インテグレーションの設定

共有

この記事は役に立ちましたか?

最終更新:

脅威インテリジェンスとPhishERコンソールの統合

[PhishER Settings](PhishER設定)の[Threat Intel](脅威インテリジェンス)サブタブから、PhishERコンソールの脅威インテリジェンス機能を設定できます。脅威インテリジェンスは、PhishER PlusとWebrootインテグレーションによって提供されています。WebrootのBrightCloud Web分類およびWeb評価サービスは、機械学習に基づくインテリジェンスを使用して、URLを分析して悪意あるコンテンツを検出します。このインテグレーションは、WebrootのAPIを活用して、PhishERがURLの分析依頼を送信したり、レポートデータを取得したり、高度な検索クエリを実行したりできるようにします。

注:この機能は、PhishER Plusを契約されているアカウントのみで利用できます。脅威インテリジェンス機能を設定するために、別途Webrootのサブスクリプションを契約する必要はありません。

脅威インテリジェンスがURLをスキャンした後、PhishERコンソールの[Message Details](メッセージ詳細)ページ内にある[Domains & URLs](ドメインとURL)サブタブで脅威分析レポートを確認できます。詳細については、「PhishERの受信箱ガイド」を参照してください。

インテグレーションの設定

インテグレーションを設定するには、[PhishER Settings](PhishER設定)の[Threat Intel](脅威インテリジェンス)サブタブにあるフィールドに入力します。詳細については、以下のスクリーンショットとリストを参照してください。

  1. [Threat Intel Disabled](脅威インテリジェンス無効化)または[Threat Intel Enabled](脅威インテリジェンス有効化):このトグルボタンを使用して、インテグレーションを無効または有効にします。
  2. (オプション)[Automatic Scanning Settings](自動スキャン設定):このセクションでは、脅威インテリジェンスがメッセージの一部を自動的にスキャンするように設定できます。これらのオプションの詳細については、以下のリストを参照してください。
    • [Automatically scan ALL URLs](すべてのURLを自動スキャン):このチェックボックスを選択すると、PhishER Inbox(受信箱)にあるすべてのURLが脅威インテリジェンスに自動的に送信されます。
  3. [Update Threat Intel Settings](脅威インテリジェンス設定の更新):このセクションのインテグレーション設定への変更を保存するには、このボタンをクリックします。
  4.  (オプション)[Automatic Scanning Timeout](自動スキャンタイムアウト)[Timeout if no response in seconds](応答がない場合のタイムアウト時間(秒))フィールドには、脅威インテリジェンススキャンの結果のカスタムタイムアウトの期間が表示されます。このタイムアウト時間内に脅威インテリジェンスがスキャン結果を返さない場合、そのメッセージに TI_BYPASSEDタグが適用されます。デフォルトのタイムアウト時間は120秒です。メッセージに適用できるタグの詳細については、この記事の「脅威インテリジェンスのタグ」のセクションを参照してください。 
  5. (オプション)[Ignored Domains](無視するドメイン):このセクションには、脅威インテリジェンスがスキャンを実行するときに無視するドメインが表示されます。
  6. [Update Shared Settings](共有設定の更新):インテグレーションのカスタムタイムアウト時間や無視するドメインを更新する場合は、このボタンをクリックして[Shared Integrations Settings](共有インテグレーション設定)ポップアップウィンドウを開いてください。ポップアップウィンドウの[Timeout if no response in seconds](応答がない場合のタイムアウト時間(秒))フィールドに秒数を入力して、脅威インテリジェンスのスキャン結果に対するカスタムタイムアウト時間を設定できます。[Ignored Domains](無視するドメイン)フィールドには、脅威インテリジェンスのスキャンを実行するときに無視するドメインを入力できます。テキストボックスに各ドメインを改行して入力します。このリストにドメインを追加すると、そのドメインのサブドメインも同様に除外されます。ただし、サブドメインをリストに追加する場合、そのドメインは除外されません。ワイルドカード(*)およびURI(Uniform Resource Identifiers)には対応していません。 
    重要:脅威インテリジェンスにリンクとして送信するべきではないKnowBe4ドメインの詳細については、この記事の「スキャンからKnowBe4ドメインを除外する」のセクションを参照してください。

脅威インテリジェンスを使用したスキャン

脅威インテリジェンスのアカウントをPhishERコンソールと連携させると、ドメインやURLに対して脅威インテリジェンススキャンを実行できます。特定のドメインまたはURLに対してThreat Intelスキャンを実行するには、[Message Details](メッセージ詳細)ページの[Scan](スキャン)をクリックしてください。

注:[Automatic Scanning](自動スキャン)を有効にすると、PhishER受信トレイ内の全てのドメインやURLのハッシュが脅威インテリジェンスに自動的に送信されます。

ドメインやURLに対して脅威インテリジェンススキャンを実行すると、完了までに最大15分かかる場合があります。スキャンが完了すると、分析結果がPhishERコンソールの[Message Details](メッセージ詳細)ページに表示されます。[View Scan Results](スキャン結果を表示)をクリックして、結果を確認します。詳細については、「PhishERの受信箱ガイド」「メッセージ詳細の表示」セクションを参照してください。

スキャンからKnowBe4ドメインを除外する

KnowBe4は、脅威インテリジェンスにリンクとして送信すべきではない複数のドメインを使用しています。これらの無視するドメインは、PhishER設定の[Threat Intel](脅威インテリジェンス)サブタブ内の [Shared Integrations Settings](共有インテグレーション設定)セクションで入力できます。ドメインを見つけて除外するには、以下のステップに従って操作します。

  1. KSATコンソールにログインします。
  2. [フィッシング]タブに移動し、次に[ドメイン]サブタブを選択します。このサブタブには、KnowBe4のルートフィッシュリンクドメインのリストが表示されます。詳細については、「フィッシングリンクのドメインの管理」の記事を参照してください。
    注:このサブタブにアクセスできない場合は、フィッシュリンクドメインのリストについて、KnowBe4のサポートチームにお問い合わせください。
  3. 別のブラウザまたはタブで、PhishERコンソールにログインします。
  4. [Settings](設定) > [Threat Intel](脅威インテリジェンス)に移動します。
  5. [Shared Integrations Settings](共有インテグレーション設定)セクションで、[Update Shared Settings](共有設定の更新)をクリックしてください。
  6. [Ignored Domains](無視するドメイン)フィールドに、KSATコンソールのルートドメインを入力します。
  7. [Update Shared Settings](共有設定の更新)をクリックします。
  8. KSATコンソールの複数インスタンスを使用している場合は、ステップ1~7を繰り返して、すべてのインスタンスのルートドメインを除外します。KSATインスタンスの詳細については、KnowBe4のトレーニングインスタンスの記事を参照してください。

脅威インテリジェンスのタグ

スキャン結果に基づいて、脅威インテリジェンスは1つまたは複数のタグをメッセージに適用します。脅威インテリジェンスのタグの詳細については、以下のリストを参照してください。

  1. TI_BYPASSED:脅威インテリジェンススキャンがタイムアウトしたときに、このタグがメッセージに付けられます。このタグは、通常、脅威インテリジェンスの他のタグと一緒に付けられます。脅威インテリジェンスの[Shared Integrations Settings](共有インテグレーション設定)でカスタムタイムアウト期間を設定できます。
    注:脅威インテリジェンスlがタイムアウトした場合でも、PhishERは脅威インテリジェンスの結果が戻ってくるのを待機します。ただし、脅威インテリジェンスがスキャン中は、自動処理はそのアイテムに対して実行されません。
  2. TI_ERROR:脅威インテリジェンスのスキャンで処理エラーが発生した場合や、脅威インテリジェンスがドメインまたはURLをスキャンできなかった場合に、このタグがメッセージに付けられます。
  3. TI_HIGH_RISK:脅威インテリジェンスのスキャンで脅威が検出され、スキャン対象のドメインやURLが高リスクと判断された場合に、このタグがメッセージに付けられます。
  4. TI_IGNORED[Ignored Domains](無視するドメイン)リストに登録されているURLやドメインがメッセージで検出された場合に、このタグがメッセージに付けられます。
  5. TI_LOW_RISK:脅威インテリジェンスのスキャンで脅威が検出されず、スキャン対象のドメインやURLが低リスクと判断された場合に、このタグがメッセージに付けられます。
  6. TI_MODERATE_RISK:脅威インテリジェンスのスキャンで潜在的な脅威が検出され、スキャン対象のドメインやURLが中リスクと判断された場合に、このタグがメッセージに付けられます。
  7. TI_NOT_FOUND:脅威インテリジェンススキャンで、スキャンされたドメインやURLが一致しなかった場合に、このタグがメッセージに付けられます。
  8. TI_PENDING:脅威インテリジェンススキャンがキューに入ったときに、このタグがメッセージに付けられます。このタグはスキャンが完了した時に削除されます。
  9. TI_SCANNED:脅威インテリジェンスのスキャンが、スキャン対象のドメインやURLに脅威が検出されなかったと判断した場合に、このタグがメッセージに付けられます。
  10. TI_SUSPICIOUS:脅威インテリジェンスのスキャンが、スキャン対象のドメインやURLで攻撃が疑われると判断した場合に、このタグがメッセージに付けられます。
注:複数のドメインやURLがあるメッセージは、ファイルのスキャンが別々の時間に終了したり、異なる結果になることがあり、いくつかのTIタグが付けられる場合があります。

この記事は有用でしたか?

1人中1人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