Configurar integraciones

Compartir

¿Este artículo es útil?

Última actualización:

Integrar VirusTotal con su consola de PhishER

En la subpestaña VirusTotal de PhishER Settings (Configuración de PhishER), puede configurar la integración de VirusTotal para su consola de PhishER. VirusTotal es un servicio que utiliza más de 70 escáneres antivirus para inspeccionar y analizar archivos en busca de contenido malicioso. Para integrar su cuenta de VirusTotal con PhishER, debe tener una clave de API de VirusTotal activa. Si no tiene una cuenta de VirusTotal, puede unirse de forma gratuita en el sitio web sitio web (el enlace se abre en otra ventana) de VirusTotal.

Nota: KnowBe4 tiene la aprobación de VirusTotal para integrarse con la API pública de VirusTotal, que es gratuita. La API pública de VirusTotal está limitada a 500 solicitudes por día y cuatro solicitudes por minuto cuando se ejecuta un análisis en su consola de PhishER. Para obtener más información, consulte el artículo de VirusTotal Descripción general de la API v3 de VirusTotal Descripción general de la API v3 de VirusTotal (el enlace se abre en otra ventana).

Configurar la integración

Para configurar la integración, complete los campos en la subpestaña VirusTotal de la configuración de PhishER. Para obtener más información, consulte la captura de pantalla y la lista que aparecen a continuación:

  1. Disabled or Enabled: use este botón de cambio para deshabilitar o habilitar la integración.
  2. Enter your VirusTotal key: ingrese su clave de VirusTotal en este campo. Para obtener más información, consulte el artículo de VirusTotal Necesito una clave de API Necesito una clave de API (el enlace se abre en otra ventana).
  3. (Opcional) Análisis automático de VirusTotal: En esta sección, puede establecer la configuración que permite a VirusTotal analizar automáticamente partes de un mensaje. Para conocer estas opciones, consulte la siguiente lista:
    • Automatically scan ALL Attachments (Hashes Only): si selecciona esta casilla, VirusTotal recibirá un hash de todos los archivos adjuntos en su bandeja de entrada de PhishER.
    • Automatically scan ALL URLs: si selecciona esta casilla, se enviarán automáticamente a VirusTotal todas las URL de su bandeja de entrada de PhishER.
    • Timeout if no response (seconds): ingrese un número de segundos para establecer un período espera personalizado para sus resultados de análisis de VirusTotal. Si VirusTotal no devuelve los resultados del análisis en este período, se aplicará una etiqueta VT_Bypassed al mensaje correspondiente. De forma predeterminada, el tiempo de espera es de 120 segundos. Para obtener más información sobre las etiquetas que se pueden aplicar al mensaje, consulte la sección Etiquetas de VirusTotal de este artículo.
  4. (Opcional) Detection Threshold (Umbral de detección): en esta sección, puede establecer la cantidad mínima de detecciones del análisis antivirus que determinan si un archivo adjunto o URL es malicioso.
    • Minimum Antivirus Scanner Detections for VT_Bad Tag (Mínimo de detecciones del análisis antivirus para la etiqueta VT_Bad): ingrese la cantidad mínima de análisis antivirus que determinan si una URL o un archivo adjunto es malicioso para que desencadene que la etiqueta VT_Bad se aplique al mensaje correspondiente. De manera predeterminada, este umbral está establecido en uno, y se puede ajustar a un máximo de 50. La actualización de esta configuración no afectará a los mensajes que ya se etiquetaron, pero los próximos análisis etiquetarán a los mensajes nuevos que se ajusten al umbral. Si el umbral se configura en una cifra superior a uno, y si los resultados de su análisis de VirusTotal no alcanzan este umbral, pero son superiores a cero, se aplicará una etiqueta VT_Suspicious al mensaje. Para obtener más información sobre las etiquetas que se pueden aplicar al mensaje, consulte la sección Etiquetas de VirusTotal de este artículo.

  5. Ignored Domains: ingrese los dominios que desea que VirusTotal ignore al ejecutar un análisis. Ingrese cada dominio como una nueva línea en el cuadro de texto. Si agrega un dominio a esta lista, también se excluirán los subdominios de ese dominio. Sin embargo, si agrega un subdominio a la lista, el dominio no se excluirá. Los comodines (*) y los identificadores uniformes de recursos (URI) no son compatibles.

    Importante: Para obtener una lista de dominios de KnowBe4 que no se deben enviar como enlaces o archivos adjuntos a VirusTotal, consulte la sección Excluir dominios de KnowBe4 de los análisis de este artículo.
  6. Save: haga clic en este botón para actualizar la configuración de integración de VirusTotal.

Analizar con VirusTotal

Una vez que integre su cuenta de VirusTotal con su consola de PhishER, podrá ejecutar un análisis de VirusTotal en los archivos adjuntos y las URL de los mensajes. Para ejecutar un análisis de VirusTotal en un archivo adjunto o URL específicos, haga clic en Scan with VirusTotal en la página Message Details.

También puede ejecutar automáticamente un análisis de VirusTotal en los mensajes seleccionados cuando vuelva a ejecutar sus reglas y acciones. Para obtener más información sobre estas opciones, consulte nuestra Guía de la bandeja de entrada de PhishER.

VirusTotal asigna una o más etiquetas a sus mensajes analizados para indicar los resultados del análisis. Para obtener más información sobre las etiquetas que se pueden aplicar a los mensajes, consulte la sección Etiquetas de VirusTotal de este artículo.

Importante: Si habilita la configuración en la sección VirusTotal Automatic Scanning de su configuración, VirusTotal recibirá automáticamente todos los enlaces o hashes de los archivos adjuntos que PhishER tiene permitido enviar para un análisis de VirusTotal. Puede excluir URL si agrega los dominios a su lista de Dominios ignorados. Las URL y los archivos adjuntos con hashes que se analizan se comparten públicamente junto con los resultados del análisis en la comunidad de VirusTotal para difundir el contenido malicioso verificado. Si envía un archivo de manera manual, el archivo adjunto completo se comparte públicamente junto con los resultados del análisis. Es importante tener en cuenta esta información al ejecutar análisis de VirusTotal en URL o archivos adjuntos con información delicada.

Excluir los dominios de KnowBe4 de los análisis

KnowBe4 utiliza varios dominios que no se deben enviar como enlaces o archivos adjuntos a VirusTotal. Puede ingresar estos dominios en el campo Ignored Domains en la subpestaña VirusTotal de su configuración de PhishER. Para obtener una lista completa de estos dominios, consulte la siguiente lista:

  • kb4.io
  • comano.us
  • magnetonics.com
  • bloemlight.com
  • instantrevert.net
  • phishing.guru
  • phishtrain.org
  • malwarebouncer.com
  • phish.farm
  • microransom.us
  • msftemail.com
  • compromisedblog.com
  • com-onlinebanking.com
  • com-token-auth.com
  • 2O2.lOl
  • protected-forms.com
  • cert-sha256.com
  • wishyoudidntclickthis.com
  • cert-sha256.co.uk
  • internalportal.net
  • twittermessage.net
  • my-cloud-mail.com
  • linkedlnu.com
  • farenheit.net
  • gooqleonline.com
  • donotreply.biz
  • aøl.com
  • exchamge.org
  • allibaba.org
  • voipmessage.uk
  • efaxonline.org
  • bltly.us
  • twittermessage.co.uk
  • www-com.co.uk
  • srvgov.com
  • gooqle.eu
  • allibaba.eu
  • yourgunnalovetraining.com
  • succesful.org

Etiquetas de VirusTotal

En la sección de etiquetas de VirusTotal de la subpestaña VirusTotal, puede ver las etiquetas de VirusTotal puede adjuntar a sus mensajes después del análisis. Según los resultados del análisis, VirusTotal aplicará una o más de las etiquetas a sus mensajes: Para obtener información sobre las etiquetas de VirusTotal, consulte la siguiente lista:

  1. VT_Pending: esta etiqueta se adjunta a su mensaje cuando un análisis de VirusTotal está en cola. Esta etiqueta se eliminará cuando se complete el análisis.
  2. VT_Bad: esta etiqueta se adjunta a su mensaje cuando un análisis de VirusTotal determina que el archivo adjunto es malicioso.
  3. VT_Suspicious: esta etiqueta se adjunta a su mensaje cuando un análisis de VirusTotal determina que la URL o el archivo adjunto es sospechoso, pero no se confirmó que sea malicioso. Puede ajustar el umbral de detección para las URL y los archivos adjuntos maliciosos en la configuración Minimum Antivirus Scanner Detections (Mínimo de detecciones del análisis antivirus).
  4. VT_Scanned: esta etiqueta se adjunta a su mensaje cuando se completa un análisis de VirusTotal y se determina que el archivo adjunto no es malicioso.

  5. VT_Bypassed: esta etiqueta se adjunta a su mensaje cuando se agota el tiempo de espera de un análisis de VirusTotal. Por lo general, esta etiqueta se adjunta con otras etiquetas de VirusTotal. Puede establecer un tiempo de espera personalizado en la configuración VirusTotal Automatic Scanning.

    Nota: Si VirusTotal excede el tiempo de espera, PhishER permitirá que las acciones automatizadas se ejecuten en el mensaje mientras la consola espera los resultados de VirusTotal. Una vez completadas las acciones automatizadas, VirusTotal podrá terminar de adjuntar etiquetas al mensaje. Las acciones automatizadas no se volverán a ejecutar una vez recibidos los resultados del análisis.
  6. VT_Hash_not_found: esta etiqueta se adjunta a su mensaje cuando un análisis de VirusTotal no devuelve una coincidencia para los archivos adjuntos con hash.
  7. VT_Ignored: esta etiqueta se adjunta a su mensaje cuando se detectan URL o dominios de su lista segura en un mensaje.
Nota: Un mensaje con varios archivos adjuntos puede tener varias etiquetas de VT, ya que algunos análisis pueden finalizar en momentos distintos o tener resultados diferentes.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 1 de 1

¿No encuentra lo que busca?

Contacte a soporte