Na subguia VirusTotal de PhishER Settings (Configurações do PhishER), configure a integração do VirusTotal para o console do PhishER. O VirusTotal é um serviço que usa mais de 70 verificadores antivírus para inspecionar e analisar arquivos quanto a conteúdos maliciosos. Para integrar a conta do VirusTotal com o PhishER, você precisa de uma chave de API do VirusTotal ativa. Caso não tenha uma conta do VirusTotal, você poderá criar uma totalmente gratuita no site site (o link abre em uma nova janela) do VirusTotal.

Como configurar a integração

Para configurar a integração, preencha os campos na subguia VirusTotal das configurações do PhishER. Para obter mais informações, veja a captura de tela e a lista abaixo:

1. Disabled or Enabled (Desabilitado ou Habilitado): use este botão de alternância para desabilitar ou habilitar a integração.
2. Enter your VirusTotal key (Digite a chave do VirusTotal): digite sua chave do VirusTotal neste campo. Para obter mais informações, consulte o artigo do VirusTotal Eu preciso de uma chave de API Eu preciso de uma chave de API (o link abre em uma nova janela).
3. (Opcional) VirusTotal Automatic Scanning (Escaneamento automático do VirusTotal): nesta seção, você pode definir as configurações que permitem que o VirusTotal escaneie automaticamente partes de uma mensagem. Para saber sobre essas opções, veja a lista abaixo:
   • Automatically scan ALL Attachments (Hashes Only) (Escanear automaticamente todos os anexos - apenas hashes): se você marcar esta caixa de seleção, o VirusTotal receberá um hash de todos os anexos na caixa de entrada do PhishER.
   • Automatically scan ALL URLs (Escanear automaticamente TODOS os URLs): se você marcar esta caixa de seleção, o VirusTotal receberá automaticamente todos os URLs em sua caixa de entrada do PhishER.
   • Timeout if no response (seconds) (Tempo limite sem resposta - segundos): digite um número de segundos para definir um período de tempo limite personalizado para os resultados de escaneamento do VirusTotal. Se o VirusTotal não retornar resultados de escaneamento dentro desse limite de tempo, uma marca VT_Bypassed será aplicada à mensagem correspondente. Por padrão, o período de tempo limite é de 120 segundos. Para saber mais sobre as marcas que podem ser aplicadas à mensagem, consulte a seção deste artigo Marcas do VirusTotal.
4. (Opcional) Detection Threshold (Limite de detecção): nessa seção, você pode definir o número mínimo de detecções pelos scanners de antivírus que determina se um anexo ou URL é malicioso.
   • Minimum Antivirus Scanner Detections for VT_Bad Tag (Número mínimo de detecções do scanner antivírus para a marca VT_Bad): insira o número mínimo de scanners antivírus que devem determinar que um anexo ou URL é malicioso para que a marca VT_Bad seja aplicada à mensagem correspondente. Por padrão, esse limite é definido como um e pode ser ajustado para até 50. A atualização da configuração não afetará as mensagens que já foram marcadas, mas as próximas verificações marcarão novas mensagens que atingirem o limite. Se o limite estiver definido como um número maior que um e os resultados da verificação do VirusTotal não atingirem esse limite, mas forem superiores a zero, a marca VT_Suspicious será aplicada à mensagem. Para saber mais sobre as marcas que podem ser aplicadas à mensagem, consulte a seção deste artigo Marcas do VirusTotal.

5. Ignored Domains (Domínios ignorados): digite os domínios que você deseja que o VirusTotal ignore ao escanear. Digite cada domínio como uma nova linha na caixa de texto. Se você adicionar um domínio a esta lista, qualquer subdomínio dele também será excluído. No entanto, se você adicionar um subdomínio à lista, o domínio não será excluído. Curingas (*) e identificadores de recursos uniformes (URIs) não podem ser usados.

   Importante: para obter uma lista dos domínios da KnowBe4 que não devem ser enviados como links ou anexos para o VirusTotal, consulte a seção deste artigo Como excluir domínios da KnowBe4 dos escaneamentos.
6. Save (Salvar): clique neste botão para atualizar as configurações de integração do VirusTotal.

Como escanear com o VirusTotal

Depois de integrar sua conta do VirusTotal ao console do PhishER, você poderá executar uma verificação do VirusTotal nos anexos e URLs da mensagem. Para executar um escaneamento do VirusTotal em um anexo ou um URL específico, clique em Scan with VirusTotal (Escanear com o VirusTotal) na página Message Details (Detalhes da mensagem).

Você também pode executar automaticamente um escaneamento do VirusTotal nas mensagens selecionadas ao executar novamente suas regras e ações. Para obter mais informações sobre essas opções, consulte Guia de caixa de entrada do PhishER.

O VirusTotal atribui uma ou mais marcas às suas mensagens escaneadas para indicar os resultados da análise. Para saber mais sobre as marcas que podem ser aplicadas às mensagens, consulte a seção deste artigo Marcas do VirusTotal.

Como excluir domínios da KnowBe4 dos escaneamentos

A KnowBe4 usa vários domínios que não devem ser enviados como links ou anexos para o VirusTotal. Você pode digitar esses domínios no campo Ignored Domains (Domínios ignorados) da guia VirusTotal nas configurações do PhishER. Veja abaixo uma lista completa desses domínios:

• kb4.io
• comano.us
• magnetonics.com
• bloemlight.com
• instantrevert.net
• phishing.guru
• phishtrain.org
• malwarebouncer.com
• phish.farm
• microransom.us
• msftemail.com
• compromisedblog.com
• com-onlinebanking.com
• com-token-auth.com
• 2O2.lOl
• protected-forms.com
• cert-sha256.com
• wishyoudidntclickthis.com
• cert-sha256.co.uk
• internalportal.net
• twittermessage.net
• my-cloud-mail.com
• linkedlnu.com
• farenheit.net
• gooqleonline.com
• donotreply.biz
• aøl.com
• exchamge.org
• allibaba.org
• voipmessage.uk
• efaxonline.org
• bltly.us
• twittermessage.co.uk
• www-com.co.uk
• srvgov.com
• gooqle.eu
• allibaba.eu
• yourgunnalovetraining.com
• succesful.org

Marcas do VirusTotal

Na seção de marcas do VirusTotal, na subguia VirusTotal, você pode exibir as marcas que o VirusTotal pode anexar às suas mensagens após o escaneamento. Com base nos resultados do escaneamento, o VirusTotal aplicará uma ou mais marcas às suas mensagens. Para saber sobre as marcas do VirusTotal, consulte a lista abaixo:

1. VT_Pending: esta marca será anexada à sua mensagem quando um escaneamento do VirusTotal for colocado na fila. Essa marca será removida quando o escaneamento for concluído.
2. VT_Bad: esta marca será anexada à sua mensagem quando um escaneamento do VirusTotal determinar que o anexo é malicioso.
3. VT_Suspicious: esta marca será anexada à sua mensagem quando uma verificação do VirusTotal determinar que o anexo ou URL é malicioso, embora não haja confirmação. Você pode definir o limite de detecção para anexos e URLs maliciosos na configuração Minimum Antivirus Scanner Detections (Número mínimo de detecções do scanner antivírus).
4. VT_Scanned: esta marca será anexada à sua mensagem quando um escaneamento do VirusTotal for concluído e o anexo for considerado como não malicioso.

5. VT_Bypassed: esta marca será anexada à sua mensagem quando um escaneamento do VirusTotal atingir o tempo limite. Essa marca geralmente é anexada às marcas adicionais do VirusTotal. Você pode definir um período de tempo limite personalizado nas suas configurações de escaneamento automático do VirusTotal.

   Observação: se o VirusTotal atingir o tempo limite, o PhishER permitirá a execução de ações automatizadas na mensagem enquanto o console aguarda o retorno dos resultados do VirusTotal. Quando as ações automatizadas forem concluídas, o VirusTotal poderá terminar de anexar as marcas à mensagem. As ações automatizadas não serão executadas novamente após o retorno dos resultados do escaneamento.
6. VT_Hash_not_found: esta marca será anexada à sua mensagem quando um escaneamento do VirusTotal não retornar uma correspondência para os anexos com hash.
7. VT_Ignored: esta marca será anexada à sua mensagem quando os URLs ou domínios encontrados na sua lista branca forem detectados em uma mensagem.