Dans votre console PhishER, les règles sont des expressions logiques qui vous permettent de classer automatiquement les messages dans votre Inbox (boîte de réception) PhishER, et de les étiqueter. Les étiquettes attribuées déclenchent l’exécution par PhishER d’actions sur les messages. Vous pouvez créer des règles à partir de l’onglet Rules (Règles). Si vous souhaitez créer une action, consultez notre article Comment créer et gérer des actions PhishER.

L’onglet Rules (Règles) comprend deux types de règles : les règles personnalisées et les règles système. Les règles personnalisées sont celles que vous pouvez créer à l’aide de l’éditeur de règles YARA. Les règles système sont les règles par défaut fournies par KnowBe4. L’onglet Rules contient également des variables globales. Il s’agit de variables que vous pouvez créer et utiliser dans plusieurs règles avec les mêmes chaînes. Lors de la mise à jour d’une variable globale, l’ensemble des règles utilisant ces chaînes sont mises à jour.

Création de règles

Vous pouvez créer des règles personnalisées dans votre console PhishER pour classer les messages qui ont été transférés dans votre Inbox (boîte de réception) PhishER. Pour créer vos règles, vous pouvez utiliser l’éditeur de base ou l’éditeur avancé. Toutes les règles personnalisées doivent respecter la logique YARA (Yet Another Recursive/Ridiculous Acronym, encore un autre acronyme récursif/ridicule). YARA est un outil qui sert à identifier et classer des échantillons de maliciels.

Pour créer une règle, suivez les étapes suivantes :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New Rule (Nouvelle règle) situé dans le coin supérieur droit de la page pour ouvrir la page des Rule Details (Détails de la règle).
   Remarque :si vous souhaitez que PhishER génère automatiquement une règle basée sur une description de vos besoins, consultez la sectionCreating Rules Using the YARA Rule Generator (Création de règles avec le générateur de règles YARA).

   

4. Dans le champ Name (Nom), saisissez un nom unique pour votre règle. Nous vous recommandons d’utiliser un nom qui décrit brièvement la fonction de la règle. Le nom ne doit pas commencer par une valeur numérique, ni dépasser une longueur de 64 caractères, ni comprendre aucun des mots clés énumérés dans la documentation YARA Écriture des règles YARA.
5. (Facultatif) Entrez une description de votre règle dans le champ Description. En guise de bonne pratique, nous vous recommandons d’entrer une description de la fonction prévue de la règle. La description ne doit pas dépasser 64 caractères.
6. Dans la section Edit Tags (Modification des étiquettes), ajoutez une étiquette personnalisée que vous souhaitez attribuer au message lorsque celui-ci correspond à cette règle en particulier. Pour ajouter une étiquette, cliquez sur Add new tag (Ajouter une nouvelle étiquette) et saisissez un nom pour cette étiquette. Puis, cliquez à l’extérieur du champ Add new tag (Ajouter une nouvelle étiquette) pour créer la nouvelle étiquette.
7. Dans le menu déroulant Choose target (Choisir une cible), sélectionnez la partie du message sur laquelle la règle doit s’appliquer ou s’exécuter. Les cibles proposées sont « Raw » (Brut), « Headers » (En-têtes), « Body » (Corps) et « Attachments » (Pièces jointes). Par défaut, la valeur « Raw » est sélectionnée.
8. Dans la section Éditeur de règles YARA, utilisez l’éditeur de base ou l’éditeur avancé pour écrire votre règle. Pour plus d’informations, consultez les sous-sections ci-dessous.

Création de règles avec l’éditeur de base

L’éditeur de base permet de créer une règle personnalisée sans avoir à écrire toute la logique d’une règle YARA. Vous pouvez entrer les valeurs des strings (chaînes) et sélectionner les conditions de votre règle et l’éditeur de base traitera vos informations pour créer la logique correspondant à votre règle. Pour apprendre comment créer une règle dans l’onglet Basic Editor (Éditeur de base), consultez la saisie d’écran et les indications ci-dessous.

1. Basic Editor (Éditeur de base) : Sélectionnez cet onglet pour afficher les options disponibles pour créer une règle.
2. Create Strings (Créer des chaînes) : Créez et définissez des chaînes à utiliser lors de la création de vos conditions. Pour plus d’informations, consultez notre article Comment puis-je créer des chaînes et des conditions dans l’éditeur de base?
3. New String (Nouvelle chaîne) : Cliquez sur ce bouton pour ajouter une chaîne à la règle. Vous pouvez créer jusqu’à cinq chaînes par règle.
4. Create Conditions (Créer des conditions) : Créez des conditions en sélectionnant la manière dont les chaînes définies doivent être liées les unes aux autres. Les conditions vous permettent de préciser quels messages la règle doit affecter. Pour plus d’informations, consultez notre article Comment puis-je créer des chaînes et des conditions dans l’éditeur de base? Vous pouvez sélectionner l’une des options suivantes :
   • Match any of the defined strings (Correspond à n’importe laquelle des chaînes définies) : Sélectionnez cette option pour détecter les messages qui correspondent à n’importe laquelle des chaînes que vous avez définies.
   • Match all of the defined strings (Correspond à toutes les chaînes définies) : Sélectionnez cette option pour détecter les messages qui correspondent à toutes les chaînes que vous avez définies.
   • Custom conditions (Conditions personnalisées) : Sélectionnez cette option pour détecter les messages qui correspondent à vos conditions personnalisées.
5. New Condition Group (Nouveau groupe de conditions) : Lorsque l’option Custom conditions (Conditions personnalisées) est sélectionnée, vous pouvez cliquer sur ce bouton pour créer des conditions personnalisées auxquelles les messages doivent répondre pour être affectés par la règle.
6. Save Rule (Enregistrer la règle) : Cliquez sur ce bouton pour enregistrer votre règle. Votre règle s’affichera dans la page Rules List (Liste des règles), dans le sous-onglet Custom Rules (Règles personnalisées). Après avoir enregistré votre règle, vous pouvez l’activer en activant le commutateur situé dans la colonne Status (Statut) de la règle. Puis, cliquez sur le bouton Apply Changes (Appliquer les modifications) situé dans le coin supérieur droit de la page.

   

7. Apply Rule to Inbox (Appliquer la règle à la boîte de réception) : Cliquez sur ce bouton pour exécuter votre règle sur l’ensemble des messages de votre boîte de réception. Au moins un message doit correspondre à votre règle et aux critères de la règle d’aperçu pour que cette option soit disponible.

Création de règles avec l’éditeur avancé

L’éditeur avancé vous permet d’écrire la logique de votre règle YARA sans accompagnement. Si vous modifiez une règle avec l’éditeur avancé, l’éditeur de base sera désactivé pour cette règle. Pour en savoir plus au sujet de l’écriture de règles avec la logique YARA, consultez notre article Comment écrire les règles YARA. Pour apprendre comment créer une règle dans l’onglet Advanced Editor (Éditeur avancé), consultez la saisie d’écran et les indications ci-dessous.

1. Advanced Editor (Éditeur avancé) : Sélectionnez cet onglet pour afficher la section du bloc de code dans lequel vous pouvez écrire une règle à l’aide de la logique de règle YARA.
2. Save Rule (Enregistrer la règle) : Cliquez sur ce bouton pour enregistrer votre règle. Votre règle apparaîtra sur la page Rules List (Liste des règles), dans le sous-onglet Custom Rules (Règles personnalisées). Après avoir enregistré votre règle, vous pouvez l’activer en activant le commutateur situé dans la colonne Status (Statut) de la règle. Puis, cliquez sur le bouton Apply Changes (Appliquer les modifications) situé dans le coin supérieur droit de la page.

   

3. Apply Rule to Inbox (Appliquer la règle à la boîte de réception) : Cliquez sur ce bouton pour exécuter votre règle sur l’ensemble des messages de la Inbox. Au moins un message doit correspondre à votre règle et aux critères de la règle d’aperçu pour que cette option soit disponible.

Création de règles avec le générateur de règles YARA

Le générateur de règles YARA vous permet de créer une règle personnalisée en décrivant ce que vous souhaitez obtenir. Vous pouvez saisir les critères de détection de votre règle et le générateur de règles YARA traitera vos informations pour créer la logique correspondant à votre règle. Pour apprendre comment créer une règle à l’aide de l’ongletYARA Rule Generator (Générateur de règles YARA), procédez comme suit :

Pour créer une règle, suivez les étapes suivantes :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New AI Rule (Nouvelle règle IA) situé dans le coin supérieur droit de la page pour ouvrir la page Rule Details (Détails de la règle).

   

4. Dans le champ Describe your detection requirements (Décrivez vos critères de détection), saisissez une description de la règle que vous souhaitez créer.

   

5. Cliquez sur Generate Rule (Générer la règle). Le générateur de règles YARA convertira vos critères de détection en une règle PhishER avec un nom, une description, une étiquette et une syntaxe YARA complète.

   

6. Vous pouvez modifier la règle générée selon vos besoins. Cliquez ensuite sur Save Rule (Enregistrer la règle) pour enregistrer la règle.

Aperçu des règles

Avant d’enregistrer une nouvelle règle, nous vous recommandons d’en afficher un aperçu pour voir de quelle manière elle affecte vos messages PhishER. Pour afficher l’aperçu d’une règle, suivez les étapes ci-dessous.

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New Rule (Nouvelle règle) situé dans le coin supérieur droit de la page, ou sélectionnez une règle sur la page Rules List (Liste des règles). Lorsque vous cliquez sur le bouton New Rule, la page Rule Details (Détails de la règle) s’ouvre.
4. Écrivez ou modifiez votre règle YARA dans la section YARA Rule Editor (Éditeur de règles YARA).
5. Avant d’enregistrer votre règle, cliquez sur le bouton Run Preview (Exécuter l’aperçu). Une liste s’affiche alors, énumérant tous les messages de votre Inbox (boîte de réception) qui correspondent à votre règle.
   Remarque :PhishER ne vérifie que les 1 000 derniers messages pour trouver une correspondance et l’afficher dans l’aperçu. Si un message qui correspond à la règle ne fait pas partie des 1 000 derniers messages, il n’apparaîtra pas dans l’aperçu.
6. Vous pouvez mettre à jour la liste d’aperçu en modifiant les options de critères suivants :
   • Saved Query (Requête enregistrée) (facultatif) : Choisissez une Saved Query pour voir de quelle manière la règle affecte les messages correspondant à cette requête.
   • Last 7 days (7 derniers jours) : Sélectionnez la période pour laquelle vous souhaitez obtenir un aperçu des messages. Les périodes disponibles sont les suivantes : Last 24 hours (24 dernières heures), Last 7 days (7 derniers jours) et Last 30 days (30 derniers jours). Par défaut, la période Last 7 days est sélectionnée.
   • Matched Messages (Messages correspondants) : Lorsque vous affichez l’aperçu d’une règle, des options supplémentaires s’affichent pour vous permettre de filtrer les messages de la liste d’aperçu.
   • Matched Messages (default) (Messages correspondants, par défaut) : Sélectionnez cette option pour afficher uniquement les messages de votre Inbox (boîte de réception) PhishER qui correspondent à la condition de la règle.
   • Unmatched Messages (Messages non correspondants) : Sélectionnez cette option pour afficher uniquement les messages de votre Inbox PhishER qui ne correspondent pas à la condition de la règle.
   • All Messages (Tous les messages) : Sélectionnez cette option pour afficher tous les messages de votre Inbox PhishER. La colonne Matched (Correspond) indiquera si le message correspond (true) ou non (false) à la règle.

     

     Remarque :si vous souhaitez ouvrir un message affiché dans la liste d’aperçu, nous recommandons d’ouvrir le message dans un nouvel onglet pour éviter de perdre votre nouvelle règle.
   • (Facultatif) Si vous souhaitez exécuter cette règle sur l’ensemble des messages de la liste d’aperçu, cliquez sur le bouton Apply Rule to Current Matches (Appliquer la règle aux correspondances actuelles).

     

Modification des règles

Pour modifier une règle personnalisée, cliquez sur le nom ou la description de la règle dans la page Rules List (Liste des règles) pour ouvrir la page Rule Details (Détails de la règle). Si vous souhaitez modifier une règle système, vous devez d’abord créer une nouvelle règle. Puis copier et coller la logique de la règle système dans l’éditeur de règles YARA de la règle personnalisée. Pour en savoir plus sur les règles du système, veuillez consulter la section Utilisation des règles du système de cet article.

Utilisation des variables globales

Dans le sous-onglet Global Variables (Variables globales) de la page Rules List (Liste des règles), vous pouvez créer des variables globales ou afficher les variables globales que vous avez déjà créées. Si vous utilisez de multiples règles utilisant les mêmes chaînes, vous pouvez utiliser des variables globales pour mettre à jour ces chaînes toutes à la fois.

Vous pouvez inclure des variables globales dans votre règle à l’aide de l’éditeur de base ou de l’éditeur avancé, en créant des chaînes contenant ces variables globales. Si vous modifiez une variable globale, la règle se mettra à jour automatiquement dans toutes les règles utilisant cette variable globale.

Pour créer une variable globale, suivez les étapes suivantes :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Accédez au sous-onglet Global Variables (Variables globales).

   

4. Cliquez sur le bouton New Variable (Nouvelle variable) situé dans le coin supérieur droit de la page. Lorsque vous cliquez sur ce bouton, la page Create Global Variablex (Create Global Variable) s’ouvre.
5. Dans le champ Name (Nom), entrez le nom de la variable globale.

   

6. Dans le champ Value (Valeur), entrez la valeur de la variable globale.
   Remarque :Les variables globales doivent répondre aux mêmes exigences que les autres variables et les chaînes. La valeur ne doit pas commencer par une valeur numérique, ni dépasser une longueur de 255 caractères, ni correspondre à aucun des mots clés énumérés dans la documentation YARA Écriture des règles YARA.
7. Cliquez sur Save (Enregistrer) pour enregistrer votre variable globale. La variable globale apparaîtra dans la page Rules List (Liste des règles), dans le sous-onglet Global Variables (Variables globales).

Dans la page Rules List (Liste des règles), vous pouvez consulter l’information concernant la variable globale, comme les dates de création et de dernière mise à jour de la variable. Vous pouvez également modifier la valeur d’une variable globale en cliquant sur son nom pour ouvrir la fenêtre Edit Global Variable (Modifier la variable globale). Le nom d’une variable globale existante ne peut être modifié. Si vous souhaitez supprimer une variable globale, cliquez sur l’icône de poubelle.

Pour apprendre comment créer une règle utilisant des variables globales, consultez notre article Comment puis-je créer des chaînes et des conditions dans l’éditeur de base de règles YARA?

Utilisation des règles système

Votre console PhishER propose des règles du système pour vous aider à classer et à ajouter des étiquettes à vos messages. Depuis le sous-onglet System Rules (règles du système) de la pageRules List (liste des règles), vous pouvez activer ces règles pour votre console PhishER. Par défaut, les règles du système sont désactivées.

Pour plus d’informations sur les règles du système, veuillez consulter la capture d’écran et la liste ci-dessous :

Étiquettes QR Code Decoder

Le décodeur de code QR (QR Code Decoder) est une fonctionnalité PhishER qui s’exécute en arrière-plan de votre console et qui analyse systématiquement les courriels signalés pour y détecter des codes QR. Lorsque le QR Code Decoder détecte un code QR dans le corps d’un message, il extrait l’URL intégrée dans le code QR et assigne une étiquette au message. L’URL extraite sera affichée dans l’onglet Domaines et URL de la page Détails du message de votre Inbox (boîte de réception) PhishER. Pour plus d’informations au sujet des étiquettes du QR Code Decoder, consultez la liste ci-dessous :

Affichage de la liste de règles

La Rules List (Liste de règles) affiche toutes vos règles et variables globales. Pour en apprendre davantage au sujet de la page Rules List, consultez la capture d’écran et les indications ci-dessous.

1. Name (Nom) : Cette colonne affiche le nom attribué à la règle.
2. Description : Cette colonne affiche la description de la règle.
3. Rule Target (Cible de la règle) : Cette colonne affiche la partie d’un message sur laquelle s’applique la règle. Par exemple, la cible de la règle pourrait être l’en-tête du courriel.
4. Status (Statut) : Cette colonne affiche le statut actuel de la règle. Une règle peut être active ou inactive. Pour modifier le statut de la règle, activez ou désactivez le commutateur.
   Remarque :Afin qu’elle s’applique aux messages de votre Inbox (boîte de réception) PhishER, une règle doit être active.
5. Updated At (Mise à jour le) : Cette colonne affiche la date et l’heure de la dernière mise à jour de la règle.
6. Matched Count (Nombre de correspondances) : Cette colonne affiche le nombre de fois où la règle a correspondu à un message de votre Inbox (boîte de réception) PhishER.
7. Tags (Étiquettes) : Cette colonne affiche toutes les étiquettes associées à un message. Des étiquettes ne sont associées à un message que lorsque le message correspond à la règle.
8. Filter by Status (Filtrer par statut) : Cliquez sur ce menu déroulant pour sélectionner un filtre permettant d’afficher les règles actives ou inactives.