Analizzare e identificare le e‑mail

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Creare e gestire le regole di PhishER

Nella console PhishER, le regole sono espressioni logiche che ti permettono di classificare e taggare automaticamente i messaggi nella posta in arrivo di PhishER. I tag assegnati attivano PhishER che esegue delle azioni sui messaggi. Puoi creare le regole dalla scheda Rules (Regole). Se vuoi creare un’azione, consulta il nostro articolo Come creare e gestire le azioni di PhishER.

La scheda Rules (Regole) contiene due tipi di regole: le regole personalizzate e le regole di sistema. Le regole personalizzate sono regole che puoi creare utilizzando l’editor di regole YARA. Le regole di sistema sono regole predefinite fornite da KnowBe4. La scheda Rules (Regole) contiene anche variabili globali, ovvero variabili che puoi creare e utilizzare in più regole con le stesse stringhe. Aggiornando una variabile globale, puoi aggiornare tutte le regole che contengono quelle stringhe.

Nota:Tutte le regole di PhishER devono seguire la logica delle regole YARA (Yet Another Recursive/Ridiculous Acronym) per classificare i messaggi. Per saperne di più su come scrivere le regole YARA, consulta il nostro articolo Come scrivere le regole YARA.

Creazione di regole

Puoi creare regole personalizzate nella tua console PhishER per classificare i messaggi che sono stati inoltrati alla tua posta in arrivo PhishER. Per creare le regole, puoi utilizzare l’editor di base o l’editor avanzato. Tutte le regole personalizzate devono seguire la logica YARA (Yet Another Recursive/Ridiculous Acronym). YARA è uno strumento utilizzato per identificare e classificare i campioni di malware.

Per creare una regola, effettua le seguenti operazioni:

  1. Accedi alla console PhishER.
  2. Nella barra laterale sul lato sinistro della pagina, seleziona la scheda Rules (Regole) per aprire la pagina Rules List (Elenco regole).
  3. Fai clic sul pulsante New Rule (Nuova regola) nell’angolo in alto a destra della pagina per aprire la pagina Rule Details (Dettagli della regola).
    Nota:Se vuoi che PhishER generi automaticamente una regola basata su una descrizione delle tue necessità, consulta la sezione Creazione di regole con il generatore di regole YARA.

  4. Nel campo Name (Nome), inserisci un nome unico per la tua regola. Ti consigliamo di inserire un nome che descriva brevemente la funzione della regola. Il nome non può iniziare con un valore numerico, superare 64 caratteri o includere una delle parole chiave elencate nella documentazione di YARA Writing YARA Rules (Scrivere regole YARA).
  5. (Facoltativo) Nel campo Description (Descrizione), inserisci una descrizione della regola. Come buona prassi, ti consigliamo di inserire una descrizione della funzione prevista della regola. La descrizione non può superare 64 caratteri.
  6. Nella sezione Edit Tags (Modifica tag), aggiungi un tag personalizzato che vorresti vedere allegato a un messaggio quando questo corrisponde a questa regola specifica. Per aggiungere un tag, fai clic su Add new tag (Aggiungi nuovo tag) e inserisci un nome per il tag. Quindi fai clic all’esterno del campo Add new tag (Aggiungi nuovo tag) per creare il tag.
  7. Nel menu a discesa Choose target (Scegli destinazione), seleziona la parte del messaggio a cui desideri che la regola venga applicata o eseguita. Come destinazione puoi selezionare Raw (Non elaborato), Headers (Intestazioni), Body (Corpo) o Attachments (Allegati). Per impostazione predefinita, sarà selezionato Raw (Non elaborato).
  8. Nella sezione YARA Rule Editor (Editor di regole YARA), scrivi la tua regola utilizzando l’editor di base o l’editor avanzato. Per ulteriori informazioni, leggi le sezioni seguenti.

Creazione di regole con l’editor di base

L’editor di base ti permette di creare una regola personalizzata senza scrivere tutta la logica delle regole YARA. Puoi inserire i valori delle stringhe e selezionare le condizioni per la tua regola e l’editor di base elaborerà i tuoi input per creare la logica della regola per la tua regola. Per sapere come creare una regola utilizzando la scheda Basic Editor (Editor di base), consulta la schermata e l’elenco qui sotto:

  1. Basic Editor (Editor di base): seleziona questa scheda per visualizzare le opzioni da utilizzare per creare una regola.
  2. Create Strings (Crea stringhe): crea e definisce le stringhe da utilizzare per creare le condizioni. Per maggiori informazioni, consulta il nostro articolo Come creare stringhe e condizioni nell’editor di base?.
  3. New String (Nuova stringa): fai clic su questo pulsante per aggiungere una stringa alla regola. Puoi creare fino a cinque stringhe per regola.
  4. Create Conditions (Crea condizioni): crea delle condizioni selezionando il modo in cui le stringhe definite devono relazionarsi reciprocamente. Le condizioni ti permettono di specificare i messaggi su cui desideri vi sia l’impatto della tua regola. Per maggiori informazioni, consulta il nostro articolo Come creare stringhe e condizioni nell’editor di base?. Puoi scegliere tra le seguenti opzioni:
    • Match any of the defined strings (Corrisponde a qualsiasi stringa definita): seleziona questa opzione per rilevare i messaggi che corrispondono a una qualsiasi delle stringhe definite.
    • Match all of the defined strings (Corrisponde a tutte le stringhe definite): seleziona questa opzione per rilevare i messaggi che corrispondono a tutte le stringhe definite.
    • Custom conditions (Condizioni personalizzate): seleziona questa opzione per rilevare i messaggi che corrispondono alle condizioni personalizzate.
  5. New Condition Group (Nuovo gruppo di condizioni): se è stato selezionato Custom conditions (Condizioni personalizzate), puoi fare clic su questo pulsante per creare condizioni personalizzate che i messaggi devono soddisfare per essere interessati dalla regola.
  6. Save Rule (Salva regola): fai clic su questo pulsante per salvare la regola. La regola viene visualizzata nella pagina Rules List (Elenco regole) nella sottoscheda Custom Rules (Regole personalizzate). Dopo aver salvato la regola, puoi abilitarla attivando l’interruttore sotto la colonna Status (Stato) della regola stessa. Quindi, fai clic sul pulsante Apply Changes (Applica le modifiche) nell’angolo in alto a destra della pagina.

  7. Apply Rule to Inbox (Applica la regola alla posta in arrivo): fai clic su questo pulsante per eseguire la regola su tutti i messaggi presenti nella posta in arrivo. Affinché questa opzione sia disponibile, almeno un messaggio deve corrispondere ai criteri della regola e dell’anteprima della regola.

Creazione di regole con l’editor avanzato

L’editor avanzato ti permette di scrivere la logica della regola YARA senza alcuna guida. Se modifichi una regola nell’editor avanzato, l’editor di base sarà disabilitato per quella regola. Per imparare a scrivere regole con la logica delle regole YARA, consulta il nostro articolo Come scrivere le regole YARA. Per sapere come creare una regola utilizzando la scheda Advanced Editor (Editor avanzato), consulta la schermata e l’elenco qui sotto:

  1. Advanced Editor (Editor avanzato): seleziona questa scheda per visualizzare la sezione dei blocchi di codice dove puoi scrivere una regola con la logica delle regole YARA.
  2. Save Rule (Salva regola): fai clic su questo pulsante per salvare la regola. La regola appare nella pagina Rules List (Elenco regole) nella sottoscheda Custom Rules (Regole personalizzate). Dopo aver salvato la regola, puoi abilitarla attivando l’interruttore sotto la colonna Status (Stato) della regola stessa. Quindi, fai clic sul pulsante Apply Changes (Applica le modifiche) nell’angolo in alto a destra della pagina.

  3. Apply Rule to Inbox (Applica la regola alla posta in arrivo): fai clic su questo pulsante per eseguire la regola su tutti i messaggi presenti nella posta in arrivo. Affinché questa opzione sia disponibile, almeno un messaggio deve corrispondere ai criteri della regola e dell’anteprima della regola.

Creazione di regole con il generatore di regole YARA

Il generatore di regole YARA ti permette di creare una regola personalizzata descrivendo cosa vuoi che disponga tale regola. Puoi inserire le richieste di rilevamento per la regola e il generatore di regole YARA elaborerà i tuoi input per creare la logica della regola per la tua regola. Per scoprire come creare una regola utilizzando la scheda Generatore di regole YARA, effettua le seguenti operazioni:

Nota:Questa funzione è stata migliorata ed è disponibile solo per gli account PhishER Plus. Le regole che causano errori saranno temporaneamente disabilitate.

Per creare una regola, effettua le seguenti operazioni:

  1. Accedi alla console PhishER.
  2. Nella barra laterale sul lato sinistro della pagina, seleziona la scheda Rules (Regole) per aprire la pagina Rules List (Elenco regole).
  3. Fai clic sul pulsante New Rule (Nuova regola) nell’angolo in alto a destra della pagina per aprire la pagina Rule Details (Dettagli regola).

  4. Nel campo Describe your detection requirements (Descrivi i requisiti di rilevamento), inserisci una descrizione della regola che vuoi creare.

  5. Fai clic su Generate Rule (Genera regola). Il generatore di regole YARA convertirà i requisiti di rilevamento in una regola PhishER con nome, descrizione, tag e sintassi YARA completa.

  6. Puoi modificare la regola generata in base alle tue necessità. Poi, per salvare la regola, fai clic su Save Rule (Salva regola).

Anteprima delle regole

Prima di salvare una nuova regola, ti consigliamo di vedere in anteprima l’impatto che avrà sui tuoi messaggi PhishER. Per visualizzare l’anteprima di una regola, effettua le seguenti operazioni:

  1. Accedi alla console PhishER.
  2. Nella barra laterale sul lato sinistro della pagina, seleziona la scheda Rules (Regole) per aprire la pagina Rules List (Elenco regole).
  3. Fai clic sul pulsante New Rule (Nuova regola) nell’angolo in alto a destra della pagina o seleziona una regola nella pagina Rules List (Elenco regole). Quando fai clic sul pulsante New Rule (Nuova regola), si apre la pagina Rule Details (Dettagli della regola).
  4. Scrivi o modifica la tua regola YARA utilizzando la sezione YARA Rule Editor (Editor di regole YARA).
  5. Prima di salvare la regola, fai clic sul pulsante Run Preview (Anteprima di esecuzione). Viene visualizzato un elenco di tutti i messaggi presenti nella posta in arrivo che corrispondono alla regola.
    Nota: PhishER è in grado di controllare solo gli ultimi 1000 messaggi per l’anteprima di una regola. Se un messaggio che corrisponde alla regola non è uno degli ultimi 1000 messaggi, non verrà incluso nell’anteprima.
  6. Puoi aggiornare l’elenco di anteprima modificando le opzioni dei criteri seguenti:
    • Saved Query (Query salvata) (facoltativo): scegli una Saved query personalizzata per vedere l’impatto della regola sui messaggi in quella query.
    • Last 7 days (Ultimi 7 giorni): seleziona un intervallo di date per i messaggi che desideri visualizzare in anteprima. Le opzioni sono Last 24 hours (Ultime 24 ore), Last 7 days (Ultimi 7 giorni) e Last 30 days (Ultimi 30 giorni). Per impostazione predefinita, viene selezionato Last 7 days (Ultimi 7 giorni).
    • Matched Messages (Messaggi corrispondenti): se visualizzi l’anteprima di una regola, vengono visualizzate altre opzioni per filtrare i messaggi nell’elenco di anteprima.
    • Matched Messages (Messaggi corrispondenti) (predefinito): seleziona questa opzione per visualizzare solo i messaggi presenti nella tua Inbox (Posta in arrivo) di PhishER che corrispondono alla condizione della regola.
    • Unmatched Messages (Messaggi non corrispondenti): seleziona questa opzione per visualizzare solo i messaggi presenti nella tua Inbox (Posta in arrivo) di PhishER che non corrispondono alla condizione della regola.
    • All Messages (Tutti i messaggi): seleziona questa opzione per visualizzare tutti i messaggi presenti nella tua Inbox (Posta in arrivo) di PhishER. La colonna Matched (Corrispondenti) indica se il messaggio corrisponde (vero) o non corrisponde (falso) alla regola.

      Nota:se desideri aprire un messaggio visualizzato nell’elenco di anteprima, ti consigliamo di aprire il messaggio in una nuova scheda per evitare di perdere la nuova regola.
    • (Facoltativo) Se vuoi eseguire questa regola per tutti i messaggi dell’elenco di anteprima, fai clic sul pulsante Apply Rule to Current Matches.

Modifica delle regole

Per modificare una regola personalizzata, fai clic sul Name (Nome) o sulla Description (Descrizione) della regola nella pagina Rules List (Elenco regole) per aprire la pagina Rule Details (Dettagli della regola). Se vuoi modificare una regola di sistema, crea una nuova regola personalizzata. Quindi, copia e incolla la logica della regola di sistema nell’editor di regole YARA della regola personalizzata. Per maggiori informazioni sulle regole del sistema, leggi la sezione Utilizzare le regole del sistema di questo articolo.

Nota:per applicare tutte le modifiche alle regole, devi fare clic sul pulsante Apply Changes (Applica le modifiche) nell’angolo in alto a destra della pagina Rules List (Elenco regole). A quel punto, la regola inizia a essere applicata ai messaggi in arrivo. I messaggi già presenti nella posta in arrivo non saranno interessati dalla regola.

Utilizzo delle variabili globali

Nella sottoscheda Global Variables (Variabili globali) della pagina Rules List (Elenco regole), puoi creare variabili globali o visualizzare le variabili globali che hai creato. Se utilizzi più regole con le stesse stringhe, puoi usare le variabili globali per aggiornare tutte queste stringhe contemporaneamente.

Puoi includere le variabili globali nelle regole utilizzando l’editor di base o l’editor avanzato per creare stringhe contenenti variabili globali. Se modifichi una variabile globale, la regola verrà aggiornata automaticamente in tutte le regole che includono la variabile globale.

Nota:puoi creare tutte le regole contenenti variabili globali che desideri. Se crei e applichi una regola contenente variabili globali, la condizione di quella regola deve essere soddisfatta prima che sia possibile eseguire altre regole.

Per creare una variabile globale, effettua le seguenti operazioni:

  1. Accedi alla console PhishER.
  2. Nella barra laterale sul lato sinistro della pagina, seleziona la scheda Rules (Regole) per aprire la pagina Rules List (Elenco regole).
  3. Vai alla sottoscheda Global Variables (Variabili globali).

  4. Fai clic sul pulsante New Variable (Nuova Variabile) nell’angolo in alto a destra della pagina. Facendo clic su questo pulsante, si apre la pagina Create Global Variable (Crea variabile globale).
  5. Nel campo Name (Nome), inserisci un nome per la variabile globale.

  6. Nel campo Value (Valore), inserisci un valore per la variabile globale.
    Nota:le variabili globali devono soddisfare gli stessi requisiti che si applicano alle altre variabili e alle stringhe. Il valore non può iniziare con un valore numerico, superare 255 caratteri o essere una delle parole chiave elencate nella documentazione di YARA Writing YARA Rules (Scrivere regole YARA).
  7. Fai clic su Save (Salva) per salvare la variabile globale. La variabile globale appare nella pagina Rules List (Elenco regole) nella sottoscheda Global Variables (Variabili globali).

Nella pagina Rules List (Elenco regole), puoi visualizzare le informazioni sulla variabile globale, come ad esempio la data di creazione e l’ultimo aggiornamento della variabile globale. Puoi anche modificare il valore di una variabile globale facendo clic sul nome della variabile per aprire la schermata Edit Global Variable (Modifica variabile globale). Il nome di una variabile globale esistente non può essere modificato. Se vuoi eliminare una variabile globale, fai clic sull’icona del cestino.

Per sapere come creare una regola utilizzando le variabili globali, consulta il nostro articolo Come creare stringhe e condizioni nell’editor di base delle regole YARA?.

Utilizzare le regole del sistema

La console PhishER fornisce regole del sistema che ti aiutano a classificare ed etichettare i messaggi. Puoi abilitare queste regole per la tua console PhishER dalla scheda secondaria System Rules (Regole del sistema) nella pagina Rules List (Elenco delle regole). Di default, le regole del sistema sono disabilitate.

Le schermate e l’elenco in basso contengono ulteriori informazioni sulle regole del sistema:

Nome della regola Descrizione regola
KB4:COMMUNICATION Questa regola rileva i messaggi che contengono parole comuni nei campi Oggetto o Da nei tentativi di phishing relativi alla comunicazione.
KB4:NON_ENGLISH Questa regola rileva i messaggi che contengono parole comuni nei campi Oggetto o Da nei tentativi di phishing non in lingua inglese.
KB4:URGENCY Questa regola rileva i messaggi che contengono parole comuni nei campi Oggetto o Da nei tentativi di phishing di carattere urgente.
KB4:SECURITY Questa regola rileva i messaggi che contengono parole comuni nei campi Oggetto o Da nei tentativi di phishing relativi a problemi di sicurezza.
KB4:SHIPPING Questa regola rileva i messaggi che contengono parole comuni legate alla spedizione nei campi Oggetto o Da nei tentativi di phishing.
KB4:FINANCIAL Questa regola rileva i messaggi che contengono parole comuni legate alla finanza nei campi Oggetto o Da nei tentativi di phishing.
KB4:BILLING Questa regola rileva i messaggi che contengono parole comuni legate alla fatturazione nei campi Oggetto o Da nei tentativi di phishing.
KB4:GENERAL Questa regola rileva i messaggi che contengono parole comuni generiche nei campi Oggetto o Da nei tentativi di phishing.
KB4:BRANDS Questa regola rileva i messaggi che contengono parole comuni legate al marchio nei campi Oggetto o Da nei tentativi di phishing.
KB4:419SCAM Questa regola rileva i messaggi che contengono parole comuni nei campi Oggetto o Da nella 419 scam (chiamata anche truffa alla nigeriana).
KB4:KSAT_HEADERS_TRAINING Questa regola rileva i messaggi di notifica della formazione che contengono intestazioni KnowBe4.
KB4:KSAT_HEADERS_PST Questa regola rileva i messaggi di dei Phishing Security Test (PST) che contengono intestazioni KnowBe4.
KB4:SPF_PASS Questa regola rileva i messaggi che superano i controlli SPF.
KB4:DKIM_PASS Questa regola rileva i messaggi che superano i controlli DKIM.
KB4:JAPANESE Questa regola rileva i messaggi che contengono parole comuni per i campi Oggetto o Da nei tentativi di phishing in lingua giapponese.

Tag del decodificatore di codici QR

Il decodificatore di codici QR è una funzione di PhishER che opera in background sulla tua console ed effettua automaticamente la scansione dei codici QR nelle e‑mail segnalate. Quando il decodificatore di codici QR rileva un codice QR nel corpo di un messaggio, estrae l’URL incorporato nel codice QR e assegna un tag al messaggio. L’URL estratto verrà visualizzato nella scheda Domains and URLs (Domini e URL) della pagina Details (Dettagli) della PhishER Inbox (Posta in arrivo di PhishER). Per ulteriori informazioni sui tag del decodificatore di codice QR, consulta l’elenco in basso:

Nome del tag Descrizione del tag
QR_CODE_FOUND Questo tag viene allegato a un messaggio quando il decodificatore di codici QR rileva un codice QR nel corpo del messaggio.
QR_CODE_SCAN_FAILED Questo tag viene allegato a un messaggio quando il decodificatore di codici QR non è in grado di effettuare la scansione di un messaggio. Ad esempio, la scansione non riesce se un codice QR non contiene un URL incorporato.
Nota: al momento questa funzione consente di rilevare codici QR nei seguenti tipi di file: PDF, JPG, SVG e GIF.

Visualizzazione dell’elenco delle regole

Rules List (Elenco regole) visualizza tutte le regole e le variabili globali. Per saperne di più sulla pagina Rules List (Elenco regole), consulta la schermata e l’elenco qui sotto.

  1. Name (Nome): in questa colonna viene visualizzato il nome assegnato alla regola.
  2. Description (Descrizione): in questa colonna viene visualizzata una descrizione della regola.
  3. Rule Target (Destinazione della regola): in questa colonna viene visualizzata la parte di un messaggio sui cui viene eseguita la regola. Ad esempio, la destinazione della regola potrebbe essere l’intestazione dell’e-mail.
  4. Status (Stato): in questa colonna viene visualizzato lo stato attuale della regola. Una regola può essere abilitata o disabilitata. Per cambiare lo stato di una regola, fai clic sull’interruttore.
    Nota:affinché una regola venga applicata ai messaggi presenti nella posta in arrivo di PhishER, deve essere abilitata.
  5. Updated At (Aggiornata alle): in questa colonna vengono visualizzate la data e l’ora dell’ultimo aggiornamento della regola.
  6. Matched Count (Conto delle corrispondenze): in questa colonna viene visualizzato il numero di volte in cui c’è stata corrispondenza tra la regola e un messaggio presente nella posta in arrivo di PhishER.
  7. Tags (Tag): in questa colonna vengono visualizzati tutti i tag allegati a un messaggio. I tag vengono allegati a un messaggio solo se il messaggio corrisponde alla regola.
  8. Filter by Status (Filtra per stato): fai clic su questo menu a discesa per selezionare una vista filtrata delle regole abilitate o disabilitate.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 30 su 34

Non trovi quello che stai cercando?

Contatta l’assistenza