PhishER di KnowBe4 è una piattaforma SOAR (Security Orchestration, Automation, and Response) che consente di gestire le e-mail segnalate dagli utenti. Utilizzando PhishER, la tua organizzazione può identificare potenziali minacce e-mail per potenziare le misure di sicurezza e un piano di difesa approfondito.

PhishER è disponibile come piattaforma autonoma, ma funziona meglio se abbinato alla console KSAT. PhishER può anche integrarsi con strumenti di analisi di terze parti come VirusTotal e Syslog per fornire alla tua organizzazione scansioni e valutazioni della sicurezza.

Flusso di lavoro di PhishER

Di seguito è riportato un diagramma del flusso di lavoro di PhishER. Ti consigliamo di rivedere questo flusso di lavoro prima di iniziare, per comprendere meglio PhishER.

Per ulteriori informazioni su questo flusso di lavoro, consulta l’elenco riportato di seguito:

1. Quando gli utenti segnalano e-mail sospette, queste vengono inviate alla Inbox (Posta in arrivo) di PhishER.
2. Utilizzando le regole personalizzate, PhishER analizza i componenti delle e-mail alla ricerca di contenuti dannosi o campanelli d’allarme. Quindi, PhishER assegna dei tag alle e-mail che soddisfano i criteri delle tue regole.
3. I tag attivano PhishER affinché esegua le tue azioni specifiche. In base alle regole e alle azioni personalizzate della tua organizzazione, PhishER classificherà automaticamente ogni e-mail. La classificazione consente di assegnare la priorità alle e-mail segnalate e di rispondere rapidamente ai veri attacchi di phishing.
4. Se hai abilitato la Blocklist di PhishER, puoi utilizzare le informazioni sulle e-mail dannose o di spam per impedire alle e-mail simili di raggiungere la posta in arrivo dei tuoi utenti. Se hai un abbonamento PhishER Plus e hai autorizzato la Global Blocklist (Blocklist globale), puoi utilizzare le informazioni di provenienza pubblica per bloccare e-mail simili.
5. Se hai abilitato PhishRIP, puoi rimuovere e‑mail dannose o di spam analoghe che hanno già raggiunto la posta in arrivo dei tuoi utenti. Se hai un abbonamento PhishER Plus e hai autorizzato la Global PhishRIP (PhishRIP globale), puoi utilizzare le informazioni di provenienza pubblica per eliminare e-mail simili.
6. Se hai abilitato PhishFlip, puoi riutilizzare le e‑mail segnalate per creare modelli e campagne di phishing KSAT. PhishFlip rimuove gli elementi dannosi dalle e‑mail segnalate prima di inviare i test di phishing ai tuoi utenti.

Prerequisiti

Se utilizzi PhishER e KSAT insieme, dovrai acquistare lo stesso numero di postazioni per entrambi i prodotti. Se acquisti delle postazioni aggiuntive per uno dei due prodotti durante il periodo di iscrizione, dovrai acquistare altre postazioni anche per gli altri prodotti.

Tutti i clienti di PhishER dovranno disporre di un sistema di inoltro delle e-mail, affinché le e-mail segnalate di tutti gli utenti possano essere inoltrate alla tua Posta in arrivo PhishER per l’analisi. Ti consigliamo di installare il Phish Alert Button (PAB) per la tua organizzazione, ma hai anche l’opzione di consentire agli utenti di inoltrare manualmente le e-mail a un indirizzo e-mail di segnalazione. Per maggiori informazioni su questi metodi, consulta il nostro Manuale del prodotto Phish Alert Button (PAB) e l’articolo Impostazioni di PhishER.

Creazione del tuo account

Per prima cosa, devi creare un account PhishER.

Per creare il tuo account, effettua le seguenti operazioni:

1. Accedi al tuo account KnowBe4.
2. Fai clic sul tuo nome nell’angolo in alto a destra della pagina. Nel menu a discesa che si apre, seleziona Account Settings (Impostazioni account).
3. Vai su Account Integrations (Integrazioni account) > PhishER.
4. Fai clic sul pulsante Create PhishER Account (Crea account PhishER).

Accesso a PhishER

Una volta creato un account PhishER per la tua organizzazione e quando PhishER è abilitato nel tuo account, il pulsante Go to PhishER (Vai a PhishER) apparirà nella tua pagina Account Settings (Impostazioni account) di KnowBe4. Facendo clic su questo pulsante potrai accedere direttamente alla tua piattaforma PhishER. Oppure puoi accedere alla piattaforma PhishER esplorando l’URL corrispondente per la tua istanza KnowBe4. Per ulteriori informazioni, fai riferimento alla schermata e all’elenco sotto:

• Stati Uniti: https://phisher.knowbe4.com
• Canada: https://ca.phisher.knowbe4.com
• Unione europea: https://eu.phisher.knowbe4.com
• Germania: https://de.phisher.knowbe4.com
• Regno Unito: https://uk.phisher.knowbe4.com

Impostazione degli indirizzi e-mail di segnalazione

Dovrai impostare almeno un indirizzo e-mail di segnalazione per inoltrare le e-mail alla tua Inbox (Posta in arrivo). Se la tua organizzazione utilizza il PAB, dovrai impostare un indirizzo e-mail di segnalazione per ogni istanza PAB.

Per impostare gli indirizzi e-mail di segnalazione, effettua le seguenti operazioni:

1. Accedi al tuo account KnowBe4.
2. Fai clic sul tuo nome nell’angolo in alto a destra della pagina. Nel menu a discesa che si apre, seleziona Account Settings (Impostazioni account).
3. Accedi a Account Integrations (Integrazioni account) > Phish Alert e apri le impostazioni di un’istanza PAB.
4. Nel campo Send Non-Simulated Phishing Emails to (Invia e-mail di phishing non simulate a), inserisci gli indirizzi e-mail di segnalazione. Per maggiori informazioni su questo campo, consulta la sezione Abilitare e configurare il PAB del nostro Manuale del prodotto Phish Alert Button (PAB).
5. Fai clic sul pulsante Save Phish Alert Settings (Salva le impostazioni di Phish Alert).
6. In fondo alla pagina, fai clic sul pulsante Save Changes (Salva le modifiche).

Dashboard

Quando apri la piattaforma PhishER, viene visualizzata la pagina Dashboard. In questa pagina puoi visualizzare una rapida panoramica della tua piattaforma PhishER. La schermata e l’elenco in basso contengono ulteriori informazioni su questa pagina:

1. Cerca: puoi utilizzare questa barra di ricerca per filtrare la tua dashboard utilizzando le query Lucene. La dashboard visualizzerà un riepilogo delle informazioni relative a tutti i messaggi che corrispondono ai criteri.
2. Edit Dashboard Layout (Modifica il layout della dashboard): puoi fare clic su questa icona per aggiungere e rimuovere i widget dalla tua dashboard. Puoi trascinare, rilasciare e ridimensionare ogni widget per creare un layout personalizzato. Quando fai clic su questa icona, vengono visualizzati i pulsanti Reset Dashboard Layout (Ripristina layout della dashboard) e Add Widget (Aggiungi widget).
3. Last 30 days (Ultimi 30 giorni): per impostazione predefinita, la dashboard visualizza i dati e le attività degli ultimi 30 giorni. Puoi tuttavia modificare la visualizzazione della dashboard per visualizzare un intervallo di date diverso facendo clic sul pulsante Last 30 days (Ultimi 30 giorni). Se fai clic su questo pulsante, si apre la finestra pop-up dell’intervallo di date
4. Reported Messages (Messaggi segnalati): questa sezione mostra il numero di messaggi segnalati che sono stati inoltrati alla tua Inbox (Posta in arrivo) PhishER.
5. Automatically Resolved (Risolti automaticamente): questa sezione mostra il numero di messaggi che sono stati classificati in base alle regole e alle azioni abilitate.
6. Manually Resolved (Risolti manualmente): questa sezione mostra il numero di messaggi che sono stati classificati senza le tue regole e azioni attive.
7. Unresolved (Non risolti): questa sezione mostra il numero di messaggi che non sono stati classificati.
8. Received Messages (Messaggi ricevuti): questo grafico a barre mostra il numero di messaggi segnalati inoltrati alla tua Inbox (Posta in arrivo) PhishER. I dati mostrano il numero di messaggi segnalati ogni giorno o ogni ora.
9. Messages Summary (Riepilogo dei messaggi): questo grafico a torta mostra un confronto tra i messaggi negli stati Automatically Resolved (Risolti automaticamente), Manually Resolved (Risolti manualmente) e Pending Review (In attesa di revisione).
10. Reported Messages by Category (Messaggi segnalati per categoria): questo grafico a linee mostra come sono stati classificati i messaggi. I messaggi possono essere classificati nelle categorie Clean (Sicuri), Spam o Threat (Minacce). Per impostazione predefinita, ogni messaggio viene inserito nella categoria Unknown (Sconosciuti) finché PhishER o un admin non lo classifica in una delle altre categorie.
11. Categories (Categorie): questo grafico a torta mostra un confronto tra i messaggi che vengono classificati.
12. Reported Messages by Priority (Messaggi segnalati per priorità): questo grafico a linee mostra la priorità dei messaggi segnalati. A un messaggio può essere assegnata una delle seguenti priorità: Unknown (Sconosciuta), Low (Bassa), Medium (Media), High (Alta) o Critical (Critica). I dati mostrano il numero di messaggi segnalati ogni giorno o ogni ora per ogni tipo di priorità.
13. Priorities (Priorità): questo grafico a torta mostra un confronto tra le modalità di assegnazione delle priorità ai messaggi.

Stanze

La scheda Rooms (Stanze) contiene diverse viste filtrate dei messaggi presenti nella tua Inbox (Posta in arrivo) PhishER. Ogni vista filtrata si basa sulle query che hai salvato e sui filtri generati dal sistema. Puoi visualizzare una vista filtrata di Inbox (Posta in arrivo), Dashboard e Report (Rapporto) facendo clic sulle icone accanto a ciascun filtro generato dal sistema.

Se fai clic su uno specifico gruppo di messaggi in una stanza, accederai a una vista filtrata della tua Inbox (Posta in arrivo) che mostra tutti i messaggi del gruppo. In una stanza viene creato un gruppo di messaggi se almeno due messaggi soddisfano i criteri della stanza.

Per maggiori informazioni sulle stanze, consulta il nostro articolo Come creare e gestire le stanze di PhishER.

Posta in arrivo

Puoi visualizzare tutti i messaggi segnalati dai tuoi utenti nella scheda Inbox (Posta in arrivo). Questi messaggi includono tutte le e-mail che i tuoi utenti hanno segnalato utilizzando il PAB o inoltrando manualmente le e-mail a un indirizzo e-mail di segnalazione. Da questa scheda puoi filtrare i messaggi e salvare le impostazioni personalizzate dei filtri come stanza. Puoi anche eseguire azioni e modificare la classificazione dei messaggi.

Utilizzando strumenti di analisi di terze parti, PhishER organizza i messaggi in componenti diversi, tra cui i dati non elaborati, le intestazioni, gli allegati e il corpo del messaggio. Quando fai clic su un singolo messaggio, la pagina Message Details (Dettagli messaggio) visualizza informazioni dettagliate sul messaggio, come i suoi componenti. Da questa pagina, puoi anche eseguire azioni sul messaggio e utilizzare la funzione Discussion (Discussione) per comunicare con i tuoi admin in merito al messaggio.

Per maggiori informazioni sulla Inbox (Posta in Arrivo), consulta il nostro articolo Come utilizzare la posta in arrivo di PhishER.

Regole

Puoi visualizzare tutte le regole di PhishER nella scheda Rules (Regole). Una regola è un’espressione logica utilizzata per classificare le e-mail inoltrate alla Inbox (Posta in arrivo) di PhishER. Per classificare le e-mail, tutte le regole devono seguire la logica delle regole YARA.

In base alla regola, viene aggiunto un tag alle e-mail mentre vengono inoltrate alla Inbox (Posta in arrivo) di PhishER. La scheda Rules (Regole) include la pagina Rules List (Elenco delle regole) che presenta le seguenti sottoschede:

• Custom Rules (Regole personalizzate): questa sottoscheda elenca le regole che la tua organizzazione crea da zero utilizzando l’editor di regole di PhishER.
• System Rules (Regole di sistema): questa sottoscheda elenca l’insieme di regole predefinito fornito da KnowBe4.
• Global Variables (Variabili globali): questa sottoscheda elenca le variabili globali create dalla tua organizzazione per le regole personalizzate. Se utilizzi più regole con le stesse stringhe, puoi usare le variabili globali per aggiornare tutte queste regole contemporaneamente.

Per maggiori informazioni sulle regole, consulta il nostro articolo Come creare e gestire le regole di PhishER.

Azioni

Puoi visualizzare tutte le azioni di PhishER nella scheda Actions (Azioni). Quando a un messaggio viene assegnato un tag, questo indica come il messaggio deve essere elaborato in PhishER. Quindi, l’azione avvia le fasi del processo. Ad esempio, puoi creare un’azione per assegnare la categoria Spam a tutti i messaggi corrispondenti. La scheda Actions (Azioni) include la pagina Actions List (Elenco delle azioni), dove puoi creare e gestire tutte le azioni nella tua piattaforma PhishER.

Per maggiori informazioni sulle azioni, consulta il nostro articolo Come creare e gestire le azioni di PhishER.

Rapporti

Puoi visualizzare tutte le segnalazioni di PhishER nella scheda Reports (Rapporti). Ogni sottoscheda mostra un rapporto con le informazioni più comuni trovate nelle e-mail segnalate dai tuoi utenti. Per impostazione predefinita, ogni rapporto mostra i dati e le attività degli ultimi 30 giorni, ma puoi modificare questo intervallo di date facendo clic sul pulsante Last 30 Days (Ultimi 30 giorni) nell’angolo in alto a destra della pagina.

La scheda Reports (Rapporti) comprende le seguenti sottoschede:

• Attachments (Allegati): questa sottoscheda mostra i tipi di allegati più comuni nelle e-mail segnalate dagli utenti.
• Reporters (Segnalatori): questa sottoscheda mostra gli utenti più comuni che segnalano le e-mail.
• Senders (Mittenti): questa sottoscheda mostra i domini dei mittenti più comuni associati alle e-mail segnalate dagli utenti.
• Domains and URLs (Domini e URL): questa sottoscheda mostra i domini e gli URL più comuni nelle e-mail segnalate dagli utenti.
• Tags (Tag): questa sottoscheda mostra i tag più comuni applicati alle e-mail segnalate dagli utenti.

Per maggiori informazioni sulle segnalazioni, consulta il nostro articolo Come usare i rapporti di PhishER.

Blocklist

La funzione Blocklist di PhishER consente al server di posta Microsoft 365 di evitare che e‑mail dannose o di spam raggiungano la posta in arrivo dei tuoi utenti. Puoi visualizzare tutte le voci della tua blocklist nella scheda Blocklist, aprendo la scheda secondaria Your Syncing Entries (Voci sincronizzate). Quando esamini le e‑mail segnalate dagli utenti, puoi aggiornare la blocklist affinché invii informazioni sulle minacce o sullo spam al tuo server di posta.

Per maggiori informazioni sulle blocklist, consulta il nostro articolo Come utilizzare la Blocklist di PhishER.

PhishRIP

PhishRIP è una funzione di quarantena delle e-mail di PhishER che consente alla tua organizzazione di cercare le e-mail segnalate dagli utenti in tutte le caselle di posta in arrivo collegate alla tua istanza Microsoft 365 o Google Workspace. Puoi visualizzare tutti i risultati o le query della ricerca PhishRIP nella scheda PhishRIP. Utilizzando PhishRIP, puoi prevenire gli attacchi di phishing attivi rimuovendo le potenziali minacce e-mail dalla posta in arrivo dei tuoi utenti.

Quando selezioni un singolo messaggio nella tua Inbox (Posta in arrivo) e fai clic sul menu a discesa Run (Esegui), puoi attivare delle azioni che verranno eseguite sui messaggi trovati dalle query di PhishRIP.

Per maggiori informazioni su PhishRIP, consulta il nostro articolo Come utilizzare PhishRIP.

PhishFlip

PhishFlip è una funzione di PhishER che permette alla tua organizzazione di riutilizzare le e-mail segnalate dagli utenti nelle campagne di phishing nella tua console KSAT. PhishFlip rimuove tutti gli elementi dannosi dalle e-mail segnalate affinché il loro invio ai tuoi utenti come modelli di phishing sia sicuro.

Una volta abilitato PhishFlip sulla tua piattaforma PhishER, puoi creare modelli di phishing KSAT a partire dalle e-mail segnalate dagli utenti. Quindi, puoi utilizzare i modelli di phishing per creare campagne di phishing nella tua console KSAT. Puoi anche creare campagne PhishFlip automatiche contenenti specifiche e-mail segnalate dalla tua piattaforma PhishER.

Per maggiori informazioni su PhishFlip, consulta il nostro articolo Come utilizzare PhishFlip.