Lucene 是一种查询语言,可用于搜索特定消息。您可在 PhishER 收件箱或 PhishRIP Queries 页面上使用 Lucene 来运行查询。
本文概述了 Lucene 查询语法,有助于您入门使用 PhishER 平台并运行自定义查询。有关更多信息,请参阅 Apache 的 Lucene - 查询解析器语法文档。
编写查询
Lucene 查询语法可分为三个部分:字段、术语、操作符或修改符。通过这些字符串运行查询,您可搜索 PhishER 收件箱和 PhishRIP Queries 页面中的消息。您可结合使用字段、术语和操作符或修改符,组成查询字符串。Lucene 查询字符串示例如下:
field_name:"This is the phrase I want to search for!"AND "This"
如需详细了解使用字段、术语和操作符或修改符编写查询字符串,请参见以下部分。
字段
字段是指用于查找消息中特定信息的 ID 或名称。例如,您可使用多个字段,按电子邮件的报告人员或报告时间等信息对消息进行筛选。在查询字符串中引用某个字段时,您必须在字段名称后面输入冒号 ( : )。
有关在 PhishER 收件箱查询中可用字段的列表,请参见下表:
| 字段名称 | 用例 | 示例 |
|---|---|---|
| attachment_names | 使用此字段,可按文件名或扩展名类型筛选消息。 |
attachment_names: "inv.pdf" attachment_names: *.doc |
| cc | 使用此字段,可按复制到原始消息上的电子邮件地址筛选消息。 | cc: "@knowbe4.com" |
| from_name | 使用此字段,可按与原始消息关联的发件人名称筛选消息。 |
from_name:"CyberheistNews" from_name:Cyberheist* |
| hosts | 使用此字段,可按与消息关联的主机名筛选消息。 |
hosts: "knowbe4.com" hosts: *google.com |
| reported_at | 使用此字段,可搜索在特定日期报告的消息。接受下列日期格式:YYYY-MM-DD | reported_at:"2018-11-27" |
| reported_by | 使用此字段,可按报告者的电子邮件地址筛选消息。 | reported_by: *@knowbe4.com (http://knowbe4.com/) |
| reported_by_name |
使用此字段,可按报告者的名称筛选消息。
重要提示:此搜索区分大小写。
|
reported_by_name:"First Last" |
| sent_at | 使用此字段,可按向报告者发送消息的日期筛选消息。接受下列日期格式:YYYY-MM-DD |
sent_at:"2018-12-04" sent_at:[2020-03-03 TO *] sent_at:[2020-03-03 TO 2020-04-04] sent_at:[2020-03 TO 2020-04] |
| subject | 使用此字段,可按主题行筛选消息。 |
subject: "invoice" subject: immediate* |
| tags | 使用此字段,可按附加至消息的标签筛选消息。 | tags: "threat"-tags: "threat" |
| to | 使用此字段,可按收件人的电子邮件地址筛选消息。 |
to: "@knowbe4.com" to: *know* |
| urls | 使用此字段,可按消息所含的 URL 筛选消息。 |
urls: "knowbe4.com" urls:* |
有关在 PhishRIP Queries 页面的 PhishER 查询中可用字段的列表,请参见下表:
| 字段名称 | 用例 | 示例 |
|---|---|---|
| source_id |
使用此字段,可按用于发起 PhishRIP 的 PhishER 消息筛选查询。
注意:您可前往下方 URL,查看 PhishER 收件箱中的消息。您需要将 source_id 替换为消息的特定源 ID:https://phisher.knowbe4.come/inbox/source_id
|
source_id: "b039476c-7534-4d52-b162-b8058acbb1e0" https://phisher.knowbe4.com/inbox/b039476c-7534-4d52-b162-b8058acbb1e0 |
| id | 使用此字段,可搜索单个 PhishRIP 查询。 | id:"98719b0a-b739-485f-98fe-6c343c21c27f" |
| started |
使用此字段,可按创建查询的日期筛选消息。 接受下列日期格式:YYYY-MM-DD |
started:"2020-04-04" |
| originator | 使用此字段,可按发起 PhishRIP 的用户姓名筛选查询。 | originator:"John Doe" |
术语
术语是指您可以搜索的单词或短语。您可以搜索以下两类术语:单个术语和短语。例如,“urgent”为单个术语,“action needed”为短语。术语不必用引号括起来。您可将多个术语与操作符或修改符结合起来,组成更复杂的查询。
操作符和修改符
操作符或修改符是一种符号或关键字,可用于搜索术语或从搜索中排除术语。
有关操作符或修改符及其含义的列表,请参见下表:
| 操作符和修改符 | 说明 |
|---|---|
| AND | 使用此选项,可查找电子邮件文本中存在的两个术语。您可使用符号 && 代替单词 AND。 |
| OR | 使用此选项,可查找电子邮件文本中存在的至少一个术语。您可使用符号 || 代替单词 OR。 |
| NOT | 使用此选项,可排除包含单词 NOT 后面的术语的电子邮件。您可使用符号 ! 或 - 代替单词 NOT。 |
| * |
您可将此通配符占位符用于多个字符。此占位符只能用于单个术语。
注意:通配符占位符不能用作搜索中的第一个字符。
例如,如需搜索“need”、“needs”或“needed”,可搜索下列文本: need*
|
| ? |
您可将此通配符占位符用于单个字符。此占位符可查找已替换单个字符的匹配术语。 例如,如需搜索特定报告者,可搜索以下文本: reported_by: *@k?owbe4.com AND sent_at:[2020-03-03 TO *]
|
运行查询
要通过 PhishER 收件箱运行查询,请按照以下步骤操作:
- 前往 PhishER Inbox。
- 在页面左上角的 Search… 栏中输入查询字符串。
- 按下键盘上的 Enter 键或 Return 键。
要通过 PhishRIP Queries 页面运行查询,请按照以下步骤操作:
- 前往 PhishRIP。
- 在页面左上角的 Search… 栏中输入查询字符串。
- 按下键盘上的 Enter 键或 Return 键。
运行查询后,即可单击查询名称,查看已找到的消息。
查询示例
查询各不相同,视您所搜索的信息而异。有关您可在 PhishER 收件箱中自定义并运行的查询字符串示例,请参见下表:
| 查询字符串 | 搜索结果 |
|---|---|
tags: "threat" AND (subject: "urgent" OR "immediately") |
通过此查询,可搜索被标记为威胁邮件且主题行带有“urgent”或“immediately”的所有消息。 |
-from_name: your-organization-domain.com
OR NOT from_name: your-organization-domain.com
|
通过此查询,可搜索不是从您的域发送的所有消息。务必将 your-organization-domain.com 替换为您组织的域。 |
subject: "network*" AND -tag: "spam" |
通过此查询,可搜索主题行带有以“network”开头的单词或短语的所有消息。不包括被标记为垃圾邮件的消息。 |