Trabajar con listas de bloqueo

Compartir

¿Este artículo es útil?

Última actualización:

Guía de Global Blocklist

Global Blocklist utiliza información de origen colectivo sobre amenazas de correo electrónico para ayudarlo a evitar que lleguen correos electrónicos maliciosos o no deseados (spam) a las bandejas de entrada de sus usuarios. El Laboratorio de investigación de amenazas de KnowBe4 recopila datos de todas las Blocklists de PhishER y de otras fuentes para crear entradas en Global Blocklist. Estas entradas contienen información que su servidor de correo utilizará para filtrar correos electrónicos no deseados.

La función Global Blocklist solo está disponible para cuentas con PhishER Plus. Una vez que habilite esta función y la conecte a su servidor de correo de Microsoft 365, KnowBe4 conectará su servidor de correo a Global Blocklist. Cuando el equipo del Laboratorio de investigación de amenazas actualice Global Blocklist, las entradas de la lista de bloqueo de su servidor de correo se actualizarán automáticamente.

Importante: Esta función no es compatible con Microsoft 365 operado por 21Vianet y es posible que no esté disponible en otros entornos fuera de los EE. UU.

Para obtener más información sobre Blocklist de PhishER, visite nuestro artículo Cómo utilizar la Blocklist de PhishER.

Habilitar y autorizar Global Blocklist

Para poder utilizar Global Blocklist, primero deberá habilitarla en su plataforma PhishER. También deberá autorizar Global Blocklist asignando la función de administrador de Exchange a la aplicación Global Blocklist en su cuenta de Microsoft 365 con Microsoft Entra ID.

Nota:Para habilitar Global Blocklist, su organización deberá tener una instancia activa del servidor de correo de Microsoft 365 que esté vinculada al dominio de su organización. Para obtener más información sobre cómo conectar un servidor de correo, lea nuestro artículo Configuración de PhishER: Integraciones.

Para habilitar y autorizar Global Blocklist, siga los pasos que se indican a continuación:

  1. En su plataforma PhishER, navegue hasta Settings (Configuración) > Blocklist.
  2. Si un servidor de correo de Microsoft 365 no está conectado a su lista de bloqueo, haga clic en Connect to Microsoft 365 (Conectar a Microsoft 365) y agregue una conexión.
    Nota:Si ya habilitó Blocklist de PhishER y se conectó a su servidor de correo de Microsoft 365, puede omitir este paso y el paso 6.
  3. Active el botón de cambio que se encuentra junto a Global Blocklist Disabled (Global Blocklist deshabilitada).
  4. En la ventana emergente de Términos y condiciones que se abre, revise y acepte la Política de privacidad y los Términos de servicio. Una vez que haya revisado ambos elementos, haga clic en I Accept (Acepto).
  5. Haga clic en Save (Guardar) para guardar la configuración de Global Blocklist.
  6. En su portal de Microsoft Entra ID, asigne la función de Administrador de Exchange a la aplicación Global Blocklist. Para obtener más información, visite nuestro artículo Cómo asignar la función de administrador de Exchange a la aplicación Blocklist de PhishER.

Monitorear entradas de Global Blocklist

Una vez que haya habilitado y autorizado Global Blocklist, su organización tendrá acceso a las entradas de la lista de bloqueo administradas por el equipo del Laboratorio de investigación de amenazas de KnowBe4. Puede ver la lista completa de entradas de Global Blocklist navegando a Blocklist > Your Syncing Entries (Sus entradas sincronizadas) y seleccionando Global Entries (Entradas globales) en las opciones de Filter by Entry Type (Filtrar por tipo de entrada).

Si ha habilitado Global Blocklist y Blocklist de PhishER para su organización, la subpestaña Your Syncing Entries (Sus entradas sincronizadas) mostrará las entradas de la Blocklist de PhishER y las entradas de Global Blocklist sincronizadas con su servidor de correo. Las entradas se ordenan por sus valores. Para obtener más información sobre esta subpestaña, vea la captura de pantalla y la lista que aparecen a continuación:

  1. Filter by Attribute (Filtrar por atributo): Puede utilizar estos filtros para ver entradas con un tipo de atributo específico.
    Nota: La Blocklist de PhishER tiene un máximo de 500 entradas por atributo de Sender (Remitente), URL y File Hash (Hash de archivo).
  2. Filter by Status (Filtrar por estado): Puede utilizar estos filtros para ver entradas con un estado específico.
  3. Filter by Entry Type (Filtrar por tipo de entrada): Puede utilizar estos filtros para ver solo las entradas de Global Blocklist o las entradas personalizadas en la Blocklist de PhishER.
  4. Value (Valor): Esta columna muestra el valor de la entrada. Los valores pueden ser la dirección del remitente, la URL o el hash de archivo. Su servidor de correo utilizará este valor para filtrar cualquier correo electrónico que tenga el mismo valor. Para obtener más información sobre cómo se filtrarán los correos electrónicos, consulte la lista que aparece a continuación:
    • URL or File Hash (URL o hash de archivo): Si un correo electrónico contiene una URL o un valor hash de archivo que coincide con una entrada, su servidor de correo moverá el correo electrónico a la carpeta Quarantine (Cuarentena) automáticamente.
    • Sender (Remitente): Si un correo electrónico contiene un valor de remitente que coincide con una entrada, su servidor de correo moverá el correo electrónico a la carpeta de correo no deseado automáticamente.
    Consejo:También puede hacer clic en un valor en la columna para ver la página Blocklist Audit Log (Registro de auditoría de Blocklist). Para obtener más información, lea la sección Revisar el registro de auditoría de este artículo.
  5. Estado: Esta columna muestra el estado de la entrada de la lista de bloqueo. Para obtener más información sobre los estados, consulte la lista que aparece a continuación:
    • Pending (Pendiente): Este estado indica que la entrada está en proceso de agregarse o eliminarse de la lista de bloqueo.
    • Active (Activa): Este estado indica que la entrada se agregó a la lista de bloqueo y se sincronizó con el servidor de correo conectado.
    • Incomplete (Incompleta): Este estado indica que se agregó y sincronizó una entrada con uno o más servidores de correo conectados, pero no con todos.
    • Failed (Fallida): Este estado indica que la entrada no se agregó ni se sincronizó correctamente. Si tiene varios servidores de correo conectados a su lista de bloqueo y una entrada no se sincroniza con todos ellos, la entrada se mostrará como Fallida.
  6. Created By (Creado por): Esta columna indica quién creó la entrada. El Administrador mostrará si un administrador de PhishER creó la entrada para su Blocklist de PhishER. KnowBe4 mostrará si el equipo del Laboratorio de investigación de amenazas de KnowBe4 creó la entrada para Global Blocklist.
  7. Created On (Creado el): Esta columna muestra la fecha y la hora en que se agregó la entrada a Global Blocklist.
  8. Expires On (Caduca el): Esta columna muestra la fecha y la hora en que se eliminará la entrada de Global Blocklist y de su Lista de inquilinos permitidos/bloqueados de Microsoft 365.
    Nota:Las entradas en su Lista de inquilinos permitidos/bloqueados de Microsoft 365 pueden tardar hasta 24 horas en sincronizarse con Global Blocklist.
  9. Acciones: En esta columna, puede hacer clic en el ícono de la papelera para abrir la ventana emergente Delete Blocklist Entry (Eliminar entrada de la lista de bloqueo). Luego, puede eliminar una entrada de la Blocklist de PhishER. O puede eliminar e ignorar una entrada para evitar que se agregue a su Blocklist de PhishER. Para obtener información sobre las entradas ignoradas, lea la subsección Ignorar entradas a continuación.

Ignorar entradas

Si desea evitar que se bloqueen entradas en sus servidores de correo, puede agregarlas a sus entradas ignoradas. Las entradas ignoradas no se pueden agregar a la Blocklist de PhishER.

Cuando ignora una entrada, cualquier entrada coincidente en su Blocklist de PhishER estará en estado pendiente para indicar que se eliminará. No puede crear una entrada coincidente en su lista de bloqueo, a menos que la entrada ignorada se elimine en la subpestaña Your Ignored Entries (Sus entradas ignoradas).

Para ignorar una entrada existente en la lista de bloqueo, siga estos pasos:

  1. Inicie sesión en su plataforma PhishER.
  2. Vaya a Blocklist > Your Syncing Entries (Sus entradas sincronizadas).
  3. Busque la entrada que desea ignorar.
  4. Haga clic en el ícono de la papelera en la columna Actions (Acciones) para esa entrada. Se abrirá la ventana emergente Delete Blocklist Entry (Eliminar entrada de la lista de bloqueo).
  5. En la ventana emergente, haga clic en Delete and Ignore (Eliminar e ignorar). Una entrada ignorada se agregará a la subpestaña Your Ignored Entries (Sus entradas ignoradas) y la entrada de la lista de bloqueo estará en estado pendiente para indicar que se eliminará.

Para crear una entrada ignorada desde la subpestaña Your Ignored Entries (Sus entradas ignoradas), siga estos pasos:

  1. Inicie sesión en su plataforma PhishER.
  2. Vaya a Blocklist > Your Ignored Entries (Sus entradas ignoradas).
  3. Haga clic en el botón Create Ignored Entry (Crear entrada ignorada) en la esquina superior derecha de la página. Se abrirá la ventana emergente Create Ignored Entry (Crear entrada ignorada).
  4. En la ventana emergente, cree su entrada ignorada. Para obtener más información, vea la captura de pantalla y la lista a continuación:
    • Attribute (Atributo): Seleccione el tipo de atributo que le gustaría usar para su entrada ignorada.
    • Sender (Remitente): Seleccione esta opción para utilizar la dirección de correo electrónico o el dominio de un remitente como valor. Por ejemplo, puede ingresar una dirección de correo electrónico completa como “nombredeusuario@dominio.com” o un nombre de dominio como “dominio.com” para su Value (Valor).
    • URL: Seleccione esta opción para utilizar una URL completa o un nombre de host como valor. Por ejemplo, puede ingresar “www.nombredelsitio.com/paginadelsitio” o “www.nombredelsitio.com” como Value (Valor).
    • File Hash (Hash de archivo): Seleccione esta opción para usar un hash de archivo SHA-256 como valor.
    • Value (Valor): En este campo, ingrese el valor específico que desea evitar que se bloquee en su servidor de correo. Por ejemplo, si selecciona Sender (Remitente) para el campo Attribute (Atributo), deberá ingresar la dirección de correo electrónico del remitente en este campo.
  5. Haga clic en Save (Guardar) para agregar la entrada a las entradas ignoradas.

Puede monitorear todas sus entradas ignoradas en la subpestaña Your Ignored Entries (Sus entradas ignoradas). Para obtener más información sobre esta subpestaña, vea la captura de pantalla y la lista que aparecen a continuación:

  1. Search... (Buscar...): Puede utilizar este campo para filtrar entradas ignoradas mediante consultas de Lucene.
    Nota:Para buscar entradas con valores similares, debe utilizar comodines. Por ejemplo, puede buscar “*yahoo.com” para encontrar todos los valores que contengan “yahoo.com”. Para obtener más información, lea nuestro artículo Cómo usar la sintaxis de consulta de Lucene.
  2. Filter by Attribute (Filtrar por atributo): Puede utilizar estos filtros para ver entradas con un tipo de atributo específico.
  3. Value (Valor): Esta columna muestra el valor de la entrada.
  4. Created On (Creado el): Esta columna muestra la fecha y la hora en que se agregó la entrada ignorada.
  5. Actions (Acciones): En esta columna, puede hacer clic en el ícono de la papelera para eliminar una entrada ignorada. Si elimina una entrada ignorada, puede usar el valor de la entrada para crear una nueva entrada en su Blocklist de PhishER.

Revisar el registro de auditoría

En su plataforma PhishER, puede navegar a Blocklist > Audit Log (Registro de auditoría) para ver su registro de auditoría. Su registro de auditoría incluye la actividad de la Blocklist de PhishER y Global Blocklist, como cuándo se crean, eliminan y sincronizan entradas con sus servidores de correo.

Para obtener más información sobre esta subpestaña, vea la captura de pantalla y la lista que aparecen a continuación:

  1. Timestamp (Marca de tiempo): Esta columna muestra la fecha y la hora en que ocurrió la acción en la columna Event Action (Acción de evento).
  2. Event type (Tipo de evento): Esta columna muestra el tipo de acción que ocurrió. Para obtener más información sobre los tipos de eventos, consulte la lista que aparece a continuación:
    • Entry Updated (Entrada actualizada): Este tipo de evento indica que se creó o eliminó una entrada.
    • Entry Synced (Entrada sincronizada): Este tipo de evento indica que se sincronizó una entrada con la Blocklist de PhishER.
    • Blocklist Synced (Lista de bloqueo sincronizada): Este tipo de evento indica que se sincronizaron todas las entradas de todos los servidores de correo conectados.
  3. Value (Valor): Esta columna muestra el valor de la entrada afectada.
  4. Updated by (Actualizado por): Esta columna muestra el origen de la acción. Cuando se actualice una entrada, esta columna mostrará la dirección de correo electrónico del usuario que la actualizó. Cuando se sincroniza una entrada individual o las listas de bloqueo, esta columna mostrará el ID del servidor de correo o el nombre del servidor de correo. Si el sistema realizó la acción, esta columna estará en blanco.
  5. Event Action (Acción de evento): Esta columna indica qué acción se realizó para una entrada o la lista de bloqueo. Created (Creado) se mostrará cuando se cree una entrada Synced (Sincronizado) se mostrará cuando una entrada o lista de bloqueo se sincronice con los servidores de correo conectados. Deleted (Eliminado) se mostrará cuando se elimine una entrada.
  6. Estado: Esta columna indica si la acción se ha realizado correctamente o no.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 0 de 0

¿No encuentra lo que busca?

Contacte a soporte