PhishER de KnowBe4 es una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que administra los correos electrónicos que informan sus usuarios. Con PhishER, su organización puede identificar posibles amenazas de correo electrónico para fortalecer sus medidas de seguridad y su plan de defensa en profundidad.

PhishER está disponible como plataforma independiente, pero funciona mejor cuando se combina con la consola KSAT. PhishER también puede integrarse con herramientas de análisis de terceros, como VirusTotal y Syslog, para brindarle a su organización análisis y evaluaciones de seguridad.

Flujo de trabajo de PhishER

A continuación, se muestra un diagrama del flujo de trabajo de PhishER. Recomendamos revisar este flujo de trabajo antes de comenzar para que pueda comprender mejor PhishER.

Para obtener más información sobre este flujo de trabajo, consulte la lista que aparece a continuación:

1. Cuando sus usuarios informan correos electrónicos sospechosos, los correos electrónicos se envían a la bandeja de entrada de PhishER.
2. Usando sus reglas personalizadas, PhishER analiza los componentes del correo electrónico en busca de contenido malicioso o señales de alarma. Luego, PhishER asigna etiquetas a los correos electrónicos que cumplen con los criterios de su regla.
3. Las etiquetas activan PhishER para realizar sus acciones específicas. Según las reglas y las acciones personalizadas de su organización, PhishER dispondrá automáticamente cada correo electrónico. La disposición lo ayuda a priorizar los correos electrónicos informados y responder rápidamente a ataques de phishing reales.
4. Si habilitó Blocklist de PhishER, puede usar información sobre correos electrónicos maliciosos o no deseados para bloquear correos electrónicos similares y que no lleguen a las bandejas de entrada de sus usuarios. Si tiene una suscripción a PhishER Plus y habilitó la Global Blocklist, puede utilizar información de fuentes colectivas para bloquear correos electrónicos similares.
5. Si habilitó PhishRIP, puede eliminar correos electrónicos no deseados o maliciosos similares que ya han llegado a las bandejas de entrada de sus usuarios. Si tiene una suscripción a PhishER Plus y habilitó Global PhishRIP, puede utilizar información de fuentes colectivas para eliminar correos electrónicos similares.
6. Si habilitó PhishFLIP, puede reutilizar los correos electrónicos informados para crear plantillas y campañas de phishing en KSAT. PhishFlip elimina elementos maliciosos de los correos electrónicos informados antes de enviar pruebas de phishing a sus usuarios.

Requisitos previos

Cuando utilice PhishER y KSAT juntos, deberá comprar la misma cantidad de puestos para ambos productos. Si compra puestos adicionales para cualquiera de los productos durante el plazo de su suscripción, también deberá comprar puestos para los otros productos.

Todos los clientes de PhishER deberán tener un sistema de reenvío de correo electrónico para que todos los correos electrónicos informados de los usuarios puedan reenviarse a su bandeja de entrada de PhishER para su análisis. Recomendamos que instale Phish Alert Button (PAB) para su organización, pero también tiene la opción de permitir que sus usuarios reenvíen manualmente los correos electrónicos a una dirección de correo electrónico para informes. Para obtener más información sobre estos métodos, consulte nuestro Manual del producto de Phish Alert Button (PAB) y el artículo Configuración de PhishER.

Crear su cuenta

Primero, deberá crear una cuenta de PhishER.

Para crear su cuenta, siga los pasos que aparecen a continuación:

1. Inicie sesión en su cuenta de KnowBe4.
2. Haga clic en su nombre en la esquina superior derecha de la página. Desde el menú desplegable que se abre, seleccione Account Settings (Configuración de la cuenta).
3. Vaya a Account Integrations (Integraciones de la cuenta) > PhishER.
4. Haga clic en el botón Create PhishER Account (Crear cuenta de PhishER).

Acceder a PhishER

Una vez que haya creado una cuenta de PhishER para su organización y PhishER esté habilitado en su cuenta, el botón Go to PhishER (Ir a PhishER) aparecerá en la página Account Settings (Configuración de la cuenta) de KnowBe4. Al hacer clic en este botón, accederá directamente a su plataforma PhishER. O puede acceder a su plataforma PhishER navegando a la URL correspondiente a su instancia KnowBe4. Para obtener más información, consulte la captura de pantalla y la lista que aparecen a continuación:

• Estados Unidos: https://phisher.knowbe4.com
• Canadá: https://ca.phisher.knowbe4.com
• Unión Europea: https://eu.phisher.knowbe4.com
• Alemania: https://de.phisher.knowbe4.com
• Reino Unido: https://uk.phisher.knowbe4.com

Establecer direcciones de correo electrónico para informes

Deberá configurar al menos una dirección de correo electrónico para informes para reenviar correos electrónicos a su bandeja de entrada. Si su organización utiliza PAB, deberá configurar una dirección de correo electrónico para informes para cada instancia de PAB.

Para configurar las direcciones de correo electrónico de informes, siga los pasos que aparecen a continuación:

1. Inicie sesión en su cuenta de KnowBe4.
2. Haga clic en su nombre en la esquina superior derecha de la página. Desde el menú desplegable que se abre, seleccione Account Settings (Configuración de la cuenta).
3. Vaya a Account Integrations (Integraciones de la cuenta) > Phish Alert y abra la configuración de una instancia de PAB.
4. En el campo Send Non-Simulated Phishing Emails to (Enviar correos electrónicos de phishing no simulados a), ingrese sus direcciones de correo electrónico para informes. Para obtener más información sobre este campo, consulte la sección Habilitar y configurar PAB de nuestro Manual de producto de Phish Alert Button (PAB).
5. Haga clic en el botón Save Phish Alert Settings (Guardar configuración de Phish Alert).
6. En la parte inferior de la página, haga clic en el botón Save Changes (Guardar cambios).

Tablero

Cuando abra su plataforma PhishER, se mostrará la página Dashboard (Tablero). En esta página, puede ver una descripción general rápida de su plataforma PhishER. Para obtener más información sobre esta página, consulte la captura de pantalla y la lista a continuación:

1. Buscar: Puede usar esta barra de búsqueda para filtrar su tablero usando las consultas de Lucene. El tablero mostrará una descripción general de la información sobre todos los mensajes que coinciden con los criterios de búsqueda.
2. Edit Dashboard Layout (Editar diseño de tablero): Puede hacer clic en este ícono para agregar y eliminar widgets de su tablero. Puede arrastrar, soltar y cambiar el tamaño de cada widget para crear un diseño personalizado. Al hacer clic en este ícono, se mostrarán los botones Reset Dashboard Layout (Restablecer diseño del tablero) y Add Widget (Agregar widget).
3. Last 30 days (Últimos 30 días): De forma predeterminada, el tablero muestra datos y actividad durante los últimos 30 días. Sin embargo, puede ajustar la vista del tablero para mostrar un rango de fechas diferente haciendo clic en el botón Last 30 days (Últimos 30 días). Si hace clic en este botón, se abrirá la ventana emergente del rango de fechas.
4. Reported Messages (Mensajes informados): Esta sección muestra la cantidad de mensajes informados que se reenviaron a su bandeja de entrada de PhishER.
5. Automatically Resolved (Resuelto automáticamente): Esta sección muestra la cantidad de mensajes que se dispusieron en función de las reglas y las acciones habilitadas.
6. Manually Resolved (Resuelto manualmente): Esta sección muestra la cantidad de mensajes que se dispusieron sin sus reglas y acciones activas.
7. Unresolved (Sin resolver): Esta sección muestra la cantidad de mensajes que no se dispusieron.
8. Received Messages (Mensajes recibidos): Este gráfico de barras muestra la cantidad de mensajes informados reenviados a su bandeja de entrada de PhishER. Los datos muestran la cantidad de mensajes informados cada día u hora.
9. Messages Summary (Resumen de mensajes): Este gráfico circular muestra una comparación de los mensajes en los estados Resuelto automáticamente, Resuelto manualmente y Pendiente de revisión.
10. Reported Messages by Category (Mensajes informados por categoría): Este gráfico de líneas muestra cómo se dispusieron los mensajes. Los mensajes pueden disponerse como Limpio, Correo no deseado (spam) o Amenaza. Cada mensaje se dispone como Desconocido de forma predeterminada hasta que PhishER o un administrador lo dispone en una de las otras categorías.
11. Categories (Categorías): Este gráfico circular muestra una comparación de los mensajes que se disponen.
12. Reported Messages by Priority (Mensajes informados por prioridad): Este gráfico de líneas muestra la prioridad de los mensajes informados. A un mensaje se le puede asignar una de las siguientes prioridades: Desconocido, Bajo, Medio, Alto o Crítico. Los datos muestran la cantidad de mensajes informados cada día u hora para cada tipo de prioridad.
13. Priorities (Prioridades): Este gráfico circular muestra una comparación de cómo se priorizan los mensajes.

Salas

La pestaña Rooms (Salas) contiene múltiples vistas filtradas de los mensajes en su bandeja de entrada de PhishER. Cada vista filtrada se basará en sus consultas guardadas y filtros generados por el sistema. Puede ver una bandeja de entrada, un tablero y un informe filtrados al hacer clic en los íconos junto a cada filtro generado por el sistema.

Si hace clic en un grupo específico de mensajes en una sala, accederá a una vista filtrada de su bandeja de entrada que muestra todos los mensajes del grupo. Se crea un grupo de mensajes en una sala si un mínimo de dos mensajes cumple con los criterios de la sala.

Para obtener más información sobre las salas, consulte nuestro artículo Cómo crear y administrar salas de PhishER.

Bandeja de entrada

Puede ver todos los mensajes informados de sus usuarios desde la pestaña Inbox (Bandeja de entrada). Estos mensajes incluyen todos los correos electrónicos que sus usuarios informaron mediante PAB o el reenvío manual de correos electrónicos a una dirección de correo electrónico de informes. Desde esta pestaña, puede filtrar mensajes y guardar configuraciones de filtro personalizadas como una sala. También puede realizar acciones y cambiar la disposición de los mensajes.

Usando herramientas de análisis de terceros, PhishER organiza los mensajes en diferentes componentes, incluidos los datos sin procesar, los encabezados, los archivos adjuntos y el cuerpo del mensaje. Cuando hace clic en un mensaje individual, la página Message Details (Detalles del mensaje) muestra información detallada sobre el mensaje, como sus componentes. Desde esta página, también puede realizar acciones en el mensaje y usar una característica Discussion (Discusión) para comunicarse con sus administradores sobre el mensaje.

Para obtener más información sobre la bandeja de entrada, consulte nuestro artículo Cómo usar su bandeja de entrada de PhishER.

Reglas

Puede ver todas sus reglas de PhishER desde la pestaña Rules (Reglas). Una regla es una expresión lógica utilizada para disponer los correos electrónicos reenviados a la bandeja de entrada de PhishER. Para disponer los correos electrónicos, todas las reglas deben seguir la lógica de las reglas YARA.

Según la regla, se agregará una etiqueta a los correos electrónicos a medida que se reenvían a la bandeja de entrada de PhishER. La pestaña Rules (Reglas) incluye la página Rules List (Lista de reglas), que tiene las siguientes subpestañas:

• Custom Rules (Reglas personalizadas): Esta subpestaña enumera las reglas que su organización crea desde cero utilizando el editor de reglas de PhishER.
• System Rules (Reglas del sistema): Esta subpestaña enumera el conjunto predeterminado de reglas proporcionadas por KnowBe4.
• Global Variables (Variables globales): Esta subpestaña enumera las variables globales que su organización crea para las reglas personalizadas. Si usa varias reglas con las mismas cadenas, puede usar variables globales para actualizar todas estas reglas a la vez.

Para obtener más información sobre las reglas, consulte nuestro artículo Cómo crear y administrar reglas de PhishER.

Acciones

Puede ver todas sus acciones de PhishER desde la pestaña Actions (Acciones). Cuando se asigna una etiqueta a un mensaje, la etiqueta indicará cómo se debe procesar el mensaje en PhishER. Luego, la acción iniciará los pasos de ese proceso. Por ejemplo, puede crear una acción para asignar una categoría de Correo no deseado (spam) a todos los mensajes coincidentes. La pestaña Actions (Acciones) incluye la página Actions List (Lista de acciones), en la que puede crear y administrar todas las acciones en su plataforma PhishER.

Para obtener más información acerca de las acciones, consulte nuestro artículo Cómo crear y administrar acciones de PhishER.

Informes

Puede ver todos sus informes PhishER desde la pestaña Reports (Informes). Cada subpestaña muestra un informe con la información más común encontrada en los correos electrónicos informados de sus usuarios. De forma predeterminada, cada informe muestra los datos y la actividad de los últimos 30 días, pero puede ajustar este rango de fechas haciendo clic en el botón Last 30 Days (Últimos 30 días) en la esquina superior derecha de la página.

La pestaña Reports (Informes) incluye las siguientes subpestañas:

• Attachments (Archivos adjuntos): Esta subpestaña muestra los tipos de archivos adjuntos más comunes en los correos electrónicos informados por los usuarios.
• Reporters (Informadores): Esta subpestaña muestra los usuarios más comunes que informan los correos electrónicos.
• Senders (Remitentes): Esta subpestaña muestra los dominios de remitentes más comunes asociados con los correos electrónicos informados por los usuarios.
• Domains and URLs (Dominios y URL): Esta subpestaña muestra los dominios y las URL más comunes en los correos electrónicos informados por los usuarios.
• Tags (Etiquetas): Esta subpestaña muestra las etiquetas más comunes aplicadas a los correos electrónicos informados por los usuarios.

Para obtener más información sobre los informes, consulte nuestro artículo Cómo utilizar los informes de PhishER.

Blocklist

La característica PhishER Blocklist ayuda a su servidor de correo de Microsoft 365 a evitar que los correos electrónicos maliciosos o no deseados (spam) lleguen a las bandejas de entrada de sus usuarios. Puede ver todas sus entradas de la lista de bloqueo desde la subpestaña Your Synced Entries (Sus entradas de sincronización) de la pestaña Blocklist (Lista de bloqueo). Cuando revisa los correos electrónicos informados por los usuarios, puede actualizar su lista de bloqueo para enviar información sobre amenazas o correo no deseado (spam) a su servidor de correo.

Para obtener más información sobre las listas de bloqueo, consulte nuestro artículo Cómo usar la lista de bloqueo de PhishER.

PhishRIP

PhishRIP es una característica de cuarentena de correo electrónico de PhishER que le permite a su organización buscar los correos electrónicos informados de los usuarios en todas las bandejas de entrada conectadas a su instancia de Microsoft 365 o Google Workspace. Puede ver todos sus resultados de búsqueda o consultas de PhishRIP desde la pestaña PhishRIP. Con PhishRIP, puede evitar ataques de phishing activos eliminando posibles amenazas de correo electrónico de las bandejas de entrada de sus usuarios.

Cuando selecciona un mensaje individual en su bandeja de entrada y hace clic en el menú desplegable Run (Ejecutar), puede desencadenar acciones que se ejecutarán en los mensajes encontrados por consultas de PhishRIP.

Para obtener más información sobre PhishRIP, consulte nuestro artículo Cómo usar PhishRIP.

PhishFlip

PhishFlip es una característica de PhishER que le permite a su organización reutilizar los correos electrónicos informados de los usuarios en campañas de phishing (suplantación de identidad) en su consola KSAT. PhishFlip eliminará todos los elementos maliciosos de los correos electrónicos informados a fin de que sean seguros para enviar a sus usuarios como plantillas de phishing (suplantación de identidad).

Una vez que PhishFlip está habilitado en su plataforma PhishER, puede crear plantillas de phishing (suplantación de identidad) KSAT a partir de los correos electrónicos informados de los usuarios. Luego, puede usar las plantillas de phishing (suplantación de identidad) para crear campañas de phishing (suplantación de identidad) en su consola KSAT. También puede crear campañas de PhishFlip automáticas que contengan correos electrónicos informados específicos desde su plataforma PhishER.

Para obtener más información sobre PhishFlip, consulte nuestro artículo Cómo usar PhishFlip.