Dalla scheda secondaria Threat Intel delle impostazioni PhishER, puoi configurare la funzione Threat Intel per la tua console PhishER. Threat Intel è basato sull’integrazione Webroot con PhishER Plus. Il servizio BrightCloud Web Classification & Web Reputation di Webroot utilizza l’intelligenza basata sul machine learning per analizzare URL e rilevare contenuti pericolosi. Questa integrazione utilizza l’API Webroot per consentire a PhishER di inviare URL da analizzare, estrarre dati dai rapporti ed eseguire query di ricerca evolute.

Dopo la scansione di un URL da parte di Threat Intel, sarà disponibile un rapporto di analisi della minaccia nella scheda secondaria Domains & URLs (Domini e URL) nella pagina Message Details (Dettagli messaggio) della tua console PhishER. Per maggiori informazioni, consulta la Guida all’Inbox di PhishER.

Configurare l’integrazione

Per configurare l’integrazione, compila i campi della scheda secondaria Threat Intel nelle Impostazioni di PhishER. Per ulteriori informazioni, guarda la schermata e leggi l’elenco in basso:

1. Threat Intel Disabled (Threat Intel disabilitato) o Threat Intel Enabled (Threat Intel disabilitato): usa questa opzione di attivazione/disattivazione per disabilitare o abilitare l’integrazione.
2. (Facoltativo) Automatic Scanning Settings (Impostazioni scansione automatica): in questa sezione puoi configurare le impostazioni che consentono a Threat Intel di scansionare automaticamente parti di un messaggio. Per informazioni su queste opzioni, consulta l’elenco seguente:
   • Automatically Scan All URLs (Scansiona automaticamente tutti gli URL): se selezioni questa casella di controllo, tutti gli URL presenti nella casella di posta in arrivo di PhishER saranno inviati a Threat Intel.
3. Update Threat Intel Settings (Impostazioni aggiorna Threat Intel): fai clic su questo pulsante se desideri salvare le modifiche eseguite alle impostazioni dell’integrazione in questa sezione.
4.  (Facoltativo) Automatic Scanning Timeout (Timeout scansione automatica): Il campo Timeout if no response in seconds (Timeout se nessuna risposta in secondi) visualizza il periodo di timeout personalizzato per i risultati di scansione Threat Intel. Se Threat Intel non restituisce i risultati della scansione entro questo periodo di timeout, al messaggio corrispondente verrà applicato un tag TI_BYPASSED. Per impostazione predefinita, il periodo di timeout è di 120 secondi. Per maggiori informazioni sui tag che possono essere applicati al messaggio, consulta la sezione Tag di Threat Intel di questo articolo. 
5. (Facoltativo) Ignored Domains (Domini ignorati): questa sezione visualizza i domini che desideri che Threat Intel ignori quando esegue una scansione.
6. Update Shared Settings (Aggiorna impostazioni condivise): se desideri aggiornare il periodo di timeout personalizzato o i domini ignorati per le integrazioni, fai clic su questo pulsante per aprire la finestra pop-up Shared Integrations Settings (Impostazioni integrazioni condivise). Nella finestra pop-up, puoi inserire un numero di secondi nel campo Timeout if no response in seconds (Timeout se nessuna risposta in secondi) per impostare un periodo di timeout personalizzato per i risultati di scansione Threat Intel. Nel campo Ignored Domains (Domini ignorati), puoi inserire i domini che desideri che Threat Intel ignori quando esegue una scansione. Inserisci ogni dominio come una nuova riga nella casella di testo. Eventuali sottodomini di un dominio aggiunto a questo elenco saranno anch’essi esclusi. Tuttavia, se aggiungi all’elenco un sottodominio, il relativo dominio non sarà escluso. I caratteri jolly (*) e gli URI (Uniform Resource Identifier) non sono supportati. 
   Importante: per maggiori informazioni sui domini KnowBe4 che non devono essere inviati come link a Threat Intel, consulta la sezione Escludere i domini KnowBe4 dalle scansioni di questo articolo.

Scansione con Threat Intel

Una volta integrato l’account Threat Intel nella tua console PhishER, puoi eseguire una scansione Threat Intel su domini e URL. Per eseguire una scansione Threat Intel su un dominio o URL specifico, fai clic su Scan (Scansiona) nella pagina Message Details (Dettagli messaggio).

Quando esegui una scansione Threat Intel su un dominio o un URL, il completamento di tale scansione può richiedere fino a 15 minuti. Quando la scansione è completa, i risultati dell’analisi saranno visualizzati nella pagina Message Details (Dettagli messaggio) della tua console PhishER. Per visualizzare i risultati fai clic su Click to View Scan Results (Fai clic per visualizzare i risultati della scansione). Per maggiori informazioni, consulta la sezione Visualizzazione dei dettagli di un messaggio della nostra Guida all’Inbox di PhishER.

Escludere i domini KnowBe4 dalle scansioni

KnowBe4 utilizza diversi domini che non dovrebbero essere inviati come link a Threat Intel. Puoi inserire questi domini ignorati nella sezione Shared Integrations Settings (Impostazioni integrazioni condivise) nella scheda secondaria Threat Intel delle tue impostazioni PhishER. Per cercare ed escludere i domini, effettua le seguenti operazioni:

1. Accedi alla console KSAT.
2. Accedi alla scheda Phishing (Phishing) e seleziona la scheda secondaria Domains (Domini). Questa scheda secondaria mostra un elenco di domini link di phishing root. Per maggiori informazioni, leggi il nostro articolo Gestire i domini dei link di phishing.
   Nota: se non hai accesso a questa scheda secondaria, puoi contattare il nostro team di assistenza per ottenere un elenco dei domini link di phishing.
3. In un browser o una scheda separati, accedi alla tua console PhishER.
4. Vai su Settings (Impostazioni) > Threat Intel.
5. Nella sezione Shared Integrations Settings (Impostazioni integrazioni condivise) fai clic su Update Shared Settings (Aggiorna impostazioni condivise).
6. Nel campo Ignored Domains (Domini ignorati), inserisci i domini root dalla tua console KSAT.
7. Fai clic su Update Shared Settings (Aggiorna impostazioni condivise).
8. Se utilizzi più di un’istanza della console KSAT, ripeti i passaggi 1-7 per escludere i domini root da tutte le tue istanze. Per maggiori informazioni sulle istanze KSAT, leggi il nostro articolo Istanze di formazione di KnowBe4.

Tag Threat Intel

In base ai risultati della scansione, Threat Intel applicherà uno o più tag ai tuoi messaggi. Per maggiori informazioni sui tag Threat Intel, consulta l’elenco seguente:

1. TI_BYPASSED: questo tag viene allegato al messaggio quando la scansione di Threat Intel viene interrotta. Questo tag viene comunemente allegato ad altri tag di Threat Intel. Puoi impostare un timeout personalizzato nelle Impostazioni integrazioni condivise di Threat Intel.
   Nota: se si verifica un timeout di Threat Intel, PhishER aspetterà comunque il ritorno dei risultati di Threat Intel. Tuttavia, le azioni automatiche non verranno eseguite contro l’elemento mentre Threat Intel lo scansiona.
2. TI_ERROR: questo tag è allegato al tuo messaggio quando i risultati della scansione Threat Intel contengono errori di elaborazione o quando Threat Intel non è in grado di eseguire la scansione di un dominio o un URL.
3. TI_HIGH_RISK: questo tag è allegato al tuo messaggio quando una scansione Threat Intel determina che è stata rilevata una minaccia e i domini o gli URL sottoposti a scansione sono a rischio elevato.
4. TI_IGNORED: questo tag viene allegato al tuo messaggio quando in un messaggio vengono rilevati URL o domini presenti nel tuo elenco Ignored Domains (Domini ignorati).
5. TI_LOW_RISK: questo tag è allegato al tuo messaggio quando una scansione Threat Intel determina che non è stata rilevata una minaccia ma i domini o gli URL sottoposti a scansione sono a rischio basso.
6. TI_MODERATE_RISK: questo tag è allegato al tuo messaggio quando una scansione Threat Intel determina che è stata rilevata una possibile minaccia e i domini o gli URL sottoposti a scansione sono a rischio moderato.
7. TI_NOT_FOUND: questo tag è allegato al tuo messaggio quando una scansione Threat Intel non restituisce una corrispondenza per i domini o gli URL sottoposti a scansione.
8. TI_PENDING: questo tag viene allegato al tuo messaggio quando una scansione Threat Intel viene messa in coda. Il tag verrà rimosso al termine della scansione.
9. TI_SCANNED: questo tag è allegato al tuo messaggio quando una scansione Threat Intel determina che non è stata rilevata una minaccia nei domini o negli URL sottoposti a scansione.
10. TI_SUSPICIOUS: questo tag è allegato al tuo messaggio quando una scansione Threat Intel determina che i domini o gli URL sottoposti a scansione sono sospetti.