Vous pouvez configurer la fonctionnalité Threat Intel dans votre console à partir du sous-onglet Threat Intel de vos paramètres PhishER. Threat Intel est alimenté par une intégration Webroot avec PhishER Plus. Le service BrightCloud de classification et de réputation Web de Webroot utilise l’intelligence issue de l’apprentissage automatique pour analyser les URL et détecter le contenu malveillant. Cette intégration utilise l’API Webroot pour permettre à PhishER de soumettre des URL à des fins d’analyse, d’extraire des données des rapports et d’effectuer des recherches avancées.

Lorsque Threat Intel analyse une URL, un rapport d’analyse est généré et est rendu disponible dans le sous-onglet Domains & URLs (Domaines et URL) de la page Message Details (Détails du message) de votre console PhishER. Pour plus d’informations, consultez notre Guide de PhishER Inbox.

Configurer l’intégration

Pour configurer l’intégration, remplissez les champs du sous-onglet Threat Intel de vos paramètres PhishER. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.

1. Threat Intel activé ou Threat Intel désactivé : Utilisez ce commutateur pour désactiver ou activer l’intégration.
2. (Facultatif) Automatic Scanning Settings (Paramètres d’analyse automatique) : Cette section vous permet de configurer les paramètres qui permettent à Threat Intel d’analyser automatiquement des parties d’un message. Pour en savoir plus sur ces options, consultez la liste ci-dessous.
   • Automatically scan all URLs (Analyse automatique de toutes les URL) : Si vous cochez cette case, toutes les URL qui se trouvent dans votre Inbox (Boîte de réception) PhishER seront envoyées à Threat Intel.
3. Update Threat Intel Settings (Mettre à jour les paramètres Threat Intel) : Cliquez sur ce bouton si vous souhaitez enregistrer les modifications apportées aux paramètres de cette section.
4.  (Facultatif) Automatic Scanning Timeout (Délai d’expiration de l’analyse automatique) : Le champ Timeout if no response in seconds (Délai d’attente en l’absence de réponse) affiche le délai d’expiration personnalisé de vos résultats d’analyse Threat Intel, en secondes. Si Threat Intel ne retourne aucun résultat d’analyse à l’intérieur de ce délai, une étiquette TI_BYPASSED sera appliquée au message correspondant. Par défaut, le délai d’attente est de 120 secondes. Pour en apprendre davantage au sujet des étiquettes qui peuvent être appliquées au message, consultez la section Étiquettes Threat Intel du présent article. 
5. (Facultatif) Ignored Domains (Domaines ignorés) : Cette section affiche les domaines que vous souhaitez que Threat Intel ignore lors d’une analyse.
6. Update Shared Settings (Mettre à jour les paramètres partagés) : Si vous souhaitez mettre à jour le délai d’expiration personnalisé ou les domaines ignorés de vos intégrations, cliquez sur ce bouton pour ouvrir la fenêtre contextuelle Shared Integrations Settings (Paramètres des intégrations partagées). Dans cette fenêtre, le champ Timeout if no response in seconds vous permet d’entrer la durée en secondes du délai d’attente personnalisé avant l’expiration de vos résultats d’analyse Threat Intel. Le champ Ignored Domains vous permet d’indiquer les domaines que vous souhaitez que Threat Intel ignore lors d’une analyse. Saisissez chaque domaine sur une nouvelle ligne dans la zone de texte. Si vous ajoutez un domaine à la liste, tous ses sous-domaines seront exclus également. Cependant, si vous ajoutez un sous-domaine à la liste, son domaine ne sera pas exclu. Les caractères de remplacement (*) et les identificateurs de ressource uniforme (URI) ne sont pas pris en charge. 
   Important : Pour plus d’informations sur les domaines KnowBe4 qui ne doivent pas être envoyés comme liens à Threat Intel, lisez la section Exclure des domaines KnowBe4 des analyses du présent article.

Analyse avec Threat Intel

Lorsque vous intégrez votre compte Threat Intel avec votre console PhishER, vous pouvez exécuter une analyse Threat Intel sur des domaines et des URL. Pour lancer une analyse Threat Intel sur un domaine ou une URL spécifique, cliquez sur Scan (Analyser) dans la page des détails du message.

L’exécution de l’analyse d’un domaine ou d’une URL par Threat Intel peut durer jusqu’à 15 minutes. Une fois l’analyse terminée, les résultats seront affichés dans la page des détails du message de votre console PhishER. Cliquez sur Click to View Scan Results (Cliquer pour afficher les résultats d’analyse) pour afficher les résultats. Pour plus d’informations, lisez la section Afficher les détails des messages de notre Guide de PhishER Inbox.

Exclure les domaines KnowBe4 des analyses

KnowBe4 utilise de multiples domaines qui ne doivent pas être envoyés comme liens à Threat Intel. Vous pouvez saisir ces domaines à ignorer dans la section Shared Integrations Setting (Paramètres des intégrations partagées) du sous-onglet Threat Intel de vos paramètres PhishER. Pour trouver et exclure les domaines, suivez les instructions ci-dessous.

1. Connectez-vous à votre console KSAT.
2. Accédez à l’onglet Hameçonnage, puis sélectionnez le sous-onglet Domaines. Ce sous-onglet affiche une liste de nos domaines de lien d’hameçonnage racine. Pour en savoir plus, veuillez consulter notre article Gérer les domaines de lien d’hameçonnage.
   Remarque :Si vous n’avez pas accès à ce sous-onglet, communiquez avec notre équipe de soutien pour obtenir une liste des domaines de lien d’hameçonnage.
3. Dans un autre navigateur ou onglet, connectez-vous à votre console PhishER.
4. Accédez à Settings (Paramètres) > Threat Intel.
5. Dans la section Shared Integrations Settings (Paramètres des intégrations partagées), cliquez sur Update Shared Settings (Mettre à jour les paramètres partagés).
6. Dans le champ Ignored Domains, entrez les domaines racine trouvés dans votre console KSAT.
7. Cliquez sur Update Shared Settings.
8. Si vous utilisez plus d’une instance de la console KSAT, répétez les étapes 1 à 7 pour exclure ces domaines racine de toutes vos instances. Pour plus d'informations au sujet des instances KSAT, lisez notre article sur les instances de formation de KnowBe4.

Étiquettes Threat Intel

Selon les résultats de l’analyse, Threat Intel attribue au moins l’une de ces étiquettes à vos messages­. Pour en savoir plus au sujet des étiquettes Threat Intel, consultez la liste ci-dessous :

1. TI_BYPASSED : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel n’aboutit pas. Cette étiquette est généralement attribuée en combinaison avec d’autres étiquettes Threat Intel. Vous pouvez définir un délai d’expiration personnalisé dans les paramètres des intégrations partagées de Threat Intel.
   Remarque :Si le délai d’attente de Threat Intel est dépassé, PhishER attendra quand même de recevoir les résultats de Threat Intel. Cependant, les actions automatisées ne s’exécuteront pas sur un élément pendant qu’il est en cours d’analyse par Threat Intel.
2. TI_ERROR : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel aboutit à des erreurs de traitement ou lorsque Threat Intel n’est pas en mesure d’analyser un domaine ou une URL.
3. TI_HIGH_RISK : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel détecte une menace et détermine que les domaines ou les URL analysés présentent un risque élevé.
4. TI_IGNORED : Cette étiquette est associée à votre message lorsque des URL ou des domaines qui se trouvent sur votre liste dedomaines à ignorer sont détectés dans un message.
5. TI_LOW_RISK : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel ne détecte aucune menace et qu’elle détermine que les domaines ou les URL analysés présentent un risque faible.
6. TI_MODERATE_RISK : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel détecte une menace potentielle et détermine que les domaines ou les URL analysés présentent un risque modéré.
7. TI_NOT_FOUND : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel ne trouve aucune correspondance pour les URL et les domaines analysés.
8. TI_PENDING : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel est mise en attente. Cette étiquette est supprimée une fois l’analyse terminée.
9. TI_SCANNED : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel ne détecte aucune menace liée aux domaines et aux URL analysés.
10. TI_SUSPICIOUS : Cette étiquette est associée à votre message lorsqu’une analyse Threat Intel détermine que les domaines ou les URL analysés sont suspects.