advact Extract Threat Hunts

Mit advact Extract (Sublime) haben Sie die Möglichkeit sehr einfach und präzise nach potentiell gefährlichen E-Mails in allen Mailboxen Ihrer Mitarbeitenden zu suchen. Die gefunden E-Mails können dann auf Knopfdruck direkt aus Sublime gelöscht und unschädlich gemacht werden.

Hunt mit einer existierenden Rule

Sie können eine bestehende Rule nehmen und mit dieser einen Hunt starten. Dazu öffnen Sie in Detection Posture die Detection Rules. Bei der Rule, mit welcher Sie den Hunt starten wollen, klicken Sie ganz rechts auf die drei Punkte und wählen "Hunt with this rule" aus:

Das öffnet ein neues Fenster für den Hunt. Auf der linken Seite sehen Sie die Message Query, mit welcher der Hunt durchgeführt wird. Die Query wurde 1:1 aus der Rule übernommen, kann nun aber manuell noch angepasst werden, falls nötig.

Sobald Sie zufrieden sind mit der Query, können Sie oben rechts auswählen wie weit zurück Sie nach E-Mails suchen möchten. Standardmässig wird nur bis zum vorherigen Tag (Last 1 day) gesucht. Je länger Sie die Zeitspanne wählen, desto länger wird der Hunt dauern.

Danach klicken Sie auf "Hunt" um den Prozess zu starten.

Im rechten Fenster sehen Sie danach alle E-Mails, welche mit dem Hunt gefunden wurden. 

Sie können nun alle E-Mails auswählen, die Sie löschen möchten und klicken dann auf "Review". Nach der Auswahl der Klassifizierung dieser E-Mail, können Sie die Action "Trash" selektieren und mit "Submit" alle E-Mails sofort löschen.

Hunt mit eigener Message Query

Unter "Find threat" - "Hunt" können Sie einen manuellen Threat Hunt starten.

Sie starten dann mit einem leeren Feld für die Message Query, mit welcher Sie E-Mails suchen möchten.

Zuunterst finden Sie einen Link auf die Message Query Language Dokumentation und auf die Learning Labs, welche Ihnen helfen werden die optimale Message Query zu erstellen:

Der Ablauf des Hunts ist danach identisch zu oben (Hunt mit einer existierenden Rule)