Configuration des intégrations

Partager

C’est article est-il utile?

Dernière mise à jour :

Intégrer VirusTotal à votre console PhishER

Vous pouvez configurer l’intégration de VirusTotal à votre console PhishER à partir du sous-onglet VirusTotal de vos Paramètres PhishER. VirusTotal est un service qui utilise plus de 70 analyseurs antivirus pour inspecter et analyser les fichiers à la recherche de contenu malveillant. Pour intégrer votre compte VirusTotal à PhishER, vous devez avoir une clé API VirusTotal active. Si vous n’avez pas de compte VirusTotal, vous pouvez vous inscrire gratuitement sur le site Web site Web (le lien s’ouvre dans une nouvelle fenêtre) de VirusTotal.

Remarque :KnowBe4 a l’autorisation de VirusTotal pour s’intégrer à l’API publique de VirusTotal, qui est offerte gratuitement. L’API publique de VirusTotal est limitée à 500 requêtes par jour et à quatre requêtes par minute lors de l’exécution d’une analyse dans votre console PhishER. Pour plus d’informations, consultez l’article de VirusTotal Présentation générale de l’API de VirusTotal, v3 Présentation générale de l’API de VirusTotal, v3 (en anglais uniquement) (le lien s’ouvre dans une nouvelle fenêtre).

Configurer l’intégration

Pour configurer l’intégration, remplissez les champs du sous-onglet VirusTotal de vos paramètres PhishER. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.

  1. Disabled or Enabled (Désactivé ou activé) : Utilisez ce commutateur pour désactiver ou activer l’intégration.
  2. Enter your VirusTotal key (Entrer votre clé VirusTotal) : Entrez votre clé VirusTotal dans ce champ, Pour plus d’informations, consultez l’article de VirusTotal Donnez-moi une clé API Donnez-moi une clé API (en anglais uniquement) (le lien s’ouvre dans une nouvelle fenêtre).
  3. (Facultatif) VirusTotal Automatic Scanning (Analyse automatique VirusTotal) : Cette section vous permet de configurer les paramètres qui permettent à VirusTotal d’analyser automatiquement des parties d’un message. Pour en savoir plus sur ces options, consultez la liste ci-dessous :
    • Automatically scan ALL Attachments (Hashes Only) (Analyse automatique de TOUTES les pièces jointes (hachages uniquement)) : Si vous cochez cette case, VirusTotal recevra un hachage de toutes les pièces jointes qui se trouvent dans votre Inbox (Boîte de réception) PhishER.
    • Automatically scan ALL URLs (Analyse automatique de TOUTES les URL) : Si vous cochez cette case, VirusTotal recevra toutes les URL qui se trouvent dans votre Inbox (Boîte de réception) PhishER.
    • Timeout if no response (seconds) (Délai d’attente en l’absence de réponse (secondes)) : Entrez un nombre de secondes pour définir un délai d’attente personnalisé pour obtenir les résultats d’analyse VirusTotal. Si VirusTotal ne retourne aucun résultat d’analyse à l’intérieur de ce délai, une étiquette VT_Bypassed sera appliquée au message correspondant. Par défaut, le délai d’attente est de 120 secondes. Pour en apprendre davantage au sujet des étiquettes qui peuvent être appliquées au message, consultez la section Étiquettes VirusTotal du présent article.
  4. (facultatif) Detection Threshold (Seuil de détection) : Dans cette section, vous pouvez définir le nombre minimum de détections par une analyse antivirus permettant de déterminer qu’une pièce jointe ou une URL est malveillante.
    • Minimum Antivirus Scanner Detections for VT_Bad Tag (Nombre minimum de détections par une analyse antivirus pour VT_Bad Tag) : Indiquez le nombre minimum d’analyses antivirus nécessaires pour déterminer qu’une pièce jointe ou une URL est malveillante et déclencher l’application de l’étiquette VT_Bad au message correspondant. La valeur de ce seuil est de 1 par défaut, et elle peut être définie jusqu’à un maximum de 50. La mise à jour de ce paramètre n’affecte pas les messages qui sont déjà étiquetés. Le nouveau seuil s’appliquera aux futures analyses et des étiquettes seront alors appliquées aux nouveaux messages qui y correspondent. Si la valeur du seuil est supérieure à 1 et que le nombre de vos analyses VirusTotal est supérieur à 0 sans atteindre ce seuil, une étiquette VT_Suspicious sera appliquée au message. Pour en apprendre davantage au sujet des étiquettes qui peuvent être appliquées au message, consultez la section Étiquettes VirusTotal du présent article.

  5. Ignored Domains (Domaines ignorés) : Entrez les domaines que vous souhaitez que VirusTotal ignore lors d’une analyse. Saisissez chaque domaine sur une nouvelle ligne dans la zone de texte. Si vous ajoutez un domaine à la liste, tous ses sous-domaines seront exclus également. Cependant, si vous ajoutez un sous-domaine à la liste, son domaine ne sera pas exclu. Les caractères de remplacement (*) et les identificateurs de ressource uniforme (URI) ne sont pas pris en charge.

    Important :Pour connaître la liste des domaines KnowBe4 qui ne doivent pas être envoyés comme liens ou pièces jointes à VirusTotal, consultez la section Exclure les domaines KnowBe4 des analyses du présent article.
  6. Save (Enregistrer) : Cliquez sur ce bouton pour mettre à jour vos paramètres d’intégration VirusTotal.

Analyser avec VirusTotal

Une fois votre compte VirusTotal intégré à votre console PhishER, vous pouvez exécuter une analyse VirusTotal sur les pièces jointes et les URL des messages. Pour exécuter une analyse VirusTotal sur une pièce jointe ou une URL en particulier, cliquez sur Scan with VirusTotal (Analyser avec VirusTotal) sur la page Message Details (Détails du message).

Vous pouvez aussi exécuter automatiquement une analyse sur des messages sélectionnés lorsque vous réexécutez vos règles et actions. Pour plus d’informations au sujet de ces options, consultez notre article Guide de PhishER Inbox (Boîte de réception PhishER).

VirusTotal applique au moins une étiquette aux messages analysés pour indiquer le résultat de l’analyse. Pour en apprendre davantage au sujet des étiquettes qui peuvent être appliquées aux messages, consultez la section Étiquettes VirusTotal du présent article.

Important : Si vous activez les paramètres dans la section VirusTotal Automatic Scanning (Analyse automatique VirusTotal) de vos paramètres, VirusTotal recevra automatiquement tous les liens ou hachages de pièce jointe que PhishER est autorisé à envoyer à VirusTotal à des fins d’analyse. Vous pouvez exclure des URL en ajoutant les domaines correspondants dans votre liste de domaines ignorés. Les URL analysées et les pièces jointes hachées ainsi que les résultats d’analyse seront partagés publiquement avec la communauté VirusTotal afin de faire connaître les contenus malveillants vérifiés. Si vous soumettez manuellement un fichier, la pièce jointe au complet est alors partagée publiquement avec les résultats d’analyse. Cette information est importante à prendre en compte lorsque vous exécutez des analyses VirusTotal sur des URL ou des pièces jointes contenant des informations sensibles.

Exclure les domaines KnowBe4 des analyses

KnowBe4 utilise de multiples domaines qui ne doivent pas être envoyés comme liens ou pièces jointes à VirusTotal. Vous pouvez entrer ces domaines dans le champ Ignored Domains (Domaines ignorés) du sous-onglet VirusTotal de vos paramètres PhishER. Pour connaître la liste complète de ces domaines, consultez la liste ci-dessous.

  • kb4.io
  • comano.us
  • magnetonics.com
  • bloemlight.com
  • instantrevert.net
  • phishing.guru
  • phishtrain.org
  • malwarebouncer.com
  • phish.farm
  • microransom.us
  • msftemail.com
  • compromisedblog.com
  • com-onlinebanking.com
  • com-token-auth.com
  • 2O2.lOl
  • protected-forms.com
  • cert-sha256.com
  • wishyoudidntclickthis.com
  • cert-sha256.co.uk
  • internalportal.net
  • twittermessage.net
  • my-cloud-mail.com
  • linkedlnu.com
  • farenheit.net
  • gooqleonline.com
  • donotreply.biz
  • aøl.com
  • exchamge.org
  • allibaba.org
  • voipmessage.uk
  • efaxonline.org
  • bltly.us
  • twittermessage.co.uk
  • www-com.co.uk
  • srvgov.com
  • gooqle.eu
  • allibaba.eu
  • yourgunnalovetraining.com
  • succesful.org

Étiquettes VirusTotal

Dans la section des étiquettes VirusTotal du sous-onglet VirusTotal, vous pouvez voir les étiquettes que VirusTotal peut attribuer à vos messages après leur analyse. Selon les résultats de l’analyse, VirusTotal attribue au moins une de ces étiquettes à vos messages­. Pour en savoir plus sur les étiquettes VirusTotal, consultez la liste ci-dessous :

  1. VT_Pending : Cette étiquette est associée à votre message lorsqu’une analyse VirusTotal est mise en file d’attente. Cette étiquette peut être supprimée une fois l’analyse terminée.
  2. VT_Bad : Cette étiquette est associée à votre message lorsqu’une analyse VirusTotal détermine que la pièce jointe est malveillante.
  3. VT_Suspicious : Cette étiquette est associée à votre message lorsqu’une analyse VirusTotal détermine que la pièce jointe ou l’URL est suspecte, sans confirmer qu’elle est malveillante. Vous pouvez définir le seuil de détection des pièces jointes et des URL malveillantes à l’aide du paramètre Minimum Antivirus Scanner Detections for VT_Bad Tag (Nombre minimum de détections par une analyse antivirus pour VT_Bad Tag).
  4. VT_Scanned : Cette étiquette est associée à votre message lorsqu’une analyse VirusTotal est terminée et qu’il est déterminé que la pièce jointe n’est pas malveillante.

  5. VT_Bypassed : Cette étiquette est associée à votre message lorsqu’une analyse VirusTotal n’aboutit pas. Cette étiquette est généralement attribuée en combinaison avec d’autres étiquettes VirusTotal. Vous pouvez définir un délai d’attente personnalisé dans les paramètres VirusTotal Automatic Scanning (Analyse automatique VirusTotal).

    Remarque :Si la session VirusTotal expire, PhishER permettra l’exécution de mesures automatisées envers le message pendant que la console attend les résultats de VirusTotal. Après l’exécution des mesures automatisées, VirusTotal continuera à joindre les étiquettes au message. Les mesures automatisées ne s’exécuteront pas à nouveau après l’affichage des résultats de l’analyse.
  6. VT_Hash_not_found: Cette étiquette est associée à votre message lorsqu’une analyse VirusTotal ne retourne aucune correspondance pour les pièces jointes hachées.
  7. VT_Ignored: Cette étiquette est associée à votre message lorsque des URL ou des domaines qui se trouvent sur votre liste blanche sont détectés dans un message.
Remarque :Un message avec plusieurs pièces jointes peut avoir plusieurs étiquettes VT puisque certaines analyses peuvent se terminer à différents moments ou donner des résultats différents.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance