Lucene é uma linguagem de consulta que você pode usar para pesquisar mensagens específicas. Você pode usar o Lucene para executar consultas na caixa de entrada do PhishER ou na página PhishRIP Queries (Consultas do PhishRIP).
Este artigo é uma visão geral da sintaxe de consulta do Lucene para ajudar você a começar a executar consultas personalizadas na plataforma PhishER. Para obter mais informações, consulte a documentação Lucene - sintaxe do analisador de consultas da Apache.
Como criar uma consulta
A sintaxe de consulta do Lucene pode ser dividida em três partes: campos, termos e operadores ou modificadores. Você pode usar estas sequências de caracteres para executar consultas, que permitem que você pesquise por mensagens na caixa de entrada do PhishER e na página PhishRIP Queries (Consultas do PhishRIP). É possível usar uma combinação de um campo, termo e operador ou modificador para formar uma sequência de caracteres de consulta. A seguir, um exemplo de uma sequência de caracteres de consulta do Lucene:
field_name: "This is the phrase I want to search for!" AND "This"
Consulte as seções abaixo para aprender mais sobre como criar uma sequência de caracteres de consulta usando campos, termos e operadores ou modificadores.
Campos
Um campo é a ID ou o nome usado para localizar informações específicas em uma mensagem. Por exemplo, você pode usar os campos para filtrar mensagens por informações, como quem denunciou o e-mail ou quando ele foi denunciado. Se um campo for mencionado em uma sequência de caracteres de consulta, insira dois pontos ( : ) após o nome do campo.
Consulte a tabela abaixo para obter uma lista dos campos que você pode usar nas consultas da sua caixa de entrada do PhishER:
| Nome do campo | Caso de uso | Exemplo |
|---|---|---|
| attachment_names | Use este campo para filtrar as mensagens por nome de arquivo ou tipo de extensão. |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | Use este campo para filtrar as mensagens por um endereço de e-mail que foi copiado na mensagem original. | cc: "@knowbe4.com" |
| from_name | Use este campo para filtrar as mensagens por um nome de remetente vinculado à mensagem original. |
from_name: "CyberheistNews" from_name: Cyberheist* |
| hosts | Use este campo para filtrar as mensagens pelos nomes de host vinculados à mensagem. |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | Use este nome de campo para pesquisar por mensagens denunciadas em uma data específica. O seguinte formato de data é aceito: AAA-MM-DD | reported_at: "2018-11-27" |
| reported_by | Use este campo para filtrar as mensagens pelo endereço de e-mail do denunciante. | reported_by: *@knowbe4.com (http://knowbe4.com/) |
| reported_by_name |
Use este campo para filtrar as mensagens pelo nome do denunciante.
Importante: esta pesquisa diferencia maiúsculas de minúsculas.
|
reported_by_name: "First Last" |
| sent_at | Use este campo para filtrar as mensagens pela data na qual elas foram enviadas ao denunciante. O seguinte formato de data é aceito: AAA-MM-DD |
sent_at: "2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | Use este campo para filtrar as mensagens pelas linhas de assunto. |
subject: "invoice" subject: immediate* |
| tags | Use este campo para filtrar as mensagens pelas marcas anexadas a elas. | tags: "threat"-tags: "threat" |
| to | Use este campo para filtrar as mensagens pelo endereço de e-mail do destinatário. |
to: "@knowbe4.com" to: *know* |
| urls | Use este campo para filtrar as mensagens pelos URLs encontrados na mensagem. |
urls: "knowbe4.com" urls:* |
Consulte a tabela abaixo para obter uma lista dos campos que você pode usar nas consultas do PhishER, a partir da página PhishRIP Queries (Consultas do PhishRIP):
| Nome do campo | Caso de uso | Exemplo |
|---|---|---|
| source_id |
Use este campo para filtrar as consultas pela mensagem do PhishER usada para iniciar o PhishRIP.
