インテグレーションの設定

共有

この記事は役に立ちましたか?

最終更新:

PhishERコンソールとVirusTotalの連携

[PhishER Settings](PhishER設定)の[VirusTotal]サブタブから、PhishERコンソールのVirusTotal連携を設定できます。VirusTotalは、70以上のウイルス対策スキャナーを使用して、ファイルに悪意のあるコンテンツが含まれていないかどうかを検査・分析するサービスです。VirusTotalアカウントとPhishERを連携させるには、有効なVirusTotal APIキーが必要です。VirusTotalアカウントを作成されていない場合、VirusTotalのWebサイトWebサイト(新しいウィンドウでリンクが開きます)から無料で作成できます。

注:KnowBe4はVirusTotalから、無料のVirusTotal Public APIと統合することを承認されています。VirusTotal Public APIは、PhishERコンソールでスキャンを実行する場合、1日あたり500件のリクエスト、1分あたり4件リクエストに制限されます。詳細については、VirusTotalの「VirusTotal API v3の概要」 「VirusTotal API v3の概要」(新しいウィンドウでリンクが開きます)の記事を参照してください。

インテグレーションの設定

インテグレーションを設定するには、[PhishER Settings](PhishER設定)の[VirusTotal]サブタブにあるフィールドに入力します。詳細については、以下のスクリーンショットとリストを参照してください。

  1. [Disabled](無効)または[Enabled](有効):このトグルボタンを使用して、インテグレーションを無効または有効にします。
  2. [Enter your VirusTotal key](VirusTotalキーを入力):このフィールドにVirusTotalのキーを入力します。詳細については、VirusTotalの「APIキーの入手方法」「APIキーの入手方法」(新しいウィンドウでリンクが開きます)の記事を参照してください。
  3. (オプション)[VirusTotal Automatic Scanning](VirusTotal自動スキャン): このセクションでは、VirusTotalがメッセージの一部を自動的にスキャンするように設定できます。これらのオプションの詳細については、以下のリストを参照してください。
    • [Automatically scan ALL Attachments (Hashes Only)](すべての添付ファイルを自動スキャン(ハッシュのみ)):このチェックボックスを選択すると、VirusTotalはPhishERの[Inbox](受信箱)にあるすべての添付ファイルのハッシュを受け取ります。
    • [Automatically scan ALL URLs](すべてのURLを自動スキャン):このチェックボックスを選択すると、PhishER Inbox(受信箱)にあるすべてのURLがVirusTotalに自動的に送信されます。
    • [Timeout if no response (seconds)](応答がない場合にタイムアウトする時間(秒)):秒数を入力して、VirusTotalスキャン結果の独自のタイムアウト時間を設定します。このタイムアウト時間内にVirusTotalがスキャン結果を返さない場合、そのメッセージに [VT_Bypassed]タグが適用されます。デフォルトのタイムアウト時間は120秒です。メッセージに適用できるタグの詳細については、この記事の「VirusTotalのタグ」のセクションを参照してください。
  4. (オプション)[Detection Threshold](検出しきい値):このセクションでは、添付ファイルやURLに悪意があるかどうか(マルウェアなど)を判断するために必要な、ウイルス対策スキャナーの検出数の最小値を設定できます。
    • [Minimum Antivirus Scanner Detections for VT_Bad Tag](VT_Bad Tagのウイルス対策スキャナーの最小検出数):添付ファイルまたはURLを悪意のあるものと判定するウイルス対策スキャナーの最小検出数を入力します。この条件を満たすと、対応するメッセージにVT_Badタグが適用されます。デフォルトでは、このしきい値は1に設定されています。最大で50まで設定できます。この設定を更新しても、すでにタグ付けされているメッセージには影響しませんが、今後のスキャンでしきい値を満たす新しいメッセージがタグ付けされます。しきい値が1以上に設定されている場合、VirusTotalのスキャン結果がそのしきい値には達していないものの0を超えているときは、メッセージにVT_Suspiciousタグが適用されます。メッセージに適用できるタグの詳細については、この記事の「VirusTotalのタグ」のセクションを参照してください。

  5. [Ignored Domains](無視するドメイン):VirusTotalがスキャンを実行するときに無視するドメインを入力します。テキストボックスに各ドメインを改行して入力します。このリストにドメインを追加すると、そのドメインのサブドメインも同様に除外されます。ただし、サブドメインをリストに追加する場合、そのドメインは除外されません。ワイルドカード(*)およびURI(Uniform Resource Identifiers)には対応していません。

    重要:VirusTotalにリンクや添付ファイルとして送信するべきではないKnowBe4ドメインのリストについては、この記事の「スキャンからKnowBe4ドメインを除外する」のセクションを参照してください。
  6. [Save](保存):このボタンをクリックすると、VirusTotalのインテグレーション設定が更新されます。

VirusTotalによるスキャン

VirusTotalアカウントをPhishERコンソールと連携させると、メッセージの添付ファイルやURLに対してVirusTotalスキャンを実行できます。特定の添付ファイルやURLにVirusTotalスキャンを実行するには、[Message Details](メッセージ詳細)ページで[Scan with VirusTotal](VirusTotalでスキャン)をクリックします。

また、ルールやアクションを再実行する際に、選択したメッセージに対してVirusTotalスキャンを自動的に実行することもできます。これらのオプションの詳細については、「PhishER受信箱ガイド」を参照してください。

VirusTotalは、スキャンしたメッセージに1つ以上のタグを割り当てて、解析した結果を示します。メッセージに適用できるタグの詳細については、この記事の「VirusTotalのタグ」のセクションを参照してください。

重要:[VirusTotal Automatic Scanning](VirusTotal自動スキャン)セクションの設定を有効にすると、PhishERがVirusTotalスキャンのために送信を許可された添付ファイルのリンクまたはハッシュが、VirusTotalに自動的に送信されます。[Ignored Domains](無視するドメイン)リストにドメインを追加して、URLを除外できます。スキャンされたURLとハッシュ化された添付ファイルは、悪意のあるコンテンツを広く周知する目的で、スキャン結果と共にVirusTotalのコミュニティに公開されます。ファイルを手動で送信した場合、添付ファイル全体がスキャン結果と共に公開されます。そのため、URLや機密情報が含まれる添付ファイルに対してVirusTotalスキャンを実行するときには、その点を考慮することが重要です。

スキャンからKnowBe4ドメインを除外する

KnowBe4は、VirusTotalにリンクや添付ファイルとして送信すべきではない複数のドメインを使用しています。これらのドメインは、[PhishER Settings](PhishER設定)の[VirusTotal]サブタブにある[Ignored Domains](無視するドメイン)フィールドに入力できます。これらのドメインの全リストは、以下を参照してください。

  • kb4.io
  • comano.us
  • magnetonics.com
  • bloemlight.com
  • instantrevert.net
  • phishing.guru
  • phishtrain.org
  • malwarebouncer.com
  • phish.farm
  • microransom.us
  • msftemail.com
  • compromisedblog.com
  • com-onlinebanking.com
  • com-token-auth.com
  • 2O2.lOl
  • protected-forms.com
  • cert-sha256.com
  • wishyoudidntclickthis.com
  • cert-sha256.co.uk
  • internalportal.net
  • twittermessage.net
  • my-cloud-mail.com
  • linkedlnu.com
  • farenheit.net
  • gooqleonline.com
  • donotreply.biz
  • aøl.com
  • exchamge.org
  • allibaba.org
  • voipmessage.uk
  • efaxonline.org
  • bltly.us
  • twittermessage.co.uk
  • www-com.co.uk
  • srvgov.com
  • gooqle.eu
  • allibaba.eu
  • yourgunnalovetraining.com
  • succesful.org

VirusTotalのタグ

[VirusTotal]サブタブの[VirusTotal Tags](VirusTotalタグ)セクションでは、VirusTotalがスキャンした後にメッセージに付けるタグを表示できます。スキャン結果に基づいて、VirusTotalは1つまたは複数のタグをメッセージに適用します。VirusTotalのタグの詳細については、以下のリストを参照してください。

  1. VT_Pending:VirusTotalスキャンがキューに入ったときに、このタグがメッセージに付けられます。このタグはスキャンが完了した時に削除されます。
  2. VT_Bad:VirusTotalスキャンで添付ファイルが悪意があると判断された場合に、このタグがメッセージに付けられます。
  3. VT_Suspicious:VirusTotalスキャンにより、添付ファイルまたはURLが不審であると判断されたものの、悪意のあることが確認されない場合に、このタグがメッセージに付けられます。悪意のある添付ファイルやURLの検出しきい値は、[Minimum Antivirus Scanner Detections](ウイルス対策スキャナーの最小検出数)の設定で指定できます。
  4. VT_Scanned:VirusTotalスキャンが完了し、添付ファイルが悪意がないと判断された場合に、このタグがメッセージに付けられます。

  5. VT_Bypassed:VirusTotalスキャンがタイムアウトしたときに、このタグがメッセージに付けられます。このタグは、通常、VirusTotalの他のタグと一緒に付けられます。[VirusTotal Automatic Scanning](VirusTotal自動スキャン)の設定で、独自のタイムアウト期間を設定できます。

    注:VirusTotalがタイムアウトした場合、PhishERはコンソールがVirusTotalの結果を待っている間に、自動化されたアクションをメッセージに対して実行できるようにします。自動アクションが完了した後に、VirusTotalはメッセージへのタグ付けを完了できます。スキャン結果が返された後には、自動アクションはメッセージに対して実行されません。
  6. VT_Hash_not_found:VirusTotalスキャンで、添付ファイルのハッシュと一致がなかった場合に、このタグがメッセージに付けられます。
  7. VT_Ignored:ホワイトリストに登録されているURLやドメインがメッセージで検出された場合に、このタグがメッセージに付けられます。
注:複数のファイルが添付されているメッセージは、ファイルのスキャンが別々の時間に終了したり、異なる結果になることがあり、いくつかのVTタグが付けられる場合があります。

この記事は有用でしたか?

1人中1人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