Luceneは、特定のメッセージを検索するために使用できるクエリ言語です。Luceneを使用して、PhishER Inbox(受信箱)または[PhishRIPクエリ]ページでクエリを実行できます。
この記事では、PhishERプラットフォームでカスタムクエリを実行するときに役立つ、Luceneクエリ構文の概要を説明します。詳細については、Apacheの「Lucene - クエリパーサーの構文」のドキュメント(英文)を参照してください。
クエリの記述
Luceneクエリ構文は、フィールド、用語、演算子または修飾子の3つの部分に分けることができます。これらの文字列を使用してクエリを実行すると、PhishERの[Inbox](受信箱)や[PhishRIPクエリ]ページでメッセージを検索できます。フィールド、用語、演算子または修飾子を組み合わせてクエリ文字列を作成できます。Luceneクエリ文字列の例を以下に示します。
field_name:"This is the phrase I want to search for!"AND "This"
フィールド、用語、演算子や修飾子を使用してクエリ文字列を記述する方法の詳細については、以下のセクションを参照してください。
フィールド
フィールドとは、メッセージに含まれる特定の情報を検索するために使用されるIDや名前です。例えば、フィールドを使用すると、メールを報告したユーザー、メールが報告された日時などの情報でメッセージをフィルタリングできます。クエリ文字列でフィールドを参照する場合は、フィールド名の後にコロン(:)を入力する必要があります。
PhishER [Inbox](受信箱)のクエリで使用できるフィールドのリストは以下の表を参照してください。
| フィールド名 | ユースケース | 例 |
|---|---|---|
| attachment_names | このフィールドを使用して、ファイル名または拡張子のタイプでメッセージをフィルタリングします。 |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | このフィールドを使用して、元のメッセージのCCにあるメールアドレスでメッセージをフィルタリングします。 | cc: "@knowbe4.com" |
| from_name | このフィールドを使用して、元のメッセージに関連付けられている送信者名でメッセージをフィルタリングします。 |
from_name:"CyberheistNews" from_name:Cyberheist* |
| hosts | このフィールドを使用して、メッセージに関連付けられているホスト名でメッセージをフィルタリングします。 |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | このフィールドを使用して、特定の日付に報告されたメッセージを検索します。 YYYY-MM-DDのような日付フォーマットを指定できます。 | reported_at:"2018-11-27" |
| reported_by | このフィールドを使用して、報告者のメールアドレスでメッセージをフィルタリングします。 | reported_by: *@knowbe4.com (http://knowbe4.com/) |
| reported_by_name |
このフィールドを使用して、報告者の名前でメッセージをフィルタリングします。
重要:この検索では、大文字と小文字が区別されます。
|
reported_by_name:"First Last" |
| sent_at | このフィールドを使用して、報告者への送信日でメッセージをフィルタリングします。以YYYY-MM-DDのような日付フォーマットを指定できます。 |
sent_at:"2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | このフィールドを使用して、件名でメッセージをフィルタリングします。 |
subject: "invoice" subject: immediate* |
| tags | このフィールドを使用して、メッセージに付けられたタグでメッセージをフィルタリングします。 | tags: "threat"-tags: "threat" |
| to | このフィールドを使用して、受信者のメールアドレスでメッセージをフィルタリングします。 |
to: "@knowbe4.com" to: *know* |
| urls | このフィールドを使用して、メッセージで見つかったURLでメッセージをフィルタリングします。 |
urls: "knowbe4.com" urls:* |
[PhishRIP Queries](PhishRIPクエリ)ページのPhishERクエリで使用できるフィールドの一覧は以下の表を参照してください:
| フィールド名 | ユースケース | 例 |
|---|---|---|
| source_id |
このフィールドを使用して、PhishRIPを開始するために使用されたPhishERメッセージでクエリをフィルタリングします。
注:下記のURLに移動すると、PhishERの受信箱でメッセージを見ることができます。source_idをメッセージの特定のソースIDに置換する必要があります。https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | このフィールドを使用して、個々のPhishRIPクエリを検索します。 | id"98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
このフィールドを使用して、クエリが作成された日付でメッセージをフィルタリングします。 以下のような日付フォーマットを指定できます。YYYY-MM-DD |
started:"2020-04-04" |
| originator | このフィールドを使用して、PhishRIPを開始したユーザーの姓と名でクエリをフィルタリングします。 | originator:"John Doe" |
用語
用語とは、検索する単語や語句を意味します。2つのタイプの用語である単語と語句で検索することができます。単語の例として「緊急」などがあり、語句の例としては「要対応」などがあります。用語は、引用符で囲む必要はありません。複数の用語を演算子や修飾子を使用して組み合わせて、複雑なクエリを構成することができます。
演算子および修飾子
演算子または修飾子は、検索に使用する用語を指定したり、検索対象にしない用語を指定したりするために使用できるシンボルまたはキーワードです。
演算子や修飾子のリストと意味については、以下の表を参照してください。
| 演算子および修飾子 | 詳細 |
|---|---|
| AND | このオプションを使用して、両方の用語がテキストに含まれるメールを検索できます。ANDの代わりに&&記号を使用できます。 |
| OR | このオプションを使用して、いずれかの用語がテキストに含まれるメールを検索できます。ORの代わりに||記号を使用できます。 |
| NOT | このオプションを使用して、NOTの後の用語が含まれるメールを検索から除外できます。NOTの代わりに、 !や-のシンボルを使用できます。 |
| * |
このワイルドカードプレースホルダは、複数文字に使用できます。このプレースホルダは、単語に対してのみ使用できます。
注:ワイルドカードプレースホルダは、検索の最初の文字としては使用できません。
例えば、need、needs、neededを検索するには、次のように指定して検索します。 need*
|
| ? |
このワイルドカードプレースホルダは、1文字に対して使用できます。このプレースホルダは、一致しているが1文字が置換された用語を検索します。 例えば、特定の報告者を検索する場合、次のようなテキストを指定して検索します。 reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
クエリの実行
PhishERの受信箱からクエリを実行するには、以下のステップに従って操作します。
- PhishERの[Inbox](受信箱)に移動します。
- ページ左上隅にある[Search...](検索)バーにクエリ文字列を入力します。
- キーボードのEnterキーまたはReturnキーを押します。
[PhishRIP Queries](PhishRIPクエリ)ページからクエリを実行するには、以下のステップに従って操作します。
- PhishRIPに移動します。
- ページ左上隅にある[Search...](検索)バーにクエリ文字列を入力します。
- キーボードのEnterキーまたはReturnキーを押します。
クエリを実行したら、クエリ名をクリックして、検索されたメッセージを表示できます。
クエリの例
クエリは、検索する情報によって異なります。PhishERの受信箱でカスタマイズして実行できるクエリ文字列の例については、以下の表を参照してください。
| クエリ文字列 | 検索結果 |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immediately") |
このクエリは、件名に「urgent」または「immediately」が含まれる脅威としてタグ付けされた全てのメッセージを検索します。 |
-from_name: your-organization-domain.com
OR NOT from_name: your-organization-domain.com
|
このクエリは、自社ドメインから送信されていない全てのメッセージを検索します。your-organization-domain.comは、自社のドメインに必ず置き換えてください。 |
subject: "network*" AND -tag: "spam" |
このクエリは、件名が「network」で始まる単語または語句が含まれる全てのメッセージを検索します。スパムとしてタグ付けされたメッセージは検索の対象外になります。 |