Configuración de integraciones

Compartir

¿Le resulta útil este artículo?

Última actualización:

Integración de VirusTotal con la consola PhishER

En la subpestaña VirusTotal de PhishER Settings (Configuración de PhishER), puede configurar la integración de VirusTotal con la consola PhishER. VirusTotal es un servicio que usa más de 70 detectores de virus para inspeccionar y analizar archivos en busca de contenido malicioso. Para integrar su cuenta de VirusTotal con PhishER, debe tener una clave de API de VirusTotal activa. Si no dispone de una cuenta en VirusTotal, puede registrarse de forma gratuita en el sitio web sitio web (el enlace se abrirá en una nueva ventana) del servicio.

Nota: VirusTotal ha autorizado a KnowBe4 a hacer la integración a través de su API pública, que es gratuita. La API pública de VirusTotal tiene un límite de 500 solicitudes al día y cuatro solicitudes por minuto al ejecutar un análisis en la consola PhishER. Para obtener más información, consulte el artículo VirusTotal API v3 Overview VirusTotal API v3 Overview (el enlace se abrirá en una nueva ventana) de VirusTotal.

Configuración de la integración

Para configurar la integración, rellene los campos de la subpestaña VirusTotal de la configuración de PhishER. Para obtener más información, consulte la captura de pantalla y la lista a continuación:

  1. Disabled or Enabled (Deshabilitada o habilitada): utilice este botón de alternancia para deshabilitar o habilitar la integración.
  2. Enter your VirusTotal key (Introducir su clave de VirusTotal): introduzca su clave de VirusTotal en este campo. Para obtener más información, consulte el artículo Please give me an API key Please give me an API key (el enlace se abrirá en una nueva ventana) de VirusTotal.
  3. (Opcional) VirusTotal Automatic Scanning (Análisis automático de VirusTotal): en esta sección, puede configurar los ajustes que permiten que VirusTotal analice automáticamente partes de un mensaje. Para obtener información sobre las opciones, consulte la siguiente lista:
    • Automatically scan ALL Attachments (Hashes Only) (Analizar automáticamente TODOS los archivos adjuntos [solo hashes]): si selecciona esta casilla, VirusTotal recibirá un hash de todos los archivos adjuntos en su Inbox (Bandeja de entrada) de PhishER.
    • Automatically scan ALL URLs (Analizar automáticamente TODAS las URL): si selecciona esta casilla, se enviarán automáticamente todas las URL de su Inbox (Bandeja de entrada) de PhishER a VirusTotal.
    • Timeout if no response (seconds) (Tiempo de espera si no se obtiene respuesta [segundos]): introduzca el número de segundos para establecer un período de tiempo de espera personalizado para los resultados del análisis de VirusTotal. Si VirusTotal no devuelve los resultados del análisis en este período de tiempo de espera, se aplicará una etiqueta VT_Bypassed al mensaje correspondiente. De forma predeterminada, el tiempo de espera es de 120 segundos. Para obtener más información sobre las etiquetas que se pueden aplicar al mensaje, consulte la sección Etiquetas de VirusTotal de este artículo.
  4. (Opcional) Detection Threshold (Umbral de detección): en esta sección puede establecer la cantidad mínima de detecciones de escáneres antivirus necesaria para determinar si una URL o un archivo adjunto es malicioso.
    • Minimum Antivirus Scanner Detections for VT_Bad Tag (Número mínimo de detecciones de escáneres antivirus para la etiqueta VT_Bad): introduzca la cantidad mínima de escáneres antivirus que deben determinar que una URL o un archivo adjunto es malicioso para que se aplique la etiqueta VT_Bad al mensaje correspondiente. De forma predeterminada, este umbral está establecido en uno y puede definirse en un máximo de 50. La actualización de esta configuración no afectará a los mensajes que ya estén etiquetados, pero en los análisis futuros se etiquetarán todos los mensajes nuevos que cumplan el umbral. Si el umbral se establece en un número superior a uno y los resultados del análisis de VirusTotal no alcanzan ese umbral, pero sí son mayores que cero, se aplicará la etiqueta VT_Suspicious al mensaje. Para obtener más información sobre las etiquetas que se pueden aplicar al mensaje, consulte la sección Etiquetas de VirusTotal de este artículo.

  5. Ignored Domains (Dominios ignorados): introduzca los dominios que quiere que VirusTotal ignore al ejecutar un análisis. Introduzca cada dominio en una nueva línea en el cuadro de texto. Si añade un dominio a esta lista, también se excluirá cualquier subdominio de dicho dominio. Sin embargo, si añade un subdominio a la lista, no se excluirá el dominio. No se admiten comodines (*) ni identificadores uniformes de recursos (URI).

    Importante:Para obtener una lista de los dominios de KnowBe4 que no se deben enviar como enlaces o archivos adjuntos a VirusTotal, consulte la sección Exclusión de los dominios de KnowBe4 de los análisis de este artículo.
  6. Save (Guardar): haga clic en este botón para actualizar la configuración de la integración de VirusTotal.

Análisis con VirusTotal

Cuando haya integrado su cuenta de VirusTotal con la consola PhishER, podrá ejecutar un análisis de VirusTotal en los archivos adjuntos y las URL de los mensajes. Para ejecutar un análisis de VirusTotal en un archivo adjunto o URL específicos, haga clic en Scan with VirusTotal (Analizar con VirusTotal) en la página Message Details (Detalles del mensaje).

También puede ejecutar automáticamente un análisis de VirusTotal en los mensajes seleccionados al volver a ejecutar las reglas y acciones. Para obtener más información sobre estas opciones, consulte la Guía de la bandeja de entrada de PhishER.

VirusTotal asigna una o más etiquetas a los mensajes analizados para indicar los resultados del análisis. Para obtener más información sobre las etiquetas que se pueden aplicar a los mensajes, consulte la sección Etiquetas de VirusTotal de este artículo.

Importante: Si habilita la opción del apartado VirusTotal Automatic Scanning (Análisis automático de VirusTotal) de la configuración, VirusTotal recibirá automáticamente todos los enlaces y hashes de los archivos adjuntos que PhishER tenga permitido enviar para un análisis de VirusTotal. Añada sus dominios a la lista Ignored Domains (Dominios ignorados) para excluir las URL. Los archivos adjuntos con hash y las URL analizadas se compartirán de forma pública con los resultados del análisis en la comunidad de VirusTotal para dar a conocer el contenido malicioso verificado. Si envía un archivo manualmente, el archivo adjunto en su totalidad se compartirá de forma pública con los resultados del análisis. Es importante que tenga en cuenta esta información al ejecutar análisis de VirusTotal en URL o archivos adjuntos con información delicada.

Exclusión de los dominios de KnowBe4 de los análisis

KnowBe4 utiliza varios dominios que no se deberían enviar como enlaces o archivos adjuntos a VirusTotal. Puede introducir estos dominios en el campo Ignored Domains (Dominios ignorados) de la subpestaña VirusTotal de la configuración de PhishER. Para obtener una lista completa de estos dominios, consulte la siguiente lista:

  • kb4.io
  • comano.us
  • magnetonics.com
  • bloemlight.com
  • instantrevert.net
  • phishing.guru
  • phishtrain.org
  • malwarebouncer.com
  • phish.farm
  • microransom.us
  • msftemail.com
  • compromisedblog.com
  • com-onlinebanking.com
  • com-token-auth.com
  • 2O2.lOl
  • protected-forms.com
  • cert-sha256.com
  • wishyoudidntclickthis.com
  • cert-sha256.co.uk
  • internalportal.net
  • twittermessage.net
  • my-cloud-mail.com
  • linkedlnu.com
  • farenheit.net
  • gooqleonline.com
  • donotreply.biz
  • aøl.com
  • exchamge.org
  • allibaba.org
  • voipmessage.uk
  • efaxonline.org
  • bltly.us
  • twittermessage.co.uk
  • www-com.co.uk
  • srvgov.com
  • gooqle.eu
  • allibaba.eu
  • yourgunnalovetraining.com
  • succesful.org

Etiquetas de VirusTotal

En la sección VirusTotal Tags (Etiquetas de VirusTotal) de la subpestaña VirusTotal, puede ver las etiquetas que VirusTotal puede asociar a sus mensajes después de analizarlos. En función de los resultados del análisis, VirusTotal aplicará una o más etiquetas a sus mensajes. Para obtener más información sobre las etiquetas de VirusTotal, consulte la siguiente lista:

  1. VT_Pending: esta etiqueta se asocia al mensaje cuando hay un análisis de VirusTotal en cola. Esta etiqueta se eliminará cuando se haya completado el análisis.
  2. VT_Bad: esta etiqueta se asocia al mensaje cuando el análisis de VirusTotal determina que el archivo adjunto es malicioso.
  3. VT_Suspicious: esta etiqueta se asocia al mensaje cuando el análisis de VirusTotal determina que la URL o el archivo adjunto es sospechoso, pero no confirma que lo sea. Puede establecer el umbral de detección de URL y archivos adjuntos maliciosos desde la opción Minimum Antivirus Scanner Detections (Número mínimo de detecciones de escáneres antivirus).
  4. VT_Scanned: esta etiqueta se asocia al mensaje cuando se haya completado un análisis de VirusTotal que determine que el archivo adjunto no es malicioso.

  5. VT_Bypassed: esta etiqueta se asocia al mensaje cuando se agota el tiempo de espera de un análisis de VirusTotal. Esta etiqueta se suele asociar a otras etiquetas de VirusTotal. Puede establecer un tiempo de espera personalizado en la configuración de VirusTotal Automatic Scanning (Análisis automático de VirusTotal).

    Nota: Si se agota el tiempo de espera de VirusTotal, PhishER permitirá que se ejecuten acciones automáticas en el mensaje mientras la consola espera a que vuelvan los resultados de VirusTotal. Cuando las acciones automáticas se hayan completado, VirusTotal puede terminar de adjuntar etiquetas al mensaje. Las acciones automáticas no volverán a ejecutarse una vez que se devuelvan los resultados del análisis.
  6. VT_Hash_not_found: esta etiqueta se asocia al mensaje cuando un análisis de VirusTotal no devuelve una coincidencia para los archivos adjuntos con hash.
  7. VT_Ignored: esta etiqueta se asocia al mensaje cuando se detectan URL o dominios de su lista de permitidos en un mensaje.
Nota: Un mensaje con varios archivos adjuntos puede tener varias etiquetas de VT, ya que algunos análisis pueden finalizar en momentos diferentes u obtener diferentes resultados.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

¿No encuentra lo que busca?

Hablar con asistencia técnica