Como trabalhar com listas de bloqueio

Compartilhar

Este artigo é útil?

Última atualização:

Guia da Global Blocklist

A Global Blocklist usa informações de crowdsourcing sobre ameaças de e-mail para ajudar você a evitar que e-mails maliciosos ou de spam cheguem às caixas de entrada dos usuários. A equipe do laboratório de pesquisa de ameaças da KnowBe4 compila dados de todas as Blocklists do PhishER e de outras fontes para criar entradas da Global Blocklist. Essas entradas contêm informações que o servidor de e-mail usará para filtrar e-mails indesejados.

O recurso de Global Blocklist está disponível apenas para contas com o PhishER Plus. Depois de habilitar esse recurso e conectá-lo ao servidor de e-mail do Microsoft 365, a KnowBe4 conectará seu servidor de e-mail à Global Blocklist. Quando a equipe do laboratório de pesquisa de ameaças atualiza a Global Blocklist, as entradas na lista de bloqueio do servidor de e-mail são automaticamente atualizadas.

Importante: este recurso não é compatível com o Microsoft 365 operado pela 21Vianet e pode não estar disponível em outros ambientes fora dos Estados Unidos.

Para saber mais sobre a Blocklist do PhishER, consulte o artigo Como usar a Blocklist do PhishER.

Como habilitar e autorizar a Global Blocklist

Antes de conseguir usar a Global Blocklist, você precisa habilitá-la na plataforma PhishER. Você precisa também autorizar a Global Blocklist, atribuindo a função de administrador do Exchange ao aplicativo de Global Blocklist na sua conta do Microsoft 365 com o Microsoft Entra ID.

Observação: para habilitar a Global Blocklist, sua organização precisa ter uma instância ativa do servidor de e-mail do Microsoft 365 que esteja conectada ao domínio da sua organização. Para obter mais informações sobre como conectar um servidor de e-mail, leia o artigo Configurações do PhishER: integrações.

Para habilitar e autorizar a Global Blocklist, siga as etapas abaixo:

  1. Na plataforma PhishER, vá até Settings (Configurações) > Blocklist (Lista de bloqueio).
  2. Se um servidor de e-mail do Microsoft 365 não estiver conectado à sua lista de bloqueio, clique em Connect to Microsoft 365 (Conectar ao Microsoft 365) e adicione uma conexão.
    Observação: se você já tiver habilitado a Blocklist do PhishER e estiver conectado ao servidor de e-mail do Microsoft 365, ignore esta etapa e a etapa 6.
  3. Ative o botão de alternância ao lado de Global Blocklist Disabled (Lista de bloqueio global desabilitada).
  4. Na janela pop-up Terms and Conditions (Termos e condições) que aparece, revise e aceite a Privacy Policy (Política de privacidade) e os Terms of Service (Termos de serviço). Depois de revisar os dois itens, clique em I Accept (Aceitar).
  5. Clique em Save (Salvar) para salvar as configurações da Global Blocklist.
  6. No portal Microsoft Entra ID, atribua a função de Administrador do Exchange ao aplicativo de Global Blocklist. Para obter mais informações, consulte nosso artigo: Como atribuir a função de Administrador do Exchange ao aplicativo Blocklist do PhishER.

Como monitorar as entradas da Global Blocklist

Depois de habilitar e autorizar a Global Blocklist, sua organização terá acesso às entradas da lista de bloqueio que são gerenciadas pela equipe do laboratório de pesquisa de ameaças da KnowBe4. Visualize a lista completa de entradas da Global Blocklist acessando Blocklist (Lista de bloqueio) > Your Syncing Entries (Suas entradas de sincronização) e selecionando Global Entries (Entradas globais) nas opções Filter by Entry Type (Filtrar por tipo de entrada).

Se você tiver habilitado a Global Blocklist e a Blocklist do PhishER para sua organização, a subguia Your Syncing Entries (Suas entradas de sincronização) mostrará as entradas da Blocklist do PhishER e da Global Blocklist sincronizadas com o seu servidor de e-mail. As entradas são listadas de acordo com seus valores. Para obter mais informações sobre essa subguia, veja a captura de tela e a lista abaixo:

  1. Filter by Attribute (Filtrar por atributo): use estes filtros para exibir as entradas com um tipo de atributo específico.
    Observação: a Blocklist do PhishER tem um número máximo de 500 entradas por atributo de Sender (Remetente), URL e File Hash (Hash de arquivo).
  2. Filter by Status (Filtrar por status): use estes filtros para exibir as entradas com um status específico.
  3. Filter by Entry Type (Filtrar por tipo de entrada): use estes filtros para exibir apenas as entradas da Global Blocklist ou as entradas personalizadas da Blocklist do PhishER.
  4. Value (Valor): esta coluna exibe o valor da entrada. Os valores podem ser um endereço, URL ou hash de arquivo do remetente. O servidor de e-mail usa esse valor para filtrar todos os e-mails que têm o mesmo valor. Para obter mais informações sobre como os e-mails serão filtrados, veja a lista a seguir:
    • URL or File Hash (URL ou hash de arquivo): se um e-mail contiver um valor de URL ou hash de arquivo que corresponda a uma entrada, o servidor de e-mail moverá automaticamente o e-mail para a pasta Quarantine (Em quarentena).
    • Sender (Remetente): se um e-mail contiver um valor de remetente que corresponda a uma entrada, o servidor de e-mail moverá automaticamente o e-mail para a pasta Junk (Lixo eletrônico).
    Dica: você também pode clicar em um valor na coluna para exibir a página Blocklist Audit Log (Registro de auditoria da lista de bloqueio). Para saber mais, leia a seção Como revisar o registro de auditoria deste artigo.
  5. Status: esta coluna exibe o status da entrada de lista de bloqueio. Para obter mais informações sobre os status, consulte a seguinte lista:
    • Pending (Pendente): este status indica que a entrada está em processo de adição ou exclusão da lista de bloqueio.
    • Active (Ativa): este status indica que a entrada foi adicionada à lista de bloqueio e sincronizada com o servidor de e-mail conectado.
    • Incomplete (Incompleta): este status indica que uma entrada foi adicionada e sincronizada a um ou mais dos servidores de e-mail conectados, mas não a todos eles.
    • Failed (Com falha): este status indica que a entrada não foi adicionada e sincronizada com êxito. Se você tiver vários servidores de e-mail conectados à sua lista de bloqueio e uma entrada não for sincronizada com todos eles, essa entrada será exibida como Failed (Com falha).
  6. Created By (Criada por): esta coluna indica quem criou a entrada. Se um administrador do PhishER tiver criado a entrada da sua Blocklist do PhishER, será exibida a informação Admin (Administrador). Se a equipe do laboratório de pesquisa de ameaças da KnowBe4 tiver criado a entrada da Global Blocklist, será exibida a informação KnowBe4.
  7. Created On (Criada em): esta coluna exibe a data e hora nas quais a entrada foi adicionada à Global Blocklist.
  8. Expires On (Expira em): esta coluna exibe a data e hora nas quais a entrada será removida da Global Blocklist e da lista de bloqueios ou permissões do locatário do Microsoft 365.
    Observação: as entradas na lista de bloqueios ou permissões do locatário do Microsoft 365 podem levar até 24 horas para serem sincronizadas à Global Blocklist.
  9. Actions (Ações): nesta coluna, você pode clicar no ícone de lixeira para abrir a janela pop-up Delete Blocklist Entry (Excluir entrada da lista de bloqueio). Depois, você pode excluir uma entrada da Blocklist do PhishER. Ou ainda pode excluir e ignorar uma entrada para evitar que ela seja adicionada à Blocklist do PhishER. Para saber mais sobre as entradas ignoradas, consulte a subseção Como ignorar entradas, abaixo.

Como ignorar entradas

Para evitar que as entradas sejam bloqueadas nos seus servidores de e-mail, você pode adicioná-las às suas entradas ignoradas. As entradas ignoradas não podem ser adicionadas à Blocklist do PhishER.

Quando uma entrada é ignorada, todas as entradas correspondentes na Blocklist do PhishER ficam com o status de pendente, indicando que elas serão excluídas. Não é possível criar uma entrada correspondente na lista de bloqueio, a menos que a entrada ignorada seja excluída da subguia Your Ignored Entries (Suas entradas ignoradas).

Para ignorar uma entrada existente da lista de bloqueio, siga estas etapas:

  1. Faça login na plataforma PhishER.
  2. Vá até Blocklist (Lista de bloqueio) > Your Synced Entries (Suas entradas sincronizadas).
  3. Localize a entrada que você deseja ignorar.
  4. Clique no ícone de lixeira na coluna Actions (Ações) dessa entrada. A janela pop-up Delete Blocklist Entry (Excluir entrada da lista de bloqueio) será exibida.
  5. Na janela pop-up, clique em Delete and Ignore (Excluir e ignorar). Uma entrada ignorada será adicionada à subguia Your Ignored Entries (Suas entradas ignoradas), e a entrada na lista de bloqueio ficará com o status de pendente para indicar que será excluída.

