PhishERコンソールのルールとは、PhishER受信箱のメッセージを自動的に処理し、タグ付けするための論理式です。割り当てられたタグがトリガーになって、PhishERによってメッセージに対してアクションが実行されます。[Rules](ルール)タブからルールを作成できます。アクションを作成する場合は、「PhishERアクションの作成と管理方法」の記事を参照してください。
[Rules](ルール)タブには、カスタムルールとシステムルールの2つのタイプのルールがあります。カスタムルールは、Yaraルールエディタで作成できるルールです。システムルールは、KnowBe4が提供するデフォルトのルールです。[Rules](ルール)タブには、グローバル変数も含まれます。グローバル変数を作成すると、同じ文字列がある複数のルールで使用できます。グローバル変数を更新すると、その文字列を含む全てのルールを更新できます。
ルールの作成
PhishERコンソールでカスタムルールを作成し、PhishER受信箱に転送されたメッセージを処理できます。ルールを作成する場合、ベーシックエディタまたはアドバンスドエディタのいずれかを使用できます。全てのカスタムルールは、YARA(Yet Another Recursive/Ridiculous Acronym)の論理に従っている必要があります。YARAは、マルウェアサンプルを識別および分類するために使用するツールです。
ルールを作成するには、以下のステップに従って操作します。
- PhishERコンソールにログインします。
- ページ左側のサイドバーから、[Rules](ルール)タブを選択し、[Rules List](ルールリスト)ページを開きます。
- ページ右上隅の[New Rule](新規ルール)ボタンをクリックすると、[Rule Details](ルールの詳細)ページが表示されます。
注:PhishERが、ニーズの説明に基づいて自動的にルールを生成するようにするには、「YARAルールジェネレーターを使用したルールの作成」セクションを参照してください。
- [Name](名前)フィールドに、ルールの一意の名前を入力します。ルールの機能が簡単に分かるような名前を入力すると便利です。数字で始まる名前、64文字を超える名前は使用できません。また、YARAのドキュメント「YARAルールの記述」に記載されているキーワードも名前に使用できません。
- (オプション)[Description](説明)フィールドに、ルールの説明を入力します。ベストプラクティスとして、このフィールドにはルールの機能についての説明を入力することをお勧めします。説明の長さは、64文字を超えることはできません。
- [Edit Tags](タグの編集)セクションに、メッセージがこのルールに一致する場合にメッセージに追加するカスタムタグを追加します。タグを追加するには、[Add new tag](新しいタグの追加)をクリックし、タグの名前を入力します。次に、[Add new tag](新しいタグの追加)フィールドの外側をクリックし、タグを作成します。
- [Choose target](対象の選択) ドロップダウンメニューから、ルールを適用または実行するメッセージの部分を選択します。選択できる対象は、[Raw]、[Headers](ヘッダー)、[Body](本文)、[Attachments](添付ファイル)のいずれかです。デフォルトでは、[Raw]が選択されます。
- [Yara Rule Editor](Yaraルールエディタ)セクションで、ベーシックエディタまたはアドバンスドエディタのいずれかを使用してルールを記述します。詳細については、以下のサブセクションを参照してください。
ベーシックエディタを使用したルールの作成
ベーシックエディタでは、YARAルールの論理を全て記述せずに、カスタムルールを作成できます。文字列の値を入力し、ルールの条件を選択すると、ベーシックエディタが入力した内容を処理して、ルールの論理を作成します。[Basic Editor](ベーシックエディタ)タブを使用してルールを作成する方法については、以下のスクリーンショットとリストを参照してください。
- [Basic Editor](ベーシックエディタ):このタブを選択すると、ルールの作成に使用できるオプションが表示されます。
- [Create Strings](文字列の作成):条件を作成するときに使用する文字列を作成および定義します。詳細については、「ベーシックエディタで文字列や条件を作成する方法」の記事を参照してください。
- [New String](新しい文字列):このボタンをクリックすると、ルールに文字列が追加されます。1つのルールに、最大5つの文字列を作成できます。
-
[Create Conditions](条件の作成):定義した文字列の関係性を選択し、条件を作成します。これらの条件では、ルールの影響を受けるメッセージを指定できます。詳細については、「ベーシックエディタで文字列や条件を作成する方法」の記事を参照してください。以下のオプションを選択できます。
- [Match any of the defined strings](定義したいずれかの文字列に一致):このオプションを選択すると、定義したいずれかの文字列と一致するメッセージを検出します。
- [Match all of the defined strings](定義した全ての文字列に一致):このオプションを選択すると、定義した全ての文字列と一致するメッセージを検出します。
- [Custom conditions](カスタム条件):このオプションを選択すると、カスタム条件に一致するメッセージを検出します。
- [New Condition Group](新しい条件グループ):[Custom conditions](カスタム条件)が選択されている場合、このボタンをクリックすると、メッセージにルールを適用するために満たさなければならないカスタム条件を作成できます。
-
[Save Rule](ルールを保存):このボタンをクリックすると、ルールが保存されます。ルールは、[Rules List](ルールリスト)ページの[Custom Rules](カスタムルール)サブタブに表示されます。ルールを保存した後、ルールの[Status](ステータス)列の下にあるトグルボタンをオンにすると、ルールを有効にできます。次に、ページ右上にある[Apply Changes](変更を適用)ボタンをクリックします。
- [Apply Rule to Inbox](受信箱にルールを適用):このボタンをクリックすると、受信箱にある全てのメッセージに対してルールが実行されます。このオプションを使用するには、少なくとも1つのメッセージがルールとプレビュールールの条件に一致する必要があります。
アドバンストエディタを使用したルールの作成
アドバンスドエディタでは、サポートなしでYARAルールの論理を記述できます。アドバンストエディタでルールを編集すると、そのルールはベーシックエディタでは編集できなくなります。YARAルールの論理を使用したルールの記述方法については、「YARAルールの記述方法」の記事を参照してください。[Advanced Editor](アドバンスドエディタ)タブを使用してルールを作成する方法については、以下のスクリーンショットとリストを参照してください。
- [Advanced Editor](アドバンスドエディタ):このタブを選択すると、コードブロックのセクションが表示され、YARAルールの論理でルールを記述できます。
-
[Save Rule](ルールを保存):このボタンをクリックすると、ルールが保存されます。ルールは、[Rules List](ルールリスト)ページの[Custom Rules](カスタムルール)サブタブに表示されます。ルールを保存した後、ルールの[Status](ステータス)列の下にあるトグルボタンをオンにすると、ルールを有効にできます。次に、ページ右上にある[Apply Changes](変更を適用)ボタンをクリックします。
- [Apply Rule to Inbox](受信箱にルールを適用):このボタンをクリックすると、受信箱にある全てのメッセージに対してルールが実行されます。このオプションを使用するには、少なくとも1つのメッセージがルールとプレビュールールの条件に一致する必要があります。
YARAルールジェネレーターを使用したルールの作成
YARAルールジェネレーターを使用して、ルールが実行する操作を記述し、カスタムルールを作成できます。ルールの検出要件を入力すると、YARAルールジェネレーターは入力した内容を処理して、ルールの論理を作成します。[YARA Rule Generator](YARAルールジェネレーター)タブを使用してルールを作成するには、以下のステップに従って操作します。
ルールを作成するには、以下のステップに従って操作します。
- PhishERコンソールにログインします。
- ページ左側のサイドバーから、[Rules](ルール)タブを選択し、[Rules List](ルールリスト)ページを開きます。
- ページ右上の[New AI Rule](新規AIルール)ボタンをクリックすると、[Rule Details](ルールの詳細)ページが表示されます。
-
[Describe your detection requirements](検出要件を記述)に作成するルールの説明を入力します。
-
[Generate Rule](ルールの生成)をクリックします。YARAルールジェネレーターは、入力された検出要件を、名前、説明、タグ、完全なYARA構文を含むPhishERルールに変換します。
- 必要に応じて生成されたルールを編集できます。次に、[Save Rule](ルールを保存)をクリックしてルールを保存します。
ルールのプレビュー
新しいルールを保存する前に、ルールがPhishERのメッセージにどのように影響するかをプレビューすることをお勧めします。ルールをプレビューする場合は、以下のステップに従って操作します。
- PhishERコンソールにログインします。
- ページ左側のサイドバーから、[Rules](ルール)タブを選択し、[Rules List](ルールリスト)ページを開きます。
- ページ右上隅にある[New Rule](新規ルール)ボタンをクリックするか、[Rules List](ルールリスト)ページでルールを選択します。[New Rule](新規ルール)ボタンをクリックすると、[Rule Details](ルールの詳細)ページが表示されます。
- [YARA Rule Editor](YARAルールエディタ)セクションを使用して、YARAルールを作成または修正します。
- ルールを保存する前に、[Run Preview](プレビューの実行)ボタンをクリックします。ルールに一致した受信箱にあるメッセージのリストが表示されます。
注:PhishERは、ルールプレビューのために最大で直近の1000件のメッセージのみを確認します。ルールに一致するメッセージが直近の1000件のメッセージにない場合、そのメッセージはプレビューに表示されません。
- 以下の条件オプションを変更して、プレビューリストを更新できます。
- [Saved Query](保存されたクエリ)(オプション):カスタムの[Saved Query](保存されたクエリ)を選択すると、そのクエリにあるメッセージにルールがどのように影響するのかを確認できます。
- [Last 7 days](最近7日間):プレビューするメッセージの日付範囲を選択します。[Last 24 hours](最近24時間)、[Last 7 days](最近7日間)、および[Last 30 days](最近30日間)を選択できます。デフォルトでは、[Last 7 days](最近7日間)が選択されます。
- [Matched Messages](一致したメッセージ):ルールをプレビューするときに、プレビューリストでメッセージをフィルタリングする追加のオプションが表示されます。
- [Matched Messages](一致したメッセージ)(デフォルト):このオプションを選択すると、PhishERの[Inbox](受信箱)にあるメッセージのうち、ルールの条件に一致したメッセージだけが表示されます。
- [Unmatched Messages](一致しないメッセージ):このオプションを選択すると、PhishERの[Inbox](受信箱)にあるメッセージのうち、ルールの条件に一致しないメッセージだけが表示されます。
-
[All Messages](全てのメッセージ):このオプションを選択すると、PhishERの[Inbox](受信箱)にある全てのメッセージが表示されます。[Matched](一致)列には、メッセージがルールに一致した(true)か、一致しなかった(false)かが表示されます。
注:プレビューリストに表示されたメッセージを開く場合は、新しいルールを失わないように、新しいタブでメッセージを開くことをお勧めします。 - (オプション)プレビューリストの全てのメッセージに対してこのルールを実行する場合は、[Apply Rule to Current Matches](現在一致しているメッセージにルールを適用)ボタンをクリックします。
ルールの編集
カスタムルールを編集するには、[Rules List](ルールリスト)ページでルールの[Name](名前)または [Description](説明)をクリックして、[Rule Details](ルールの詳細)ページを開きます。システムルールを編集する場合は、カスタムルールを新規作成します。次に、システムルールの論理をYara Rule Editor(Yaraルールエディタ)のカスタムルールにコピーアンドペーストします。システムルールの詳細については、この記事の「システムルールの使用」のセクションを参照してください。
グローバル変数の使用
[Rules List](ルールリスト)ページの[Global Variables](グローバル変数)サブタブから、グローバル変数を作成し、作成したグローバル変数を表示できます。同じ文字列がある複数のルールを使用する場合、グローバル変数を使用してこれらの文字列を全て一度に更新できます。
ベーシックエディタまたはアドバンスドエディタを使用して、グローバル変数を含む文字列を作成して、ルールにグローバル変数を追加できます。グローバル変数を編集すると、グローバル変数を含む全てのルールが自動的に更新されます。
グローバル変数を作成するには、以下のステップに従って操作します。
- PhishERコンソールにログインします。
- ページ左側のサイドバーから、[Rules](ルール)タブを選択し、[Rules List](ルールリスト)ページを開きます。
-
[Global Variables](グローバル変数)サブタブに移動します。
- ページの右上隅にある[New Variable](新規変数)ボタンをクリックします。このボタンをクリックすると、[Create Global Variable](グローバル変数の作成)ページが表示されます。
-
[Name](名前)フィールドに、グローバル変数の名前を入力します。
-
[Value](値)フィールドに、グローバル変数の値を入力します。
注:グローバル変数は、他の変数や文字列に適用される同じ要件を満たす必要があります。数字で始まる値、255文字を超える値は使用できません。また、YARAのドキュメント「YARAルールの記述」に記載されているキーワードも値には使用できません。
- [Save](保存)をクリックして、グローバル変数を保存します。グローバル変数は、[Rules List](ルールリスト)ページの[Global Variables](グローバル変数)サブタブに表示されます。
[Rules List](ルールリスト)ページでは、グローバル変数の作成日や最終更新日など、グローバル変数に関する情報を確認できます。また、グローバル変数の値を編集するには、変数名をクリックして[Edit Global Variable](グローバル変数の編集)画面を表示します。既存のグローバル変数の名前は変更できません。グローバル変数を削除する場合は、ゴミ箱のアイコンをクリックします。
グローバル変数を使用したルールの作成方法については、「YARAルールのベーシックエディタで文字列や条件を作成する方法」の記事を参照してください。
システムルールの使用
PhishERコンソールでは、メッセージを処理してタグ付けするのに役立つシステムルールを利用できます。[ルールリスト]ページの[システムルール]サブタブで、PhishERコンソールでこれらのルールを有効にできます。デフォルトでは、システムルールは無効になっています。
システムルールの詳細については、以下のスクリーンショットとリストを参照してください。
| ルール名 | ルールの説明 |
|---|---|
| KB4:COMMUNICATION | このルールは、フィッシングの試行の件名または差出人フィールドにコミュニケーションに関する一般的な単語が含まれているメッセージを検出します。 |
| KB4:NON_ENGLISH | このルールは、フィッシングの試行の件名または差出人フィールドに英語ではない一般的な単語が含まれているメッセージを検出します。 |
| KB4:URGENCY | このルールは、フィッシングの試行の件名または差出人フィールドに緊急性を示す一般的な単語が含まれているメッセージを検出します。 |
| KB4:SECURITY | このルールは、フィッシングの試行の件名または差出人フィールドにセキュリティ問題関連の一般的な単語が含まれているメッセージを検出します。 |
| KB4:SHIPPING | このルールは、フィッシングの試行の件名または差出人フィールドに配送関連の一般的な単語が含まれているメッセージを検出します。 |
| KB4:FINANCIAL | このルールは、フィッシングの試行の件名または差出人フィールドに財務に関する一般的な単語が含まれているメッセージを検出します。 |
| KB4:BILLING | このルールは、フィッシングの試行の件名または差出人フィールドに請求関連の一般的な単語が含まれているメッセージを検出します。 |
| KB4:GENERAL | このルールは、フィッシングの試行の件名または差出人フィールドに一般的な単語が含まれているメッセージを検出します。 |
| KB4:BRANDS | このルールは、フィッシングの試行の件名または差出人フィールドにブランド関連の一般的な単語が含まれているメッセージを検出します。 |
| KB4:419SCAM | このルールは、フィッシングの試行の件名または差出人フィールドに419詐欺(ナイジェリア詐欺)を示す一般的な単語が含まれているメッセージを検出します。 |
| KB4:KSAT_HEADERS_TRAINING | このルールは、KnowBe4ヘッダーを含むトレーニング通知メッセージを検出します。 |
| KB4:KSAT_HEADERS_PST | このルールは、KnowBe4ヘッダーを含むフィッシングセキュリティテスト(PST)メッセージを検出します。 |
| KB4:SPF_PASS | このルールは、SPFチェックを通過したメッセージを検出します。 |
| KB4:DKIM_PASS | このルールは、DKIMチェックを通過したメッセージを検出します。 |
| KB4:JAPANESE | このルールは、フィッシングの試行の件名または差出人フィールドに日本語の一般的な単語が含まれているメッセージを検出します。 |
QRコードデコーダータグ
QRコードデコーダーはPhishERの機能で、コンソールのバックグラウンドで動作し、報告されたメールにあるQRコードを自動的にスキャンします。QRコードデコーダーがメッセージの本文でQRコードを検出すると、QRコードに埋め込まれているURLを抽出して、メッセージにタグを割り当てます。PhishERの受信箱の[メッセージの詳細]ページの[ドメインとURL]に抽出されたURLが表示されます。QRコードデコーダータグの詳細については、以下のリストを参照してください。
| タグ名 | タグの説明 |
|---|---|
| QR_CODE_FOUND | QRコードデコーダーがメッセージの本文でQRコードを検出したときに、メッセージにこのタグが付けられます。 |
| QR_CODE_SCAN_FAILED | QRコードデコーダーがメッセージをスキャンできないときに、メッセージにこのタグが付けられます。例えば、QRコードにURLが埋め込まれていない場合に、スキャンが失敗します。 |
ルールリストの表示
[Rules List](ルールリスト)には、全てのルールとグローバル変数が表示されます。[Rules List](ルールリスト)ページの詳細については、以下のスクリーンショットとリストを参照してください。
- [Name](名前):この列には、ルールに割り当てられた名前が表示されます。
- [Description](説明):この列には、ルールの説明が表示されます。
- [Rule Target](ルールの対象):この列には、ルールを実行する対象となるメッセージの部分が表示されます。例えば、メールのヘッダーをルールの対象にできます。
-
[Status](ステータス):この列には、ルールの現在のステータスが表示されます。ルールは、有効または無効にすることができます。ルールのステータスを変更するには、トグルボタンをクリックします。
注:PhishERの[Inbox](受信箱)のメッセージに対してルールを実行するためには、ルールが有効になっている必要があります。
- [Updated At](アップデート日時):この列には、ルールが最後に更新された日時が表示されます。
- [Matched Count](一致回数):この列には、PhishERの[Inbox](受信箱)のメッセージがルールと一致した回数が表示されます。
- [Tags](タグ):この列には、メッセージに追加された全てのタグが表示されます。タグは、メッセージがルールに一致した場合にのみ、メッセージに追加されます。
- [Filter by Status](ステータス別にフィルタリング):このドロップダウンメニューをクリックすると、有効または無効なルールを選択して、ルールをフィルタリングして表示できます。