En la subpestaña Threat Intel de la configuración de PhishER, puede configurar la función Threat Intel para su consola de PhishER. Threat Intel está impulsado por la integración de Webroot con PhishER Plus. El servicio BrightCloud Web Classification & Web Reputation de Webroot utiliza inteligencia basada en aprendizaje automático para analizar las URL en busca de contenido malicioso. Esta integración usa la API de Webroot para permitirle a PhishER enviar URL para análisis, extraer datos de informes y realizar búsquedas avanzadas.

Después de que Threat Intel analiza una URL, estará disponible un informe de análisis en la subpestaña Domains & URLs (Dominios y URL) de la página Message Details (Detalles del mensaje) de su consola de PhishER. Para obtener más información, consulte nuestra Guía de la bandeja de entrada de PhishER.

Configurar la integración

Para configurar la integración, complete los campos en la subpestaña Threat Intel de la configuración de PhishER. Para obtener más información, consulte la captura de pantalla y la lista que aparecen a continuación:

1. Threat Intel Disabled (Threat Intel deshabilitado) o Threat Intel Enabled (Threat Intel habilitado): use este botón para deshabilitar o habilitar la integración.
2. (Opcional) Automatic Scanning Settings (Configuración del análisis automático): en esta sección, puede establecer la configuración que permite a Threat Intel analizar automáticamente partes de un mensaje. Para conocer estas opciones, consulte la siguiente lista:
   • Automatically Scan All URLs (Analizar automáticamente todas las URL): si selecciona esta casilla, todas las URL de su bandeja de entrada de PhishER se enviarán automáticamente a Threat Intel.
3. Update Threat Intel Settings (Actualizar la configuración de Threat Intel): haga clic en este botón si desea guardar los cambios realizados en la configuración de integración de esta sección.
4.  (Opcional) Automatic Scanning Timeout (Tiempo de espera del análisis automático): El campo Timeout if no response in seconds (Tiempo de espera si no hay respuesta en segundos) muestra el período de espera personalizado para los resultados del análisis de Threat Intel. Si Threat Intel no devuelve los resultados del análisis en este período, se aplicará una etiqueta TI_BYPASSED al mensaje correspondiente. De forma predeterminada, el tiempo de espera es de 120 segundos. Para obtener más información sobre las etiquetas que se pueden aplicar al mensaje, consulte la sección Etiquetas de Threat Intel de este artículo. 
5. (Opcional) Ignored Domains (Dominios ignorados): en esta sección se muestran los dominios que desea que Threat Intel ignore al ejecutar un análisis.
6. Update Shared Settings (Actualizar la configuración compartida): si desea actualizar el tiempo de espera personalizado o los dominios ignorados para sus integraciones, haga clic en este botón para abrir la ventana emergente Shared Integrations Settings (Configuración de integraciones compartidas). En la ventana emergente, puede ingresar una cantidad de segundos en el campo Timeout if no response in seconds (Tiempo de espera si no hay respuesta en segundos) para establecer un período de espera personalizado para los resultados de su análisis de Threat Intel. En el campo Ignored Domains (Dominios ignorados), puede ingresar los dominios que desea que Threat Intel ignore al ejecutar un análisis. Ingrese cada dominio como una nueva línea en el cuadro de texto. Si agrega un dominio a esta lista, también se excluirán los subdominios de ese dominio. Sin embargo, si agrega un subdominio a la lista, el dominio no se excluirá. Los comodines (*) y los identificadores uniformes de recursos (URI) no son compatibles. 
   Importante: Para obtener más información sobre los dominios de KnowBe4 que no se deberían enviar como enlaces a Threat Intel, lea la sección Excluir los dominios de KnowBe4 de los análisis de este artículo.

Analizar con Threat Intel

Una vez que integre su cuenta de Threat Intel con su consola de PhishER, podrá ejecutar un análisis de Threat Intel en los dominios y las URL. Para ejecutar un análisis de Threat Intel en una URL o un dominio específicos, haga clic en Scan (Analizar) en la página Message Details (Detalles del mensaje).

Cuando ejecute un análisis de Threat Intel en un dominio o URL, el análisis puede tardar hasta 15 minutos en completarse. Cuando finalice el análisis, los resultados se mostrarán en la página Message Details (Detalles del mensaje) de su consola de PhishER. Haga clic en Click to View Scan Results (Hacer clic para ver los resultados del análisis) para ver los resultados. Para obtener más información, lea la sección Viewing Message Details (Ver detalles del mensaje) de nuestra Guía de la bandeja de entrada de PhishER.

