Auf der PhishER-Konsole sind Regeln logische Ausdrücke, mit denen Nachrichten in der Inbox von PhishER automatisch eingestuft und mit Tags versehen werden können. Anhand der zugewiesenen Tags werden von PhishER Aktionen auf die Nachrichten angewendet. Regeln können auf der Registerkarte Rules (Regeln) erstellt werden. Informationen zum Erstellen von Aktionen finden Sie im Artikel So erstellen und verwalten Sie Aktionen in PhishER.

Auf der Registerkarte Rules (Regeln) sind zwei Arten von Regeln enthalten: benutzerdefinierte Regeln und Systemregeln. Benutzerdefinierte Regeln können mithilfe des Yara-Regeleditors erstellt werden. Systemregeln werden standardmäßig von KnowBe4 bereitgestellt. Die Registerkarte Rules (Regeln) enthält auch globale Variablen. Diese können zur Verwendung in mehreren Regeln mit identischen Zeichenfolgen erstellt werden. Durch Aktualisieren einer globalen Variable können Sie alle Regeln aktualisieren, die die entsprechenden Zeichenfolgen enthalten.

Erstellen von Regeln

Sie können auf der PhishER-Konsole benutzerdefinierte Regeln erstellen, um Nachrichten einzustufen, die an den Posteingang von PhishER weitergeleitet wurden. Zum Erstellen von Regeln können Sie den Standardeditor oder den erweiterten Editor verwenden. Alle benutzerdefinierten Regeln folgen der YARA-Logik (Yet Another Recursive/Ridiculous Acronym). YARA ist ein Tool zum Erkennen und Klassifizieren von Malware.

Gehen Sie wie folgt vor, um eine Regel zu erstellen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Wählen Sie in der Seitenleiste links auf der Seite die Registerkarte Rules (Regeln) aus, um die Seite Rules List (Regelliste) zu öffnen.
3. Klicken Sie oben rechts auf der Seite auf die Schaltfläche New Rule (Neue Regel), um die Seite Rule Details (Regeldetails) zu öffnen.
   Note:(Hinweis): Wenn Sie möchten, dass PhishER automatisch eine Regel basierend auf einer Beschreibung Ihrer Anforderungen generiert, lesen Sie bitte den Abschnitt Creating Rules Using the YARA Rule Generator (Erstellen von Regeln mit dem YARA-Regelgenerator).

   

4. Geben Sie im Feld Name einen eindeutigen Namen für die Regel ein. Geben Sie am besten einen Namen ein, der die Funktion der Regel kurz beschreibt. Der Name darf nicht mit einer Zahl beginnen, 64 Zeichen nicht überschreiten und keine der Schlüsselwörter enthalten, die in der YARA-Dokumentation Schreiben von YARA-Regeln aufgeführt sind.
5. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für die Regel ein. Als Best Practice wird empfohlen, eine Beschreibung der beabsichtigten Funktion der Regel einzugeben. Die Beschreibung darf 64 Zeichen nicht überschreiten.
6. Fügen Sie im Abschnitt Edit Tags: (Tags bearbeiten:) ein benutzerdefiniertes Tag hinzu, das einer Nachricht zugewiesen werden soll, wenn diese eine bestimmte Regel erfüllt. Klicken Sie zum Hinzufügen eines Tags auf Neues Tag hinzufügen und geben Sie einen Namen für das Tag ein. Klicken Sie dann außerhalb des Felds, um das Tag zu erstellen.
7. Wählen Sie im Drop-down-Menü Choose target: (Ziel auswählen:) den Teil der Nachricht aus, auf den die Regel angewendet werden soll. Als Ziel können Sie Roh, Header, Text oder Anhänge auswählen. Standardmäßig ist Roh ausgewählt.
8. Schreiben Sie die Regel im Abschnitt Yara Rule Editor (Yara-Regeleditor) entweder mit dem Standardeditor oder mit dem erweiterten Editor. Weitere Informationen finden Sie in den nachfolgenden Unterabschnitten.

Erstellen von Regeln mit dem Standardeditor

Mit dem Standardeditor können Sie eine benutzerdefinierte Regel schreiben, ohne die gesamte YARA-Regellogik schreiben zu müssen. Sie können Werte für Zeichenfolgen eingeben und Bedingungen für die Regel auswählen. Die Eingabe wird dann vom Standardeditor verarbeitet, um die Regellogik für die Regel zu erstellen. Im Screenshot und in der Liste weiter unten erfahren Sie, wie Sie eine Regel auf der Registerkarte Basic Editor (Standardeditor) erstellen.

1. Basic Editor (Standardeditor): Wählen Sie diese Registerkarte aus, um die Optionen für die Erstellung einer Regel anzuzeigen.
2. Create Strings (Zeichenfolgen erstellen): Erstellen und definieren Sie Zeichenfolgen, die zum Erstellen von Bedingungen verwendet werden können. Weitere Informationen finden Sie in folgendem Artikel: Wie erstelle ich Zeichenfolgen und Bedingungen im Standardeditor?
3. New String (Neue Zeichenfolge): Klicken Sie auf diese Schaltfläche, um der Regel eine Zeichenfolge hinzuzufügen. Es können bis zu fünf Zeichenfolgen pro Regel erstellt werden.
4. Create Conditions (Bedingungen erstellen): Erstellen Sie Bedingungen, indem Sie die Beziehung zwischen den definierten Zeichenfolgen auswählen. Mithilfe von Bedingungen können Sie angeben, welche Nachrichten von der Regel betroffen sein sollen. Weitere Informationen finden Sie in folgendem Artikel: Wie erstelle ich Zeichenfolgen und Bedingungen im Standardeditor? Folgende Optionen stehen zur Auswahl:
   • Match any of the defined strings (Übereinstimmung mit einer der definierten Zeichenfolgen): Mit dieser Option werden Nachrichten erkannt, die mit einer der definierten Zeichenfolgen übereinstimmen.
   • Match all of the defined strings: Mit dieser Option werden Nachrichten erkannt, die mit allen definierten Zeichenfolgen übereinstimmen.
   • Custom conditions: Mit dieser Option werden Nachrichten erkannt, die mit Ihren benutzerdefinierten Bedingungen übereinstimmen.
5. New Condition Group (Neue Bedingungsgruppe): Bei Auswahl von Custom conditions (Benutzerdefinierte Bedingungen) können Sie über diese Schaltfläche benutzerdefinierte Bedingungen erstellen, die Nachrichten erfüllen müssen, um von der Regel betroffen zu sein.
6. Save Rule (Regel speichern): Klicken Sie auf diese Schaltfläche, um die Regel zu speichern. Die Regel wird auf der Seite Rules List (Regelliste) auf der Unterregisterkarte Custom Rules (Benutzerdefinierte Regeln) angezeigt. Nach dem Speichern der Regel können Sie diese aktivieren, indem Sie den Schalter in der Spalte Status der Regel aktivieren. Klicken Sie dann rechts oben auf der Seite auf die Schaltfläche Apply Changes (Änderungen übernehmen).

   

7. Apply Rule to Inbox (Regel auf Posteingang anwenden): Klicken Sie auf diese Schaltfläche, um die Regel auf alle Nachrichten im Posteingang anzuwenden. Mindestens eine Nachricht muss mit der Regel und den Vorschauregelkriterien übereinstimmen, damit diese Option verfügbar ist.

Erstellen von Regeln mit dem erweiterten Editor

Im erweiterten Editor können Sie die Logik der YARA-Regel ohne Hilfestellung schreiben. Beim Bearbeiten einer Regel im erweiterten Editor wird der Standardeditor für die Regel deaktiviert. Weitere Informationen zum Schreiben von Regeln mit der YARA-Regellogik finden Sie im Artikel „So schreiben Sie YARA-Regeln“. Im Screenshot und in der Liste weiter unten erfahren Sie, wie Sie eine Regel auf der Registerkarte Advanced Editor (Erweiterter Editor) erstellen.

1. Advanced Editor (Erweiterter Editor): Wählen Sie diese Registerkarte aus, um den Abschnitt mit dem Codeblock anzuzeigen, in dem Sie eine Regel mit YARA-Regellogik schreiben können.
2. Save Rule (Regel speichern): Klicken Sie auf diese Schaltfläche, um die Regel zu speichern. Die Regel wird auf der Seite Rules List (Regelliste) auf der Unterregisterkarte Custom Rules (Benutzerdefinierte Regeln) angezeigt. Nach dem Speichern der Regel können Sie diese aktivieren, indem Sie den Schalter in der Spalte Status der Regel aktivieren. Klicken Sie dann rechts oben auf der Seite auf die Schaltfläche Apply Changes (Änderungen übernehmen).

   

3. Apply Rule to Inbox (Regel auf Posteingang anwenden): Klicken Sie auf diese Schaltfläche, um die Regel auf alle Nachrichten im Posteingang anzuwenden. Mindestens eine Nachricht muss mit der Regel und den Vorschauregelkriterien übereinstimmen, damit diese Option verfügbar ist.

Erstellen von Regeln mit dem YARA-Regelgenerator

Mit dem YARA-Regelgenerator können Sie eine benutzerdefinierte Regel erstellen, indem Sie beschreiben, was die Regel leisten soll. Sie können die Erkennungsanforderungen für Ihre Regel eingeben, und der YARA-Regelgenerator verarbeitet Ihre Eingabe, um die Regel-Logik für Ihre Regel zu erstellen. Um zu erfahren, wie Sie eine Regel mithilfe der Registerkarte YARA Rule Generator (YARA-Regelgenerator) erstellen, führen Sie bitte die folgenden Schritte aus:

Gehen Sie wie folgt vor, um eine Regel zu erstellen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Wählen Sie in der Seitenleiste links auf der Seite die Registerkarte Rules (Regeln) aus, um die Seite Rules List (Regelliste) zu öffnen.
3. Klicken Sie oben rechts auf der Seite auf die Schaltfläche New AI Rule (Neue KI-Regel), um die Seite Rule Details (Regel-Details) zu öffnen.

   

4. Geben Sie im Feld Describe your detection requirements (Erkennungsanforderungen beschreiben) eine Beschreibung der Regel ein, die Sie erstellen möchten.

   

5. Klicken Sie auf Generate Rule (Regel erstellen). Der YARA-Regelgenerator wandelt Ihre Erkennungsanforderungen in eine PhishER-Regel mit einem Namen, einer Beschreibung, einem Tag und einer vollständigen YARA-Syntax um.

   

6. Sie können die generierte Regel nach Bedarf bearbeiten. Klicken Sie auf Save Rule (Regel speichern), um Ihre Regel zu speichern.

Vorschau für Regeln

Bevor Sie eine neue Regel speichern, sollten Sie eine Vorschau zur Auswirkung der Regel auf die Nachrichten in PhishER anzeigen. Gehen Sie wie folgt vor, um eine Vorschau für eine Regel anzuzeigen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Wählen Sie in der Seitenleiste links auf der Seite die Registerkarte Rules (Regeln) aus, um die Seite Rules List (Regelliste) zu öffnen.
3. Klicken Sie oben rechts auf der Seite auf die Schaltfläche New Rule (Neue Regel) oder wählen Sie eine Regel auf der Seite Rules List (Regelliste) aus. Beim Klicken auf die Schaltfläche New Rule (Neue Regel) wird die Seite Rule Details (Regeldetails) geöffnet.
4. Sie können die YARA-Regel im Abschnitt YARA Rule Editor (YARA-Regeleditor) schreiben oder bearbeiten.
5. Klicken Sie vor dem Speichern der Regel auf die Schaltfläche Run Preview (Vorschau ausführen). Dadurch wird eine Liste aller Nachrichten im Posteingang angezeigt, die die Regel erfüllen.
   Hinweis: PhishER überprüft für die Regelvorschau nur die letzten 1.000 Mitteilungen. Wenn eine Mitteilung, die der Regel entspricht, nicht in den letzten 1000 Mitteilungen enthalten ist, wird sie nicht in der Vorschau angezeigt.
6. Sie können die Vorschauliste aktualisieren, indem Sie die folgenden Kriterienoptionen bearbeiten:
   • Saved Query (Gespeicherte Abfrage) (optional): Wählen Sie eine benutzerdefinierte Saved Query (Gespeicherte Abfrage) aus, um zu erfahren, wie sich die Regel auf die Nachrichten dieser Abfrage auswirkt.
   • Last 7 days (Letzte 7 Tage): Wählen Sie einen Datumsbereich für die Nachrichten aus, die in der Vorschau angezeigt werden sollen. Die Optionen sind Last 24 hours (Letzte 24 Stunden), Last 7 days (Letzte 7 Tage) und Last 30 days (Letzte 30 Tage): Standardmäßig ist Last 7 days (Letzte 7 Tage) ausgewählt.
   • Matched Messages (Übereinstimmende Nachrichten): Bei der Vorschau einer Regel werden zusätzliche Optionen angezeigt, mit denen Sie die Nachrichten in der Vorschauliste filtern können.
   • Matched Messages (Übereinstimmende Nachrichten) (Standard): Mit dieser Option werden nur Nachrichten in der Inbox (Posteingang) von PhishER angezeigt, die die Bedingung der Regel erfüllen.
   • Unmatched Messages (Nicht übereinstimmende Nachrichten): Mit dieser Option werden nur Nachrichten in der Inbox (Posteingang) von PhishER angezeigt, die die Bedingung der Regel nicht erfüllen.
   • All Messages (Alle Nachrichten): Mit dieser Option werden alle Nachrichten in der Inbox (Posteingang) von PhishER angezeigt. In der Spalte Matched (Übereinstimmend) wird angegeben, ob die Nachricht die Regel erfüllt (true) oder nicht erfüllt (false).

     

     Note:(Hinweis:) Wenn Sie eine in der Vorschauliste angezeigte Nachricht öffnen möchten, sollten Sie diese in einer neuen Registerkarte öffnen, um Ihre neue Regel nicht zu verwerfen.
   • (Optional) Klicken Sie auf die Schaltfläche Apply Rule to Current Matches (Regel auf aktuelle Treffer anwenden), um diese Regel auf alle Nachrichten in der Vorschauliste anzuwenden.

     

Bearbeiten von Regeln

Klicken Sie zum Bearbeiten einer benutzerdefinierten Regel auf der Seite Rules List (Regelliste) auf Name oder Description (Beschreibung) für die Regel, um die Seite Rule Details (Regeldetails) zu öffnen. Erstellen Sie eine neue benutzerdefinierte Regel, um eine Systemregel zu bearbeiten. Kopieren Sie dann die Logik der Systemregel und fügen Sie sie in den Yara-Regeleditor der benutzerdefinierten Regel ein. Weitere Informationen zu den Systemregeln finden Sie im Abschnitt Verwenden von Systemregeln in diesem Artikel.

Verwenden globaler Variablen

Auf der Unterregisterkarte Global Variables (Globale Variablen) der Seite Rules List (Regelliste) können Sie globale Variablen erstellen bzw. die bereits erstellten Variablen anzeigen. Wenn Sie mehrere Regeln mit den gleichen Zeichenfolgen verwenden, können Sie all diese Zeichenfolgen mithilfe globaler Variablen auf einmal aktualisieren.

Sie können globale Variablen in Regeln einschließen, indem Sie mit dem Standardeditor oder dem erweiterten Editor Zeichenfolgen erstellen, die globale Variablen enthalten. Beim Bearbeiten einer globalen Variable wird die Zeichenfolge automatisch in allen Regeln aktualisiert, die die globale Variable enthalten.

Gehen Sie wie folgt vor, um eine globale Variable zu erstellen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Wählen Sie in der Seitenleiste links auf der Seite die Registerkarte Rules (Regeln) aus, um die Seite Rules List (Regelliste) zu öffnen.
3. Navigieren Sie zur Unterregisterkarte Global Variables (Globale Variablen).

   

4. Klicken Sie oben rechts auf der Seite auf die Schaltfläche New Variable (Neue Variable). Durch einen Klick auf diese Schaltfläche wird die Seite Create Global Variable (Globale Variable erstellen) geöffnet.
5. Geben Sie im Feld Name einen Namen für die globale Variable ein.

   

6. Geben Sie im Feld Value (Wert) einen Wert für die globale Variable ein.
   Hinweis: Globale Variablen müssen die gleichen Anforderungen erfüllen, die auch für andere Variablen und Zeichenfolgen gelten. Der Wert darf nicht mit einer Zahl beginnen, 255 Zeichen nicht überschreiten und keine der Schlüsselwörter enthalten, die in der YARA-Dokumentation Schreiben von YARA-Regeln aufgeführt sind.
7. Klicken Sie auf Save (Speichern), um die globale Variable zu speichern. Die globale Variable wird auf der Seite Rules List (Regelliste) auf der Unterregisterkarte Global Variables (Globale Variablen) angezeigt.

Auf der Seite Rules List (Regelliste) können Sie Informationen über die globale Variable anzeigen, wie z. B. den Zeitpunkt der Erstellung und der letzten Aktualisierung. Sie können auch den Wert einer globalen Variable ändern, indem Sie auf den Namen der Variable klicken, um den Bildschirm Edit Global Variable (Globale Variable bearbeiten) zu öffnen. Der Name einer bestehenden globalen Variable kann nicht geändert werden. Klicken Sie auf das Papierkorbsymbol, um eine globale Variable zu löschen.

Im Artikel Wie erstelle ich Zeichenfolgen und Bedingungen im YARA-Regel-Standardeditor? erfahren Sie, wie Sie eine Regel mithilfe globaler Variablen erstellen.

Verwenden von Systemregeln

Ihre PhishER-Konsole bietet Systemregeln, die Sie bei der Einstufung und Zuweisung von Tags zu Mitteilungen unterstützen. Auf der Unterregisterkarte System Rules(Systemregeln) der Seite Rules List(Regelliste) können Sie diese Regeln für Ihre PhishER-Konsole aktivieren. Standardmäßig sind Systemregeln deaktiviert.

Weitere Informationen zu Systemregeln finden Sie im Screenshot und in der folgenden Liste:

Decoder-Tags für QR-Codes

Der Decoder für QR-Codes ist eine Funktion in PhishER, die im Hintergrund der Konsole ausgeführt wird, um automatisch QR-Codes in gemeldeten E-Mails zu scannen. Wenn der Decoder einen QR-Code im Nachrichtentext erkennt, wird die darin eingebettete URL extrahiert und der Nachricht wird ein Tag zugewiesen. Die extrahierte URL wird auf der Registerkarte Domains and URLs auf der Seite Message Details der PhishER Inbox angezeigt. Weitere Informationen zu Decoder-Tags für QR-Codes finden Sie in der nachfolgenden Liste:

Anzeigen der Regelliste

Unter Rules List (Regelliste) werden alle Regeln und globalen Variablen angezeigt. Weitere Informationen zur Seite Rules List (Regelliste) finden Sie im Screenshot und in der folgenden Liste.

1. Name: Diese Spalte enthält den der Regel zugewiesen Namen.
2. Description (Beschreibung): Diese Spalte enthält eine Beschreibung der Regel.
3. Rule Target (Regelziel): Diese Spalte enthält den Teil einer Nachricht, auf den die Regel angewendet wird. Das Regelziel kann z. B. der E-Mail-Header sein.
4. Status: Diese Spalte enthält den aktuellen Status der Regel. Eine Regel kann aktiviert oder deaktiviert sein. Klicken Sie auf den Schalter, um den Status einer Regel zu ändern.
   Hinweis: Eine Regel muss aktiviert sein, um auf Nachrichten im Posteingang von PhishER angewendet zu werden.
5. Updated At (Letzte Aktualisierung): Diese Spalte enthält Datum und Uhrzeit der letzten Aktualisierung der Regel.
6. Matched Count (Trefferanzahl): In dieser Spalte wird angezeigt, wie oft die Regel von einer Nachricht im Posteingang von PhishER erfüllt wurde.
7. Tags: Diese Spalte enthält alle einer Nachricht zugewiesenen Tags. Tags werden nur dann einer Nachricht zugewiesen, wenn diese die Regel erfüllt.
8. Filter by Status (Nach Status filtern): Klicken Sie auf dieses Drop-down-Menü, um eine gefilterte Ansicht der aktivierten oder deaktivierten Regeln anzuzeigen.