Analizar e identificar correos electrónicos

Compartir

¿Este artículo es útil?

Última actualización:

Crear y administrar reglas de PhishER

En su consola PhishER, las reglas son expresiones lógicas que le permiten disponer y etiquetar automáticamente los mensajes en su bandeja de entrada de PhishER. Las etiquetas asignadas hacen que PhishER ejecute acciones en los mensajes. Puede crear reglas desde la pestaña Rules (Reglas). Si desea crear una acción, consulte nuestro artículo Cómo crear y administrar acciones de PhishER.

La pestaña Rules contiene dos tipos de reglas: reglas personalizadas y reglas del sistema. Las reglas personalizadas son reglas que puede crear mediante el editor de reglas YARA. Las reglas del sistema son reglas predeterminadas proporcionadas por KnowBe4. La pestaña Rules (Reglas) también contiene variables globales, que son variables que crea para usar en varias reglas con las mismas cadenas. Al actualizar una variable global, puede actualizar todas las reglas que contienen esas cadenas.

Nota: Todas las reglas de PhishER deben seguir la lógica de la regla Yet Another Recursive/Ridiculous Acronym (Otro acrónimo recurrente y ridículo) o YARA, por sus siglas en inglés, para disponer los mensajes. Para obtener más información sobre cómo escribir reglas YARA, consulte nuestro artículo Cómo escribir reglas YARA.

Crear reglas

Puede crear reglas personalizadas en su consola PhishER para disponer los mensajes que se enviaron a su bandeja de entrada de PhishER. Para crear sus reglas, puede utilizar el editor básico o el editor avanzado. Todas las reglas personalizadas deben seguir la lógica de Yet Another Recursive/Ridiculous Acronym (YARA). YARA es una herramienta utilizada para identificar y clasificar muestras de malware.

Para crear una regla, siga los pasos que aparecen a continuación:

  1. Inicie sesión en su consola de PhishER.
  2. En la barra lateral de la parte izquierda de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
  3. Haga clic en el botón New Rule (Nueva regla) en la esquina superior derecha de la página para abrir la página Rule Details (Detalles de la regla).
    Nota:si desea que PhishER genere automáticamente una regla basada en una descripción de sus necesidades, consulte la sección Crear reglas con el generador de reglas YARA.

  4. En el campo Name (Nombre), ingrese un nombre único para su regla. Le recomendamos que introduzca un nombre que describa brevemente la función de la regla. El nombre no puede empezar por un valor numérico, superar los 64 caracteres ni incluir ninguna de las palabras clave enumeradas en la documentación Escribir reglas YARA.
  5. (Opcional) En el campo Description (Descripción), ingrese una descripción de su regla. Como práctica recomendada, le recomendamos que introduzca una descripción de la función prevista de la regla. La descripción no puede superar los 64 caracteres.
  6. En la sección Edit Tags: (Editar etiquetas:), agregue una etiqueta personalizada que le gustaría ver adjunta a un mensaje si el mensaje coincide con esta regla específica. Para agregar una etiqueta, haga clic en Add new tag (Agregar nueva etiqueta) e ingrese un nombre para su etiqueta. Luego, haga clic fuera del campo Add new tag (Agregar nueva etiqueta) para crear la etiqueta.
  7. En el menú desplegable Choose target: (Elegir destino:), seleccione la parte del mensaje en la que desea que se aplique o ejecute la regla. Los objetivos que puede seleccionar son datos sin procesar, encabezados, cuerpo o archivos adjuntos. De forma predeterminada, se seleccionará Raw (Datos sin procesar).
  8. En la sección Yara Rule Editor (Editor de reglas YARA), escriba su regla utilizando el editor básico o el editor avanzado. Para obtener más información, consulte las subsecciones siguientes.

Crear reglas con el editor básico

El editor básico le permite crear una regla personalizada sin escribir toda la lógica de la regla YARA. Puede ingresar valores para cadenas y seleccionar condiciones para su regla, y el editor básico procesará su entrada para crear la lógica para su regla. Para obtener información sobre cómo crear una regla usando la pestaña Basic Editor (Editor básico), vea la captura de pantalla y la lista a continuación:

  1. Basic Editor (Editor básico): seleccione esta pestaña para mostrar las opciones que puede usar para crear una regla.
  2. Create Strings (Crear cadenas): cree y defina cadenas para usar al crear sus condiciones. Para obtener más información, consulte nuestro artículo ¿Cómo crear cadenas y condiciones en el editor básico?
  3. New String (Nueva cadena): haga clic en este botón para agregar una cadena a la regla. Puede crear hasta cinco cadenas por regla.
  4. Create Conditions (Crear condiciones): cree condiciones seleccionando cómo deben relacionarse entre sí las cadenas definidas. Las condiciones le permiten especificar qué mensajes desea que afecte su regla. Para obtener más información, consulte nuestro artículo ¿Cómo crear cadenas y condiciones en el editor básico? Puede seleccionar entre las siguientes opciones:
    • Match any of the defined strings (Coincide con cualquiera de las cadenas definidas): seleccione esta opción para detectar mensajes que coincidan con cualquiera de sus cadenas definidas.
    • Match all of the defined strings (Coincide con todas las cadenas definidas): seleccione esta opción para detectar mensajes que coincidan con todas sus cadenas definidas.
    • Custom conditions (Condiciones personalizadas): seleccione esta opción para detectar mensajes que coincidan con sus condiciones personalizadas.
  5. New Condition Group (Nuevo grupo de condiciones): si se selecciona Condiciones personalizadas, puede hacer clic en este botón para crear condiciones personalizadas que los mensajes deben cumplir para verse afectados por la regla.
  6. Save Rule (Guardar regla): haga clic en este botón para guardar su regla. Su regla se mostrará en la página Rules List (Lista de reglas) en la subpestaña Custom Rules (Reglas personalizadas). Después de guardar su regla, puede habilitarla activando el botón debajo de la columna Status (Estado) de la regla. Luego, haga clic en el botón Apply Changes (Aplicar cambios) en la esquina superior derecha de la página.

  7. Apply Rule to Inbox (Aplicar regla a la bandeja de entrada): haga clic en este botón para ejecutar su regla en todos los mensajes de su bandeja de entrada. Al menos un mensaje debe coincidir con su regla y los criterios de la regla de vista previa para que esta opción esté disponible.

Crear reglas con el editor avanzado

El editor avanzado le permite escribir la lógica de su regla YARA sin orientación. Si edita una regla en el editor avanzado, el editor básico se desactivará para la regla. Para obtener información sobre cómo escribir reglas con la lógica de reglas YARA, consulte nuestro artículo Cómo escribir reglas YARA. Para obtener información sobre cómo crear una regla usando la pestaña Advanced Editor (Editor avanzado), vea la captura de pantalla y la lista a continuación:

  1. Advanced Editor (Editor avanzado): seleccione esta pestaña para mostrar la sección de bloque de código donde puede escribir una regla con la lógica de reglas YARA.
  2. Save Rule (Guardar regla): haga clic en este botón para guardar su regla. Su regla aparecerá en la página Rules List en la subpestaña Custom Rules. Después de guardar su regla, puede habilitarla activando el botón debajo de la columna Status (Estado) de la regla. Luego, haga clic en el botón Apply Changes (Aplicar cambios) en la esquina superior derecha de la página.

  3. Apply Rule to Inbox (Aplicar regla a la bandeja de entrada): haga clic en este botón para ejecutar su regla en todos los mensajes de la bandeja de entrada. Al menos un mensaje debe coincidir con su regla y los criterios de la regla de vista previa para que esta opción esté disponible.

Crear reglas con el generador de reglas YARA

El generador de reglas YARA permite crear una regla personalizada con solo describir lo que desea que la regla haga. Puede introducir los requisitos de detección para su regla, y el generador de reglas YARA procesará su entrada para crear la lógica de la regla. Para aprender a crear una regla utilizando la pestaña YARA Rule Generator (Generador de reglas YARA), siga estos pasos:

Nota: esta función está en constante mejora y solo está disponible para cuentas con PhishER Plus. Las reglas que causen errores se deshabilitarán temporalmente.

Para crear una regla, siga los pasos que aparecen a continuación:

  1. Inicie sesión en su consola de PhishER.
  2. En la barra lateral de la parte izquierda de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
  3. Haga clic en el botón New AI Rule (Nueva regla de IA) en la esquina superior derecha de la página para abrir la página Rule Details (Detalles de la regla).

  4. En el campo Describe your detection requirements (Describir sus requisitos de detección), agregue la descripción de la regla que desea crear.

  5. Haga clic en Generate Rule (Generar regla). El Generador de reglas YARA convertirá los requisitos de detección en una regla de PhishER con nombre, descripción, etiqueta y sintaxis YARA completa.

  6. La regla generada se puede editar según sea necesario. Haga clic en Save Rule (Guardar regla) para guardar su regla.

Previsualizar reglas

Antes de guardar una regla nueva, le recomendamos obtener una vista previa de cómo afectará la regla a sus mensajes de PhishER. Para obtener una vista previa de una regla, siga los pasos que aparecen a continuación:

  1. Inicie sesión en su consola de PhishER.
  2. En la barra lateral de la parte izquierda de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
  3. Haga clic en el botón New Rule (Nueva regla) en la esquina superior derecha de la página o seleccione una regla en la página Rules List (Lista de reglas). Cuando haga clic en el botón New Rule (Nueva regla), se abrirá la página Rule Details (Detalles de la regla).
  4. Escriba o modifique su regla YARA utilizando la sección YARA Rule Editor (Editor de reglas YARA).
  5. Antes de guardar su regla, haga clic en el botón Run Preview (Ejecutar vista previa). Aparecerá una lista de todos los mensajes en su bandeja de entrada que coincidan con su regla.
    Nota: PhishER solo comprobará hasta los últimos 1000 mensajes de la vista previa de una regla. Si un mensaje que coincide con la regla no está dentro de los últimos 1000 mensajes, no se incluirá en la vista previa.
  6. Puede actualizar la lista de vista previa modificando las siguientes opciones de criterios:
    • Consulta guardada (opcional): elija una Consulta guardada personalizada para ver cómo afecta la regla a los mensajes de esa consulta.
    • Últimos 7 días: seleccione un rango de fechas para los mensajes que desea obtener una vista previa. Las opciones son Últimas 24 horas, Últimos 7 días y Últimos 30 días: De forma predeterminada, se seleccionará Últimos 7 días.
    • Mensajes coincidentes: si obtiene una vista previa de una regla, se mostrarán opciones adicionales para filtrar los mensajes en la lista de vista previa.
    • Matched Messages (Mensajes coincidentes) (predeterminado): seleccione esta opción para mostrar solo mensajes en su bandeja de entrada de PhishER que coincidan con la condición de la regla.
    • Unmatched Messages (Mensajes no coincidentes): seleccione esta opción para mostrar solo los mensajes en su bandeja de entrada de PhishER que no coincidan con la condición de la regla.
    • All Messages (Todos los mensajes): seleccione esta opción para mostrar todos los mensajes en su bandeja de entrada de PhishER. La columna Matched (Coincidente) indicará si el mensaje coincidió (verdadero) o no (falso) con la regla.

      Nota: si desea abrir un mensaje que se muestra en la lista de vista previa, le recomendamos que abra el mensaje en una nueva pestaña para evitar perder su nueva regla.
    • (Opcional) Si desea ejecutar esta regla en todos los mensajes de la lista de vista previa, haga clic en el botón Apply Rule to Current Matches (Aplicar regla a las coincidencias actuales).

