Auf der PhishER-Plattform können Sie mit PhishML Nachrichten einstufen und E-Mail-Bedrohungen aus den Posteingängen Ihrer Nutzerinnen und Nutzer priorisieren. Die PhishML-Funktion basiert auf maschinellem Lernen. Nachrichten in Ihrer PhishER Inbox werden analysiert und für die einzelnen Nachrichten wird die Gewissheit in Prozent (Konfidenzwert) ermittelt, dass diese sicher, Spam oder eine Bedrohung sind.

Mit PhishML können Sie die Schwellenwerte festlegen, die Konfidenzwerte einer Nachricht erfüllen oder überschreiten müssen, damit diese automatisch eingestuft wird. Dann können Sie Aktionen erstellen, die mithilfe von PhishML-Tags die Einstufung und Priorisierung von Nachrichten in Ihrer PhishER Inbox automatisieren.

PhishML lernt ständig dazu und verbessert seine Genauigkeit anhand der in den gemeldeten E-Mails verwendeten Sprache. PhishML lernt jedoch nur dazu, wenn die gemeldeten Phishing-E-Mails an KnowBe4 gesendet werden. Aktivieren Sie hierfür in Ihren KSAT-Kontoeinstellungen im Abschnitt Phish Alert die Einstellung Kopie an KB4 senden. Nach dem Extrahieren von Text und dem Ignorieren eingebetteter Inhalte in Mitteilungen vergleicht PhishML die Sprache mit Mustern aus anderen, in PhishER analysierten Mitteilungen.

Aktivieren von PhishML

Gehen Sie wie folgt vor, um PhishML für Ihre PhishER-Plattform zu aktivieren:

1. Melden Sie sich bei der PhishER-Plattform an.
2. Navigieren Sie zu Settings > PhishML.
3. Aktivieren Sie den Schalter Enable PhishML.
   Hinweis: Wenn Sie PhishML zum ersten Mal aktivieren, wird ein Dialogfeld mit den Allgemeinen Geschäftsbedingungen angezeigt. Bevor Sie PhishML verwenden können, müssen Sie die Datenschutzrichtlinie und die Nutzungsbedingungen von KnowBe4 zur Kenntnis nehmen und diesen zustimmen. Sobald Sie beide Dokumente zur Kenntnis genommen haben, klicken Sie auf I Accept.
4. Aktivieren Sie das Kontrollkästchen neben den einzelnen Kategorien, für die PhishML bei der Analyse einer Nachricht einen Konfidenzwert angeben soll.
5. (Optional) Um einen benutzerdefinierten Schwellenwert für die einzelnen Kategorien festzulegen, klicken Sie auf den Schieberegler und ziehen Sie diesen nach links oder rechts. Weitere Informationen finden Sie im Abschnitt Festlegen von Konfidenzwerten und Schwellenwerten weiter unten.
6. Klicken Sie auf Save, um Ihre PhishML-Einstellungen zu speichern.

Festlegen von Konfidenzwerten und Schwellenwerten

PhishML erstellt drei Konfidenzwerte für jede analysierte Nachricht. Konfidenzwerte geben den Prozentsatz der Gewissheit an, dass eine Nachricht sicher, Spam oder eine Bedrohung ist. Die Konfidenzwerte einer Nachricht werden auf der Unterregisterkarte Actions in der Seitenleiste der Seite Message Details angezeigt.

Ein Konfidenz-Schwellenwert ist der Mindestprozentsatz der Gewissheit, den PhishML erfüllen oder überschreiten muss, damit eine Nachricht als sicher, Spam oder Bedrohung eingestuft wird. PhishML wendet Tags nur dann auf infrage kommende Nachrichten an, wenn der Konfidenz-Schwellenwert aktiviert ist. Sie können Konfidenz-Schwellenwerte in den PhishER-Einstellungen aktivieren oder deaktivieren. Sobald ein Konfidenz-Schwellenwert aktiviert ist, können Sie auf den Schieberegler neben dem Wert klicken und diesen bis zum gewünschten Wert ziehen. Ein Konfidenz-Schwellenwert kann auf einen Wert zwischen 51 und 100 festgelegt werden. Standardmäßig ist der Konfidenz-Schwellenwert auf 95 festgelegt.

Es wird empfohlen, einen niedrigeren Konfidenz-Schwellenwert von unter 80 festzulegen, wenn Sie möchten, dass PhishML mehr Nachrichten automatisch als sicher, Spam oder Bedrohung einstuft. Wir raten, einen niedrigeren Konfidenz-Schwellenwert für PhishML festzulegen, um Nachrichten zu ermitteln, bei denen es sich um Spam oder eine Bedrohung handelt. Mit dieser Einstellung können PhishER-Administrator:innen sichere Nachrichten schnell bearbeiten bzw. ausschließen und sich auf Nachrichten konzentrieren, die weiter analysiert oder überprüft werden müssen.

Es wird empfohlen, einen höheren Konfidenz-Schwellenwert von über 85 festzulegen, wenn Sie möchten, dass PhishML weniger Nachrichten automatisch als sicher, Spam oder Bedrohung einstuft. Wir raten, einen höheren Konfidenz-Schwellenwert für PhishML festzulegen, um Nachrichten zu ermitteln, die sicher sind. Mit dieser Einstellung können sich PhishER-Administrator:innen auf Nachrichten konzentrieren, die weiter analysiert oder überprüft werden müssen.

PhishML-Tags

Abhängig vom Analyseergebnis weist PhishML jeder Nachricht ein Tag zu. Das Tag, das PhishML einer Nachricht zuweist, wird auf der Unterregisterkarte Actions in der Seitenleiste der Seite Message Details angezeigt. Sie können Tags auch hinzufügen oder entfernen. In der folgenden Liste sind die PhishML-Tags aufgeführt:

• PML:CLEAN: Dieses Tag wird Ihrer Nachricht beigefügt, wenn PhishML anhand des von Ihnen festgelegten Konfidenz-Schwellenwerts bestimmt, dass eine Nachricht sicher ist.
• PML:SPAM: Dieses Tag wird Ihrer Nachricht beigefügt, wenn PhishML anhand des von Ihnen festgelegten Konfidenz-Schwellenwerts eine Nachricht als Spam einstuft.
• PML:THREAT: Dieses Tag wird Ihrer Nachricht beigefügt, wenn PhishML anhand des von Ihnen festgelegten Konfidenz-Schwellenwerts eine Nachricht als Bedrohung einstuft.
• PML:BYPASSED: Dieses Tag wird Ihrer Nachricht im Falle einer PhishML-Zeitüberschreitung beigefügt. Sie können die Regeln und Aktionen erneut auf die Nachricht anwenden. Wenn PhishML beim erneuten Versuch erfolgreich ist, wird das entsprechende Tag der Nachricht beigefügt.

Erstellen von empfohlenen Aktionen mit PhishML-Tags

Es wird empfohlen, nach der Einrichtung von PhishML drei Aktionen mit PhishML-Tags einzurichten, damit Ihre Organisation E-Mail-Bedrohungen schnell erkennen und darauf reagieren kann. Weitere Informationen zu den empfohlenen Aktionen finden Sie in den folgenden Unterabschnitten.

PML:THREAT (Nachrichten mit hoher Priorität)

Mit dieser Aktion können Sie Ihre Organisation bei der Ermittlung und Priorisierung von potenziell schädlichen Nachrichten unterstützen, die weiter analysiert werden müssen. Gehen Sie wie folgt vor, um diese Aktion zu erstellen, und legen Sie die Einstellungen wie in den Schritten 1, 2 und 3 fest:

1. Choose how this action should be triggered: Es wird empfohlen, die Option Specify Tags auszuwählen. Wählen Sie dann Has Any aus und fügen Sie „PML:THREAT“ als Tag ein.
2. Choose the action to be taken on matched messages: Es wird empfohlen, die Optionen Set Status, Set Priority und Set Category auszuwählen. Wählen Sie dann aus den Drop-down-Menüs die Einstellungen wie unten angezeigt aus:
   • Set Status: Wählen Sie In Review aus.
   • Set Priority: Wählen Sie Critical aus.
   • Set Category: Wählen Sie Threat aus.
3. Choose how you would like to report this action: Die Auswahl einer der folgenden Optionen wird empfohlen:
   • Erstellen Sie eine benutzerdefinierte E-Mail-Antwort, die automatisch an ausgewählte Empfänger:innen gesendet wird. Weitere Informationen zu dieser Option finden Sie im Abschnitt „Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion“ in diesem Artikel.
   • Erstellen Sie eine QuickAction, um automatisch eine Antwort an ausgewählte Empfänger:innen zu senden, wenn Sie die QuickAction manuell ausführen. Weitere Informationen zu dieser Option finden Sie im Abschnitt „Erstellen einer QuickAction für Ihre PhishML-Aktion“ in diesem Artikel.

