Einrichten von Integrationen

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

So integrieren Sie VirusTotal in Ihre PhishER-Konsole

Sie können in den PhishER-Einstellungen auf der Unterregisterkarte VirusTotal die VirusTotal-Integration für Ihre PhishER-Konsole konfigurieren. VirusTotal ist ein Dienst, der Dateien mithilfe von über 70 Antivirenprogrammen auf schädliche Inhalte untersucht und analysiert. Für die Integration Ihres VirusTotal-Kontos mit PhishER benötigen Sie einen aktiven VirusTotal-API-Schlüssel. Wenn Sie kein VirusTotal-Konto haben, können Sie sich kostenlos auf der Website Website (Link wird in einem neuen Fenster geöffnet) von VirusTotal registrieren.

Hinweis: KnowBe4 verfügt über eine Genehmigung von VirusTotal für die Integration mithilfe der kostenlosen VirusTotal Public API. Über die VirusTotal Public API können über Ihre PhishER-Konsole 500 Anfragen pro Tag und vier Anfragen pro Minute gestellt werden. Weitere Informationen finden Sie im Artikel VirusTotal API v3 Overview VirusTotal API v3 Overview (Link wird in einem neuen Fenster geöffnet) von VirusTotal.

Konfigurieren der Integration

Um die Integration zu konfigurieren, müssen Sie die Felder auf der Unterregisterkarte VirusTotal in Ihren PhishER-Einstellungen ausfüllen. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:

  1. Disabled or Enabled: Mit diesem Schalter können Sie die Integration deaktivieren oder aktivieren.
  2. Enter your VirusTotal key: Geben Sie in diesem Feld Ihren VirusTotal-Schlüssel ein. Weitere Informationen finden Sie im Artikel Please give me an API key Please give me an API key (Link wird in einem neuen Fenster geöffnet) von VirusTotal.
  3. (Optional) VirusTotal Automatic Scanning: Durch Konfigurieren der Einstellungen in diesem Abschnitt scannt VirusTotal bestimmte Teile einer Nachricht automatisch. In der folgenden Liste sind die verfügbaren Optionen aufgeführt:
    • Automatically scan ALL Attachments (Hashes Only): Wenn Sie dieses Kontrollkästchen aktivieren, empfängt VirusTotal einen Hash aller Anhänge in Ihrer PhishER Inbox.
    • Automatically scan ALL URLs: Wenn Sie dieses Kontrollkästchen aktivieren, werden alle URLs in Ihrer PhishER Inbox automatisch an VirusTotal gesendet.
    • Timeout if no response (seconds): Geben Sie hier die Anzahl der Sekunden für den Timeout ein. Sie legen dadurch eine benutzerdefinierte Zeitspanne für Ihre VirusTotal-Scanergebnisse fest. Wenn VirusTotal innerhalb dieses Zeitraums keine Scanergebnisse zurückgibt, wird der entsprechenden Nachricht ein VT_Bypassed-Tag beigefügt. Der Timeout-Zeitraum beträgt standardmäßig 120 Sekunden. Weitere Informationen zu den Tags, die auf die Nachricht angewendet werden können, finden Sie in diesem Artikel im Abschnitt VirusTotal-Tags.
  4. (Optional) Detection Threshold: In diesem Abschnitt können Sie die Mindestanzahl der Nachweise von Antivirus-Programmen festlegen, anhand der bestimmt wird, ob ein Anhang oder eine URL schädlich ist.
    • Minimum Antivirus Scanner Detections for VT_Bad Tag: Geben Sie die Mindestanzahl der Nachweise ein, die ein Antivirus-Programm erkennen muss, um einen Anhang oder eine URL als schädlich einzustufen und das VT_Bad-Tag an die entsprechende Mitteilung anzufügen. Der Schwellenwert ist standardmäßig auf 1 festgelegt. Sie können einen Wert von maximal 50 festlegen. Eine Aktualisierung dieser Einstellung wirkt sich nicht auf Nachrichten aus, die bereits mit einen Tag versehen worden sind. Es sind nur neue Nachrichten betroffen, die den Schwellenwert erfüllen. Wenn der Schwellenwert auf eine Zahl größer 1 festgelegt wird und die VirusTotal-Scanergebnisse diesen Schwellenwert nicht erfüllen, jedoch größer 0 sind, wird der Nachricht das VT_Suspicious-Tag beigefügt. Weitere Informationen zu den Tags, die auf die Nachricht angewendet werden können, finden Sie in diesem Artikel im Abschnitt VirusTotal-Tags.

  5. Ignored Domains: Geben Sie die Domains ein, die VirusTotal beim Ausführen eines Scans ignorieren soll. Verwenden Sie für jede Domain eine neue Zeile. Wenn Sie eine Domain zu dieser Liste hinzufügen, werden auch alle Subdomains dieser Domain ausgeschlossen. Wenn Sie jedoch eine Subdomain zu dieser Liste hinzufügen, wird die Domain nicht ausgeschlossen. Platzhalter (*) und URIs (Uniform Resource Identifiers) werden nicht unterstützt.

    Wichtig: Eine Liste der KnowBe4-Domains, die nicht als Links oder Anhänge an VirusTotal gesendet werden sollen, finden Sie im Abschnitt Ausschließen von KnowBe4-Domains aus den Scans.
  6. Save: Klicken Sie auf diese Schaltfläche, um Ihre VirusTotal-Integrationseinstellungen zu aktualisieren.

Scannen mit VirusTotal

Nach der Integration Ihres VirusTotal-Kontos in Ihre PhishER-Konsole können Sie einen VirusTotal-Scan für Anhänge von Nachrichten und URLs in Nachrichten ausführen. Um einen VirusTotal-Scan für einen bestimmten Anhang oder eine bestimmte URL auszuführen, klicken Sie auf der Seite Message Details auf die Option Scan with VirusTotal.

Es besteht auch die Möglichkeit, bei ausgewählten Nachrichten automatisch einen VirusTotal-Scan auszuführen, wenn Sie Ihre Regeln und Aktionen erneut ausführen. Weitere Informationen zu diesen Optionen finden Sie im Leitfaden zur PhishER Inbox.

VirusTotal weist den gescannten Nachrichten ein oder mehrere Tags zu, die Aufschluss über die Ergebnisse der Analyse bieten. Weitere Informationen zu den Tags, die auf die Nachrichten angewendet werden können, finden Sie im Abschnitt VirusTotal-Tags.

Wichtig: Wenn Sie die Optionen unter VirusTotal Automatic Scanning in den Einstellungen aktivieren, erhält VirusTotal automatisch alle Links oder Hashes von Anhängen, die PhishER an VirusTotal zum Scannen senden darf. Sie können URLs ausschließen, indem Sie die Domains zur Liste Ignorierte Domains hinzufügen. Die gescannten URLs und gehashten Anhänge werden mit den Ergebnissen des Scans in der VirusTotal-Community veröffentlicht, um auf verifizierte schädliche Inhalte aufmerksam zu machen. Wenn Sie eine Datei manuell übermitteln, wird der gesamte Anhang zusammen mit den Ergebnissen des Scans veröffentlicht. Bedenken Sie dies, wenn Sie Anhänge mit sensiblen Daten anhand eines VirusTotal-Scans auf URLs oder Anhänge überprüfen möchten.

Ausschließen von KnowBe4-Domains aus den Scans

KnowBe4 nutzt mehrere Domains, die nicht als Links oder Anhänge an VirusTotal gesendet werden sollen. Geben Sie diese Domains in den PhishER-Einstellungen auf der Unterregisterkarte VirusTotal in das Feld Ignored Domains ein. Eine vollständige Liste dieser Domains finden Sie im Folgenden:

  • kb4.io
  • comano.us
  • magnetonics.com
  • bloemlight.com
  • instantrevert.net
  • phishing.guru
  • phishtrain.org
  • malwarebouncer.com
  • phish.farm
  • microransom.us
  • msftemail.com
  • compromisedblog.com
  • com-onlinebanking.com
  • com-token-auth.com
  • 2O2.lOl
  • protected-forms.com
  • cert-sha256.com
  • wishyoudidntclickthis.com
  • cert-sha256.co.uk
  • internalportal.net
  • twittermessage.net
  • my-cloud-mail.com
  • linkedlnu.com
  • farenheit.net
  • gooqleonline.com
  • donotreply.biz
  • aøl.com
  • exchamge.org
  • allibaba.org
  • voipmessage.uk
  • efaxonline.org
  • bltly.us
  • twittermessage.co.uk
  • www-com.co.uk
  • srvgov.com
  • gooqle.eu
  • allibaba.eu
  • yourgunnalovetraining.com
  • succesful.org

VirusTotal-Tags

Im Abschnitt zu VirusTotal-Tags auf der Unterregisterkarte VirusTotal finden Sie die Tags, die VirusTotal nach dem Scannen Ihren Nachrichten beifügen kann. Je nach den Scanergebnissen weist VirusTotal den Nachrichten mindestens eines der folgenden Tags zu. In der folgenden Liste sind die VirusTotal-Tags aufgeführt:

  1. VT_Pending: Dieses Tag wird Ihrer Nachricht beigefügt, wenn ein VirusTotal-Scan in die Warteschlange gestellt wird. Dieses Tag wird entfernt, wenn der Scan abgeschlossen ist.
  2. VT_Bad: Dieses Tag wird Ihrer Nachricht beigefügt, wenn ein VirusTotal-Scan einen schädlichen Anhang findet.
  3. VT_Suspicious: Dieses Tag wird Ihrer Nachricht beigefügt, wenn ein VirusTotal-Scan einen verdächtigen Anhang oder eine verdächtige URL findet, die jedoch nicht als schädlich eingestuft werden kann. Sie können den Erkennungsschwellenwert für schädliche Anhänge oder URLs über die Einstellung Minimum Antivirus Scanner Detections festlegen.
  4. VT_Scanned: Dieses Tag wird Ihrer Nachricht beigefügt, wenn ein VirusTotal-Scan abgeschlossen ist und der Anhang als unbedenklich (nicht schädlich) eingestuft wird.

  5. VT_Bypassed: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem VirusTotal-Scan eine Zeitüberschreitung stattfindet. Dieses Tag wird in der Regel mit weiteren VirusTotal-Tags beigefügt. In Ihren Einstellungen unter VirusTotal Automatic Scanning können Sie einen benutzerdefinierten Timeout-Zeitraum konfigurieren.

    Wichtig: Bei einem VirusTotal-Timeout werden in PhishER automatisierte Aktionen für die Mitteilung ausgeführt, während die Konsole auf die Rückgabe Ihrer VirusTotal-Ergebnisse wartet. Nachdem die automatisierten Aktionen abgeschlossen sind, setzt VirusTotal das Hinzufügen von Tags zur Mitteilung fort. Automatisierte Aktionen werden nach Rückgabe der Scanergebnisse nicht erneut ausgeführt.
  6. VT_Hash_not_found: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem VirusTotal-Scan keine Übereinstimmung für die Anhänge mit Hashs gefunden wird.
  7. VT_Ignored: Dieses Tag wird Ihrer Nachricht beigefügt, wenn URLs oder Domains auf Ihrer Whitelist in einer Nachricht entdeckt werden.
Hinweis: Eine Nachricht mit mehreren Anhängen kann mehrere VT-Tags zugewiesen bekommen. Dies ist der Fall, wenn Scans zu unterschiedlichen Zeitpunkten abgeschlossen werden oder zu unterschiedlichen Ergebnissen führen.

War dieser Artikel hilfreich?

1 von 1 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren