KnowBe4のPhishERは、ユーザーが報告するメールを管理するSOAR（セキュリティオーケストレーション、自動化、レスポンス）プラットフォームです。PhishERを使用することで、潜在的なメールの脅威を特定し、セキュリティ対策と多層防御計画を強化できます。

PhishERはスタンドアローンのプラットフォームとして利用できますが、KSATコンソールと組み合わせて使用すると最高の効果を発揮します。また、PhishERはVirusTotalやSyslogなどのサードパーティの解析ツールと連携し、セキュリティスキャンを実行してその評価を提供できます。

PhishERのワークフロー

以下は、PhishERのワークフローの図です。PhishERを正しく理解するために、操作を開始する前にこのワークフローを確認しておくことをお勧めします。

このワークフローの詳細については、以下のリストを参照してください。

1. ユーザーが不審なメールを報告すると、そのメールはPhishERの[Inbox]（受信箱）に送信されます。
2. PhishERは、カスタマイズされたルールを使用して、メールに悪意のあるコンテンツやレッドフラグがないか分析します。次に、PhishERは、ルールの条件と一致したメールにタグを割り当てます。
3. これらのタグによって、PhishERは特定のアクションを実行します。自社でカスタマイズしたルールとアクションに基づいて、PhishERは各メールを自動的に処理します。この処理によって、報告されたメールに優先順位が設定され、実際のフィッシング攻撃に迅速に対応できるようになります。
4. PhishERブロックリストを有効にすると、悪意のあるメールやスパムメールに関する情報を利用して、同様のメールがユーザーの受信箱に配信されないようにブロックできます。PhishER Plusのサブスクリプションに加入し、グローバルブロックリストを有効にしている場合、クラウドで収集される情報を利用して同様のメールをブロックできます。
5. PhishRIPを有効にしている場合、既にユーザーの受信箱に配信されている類似する悪意のあるメールやスパムメールを削除できます。PhishER Plusのサブスクリプションに加入し、グローバルPhishRIPを有効にしている場合、クラウドで収集される情報を利用して同様のメールを削除できます。
6. PhishFlipを有効にしている場合、報告されたメールを利用してKSATフィッシングテンプレートやキャンペーンを作成できます。PhishFlipは、報告されたメールから悪意のあるリンクなどを削除してから、ユーザーにフィッシングテストを送信します。

前提条件

PhishERとKSATを一緒に使用する場合は、両製品で同じシート数を購入する必要があります。サブスクリプション期間中にいずれかの製品のシートを追加で購入する場合、他の製品のシートも購入する必要があります。

PhishERを使用するお客様は、全てのユーザーの報告メールをPhishERの [Inbox]（受信箱）に転送して分析できるように、メール転送システムが必要になります。Phish Alert Button（PAB）を導入することをお勧めしますが、ユーザーが手動で報告用のメールアドレスにメールを転送できるオプションも利用できます。これらの方法の詳細については、「Phish Alert Button（PAB）製品マニュアル」および「PhishERの設定」の記事を参照してください。

アカウントの作成

まず、PhishERアカウントを作成する必要があります。

アカウントを作成するには、以下のステップに従って操作します。

1. 自分のKnowBe4アカウントにログインします。
2. ページの右上隅にある自分の名前をクリックします。ドロップダウンメニューが開いたら、[アカウント設定]を選択します。
3. [アカウント統合] > [PhishER]に移動します。
4. [PhishERアカウントの作成]ボタンをクリックします。

PhishERへのアクセス

PhishERアカウントを作成し、自分のアカウントでPhishERを有効にすると、KnowBe4の[アカウント設定]ページに[PhishERへ移動]ボタンが表示されます。このボタンをクリックすると、PhishERのプラットフォームに直接移動します。また、KnowBe4インスタンスに対応するURLに移動して、PhishERプラットフォームにアクセスすることもできます。詳細については、以下のスクリーンショットとリストを参照してください。

