Configuration des intégrations

Partager

Cet article est-il utile ?

Dernière mise à jour :

Intégration de Threat Intel à votre console PhishER

À partir du sous-onglet Threat Intel de vos paramètres PhishER, vous pouvez configurer la fonctionnalité Threat Intel pour votre console PhishER. Threat Intel est alimenté par une intégration Webroot à PhishER Plus. Le service BrightCloud Web Classification & Web Reputation de Webroot s’appuie sur l’apprentissage automatique pour analyser les URL à la recherche de contenu malveillant. L’intégration utilise l’API Webroot to permettre à PhishER de soumettre des URL à l’analyse, d’extraire les données des rapports et d’effectuer des recherches avancées.

Remarque : Threat Intel est disponible uniquement pour les comptes bénéficiant de PhishER Plus. Vous n’avez pas besoin de souscrire un abonnement distinct à Webroot pour configurer la fonctionnalité Threat Intel.

Lorsque Threat Intel analyse une URL, un rapport d’analyse de la menace est publié dans le sous-onglet Domains & URLs (Domaines et URL) de la page Message Details (Détails du message) de votre console PhishER. Pour en savoir plus, consultez notre article Guide relatif à la PhishER Inbox (Boîte de réception PhishER).

Configuration de l’intégration

Pour configurer l’intégration, remplissez les champs du sous-onglet Threat Intel de vos paramètres PhishER. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous :

  1. Threat Intel Disabled ou Threat Intel Enabled (Threat Intel désactivé ou Threat Intel activé) : ce commutateur permet d’activer ou de désactiver l’intégration.
  2. (Facultatif) Automatic Scanning Settings (Paramètres d’analyse automatique) : configurez dans cette section les paramètres permettant à Threat Intel d’analyser automatiquement des parties d’un message. Consultez la liste ci-dessous pour en savoir plus sur ces options :
    • Automatically scan All URLs (Analyser automatiquement toutes les URL) : si vous cochez cette case, Threat Intel recevra automatiquement toutes les URL de votre boîte de réception PhishER.
  3. Update Threat Intel Settings (Mettre à jour les paramètres de Threat Intel) : cliquez sur ce bouton si vous souhaitez enregistrer les modifications apportées aux paramètres d’intégration de cette section.
  4.  (Facultatif) Automatic Scanning Timeout (Temps d’attente pour l’analyse automatique) : le champ Timeout if no response in seconds (Temps d’attente en secondes en cas d’absence de réponse) affiche le temps d’attente personnalisé pour l’obtention de vos résultats d’analyse Threat Intel. Si Threat Intel ne renvoie aucun résultat d’analyse dans ce délai, un tag TI_BYPASSED sera appliqué au message correspondant. Par défaut, le temps d’attente est de 120 secondes. Pour en savoir plus sur les tags pouvant être appliqués au message, consultez la section Tags de Threat Intel de cet article. 
  5. (Facultatif) Ignored Domains (Domaines ignorés) : indiquez les domaines que Threat Intel doit ignorer lors d’une analyse.
  6. Update Shared Settings (Mettre à jour les paramètres partagés) : si vous souhaitez mettre à jour le temps d’attente personnalisé ou les domaines ignorés pour vos intégrations, cliquez sur ce bouton pour ouvrir la fenêtre contextuelle Shared Integrations Settings (Paramètres des intégrations partagées). Dans la fenêtre contextuelle, vous pouvez saisir un nombre de secondes dans le champ Timeout if no response in seconds (Temps d’attente en secondes en cas d’absence de réponse) pour définir un temps d’attente personnalisé pour les résultats d’analyse de Threat Intel. Dans le champ Ignored Domains (Domaines ignorés), indiquez les domaines que Threat Intel doit ignorer lors d’une analyse. Passez à la ligne lorsque vous ajoutez un nouveau domaine à la liste. L’ajout d’un domaine à cette liste entraîne également l’exclusion de ses sous-domaines. En revanche, l’ajout d’un sous-domaine n’entraîne pas l’exclusion du domaine. L’utilisation de caractères génériques (*) et d’URI (Uniform Resource Identifier) n’est pas prise en charge. 
    Important : Pour en savoir plus sur les domaines KnowBe4 qui ne doivent pas être envoyés à Threat Intel en tant que liens, consultez la section Exclusion de domaines KnowBe4 des analyses de cet article.

Analyse par Threat Intel

Une fois votre compte Threat Intel intégré à votre console PhishER, vous pouvez lancer une analyse Threat Intel sur des domaines et des URL. Pour lancer une analyse Threat Intel sur un domaine ou une URL spécifique, cliquez sur Scan (Analyse) sur la page Message Details (Détails du message).

Remarque : si vous activez Automatic Scanning (Analyse automatique), Threat Intel recevra automatiquement un hachage de tous les domaines ou URL figurant dans votre boîte de réception PhishER.

Lorsque vous lancez une analyse Threat Intel sur un domaine ou une URL, cette analyse peut prendre jusqu’à 15 minutes. Une fois terminée, les résultats de l’analyse sont affichés sur la page Message Details (Détails du message) de votre console PhishER. Cliquez sur Click to View Scan Results (Cliquer pour afficher les résultats de l’analyse) pour consulter les résultats. Pour en savoir plus, consultez la section Affichage des détails des messages de notre Guide relatif à la PhishER Inbox (Boîte de réception PhishER).

Exclusion de domaines KnowBe4 des analyses

KnowBe4 utilise différents domaines qui ne doivent pas être envoyés en tant que liens à Threat Intel. Vous pouvez saisir ces domaines à ignorer dans la section Shared Integrations Settings (Paramètres des intégrations partagées) du sous-onglet Threat Intel de vos paramètres PhishER. Pour obtenir la liste des domaines à exclure, procédez comme suit :

  1. Connectez-vous à votre console KSAT.
  2. Accédez à l’onglet Hameçonnage, puis sélectionnez le sous-onglet Domaines. Ce sous-onglet comporte la liste de nos domaines racines de liens d’hameçonnage. Pour en savoir plus, consultez notre article Gérer les domaines des liens d’hameçonnage.
    Remarque : si vous n’avez pas accès à ce sous-onglet, vous pouvez contacter notre équipe d’assistance pour obtenir une liste des domaines des liens d’hameçonnage.
  3. Depuis un navigateur ou un onglet distinct, connectez-vous à votre console PhishER.
  4. Accédez à Settings (Paramètres) > Threat Intel.
  5. Dans la section Shared Integrations Settings (Paramètres des intégrations partagées), cliquez sur Update Shared Settings (Mettre à jour les paramètres partagés).
  6. Dans le champ Ignored Domains (Domaines ignorés), saisissez les domaines racines de votre console KSAT.
  7. Cliquez sur Update Shared Settings (Mettre à jour les paramètres partagés).
  8. Si vous utilisez plusieurs instances de la console KSAT, répétez les étapes 1 à 7 pour exclure les domaines racines de toutes vos instances. Consultez notre article Instances de formation de KnowBe4 pour plus d’informations.

Tags de Threat Intel

En fonction des résultats, Threat Intel applique un ou plusieurs tags à vos messages. Pour en savoir plus sur les tags de Threat Intel, consultez la liste ci-dessous :

  1. TI_BYPASSED : ce tag est associé à un message quand une analyse Threat Intel ne répond pas dans les délais impartis. Il s’accompagne généralement d’autres tags Threat Intel. Vous pouvez définir un temps d’attente personnalisé dans vos Shared Integrations Settings (Paramètres des intégrations partagées) pour Threat Intel.
    Remarque : si le temps d’attente est dépassé, PhishER continue d’attendre vos résultats Threat Intel. Toutefois, les actions automatisées ne seront pas effectuées pour cet élément pendant que Threat Intel l’analyse.
  2. TI_ERROR : ce tag est associé à votre message lorsqu’une analyse de Threat Intel aboutit à des erreurs de traitement ou lorsque Threat Intel n’est pas en mesure d’analyser un domaine ou une URL.
  3. TI_HIGH_RISK : ce tag est associé à un message lorsqu’une analyse Threat Intel détermine qu’une menace a été détectée et que les domaines ou URL analysés présentent un risque élevé.
  4. TI_IGNORED : ce tag est associé à un message lorsque des URL ou des domaines présents dans votre liste Ignored Domains (Domaines ignorés) sont détectés.
  5. TI_LOW_RISK : ce tag est associé à un message lorsqu’une analyse Threat Intel détermine qu’aucune menace n’a été détectée, mais que les domaines ou URL analysés présentent un risque faible.
  6. TI_MODERATE_RISK : ce tag est associé à un message lorsqu’une analyse Threat Intel détermine qu’une menace potentielle a été détectée et que les domaines ou URL analysés présentent un risque modéré.
  7. TI_NOT_FOUND : ce tag est associé à un message lorsqu’une analyse Threat Intel ne renvoie aucune correspondance pour les domaines ou URL analysés.
  8. TI_PENDING : ce tag est associé à un message quand une analyse Threat Intel est mise en file d’attente. Il sera supprimé une fois l’analyse achevée.
  9. TI_SCANNED : ce tag est associé à un message lorsqu’une analyse Threat Intel détermine qu’aucune menace n’a été détectée dans les domaines ou URL analysés.
  10. TI_SUSPICIOUS : ce tag est associé à un message lorsqu’une analyse Threat Intel détermine que les domaines ou URL analysés sont suspects.
Remarque : les analyses pouvant se terminer à des moments différents ou donner des résultats variables, plusieurs tags TI peuvent être associés à un message contenant plusieurs domaines ou URL.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance