Catégorisation des e-mails

Partager

Cet article est-il utile ?

Dernière mise à jour :

Guide relatif à PhishML

Vous pouvez utiliser PhishML dans votre plateforme PhishER pour classer les messages et hiérarchiser les menaces par e-mail provenant de la boîte de réception de vos utilisateurs. PhishML est une fonctionnalité d’apprentissage automatique qui analyse les messages présents dans la boîte de réception de PhishER afin d’identifier chaque message comme sûr, courrier indésirable ou menace selon un pourcentage de certitude, appelé « valeur de confiance », déterminé par l’outil.

Vous pouvez définir dans PhishML des seuils pour les valeurs de confiance d’un message à partir desquels celui-ci sera automatiquement éliminé. Ensuite, vous pouvez créer des actions pour automatiser le traitement et la hiérarchisation des messages dans votre boîte de réception PhishER en fonction des tags PhishML.

PhishML apprend en permanence et améliore sa précision en fonction des formulations utilisées dans le contenu des e-mails signalés. PhishML apprend uniquement grâce aux e-mails d’hameçonnage signalés qui sont envoyés à KnowBe4 lorsque vous activez le paramètre Nous envoyer une copie dans la section Phish Alert des Paramètres de votre compte KSAT. Après avoir extrait le texte et ignoré le contenu intégré dans les messages, PhishML compare les formulations aux modèles observés dans d’autres messages analysés dans PhishER.

Activation de PhishML

Pour activer PhishML pour votre plateforme PhishER, procédez comme suit :

  1. Connectez-vous à votre plateforme PhishER.
  2. Accédez à Settings (Paramètres) > PhishML.
  3. Activez le commutateur Enable PhishML (Activer PhishML).
    Remarque :lorsque vous activez PhishML pour la première fois, une boîte de dialogue présentant les Conditions générales s’affiche. Vous devez prendre connaissance et accepter la Politique de confidentialité et les Conditions générales d’utilisation de KnowBe4 avant de pouvoir utiliser PhishML. Une fois que vous avez examiné ces deux éléments, cliquez sur I Accept (J’accepte).
  4. Cochez la case en regard de chaque catégorie pour laquelle vous souhaitez que PhishML établisse une valeur de confiance lors de l’analyse d’un message.
  5. (Facultatif) Pour personnaliser une valeur de seuil pour chaque catégorie, cliquez sur le curseur interactif et faites-le glisser vers la droite ou vers la gauche. Pour en savoir plus, consultez la section Définition de valeurs et de seuils de confiance ci-dessous.
  6. Cliquez sur Save (Enregistrer) pour mettre à jour vos paramètres PhishML.

Définition de valeurs et de seuils de confiance

PhishML établit trois valeurs de confiance pour chaque message qu’il analyse. Ces valeurs de confiance correspondent au pourcentage de certitude de l’identification d’un message comme étant sûr, un courrier indésirable ou une menace. Pour afficher les valeurs de confiance d’un message, accédez au sous-onglet Actions de la barre latérale dans la page Message Details (Détails du message).

Un seuil de confiance correspond au pourcentage de certitude minimal que PhishML doit atteindre ou dépasser pour marquer un message comme sûr, courrier indésirable ou menace. La fonctionnalité du seuil de confiance doit être activée pour que PhishML associe des tags aux messages éligibles. Pour activer ou désactiver les seuils de confiance, accédez aux Settings (Paramètres) de PhishER. Lorsque vous avez activé un seuil de confiance, cliquez sur le curseur situé en regard de celui-ci et faites-le glisser pour définir une valeur personnalisée. Chaque seuil de confiance peut être défini sur une valeur comprise entre 51 et 100. Par défaut, la valeur de chaque seuil de confiance est définie sur 95.

Nous vous recommandons de définir le seuil de confiance sur une valeur inférieure à 80 si vous souhaitez augmenter le nombre de messages étiquetés automatiquement par PhishML comme étant des messages sûrs, du courrier indésirable ou une menace. Nous vous suggérons de définir un seuil de confiance inférieur pour que PhishML identifie les messages qui relèvent du courrier indésirable ou représentent une menace. Ce réglage permet aux administrateurs de PhishER de traiter ou d’éliminer rapidement les messages sûrs et de donner la priorité aux messages qui nécessitent une analyse plus approfondie.

Nous vous recommandons de définir le seuil de confiance sur une valeur supérieure à 85 si vous souhaitez diminuer le nombre de messages étiquetés par PhishML comme étant des messages sûrs, du courrier indésirable ou une menace. Nous vous suggérons de définir un seuil plus élevé pour que PhishML identifie les messages sûrs. Ce réglage permet aux administrateurs de PhishER de traiter en priorité les messages nécessitant une analyse plus approfondie.

Remarque :pour déterminer des valeurs de confiance, PhishML se base uniquement sur l’analyse du contenu du message, PhishML n’inspecte pas les URL, les pièces jointes ou les images. Si vous avez intégré un compte VirusTotal à PhishER, vous pouvez utiliser VirusTotal pour analyser les URL et les pièces jointes. L’utilisation combinée de PhishML et de VirusTotal vous permet d’obtenir une meilleure analyse et un meilleur classement des messages.

Tags de PhishML

Après analyse de chacun de vos messages, PhishML leur associe un tag. Pour connaître le tag que PhishML a associé à un message, accédez au sous-onglet Actions de la barre latérale dans la page Message Details (Détails du message). Vous pouvez également ajouter ou supprimer des tags. Pour en savoir plus sur les tags de PhishML, consultez la liste ci-dessous :

  • PML:CLEAN : ce tag est associé à un message quand PhishML détermine qu’il est sûr en se basant sur le seuil de confiance que vous avez défini.
  • PML:SPAM : ce tag est associé à un message quand PhishML détermine qu’il s’agit de courrier indésirable en se basant sur le seuil de confiance que vous avez défini.
  • PML:THREAT : ce tag est associé à un message quand PhishML détermine que c’est une menace en se basant sur le seuil de confiance que vous avez défini.
  • PML:BYPASSED : ce tag est associé à un message quand PhishML ne répond pas dans les délais impartis. Vous pouvez faire une nouvelle tentative en exécutant à nouveau les règles et les actions pour ce message. Si l’exécution de PhishML réussit, le tag approprié sera associé à ce message.
Remarque : si vous disposez d’un abonnement à PhishER Plus, vous pouvez utiliser PhishML Insights pour savoir comment PhishML détermine la catégorisation d’un message. Pour en savoir plus, consultez notre Guide sur PhishML Insights.

Création d’actions recommandées avec les tags PhishML

Une fois la configuration de PhishML terminée, nous vous recommandons de définir trois actions s’appuyant sur les tags de PhishML pour aider votre organisation à identifier et traiter rapidement les e-mails de menace. Consultez les sous-sections ci-dessous pour en savoir plus sur les paramètres à appliquer pour chaque action recommandée.

PML:THREAT (Messages à priorité élevée)

Créez cette action pour aider votre organisation à identifier les messages potentiellement malveillants pouvant nécessiter une analyse approfondie et à les traiter en priorité. Pour créer cette action, définissez les étapes 1, 2 et 3 selon les paramètres suivants :

  1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : nous vous recommandons de sélectionner l’option Specify Tags (Tags spécifiques), sélectionnez ensuite Has Any (A n’importe laquelle des valeurs) et de saisir « PML:THREAT » tel que s’écrit le tag.
  2. Choose the action to be taken on matched messages (Choisir l’action à effectuer sur les messages avec correspondance) : nous vous recommandons de sélectionner les options Set Status (Définir le statut), Set Priority (Définir la priorité) et Set Category (Définir la catégorie). définissez ensuite les paramètres suivants dans les menus déroulants respectifs :
    • Set Status (Définir le statut) : sélectionnez In Review (En cours d’examen).
    • Set Priority (Définir la priorité) : sélectionnez Critical (Critique).
    • Set Category (Définir la catégorie) : sélectionnez Threat (Menace).
  3. Choose how you would like to report this action (Choisir la façon dont cette action doit être signalée) : nous vous recommandons de choisir une des options suivantes :
    • Create a custom email response that will automatically send to selected recipients (Créer un e-mail de réponse personnalisé qui sera envoyé automatiquement aux destinataires sélectionnés). Pour en savoir plus sur cette option, consultez la section « Création d’un e-mail personnalisé pour votre action PhishML » de cet article.
    • Create a QuickAction that sends an automated response to selected recipients when you run the QuickAction manually (Créer une QuickAction pour envoyer une réponse automatique aux destinataires sélectionnés lorsque la QuickAction est exécutée manuellement). Pour en savoir plus sur cette option, consultez la section « Création d’une QuickAction pour votre action PhishML » de cet article.

Lorsque ces paramètres ont été sélectionnés, vous pouvez configurer les paramètres restants pour cette action. Pour savoir quelles sont les recommandations pour le réglage des autres paramètres, consultez les sections « Création d’un e-mail personnalisé pour votre action PhishML » et « Création d’une QuickAction pour votre action PhishML » ci-dessous. Pour obtenir des informations générales sur les paramètres restants, consultez notre article Comment créer des actions PhishER et les gérer.