Observação: você pode exibir a mensagem na caixa de entrada do PhishER ao acessar o URL a seguir. Será necessário substituir o source_id pela ID de origem específica da mensagem: https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | Use este campo para pesquisar por uma consulta individual do PhishRIP. | id: "98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
Use este campo para filtrar as mensagens pela data na qual a consulta foi criada. O seguinte formato de data é aceito: AAA-MM-DD |
started:"2020-04-04" |
| originator | Use este campo para filtrar as consultas pelo nome e sobrenome de um usuário que iniciou o PhishRIP. | originator:"John Doe" |
Termos
Um termo é uma palavra ou expressão pela qual você pode pesquisar. Você pode pesquisar por dois tipos de termos: termos únicos e expressões. Um exemplo de termo único é "urgent", e um exemplo de expressão é "action needed". Os termos não precisam estar entre aspas. Você pode combinar vários termos com operadores ou modificadores para formar uma consulta mais complexa.
Operadores e modificadores
Um operador ou modificador é um símbolo ou uma palavra-chave que você pode usar para pesquisar por termos ou para excluí-los da sua pesquisa.
Consulte a tabela abaixo para obter uma lista de operadores ou modificadores e seus significados:
| Operadores e modificadores | Descrição |
|---|---|
| AND | Você pode usar esta opção para encontrar dois termos no texto de um e-mail. Use o símbolo && em vez da palavra AND. |
| OR | Você pode usar esta opção para encontrar pelo menos um termo no texto de um e-mail. Use o símbolo || em vez da palavra OR. |
| NOT | Você pode usar esta opção para excluir os e-mails que contenham o termo depois da palavra NOT. Use o símbolo ! ou - em vez da palavra NOT. |
| * |
Você pode usar este texto escolhido curinga para vários caracteres. Esse texto escolhido pode ser usado apenas com termos únicos.
Observação: os textos escolhidos curingas não podem ser usados como o primeiro caractere de uma pesquisa.
Por exemplo, para pesquisar pelas palavras need, needs ou needed, procure da seguinte forma: need*
|
| ? |
Você pode usar este texto escolhido curinga para um único caractere. Esse texto escolhido procura por termos correspondentes, mas que tenham um único caractere substituído. Por exemplo, para pesquisar por um denunciante específico, procure o seguinte texto: reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
Como executar uma consulta
Para executar uma consulta na caixa de entrada do PhishER, siga estas etapas:
- Acesse a Inbox (Caixa de entrada) do PhishER.
- Digite sua sequência de caracteres de consulta na barra Search… (Pesquisar…), no canto superior esquerdo da página.
- Pressione a tecla Enter ou Return no teclado.
Para executar uma consulta na página PhishRIP Queries (Consultas do PhishRIP), siga estas etapas:
- Acesse o PhishRIP.
- Digite sua sequência de caracteres de consulta na barra Search… (Pesquisar…), no canto superior esquerdo da página.
- Pressione a tecla Enter ou Return do teclado.
Depois de executar a consulta, clique no nome dela para ver as mensagens que aparecem.
Exemplos de consultas
As consultas variam de acordo com as informações que você pesquisa. Consulte a tabela abaixo para obter exemplos de sequências de caracteres de consulta que você pode personalizar e executar na sua caixa de entrada do PhishER:
| Sequência de caracteres de consulta | Resultado da pesquisa |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immediately") |
Esta consulta pesquisa todas as mensagens marcadas como uma ameaça com "urgent" ou "immediately" na linha de assunto. |
-from_name: your-organization-domain.com
OR NOT from_name: your-organization-domain.com
|
Esta consulta pesquisa todas as mensagens que não foram enviadas do seu domínio. Certifique-se de substituir your-organization-domain.com pelo domínio da sua organização. |
subject: "network*" AND -tag: "spam" |
Esta consulta pesquisa todas as mensagens com palavras ou expressões que começam com "network" na linha de assunto. As mensagens marcadas como spam não serão incluídas. |