Excluir los dominios de KnowBe4 de los análisis

KnowBe4 utiliza varios dominios que no se deben enviar como enlaces a Threat Intel. Puede ingresar estos dominios que se deben ignorar en la sección Shared Integrations Settings (Configuración de integraciones compartidas) de la subpestaña Threat Intel en su configuración de PhishER. Para buscar y excluir los dominios, siga estos pasos:

1. Inicie sesión en la consola de KSAT.
2. Vaya a la pestaña Phishing y seleccione la subpestaña Domains (Dominios). En esta subpestaña se muestra una lista de nuestros dominios raíz del enlace de phishing. Para obtener más información, lea nuestro artículo Administrar los dominios del enlace de phishing.
   Nota: Si no tiene acceso a esta subpestaña, puede ponerse en contacto con nuestro equipo de soporte para obtener una lista de los dominios del enlace de phishing.
3. En un navegador o una pestaña aparte, inicie sesión en su consola de PhishER.
4. Vaya a Settings (Configuración) > Threat Intel.
5. En la sección Shared Integrations Settings (Configuración de integraciones compartidas), haga clic en Update Shared Settings (Actualizar configuración compartida).
6. En el campo Ignored Domains (Dominios ignorados), ingrese los dominios raíz para su consola de KSAT.
7. Haga clic en Update Shared Settings (Actualizar la configuración compartida).
8. Si utiliza más de una instancia de la consola de KSAT, repita los pasos 1 a 7 para excluir los dominios raíz de todas las instancias. Para obtener más información sobre las instancias de KSAT, lea nuestro artículo Instancias de capacitación de KnowBe4.

Etiquetas de Threat Intel

Según los resultados del análisis, Threat Intel aplicará una o más etiquetas a sus mensajes. Para conocer estas etiquetas de Threat Intel, consulte la siguiente lista:

1. TI_BYPASSED: esta etiqueta se adjunta a su mensaje cuando se agota el tiempo de espera de un análisis de Threat Intel. Por lo general, esta etiqueta se adjunta con otras etiquetas de Threat Intel. Puede establecer un tiempo de espera personalizado en su Shared Integrations Settings (Configuración de integraciones compartidas) de Threat Intel.
   Nota: Si se agota el tiempo de espera de Threat Intel, PhishER esperará a que se devuelvan los resultados de Threat Intel. Sin embargo, las acciones automatizadas no se ejecutarán en el elemento mientras Threat Intel lo analiza.
2. TI_ERROR: esta etiqueta se adjunta a su mensaje cuando los resultados del análisis de Threat Intel arrojan errores de procesamiento, o cuando Threat Intel no puede analizar un dominio o una URL.
3. TI_HIGH_RISK: esta etiqueta se adjunta a su mensaje cuando el análisis de Threat Intel determina que se detectó una amenaza y que los dominios o URL analizados tienen un riesgo alto.
4. TI_IGNORED: esta etiqueta se adjunta a su mensaje cuando se detectan URL o dominios de su lista de Dominios ignorados en un mensaje.
5. TI_LOW_RISK: esta etiqueta se adjunta a su mensaje cuando el análisis de Threat Intel determina que no se detectó ninguna amenaza, pero los dominios o URL analizados tienen un riesgo bajo.
6. TI_MODERATE_RISK: esta etiqueta se adjunta a su mensaje cuando el análisis de Threat Intel determina que se detectó una posible amenaza, y que los dominios o URL analizados tienen un riesgo moderado.
7. TI_NOT_FOUND: esta etiqueta se adjunta a su mensaje cuando el análisis de Threat Intel no devuelve una coincidencia para los dominios o las URL analizados.
8. TI_PENDING: esta etiqueta se adjunta a su mensaje cuando hay un análisis de Threat Intel en cola. Esta etiqueta se eliminará cuando se complete el análisis.
9. TI_SCANNED: esta etiqueta se adjunta a su mensaje cuando el análisis de Threat Intel determina que no se detectó ninguna amenaza en los dominios o URL analizados.
10. TI_SUSPICIOUS: esta etiqueta se adjunta a su mensaje cuando el análisis de Threat Intel determina que los dominios o URL analizados son sospechosos.