Configuración de integraciones

Compartir

¿Le resulta útil este artículo?

Última actualización:

Integración de Threat Intel con su consola PhishER

En la subpestaña Threat Intel de la configuración de PhishER, puede configurar la función de Threat Intel para su consola PhishER. Threat Intel se ha desarrollado mediante una integración de Webroot con PhishER Plus. Los servicios Web Classification (Clasificación de webs) y Web Reputation (Reputación de webs) de BrightCloud de Webroot utilizan información de aprendizaje automático para analizar las URL en busca de contenido malicioso. Esta integración usa la API de Webroot para permitir a PhishER solicitar el análisis de las URL, extraer datos de informes y realizar consultas avanzadas.

Nota: Threat Intel solo está disponible para cuentas con PhishER Plus. No es necesario tener una suscripción a Webroot aparte para configurar la función Threat Intel.

Cuando Threat Intel analiza una URL, aparecerá un informe del análisis en la subpestaña Domains & URLs (Dominios y URL) en la página Message Details (Detalles del mensaje) de su consola PhishER. Consulte la Guía de la bandeja de entrada de PhishER para obtener más información.

Configuración de la integración

Para configurar la integración, rellene los campos de la subpestaña Threat Intel de la configuración de PhishER. Para obtener más información, consulte la captura de pantalla y la lista a continuación:

  1. Threat Intel Disabled (Threat Intel deshabilitado) o Threat Intel Enabled (Threat Intel habilitado): utilice este botón de alternancia para deshabilitar o habilitar la integración.
  2. (Opcional) Automatic Scanning Settings (Configuración de análisis automático): en esta sección, puede configurar los ajustes que permiten que Threat Intel analice automáticamente partes de un mensaje. Para obtener más información sobre estas opciones, consulte la siguiente lista:
    • Automatically Scan All URLs (Analizar automáticamente todas las URL): si selecciona esta casilla, se enviarán automáticamente todas las URL de su bandeja de entrada de PhishER a Threat Intel.
  3. Update Threat Intel Settings (Actualizar configuración de Threat Intel): haga clic en este botón para guardar los cambios realizados en la configuración de la integración en esta sección.
  4.  (Opcional) Automatic Scanning Timeout (Tiempo de espera de análisis automático): en el campo Timeout if no response in seconds (Tiempo de espera si no se recibe respuesta en segundos) se muestra el periodo de tiempo de espera personalizado para los resultados del análisis de Threat Intel. Si Threat Intel no devuelve los resultados del análisis en este periodo de tiempo de espera, se aplicará una etiqueta TI_BYPASSED al mensaje correspondiente. De forma predeterminada, el tiempo de espera es de 120 segundos. Para obtener más información sobre las etiquetas que se pueden aplicar al mensaje, consulte la sección Etiquetas de Threat Intel de este artículo. 
  5. (Opcional) Ignored Domains (Dominios ignorados): en esta sección se muestran los dominios que desea que Threat Intel ignore al ejecutar un análisis.
  6. Update Shared Settings (Actualizar configuración de uso compartido): si quiere actualizar el periodo de tiempo de espera personalizado o los dominios ignorados de sus integraciones, haga clic en este botón para abrir la ventana emergente Shared Integrations Settings (Configuración de integraciones compartidas). En la ventana emergente puede introducir una cantidad de segundos en el campo Timeout if no response in seconds (Tiempo de espera si no se recibe respuesta en segundos) y así establecer un periodo de tiempo de espera personalizado para los resultados del análisis de Threat Intel. En el campo Ignored Domains (Dominios ignorados), puede introducir los dominios que desea que Threat Intel ignore al ejecutar un análisis. Introduzca cada dominio en una nueva línea en el cuadro de texto. Si añade un dominio a esta lista, también se excluirá cualquier subdominio de dicho dominio. Sin embargo, si añade un subdominio a la lista, no se excluirá el dominio. No se admiten comodines (*) ni identificadores uniformes de recursos (URI). 
    Importante: Para obtener más información sobre los dominios de KnowBe4 que no se deben enviar como enlaces a Threat Intel, consulte la sección Exclusión de los dominios de KnowBe4 de los análisis de este artículo.

Análisis de Threat Intel

Una vez que haya integrado su cuenta de Threat Intel en su consola PhishER, puede ejecutar un análisis de Threat Intel de los dominios y las URL. Para analizar un dominio o una URL específicos con Threat Intel, haga clic en Scan (Analizar) en la página Message Details (Detalles del mensaje).

Nota: Si habilita la opción Automatic Scanning (Análisis automático), Threat Intel recibirá automáticamente un hash de todos los dominios o las URL en su bandeja de entrada de PhishER.

Al analizar un dominio o una URL con Threat Intel, el análisis puede tardar hasta 15 minutos en completarse. Una vez completado el análisis, los resultados estarán disponibles en la página Message Details (Detalles del mensaje) de su consola PhishER. Para consultar los resultados, haga clic en Click to View Scan Results (Clic para consultar los resultados del análisis). Para obtener más información, consulte la sección Visualización de detalles de mensajes de nuestra Guía de la bandeja de entrada de PhishER.

Exclusión de los dominios de KnowBe4 de los análisis

KnowBe4 utiliza varios dominios que no se deberían enviar como enlaces a Threat Intel. Puede introducir estos dominios ignorados en la sección Shared Integrations Settings (Configuración de integraciones compartidas) en la subpestaña Threat Intel de su configuración de PhishER. Para buscar y excluir dominios, siga estos pasos:

  1. Inicie sesión en su consola KSAT.
  2. Diríjase a la pestaña Phishing y seleccione la subpestaña Dominios. En esta subpestaña se muestra una lista de nuestros dominios raíz de enlaces de phishing. Para obtener más información, consulte el artículo Gestión de dominios de enlace de phishing.
    Nota: Si no tiene acceso a esta subpestaña, puede ponerse en contacto con nuestro equipo de asistencia técnica para recibir una lista de dominios de enlaces de phishing.
  3. En un navegador o pestaña aparte, inicie sesión en su consola PhishER.
  4. Diríjase a Settings (Configuración) > Threat Intel.
  5. En la sección Shared Integrations Settings (Configuración de integraciones compartidas), haga clic en Update Shared Settings (Actualizar configuración de uso compartido).
  6. En el campo Ignored Domains (Dominios ignorados), introduzca los dominios raíz de su consola KSAT.
  7. Haga clic en Update Shared Settings (Actualizar configuración de uso compartido).
  8. Si utiliza más de una instancia de la consola KSAT, repita los pasos del 1 al 7 para excluir los dominios raíz de todas sus instancias. Para obtener más información sobre las instancias de KSAT, consulte nuestro artículo Instancias de formación de KnowBe4.

Etiquetas de Threat Intel

En función de los resultados del análisis, Threat Intel aplicará una o más etiquetas a sus mensajes. Para obtener más información sobre las etiquetas de Threat Intel, consulte la siguiente lista:

  1. TI_BYPASSED: esta etiqueta se asocia al mensaje cuando se agota el tiempo de espera de un análisis de Threat Intel. Esta etiqueta se suele asociar a otras etiquetas de Threat Intel. Puede establecer un periodo de tiempo de espera personalizado en Shared Integrations Settings (Configuración de integraciones compartidas) de Threat Intel.
    Nota: Si se agota el tiempo de espera de Threat Intel, PhishER seguirá esperando a que vuelvan los resultados de Threat Intel. Sin embargo, las acciones automatizadas no se ejecutarán en dicho elemento mientras Threat Intel lo escanea.
  2. TI_ERROR: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel arroja errores de procesamiento o cuando Threat Intel no puede analizar un dominio o una URL.
  3. TI_HIGH_RISK: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel detecta una amenaza y los dominios o las URL escaneados presentan un riesgo elevado.
  4. TI_IGNORED: esta etiqueta se asocia al mensaje cuando se detectan URL o dominios de su lista de dominios ignorados en un mensaje.
  5. TI_LOW_RISK: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel no detecta ninguna amenaza, pero los dominios o las URL escaneados presentan un riesgo bajo.
  6. TI_MODERATE_RISK: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel detecta una posible amenaza y los dominios o las URL escaneados presentan un riesgo medio.
  7. TI_NOT_FOUND: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel no devuelve ninguna coincidencia para los dominios o las URL escaneados.
  8. TI_PENDING: esta etiqueta se asocia al mensaje cuando hay un análisis de Threat Intel en cola. Esta etiqueta se eliminará cuando se haya completado el análisis.
  9. TI_SCANNED: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel no detecta ninguna amenaza en los dominios o las URL escaneados.
  10. TI_SUSPICIOUS: esta etiqueta se asocia al mensaje cuando un análisis de Threat Intel detecta que los dominios o las URL escaneados son sospechosos.
Nota: Un mensaje con varios dominios o URL puede tener varias etiquetas de TI, ya que algunos análisis pueden finalizar en momentos diferentes o arrojar diferentes resultados.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

¿No encuentra lo que busca?

Hablar con asistencia técnica