En la consola PhishER, las reglas son expresiones lógicas que le permiten clasificar y etiquetar mensajes de forma automática en su bandeja de entrada. Las etiquetas asignadas hacen que PhishER ejecute acciones en los mensajes. Puede crear reglas desde la pestaña Rules (Reglas). Para crear una acción, consulte el artículo Cómo crear y gestionar acciones de PhishER.

La pestaña Rules (Reglas) contiene dos tipos de reglas: reglas personalizadas y reglas del sistema. Las reglas personalizadas son reglas que puede crear mediante el Yara Rule Editor (Editor de reglas YARA). Las reglas del sistema son reglas predeterminadas facilitadas por KnowBe4. La pestaña Rules (Reglas) también incluye variables globales. Estas son variables que puede crear para que afecten a distintas reglas que compartan las mismas cadenas. Al actualizar una variable global, puede actualizar todas las reglas que incluyen estas cadenas.

Creación de reglas

En la consola PhishER, puede crear reglas personalizadas que clasifiquen los mensajes que se han reenviado a su bandeja de entrada. Para crear las reglas, puede usar el editor básico (Basic Editor) o el editor avanzado (Advanced Editor). Todas las reglas personalizadas deben seguir la lógica YARA (Yet Another Recursive/Ridiculous Acronym). YARA es una herramienta que se utiliza para identificar y clasificar las muestras de malware.

Para crear una regla, siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. En la barra lateral en el lado izquierdo de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
3. Haga clic en el botón New Rule (Nueva regla) en la esquina superior derecha de la página para abrir la página Rule Details (Detalles de la regla).
   Nota:si desea que PhishER genere automáticamente una regla tomando como referencia una descripción de sus necesidades, consulte el apartado Crear reglas con el generador de reglas YARA.

   

4. En el campo Name (Nombre), escriba un nombre exclusivo para la regla. Le recomendamos introducir un nombre que describa brevemente la función de la regla. El nombre no puede empezar por un valor numérico, superar los 64 caracteres ni incluir ninguna de las palabras clave que aparecen en el documento Writing YARA Rules (Escritura de reglas YARA).
5. (Opcional) En el campo Description (Descripción), introduzca una descripción de la regla. Como práctica recomendada, le sugerimos ofrecer una descripción sobre la función prevista para la regla. La descripción no puede superar los 64 caracteres.
6. En la sección Edit Tags: (Editar etiquetas), añada la etiqueta personalizada que querría ver asociada a un mensaje si este cumple una regla específica. Para añadir una etiqueta, haga clic en Add new tag (Añadir nueva etiqueta) e introduzca un nombre para esta. Una vez hecho esto, para crear la etiqueta haga clic fuera del campo Add new tag (Añadir nueva etiqueta).
7. Desde el menú desplegable Choose target: (Elegir objetivo), seleccione la parte del mensaje en el que querría que la regla se aplicara o se ejecutara. Puede seleccionar los siguientes elementos como objetivos: Raw (Mensaje original), Headers (Encabezados), Body (Cuerpo) o Attachments (Archivos adjuntos). De forma predeterminada, estará marcado Raw (Mensaje original).
8. En la sección Yara Rule Editor (Editor de reglas ARA), escriba su regla en el Basic Editor (Editor básico) o en el Advanced Editor (Editor avanzado). Para obtener más información, consulte las siguientes subsecciones.

Creación de reglas a través del editor básico

El editor básico (Basic Editor) le permite crear reglas personalizadas sin tener que desarrollar la lógica de las reglas YARA. Puede indicar valores para las cadenas y seleccionar condiciones para la regla. El editor básico procesará los datos introducidos para crear una lógica de reglas para esta. Para aprender a crear una regla a través de la pestaña Basic Editor (Editor básico), consulte la captura de pantalla y la lista a continuación:

1. Basic Editor (Editor básico): seleccione esta pestaña para mostrar las opciones que puede emplear para crear una regla.
2. Create Strings (Crear cadenas): cree y defina qué cadenas usar al establecer sus condiciones. Para obtener más información, consulte el artículo ¿Cómo puedo crear cadenas y condiciones en el editor básico?
3. New String (Nueva cadena): haga clic en este botón para añadir una cadena a la regla. Puede crear hasta cinco cadenas por regla.
4. Create Conditions (Crear condiciones): para crear condiciones, seleccione cómo deberían relacionarse entre sí las cadenas que ha definido. Las condiciones le permiten especificar qué mensajes quiere que se vean afectados por la regla. Para obtener más información, consulte el artículo ¿Cómo puedo crear cadenas y condiciones en el editor básico? Puede elegir entre las siguientes opciones:
   • Match any of the defined strings (Coincidencia con cualquiera de las cadenas definidas): seleccione esta opción para detectar los mensajes que coinciden con alguna de las cadenas que ha definido.
   • Match all of the defined strings (Coincidencia con todas las cadenas definidas): seleccione esta opción para detectar los mensajes que coinciden con todas las cadenas que ha definido.
   • Custom Conditions (Condiciones personalizadas): seleccione esta opción para detectar los mensajes que coinciden con las condiciones personalizadas por usted.
5. New Condition Group (Nuevo grupo de condiciones): sise ha marcado Custom conditions (Condiciones personalizadas), puede hacer clic en este botón para crear condiciones personalizadas que los mensajes deben cumplir para que una regla determinada les afecte.
6. Save Rule (Guardar regla): haga clic en este botón para guardar la regla. Esta se mostrará en la página Rules List (Lista de reglas) en la subpestaña Custom Rules (Reglas personalizadas). Una vez que guarde su regla, podrá habilitarla activando el botón de alternancia en la columna Status (Estado) de la regla. Luego, haga clic en el botón Apply Changes (Aplicar cambios) en la esquina superior derecha de la página.

   

7. Apply Rule to Inbox (Aplicar regla a la bandeja de entrada): Haga clic para ejecutar esta regla en todos los mensajes de su bandeja de entrada. Para que esta opción esté disponible, al menos un mensaje debe coincidir con la regla y con los criterios de vista previa de las reglas.

Creación de reglas a través del editor avanzado

El editor avanzado (Advanced Editor) le permite escribir la lógica de su regla YARA sin ayuda. Si edita una regla en el editor avanzado, el editor básico no estará habilitado para la regla en cuestión. Para obtener más información sobre la escritura de reglas según la lógica de las reglas YARA, consulte el artículo Cómo escribir reglas YARA. Para aprender a crear una regla a través de la pestaña Advanced Editor (Editor avanzado), consulte la captura de pantalla y la lista a continuación:

1. Advanced Editor (Editor avanzado): seleccione esta pestaña para mostrar la sección de bloque de código en la que puede escribir una regla según la lógica de las reglas YARA.
2. Save Rule (Guardar regla): haga clic en este botón para guardar la regla. Esta aparecerá en la página Rules List (Lista de reglas) en la subpestaña Custom Rules (Reglas personalizadas). Una vez que guarde su regla, podrá habilitarla activando el botón de alternancia en la columna Status (Estado) de la regla. Luego, haga clic en el botón Apply Changes (Aplicar cambios) en la esquina superior derecha de la página.

   

3. Apply Rule to Inbox (Aplicar regla a la bandeja de entrada): haga clic para ejecutar esta regla en todos los mensajes de la bandeja de entrada. Para que esta opción esté disponible, al menos un mensaje debe coincidir con la regla y con los criterios de vista previa de las reglas.

Crear reglas con el generador de reglas YARA

El generador de reglas YARA le permite crear una regla personalizada a partir de una descripción de lo que necesita que haga la regla en cuestión. Puede introducir los requisitos de detección para la regla y el generador de reglas YARA procesará los datos introducidos para crear una lógica de reglas. Para obtener información sobre cómo crear reglas con la pestaña Generador de reglas YARA, siga los pasos a continuación:

Para crear una regla, siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. En la barra lateral en el lado izquierdo de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
3. Haga clic en el botón New AI Rule (Nueva regla de IA) en la esquina superior derecha para abrir la página Rule Details (Detalles de la regla).

   

4. En el campo Describe your detection requirements (Describa los requisitos de detección), introduzca la descripción de la regla que desea crear.

   

5. Haga clic en Generate Rule (Generar regla). El generador de reglas YARA convertirá los requisitos de detección en una regla PhishER con un nombre, una descripción, una etiqueta y una sintaxis YARA completa.

   

6. Puede editar la regla generada según necesite. A continuación, haga clic en Save Rule (Guardar regla) para guardar la regla.

Vista previa de las reglas

Antes de guardar una regla nueva, le recomendamos crear una vista previa de cómo la regla afectará a sus mensajes de PhishER. Para ello, siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. En la barra lateral en el lado izquierdo de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
3. Haga clic en el botón New Rule (Nueva regla) en la esquina superior derecha de la página o seleccione una regla en la página Rules List (Lista de reglas). Al hacer clic en el botón New Rule (Nueva regla), se abrirá la página Rule Details (Detalles de la regla).
4. Escriba o modifique la regla YARA a través de la sección YARA Rule Editor (Editor de reglas YARA).
5. Antes de guardar la regla, haga clic en el botón Run Preview (Ejecutar vista previa). Se mostrará una lista con todos los mensajes de la bandeja de entrada que coinciden con esta regla.
   Nota: PhishER solo revisará los últimos 1000 mensajes para obtener una vista previa de la regla. Si un mensaje que coincida con la regla no se encuentra entre los últimos 1000 mensajes, no se incluirá en la vista previa.
6. Puede actualizar la lista de la vista previa modificando las siguientes opciones de criterios:
   • Saved Query (Consulta guardada) (opcional): elija una Saved Query (Consulta guardada) personalizada para ver cómo afecta la regla a los mensajes de esa consulta.
   • Last 7 days (Últimos 7 días): seleccione un intervalo de fechas para los mensajes que quiere que aparezcan en la vista previa. Puede elegir entre Last 24 hours (Últimas 24 horas), Last 7 days (Últimos 7 días) y Last 30 days (Últimos 30 días). De forma predeterminada, estará seleccionada la opción Last 7 days (Últimos 7 días).
   • Matched Messages (Mensajes con coincidencias): si crea una vista previa de una regla, se mostrarán opciones adicionales para filtrar los mensajes de esta.
   • Matched Messages (default) (Mensajes con coincidencias [predeterminado]): seleccione esta opción para mostrar en su Inbox (Bandeja de entrada) de PhishER solo los mensajes que cumplen la condición de la regla.
   • Unmatched Messages (Mensajes sin coincidencias): seleccione esta opción para mostrar en su Inbox (Bandeja de entrada) de PhishER solo los mensajes que no cumplen la condición de la regla.
   • All Messages (Todos los mensajes): seleccione esta opción para mostrar todos los mensajes en su Inbox (Bandeja de entrada) de PhishER. La columna Matched (Coincidencias) indicará si el mensaje cumplía (true) o no (false) la regla.

     

     Nota: si quiere abrir un mensaje que figura en la lista de la vista previa, le recomendamos que lo abra en una pestaña nueva para evitar perder la regla nueva.
   • (Opcional) Si quiere ejecutar esta regla en todos los mensajes de la lista de la vista previa, haga clic en el botón Apply Rule to Current Matches (Aplicar regla a las coincidencias actuales).

     

Edición de reglas

Para editar una regla personalizada, haga clic en los campos Name (Nombre) o Description (Descripción) de la regla de la página Rules List (Lista de reglas) para abrir la página Rule Details (Detalles de la regla). Para editar una regla de sistema, cree una nueva regla personalizada. Después, copie y pegue la lógica de la regla de sistema en el Yara Rule Editor (Editor de reglas YARA) de la regla personalizada. Para obtener más información sobre las reglas del sistema, lea el apartado Utilización de las reglas del sistema de este artículo.

Uso de las variables globales:

Desde la subpestaña Global Variables (Variables globales) de la página Rules List (Lista de reglas), puede crear nuevas variables globales o ver las que ya ha creado. Si utiliza distintas reglas con las mismas cadenas, puede usar las variables globales para actualizar todas estas cadenas a la vez.

Puede incluir variables globales en las reglas mediante el Basic Editor (Editor básico) o el Advanced Editor (Editor avanzado) para crear cadenas que incluyan variables globales. Si edita una variable global, la regla se actualizará de forma automática en todas las reglas que la incluyan.

Para crear una variable global, siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. En la barra lateral en el lado izquierdo de la página, seleccione la pestaña Rules (Reglas) para abrir la página Rules List (Lista de reglas).
3. Diríjase a la subpestaña Global Variables (Variables globales).

   

4. Haga clic en el botón New Variable (Nueva variable) en la esquina superior derecha de la página. Cuando haga clic en este botón, se abrirá la página Create Global Variable (Crear variable global).
5. En el campo Name (Nombre), introduzca un nombre para la variable global.

   

6. En el campo Value (Valor), introduzca un valor para la variable global.
   Nota:Las variables globales deben cumplir los mismos requisitos que se aplican a otras variables y cadenas. El valor no puede empezar por un valor numérico, superar los 255 caracteres ni ser una de las palabras clave que aparecen en el documento Writing YARA Rules (Escritura de reglas YARA).
7. Haga clic en Save (Guardar) para guardar su variable global. Esta aparecerá en la página Rules List (Lista de reglas) en la subpestaña Global Variables (Variables globales).

En la página Rules List (Lista de reglas), puede consultar información sobre la variable global, como cuándo se creó y cuándo se actualizó por última vez. También puede editar el valor de una variable global haciendo clic en el nombre de la variable para abrir la pantalla Edit Global Variable (Editar variable global). El nombre de una variable global ya existente no puede modificarse. Si desea borrar una variable global, haga clic en el icono de la papelera.

Para aprender a crear una regla a través de las variables globales, consulte el artículo ¿Cómo puedo crear cadenas y condiciones en el editor básico de reglas YARA?

Utilización de las Reglas del sistema

Su consola PhishER proporciona reglas del sistema para ayudarle a clasificar y gestionar los mensajes. Desde la subpestaña Reglas del sistema de la página Lista de reglas, puede activar estas reglas para la consola PhishER. Por defecto, las reglas del sistema están desactivadas.

Para obtener más información sobre las reglas del sistema, consulte la captura de pantalla y la lista a continuación:

Etiquetas del decodificador de códigos QR

El decodificador de códigos QR es una función de PhishER que funciona en segundo plano en su consola para buscar automáticamente códigos QR en los correos electrónicos denunciados. Cuando el decodificador de códigos QR detecta un código QR en el cuerpo de un mensaje, extrae la URL incrustada en el código y asigna una etiqueta al mensaje. La URL extraída aparecerá en la pestaña Domains and URLs (Dominios y URL) en la página Message Details (Detalles del mensaje) de su bandeja de entrada de PhishER. Para obtener más información sobre las etiquetas del decodificador de códigos QR, consulte la siguiente lista:

Visualización de la lista de reglas

La Rules List (Lista de reglas) muestra todas sus reglas y variables globales. Para obtener más información sobre la página Rules List (Lista de reglas), consulte la captura de pantalla y la lista que se muestran a continuación.

1. Name (Nombre): esta columna muestra el nombre asignado a la regla.
2. Description (Descripción): esta columna muestra una descripción de la regla.
3. Rule Target (Objetivo de la regla): esta columna muestra la parte del mensaje al que se aplica la regla. Por ejemplo, el objetivo de la regla podría ser el encabezado del correo electrónico.
4. Status (Estado): esta columna muestra el estado personalizado de la regla. Las reglas pueden habilitarse y deshabilitarse. Para cambiar el estado de una regla, haga clic en el botón de alternancia.
   Nota:Para que una regla se ejecute en los mensajes de la bandeja de entrada de PhishER, esta debe estar habilitada.
5. Updated At (Última actualización): esta columna muestra la fecha y la hora a las que la regla se actualizó por última vez.
6. Matched Count (Recuento de coincidencias): esta columna muestra el número de veces que la regla ha coincidido con un mensaje en la bandeja de entrada de PhishER.
7. Tags (Etiquetas): esta columna muestra el número de etiquetas asociadas a un mensaje. Estas solo se asignarán a un mensaje si este cumple la regla.
8. Filter by Status (Filtrar por estado): haga clic en este menú desplegable para seleccionar una vista filtrada de las reglas habilitadas o deshabilitadas.