Einstufen von E-Mails

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

So erstellen und verwalten Sie Aktionen in PhishER

Die Registerkarte Actions der PhishER-Plattform enthält all Ihre Aktionen. Jede Aktion ist ein Prozess, dem PhishER folgt, um Nachrichten im Posteingang von PhishER zu verwalten. Sie können beispielsweise Aktionen erstellen, um Nachrichten automatisch einzustufen und Reports an Nutzerinnen und Nutzer zu senden. Aktionen können auch über die Registerkarte Actions List verwaltet werden.

Erstellen von Aktionen

Gehen Sie wie folgt vor, um eine neue Aktion zu erstellen:

  1. Melden Sie sich bei der PhishER-Plattform an.
  2. Wählen Sie in der Seitenleiste links auf der Seite die Registerkarte Actions aus, um die Seite Actions List zu öffnen.

  3. Klicken Sie oben rechts auf der Seite auf die Schaltfläche New Action (Neue Aktion). Die Seite Action Details (Aktionsdetails) wird geöffnet.

  4. Geben Sie in den Feldern Name und Description einen aussagekräftigen Namen und eine aussagekräftige Beschreibung für die Aktion ein. Anhand des Namens und der Beschreibung können andere Admins den Zweck der Aktion erkennen.

  5. Mit den Optionen auf den Drop-down-Registerkarten können Sie die Aktion einrichten. Weitere Informationen über diese Registerkarten finden Sie unter den nachfolgenden Drop-down-Menüs:
      • Every Message: Mit dieser Option wird die Aktion für alle Nachrichten ausgelöst.
      • No Tags: Mit dieser Option wird die Aktion für alle Nachrichten ohne Tag ausgelöst.

      • Specify Tags: Mit dieser Option wird die Aktion für bestimmte Tags ausgelöst. Wenn Sie das Kontrollkästchen aktivieren, werden die Optionen Has und Doesn't Have angezeigt. Für beide Optionen können Sie All, Any oder Only auswählen. Fügen Sie dann die Tags hinzu, durch die diese Aktion ausgelöst werden soll. Klicken Sie hierfür auf das Feld Add new tag. Geben Sie das zu verwendende Tag ein und drücken Sie die Eingabetaste auf der Tastatur.

        Hinweis: Wenn Sie Has wählen, können Sie All wählen, um diese Aktion für Nachrichten mit allen aufgeführten Tags auszulösen. Sie können Any wählen, um diese Aktion für Nachrichten mit einem der aufgeführten Tags auszulösen. Sie können Only auswählen, um diese Aktion nur für Nachrichten mit allen aufgelisteten Tags und ohne zusätzliche Tags auszulösen. Wenn Sie Doesn‘t have wählen, können Sie die Optionen auswählen, um diese Aktion für Mitteilungen ohne alle, alle oder nur die aufgeführten Tags auszulösen.
      • Manual Trigger Only: Mit dieser Option kann die Aktion nur manuell ausgelöst werden. So lösen Sie die Aktion manuell aus: Wählen Sie die Aktion auf der Seite Inbox oder Message Details im Drop-down-Menü Run aus.

      • PhishML Confidence: Wählen Sie diese Option aus, um die Aktion für Mitteilungen auszulösen, die PhishML Confidence-Scores in einem definierten Bereich für eine bestimmte Kategorie erhalten. Für die Option Category können Threat, Clean oder Spam ausgewählt werden. Geben Sie für die Option Threshold Prozentsätze ein. Diese legen den Schwellenwert für PhishML Confidence-Werte fest, bei denen Ihre Aktion ausgelöst wird.

        Wichtig: Wenn PhishML deaktiviert ist, steht diese Einstellung nicht zur Verfügung. PhishML Confidence Threshold wird automatisch auf Null festgelegt. Wenn Sie festgelegt haben, dass Ihre Aktion ausgelöst wird, wenn PhishML Confidence Threshold gleich Null ist, müssen Sie eine andere Option auswählen, damit die Aktion ausgelöst wird.

      • Specify Reporters: Mit dieser Option wird die Aktion für Nachrichten ausgelöst, die von einer bestimmten Nutzerin/einem bestimmten Nutzer gemeldet wurden. Fügen Sie dann die E-Mail-Adressen der Nutzerinnen und Nutzer hinzu, die diese Aktion auslösen sollen. Um einen Eintrag hinzuzufügen, klicken Sie auf das Textfeld. Geben Sie die E-Mail-Adressen ein, die Sie verwenden möchten, und drücken Sie dann die Eingabetaste auf Ihrer Tastatur. Sie können bis zu 100 E-Mail-Adressen eingeben. Sie können auch eine Liste mit E-Mail-Adressen (durch Komma getrennt) kopieren und diese Liste in das Feld einfügen.

