Dans votre console PhishER, les règles sont des expressions logiques qui vous permettent de catégoriser et d’appliquer des tags automatiquement à des messages dans votre boîte de réception PhishER. Les tags attribués déclenchent l’exécution par PhishER d’actions sur les messages. Vous pouvez créer des règles à partir de l’onglet Rules (Règles). Si vous souhaitez créer une action, consultez notre article Comment créer des actions PhishER et les gérer.

L’onglet Rules (Règles) contient deux types de règles : les règles personnalisées et les règles système. Les règles personnalisées sont celles que vous pouvez créer en utilisant l’éditeur de règles YARA. Les règles système sont les règles par défaut fournies par KnowBe4. L’onglet Rules (Règles) contient également des variables globales, qui sont les variables que vous créez pour les utiliser dans plusieurs règles avec les mêmes chaînes. En mettant à jour une variable globale, vous pouvez mettre à jour l’ensemble des règles qui contiennent ces chaînes.

Création de règles

Depuis votre console PhishER, vous avez la possibilité de créer des règles personnalisées pour catégoriser les messages qui ont été transférés vers votre boîte de réception PhishER. Pour créer vos règles, vous pouvez utiliser le Basic Editor (Éditeur de base) ou l’Advanced Editor (Éditeur avancé). Toutes les règles personnalisées doivent suivre la logique YARA. YARA est un outil utilisé pour identifier et classifier les exemples de programmes malveillants.

Pour créer une règle, procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New Rule (Nouvelle règle) dans le coin supérieur droit de la page afin d’ouvrir la page Rule Details (Détails de la règle).
   Remarque :si vous souhaitez que PhishER génère automatiquement une règle en fonction d’une description de vos besoins, consultez la section Création de règles à l’aide du générateur de règles YARA.

   

4. Dans le champ Name (Nom), saisissez un nom unique pour votre règle. Nous vous recommandons de saisir un nom qui décrit brièvement la fonction de la règle. Ce nom ne peut pas commencer par une valeur numérique, dépasser 64 caractères ni inclure l’un des mots-clés répertoriés dans la documentation sur l’écriture des règles YARA (en anglais).
5. (Facultatif) Saisissez une description de votre règle dans le champ Description. Une bonne pratique consisterait à saisir une description de la fonction souhaitée de cette règle. La description ne peut pas dépasser 64 caractères.
6. Dans la section Edit Tags : (Éditer des tags :), ajoutez un tag personnalisé que vous souhaiteriez voir associé à un message si celui-ci correspond à cette règle spécifique. Pour ajouter un tag, cliquez sur Add new tag (Ajouter un nouveau tag) et saisissez un nom pour celui-ci. Ensuite, cliquez à l’extérieur du champ Add new tag (Ajouter un nouveau tag) pour créer le tag.
7. Dans le menu déroulant Choose target : (Choisir la cible :), sélectionnez la partie du message sur laquelle vous souhaitez appliquer ou exécuter la règle. Les cibles sélectionnables sont Raw (Brut), Headers (En-têtes), Body (Corps) ou Attachments (Pièces jointes). Par défaut, Raw (Brut) sera sélectionné.
8. Dans la section Yara Rule Editor (Éditeur de règles Yara), saisissez votre règle en utilisant le Basic Editor (Éditeur de base) ou l’Advanced Editor (Éditeur avancé). Pour en savoir plus, consultez les sous-sections ci-après.

Création de règles à l’aide du Basic Editor (Éditeur de base)

L’Éditeur de base vous permet de créer une règle personnalisée sans avoir à saisir l’intégralité de la logique des règles YARA. Vous pouvez saisir des valeurs pour les chaînes et sélectionner les conditions de votre règle. L’Éditeur de base traitera alors votre entrée pour créer la logique de votre règle. Pour découvrir comment créer une règle en utilisant l’onglet Basic Editor (Éditeur de base), consultez la capture d’écran et la liste ci-dessous :

1. Basic Editor (Éditeur de base) : sélectionnez cet onglet pour afficher les options que vous pouvez utiliser afin de créer une règle.
2. Create Strings (Créer des chaînes) : créez et définissez des chaînes à utiliser lors de la création de vos conditions. Pour en savoir plus, consultez notre article Comment créer des chaînes et des conditions dans le Basic Editor (Éditeur de base) ?
3. New String (Nouvelle chaîne) : cliquez sur ce bouton pour ajouter une chaîne à la règle. Vous pouvez créer jusqu’à cinq chaînes par règle.
4. Create Conditions (Créer des conditions) : créez des conditions en sélectionnant la façon dont les chaînes que vous avez définies doivent être associées. Les conditions vous permettent de spécifier les messages qui seront affectés par votre règle. Pour en savoir plus, consultez notre article Comment créer des chaînes et des conditions dans le Basic Editor (Éditeur de base) ? Vous pouvez faire votre choix parmi les options suivantes :
   • Match any of the defined strings (Correspondance avec n’importe laquelle des chaînes définies) : sélectionnez cette option pour détecter les messages correspondant à l’une de vos chaînes définies.
   • Match all of the defined strings (Correspondance avec toutes les chaînes définies) : sélectionnez cette option pour détecter les messages correspondant à toutes vos chaînes définies.
   • Custom Conditions (Conditions personnalisées) : sélectionnez cette option pour détecter les messages correspondant à vos conditions personnalisées.
5. New Condition Group (Nouveau groupe de conditions) : si l’option Custom conditions (Conditions personnalisées) est sélectionnée, vous pouvez cliquer sur ce bouton pour créer des conditions personnalisées auxquelles les messages doivent correspondre pour être affectés par la règle.
6. Save Rule (Enregistrer la règle) : cliquez sur ce bouton pour enregistrer votre règle. Votre règle s’affichera sur la page Rules List (Liste des règles), dans le sous-onglet Custom Rules (Règles personnalisées). Une fois votre règle enregistrée, vous pouvez l’activer grâce au commutateur situé dans la colonne Status (Statut) de la règle. Puis, cliquez sur le bouton Apply Changes (Appliquer les modifications) dans le coin supérieur droit de la page.

   

7. Apply Rule to Inbox (Appliquer la règle à la boîte de réception) : cliquez sur ce bouton pour exécuter votre règle sur tous les messages de votre boîte de réception. Pour que cette option soit disponible, il est nécessaire qu’au moins un message corresponde à vos critères définis pour la règle et l’aperçu de règle.

Création de règles à l’aide de l’Advanced Editor (Éditeur avancé)

L’Advanced Editor (Éditeur avancé) vous permet d’écrire la logique de votre règle YARA sans indications. Si vous éditez une règle à l’aide de l’Advanced Editor (Éditeur avancé), le Basic Editor (Éditeur de base) sera désactivé pour celle-ci. Pour en savoir plus sur l’écriture de règles à l’aide de la logique de règles YARA, consultez notre article Comment écrire des règles YARA. Pour savoir comment créer une règle en utilisant l’onglet Advanced Editor (Éditeur avancé), consultez la capture d’écran et la liste ci-dessous :

1. Advanced Editor (Éditeur avancé) : sélectionnez cet onglet pour afficher la section de bloc de code où vous pourrez écrire une règle à l’aide de la logique de règles YARA.
2. Save Rule (Enregistrer la règle) : cliquez sur ce bouton pour enregistrer votre règle. Votre règle s’affichera sur la page Rules List (Liste des règles), dans le sous-onglet Custom Rules (Règles personnalisées). Une fois votre règle enregistrée, vous pouvez l’activer grâce au commutateur situé dans la colonne Status (Statut) de la règle. Puis, cliquez sur le bouton Apply Changes (Appliquer les modifications) dans le coin supérieur droit de la page.

   

3. Apply Rule to Inbox (Appliquer la règle à la boîte de réception) : cliquez sur ce bouton pour exécuter votre règle sur tous les messages de la boîte de réception. Pour que cette option soit disponible, il est nécessaire qu’au moins un message corresponde à vos critères définis pour la règle et l’aperçu de règle.

Création de règles à l’aide du générateur de règles YARA

Le générateur de règles YARA vous permet de créer une règle personnalisée en décrivant ce que vous souhaitez que la règle fasse. Vous pouvez saisir les critères de détection de votre règle. Le générateur de règles YARA traitera votre entrée pour créer la logique de votre règle. Pour savoir comment créer une règle à l’aide de l’onglet YARA Rule Generator (Générateur de règles YARA), procédez comme suit :

Pour créer une règle, procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New AI Rule (Nouvelle règle IA) dans l’angle supérieur droit de la page afin d’ouvrir la page Rule Details (Détails de la règle).

   

4. Dans le champ Describe your detection requirements (Décrivez vos exigences en matière de détection), saisissez une description de la règle que vous souhaitez créer.

   

5. Cliquez sur Generate Rule (Générer la règle). Le générateur de règles YARA convertira vos exigences en matière de détection en une règle PhishER avec un nom, une description, un tag et une syntaxe YARA complète.

   

6. Vous pouvez modifier la règle générée selon vos besoins. Puis, cliquez alors sur Save Rule (Enregistrer la règle) pour sauvegarder votre règle.

Aperçu des règles

Avant d’enregistrer une nouvelle règle, nous vous recommandons d’afficher un aperçu de la façon dont celle-ci affectera vos messages PhishER. Pour afficher l’aperçu d’une règle, procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Cliquez sur le bouton New Rule (Nouvelle règle) dans l’angle supérieur droit de la page, ou sélectionnez une règle sur la page Rules List (Liste des règles). Lorsque vous cliquez sur le bouton New Rule (Nouvelle règle), la page Rule Details (Détails de la règle) s’ouvre.
4. Écrivez ou modifiez votre règle YARA à l’aide de la section YARA Rule Editor (Éditeur de règles YARA).
5. Avant d’enregistrer votre règle, cliquez sur le bouton Run Preview (Exécuter l’aperçu). Une liste affichera l’ensemble des messages de votre boîte de réception correspondant à votre règle.
   Remarque : lorsque vous exécutez l’aperçu d’une règle, PhishER ne vérifie que les 1 000 derniers messages. Si un message correspondant à la règle ne figure pas dans les 1 000 derniers messages, il ne sera pas inclus dans l’aperçu.
6. Vous pouvez mettre à jour la liste d’aperçu en modifiant les critères suivants :
   • Saved Query (Requête enregistrée) (facultatif) : choisissez une requête enregistrée personnalisée pour vérifier de quelle manière la règle affecte les messages de cette requête.
   • Last 7 days (7 derniers jours) : sélectionnez une plage de dates pour les messages auxquels vous souhaitez appliquer l’aperçu. Les options disponibles sont Last 24 hours (Dernières 24 heures), Last 7 days (7 derniers jours) et Last 30 days (30 derniers jours) : par défaut, l’option Last 7 days (7 derniers jours) sera sélectionnée.
   • Matched Messages (Messages correspondants) : si vous affichez l’aperçu d’une règle, des options supplémentaires s’afficheront pour filtrer les messages dans la liste d’aperçu.
   • Matched Messages (Messages correspondants) (par défaut) : sélectionnez cette option pour afficher uniquement les messages de votre boîte de réception PhishER qui correspondent à la condition de la règle.
   • Unmatched Messages (Messages sans correspondance) : sélectionnez cette option pour afficher uniquement les messages de votre Inbox (Boîte de réception) PhishER qui ne correspondent pas à la condition de la règle.
   • All Messages (Tous les messages) : sélectionnez cette option pour afficher tous les messages de votre boîte de réception PhishER. La colonne Matched (Avec correspondance) indique si le message présente une correspondance (vrai) ou non (faux) avec la règle.

     

     Remarque : si vous souhaitez ouvrir un message affiché dans la liste d’aperçu, nous vous recommandons de le faire dans un nouvel onglet pour éviter de perdre votre nouvelle règle.
   • (Facultatif) Si vous souhaitez exécuter cette règle sur l’ensemble des messages de la liste d’aperçu, cliquez sur le bouton Apply Rule to Current Matches (Appliquer la règle aux correspondances actuelles).

     

Édition des règles

Pour modifier une règle personnalisée, cliquez sur le champ Name (Nom) ou Description de la règle dans la page Rules List (Liste des règles) pour ouvrir la page Rule Details (Détails de la règle). Si vous souhaitez modifier une règle système, créez une nouvelle règle personnalisée. Ensuite, copiez et collez la logique de la règle système dans le YARA Rule Editor (Éditeur de règles YARA) de la règle personnalisée. Pour en savoir plus sur les règles système, consultez la section Utilisation des règles système de cet article.

Utilisation de variables globales

Dans le sous-onglet Global Variables (Variables globales) de la page Rules List (Liste des règles), vous pouvez créer des variables globales ou afficher celles que vous avez créées. Si vous utilisez plusieurs règles avec les mêmes chaînes, vous pouvez utiliser des variables globales pour mettre à jour toutes ces chaînes en même temps.

Vous pouvez inclure des variables globales dans des règles en utilisant le Basic Editor (Éditeur de base) ou l’Advanced Editor (Éditeur avancé) afin de créer des chaînes contenant des variables globales. Si vous modifiez une variable globale, la règle sera automatiquement mise à jour dans toutes les règles incluant cette même variable.

Pour créer une variable globale, procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Dans la barre latérale gauche de la page, sélectionnez l’onglet Rules (Règles) pour ouvrir la page Rules List (Liste des règles).
3. Accédez au sous-onglet Global Variables (Variables globales).

   

4. Cliquez sur le bouton New Variable (Nouvelle variable) dans le coin supérieur droit de la page. Lorsque vous cliquez sur ce bouton, la page Create Global Variable (Créer une variable globale) s’ouvre.
5. Dans le champ Name (Nom), saisissez un nom pour la variable globale.

   

6. Dans le champ Value (Valeur), saisissez une valeur pour la variable globale.
   Remarque :les variables globales doivent satisfaire les mêmes exigences que celles qui s’appliquent aux autres variables et chaînes. La valeur ne peut pas commencer par une valeur numérique, dépasser 255 caractères ni être l’un des mots-clés répertoriés dans la documentation sur l’écriture des règles YARA (en anglais).
7. Cliquez sur Save (Enregistrer) pour enregistrer votre variable globale. La variable globale s’affiche sur la page Rules List (Liste des règles) du sous-onglet Global Variables (Variables globales).

Sur la page Rules List (Liste des règles), vous pouvez consulter les informations relatives à la variable globale, comme par exemple la date de sa création et de sa dernière mise à jour. Vous pouvez également modifier la valeur d’une variable globale en cliquant sur son nom afin d’ouvrir l’écran Edit Global Variable (Modifier la variable globale). Le nom d’une variable globale existante ne peut pas être modifié. Si vous souhaitez supprimer une variable globale, cliquez sur l’icône en forme de corbeille.

Pour découvrir comment créer une règle à l’aide des variables globales, consultez notre article Comment créer des chaînes et des conditions dans le YARA Rule Basic Editor (Éditeur de base de règles YARA).

Utilisation des règles système

Votre console PhishER propose des règles système pour vous aider à classer et étiqueter les messages. À partir du sous-onglet System Rules (Règles système) sur la page Rules List (Liste de règles), vous pouvez activer ces règles pour votre console PhishER. Par défaut, les règles système sont désactivées.

Pour en savoir plus sur les règles système, consultez la capture d’écran et la liste ci-dessous :

Tags du décodeur de code QR

Le décodeur de code QR est une fonctionnalité de PhishER qui fonctionne en arrière-plan de votre console pour analyser automatiquement les codes QR contenus dans les e-mails signalés. Lorsque le décodeur de code QR détecte un code QR dans le corps d’un message, il extrait l’URL intégrée dans le code QR et attribue un tag au message. L’URL extraite sera répertoriée dans l’onglet Domains and URLs (Domaines et URL) sur la page Message Details (Détails du message) de votre boîte de réception PhishER. Pour en savoir plus sur les tags du décodeur de code QR, consultez la liste ci-dessous :

Affichage de la liste des règles

La Rules List (Liste des règles) affiche l’ensemble de vos règles et variables globales. Pour en savoir plus sur la page Rules List (Liste des règles), consultez la capture d’écran et la liste ci-dessous.

1. Name (Nom) : cette colonne affiche le nom attribué à la règle.
2. Description : cette colonne présente une description de la règle.
3. Rule Target (Cible de la règle) : cette colonne affiche la partie d’un message à laquelle s’applique la règle. Par exemple, la cible de la règle peut être l’en-tête de l’e-mail.
4. Status (Statut) : cette colonne présente l’état actuel de la règle. Une règle peut être activée ou désactivée. Pour modifier le statut d’une règle, cliquez sur l’interrupteur.
   Remarque :dans le cas d’une règle à appliquer aux messages de votre boîte de réception PhishER, la règle doit être activée.
5. Updated at (Mise à jour) : cette colonne indique la date et l’heure auxquelles la règle a été mise à jour pour la dernière fois.
6. Matched Count (Nombre de correspondances) : cette colonne affiche le nombre de correspondances entre la règle et un message dans votre boîte de réception PhishER.
7. Tags : cette colonne affiche l’ensemble des tags associés à un message. Les tags seront uniquement associés à un message si celui-ci présente une correspondance avec la règle.
8. Filter by Status (Filtrer par statut) : cliquez sur ce menu déroulant pour sélectionner une vue filtrée de vos règles activées ou désactivées.