Konfigurieren Sie in den PhishER-Einstellungen auf der Unterregisterkarte Threat Intel die Threat Intel-Funktion für Ihre PhishER-Konsole. Die Threat Intel-Funktion wird durch eine Webroot-Integration mit PhishER Plus bereitgestellt. Der BrightCloud Web Classification & Web Reputation Service von Webroot analysiert mithilfe von maschinellem Lernen URLs auf schädliche Inhalte. Bei dieser Integration werden über die Webroot-API PhishER-URLs zur Analyse übermittelt, Reportdaten abgerufen und erweiterte Suchabfragen durchgeführt.

Nach dem Scan einer URL durch Threat Intel wird ein Report zur Bedrohungsanalyse auf der Unterregisterkarte Domains & URLs der Seite Message Details Ihrer PhishER-Konsole angezeigt. Weitere Informationen finden Sie im Leitfaden zur PhishER Inbox.

Konfigurieren der Integration

Um die Integration zu konfigurieren, müssen Sie die Felder auf der Unterregisterkarte Threat Intel in Ihren PhishER-Einstellungen ausfüllen. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:

1. „Threat Intel Disabled“ oder „Threat Intel Enabled“: Mit diesem Schalter können Sie die Integration deaktivieren oder aktivieren.
2. (Optional) Automatic Scanning Settings: Durch Konfigurieren der Einstellungen in diesem Abschnitt scannt Threat Intel bestimmte Teile einer Nachricht automatisch. In der folgenden Liste sind die verfügbaren Optionen aufgeführt:
   • Automatically Scan All URLs: Wenn Sie dieses Kontrollkästchen aktivieren, werden alle URLs in Ihrer PhishER Inbox automatisch an Threat Intel gesendet.
3. Update Threat Intel Settings: Klicken Sie auf diese Schaltfläche, wenn Sie die in diesem Abschnitt an den Integrationseinstellungen vorgenommenen Änderungen speichern möchten.
4.  (Optional) Automatic Scanning Timeout: Im Feld Timeout if no response in seconds wird der benutzerdefinierte Timeout-Zeitraum für Ihre Threat Intel-Scanergebnisse angezeigt. Wenn Threat Intel innerhalb dieses Zeitraums keine Scanergebnisse zurückgibt, wird der entsprechenden Nachricht ein TI_BYPASSED-Tag beigefügt. Der Timeout-Zeitraum beträgt standardmäßig 120 Sekunden. Weitere Informationen zu den Tags, die auf die Nachricht angewendet werden können, finden Sie in diesem Artikel im Abschnitt Threat Intel-Tags. 
5. (Optional) Ignored Domains: In diesem Abschnitt werden die Domains angezeigt, die Threat Intel beim Ausführen eines Scans ignorieren soll.
6. Update Shared Settings: Wenn Sie den benutzerdefinierten Timeout-Zeitraum oder die ignorierten Domains für Ihre Integrationen aktualisieren möchten, klicken Sie auf diese Schaltfläche, um das Pop-up-Fenster Shared Integrations Settings zu öffnen. Im Pop-up-Fenster können Sie im Feld Timeout if no response in seconds einen benutzerdefinierten Timeout-Zeitraum in Sekunden für Ihre Threat Intel-Scanergebnisse eingeben. Im Feld Ignored Domains können Sie die Domains eingeben, die Threat Intel beim Ausführen eines Scans ignorieren soll. Verwenden Sie für jede Domain eine neue Zeile. Wenn Sie eine Domain zu dieser Liste hinzufügen, werden auch alle Subdomains dieser Domain ausgeschlossen. Wenn Sie jedoch eine Subdomain zu dieser Liste hinzufügen, wird die Domain nicht ausgeschlossen. Platzhalter (*) und URIs (Uniform Resource Identifiers) werden nicht unterstützt. 
   Wichtig: Weitere Informationen zu den KnowBe4-Domains, die nicht als Links an Threat Intel gesendet werden dürfen, finden Sie im Abschnitt Ausschließen von KnowBe4-Domains aus den Scans.

Scannen mit Threat Intel

Sobald Sie Ihr Threat Intel-Konto in Ihre PhishER-Konsole integriert haben, können Sie einen Threat Intel-Scan für Domains und URLs durchführen. Um einen Threat Intel-Scan für eine bestimmte Domain oder URL durchzuführen, klicken Sie auf der Seite Message Details auf Scan.

Ein Threat Intel-Scan für eine Domain oder URL kann bis zu 15 Minuten dauern. Wenn der Scan abgeschlossen ist, werden die Analyseergebnisse auf der Seite Message Details Ihrer PhishER-Konsole angezeigt. Klicken Sie auf Click to View Scan Results, um die Ergebnisse anzuzeigen. Weitere Informationen finden Sie im Abschnitt Anzeigen von Nachrichtendetails im Leitfaden zur PhishER Inbox.

Ausschließen von KnowBe4-Domains aus den Scans

KnowBe4 nutzt mehrere Domains, die nicht als Links an Threat Intel gesendet werden dürfen. Sie können diese ignorierten Domains im Abschnitt Shared Integrations Settings auf der Unterregisterkarte Threat Intel in Ihren PhishER-Einstellungen eingeben. Gehen Sie wie folgt vor, um nach Domains zu suchen und diese auszuschließen:

1. Melden Sie sich bei Ihrer KSAT-Konsole an.
2. Navigieren Sie zur Registerkarte Phishing und wählen Sie dann die Unterregisterkarte Domains aus. Auf dieser Unterregisterkarte wird eine Liste unserer Root-Domains der Phishing-Links angezeigt. Weitere Informationen finden Sie im Artikel So verwalten Sie die Domains des Phishing-Links.
   Hinweis: Wenn Sie keinen Zugriff auf diese Registerkarte haben, erhalten Sie vom Support-Team eine Liste mit den Domains der Phishing-Links.
3. Melden Sie sich in einem zweiten Fenster Ihres Browsers oder auf einer neuen Browser-Registerkarte bei der PhishER-Konsole an.
4. Navigieren Sie zu Settings > Threat Intel.
5. Klicken Sie im Abschnitt Shared Integrations Settings auf Update Shared Settings.
6. Geben Sie im Feld Ignored Domains die Root-Domains auf Ihrer KSAT-Konsole ein.
7. Klicken Sie auf Update Shared Settings.
8. Wenn Sie mehr als eine Instanz der KSAT-Konsole verwenden, wiederholen Sie die Schritte 1 bis 7, um die Root-Domains aus all Ihren Instanzen auszuschließen. Weitere Informationen zu KSAT-Instanzen finden Sie im Artikel KnowBe4-Trainingsinstanzen.

Threat Intel-Tags

Je nach den Scanergebnissen weist Threat Intel den Nachrichten mindestens eines der folgenden Tags zu. Weitere Informationen zu Threat Intel-Tags finden Sie in der folgenden Liste:

1. TI_BYPASSED: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan eine Zeitüberschreitung stattfindet. Dieses Tag wird in der Regel mit weiteren Threat Intel-Tags beigefügt. Einen benutzerdefinierten Timeout-Zeitraum können Sie in der Threat Intel-Einstellung Shared Integrations festlegen.
   Hinweis: Bei einem Threat Intel-Timeout wartet PhishER weiterhin auf Threat Intel-Ergebnisse. Während Threat Intel ein Objekt scannt, werden jedoch keine automatisierten Aktionen ausgeführt.
2. TI_ERROR: Dieses Tag wird Ihrer Nachricht beigefügt, wenn ein Threat Intel-Scan zu Verarbeitungsfehlern führt oder wenn Threat Intel eine Domain oder URL nicht scannen kann.
3. TI_HIGH_RISK: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan eine Bedrohung erkannt wird und die gescannten Domains oder URLs ein hohes Risiko darstellen.
4. TI_IGNORED: Dieses Tag wird Ihrer Nachricht beigefügt, wenn URLs oder Domains auf Ihrer Liste Ignored Domains in einer Nachricht entdeckt werden.
5. TI_LOW_RISK: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan keine Bedrohung erkannt, aber die gescannten Domains oder URLs ein geringes Risiko darstellen.
6. TI_MODERATE_RISK: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan eine mögliche Bedrohung erkannt wird und die gescannten Domains oder URLs ein mittelmäßiges Risiko darstellen.
7. TI_NOT_FOUND: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan keine Übereinstimmung für die gescannten Domains oder URLs gefunden wird.
8. TI_PENDING: Dieses Tag wird Ihrer Nachricht beigefügt, wenn ein Threat Intel-Scan der Warteschlange hinzugefügt wird. Dieses Tag wird entfernt, wenn der Scan abgeschlossen ist.
9. TI_SCANNED: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan keine von den gescannten Domains oder URLs ausgehende Bedrohung erkannt wird.
10. TI_SUSPICIOUS: Dieses Tag wird Ihrer Nachricht beigefügt, wenn bei einem Threat Intel-Scan verdächtige Domains oder URLs erkannt werden.