O recurso de Blocklist do PhishER ajuda você a impedir que e-mails maliciosos ou de spam cheguem às caixas de entrada dos seus usuários. Depois de revisar os e-mails denunciados pelos usuários, você pode atualizar sua lista de bloqueio para enviar informações sobre ameaças ou spams para o servidor de e-mail do Microsoft 365.
Depois de habilitar a lista de bloqueio e de conectá-la ao servidor de e-mail, crie e gerencie as entradas da lista de bloqueio. Cada entrada contém informações que o servidor de e-mail usa para filtrar mensagens futuras. Por exemplo, se você criar uma entrada para um endereço de e-mail malicioso, o servidor de e-mail moverá automaticamente os e-mails futuros desse endereço para as pastas de lixo eletrônico dos usuários.
Para saber mais sobre a Blocklist do PhishER, leia as seções a seguir.
Como habilitar e autorizar a Blocklist do PhishER
Antes de poder criar entradas, você precisa habilitar a Blocklist do PhishER. Você também precisa autorizar a lista de bloqueio, atribuindo a função de administrador do Exchange ao aplicativo de Blocklist do PhishER na sua conta do Microsoft 365 com o Microsoft Entra ID.
Para habilitar e autorizar a lista de bloqueio, siga as etapas abaixo:
- Na plataforma PhishER, vá até Settings (Configurações) > Blocklist (Lista de bloqueio).
- Se um servidor de e-mail do Microsoft 365 não estiver conectado à sua lista de bloqueio, clique em Connect to Microsoft 365 (Conectar ao Microsoft 365) e adicione uma conexão.
- Ative o botão ao lado de Disabled (Desabilitado), na parte superior da página, e clique em Save (Salvar).
- No portal Microsoft Entra ID, atribua a função de Administrador do Exchange ao aplicativo Blocklist do PhishER.
Observação: para obter mais informações sobre como habilitar a lista de bloqueio, consulte a seção Blocklist do artigo Configurações do PhishER: integrações. Para obter mais informações sobre como atribuir a função, consulte o artigo Como atribuir a função de Administrador do Exchange ao aplicativo Blocklist do PhishER.
Como criar entradas da Blocklist do PhishER
Na guia Blocklist (Lista de bloqueio) ou na página Message Details (Detalhes da mensagem), você pode criar entradas para adicionar à sua lista de bloqueio. Se você tiver habilitado o PhishML, também poderá usar as marcas do PhishML para priorizar as mensagens com valores que deseja adicionar à lista de bloqueio.
Para aprender a criar entradas na guia Blocklist (Lista de bloqueio) ou na página Message Details (Detalhes da mensagem), leia as subseções a seguir.
Criando entradas na guia Blocklist
Para criar uma entrada na guia Blocklist (Lista de bloqueio), siga as etapas abaixo:
- Faça login na plataforma PhishER.
- Vá até Blocklist (Lista de bloqueio) > Your Synced Entries (Suas entradas sincronizadas).
- Clique no botão Create Blocklist Entry (Criar entrada da lista de bloqueio) no canto superior direito da página. A janela pop-up Create Blocklist Entry (Criar entrada da lista de bloqueio) será exibida.
- Na janela pop-up, preencha os campos para criar a entrada. Para obter mais informações, veja a captura de tela e a lista abaixo:
- Attribute (Atributo): selecione o atributo que você deseja usar para a entrada. O atributo é o tipo de informação que você deseja que o servidor de e-mail filtre. Selecione a opção Sender (Remetente) para usar o domínio ou o endereço de e-mail do remetente como valor. Por exemplo, você pode digitar um endereço de e-mail completo, como "nomedeusuario@dominio.com", ou um nome de domínio como "dominio.com" para Value (Valor). selecione esta opção para usar um URL ou o nome de host completo como valor. Por exemplo, você pode digitar "www.nomedosite.com/paginadosite" ou "www.nomedosite.com" para Value (Valor). Selecione a opção File Hash (Hash de arquivo) para usar um hash de arquivo SHA-256 como valor.
- Valor: neste campo, digite as informações específicas para que o servidor de e-mail filtre uma mensagem. Por exemplo, se você selecionar Sender (Remetente) para o campo Attribute (Atributo), digite o endereço de e-mail do remetente nesse campo.
-
Duração: neste menu suspenso, selecione o período que você deseja que a entrada permaneça na sua lista de bloqueio. As entradas serão automaticamente removidas da lista de bloqueio após esse período. Uma duração de 60 dias é selecionada por padrão, semelhante à duração padrão da Lista de bloqueios ou permissões do locatário da Microsoft.
Observação: como os criminosos cibernéticos podem mudar seus métodos de ataque rapidamente, é importante manter a lista de bloqueio atualizada. Ao definir uma duração, você pode atualizar a lista de bloqueio com informações dos e-mails recentes denunciados pelos usuários.
- Clique em Save (Salvar) para adicionar a entrada à sua lista de bloqueio.
Depois de criar a entrada, é possível monitorar seu status e outros detalhes. Para obter mais informações, leia a seção Como monitorar suas entradas da lista de bloqueio deste artigo.
Como criar entradas da página Message Details (Detalhes da mensagem)
Para criar uma entrada na página Message Details (Detalhes da mensagem), siga as etapas abaixo:
- Faça login na plataforma PhishER.
- Navegue até a guia Inbox (Caixa de entrada).
- Clique em uma mensagem para abrir a página Message Details (Detalhes da mensagem).
- Clique no ícone vermelho de bloqueio, ao lado de um atributo. A janela pop-up Create Blocklist Entry (Criar entrada da lista de bloqueio) será exibida.
- Na janela pop-up, preencha os campos para criar a entrada. Para obter mais informações, veja a captura de tela e a lista abaixo:
- Attribute (Atributo): selecione o atributo que você deseja usar para a entrada. O atributo é o tipo de informação que você deseja que o servidor de e-mail filtre. Selecione a opção Sender (Remetente) para usar o domínio ou o endereço de e-mail do remetente como valor. Por exemplo, você pode digitar um endereço de e-mail completo, como "nomedeusuario@dominio.com", ou um nome de domínio como "dominio.com" para Value (Valor). selecione esta opção para usar um URL ou o nome de host completo como valor. Por exemplo, você pode digitar "www.nomedosite.com/paginadosite" ou "www.nomedosite.com" para Value (Valor). Selecione a opção File Hash (Hash de arquivo) para usar um hash de arquivo SHA-256 como valor.
- Valor: neste campo, digite as informações específicas para que o servidor de e-mail filtre uma mensagem. Por exemplo, se você selecionar Sender (Remetente) para o campo Attribute (Atributo), digite o endereço de e-mail do remetente nesse campo.
-
Duração: neste menu suspenso, selecione o período que você deseja que a entrada permaneça na sua lista de bloqueio. As entradas serão automaticamente removidas da lista de bloqueio após esse período. Uma duração de 60 dias é selecionada por padrão, semelhante à duração padrão da Lista de bloqueios ou permissões do locatário da Microsoft.
Observação: como os criminosos cibernéticos podem mudar seus métodos de ataque rapidamente, é importante manter a lista de bloqueio atualizada. Ao definir uma duração, você pode atualizar a lista de bloqueio com informações das mensagens recentes denunciadas pelos usuários.
- Clique em Save (Salvar) para adicionar a entrada à sua lista de bloqueio.
Depois de criar a entrada, é possível monitorar seu status e outros detalhes. Para obter mais informações, leia a seção Como monitorar suas entradas da lista de bloqueio deste artigo.
Como monitorar as entradas da Blocklist do PhishER
Na subguia Your Syncing Entries (Suas entradas de sincronização), é possível monitorar as entradas da lista de bloqueio. As entradas são listadas de acordo com seus valores.
Depois de criar as entradas, elas serão exibidas na subguia Your Syncing Entries (Suas entradas de sincronização) da guia Blocklist (Lista de bloqueio). Você também pode excluir as entradas e exibir o status da sincronização de cada entrada nos seus servidores de correio.
Para obter mais informações sobre essa subguia, veja a captura de tela e a lista abaixo:
- Filter by Attribute (Filtrar por atributo): use estes filtros para exibir as entradas com um atributo específico.
- Filter by Status (Filtrar por status): use estes filtros para exibir as entradas com um status específico.
- Filter by Entry Type (Filtrar por tipo de entrada): se você tiver habilitado a Global Blocklist, poderá usar esses filtros para exibir as entradas da Global Blocklist ou as entradas personalizadas somente na Blocklist do PhishER.
-
Valor: esta coluna exibe o valor da entrada. Os valores podem ser um endereço, URL ou hash de arquivo do remetente. O servidor de e-mail usa esse valor para filtrar todos os e-mails que têm o mesmo valor. Para obter mais informações sobre como os e-mails serão filtrados, veja a lista a seguir:
- URL or File Hash (URL ou hash de arquivo): se um e-mail contiver um valor de URL ou hash de arquivo que corresponda a uma entrada, o servidor de e-mail moverá automaticamente o e-mail para a pasta Quarantine (Em quarentena).
- Sender (Remetente): se um e-mail contiver um valor de remetente que corresponda a uma entrada, o servidor de e-mail moverá automaticamente o e-mail para a pasta Junk (Lixo eletrônico).
Dica:você também pode clicar em um valor na coluna para exibir a página Blocklist Audit Log (Registro de auditoria da lista de bloqueio). Para saber mais, leia a seção Como revisar o registro de auditoria deste artigo. -
Status: esta coluna exibe o status da entrada. Para obter mais informações sobre os status, consulte a seguinte lista:
- Pending (Pendente): este status indica que a entrada está em processo de adição ou exclusão da lista de bloqueio.
- Active (Ativa): este status indica que a entrada foi adicionada à lista de bloqueio e sincronizada com o servidor de e-mail conectado.
- Incomplete (Incompleta): este status indica que uma entrada foi adicionada e sincronizada a um ou mais dos servidores de e-mail conectados, mas não a todos eles.
- Failed (Com falha): este status indica que a entrada não foi adicionada e sincronizada com êxito. Se você tiver vários servidores de e-mail conectados à sua lista de bloqueio e uma entrada não for sincronizada com êxito a todos eles, essa entrada será exibida como Failed (Com falha).
- Created By (Criada por): esta coluna indica quem criou a entrada. Se um administrador do PhishER tiver criado a entrada da sua Blocklist do PhishER, será exibida a informação Admin (Administrador). Se a equipe do laboratório de pesquisa de ameaças da KnowBe4 tiver criado a entrada da Global Blocklist, será exibida a informação KnowBe4.
- Created On (Criada em): esta coluna exibe a data e hora nas quais a entrada foi adicionada à lista de bloqueio.
-
Expires On (Expira em): esta coluna exibe a data e hora nas quais a entrada será automaticamente removida da lista de bloqueio.
Observação: a Blocklist do PhishER será sincronizada com o servidor de e-mail do Microsoft 365 a cada dez minutos. Durante esse período, as entradas pendentes na Lista de bloqueios ou permissões do locatário do Microsoft 365 serão adicionadas à subguia Your Syncing Entries (Suas entradas de sincronização) na plataforma PhishER. As entradas existentes na Lista de bloqueios ou permissões do locatário podem levar até 24 horas para serem sincronizadas com a sua Blocklist do PhishER. Na coluna Expires On (Expira em), uma entrada sincronizada exibirá a data e hora nas quais ela será removida das duas listas de bloqueio. Se as entradas da Lista de bloqueios ou permissões do locatário não incluírem uma data de vencimento, a coluna Expires On (Expira em) será exibida como Never Expires (Nunca expira). - Ações: nesta coluna, você pode clicar no ícone de lixeira para abrir a janela pop-up Delete Blocklist Entry (Excluir entrada da lista de bloqueio). Depois, você pode excluir uma entrada da Blocklist do PhishER. Ou ainda pode excluir e ignorar uma entrada para evitar que ela seja adicionada à Blocklist do PhishER. Para saber mais sobre as entradas ignoradas, consulte a subseção Como ignorar entradas, abaixo.
Como ignorar entradas
Para evitar que as entradas sejam bloqueadas nos seus servidores de e-mail, você pode adicioná-las às suas entradas ignoradas. As entradas ignoradas não podem ser adicionadas à Blocklist do PhishER.
Quando uma entrada é ignorada, todas as entradas correspondentes na Blocklist do PhishER ficam com o status de pendente, indicando que elas serão excluídas. Não é possível criar uma entrada correspondente na lista de bloqueio, a menos que a entrada ignorada seja excluída da subguia Your Ignored Entries (Suas entradas ignoradas).
Para ignorar uma entrada existente da lista de bloqueio, siga estas etapas:
- Faça login na plataforma PhishER.
- Vá até Blocklist (Lista de bloqueio) > Your Synced Entries (Suas entradas sincronizadas).
- Localize a entrada que você deseja ignorar.
- Clique no ícone de lixeira na coluna Actions (Ações) dessa entrada. A janela pop-up Delete Blocklist Entry (Excluir entrada da lista de bloqueio) será exibida.
- Na janela pop-up, clique em Delete and Ignore (Excluir e ignorar). Uma entrada ignorada será adicionada à subguia Your Ignored Entries (Suas entradas ignoradas), e a entrada na lista de bloqueio ficará com o status de pendente, indicando que será excluída.
Para criar uma entrada ignorada na subguia Your Ignored Entries (Suas entradas ignoradas), siga as etapas abaixo:
- Faça login na plataforma PhishER.
- Vá até Blocklist (Lista de bloqueio) > Your Ignored Entries (Suas entradas ignoradas).
- Clique no botão Create Ignored Entry (Criar entrada ignorada) no canto superior direito da página. A janela pop-up Create Ignored Entry (Criar entrada ignorada) será aberta.
- Na janela pop-up, crie sua entrada ignorada. Para obter mais informações, veja a captura de tela e a lista abaixo:
- Attribute (Atributo): selecione o tipo de atributo que você deseja usar para sua entrada ignorada. Selecione a opção Sender (Remetente) para usar o domínio ou o endereço de e-mail do remetente como valor. Por exemplo, você pode digitar um endereço de e-mail completo, como "nomedeusuario@dominio.com", ou um nome de domínio como "dominio.com" para Value (Valor). selecione esta opção para usar um URL ou o nome de host completo como valor. Por exemplo, você pode digitar "www.nomedosite.com/paginadosite" ou "www.nomedosite.com" para Value (Valor). Selecione a opção File Hash (Hash de arquivo) para usar um hash de arquivo SHA-256 como valor.
- Valor: neste campo, insira o valor específico para evitar o bloqueio no servidor de e-mail. Por exemplo, se você selecionar Sender (Remetente) para o campo Attribute (Atributo), digite o endereço de e-mail do remetente nesse campo.
- Clique em Save (Salvar) para adicionar a entrada à sua lista de entradas ignoradas.
Na subguia Your Ignored Entries (Suas entradas ignoradas), é possível monitorar as entradas ignoradas. Para obter mais informações sobre essa subguia, veja a captura de tela e a lista abaixo:
-
Search... (Pesquisar...): use este campo para filtrar as entradas ignoradas usando as consultas do Lucene.
Observação: para pesquisar entradas com valores similares, é necessário utilizar caracteres curinga. Por exemplo, você pode pesquisar "*yahoo.com" para encontrar todos os valores que contenham "yahoo.com". Para obter mais informações, leia o artigo Como usar a sintaxe de consulta do Lucene. - Filter by Attribute (Filtrar por atributo): use estes filtros para exibir as entradas com um tipo de atributo específico.
- Valor: esta coluna exibe o valor da entrada.
- Created On (Criada em): esta coluna exibe a data e hora em que a entrada ignorada foi adicionada.
- Ações: nesta coluna, clique no ícone de lixeira para excluir uma entrada ignorada. Ao excluir uma entrada ignorada, você pode usar o valor dessa entrada para criar uma nova na Blocklist do PhishER.
Como revisar o registro de auditoria
Na plataforma PhishER, para exibir o registro de auditoria, acesse a subguia Blocklist (Lista de bloqueio) > Audit Log (Registro de auditoria). O registro de auditoria inclui atividades da Blocklist do PhishER e da Global Blocklist, como quando as entradas foram criadas, excluídas e sincronizadas com os servidores de e-mail.
Para obter mais informações sobre essa subguia, veja a captura de tela e a lista abaixo:
- Timestamp (Carimbo de data/hora): esta coluna exibe a data e a hora em que a ação ocorreu na coluna Event Action (Ação do evento).
-
Event Type (Tipo de evento): esta coluna exibe o tipo de ação que ocorreu. Para obter mais informações sobre os tipos de eventos, consulte a seguinte lista:
- Entry Updated (Atualização da entrada): este tipo indica que uma entrada foi criada ou excluída.
- Entry Synced (Sincronização da entrada): este tipo indica que uma entrada foi sincronizada com a Blocklist do PhishER.
- Blocklist Synced (Sincronização da lista de bloqueio): este tipo indica que todas as entradas foram sincronizadas para todos os servidores de e-mail conectados.
- Valor: esta coluna exibe o valor da entrada afetada.
- Updated By (Atualização realizada por): esta coluna mostra a origem da ação. Quando uma entrada for atualizada, essa coluna exibirá o endereço de e-mail do usuário que realizou a atualização. Quando uma entrada individual ou a lista de bloqueio for sincronizada, essa coluna exibirá o ID ou o nome do servidor de e-mail. Se o sistema tiver realizado a ação, a linha ficará em branco.
- Event Action (Ação do evento): esta coluna indica qual ação foi realizada para uma entrada específica ou para a lista de bloqueio. Created (Criada) aparecerá quando uma entrada tiver sido criada. Synced (Sincronizada) aparecerá quando uma entrada ou lista de bloqueio tiver sido sincronizada com os servidores de e-mail conectados. Deleted (Excluída) aparecerá quando uma entrada tiver sido excluída.
- Status: esta coluna indica se a ação foi bem-sucedida ou se falhou.