PhishER de KnowBe4 est une plateforme d’orchestration, d’automatisation et de réponse aux incidents de sécurité informatique (Security Orchestration, Automation, and Response, SOAR) qui gère les courriels signalés par vos utilisateurs. Grâce à PhishER, votre organisation peut identifier des courriels représentant une menace potentielle afin de renforcer ses mesures de sécurité et ses plans de défense en profondeur.

PhishER est disponible comme plateforme autonome, mais c’est en combinaison avec la console KSAT qu’il fonctionne le mieux. PhishER peut aussi s’intégrer à des outils d’analyse tiers comme VirusTotal et Syslog pour fournir des analyses et des évaluations de sécurité à votre organisation.

Flux de travail PhishER

Voici ci-dessous un schéma du flux de travail PhishER. Nous vous recommandons de prendre d’abord connaissance de ce flux de travail, afin de mieux comprendre PhishER.

Pour plus d’informations sur ce flux de travail, consultez la liste suivante :

1. Lorsque vos utilisateurs signalent des courriels suspects, ceux-ci sont envoyés dans la Inbox (boîte de réception) de PhishER.
2. Grâce à vos règles personnalisées, PhishER analyse les composantes du courriel à la recherche de contenu malveillant ou de signaux d’alarme. Puis, PhishER attribue des étiquettes aux courriels qui correspondent aux critères de votre règle.
3. Les étiquettes déclenchent des actions spécifiques PhishER. En fonction des règles et actions personnalisées de votre organisation, PhishER classe automatiquement chaque courriel. Le classement des courriels vous aide à prioriser les courriels signalés et à réagir rapidement aux attaques par hameçonnage effectives.
4. Si vous avez activé PhishER Blocklist, vous pouvez utiliser les informations concernant les courriels malveillants ou les pourriels pour bloquer les courriels similaires qui entrent dans les boîtes de réception de vos utilisateurs. Si vous disposez d’un abonnement PhishER Plus et que vous avez activé Global Blocklist, vous pouvez utiliser les informations de la communauté pour bloquer des courriels similaires.
5. Si vous avez activé PhishRIP, vous pouvez supprimer les courriels malveillants ou les pourriels similaires qui se trouvent déjà dans les boîtes de réception de vos utilisateurs. Si vous disposez d’un abonnement PhishER Plus et que vous avez activé Global PhishRIP, vous pouvez utiliser les informations de la communauté pour supprimer des courriels similaires.
6. Si vous avez activé PhishFlip, vous pouvez réutiliser les courriels signalés pour créer des modèles et des campagnes d’hameçonnage KSAT. PhishFlip supprime les éléments malveillants des courriels signalés avant d’envoyer les tests d’hameçonnage à vos utilisateurs.

Prérequis

Lorsque vous utilisez conjointement PhishER et KSAT, vous devez acheter le même nombre de postes pour chacun des produits. Si vous achetez des postes supplémentaires pour l’un ou l’autre des produits au cours de votre période d’abonnement, vous devrez acheter des postes supplémentaires pour l’autre produit aussi.

Tous les clients de PhishER doivent avoir un système de transfert de courriel afin que tous les courriels signalés par les utilisateurs puissent être redirigés vers votre Inbox PhishER pour être analysés. Nous vous recommandons d’installer le Phish Alert Button (PAB) pour votre organisation, mais vous pouvez aussi autoriser vos utilisateurs à transférer les courriels manuellement à une adresse courriel de signalement. Pour plus d’informations au sujet de ces méthodes, consultez notre Manuel du produit Phish Alert Button (PAB) et notre article Paramètres PhishER.

Accéder à votre compte

Premièrement, vous devez créer un compte PhishER.

Pour créer votre compte, suivez les indications ci-dessous :

1. Connectez-vous à votre compte KnowBe4.
2. Cliquez sur votre nom dans le coin supérieur droit de la page. Dans le menu déroulant qui s’ouvre, sélectionnez Paramètres du compte.
3. Accédez à Intégrations du compte > PhishER.
4. Cliquez sur le bouton Créer un compte PhishER.

Accéder à PhishER

Lorsque vous avez créé un compte PhishER pour votre organisation et une fois que PhishER est activé pour votre compte, le bouton Accéder à PhishER s’affichera dans la page de vos paramètres de compte KnowBe4. Cliquer sur ce bouton vous mènera directement sur votre plateforme PhishER. Vous pouvez également accéder à votre plateforme PhishER en naviguant jusqu’à l’URL correspondant à votre instance KnowBe4. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.

• États-Unis : https://phisher.knowbe4.com
• Canada : https://ca.phisher.knowbe4.com
• Union européenne : https://eu.phisher.knowbe4.com
• Allemagne : https://de.phisher.knowbe4.com
• Royaume-Uni : https://uk.phisher.knowbe4.com

Définir des adresses courriel pour le signalement

Vous devez définir au moins une adresse courriel pour le signalement afin de transférer les courriels dans votre Inbox (boîte de réception). Si votre organisation utilise le PAB, vous devez définir une adresse courriel de signalement pour chaque instance du PAB.

Pour définir des adresses courriel de signalement, suivez ces étapes :

1. Connectez-vous à votre compte KnowBe4.
2. Cliquez sur votre nom dans le coin supérieur droit de la page. Dans le menu déroulant qui s’ouvre, sélectionnez Paramètres du compte.
3. Accédez à Intégrations du compte > Phish Alert et ouvrez les paramètres d’une instance PAB.
4. Dans le champ Envoyer les courriels d’hameçonnage non simulés à, entrez vos adresses courriel de signalement. Pour plus d’informations sur ce champ, consultez la section Activer et configurer le PAB de notre Manuel du produit Phish Alert Button (PAB).
5. Cliquez sur le bouton Enregistrer les paramètres Phish Alert.
6. Cliquez sur le bouton Enregistrer les modifications au bas de la page.

Dashboard (Tableau de bord)

Lorsque vous ouvrez votre plateforme PhishER, la page Dashboard s’affiche. Cette page vous présente une brève vue d’ensemble de votre plateforme PhishER. Pour plus d’informations au sujet de cette page, consultez la capture d’écran et la liste ci-dessous :

1. Rechercher : Vous pouvez utiliser cette barre de recherche pour filtrer votre tableau de bord à l’aide de requêtes Lucene. Le tableau de bord affichera un aperçu de l’information concernant tous les messages répondant à ces critères.
2. Edit Dashboard Layout (Modifier la configuration du tableau de bord) : Vous pouvez cliquer sur cette icône pour ajouter ou supprimer des widgets sur votre tableau de bord. Vous pouvez faire glisser, déposer et redimensionner chaque widget pour créer une présentation personnalisée. Lorsque vous cliquez sur cette icône, les boutons Reset Dashboard Layout (Réinitialiser la présentation du tableau de bord) et Add Widget (Ajouter un widget) s’affichent.
3. Last 30 days (30 derniers jours) : Par défaut, le tableau de bord affiche les données et l’activité des 30 derniers jours. Cependant, vous pouvez ajuster le tableau de bord pour afficher l’information pour une période différente en cliquant sur le bouton Last 30 days. Si vous cliquez sur ce bouton, la fenêtre contextuelle de sélection de la période s’ouvrira
4. Reported Messages (Messages signalés) : Cette section affiche le nombre de messages signalés qui ont été transférés dans votre Inbox PhishER.
5. Automatically Resolved (Résolus automatiquement) : Cette section affiche le nombre de messages qui ont été classés selon vos règles et actions actives.
6. Manually Resolved (Résolus manuellement) : Cette section affiche le nombre de messages qui ont été classés sans avoir recours à vos règles et actions actives.
7. Unresolved (Non résolus) : Cette section affiche le nombre de messages qui n’ont pas été classés.
8. Received Messages (Messages reçus) : Ce graphique à barres affiche le nombre de messages signalés qui ont été transférés dans votre Inbox PhishER. Les données montrent le nombre de messages signalés par jour ou par heure.
9. Messages Summary (Sommaire des messages) : Ce graphique à secteurs compare le nombre de messages selon les statuts Automatically Resolved, Manually Resolved et Pending Review (En attente de vérification).
10. Reported Messages by Category (Messages signalés par catégorie) : Ce graphique linéaire représente le classement des messages. Chaque message peut être classé comme étant Clean (Sûr), Spam (Pourriel) ou Threat (Menace). Par défaut, un message est classé comme Unknown (Inconnu) en attendant que PhishER ou un administrateur le classe dans l’une ou l’autre des catégories.
11. Categories (Catégories) : Ce graphique à secteurs compare le nombre de messages selon leur classement.
12. Reported Messages by Priority (Messages signalés par priorité) : Ce graphique linéaire représente la priorité des messages signalés. Les priorités suivantes peuvent être attribuées aux messages : Unknown (Inconnue), Low (Faible), Medium (Moyenne), High (Élevée) ou Critical (Critique). Les données montrent le nombre de messages signalés par jour ou par heure pour chaque priorité.
13. Priorities (Priorités) : Ce graphique à secteurs compare les messages selon leur priorité.

Rooms (Salles)

L’onglet Rooms contient plusieurs vues filtrées des messages de votre Inbox PhishER. Chaque vue filtrée est basée sur les requêtes enregistrées et les filtres générés par le système. Vous pouvez afficher une Inbox un Dashboard (Tableau de bord) ou un Report (Rapport) filtré en cliquant sur l’icône située à côté de chaque filtre généré par le système.

Si vous cliquez sur un groupe de messages particulier dans une salle, vous serez dirigé vers une vue filtrée de votre Inbox qui affiche tous les messages du groupe. Un groupe de messages est créé dès qu’une salle contient au moins deux messages qui correspondent aux critères de la salle.

Pour plus d’informations au sujet des salles, consultez notre article Comment créer et gérer les salles PhishER.

Inbox (Boîte de réception)

Vous pouvez afficher tous les messages signalés par vos utilisateurs dans l’onglet Inbox. Ces messages comprennent tous les courriels que vos utilisateurs ont signalés à l’aide du PAB ou manuellement, en transférant les courriels à une adresse courriel de signalement. À partir de cet onglet, vous pouvez filtrer les messages et enregistrer les paramètres des filtres personnalisés en tant que salle. Vous pouvez également effectuer des actions et modifier le classement des messages.

À l’aide d’outils d’analyse tiers, PhishER organise les messages en différentes composantes, y compris les données brutes du message, les en-têtes, les pièces jointes et le corps. Lorsque vous cliquez sur un message, la page Message Details (Détails du message) s’affiche. Cette page présente des informations détaillées au sujet du message, comme ses composantes. À partir de cette page, vous pouvez également effectuer des actions sur le message et utiliser une fonctionnalité de Discussion pour communiquer avec vos administrateurs à propos du message.

Pour plus d’informations au sujet de la Inbox (boîte de réception), consultez notre article Comment utiliser la PhishER Inbox (boîte de réception).

Rules (Règles)

Vous pouvez consulter toutes vos règles PhishER dans l’onglet Rules. Une règle est une expression logique utilisée pour classer les courriels transférés dans la Inbox (boîte de réception) de PhishER. Pour classer les courriels, toutes les règles doivent suivre la Logique de règle YARA.

Selon la règle, une étiquette sera ajoutée aux courriels à mesure qu’ils sont transférés dans la Inbox de PhishER. L’onglet Rules comprend la page Rules List (Liste des règles) qui, elle-même, comprend les sous-onglets suivants :

• Custom Rules (Règles personnalisées) : Ce sous-onglet affiche les règles entièrement créées par votre organisation à l’aide de l’éditeur de règle PhishER.
• System Rules (Règles système) : Ce sous-onglet affiche l’ensemble de règles par défaut fournies par KnowBe4.
• Global Variables (Variables globales) : Ce sous-onglet affiche les variables globales créées par votre organisation pour les règles personnalisées. Si vous utilisez de multiples règles avec les mêmes chaînes, vous pouvez utiliser des variables globales pour mettre à jour ces règles toutes à la fois.

Pour plus d’informations au sujet des règles, consultez notre article Comment créer et gérer les règles PhishER.

Actions

Vous pouvez consulter toutes vos actions PhishER dans l’onglet Actions. Lorsqu’une étiquette est attribuée à un message, elle indique comment le message doit être traité dans PhishER. Puis, l’action commencera à exécuter les étapes de ce traitement. Par exemple, vous pouvez créer une action pour attribuer la catégorie Spam (Pourriel) à tous les messages correspondants. L’onglet Actions comprend la page Actions List (Liste des actions), dans laquelle vous pouvez créer et gérer toutes les actions de votre plateforme PhishER.

Pour plus d’informations au sujet des actions, consultez notre article Comment créer et gérer les actions PhishER.

Reports (Rapports)

Vous pouvez consulter tous vos rapports PhishER dans l’onglet Reports. Chaque sous-onglet affiche un rapport sur les informations les plus courantes trouvées dans les courriels signalés par vos utilisateurs. Par défaut, chaque rapport affiche les données et l’activité des 30 derniers jours, mais vous pouvez modifier cette période en cliquant sur le bouton Last 30 Days (30 derniers jours) situé dans le coin supérieur droit de la page.

L’onglet Reports comprend les sous-onglets suivants :

• Attachments (Pièces jointes) : Ce sous-onglet affiche les types de pièces jointes les plus courantes dans les courriels signalés par les utilisateurs.
• Reporters (Utilisateurs ayant signalé) : Ce sous-onglet affiche les utilisateurs qui signalent des courriels le plus fréquemment.
• Senders (Expéditeurs) : Ce sous-onglet affiche les domaines d’expéditeur les plus courants associés aux courriels signalés par les utilisateurs.
• Domains and URLs (Domaines et URL) : Ce sous-onglet affiche les domaines et les URL les plus courants dans les courriels signalés par les utilisateurs.
• Tags (Étiquettes) : Ce sous-onglet affiche les étiquettes les plus fréquemment attribuées aux courriels signalés par les utilisateurs.

Pour plus d’informations sur les rapports, consultez notre article Comment utiliser les rapports PhishER.

Blocklist (Liste de blocage)

La fonctionnalité PhishER Blocklist aide votre serveur de messagerie Microsoft 365 à empêcher les courriels malveillants et les pourriels d’atteindre la boîte de réception de vos utilisateurs. Vous pouvez consulter toutes les entrées de votre liste de blocage à partir du sous-onglet Your Syncing Entries (Vos entrées de synchronisation) de l’onglet Blocklist (Liste de blocage). Lors de la révision des courriels signalés par les utilisateurs, vous pouvez mettre à jour votre liste de blocage pour envoyer les informations sur les menaces ou les pourriels à votre serveur de messagerie.

Pour plus d’informations sur les listes de blocage, consultez notre article Comment utiliser PhishER Blocklist.

PhishRIP

PhishRIP est une fonctionnalité PhishER de mise en quarantaine des courriels qui permet à votre organisation de rechercher les courriels signalés par les utilisateurs dans l’ensemble des boîtes de réception connectées à vos instances de Microsoft 365 ou de Google Workspace. Vous pouvez voir tous vos résultats de recherche ou requêtes PhishRIP sous l’onglet PhishRIP. L’utilisation de PhishRIP vous permet de bloquer les attaques par hameçonnage actives en supprimant les courriels constituant une menace potentielle des boîtes de réception de vos utilisateurs.

Lors de la sélection d’un message individuel dans votre Inbox (Boîte de réception), vous pouvez cliquer sur le menu déroulant Run (Exécuter) pour déclencher des actions qui s’exécutent sur les messages trouvés par des requêtes PhishRIP.

Pour obtenir plus d’informations sur PhishRIP, consultez notre article Comment utiliser PhishRIP.

PhishFlip

PhishFlip est une fonctionnalité PhishER qui permet à votre organisation de réutiliser des courriels signalés par les utilisateurs dans des campagnes d’hameçonnage de votre console KSAT. PhishFlip supprime tous les éléments malveillants des courriels signalés afin qu’il soit sécuritaire de les envoyer à vos utilisateurs en tant que modèles d’hameçonnage.

Une fois PhishFlip activé sur votre plateforme PhishER, vous pouvez créer des modèles d’hameçonnage KSAT à partir des courriels signalés par les utilisateurs. Puis, vous pouvez utiliser les modèles d’hameçonnage pour créer des campagnes d’hameçonnage dans votre console KSAT. Vous pouvez également créer des campagnes PhishFlip automatiques contenant des courriels signalés spécifiques provenant de votre plateforme PhishER.

Pour plus d’informations sur PhishFlip, consultez notre article Comment utiliser PhishFlip.