    • Hinweis: Aktivieren Sie das Kontrollkästchen neben einer Option, um das Drop-down-Menü zu aktivieren.

      • Set Status: Aktivieren Sie dieses Kontrollkästchen, um Nachrichten einen Status zuzuweisen. Bei Auswahl dieser Option wird ein Drop-down-Menü angezeigt, in dem Sie den Status auswählen können. Sie können Received, In Review oder Resolved auswählen.

      • Set Priority: Aktivieren Sie dieses Kontrollkästchen, um Nachrichten eine Priorität zuzuweisen. Bei Auswahl dieser Option wird ein Drop-down-Menü angezeigt, in dem Sie die Priorität auswählen können. Sie können Critical, High, Medium, Low oder Unknown auswählen.
      • Set Category: Aktivieren Sie dieses Kontrollkästchen, um Nachrichten eine Kategorie zuzuweisen. Bei Auswahl dieser Option wird ein Drop-down-Menü angezeigt, in dem Sie die Kategorie auswählen können. Sie können Clean, Spam, Threat oder Unknown auswählen.

      • Add Tags: Aktivieren Sie dieses Kontrollkästchen, um Nachrichten benutzerdefinierte Tags zuzuweisen. Klicken Sie hierfür auf das Feld Add new tag. Geben Sie das zu verwendende Tag ein und drücken Sie die Eingabetaste auf der Tastatur.

      • None: Mit dieser Option wird die Aktion nicht gemeldet.
      • Send to Syslog: Mit dieser Option wird ein Report zu der Aktion an einen Syslog-Server gesendet. Bei Auswahl dieser Option wird ein Drop-down-Menü angezeigt, in dem Sie einen bestimmten Syslog-Server auswählen können, sofern Sie mindestens einen Server konfiguriert haben. Wenn kein Server konfiguriert wurde, wird ein Link zu den Syslog-Einstellungen angezeigt. In den Artikeln PhishER-Einstellungen und Whitelisting in Syslog erfahren Sie, wie Sie einen Syslog-Server in PhishER integrieren.

      • Send Email: Mit dieser Option wird ein Report zu der Aktion an eine bestimmte E-Mail-Adresse gesendet. Bei Auswahl dieser Option können Sie für diesen Report eine bestehende benutzerdefinierte E-Mail-Vorlage auswählen oder eine neue E-Mail-Vorlage erstellen.

        Hinweis: Wenn die Felder der E-Mail-Vorlage automatisch ausgefüllt werden sollen, können Sie die Einstellungen Ihres E-Mail-Servers entsprechend konfigurieren.

        Die E-Mail-Adresse der Empfängerin bzw. des Empfängers muss eine Domain aus den unter „Zulässige Domains“ aufgeführten Domains verwenden. Diese wurden verifiziert und in Ihren KSAT-Kontoeinstellungen gespeichert.

        Weitere Informationen zur Verwendung des E-Mail-Vorlageneditors finden Sie im Artikel So erstellen Sie eine benutzerdefinierte E-Mail-Vorlage in PhishER.

      • Send to Reporter's KSAT Profile: Mit dieser Option wird ein Report zu der Aktion an die KSAT-Konsole gesendet. Wenn Sie diese Option wählen, können Sie einen Report erstellen, der auf der Nutzerzeitleiste angezeigt wird.

        Hinweis: Diese Option bleibt deaktiviert, bis Sie den KSAT User Event API-Schlüssel in den PhishER-Einstellungen eingegeben haben.

         

         

      • Send to Webhook: Mit dieser Option wird ein Report zu der Aktion an einen Webhook gesendet. Verwenden Sie diese Option, um zu erfahren, wie die Aktion beim Senden an den ausgewählten Webhook dargestellt wird. Beim Auslösen der Aktion werden im Webhook die Nachrichtendetails der jeweils gemeldeten Nachricht angezeigt.

         

    •  

      Aktivieren Sie dieses Kontrollkästchen, um weitere Aktionen anzuhalten. Beim Auslösen dieser Aktion werden keine nachgeordneten Aktionen mehr ausgeführt. Für diese Aktion wird auf der Seite Actions List neben der Spalte Trigger Tags ein Handsymbol angezeigt.

    •  

      Hinweis: Sie können der QuickActions-Leiste bis zu zehn Aktionen hinzufügen.
      • Include this action in the QuickActions bar: Aktivieren Sie dieses Kontrollkästchen, um die Aktion in der QuickActions-Leiste auf der Seite Inbox oder Message Details anzuzeigen. Aktionen können als QuickAction manuell ausgelöst werden. Wenn Sie beispielsweise eine Nachricht manuell als Clean einstufen, können Sie eine QuickAction erstellen, um die Nutzerin bzw. den Nutzer, von dem/der die ursprüngliche E-Mail gemeldet wurde, in einer E-Mail darüber zu informieren, dass die Nachricht sicher ist.

      • Add keyboard shortcut for this Action: Aktivieren Sie dieses Kontrollkästchen, um eine Tastenkombination für diese Aktion hinzuzufügen. Mit dieser Option können Sie die Aktion durch Drücken einer Tastenkombination auf der Tastatur auslösen.

        Hinweis: Jede Aktion muss über eine eindeutige Tastenkombination verfügen. Dieselbe Tastenkombination kann nicht für mehrere Aktionen verwendet werden.
      • Automatically move to Next item in list after Action completes: Aktivieren Sie dieses Kontrollkästchen, um nach Abschluss der Aktion die nächste Nachricht aufzurufen.
    •  

      • Aktivieren Sie dieses Kontrollkästchen, um neue zutreffende Nachrichten mit den entsprechenden Tags dauerhaft aus dem Posteingang von PhishER zu löschen, wenn die Aktion ausgelöst bzw. ausgeführt wird.

        Hinweis: Frühere Nachrichten, die ebenfalls über das entsprechende Tag verfügen, werden beim Auslösen bzw. Ausführen dieser Aktion nicht erkannt oder gelöscht. Dieser Bereich ist ausgegraut, wenn Sie ausgewählt haben, dass diese Aktion für alle Nachrichten ausgelöst wird.
    •  
      • Match Criteria: Wählen Sie mindestens zwei der Optionen für die Suche nach ähnlichen Nachrichten aus. Sie können Subject, Sender, Recipients, Attachments oder Body auswählen.
      • Find messages received in the: Wählen Sie im Drop-down-Menü einen Zeitraum aus, in dem die zu suchenden Nachrichten im Posteingang von PhishER eingegangen sind.
      • Automatically quarantine all found messages: Wenn Sie dieses Kontrollkästchen aktiviert haben, werden über die neue PhishRIP-Abfrage entsprechende E-Mails unter Quarantäne gestellt, sobald die Aktion ausgelöst wird.
      • Automatically PhishFlip all found messages: Bei Auswahl von Automatically quarantine all found messages können Sie auch dieses Kontrollkästchen aktivieren, damit PhishFlip über die PhishRIP-Abfrage gefundene E-Mails automatisch verwenden kann. Wenn diese Aktion ausgelöst wird, erstellt PhishFlip mithilfe der gefundenen Mitteilungen KSAT-Phishing-Vorlagen und sendet eine Phishing-Kampagne an die Nutzerinnen und Nutzer, die die ursprünglichen E-Mails erhalten haben.
      • Create a KSAT Phishing Template: Aktivieren Sie dieses Kontrollkästchen, um spezielle KSAT-Phishing-Vorlagen für E-Mails zu erstellen, die die Aktion auslösen.

  6. (Optional) Wenn die Aktion beim Erstellen inaktiv sein soll, können Sie den Schalter Active Status oben rechts auf der Seite Action Details deaktivieren. Standardmäßig ist die Aktion aktiv.

    Hinweis: Die Aktion muss aktiv sein, um ausgelöst zu werden.

  7. Klicken Sie unten auf der Seite auf die Schaltfläche Save Action. Die Aktion wird auf der Seite Actions List angezeigt.

  8. (Optional) Wenn Sie die Reihenfolge der Aktionen auf der Seite Actions List (Aktionsliste) ändern möchten, können Sie die neue Aktion an eine andere Position ziehen. Klicken Sie dann auf die Schaltfläche Save Action Order (Reihenfolge der Aktionen speichern).

Verwalten von Aktionen

Alle Aktionen sind auf der Seite Actions List aufgeführt. Die Aktionen werden von PhishER der Reihe nach von oben nach unten ausgeführt. Sie können die Aktionen per Drag-and-Drop verschieben, um die Reihenfolge zu ändern.

Weitere Informationen zur Actions List (Aktionsliste) finden Sie im Screenshot und in der folgenden Liste:

  1. Name: Diese Spalte enthält den benutzerdefinierten Namen der Aktion.
  2. Description: Diese Spalte enthält die benutzerdefinierte Beschreibung der Aktion.
  3. Status: Diese Spalte enthält den aktuellen Status der Aktion. Eine Aktion kann den Status Active oder Inactive aufweisen. Klicken Sie auf die Aktion, um deren Status zu ändern. Schalten Sie dann den Schalter Active Status bzw. Inactive Status oben rechts auf der Seite Action Details um.
  4. Last Updated At: Diese Spalte enthält Datum und Uhrzeit der letzten Änderung der Aktion.
  5. Trigger Tags: Diese Spalte enthält die Tags, die zur Auslösung der Aktion führen.
  6. Actions: Diese Spalte enthält die Aktionen, die für einen Aktionseintrag ausgeführt werden können. Klicken Sie auf das Papierkorbsymbol, um die Aktion zu löschen.
Tipp:Sie können eine Aktion auch über die Actions List löschen, indem Sie auf den Namen der Aktion klicken. Klicken Sie dann auf die Schaltfläche Delete Action oben rechts auf der Seite Action Details.

Verwenden von Systemaktionen

Ihre PhishER-Plattform bietet Systemaktionen, die Sie bei der Verwaltung von Mitteilungen unterstützen. Um diese Aktionen nutzen zu können, müssen Sie PhishML und die VirusTotal-Integration für Ihre PhishER-Plattform aktivieren und konfigurieren. Standardmäßig sind diese Aktionen deaktiviert und inaktiv. Nachdem Sie Systemaktionen für Ihr Konto aktiviert haben, können Sie die Aktionen sofort nutzen. Die meisten Felder in jeder Aktion sind bereits konfiguriert, aber bei Aktionen, die Benachrichtigungen senden, müssen Sie Informationen hinzufügen.

Hinweis: Bei älteren PhishER-Abonnements sind Systemaktionen nicht in der Konsole enthalten. Sie können die Aktionen manuell erstellen. Weitere Informationen finden Sie in unserem Artikel Vorlagen für PhishER-Systemvorlagen.

Weitere Informationen zu den Systemaktionen finden Sie im Screenshot und in der Liste unten:

Aktionsname Aktionsbeschreibung
Clean Email Notification for Admin Wenn PhishER feststellt, dass eine Nachricht unbedenklich ist, benachrichtigt diese Aktion den zuständigen Administrator, damit er die E-Mail überprüft. Um diese Aktion zu verwenden, müssen Sie E-Mail-Adressen in die Felder From und Reply To der Option Send Email eingeben.
Automatic Clean Email Notification for Reporter Wenn PhishER feststellt, dass eine E-Mail unbedenklich ist, benachrichtigt diese Aktion die Nutzerinnen und Nutzer, die die ursprüngliche E-Mail gemeldet haben.
Unmet PML Threshold Notification for Admin Erfüllt eine E-Mail nicht den Schwellenwert für die PhishML-Disposition, benachrichtigt diese Aktion den zuständigen Administrator, um die E-Mail zu überprüfen. Um diese Aktion zu verwenden, müssen Sie E-Mail-Adressen in die Felder From und Reply To der Option Send Email eingeben.
PhishRIP Query for Subject and Sender from a Threat Email Wenn PhishER feststellt, dass es sich bei einer Nachricht um eine Bedrohung handelt, initiiert diese Aktion eine PhishRIP-Abfrage, die auf der Betreffzeile und der E-Mail-Adresse des Absenders der ursprünglichen E-Mail basiert.
Threat Email Notification for Reporter Wenn PhishER feststellt, dass eine Nachricht eine Bedrohung darstellt, benachrichtigt diese Aktion die Nutzerinnen und Nutzer, die die ursprüngliche E-Mail gemeldet haben.
Spam Email Notification for Reporter Wenn PhishER feststellt, dass eine Nachricht Spam ist, benachrichtigt diese Aktion die Nutzerinnen und Nutzer, die die ursprüngliche E-Mail gemeldet haben. Um diese Aktion verwenden zu können, müssen Sie PhishML und VirusTotal konfigurieren.
Threat Email Notification for Admin Wenn PhishER feststellt, dass es sich bei einer Nachricht um eine Bedrohung handelt, benachrichtigt diese Aktion den zuständigen Administrator, um die E-Mail zu überprüfen. Um diese Aktion zu verwenden, müssen Sie E-Mail-Adressen in die Felder From und Reply To der Option Send Email eingeben.

War dieser Artikel hilfreich?

6 von 7 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren