Los geht's

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

PhishER-Schnellstartanleitung

Tipp:Treten Sie der KnowBe4-Community bei! In der Community können Sie sich austauschen und zusammenarbeiten oder neue Ideen mit anderen Administrator:innen, Partnerunternehmen und Mitarbeitenden entwickeln. Weitere Informationen finden Sie in unserem Leitfaden zur KnowBe4-Community.

Diese Anleitung begleitet Sie bei den ersten Schritten auf der PhishER-Plattform. Mit der PhishER-Plattform können Sie Ihre Organisation dabei unterstützen, potenzielle E-Mail-Bedrohungen zu erkennen und die Sicherheitsmaßnahmen zu verstärken. Im nachfolgenden Workflow werden die Schritte erläutert, die von PhishER zum Verarbeiten gemeldeter E-Mails ausgeführt werden.

Hinweis:Diese Anleitung richtet sich an Nutzer:innen, die PhishER aktiviert haben und auf die Plattform zugreifen können. Weitere Informationen darüber, wie Sie PhishER aktivieren und darauf zugreifen, finden Sie im Abschnitt Erste Schritte im PhishER-Produkthandbuch.

Ausführliche Informationen zur PhishER-Plattform finden Sie im PhishER-Produkthandbuch.

Schritt 1: Reporting

Bevor Nutzer:innen verdächtige E-Mails an PhishER melden können, muss eine Melde-E-Mail-Adresse eingerichtet werden, um E-Mails an die Inbox von PhishER weiterzuleiten. Es wird empfohlen, den Phish Alert Button (PAB) zu installieren, um E-Mails automatisch weiterzuleiten. Sie können Ihren Nutzer:innen jedoch auch erlauben, E-Mails manuell an eine Melde-E-Mail-Adresse weiterzuleiten.

Weitere Informationen zum Melden von Nachrichten finden Sie im nachfolgenden Video.

Weitere Informationen finden Sie in den Artikeln PhishER-Einstellungen: Konto sowie in dem Video Zugriff auf Ihre PhishER-Plattform und Einrichten der Nachrichtenweiterleitung.

Schritt 2: Erkennung

Sobald gemeldete E-Mails im Posteingang von PhishER eingehen, muss PhishER konfiguriert werden, um die E-Mails zu analysieren und als Bedrohung, sicher oder Spam zu klassifizieren. Anschließend können Sie Regeln und Tags erstellen, anhand derer die E-Mails von PhishER identifiziert werden.

Es wird auch empfohlen, PhishML und VirusTotal zu aktivieren, um gemeldete E-Mails automatisch zu erkennen und mit Tags zu versehen. Die Analyse durch PhishML und VirusTotal dient als Startpunkt, um den E-Mails in PhishER Tags zuzuweisen. E-Mails können basierend auf speziellen Anliegen, Bedingungen oder Attributen Ihrer Organisation mit Tags versehen werden, indem Sie eigene Regeln schreiben. Beachten Sie dazu den Artikel So erstellen und verwalten Sie Regeln in PhishER oder die Beispiele im Artikel Beispiele für YARA-Regeln.

Weitere Informationen zum Analysieren und Klassifizieren von E-Mails finden Sie im Video und in den folgenden Unterabschnitten.

PhishML

PhishML ist ein Modul, das auf maschinellem Lernen basiert und drei Confidence-Werte für jede Nachricht generiert, die im Posteingang von PhishER eingeht. Diese drei Werte geben den Prozentsatz der Gewissheit an, dass eine Nachricht sicher, Spam oder eine Bedrohung ist.

Sie können die Schwellenwerte mithilfe der Schieberegler anpassen. Für sichere Nachrichten wird ein Wert von 95, für Spam-Nachrichten ein Wert von 75 und für bedrohliche Nachrichten ein Wert von 65 empfohlen. Mit diesen Einstellungen wird eine genaue Tag-Zuweisung sichergestellt.

Hinweis:PhishML wendet eines der folgenden Tags auf jede Nachricht an, wenn der aktive Confidence-Schwellenwert erreicht oder übertroffen wird: PML:CLEAN, PML:SPAM oder PML:THREAT.

Weitere Informationen finden Sie im Artikel So verwenden Sie PhishML.

VirusTotal

VirusTotal ist ein Dienst, mit dem Dateien auf schädliche Inhalte untersucht werden können. Es wird empfohlen, Ihr VirusTotal-Konto in PhishER zu integrieren. Wenn Sie kein VirusTotal-Konto haben, können Sie sich kostenlos auf der Website von VirusTotal registrieren. Durch diese Integration können Sie einen VirusTotal-Scan für Nachrichtenanhänge und URLs ausführen.

Tipp:KnowBe4 verfügt über eine Genehmigung von VirusTotal für die Integration mit der VirusTotal Public API (der kostenlosen Version).
Hinweis:Bei einem VirusTotal-Scan wird den Nachrichten mindestens eines der folgenden Tags zugewiesen: VT_Pending, VT_Bad, VT_Scanned, VT_Bypassed oder VT_Hash_not_found.

Weitere Informationen finden Sie in unserem Artikel So integrieren Sie VirusTotal in Ihre PhishER-Plattform.

Schritt 3: Einstufung

Gemeldete E-Mail-Nachrichten erhalten Tags, mit denen angegeben wird, wie die jeweilige Nachricht in PhishER verarbeitet werden soll. Durch diese Tags können Aktionen ausgelöst werden, die auf die Nachrichten angewendet werden. Ebenso können beim Fehlen von Tags Aktionen ausgelöst werden, die auf die Nachrichten angewendet werden.

Wenn Sie Tags erstellt haben, können Sie Aktionen erstellen, um die Verarbeitung von Nachrichten zu automatisieren. Es wird empfohlen, Aktionen zum Verarbeiten von Nachrichten zu erstellen, die als sicher, Spam und potenzielle Bedrohung eingestuft wurden und Ihre Aufmerksamkeit benötigen. Weitere Informationen zu empfohlenen Aktionen finden Sie im Artikel So verwenden Sie PhishML.

Weitere Informationen zum Einstufen von Nachrichten finden Sie im nachfolgenden Video.

Schritt 4: Verwenden von PhishRIP (optional)

PhishRIP ist eine E-Mail-Quarantänefunktion in PhishER, mit der Ihre Organisation nach von Nutzer:innen gemeldeten E-Mails in allen mit Ihrer Microsoft 365- oder Google Workspace-Instanz verknüpften Postfächern suchen kann. Mit PhishRIP können Sie aktive Phishing-Angriffe verhindern, indem Sie potenzielle E-Mail-Bedrohungen aus den Posteingängen der Nutzer:innen entfernen. PhishRIP kann manuell oder durch eine Aktion ausgelöst werden, sobald eine potenzielle Bedrohung erkannt wird.

Weitere Informationen zu PhishRIP finden Sie im nachfolgenden Video.

Weitere Informationen finden Sie im Artikel So verwenden Sie PhishRIP.

Schritt 5: Verwenden von Blocklisten (optional)

Die PhishER-Blockliste unterstützt Ihren Microsoft 365-E-Mail-Server dabei, zu verhindern, dass schädliche oder Spam-E-Mails in die Posteingänge Ihrer Nutzer:innen gelangen. Mithilfe der PhishER-Bocklist können Sie eine eindeutige Liste von Blocklisteneinträgen für Ihre Organisation erstellen und verwalten. Beim Überprüfen der von Nutzer:innen gemeldeten E-Mails können Sie die Blockliste aktualisieren, sodass Informationen zu Bedrohungen oder Spam an Ihren E-Mail-Server gesendet werden.

Die globale Blockliste ist eine Funktion, die anhand von Informationen zahlreicher Nutzer:innen über E-Mail-Bedrohungen Ihren E-Mail-Server beim Blockieren von E-Mails unterstützt. Das Threat Research Lab von KnowBe4 stellt Daten aus allen PhishER-Blocklisten und anderen Quellen zusammen, um globale Blocklisteneinträge zu erstellen und zu veröffentlichen. Diese Funktion ist nur für Konten mit PhishER Plus verfügbar.

Weitere Informationen zu Blocklisten finden Sie im nachfolgenden Video.

Weitere Informationen finden Sie in den Artikeln PhishER-Einstellungen: Integrationen, So verwenden Sie die PhishER-Blockliste und So verwenden Sie die globale Blockliste.

Schritt 6: Verwenden von PhishFlip (optional)

PhishFlip ist eine PhishER-Funktion, mit der Ihre Organisation die von Nutzer:innen gemeldeten E-Mails für Phishing-Kampagnen in der KSAT-Konsole wiederverwenden kann. Alle schädlichen Elemente werden von PhishFlip aus den gemeldeten E-Mails entfernt, sodass sie ohne Gefahr an Ihre Nutzer:innen gesendet werden können. Zur Verwendung von PhishFlip muss PhishRIP auf der Plattform aktiviert sein.

Weitere Informationen zu PhishFlip finden Sie im nachfolgenden Video.

Weitere Informationen finden Sie im Artikel So verwenden Sie PhishFlip.

War dieser Artikel hilfreich?

29 von 32 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren