Como usar a caixa de entrada

A caixa de entrada do PhishER exibe e-mails que seus usuários denunciam manualmente ou usando o Phish Alert Button (PAB). Depois que seus usuários começam a denunciar e-mails, eles podem ser exibidos e gerenciados na sua caixa de entrada.

Consulte as seções a seguir para aprender a usar sua caixa de entrada.

Acesse:
Acessando a caixa de entrada

Baixando o CSV da caixa de entrada

Filtrando a caixa de entrada

Executando ações nas mensagens selecionadas

Exibindo detalhes da mensagem

Exibindo as ações e discussões

Actions (Ações)
Discussion (Discussão)

Acessando a caixa de entrada

Se você deseja mostrar ou ocultar colunas específicas da caixa de entrada, selecione o ícone de engrenagem no canto superior direito da página Inbox (Caixa de entrada). Ao clicar nesse ícone, a janela pop-up Inbox Table Settings (Configurações de tabela da caixa de entrada) (clique para ver) é exibida. Você pode mostrar ou ocultar colunas marcando ou desmarcando a caixa de seleção à esquerda do nome da coluna.

Para obter mais informações sobre a página Inbox (Caixa de entrada), veja a captura de tela e a lista abaixo:

Category (Categoria): esta coluna exibe o agrupamento de mensagens com base na classificação. Uma mensagem pode ser categorizada ou classificada de uma das seguintes três formas: Clean (Limpa), Spam (Spam) ou Threat (Ameaça). Até que uma classificação diferente seja determinada, cada mensagem será classificada como Unknown (Desconhecida).
From (De): esta coluna exibe o nome do remetente associado à mensagem original.
From Email (Do e-mail): esta coluna exibe o endereço de e-mail associado à mensagem original.
Subject (Assunto): esta coluna exibe o texto encontrado na linha de assunto da mensagem original.
First Disposition Date (Data da primeira classificação): esta coluna exibe a data e hora nas quais a mensagem foi classificada pela primeira vez.
Current Disposition Date (Data da classificação atual): esta coluna exibe a data e hora nas quais a classificação atual da mensagem foi aplicada.
Reported At (Denunciada em): esta coluna exibe a data e hora nas quais a mensagem foi recebida na caixa de entrada.
Reported By (Denunciada por): esta coluna exibe o nome do usuário que denunciou a mensagem.
Reported By (Email) (Denunciada por (e-mail)): esta coluna exibe o endereço de e-mail do usuário que denunciou a mensagem.
Status (Status): esta coluna exibe o status da análise de uma mensagem. Uma mensagem pode ter o status de Received (Recebida), In Review (Em revisão) ou Resolved (Solucionada).
Tags (Marcas): esta coluna exibe um rótulo anexado a uma mensagem, com base nos atributos da mensagem. Não há limites em relação ao número de marcas que uma mensagem pode ter. Todas as marcas podem ser clicadas. Ao clicar em uma marca, você pode criar uma exibição filtrada da caixa de entrada do PhishER, com base nessa marca. As marcas podem ser automática ou manualmente atribuídas a uma mensagem. Veja a lista abaixo para saber como elas podem ser atribuídas:

As marcas são automaticamente atribuídas a uma mensagem quando a mensagem corresponde a uma regra que contém essa marca específica.
Um administrador pode adicionar manualmente uma marca a uma mensagem na página Inbox (Caixa de entrada) ou Message Details (Detalhes da mensagem) da caixa de entrada do PhishER. Os administradores também podem adicionar marcas a várias mensagens, selecionando-as na caixa de entrada.
Os usuários podem sugerir uma marca para uma mensagem com o recurso de classificação do Phish Alert Button (PAB). Para obter mais informações, consulte o artigo Como adicionar comentários do usuário e classificar um e-mail no Phish Alert Button.

Priority (Prioridade): esta coluna indica se uma mensagem precisa de revisão urgente devido a um conteúdo potencialmente malicioso. Uma mensagem pode ter uma prioridade Low (Baixa), Medium (Média), High (Alta), Critical (Crítica) ou Unknown (Desconhecida). A prioridade de uma mensagem é determinada inicialmente pelas regras e ações da sua organização. No entanto, os administradores podem alterar a prioridade a qualquer momento.

PhishRIP: esta coluna ficará disponível quando o PhishRIP for habilitado na plataforma PhishER (clique para ver). Você pode clicar no ícone de adição para iniciar o PhishRIP. Se o PhishRIP já estiver iniciado na mensagem, um ícone de espinha de peixe será exibido.

Voltar ao início

Baixando o CSV da caixa de entrada

Você pode baixar um arquivo CSV da caixa de entrada do PhishER clicando no botão Download CSV (Baixar CSV) no canto superior direito da página Inbox (Caixa de entrada). Esse arquivo CSV incluirá todas as colunas visíveis e ocultas na caixa de entrada.

Para obter mais informações sobre essas colunas, consulte a tabela a seguir:

Column Name (Nome da coluna)	Description (Descrição)
id	Esta coluna exibe uma sequência de caracteres exclusiva usada para identificar a mensagem.
md5	Esta coluna exibe o valor de hash da mensagem usando o algoritmo MD5.
sha1	Esta coluna exibe o valor de hash da mensagem usando o algoritmo SHA1.
sha256	Esta coluna exibe o valor de hash da mensagem usando o algoritmo SHA256.
status	Esta coluna exibe o status da mensagem. Uma mensagem pode ter o status de Received (Recebida), In Review (Em revisão) ou Resolved (Solucionada).
attachments_count	Esta coluna exibe o número de anexos incluídos na mensagem.
category	Esta coluna exibe a categoria de uma mensagem. Uma mensagem pode ser categorizada ou classificada de uma das seguintes quatro formas: Clean (Limpa), Spam (Spam), Threat (Ameaça) ou Unknown (Desconhecida). Para obter mais informações, consulte a seção Acessando a caixa de entrada, acima.
from	esta coluna exibe o endereço de e-mail associado à mensagem original.
from_name	esta coluna exibe o nome do remetente associado à mensagem original.
reply_to	Esta coluna exibe o endereço de e-mail que preencherá o campo to (para) de um e-mail, se um usuário responder à mensagem.
reply_to_name	Esta coluna exibe o nome ou endereço de e-mail que preencherá o campo to (para) de um e-mail, se um usuário responder à mensagem.
reported_at	Esta coluna exibe a data e hora nas quais a mensagem foi recebida na caixa de entrada. A data e hora estão no formato de Tempo Universal Coordenado (Coordinated Universal Time, UTC).
reported_by	esta coluna exibe o endereço de e-mail do usuário que denunciou a mensagem.
reported_by_name	esta coluna exibe o nome do usuário que denunciou a mensagem.
priority	Esta coluna exibe a prioridade de uma mensagem. Uma mensagem pode ter uma prioridade Low (Baixa), Medium (Média), High (Alta), Critical (Crítica) ou Unknown (Desconhecida). Para obter mais informações, consulte a seção Acessando a caixa de entrada, acima.
subject	esta coluna exibe o texto encontrado na linha de assunto da mensagem original.
tags	Esta coluna exibe todas as marcas que estão anexadas à mensagem.
IngestionAddress	Esta coluna exibe o endereço de e-mail de denúncia usado para encaminhar a mensagem para o PhishER.
Current disposition date	Esta coluna exibe a data e hora nas quais a mensagem foi classificada pela última vez. A data e hora estão no formato UTC.
First disposition date	Esta coluna exibe a data e hora nas quais a mensagem foi classificada pela primeira vez. A data e hora estão no formato UTC.

Voltar ao início

Filtrando a caixa de entrada

Você pode filtrar suas mensagens na caixa de entrada. Para saber quais filtros você pode selecionar, veja a captura de tela e a lista abaixo:

Filter by Category (Filtrar por categoria): esta seção permite filtrar as mensagens com base na classificação. Para obter mais informações, consulte as opções listadas abaixo:
- Clean (Limpa): selecione esta opção para exibir todas as mensagens classificadas como limpas.
- Spam (Spam): selecione esta opção para exibir todas as mensagens classificadas como spam.
- Threat (Ameaça): selecione esta opção para exibir todas as mensagens classificadas como ameaça.
- Unknown (Desconhecida): selecione esta opção para exibir todas as mensagens que não estão classificadas com uma das três principais classificações.
Filter by Status (Filtrar por status): esta seção permite filtrar as mensagens com base nos seus status de análise no PhishER. Para obter mais informações, consulte as opções listadas abaixo:
- Received (Recebida): selecione esta opção para exibir todas as mensagens que não foram revisadas no PhishER.
- In Review (Em revisão): selecione esta opção para exibir todas as mensagens que estão em revisão.
- Resolved (Solucionada): selecione esta opção para exibir todas as mensagens que foram revisadas e solucionadas.
Filter by Priority (Filtrar por prioridade): esta seção permite filtrar mensagens com base nas suas prioridades atribuídas. Para obter mais informações, consulte as opções listadas abaixo:
- Unknown (Desconhecida): selecione esta opção para exibir todas as mensagens que não foram priorizadas.
- Low (Baixa): selecione esta opção para exibir todas as mensagens marcadas com prioridade baixa.
- Medium (Média): selecione esta opção para exibir todas as mensagens marcadas com prioridade média.
- High (Alta): selecione esta opção para exibir todas as mensagens marcadas com prioridade alta.
- Critical (Crítica): selecione esta opção para exibir todas as mensagens marcadas com prioridade crítica.

Para mais opções de filtro, use a caixa Search... (Pesquisar...) para filtrar sua caixa de entrada usando as consultas Lucene. Você também pode salvar os filtros personalizados clicando no botão Save query as room (Salvar consulta como sala). Para obter mais informações, consulte nossos artigos Como usar a sintaxe de consulta Lucene e Como criar e gerenciar salas do PhishER.

Voltar ao início

Executando ações nas mensagens selecionadas

Para selecionar uma mensagem, marque a caixa de seleção à esquerda da mensagem. Quando uma mensagem é selecionada, o menu suspenso Run (Executar) é exibido no canto superior esquerdo da página Inbox (Caixa de entrada). Nesse menu suspenso, você pode selecionar uma ação listada em Replay (Repetir), PhishRIP, Email (PhishRIP, E-mail) ou Actions (Ações).

Para obter mais informações sobre essas opções, veja a captura de tela e a lista abaixo:

Replay (Repetir): esta subseção permite que você execute novamente suas regras e ações nas mensagens selecionadas. Para obter mais informações sobre as ações disponíveis, consulte esta lista:

All Rules (Todas as regras): esta ação permite executar todas as suas regras personalizadas em qualquer mensagem selecionada. Se selecionada manualmente, ela também será executada para os e-mails que não correspondem aos critérios das suas marcas.
All Rules and All Actions (Todas as regras e Todas as ações): esta ação permite executar todas as suas regras e ações personalizadas em qualquer mensagem selecionada. Se VirusTotal ou PhishML tiver sido habilitado pela sua organização, eles também serão executados em qualquer mensagem selecionada.

PhishRIP: Se a sua organização tiver o PhishRIP habilitado, esta subseção permitirá que você execute ações do PhishRIP em qualquer mensagem selecionada. Para obter mais informações sobre as ações disponíveis, consulte esta lista:

Find Similar Messages (Localizar mensagens semelhantes): esta ação abrirá a janela pop-up Find Similar Messages (Localizar mensagens semelhantes), que permitirá selecionar os critérios de correspondência da consulta do PhishRIP.
Create KMSAT Template (Criar modelo do KMSAT): esta ação enviará o e-mail selecionado para o console do KMSAT para criar um novo modelo de phishing usando uma versão limpa do e-mail.

Email (E-mail): esta subseção permite que você envie um e-mail. Clique em Send Custom Email (Enviar e-mail personalizado) para abrir o editor de modelo em uma janela pop-up. Quando seu e-mail estiver pronto para ser enviado, clique no botão Send (Enviar).

Ações: esta subseção permite que você execute ações personalizadas em qualquer mensagem selecionada.

Dica: como alternativa, para a execução nas mensagens selecionadas, é possível selecionar uma ação rápida na barra QuickActions (Ações rápidas), no canto superior direito da página Inbox (Caixa de entrada) (clique para ver). As duas opções podem ser úteis quando uma mensagem é recebida antes da criação de uma ação.

Na parte superior da página Inbox (Caixa de entrada), você também pode definir Category (Categoria), Status (Status) e Priority (Prioridade) (clique para ver) para as mensagens selecionadas e adicionar várias marcas.

Se desejar limpar as mensagens selecionadas, poderá clicar no botão Clear Selection (Limpar seleção) (clique para ver).

Voltar ao início

Exibindo detalhes da mensagem

Se você clicar em uma mensagem específica na sua caixa de entrada do PhishER, a página Message Details (Detalhes da mensagem) será aberta. Para obter mais informações sobre a parte superior da página Message Details (Detalhes da mensagem), veja a captura de tela e a lista abaixo:

From (De): este campo exibe o nome ou o endereço de e-mail da pessoa que enviou a mensagem original.
Reply-to (Responder para): este campo exibe o nome ou endereço de e-mail que preencherá o campo to (para) de um e-mail, se um usuário responder à mensagem.
To (Para): este campo exibe o nome ou endereço de e-mail do destinatário da mensagem original.
CC (Cc): este campo exibe qualquer um dos endereços de e-mail copiados na mensagem original.
Reported (Denunciada): este campo exibe a data e hora nas quais a mensagem foi denunciada por um usuário.
Reported by (Denunciada por): este campo exibe o nome ou endereço de e-mail do usuário que denunciou a mensagem.

Todos os endereços de e-mail nesta seção da página Message Details (Detalhes da mensagem) podem ser clicados. Clicar em um endereço de e-mail levará você a uma exibição filtrada da sua caixa de entrada e mostrará todas as mensagens ligadas ao endereço de e-mail especificado.

Observação: a data e hora no canto superior direito exibirá a mensagem recebida pelo denunciante. Um ícone de anzol é exibido ao lado da data e hora quando a mensagem é denunciada usando o Phish Alert Button (PAB). Um ícone de seta de encaminhamento é exibido ao lado da data e hora quando a mensagem não é denunciada usando o PAB.

A página Message Details (Detalhes da mensagem) contém subguias com informações sobre a mensagem. Para obter mais informações, clique nas guias abaixo:

Preview
Raw Message
Headers
Attachments
Domains and URLs
Matched Rules
History

A guia Preview (Prévia) contém uma visão geral da mensagem. A visão geral inclui o conteúdo encontrado no corpo da mensagem. Nessa visão geral, você também pode ver o número de anexos e URLs na mensagem.

A guia Raw Message (Mensagem bruta) contém a versão bruta da mensagem. A versão bruta é a mensagem completa, inclusive cabeçalho e corpo.

A guia Headers (Cabeçalhos) fornece uma exibição dos cabeçalhos da mensagem. Você pode usar o menu suspenso no canto superior direito para exibir All Headers (Todos os cabeçalhos), Standard Headers (Cabeçalhos padrão) ou Non-Standard Headers (Cabeçalhos não padrão). Também é possível pesquisar informações específicas nos cabeçalhos das mensagens usando a barra de pesquisa.

Por padrão, as seguintes informações já estarão realçadas para uma verificação rápida de cabeçalho:

DomainKeys Identified Mail (DKIM)
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Sender Policy Framework (SPF)
Endereço IP

A guia Attachments (Anexos) contém mais informações sobre os anexos enviados com a mensagem.

Se disponíveis, as seguintes informações serão exibidas:

Tamanho do arquivo
Tipo de arquivo
MD5
SHA1
SHA256

Você tem a opção de baixar o anexo clicando no ícone de download à direita do nome do anexo. Se você deseja ver todas as mensagens que possuem esse anexo na caixa de entrada do PhishER, clique no título do anexo para ser direcionado a uma exibição filtrada da sua caixa de entrada.

É possível filtrar a guia Attachments (Anexos) ao clicar no botão suspenso All Attachments (Todos os anexos). Você pode restringir sua lista apenas à exibição dos anexos rotulados como Bad Attachments (Anexos ruins).

Você também pode executar uma verificação com o VirusTotal ao clicar no botão Scan VirusTotal (Verificar com VirusTotal). Quando a verificação é concluída, a opção View VirusTotal Report (Exibir relatório do VirusTotal) é exibida (clique para ver).

Observação: para a verificação com o VirusTotal, sua plataforma PhishER deve estar integrada com o VirusTotal. Para obter mais informações sobre como integrar o PhishER ao VirusTotal, consulte o artigo Como integrar o VirusTotal à sua plataforma PhishER.

Você também pode detonar e analisar um arquivo por meio do CrowdStrike ao clicar no botão Detonate (Detonar) do CrowdStrike. Quando a verificação for concluída, a opção View VirusTotal Report (Exibir relatório do VirusTotal) será exibida (clique para ver).

Observação: Para detonar um arquivo pelo CrowdStrike, você deve ter uma assinatura PhishER Plus e sua plataforma PhishER deve estar integrada ao CrowdStrike Falcon Sandbox. Para obter mais informações sobre a integração do PhishER com o CrowdStrike, consulte nosso artigo Como integrar o CrowdStrike à plataforma PhishER.

A guia Domains and URLs (Domínios e URLs) contém detalhes sobre cada domínio e cada URL detectados na mensagem. Para obter mais informações, veja a captura de tela e a lista abaixo:

Sender Info (Informações do remetente): esta seção exibe informações sobre o domínio do remetente associado à fonte original da mensagem. Por exemplo, "thisismyfull-link.com".
Links Info (Informações de links): esta seção exibe informações sobre os links detectados na mensagem, inclusive a URL completa, a data na qual o link foi detectado primeiro e a última vez que isso ocorreu.

Se você deseja ver todas as mensagens que têm um link específico na caixa de entrada do PhishER, clique no link para ser direcionado a uma exibição filtrada da sua caixa de entrada. Para copiar o link, clique no ícone de cópia à direita da URL. Para criar uma entrada de lista de bloqueio do PhishER usando o link, clique no botão Create Blocklist Entry (Criar entrada da lista de bloqueio), ao lado do ícone de cópia (clique para ver).

Você pode filtrar todos os links redirecionadores encontrados na mensagem a partir do menu suspenso All URLs (Todas as URLs) (clique para ver). Se uma mensagem não tiver links redirecionadores, a URL de destino será usada para filtrar seus resultados. Você pode filtrar a exibição da URL com base nas seguintes opções do menu suspenso: All URLs (Todas as URLs), Ignored URLs (URLs ignoradas), Observed URLs (URLs observadas), Scanned URLs (URLs verificadas) e Unscanned URLs (URLs não verificadas).

Observação: para a verificação com o VirusTotal, sua plataforma PhishER deve estar integrada com o VirusTotal. Você também deve ter os acessos Full Message (Mensagem completa) e Message Details (Detalhes da mensagem) para usar o botão Scan with VirusTotal (Verificar com o VirusTotal). Para obter mais informações sobre como integrar o PhishER ao VirusTotal, consulte o artigo Como integrar o VirusTotal à sua plataforma PhishER. Para obter mais informações sobre o acesso Security Role (Função de segurança), consulte seção Funções do artigoConfigurações do PhishER: funções de segurança.funções de segurança.

Você também pode executar uma verificação com o CrowdStrike ao clicar no botão Scan CrowdStrike (Verificar com o CrowdStrike). Quando a verificação for concluída, a opção Clicar para ver os resultados verificados será exibida.

Observação: Para verificar com o CrowdStrike, você deve ter uma assinatura PhishER Plus e sua plataforma PhishER deve estar integrada ao CrowdStrike Falcon Sandbox. Para obter mais informações sobre a integração do PhishER com o CrowdStrike, consulte nosso artigo Como integrar o CrowdStrike à plataforma PhishER.

A guia Matched Rules (Regras correspondentes) contém uma tabela de todas as regras correspondentes à mensagem após a execução do sistema. Essa guia fornece insights sobre o porquê de uma determinada marca ter sido atribuída à mensagem. Cada linha exibe o nome e a descrição da regra, quando houve correspondência com as mensagens, o número de mensagens correspondentes e as marcas associadas à regra.

Observação: a coluna Matched Count (Contagem correspondente) refere-se ao número de vezes que houve correspondência de uma mensagem com a regra na sua caixa de entrada.

A guia History (Histórico) contém todos os usuários, todas as ações e todos os eventos de regras associados à mensagem. Para obter mais informações, veja a captura de tela e a lista abaixo:

User Event (Evento de usuário): um evento de usuário é uma ação iniciada pelo usuário que foi manualmente aplicada a uma mensagem e causou sua alteração. Por exemplo, um evento de usuário poderia ser "Field changed (Campo alterado) pelo usuário User_Name em Mon DD, YYYY at H:MM" (Seg DD, YYYY às H:MM) ou "VirusTotal scan initiated for Link URL or Attachment Name" (Verificação do VirusTotal iniciada para URL do link ou nome do anexo).
Action Event (Evento de ação): um evento de ação ocorre quando uma ação disparada causa alteração em uma mensagem. Por exemplo, um evento de ação poderia ser "Email sent (E-mail enviado) pela ação Action_Name (Nome_ação) em Mon DD, YYYY at H:MM" (Seg DD, YYYY às H:MM).
Rule Event (Evento de regra): um evento de regra ocorre quando uma regra correspondente causa alteração em uma mensagem. Por exemplo, um evento de regra poderia ser "Tag changed by (Marca alterada pela) regra Rule_Name (Nome_regra) em Mon DD, YYYY at H:MM" (Seg DD, YYYY às H:MM).

Voltar ao início

Exibindo as ações e discussões

À direita da página Message Details (Detalhes da mensagem), você pode exibir a barra lateral Actions and Discussion (Ações e discussão). Nessa barra lateral, você pode abrir as subguias Actions (Ações) e Discussions (Discussões).

Para obter mais informações sobre essas subguias, confira as subseções abaixo:

Actions (Ações)

Na subguia Actions (Ações), você pode atualizar a classificação e as marcas da mensagem, baixar o e-mail denunciado original e executar ações na mensagem. Se o PhishRIP estiver habilitado, você poderá criar e exibir as consultas do PhishRIP, além de exibir resultados do nível de confiança do PhishML. Para obter mais informações, veja a captura de tela e a lista abaixo:

Categoria, Status e Prioridade: use estas opções para alterar a classificação da mensagem. Para obter mais informações, consulte a seção Filtrando a caixa de entrada, acima.
QuickActions (Ações rápidas): clique em uma das suas QuickActions (Ações rápidas) personalizadas para executar uma ação na mensagem.
PhishRIP: esta seção exibe como muitas consultas do PhishRIP foram iniciadas e a data da última consulta. Clique em Create New Query (Criar nova consulta) para iniciar uma consulta do PhishRIP. Clique em View Query (Exibir consulta) para ver as últimas consultas do PhishRIP que foram criadas para esta mensagem.
Download Original Email (Baixar e-mail original): clique neste botão para baixar uma cópia do e-mail original como um arquivo .eml.
Observação: se um e-mail já tiver sido manualmente encaminhado para sua caixa de entrada do PhishER, em vez de ser denunciado via Phish Alert Button (PAB), a mensagem baixada não incluirá os cabeçalhos do e-mail.
Run (Executar): você pode clicar neste botão e, depois, selecionar uma das opções seguintes no menu suspenso. Para obter mais informações, consulte a seção Executando ações nas mensagens selecionadas, acima.

Replay (Repetir): execute todas as regras ou todas as regras e ações na mensagem.
PhishRIP: crie um modelo do KMSAT.
Email (E-mail): envie um e-mail personalizado.
Ações: execute uma única ação na mensagem.

Assigned Tags (Marcas atribuídas): adicione ou remova as marcas atribuídas de uma mensagem.

PhishML Confidence (Confiança do PhishML): revise os resultados do nível de confiança do PhishML.

Delete Message (Excluir mensagem): clique neste botão para excluir a mensagem.

Discussion (Discussão)

Na subguia Discussion (Discussão), você pode se comunicar com outros administradores sobre uma mensagem. Semelhante a uma janela de bate-papo, esse método de comunicação pode ser útil para organizações com vários administradores que gerenciam a caixa de entrada do PhishER.

Para postar um comentário na guia Discussion (Discussão), clique na caixa de texto Comment here (Comentário aqui) e digite sua mensagem. Depois, clique no botão Send (Enviar) para tornar seu comentário visível a todos os administradores com acesso ao PhishER.

Com o Phish Alert Button (PAB), os usuários podem se comunicar com os administradores sobre mensagens específicas. Com o PAB, o comentário dos usuários aparece na subguia Discussion (Discussão). Para obter mais informações, consulte o artigo Como adicionar comentários do usuário e classificar um e-mail no Phish Alert Button.

Voltar ao início

Como usar a caixa de entrada do PhishER