PhishER ist eine SOAR-Plattform (Security Orchestration, Automation and Response) von KnowBe4, auf der die von Ihren Nutzer:innen gemeldeten E-Mails verwaltet werden können. Mithilfe von PhishER kann Ihre Organisation potenzielle E-Mail-Bedrohungen erkennen, um so Ihre Sicherheitsmaßnahmen und Ihre umfassende Sicherheitsstrategie zu stärken.

PhishER ist als eigenständige Plattform verfügbar, funktioniert jedoch am besten in Kombination mit der KSAT-Konsole. PhishER kann auch in Analysetools von Drittanbietern wie VirusTotal und Syslog integriert werden, um Sicherheitsscans und -auswertungen für Ihre Organisation bereitzustellen.

PhishER-Workflow

Der PhishER-Workflow ist im folgenden Diagramm abgebildet. Machen Sie sich vorab mit diesem Workflow vertraut, um ein besseres Verständnis von PhishER zu erhalten.

Weitere Informationen zu diesem Workflow finden Sie in der folgenden Liste:

1. Wenn Nutzer:innen verdächtige E-Mails melden, werden diese an die Inbox von PhishER gesendet.
2. Anhand Ihrer benutzerdefinierten Regeln werden die E-Mail-Komponenten von PhishER auf schädliche Inhalte oder Warnsignale untersucht. Anschließend werden den E-Mails gemäß Ihren Regelkriterien Tags zugewiesen.
3. Je nach Tag werden von PhishER bestimmte Aktionen ausgeführt. Basierend auf den benutzerdefinierten Regeln und Aktionen Ihrer Organisation werden die einzelnen E-Mails dann automatisch eingestuft. Durch die Einstufung können gemeldete E-Mails priorisiert werden, sodass Sie schnell auf tatsächliche Phishing-Angriffe reagieren können.
4. Wenn die Blockliste von PhishER aktiviert ist, können Sie anhand der Informationen zu schädlichen oder Spam-E-Mails ähnliche E-Mails blockieren, sodass sie nicht in den Posteingang Ihrer Nutzer:innen gelangen. Wenn Sie ein PhishER Plus-Abonnement abgeschlossen und die Global Blocklist aktiviert haben, können Sie über Crowdsourcing gesammelte Daten nutzen, um ähnliche E-Mails zu blockieren.
5. Wenn Sie PhishRIP aktiviert haben, können Sie ähnliche schädliche oder Spam-E-Mails entfernen, die bereits in den Posteingang Ihrer Nutzer:innen gelangt sind. Wenn Sie ein PhishER Plus-Abonnement abgeschlossen und die Global Blocklist aktiviert haben, können Sie über Crowdsourcing gesammelte Daten nutzen, um ähnliche E-Mails zu entfernen.
6. Wenn Sie PhishFlip aktiviert haben, können Sie gemeldete E-Mails wiederverwenden, um KSAT-Phishing-Vorlagen und -Kampagnen zu erstellen. Bei PhishFlip werden schädliche Elemente aus den gemeldeten E-Mails entfernt, bevor diese als Phishing-Tests an Nutzerinnen und Nutzer gesendet werden.

Voraussetzungen

Wenn Sie PhishER und KSAT zusammen nutzen möchten, muss für beide Produkte die gleiche Anzahl an Arbeitsplätzen erworben werden. Wenn Sie während der Abonnementlaufzeit zusätzliche Arbeitsplätze für eines der Produkte erwerben, müssen diese auch für das andere Produkt erworben werden.

Alle PhishER-Kund:innen benötigen ein E-Mail-Weiterleitungssystem, damit alle von den Nutzer:innen gemeldeten E-Mails zur Analyse an die Inbox von PhishER weitergeleitet werden können. Es wird empfohlen, den Phish Alert Button (PAB) für Ihre Organisation zu installieren. Sie können Ihren Nutzer:innen jedoch auch erlauben, E-Mails manuell an eine Melde-E-Mail-Adresse weiterzuleiten. Weitere Informationen zu diesen Vorgehensweisen finden Sie im Phish Alert Button (PAB)-Produkthandbuch und im Artikel PhishER-Einstellungen.

So erstellen Sie Ihr Konto

Als Erstes muss ein PhishER-Konto erstellt werden.

Gehen Sie wie folgt vor, um Ihr Konto zu erstellen:

1. Melden Sie sich bei Ihrem KnowBe4-Konto an.
2. Klicken Sie oben rechts auf der Seite auf Ihren Namen. Wählen Sie im daraufhin angezeigten Drop-down-Menü die Option Kontoeinstellungen aus.
3. Navigieren Sie zu Kontointegrationen > PhishER.
4. Klicken Sie auf die Schaltfläche PhishER-Konto erstellen.

So greifen Sie auf PhishER zu

Sobald Sie ein PhishER-Konto für Ihre Organisation erstellt und PhishER in Ihrem Konto aktiviert haben, wird die Schaltfläche Zu PhishER auf der KnowBe4-Seite Kontoeinstellungen angezeigt. Durch Klicken auf diese Schaltfläche gelangen Sie direkt zur PhishER-Plattform. Oder Sie können auf Ihre PhishER-Plattform zugreifen, indem Sie zu der entsprechenden URL für Ihre KnowBe4-Instanz navigieren. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:

• United States: https://phisher.knowbe4.com
• Canada: https://ca.phisher.knowbe4.com
• European Union: https://eu.phisher.knowbe4.com
• Germany: https://de.phisher.knowbe4.com
• United Kingdom: https://uk.phisher.knowbe4.com

So legen Sie Melde-E-Mail-Adressen fest

Sie benötigen mindestens eine Melde-E-Mail-Adresse, um E-Mails an die Inbox weiterzuleiten. Wenn Ihre Organisation den PAB verwendet, muss eine Melde-E-Mail-Adresse für jede PAB-Instanz eingerichtet werden.

Gehen Sie wie folgt vor, um Melde-E-Mail-Adressen einzurichten:

1. Melden Sie sich bei Ihrem KnowBe4-Konto an.
2. Klicken Sie oben rechts auf der Seite auf Ihren Namen. Wählen Sie im daraufhin angezeigten Drop-down-Menü die Option Kontoeinstellungen aus.
3. Navigieren Sie zu Kontointegrationen > Phish Alert und öffnen Sie die Einstellungen für eine PAB-Instanz.
4. Geben Sie im Feld Send Non-Simulated Phishing Emails to die Melde-E-Mail-Adressen ein. Weitere Informationen zu diesem Feld finden Sie im Abschnitt Aktivieren und Konfigurieren des PAB im Phish Alert Button (PAB)-Produkthandbuch.
5. Klicken Sie auf die Schaltfläche Save Phish Alert Settings.
6. Klicken Sie unten auf der Seite auf Save Changes.

Dashboard

Beim Öffnen der PhishER-Plattform wird die Seite Dashboard angezeigt. Diese Seite bietet Ihnen eine schnelle Übersicht über die PhishER-Plattform. Weitere Informationen zu dieser Seite finden Sie im Screenshot und in der folgenden Liste:

1. Suchen: Sie können diese Suchleiste verwenden, um Ihr Dashboard anhand von Lucene-Abfragen zu filtern. Im Dashboard wird eine Übersicht mit Informationen über alle Nachrichten angezeigt, die den Kriterien entsprechen.
2. Edit Dashboard Layout: Sie können auf dieses Symbol klicken, um Widgets zum Dashboard hinzuzufügen oder vom Dashboard zu entfernen. Sie können jedes Widget per Drag-and-Drop verschieben und in der Größe ändern, um ein benutzerdefiniertes Layout zu erstellen. Beim Klicken auf dieses Symbol werden die Schaltflächen Reset Dashboard Layout und Add Widget angezeigt.
3. Last 30 days: Standardmäßig werden auf dem Dashboard Daten und Aktivitäten der letzten 30 Tage angezeigt. Durch Klicken auf die Schaltfläche Last 30 days können Sie die Dashboard-Ansicht so anpassen, dass ein anderer Datumsbereich angezeigt wird. Beim Klicken auf diese Schaltfläche wird das Pop-up-Fenster für den Datumsbereich angezeigt
4. Reported Messages: In diesem Abschnitt wird die Anzahl gemeldeter Nachrichten angezeigt, die an die Inbox von PhishER weitergeleitet wurden.
5. Automatically Resolved: In diesem Abschnitt wird die Anzahl der Nachrichten angezeigt, die anhand Ihrer aktivierten Regeln und Aktionen eingestuft wurden.
6. Manually Resolved: In diesem Abschnitt wird die Anzahl der Nachrichten angezeigt, die ohne Ihre aktiven Regeln und Aktionen eingestuft wurden.
7. Unresolved: In diesem Abschnitt wird die Anzahl der Nachrichten angezeigt, die noch nicht eingestuft wurden.
8. Received Messages: In diesem Balkendiagramm wird die Anzahl gemeldeter Nachrichten angezeigt, die an die Inbox von PhishER weitergeleitet wurden. Die Daten geben die Anzahl der Nachrichten an, die pro Tag oder Stunde gemeldet wurden.
9. Messages Summary: In diesem Kreisdiagramm wird die Anzahl der Nachrichten mit Status Automatically Resolved, Manually Resolved und Pending Review verglichen.
10. Reported Messages by Category: In diesem Liniendiagramm wird gezeigt, wie die Nachrichten eingestuft wurden. Nachrichten können als Clean, Spam oder Threat eingestuft werden. Jede Nachricht gilt standardmäßig als Unknown, bis sie von PhishER oder einem:einer Administrator:in einer der anderen Kategorien eingestuft wird.
11. Categories: In diesem Kreisdiagramm werden die eingestuften Nachrichten verglichen.
12. Reported Messages by Priority: In diesem Liniendiagramm wird die Priorität der gemeldeten Nachrichten gezeigt. Einer Nachricht können die folgenden Prioritäten zugewiesen werden: Unknown, Low, Medium, High oder Critical. Die Daten geben die Anzahl der Nachrichten an, die pro Tag oder Stunde für jede Priorität gemeldet wurden.
13. Priorities: In diesem Kreisdiagramm wird die Priorität der Nachrichten miteinander verglichen.

Räume

Die Registerkarte Rooms enthält mehrere gefilterte Ansichten der Nachrichten in der Inbox von PhishER. Jede gefilterte Ansicht basiert auf den gespeicherten Abfragen sowie vom System generierten Filtern. Durch Klicken auf die Symbole neben den einzelnen vom System generierten Filtern können Sie Inbox, Dashboard und Report in einer gefilterten Ansicht anzeigen.

Wenn Sie auf eine bestimmte Gruppe von Nachrichten in einem Raum klicken, wird eine gefilterte Ansicht der Inbox mit allen Nachrichten aus der Gruppe angezeigt. Eine Gruppe von Nachrichten wird in einem Raum erstellt, wenn mindestens zwei Nachrichten die Kriterien des Raums erfüllen.

Weitere Informationen über Räume finden Sie im Artikel So erstellen und verwalten Sie Räume in PhishER.

Posteingang

Auf der Registerkarte Inbox können Sie alle von Nutzer:innen gemeldeten Nachrichten anzeigen. Dazu zählen alle E-Mails, die von den Nutzer:innen über den PAB oder durch manuelles Weiterleiten an eine Melde-E-Mail-Adresse gemeldet wurden. Auf dieser Registerkarte können Sie die Nachrichten filtern und benutzerdefinierte Filtereinstellungen als Raum speichern. Sie können auch Aktionen durchführen und die Einstufung der Nachrichten ändern.

Mit Drittanbieter-Analysetools werden die Nachrichten von PhishER in verschiedene Komponenten aufgeteilt, wie Rohdaten, Header, Anhänge und Inhalte der Nachrichten. Beim Klicken auf eine einzelne Nachricht werden auf der Seite Message Details ausführliche Informationen zur Nachricht angezeigt, wie z. B. deren Komponenten. Auf dieser Seite können Sie auch Aktionen für die Nachricht durchführen. Mit der Funktion Discussion können Sie mit Administrator:innen über die Nachricht diskutieren.

Weitere Informationen zur Inbox finden Sie im Artikel So verwenden Sie den Posteingang von PhishER.

Regeln

Auf der Registerkarte Rules können Sie alle Regeln von PhishER anzeigen. Eine Regel ist ein logischer Ausdruck zur Einstufung von E-Mails, die an die Inbox von PhishER weitergeleitet werden. Zur Einstufung von E-Mails müssen alle Regeln der YARA-Regellogik folgen.

Je nach Regel wird den E-Mails ein Tag zugewiesen, wenn diese an die Inbox von PhishER weitergeleitet werden. Die Registerkarte Rules enthält die Seite Rules List mit den folgenden Unterregisterkarten:

• Custom Rules: Auf dieser Unterregisterkarte sind die Regeln aufgeführt, die Ihre Organisation mit dem PhishER-Regeleditor neu erstellt.
• System Rules: Auf dieser Unterregisterkarte sind die von KnowBe4 bereitgestellten Regeln aufgeführt.
• Global Variables: Auf dieser Unterregisterkarte sind die globalen Variablen aufgeführt, die Ihre Organisation für benutzerdefinierte Regeln erstellt. Wenn Sie mehrere Regeln mit den gleichen Zeichenfolgen verwenden, können Sie diese Regeln mithilfe globaler Variablen auf einmal aktualisieren.

Weitere Informationen über Regeln finden Sie im Artikel So erstellen und verwalten Sie Regeln in PhishER.

Aktionen

Auf der Registerkarte Actions können Sie alle Aktionen von PhishER anzeigen. Nachrichten erhalten Tags, mit denen angegeben wird, wie die jeweilige Nachricht in PhishER verarbeitet werden soll. Dann werden die einzelnen Schritte der Aktion ausgeführt. Sie können beispielsweise eine Aktion erstellen, mit der allen übereinstimmenden Nachrichten die Kategorie Spam zugewiesen wird. Die Registerkarte Actions enthält die Seite Actions List, auf der Sie alle Aktionen auf der PhishER-Plattform erstellen und verwalten können.

Weitere Informationen über Aktionen finden Sie im Artikel So erstellen und verwalten Sie Aktionen in PhishER.

Reports

Auf der Registerkarte Reports können Sie alle Reports von PhishER anzeigen. Auf den einzelnen Unterregisterkarten werden Reports mit den häufigsten Informationen aus den von Nutzer:innen gemeldeten Nachrichten angezeigt. Standardmäßig werden in jedem Report Daten und Aktivitäten aus den letzten 30 Tagen angezeigt. Sie können den Datumsbereich jedoch über die Schaltfläche Last 30 Days in der oberen rechten Ecke der Seite anpassen.

Die Registerkarte Reports enthält die folgenden Unterregisterkarten:

• Attachments: Auf dieser Unterregisterkarte werden die häufigsten Anhangtypen in den von Nutzer:innen gemeldeten Nachrichten angezeigt.
• Reporters: Auf dieser Unterregisterkarte werden die Nutzer:innen angezeigt, von denen E-Mails am häufigsten gemeldet wurden.
• Senders: Auf dieser Unterregisterkarte werden die häufigsten Absenderdomains der von Nutzer:innen gemeldeten Nachrichten angezeigt.
• Domains and URLs: Auf dieser Unterregisterkarte werden die häufigsten Domains und URLs in den von Nutzer:innen gemeldeten Nachrichten angezeigt.
• Tags: Auf dieser Unterregisterkarte werden die Tags angezeigt, die am häufigsten auf die von Nutzer:innen gemeldeten Nachrichten angewendet wurden.

Weitere Informationen zu Reports finden Sie im Artikel So verwenden Sie die Reports in PhishER.

Blockliste

Die PhishER-Blockliste unterstützt Ihren Microsoft 365-E-Mail-Server dabei, zu verhindern, dass schädliche oder Spam-E-Mails in die Posteingänge Ihrer Nutzer:innen gelangen. Auf der Registerkarte Blocklist unter Your Syncing Entries können Sie all Ihre Blocklisteneinträge anzeigen. Beim Überprüfen der von Nutzer:innen gemeldeten E-Mails können Sie die Blockliste aktualisieren, sodass Informationen zu Bedrohungen oder Spam an Ihren E-Mail-Server gesendet werden.

Weitere Informationen zur Blockliste finden Sie im Artikel So verwenden Sie die PhishER-Blockliste.

PhishRIP

PhishRIP ist eine E-Mail-Quarantänefunktion in PhishER, mit der Ihre Organisation nach von Nutzer:innen gemeldeten E-Mails in allen mit Ihrer Microsoft 365- oder Google Workspace-Instanz verbundenen Posteingängen suchen kann. Auf der Registerkarte PhishRIP können Sie alle Suchergebnisse bzw. -abfragen von PhishRIP anzeigen. Mit PhishRIP können Sie aktive Phishing-Angriffe verhindern, indem Sie potenzielle E-Mail-Bedrohungen aus den Posteingängen der Nutzer:innen entfernen.

Wenn Sie eine einzelne Nachricht in Ihrer Inbox auswählen und dann auf das Drop-down-Menü Run klicken, können Sie Aktionen für die Nachrichten auslösen, die bei PhishRIP-Abfragen gefunden werden.

Weitere Informationen zu PhishRIP finden Sie im Artikel So verwenden Sie PhishRIP.

PhishFlip

PhishFlip ist eine PhishER-Funktion, mit der Ihre Organisation die von Nutzer:innen gemeldeten E-Mails für Phishing-Kampagnen in der KSAT-Konsole wiederverwenden kann. Alle schädlichen Elemente werden von PhishFlip aus den gemeldeten E-Mails entfernt, sodass sie ohne Gefahr als Phishing-Vorlagen an Ihre Nutzerinnen und Nutzer gesendet werden können.

Sobald PhishFlip auf der PhishER-Plattform aktiviert ist, können Sie KSAT-Phishing-Vorlagen aus den von Nutzer:innen gemeldeten E-Mails erstellen. Anschließend können Sie anhand der Phishing-Vorlagen Phishing-Kampagnen in der KSAT-Konsole erstellen. Auf der PhishER-Plattform können Sie auch automatisierte PhishFlip-Kampagnen mit bestimmten gemeldeten E-Mails erstellen.

Weitere Informationen zu PhishFlip finden Sie im Artikel So verwenden Sie PhishFlip.