PML:CLEAN (Messages à priorité moyenne)

Créez cette action pour aider votre organisation à identifier les messages considérés comme sûrs et à les traiter en priorité. Pour créer cette action, définissez les étapes 1, 2 et 3 selon les paramètres suivants :

  1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : nous vous recommandons de sélectionner l’option Specify Tags (Tags spécifiques), puis de sélectionner Has Any (A n’importe laquelle des valeurs) et de saisir « PML:CLEAN » tel que s’écrit le tag.
  2. Choose the action to be taken on matched messages (Choisir l’action à effectuer sur les messages avec correspondance) : nous vous recommandons de sélectionner les options Set Status (Définir le statut), Set Priority (Définir la priorité) et Set Category (Définir la catégorie). définissez ensuite les paramètres suivants dans les menus déroulants respectifs :
    • Set Status (Définir le statut) : sélectionnez Resolved (Résolu).
    • Set Priority (Définir la priorité) : sélectionnez Medium (Moyenne).
    • Set Category (Définir la catégorie) : sélectionnez Clean (Sûr)
  3. Choose how you would like to report this action (Choisir la façon dont cette action doit être signalée) : nous vous recommandons de choisir une des options suivantes :
    • Create a custom email response that will automatically send to selected recipients (Créer un e-mail de réponse personnalisé qui sera envoyé automatiquement aux destinataires sélectionnés). Pour en savoir plus sur cette option, consultez la section « Création d’un e-mail personnalisé pour votre action PhishML » de cet article.
    • Create a QuickAction that sends an automated response to selected recipients when you run the QuickAction manually (Créer une QuickAction pour envoyer une réponse automatique aux destinataires sélectionnés lorsque la QuickAction est exécutée manuellement). Pour en savoir plus sur cette option, consultez la section « Création d’une QuickAction pour votre action PhishML » de cet article.

Lorsque ces paramètres ont été sélectionnés, vous pouvez configurer les paramètres restants pour cette action. Pour savoir quelles sont les recommandations pour le réglage des autres paramètres, consultez les sections « Création d’un e-mail personnalisé pour votre action PhishML » et « Création d’une QuickAction pour votre action PhishML » ci-dessous. Pour obtenir des informations générales sur les paramètres restants, consultez notre article Comment créer des actions PhishER et les gérer.

PML:SPAM (Messages à priorité faible)

Créez cette action pour aider votre organisation à identifier les messages identifiés comme non sollicités, mais peu susceptibles d’être malveillants et à les traiter en priorité. Pour créer cette action, définissez les étapes 1, 2 et 3 selon les paramètres suivants :

  1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : nous vous recommandons de sélectionner l’option Specify Tags (Tags spécifiques), puis de sélectionner Has Any (A n’importe laquelle des valeurs) et de saisir « PML:SPAM » tel que s’écrit le tag.
  2. Choose the action to be taken on matched messages (Choisir l’action à effectuer sur les messages avec correspondance) : nous vous recommandons de sélectionner les options Set Status (Définir le statut), Set Priority (Définir la priorité) et Set Category (Définir la catégorie). définissez ensuite les paramètres suivants dans les menus déroulants respectifs :
    • Set Status (Définir le statut) : sélectionnez Resolved (Résolu).
    • Set Priority (Définir la priorité) : sélectionnez Low (Faible).
    • Set Category (Définir la catégorie) : sélectionnez Spam (Courrier indésirable).
  3. Choose how you would like to report this action (Choisir la façon dont cette action doit être signalée) : nous vous recommandons de choisir une des options suivantes :
    • Create a custom email response that will automatically send to selected recipients (Créer un e-mail de réponse personnalisé qui sera envoyé automatiquement aux destinataires sélectionnés). Pour en savoir plus sur cette option, consultez la section « Création d’un e-mail personnalisé pour votre action PhishML » de cet article.
    • Create a QuickAction that sends an automated response to selected recipients when you run the QuickAction manually (Créer une QuickAction pour envoyer une réponse automatique aux destinataires sélectionnés lorsque la QuickAction est exécutée manuellement). Pour en savoir plus sur cette option, consultez la section « Création d’une QuickAction pour votre action PhishML » de cet article.

Lorsque ces paramètres ont été sélectionnés, vous pouvez configurer les paramètres restants pour cette action. Pour savoir quelles sont les recommandations pour le réglage des autres paramètres, consultez les sections Création d’un e-mail personnalisé pour votre action PhishML et Création d’une QuickAction pour votre action PhishML ci-dessous. Pour obtenir des informations générales sur les paramètres restants, consultez notre article Comment créer des actions PhishER et les gérer.

Création d’un e-mail personnalisé pour votre action PhishML

Pour envoyer automatiquement une notification lorsque vous exécutez une action, créez un e-mail de réponse personnalisé que PhishER adressera aux destinataires sélectionnés. Pour savoir comment personnaliser cet e-mail, consultez notre article Comment créer un modèle d’e-mail personnalisé dans PhishER.

Pour définir un e-mail de réponse et configurer les paramètres restants pour votre action, définissez les étapes 3, 4, 5 et 6 selon les paramètres suivants :

  1. Choose how you would like to report this action (Choisir la façon dont cette action doit être signalée) : nous vous recommandons de sélectionner Send Email (Envoyer l’e-mail).
  2. (Facultatif) Choose whether or not to halt further actions (Choisir d’interrompre les actions suivantes ou non) : nous vous recommandons de cocher la case Stop executing further actions (Cesser d’exécuter d’autres actions). Si vous sélectionnez cette option, vous pouvez examiner tous les messages contenant le tag PhishML associé à votre action avant que toute autre action ne soit déclenchée.
  3. Choose QuickActions settings (Choisir les paramètres QuickActions) : nous vous recommandons de conserver les paramètres par défaut.
  4. Choose whether or not to permanently delete matching messages (Choisir si les messages avec correspondance doivent être supprimés définitivement ou non) : nous vous recommandons de conserver les paramètres par défaut.

Création d’une QuickAction pour votre action PhishML

Pour signaler manuellement votre action, créez une QuickAction. Il vous suffira de l’exécuter pour qu’un e-mail de réponse soit automatiquement envoyé aux destinataires sélectionnés.

Pour créer une QuickAction et configurer les paramètres restants pour votre action, définissez les étapes 3, 4, 5 et 6 selon les paramètres suivants :

  1. Choose how you would like to report this action (Choisir la façon dont cette action doit être signalée) : nous vous recommandons de sélectionner l’option None (Aucune).
  2. (Facultatif) Choose whether or not to halt further actions (Choisir d’interrompre les actions suivantes ou non) : cochez la case Stop executing further actions (Cesser d’exécuter d’autres actions). Si vous sélectionnez cette option, vous pouvez examiner tous les messages contenant le tag PhishML associé à votre action avant que toute autre action ne soit déclenchée.
  3. Choose QuickActions settings (Choisir les paramètres QuickActions) : nous vous recommandons de conserver les paramètres par défaut.
  4. Choose whether or not to permanently delete matching messages (Choisir si les messages avec correspondance doivent être supprimés définitivement ou non) : nous vous recommandons de conserver les paramètres par défaut.

Lorsque vous avez enregistré votre nouvelle action, créez une QuickAction qui enverra automatiquement un e-mail de réponse lors de son exécution. Pour créer cette QuickAction, définissez les étapes de la nouvelle action selon les paramètres suivants :

  1. Choose how this action should be triggered (Choisir comment cette action doit être déclenchée) : nous vous recommandons de sélectionner Manual Trigger Only (Déclenchement manuel uniquement). Ce paramètre empêche toute exécution automatique de cette action. Vous pouvez l’exécuter manuellement en la sélectionnant dans le menu déroulant Run (Exécuter) ou depuis la barre QuickActions. Reportez-vous à l’étape 5 pour en savoir plus.
  2. Choose the action to be taken on matched messages (Choisir l’action à effectuer sur les messages avec correspondance) : nous vous recommandons de conserver les paramètres par défaut.
  3. Choose how you would like to report this action (Choisir la façon dont cette action doit être signalée) : nous vous recommandons de sélectionner Send Email (Envoyer l’e-mail). Créez un e-mail de réponse personnalisé à l’aide de Modèle d’e-mail. Pour savoir comment personnaliser cet e-mail, consultez notre article Comment créer un modèle d’e-mail personnalisé dans PhishER.
  1. Choose whether or not to halt further actions (Choisir d’interrompre les actions suivantes ou non) : nous vous recommandons de conserver les paramètres par défaut.
  2. Choose QuickActions settings (Choisir les paramètres QuickActions) : nous vous recommandons de cocher la case à gauche de Include this action in the QuickAction bar (Inclure cette action dans la barre QuickAction). L’action sera alors disponible dans la barre QuickActions de votre Inbox (Boîte de réception) dans PhishER et dans le sous-onglet Actions de la page Message Details (Détails du message).
  3. Choose whether or not to permanently delete matching messages (Choisir si les messages avec correspondance doivent être supprimés définitivement ou non) : nous vous recommandons de conserver les paramètres par défaut.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 10 sur 10

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance