe4.com/) |
| reported_by_name |
Usa questo campo per filtrare i messaggi in base al nome del segnalatore.
Importante: questa ricerca distingue tra maiuscole e minuscole.
|
reported_by_name: "Primo Ultimo" |
| sent_at | Usa questo campo per filtrare i messaggi in base alla data in cui sono stati inviati al segnalatore. Il seguente formato di data è accettato: AAAA-MM-GG |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | Utilizza questo campo per filtrare i messaggi in base all’oggetto. |
subject: "fattura" subject: immediato* |
| tag | Usa questo campo per filtrare i messaggi in base ai tag allegati. | tags: "threat"-tags: "threat" |
| to | Usa questo campo per filtrare i messaggi in base all’indirizzo e-mail del destinatario. |
to: "@knowbe4.com" to: *know* |
| urls | Utilizza questo campo per filtrare i messaggi in base agli URL presenti nel messaggio. |
urls: "knowbe4.com" urls:* |
Vedi la tabella seguente per un elenco dei campi che puoi utilizzare nelle query di PhishER dalla pagina Query PhishRIP:
| Nome del campo | Caso d’uso | Esempio |
|---|---|---|
| source_id |
Utilizza questo campo per filtrare le query in base al messaggio PhishER utilizzato per avviare PhishRIP.
Nota:puoi visualizzare il messaggio nella Inbox (Posta in arrivo) di PhishER passando all’URL sottostante. Dovrai sostituire source_id con l’ID sorgente specifico del messaggio: https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Usa questo campo per cercare una singola query PhishRIP. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Usa questo campo per filtrare i messaggi in base alla data di creazione della query. Il seguente formato di data è accettabile: AAAA-MM-GG |
started:"2020-04-04" |
| originator | Usa questo campo per filtrare le query in base al nome e al cognome dell’utente che ha avviato PhishRIP. | originator:"Mario Rossi" |
Termini
Un termine è una parola o una frase che puoi cercare. Puoi cercare due tipi di termini: termini singoli e frasi. Un esempio di termine singolo è "urgente", mentre un esempio di frase è "azione necessaria". I termini non devono essere racchiusi tra virgolette. Puoi combinare più termini utilizzando operatori o modificatori per formare una query più complessa.
Operatori e modificatori
Un operatore o un modificatore è un simbolo o una parola chiave che puoi utilizzare per cercare dei termini o per escluderli dalla ricerca.
Consulta la tabella seguente per un elenco di operatori e modificatori e il relativo significato:
| Operatori e modificatori | Descrizione |
|---|---|
| AND | Puoi utilizzare questa opzione per trovare entrambi i termini presenti nel testo di un’e-mail. Puoi utilizzare il simbolo && in sostituzione alla parola AND. |
| OR | Puoi utilizzare questa opzione per trovare almeno un termine presente nel testo di un’e-mail. Puoi utilizzare il simbolo || in sostituzione alla parola OR. |
| NOT | Puoi utilizzare questa opzione per escludere le e-mail che contengono il termine specificato dopo la parola NOT. Puoi utilizzare il simbolo ! o il simbolo - in sostituzione alla parola NOT. |
| * |
Puoi utilizzare questo segnaposto jolly per più caratteri. Questo segnaposto può essere utilizzato solo con i termini singoli.
Nota: non è possibile utilizzare i segnaposto jolly come primo carattere di una ricerca.
Ad esempio, per cercare richiedere, richieste o richiedente, puoi cercare il seguente testo: richie*
|
| ? |
Puoi utilizzare questo segnaposto jolly per un singolo carattere. Questo segnaposto cerca i termini corrispondenti ma in cui è stato sostituito un unico carattere. Ad esempio, per cercare un rapporto specifico, puoi cercare il seguente testo: reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Eseguire una query
Per eseguire una query dalla tua Inbox (Posta in arrivo) di PhishER, effettua le seguenti operazioni:
- Vai alla Inbox (Posta in arrivo) di PhishER.
- Inserisci la stringa della tua query nella barra Cerca… nell’angolo in alto a sinistra della pagina.
- Premi il tasto Enter (Invio) o il tasto Invio della tastiera.
Per eseguire una query dalla pagina Query PhishRIP, effettua le seguenti operazioni:
- Vai su PhishRIP.
- Inserisci la stringa della tua query nella barra Cerca… nell’angolo in alto a sinistra della pagina.
- Premi Invio o il tasto Invio della tastiera.
Una volta eseguita la query, puoi fare clic sul suo nome per vedere i messaggi trovati.
Esempi di query
Le query variano a seconda delle informazioni che stai cercando. Vedi la tabella seguente per esempi di stringhe di query che puoi personalizzare ed eseguire nella tua Inbox (Posta in arrivo) di PhishER:
| Stringa di ricerca | Risultati della ricerca |
|---|---|
tags: "minaccia" AND (subject: "urgente" OR "immediatamente") |
Questa query cercherà tutti i messaggi etichettati come minaccia con "urgente" o "immediatamente" nell’oggetto. |
-from_name: dominio-tua-organizzazione.com
OR NOT from_name: dominio-tua-organizzazione.com
|
Questa query cercherà tutti i messaggi che non sono stati inviati dal tuo dominio. Assicurati di sostituire dominio-tua-organizzazione.com con il dominio della tua organizzazione. |
subject: "network*" AND -tag: "spam" |
Questa query cercherà tutti i messaggi con parole o frasi che iniziano con "rete" nell’oggetto. I messaggi contrassegnati come spam non saranno inclusi. |