• 米国： https://phisher.knowbe4.com
• カナダ： https://ca.phisher.knowbe4.com
• 欧州連合： https://eu.phisher.knowbe4.com
• ドイツ： https://de.phisher.knowbe4.com
• イギリス： https://uk.phisher.knowbe4.com

報告用のメールアドレスの設定

[Inbox]（受信箱）にメールを転送するために、少なくとも1つの報告用のメールアドレスを設定する必要があります。組織でPABを使用する場合、PABインスタンスごとに報告用のメールアドレスを設定する必要があります。

報告用のメールアドレスを設定する場合は、以下のステップに従って操作します。

1. 自分のKnowBe4アカウントにログインします。
2. ページの右上隅にある自分の名前をクリックします。ドロップダウンメニューが開いたら、[アカウント設定]を選択します。
3. [アカウント統合] > [Phish Alert]に移動し、PABインスタンスの設定を開きます。
4. [非シミュレーションメールの送信先]フィールドに、報告用のメールアドレスを入力します。このフィールドの詳細については、「Phish Alert Button（PAB）製品マニュアル」の 「PABの有効化と構成」セクションを参照してください。
5. [Phish Alert設定の保存]ボタンをクリックします。
6. ページ下部にある[変更を保存]ボタンをクリックします。

Dashboard（ダッシュボード）

PhishERプラットフォームを開くと、[Dashboard]（ダッシュボード）ページが表示されます。このページでは、PhishERプラットフォームの概要を表示できます。このページの詳細については、以下のスクリーンショットとリストを参照してください。

1. [検索]：この検索バーを使用して、Luceneクエリでダッシュボードをフィルタリングできます。ダッシュボードには、条件に一致する全てのメッセージに関する情報の概要が表示されます。
2. [Edit Dashboard Layout]（ダッシュボードレイアウトの編集）：このアイコンをクリックすると、ダッシュボードにウィジェットを追加したりダッシュボードから削除したりできます。各ウィジェットをドラッグ、ドロップ、リサイズして、カスタムレイアウトを作成できます。このアイコンをクリックすると、[Reset Dashboard Layout]（ダッシュボードレイアウトのリセット）と[Add Widget]（ウィジェットの追加）ボタンが表示されます（クリックして表示）。
3. [Last 30 days]（最近30日間）：デフォルトでは、ダッシュボードには過去30日間のデータとアクティビティが表示されます。ただし、[Last 30 days]（最近30日間）ボタンをクリックすると、ダッシュボードの表示を調整して別の日付範囲のデータを表示できます。このボタンをクリックすると、日付範囲を指定するポップアップウィンドウが開きます。
4. [Reported Messages]（報告されたメッセージ）：このセクションでは、PhishERの[Inbox]（受信箱）に転送された報告メッセージの数が表示されます。
5. [Automatically Resolved]（自動的に解決されたメッセージ）：このセクションには、有効なルールとアクションに基づいて処理されたメッセージ数が表示されます。
6. [Manually Resolved]（手動で解決されたメッセージ）：このセクションには、有効なルールとアクションを使用せずに処理されたメッセージ数が表示されます。
7. [Unresolved]（未解決）：このセクションには、処理されていないメッセージの件数が表示されます。
8. [Received Messages]（受信したメッセージ）：この棒グラフには、PhishERの [Inbox]（受信箱）に転送された報告メッセージの数が表示されます。日または時間ごとに報告されたメッセージの数が表示されます。
9. [Messages Summary]（メッセージの概要）：この円グラフには、[Automatically Resolved]（自動的に解決されたメッセージ）、[Manually Resolved]（手動で解決されたメッセージ）、[Pending Review]（「レビュー待ち）のステータスのメッセージ数が比較され表示されます。
10. [Reported Messages by Category]（カテゴリ別の報告メッセージ）：この折れ線グラフには、メッセージの処理方法が表示されます。メッセージは、[Clean]（クリーン）、[Spam]（スパム）、または[Threat]（脅威）として処理されます。各メッセージがPhishERまたは管理者により特定のカテゴリに分類されるまでは、デフォルトで[Unknown]（不明）として処理されます。
11. [Categories]（カテゴリ）：この円グラフには、処理されているメッセージ数が比較され表示されます。
12. [Reported Messages by Priority]（優先度別の報告メッセージ）：この折れ線グラフには、報告されたメッセージの優先順位が表示されます。メッセージには、[Unknown]（不明）、[Low]（低）、[Medium]（中）、[High]（高）、または[Critical]（緊急）のいずれかの優先順位が割り当てられます。各優先順位のタイプについて日または時間ごとに報告されたメッセージの数が表示されます。
13. [Priorities]（優先順位）：この円グラフには、メッセージの優先順位が比較され表示されます。

ルーム

[Rooms]（ルーム）タブでは、PhishERの[Inbox]（受信箱）のメッセージがいくつかの方法でフィルタリングされて表示されます。フィルタリングされた各ビューは、保存されたクエリーとシステムで生成されたフィルタに基づいて表示されます。システムが生成する各フィルタのアイコンをクリックすると、[Inbox]（受信箱）、 [Dashboard]（ダッシュボード）、[Report]（レポート）をフィルタリングして表示できます。

ルーム内の特定のメッセージグループをクリックすると、[Inbox]（受信箱）がフィルタリングされ、そのグループの全てのメッセージが表示されます。少なくとも2つのメッセージがルームの条件を満たす場合に、ルームでメッセージのグループが作成されます。

ルームの詳細については、「PhishERルームの作成と管理方法」の記事を参照してください。

受信箱

[Inbox]（受信箱）タブでは、ユーザーが報告した全てのメッセージを表示できます。これらのメッセージには、PABを使用して報告したメッセージや、報告用のメールアドレスに手動で転送したメッセージなど、ユーザーが報告した全てのメールが含まれます。このタブでは、メッセージをフィルタリングしたり、カスタマイズしたフィルタ設定をルームとして保存できます。また、アクションを実行し、メッセージの処理方法を変更できます。

PhishERは、サードパーティの解析ツールを使って、メッセージのRawデータ、ヘッダー、添付ファイル、本文などの異なる要素に整理します。個々のメッセージをクリックすると、[Message Details]（メッセージの詳細）ページが表示され、メッセージの要素などの詳細情報が表示されます。このページでは、メッセージに対してアクションを実行したり、ディスカッション機能を使用して、メッセージについて管理者とコミュニケーションしたりできます。

[Inbox]（受信箱）の詳細については、「PhishER受信箱の使用方法」の記事を参照してください。

ルール

[Rules]（ルール）タブから、PhishERの全ルールを表示できます。ルールとは、PhishERの[Inbox]（受信箱）に転送されるメールを処理するために使用される論理式です。メールを処理するためには、全てのルールがYARAのルールの論理に従っている必要があります。

ルールに基づいて、PhishERの[Inbox]（受信箱）に転送されたメールにタグが追加されます。[Rules]（ルール）タブには、 [Rules List]（ルールリスト）ページがあり、以下のサブタブが表示されます。

• [Custom Rules]（カスタムルール）：このサブタブには、PhishERのルールエディタを使用して組織がゼロから作成したルールが表示されます。
• [System Rules]（システムルール）：このサブタブには、KnowBe4が提供するデフォルトのルールセットが表示されます。
• [Global Variables]（グローバル変数）：このサブタブには、組織がカスタムルール用に作成したグローバル変数が表示されます。同じ文字列がある複数のルールを使用する場合、グローバル変数を使用してこれらのルールを全て一度に更新できます。

ルールの詳細については、「PhishERルールの作成と管理の方法」の記事を参照してください。

アクション

[Actions]（アクション）タブから、PhishERの全てのアクションを確認できます。メッセージにはタグが割り当てられますが、そのタグはPhishERでのメッセージの処理方法を示します。アクションは、次に、その処理のステップを開始します。例えば、一致した全てのメッセージに[Spam]（スパム）カテゴリを割り当てるアクションを作成できます。[Actions]（アクション）タブには、[Actions List]（アクションリスト）ページがあります。このページでは、PhishERプラットフォームの全てのアクションを作成および管理できます。

アクションの詳細については、「PhishERアクションの作成と管理方法」の記事を参照してください。

レポート

PhishERの全てのレポートは、[Reports]（レポート）タブから表示できます。各サブタブには、ユーザーが報告したメールに含まれる一般的な情報に関するレポートが表示されます。デフォルトでは、各レポートには過去30日間のデータとアクティビティが表示されますが、ページの右上にある[Last 30 Days]（最近30日間）ボタンをクリックして、データを表示する日付範囲を調整できます。

[Reports]（レポート）タブには、以下のサブタブがあります。

• [Attachments]（添付ファイル）：このサブタブには、ユーザーが報告したメールに最も多く含まれていた添付ファイルの種類が表示されます。
• [Reporters]（報告者）：このサブタブには、メールを最も多く報告したユーザーが表示されます。
• [Senders]（送信者）：このサブタブには、ユーザーが報告したメールに最も多く関連付けられていた送信者ドメインが表示されます。
• [Domains and URLs]（ドメインとURL）：このサブタブには、ユーザーが報告したメールに最も多く含まれていたドメインとURLが表示されます。
• [Tags]（タグ）：このサブタブには、ユーザーが報告したメールに最も多く適用されたタグが表示されます。

レポートの詳細については、 「PhishERレポートの使用方法」の記事を参照してください。

ブロックリスト

PhishERブロックリスト機能は、 Microsoft 365メールサーバーが悪意のあるメールやスパムメールをユーザーの受信箱に配信しないようにします。[Blocklist]（ブロックリスト）タブの[Your Syncing Entries]（同期中のエントリ）サブタブから、全てのブロックリストエントリを表示できます。ユーザーから報告されたメールを確認するときに、ブロックリストを更新し、脅威やスパムに関する情報をメールサーバーに送信できます。

ブロックリストの詳細については、「PhishERブロックリストの使用方法」の記事を参照してください。

PhishRIP

PhishRIPは、PhishERのメール隔離機能であり、Microsoft 365またはGoogle Workspaceのインスタンスに接続されている全ての受信箱で、ユーザーが報告したメールを検索できます。PhishRIPの全ての検索結果やクエリは、[PhishRIP]タブで表示できます。PhishRIPを使用すると、ユーザーの受信箱から潜在的なメールの脅威を取り除き、フィッシング攻撃を防止できます。

[Inbox]（受信箱）で個々のメッセージを選択し、[Run]（実行）ドロップダウンメニューをクリックすると、PhishRIPクエリによって検出されたメッセージに対して実行されるアクションを開始できます。

PhishRIPの詳細については、「PhishRIPの使用方法」の記事を参照してください。

PhishFlip

PhishFlipはPhishERの機能の1つであり、KSATコンソールでユーザーが報告したメールをフィッシングキャンペーンに再利用できるようにします。PhishFlipは、報告されたメールから悪意のあるリンクなどの危険な要素を全て削除し、フィッシングテンプレートとしてユーザーに送信しても安全な状態にします。

PhishFlipをPhishERプラットフォームで有効にすると、ユーザーから報告されたメールからKSATフィッシングテンプレートを作成できます。そのフィッシングテンプレートを使って、KSATコンソールでフィッシングキャンペーンを作成できます。また、PhishERプラットフォームで報告された特定のメールを含む自動PhishFlipキャンペーンも作成できます。

PhishFlipの詳細については、「PhishFlipの使用方法」の記事を参照してください。