Sobald Sie diese Einstellungen ausgewählt haben, können Sie die restlichen Einstellungen für die Aktion konfigurieren. Weitere empfohlene Einstellungen finden Sie im Abschnitt „Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion“ sowie im Abschnitt „Erstellen einer QuickAction für Ihre PhishML-Aktion“ weiter unten. Allgemeine Informationen über die restlichen Einstellungen finden Sie im Artikel So erstellen und verwalten Sie Aktionen in PhishER.

PML:CLEAN (Nachrichten mit mittlerer Priorität)

Mit dieser Aktion können Sie Ihre Organisation bei der Ermittlung und Priorisierung von Nachrichten unterstützen, die als sicher eingestuft werden. Gehen Sie wie folgt vor, um diese Aktion zu erstellen, und legen Sie die Einstellungen wie in den Schritten 1, 2 und 3 fest:

1. Choose how this action should be triggered: Es wird empfohlen, die Option Specify Tags auszuwählen. Wählen Sie dann Has Any aus und fügen Sie „PML:CLEAN“ als Tag ein.
2. Choose the action to be taken on matched messages: Es wird empfohlen, die Optionen Set Status, Set Priority und Set Category auszuwählen. Wählen Sie dann aus den Drop-down-Menüs die Einstellungen wie unten angezeigt aus:
   • Set Status: Wählen Sie Resolved aus.
   • Set Priority: Wählen Sie Medium aus.
   • Set Category: Wählen Sie Clean aus.
3. Choose how you would like to report this action: Die Auswahl einer der folgenden Optionen wird empfohlen:
   • Erstellen Sie eine benutzerdefinierte E-Mail-Antwort, die automatisch an ausgewählte Empfänger:innen gesendet wird. Weitere Informationen zu dieser Option finden Sie im Abschnitt „Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion“ in diesem Artikel.
   • Erstellen Sie eine QuickAction, um automatisch eine Antwort an ausgewählte Empfänger:innen zu senden, wenn Sie die QuickAction manuell ausführen. Weitere Informationen zu dieser Option finden Sie im Abschnitt „Erstellen einer QuickAction für Ihre PhishML-Aktion“ in diesem Artikel.

Sobald Sie diese Einstellungen ausgewählt haben, können Sie die restlichen Einstellungen für die Aktion konfigurieren. Weitere empfohlene Einstellungen finden Sie im Abschnitt „Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion“ sowie im Abschnitt „Erstellen einer QuickAction für Ihre PhishML-Aktion“ weiter unten. Allgemeine Informationen über die restlichen Einstellungen finden Sie im Artikel So erstellen und verwalten Sie Aktionen in PhishER.

PML:SPAM (Nachrichten mit niedriger Priorität)

Mit dieser Aktion können Sie Ihre Organisation bei der Ermittlung und Priorisierung von Nachrichten unterstützen, die unerwünscht, aber wahrscheinlich nicht schädlich sind. Gehen Sie wie folgt vor, um diese Aktion zu erstellen, und legen Sie die Einstellungen wie in den Schritten 1, 2 und 3 fest:

1. Choose how this action should be triggered: Es wird empfohlen, die Option Specify Tags auszuwählen. Wählen Sie dann Has Any aus und fügen Sie „PML:SPAM“ als Tag ein.
2. Choose the action to be taken on matched messages: Es wird empfohlen, die Optionen Set Status, Set Priority und Set Category auszuwählen. Wählen Sie dann aus den Drop-down-Menüs die Einstellungen wie unten angezeigt aus:
   • Set Status: Wählen Sie Resolved aus.
   • Set Priority: Wählen Sie Low aus.
   • Set Category: Wählen Sie Spam aus.
3. Choose how you would like to report this action: Die Auswahl einer der folgenden Optionen wird empfohlen:
   • Erstellen Sie eine benutzerdefinierte E-Mail-Antwort, die automatisch an ausgewählte Empfänger:innen gesendet wird. Weitere Informationen zu dieser Option finden Sie im Abschnitt „Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion“ in diesem Artikel.
   • Erstellen Sie eine QuickAction, um automatisch eine Antwort an ausgewählte Empfänger:innen zu senden, wenn Sie die QuickAction manuell ausführen. Weitere Informationen zu dieser Option finden Sie im Abschnitt „Erstellen einer QuickAction für Ihre PhishML-Aktion“ in diesem Artikel.