Editar reglas

Para editar una regla personalizada, haga clic en el Nombre o la Descripción de la regla en la página Rules List (Lista de reglas) para abrir la página Rule Details (Detalles de la regla). Si desea editar una regla del sistema, cree una nueva regla personalizada. Luego, copie y pegue la lógica de la regla del sistema en el Editor de reglas YARA de la regla personalizada. Para obtener más información acerca de las reglas del sistema, lea la sección Usar reglas del sistema de este artículo.

Nota: para que se apliquen todos los cambios de reglas, debe hacer clic en el botón Apply Changes (Aplicar cambios) en la esquina superior derecha de la página Rules List (Lista de reglas). Luego, su regla comenzará a ejecutarse en los mensajes entrantes. Los mensajes que ya están en su bandeja de entrada no se verán afectados por su regla.

Usar variables globales

Desde la subpestaña Global Variables (Variables globales) de la página Rules List (Lista de reglas), puede crear variables globales o ver las variables globales que creó. Si usa varias reglas con las mismas cadenas, puede usar variables globales para actualizar todas estas cadenas a la vez.

Puede incluir variables globales en reglas utilizando el editor básico o el editor avanzado para crear cadenas que contengan variables globales. Si edita una variable global, la regla se actualizará automáticamente en todas las reglas que incluyan la variable global.

Nota: puede crear tantas reglas que contengan variables globales como desee. Si crea y aplica una regla que contiene variables globales, la condición de esa regla debe cumplirse antes de que se puedan ejecutar otras reglas.

Para crear una variable global, siga los pasos que aparecen a continuación:

  1. Inicie sesión en su consola de PhishER.
  2. En la barra lateral de la parte izquierda de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
  3. Vaya a la subpestaña Global Variables (Variables globales).

  4. Haga clic en el botón New Variable (Nueva variable) en la esquina superior derecha de la página. Al hacer clic en este botón, se abrirá la página Create Global Variable (Crear variable global).
  5. En el campo Name (Nombre), ingrese un nombre para la variable global.

  6. En el campo Value (Valor), ingrese un valor para la variable global.
    Nota: las variables globales deben cumplir los mismos requisitos que se aplican a otras variables y cadenas. El valor no puede empezar por un valor numérico, superar los 255 caracteres ni ser una de las palabras clave enumeradas en la documentación Escribir reglas YARA.
  7. Haga clic en Save (Guardar) para guardar su variable global. La variable global aparecerá en la página Rules List (Lista de reglas) en la subpestaña Global Variables (Variables globales).

En la página Rules List (Lista de reglas), puede ver información sobre la variable global, como cuándo se creó y se actualizó por última vez. También puede editar el valor de una variable global haciendo clic en el nombre de la variable para abrir la pantalla Edit Global Variable (Editar variable global). El nombre de una variable global existente no se puede cambiar. Si desea eliminar una variable global, haga clic en el ícono de la papelera.

Para obtener información sobre cómo crear una regla utilizando variables globales, consulte nuestro artículo ¿Cómo crear cadenas y condiciones en el editor básico de reglas YARA?.

Usar reglas del sistema

Su consola PhishER proporciona reglas del sistema para ayudarlo a eliminar y etiquetar mensajes. Desde la subpestaña Rules List (Reglas del sistema), de la página Rules List (Lista de reglas), puede habilitar estas reglas para su consola PhishER. De forma predeterminada, las reglas del sistema están deshabilitadas.

Para obtener más información sobre las reglas del sistema, consulte la captura de pantalla y la lista que aparecen a continuación:

Nombre de la regla Descripción de la regla
KB4:COMMUNICATION Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing relacionados con la comunicación.
KB4:NON_ENGLISH Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing que no están en inglés.
KB4:URGENCY Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing que reflejan urgencia.
KB4:SECURITY Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing relacionados con problemas de seguridad.
KB4:SHIPPING Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing relacionadas con envíos.
KB4:FINANCIAL Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing relacionados con asuntos financieros.
KB4:BILLING Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing relacionados con facturación.
KB4:GENERAL Esta regla detecta mensajes que contienen palabras generales comunes para los campos Subject (Asunto) o From (De) en intentos de phishing.
KB4:BRANDS Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing relacionados con marcas.
KB4:419SCAM Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) relacionadas con las estafas 419 (también conocidas como estafas nigerianas).
KB4:KSAT_HEADERS_TRAINING Esta regla detecta los mensajes de notificación de capacitación que contienen encabezados de KnowBe4.
KB4:KSAT_HEADERS_PST Esta regla detecta los mensajes de Prueba de seguridad contra el phishing (PST) que contienen encabezados de KnowBe4.
KB4:SPF_PASS Esta regla detecta mensajes que pasan las comprobaciones del SPF.
KB4:DKIM_PASS Esta regla detecta mensajes que pasan las comprobaciones DKIM.
KB4:JAPANESE Esta regla detecta mensajes que contienen palabras comunes en los campos Subject (Asunto) o From (De) en intentos de phishing en japonés.

Etiquetas del decodificador de códigos QR

QR Code Decoder (Decodificador de códigos QR) es una función de PhishER que opera en segundo plano en su consola para escanear automáticamente los códigos QR de los correos electrónicos denunciados. Cuando QR Code Decoder (Decodificador de códigos QR) detecta un código QR en el cuerpo de un mensaje, extrae la URL incrustada en este y asigna una etiqueta al mensaje. Las URL extraídas se mostrarán en la pestaña Domains and URLs (Dominios y URL) de la página Message Details (Detalles del mensaje) en la bandeja de entrada PhishER. Para obtener más información sobre las etiquetas del QR Code Decoder (Decodificador de códigos QR), consulte la siguiente lista:

Nombre de la etiqueta Descripción de la etiqueta
QR_CODE_FOUND Esta etiqueta se adjunta a un mensaje cuando QR Code Decoder (Decodificador de códigos QR) detecta un código QR en el cuerpo del mensaje.
QR_CODE_SCAN_FAILED Esta etiqueta se adjunta a un mensaje cuando QR Code Decoder (Decodificador de códigos QR) no puede escanear un mensaje. Por ejemplo, un escaneo fallará si un código QR no contiene una URL incrustada.
Nota: En este momento, esta función puede detectar códigos QR en los siguientes tipos de archivo: PDF, JPG, SVG y GIF.

Ver la lista de reglas

La Lista de reglas muestra todas sus reglas y variables globales. Para obtener más información sobre la página Rules List (Lista de reglas), consulte la captura de pantalla y la lista a continuación.

  1. Name (Nombre): esta columna muestra el nombre asignado a la regla.
  2. Description (Descripción): esta columna muestra una descripción de la regla.
  3. Rule Target (Objetivo de la regla): esta columna muestra la parte de un mensaje en la que se ejecuta la regla. Por ejemplo, el objetivo de la regla podría ser el encabezado del correo electrónico.
  4. Status (Estado): esta columna muestra el estado actual de la regla. Una regla se puede habilitar o deshabilitar. Para cambiar el estado de una regla, haga clic en el botón de cambio.
    Nota: Para que una regla se ejecute en los mensajes de su bandeja de entrada de PhishER, la regla debe estar habilitada.
  5. Updated At (Actualizado el): esta columna muestra la fecha y la hora en que se actualizó la regla por última vez.
  6. Matched Count (Recuento coincidente): esta columna muestra la cantidad de veces que la regla coincidió con un mensaje en su bandeja de entrada de PhishER.
  7. Tags (Etiquetas): esta columna muestra todas las etiquetas adjuntas a un mensaje. Las etiquetas solo se adjuntarán a un mensaje si el mensaje coincide con la regla.
  8. Filter by Status (Filtrar por estado): haga clic en este menú desplegable para seleccionar una vista filtrada de sus reglas habilitadas o deshabilitadas.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 30 de 34

¿No encuentra lo que busca?

Contacte a soporte