Sobald Sie diese Einstellungen ausgewählt haben, können Sie die restlichen Einstellungen für die Aktion konfigurieren. Weitere empfohlene Einstellungen finden Sie im Abschnitt Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion sowie im Abschnitt Erstellen einer QuickAction für Ihre PhishML-Aktion weiter unten. Allgemeine Informationen über die restlichen Einstellungen finden Sie im Artikel So erstellen und verwalten Sie Aktionen in PhishER.

Erstellen einer benutzerdefinierten E-Mail für Ihre PhishML-Aktion

Damit beim Ausführen einer Aktion automatisch eine Benachrichtigung gesendet wird, können Sie eine benutzerdefinierte E-Mail-Antwort erstellen, die PhishER automatisch an die von Ihnen ausgewählten Empfänger:innen sendet. Weitere Informationen zum Anpassen dieser E-Mail-Antwort finden Sie im Artikel So erstellen Sie eine benutzerdefinierte E-Mail-Vorlage in PhishER.

So richten Sie eine E-Mail-Antwort ein und konfigurieren die restlichen Einstellungen für Ihre Aktion: Legen Sie die Einstellungen in den Schritten 3, 4, 5 und 6 wie folgt fest:

1. Choose how you would like to report this action: Die Auswahl von Send Email wird empfohlen.
2. (Optional) Choose whether or not to halt further actions: Es wird empfohlen, das Kontrollkästchen Stop executing further actions zu aktivieren. Bei Auswahl dieser Option können Sie alle Nachrichten mit dem PhishML-Tag Ihrer Aktion überprüfen, bevor andere Aktionen ausgelöst werden.
3. Choose QuickActions settings: Es wird empfohlen, die Standardeinstellungen beizubehalten.
4. Choose whether or not to permanently delete matching messages: Es wird empfohlen, die Standardeinstellungen beizubehalten.

Erstellen einer QuickAction für Ihre PhishML-Aktion

Um Ihre Aktion manuell zu melden, können Sie eine QuickAction erstellen. Wenn Sie diese QuickAction ausführen, wird automatisch eine E-Mail-Antwort an die ausgewählten Empfänger:innen gesendet.

So richten Sie eine QuickAction ein und konfigurieren die restlichen Einstellungen für Ihre Aktion: Legen Sie die Einstellungen in den Schritten 3, 4, 5 und 6 wie folgt fest:

1. Choose how you would like to report this action: Die Auswahl von None wird empfohlen.
2. (Optional) Choose whether or not to halt further actions: Aktivieren Sie das Kontrollkästchen Stop executing further actions. Bei Auswahl dieser Option können Sie alle Nachrichten mit dem PhishML-Tag Ihrer Aktion überprüfen, bevor andere Aktionen ausgelöst werden.
3. Choose QuickActions settings: Es wird empfohlen, die Standardeinstellungen beizubehalten.
4. Choose whether or not to permanently delete matching messages: Es wird empfohlen, die Standardeinstellungen beizubehalten.

Nach dem Speichern der neuen Aktion müssen Sie eine QuickAction erstellen, damit beim Ausführen dieser Aktion automatisch eine E-Mail-Antwort gesendet wird. Um diese QuickAction zu erstellen, legen Sie die Einstellungen der neuen Aktion wie folgt fest:

1. Choose how this action should be triggered: Die Auswahl von Manual Trigger Only wird empfohlen. Diese Einstellung verhindert, dass die Aktion automatisch ausgelöst wird. Sie können die Aktion manuell ausführen, indem Sie sie aus dem Drop-down-Menü Run oder der Leiste QuickActions auswählen. In Schritt 5 weiter unten finden Sie weitere Informationen.
2. Choose the action to be taken on matched messages: Es wird empfohlen, die Standardeinstellungen beizubehalten.
3. Choose how you would like to report this action: Die Auswahl von Send Email wird empfohlen. Erstellen Sie anhand dieser Vorlage eine benutzerdefinierte E-Mail-Antwort. Weitere Informationen zum Anpassen dieser E-Mail-Antwort finden Sie im Artikel So erstellen Sie eine benutzerdefinierte E-Mail-Vorlage in PhishER.

1. Choose whether or not to halt further actions: Es wird empfohlen, die Standardeinstellungen beizubehalten.
2. Choose QuickActions settings: Es wird empfohlen, das Kontrollkästchen links neben der Option Include this action in the QuickAction bar zu aktivieren. Die Aktion wird nun in der QuickActions-Leiste Ihrer PhishER Inbox und auf der Unterregisterkarte Actions auf der Seite Message Details angezeigt.
3. Choose whether or not to permanently delete matching messages: Es wird empfohlen, die Standardeinstellungen beizubehalten.