Para criar uma entrada ignorada na subguia Your Ignored Entries (Suas entradas ignoradas), siga as etapas abaixo:

  1. Faça login na plataforma PhishER.
  2. Vá até Blocklist (Lista de bloqueio) > Your Ignored Entries (Suas entradas ignoradas).
  3. Clique no botão Create Ignored Entry (Criar entrada ignorada) no canto superior direito da página. A janela pop-up Create Ignored Entry (Criar entrada ignorada) será aberta.
  4. Na janela pop-up, crie sua entrada ignorada. Para obter mais informações, veja a captura de tela e a lista abaixo:
    • Attribute (Atributo): selecione o tipo de atributo que você deseja usar para sua entrada ignorada.
    • Sender (Remetente): selecione esta opção para usar o endereço de e-mail ou domínio de um remetente como valor. Por exemplo, você pode digitar um endereço de e-mail completo, como "nomedeusuario@dominio.com", ou um nome de domínio como "dominio.com" para Value (Valor).
    • URL (URL): selecione esta opção para usar um URL ou o nome de host completo como valor. Por exemplo, você pode digitar "www.nomedosite.com/paginadosite" ou "www.nomedosite.com" para Value (Valor).
    • File Hash (Hash de arquivo): selecione esta opção para usar um hash de arquivo SHA-256 como valor.
    • Valor: neste campo, insira o valor específico para evitar o bloqueio no servidor de e-mail. Por exemplo, se você selecionar Sender (Remetente) para o campo Attribute (Atributo), digite o endereço de e-mail do remetente nesse campo.
  5. Clique em Save (Salvar) para adicionar a entrada à sua lista de entradas ignoradas.

Na subguia Your Ignored Entries (Suas entradas ignoradas), é possível monitorar as entradas ignoradas. Para obter mais informações sobre essa subguia, veja a captura de tela e a lista abaixo:

  1. Search... (Pesquisar...): use este campo para filtrar as entradas ignoradas usando as consultas do Lucene.
    Observação: para pesquisar entradas com valores similares, é necessário utilizar caracteres curinga. Por exemplo, você pode pesquisar "*yahoo.com" para encontrar todos os valores que contenham "yahoo.com". Para obter mais informações, leia o artigo Como usar a sintaxe de consulta do Lucene.
  2. Filter by Attribute (Filtrar por atributo): use estes filtros para exibir as entradas com um tipo de atributo específico.
  3. Value (Valor): esta coluna exibe o valor da entrada.
  4. Created On (Criada em): esta coluna exibe a data e hora em que a entrada ignorada foi adicionada.
  5. Ações: nesta coluna, clique no ícone de lixeira para excluir uma entrada ignorada. Ao excluir uma entrada ignorada, você pode usar o valor dessa entrada para criar uma nova na Blocklist do PhishER.

Como revisar o registro de auditoria

Na plataforma PhishER, para exibir o registro de auditoria, acesse Blocklist (Lista de bloqueio) > Audit Log (Registro de auditoria). O registro de auditoria inclui atividades da Blocklist do PhishER e da Global Blocklist, como quando as entradas foram criadas, excluídas e sincronizadas com os servidores de e-mail.

Para obter mais informações sobre essa subguia, veja a captura de tela e a lista abaixo:

  1. Timestamp (Carimbo de data/hora): esta coluna exibe a data e a hora em que a ação ocorreu na coluna Event Action (Ação do evento).
  2. Event Type (Tipo de evento): esta coluna exibe o tipo de ação que ocorreu. Para obter mais informações sobre os tipos de eventos, consulte a seguinte lista:
    • Entry Updated (Atualização da entrada): este tipo de evento indica que uma entrada foi criada ou excluída.
    • Entry Synced (Sincronização da entrada): este tipo de evento indica que uma entrada foi sincronizada com a Blocklist do PhishER.
    • Blocklist Synced (Sincronização da lista de bloqueio): este tipo de evento indica que todas as entradas foram sincronizadas com todos os servidores de e-mail conectados.
  3. Value (Valor): esta coluna exibe o valor da entrada afetada.
  4. Updated By (Atualização realizada por): esta coluna exibe a origem da ação. Quando uma entrada for atualizada, essa coluna exibirá o endereço de e-mail do usuário que realizou a atualização. Quando uma entrada individual ou as listas de bloqueio forem sincronizadas, essa coluna exibirá o ID ou o nome do servidor de e-mail. Se o sistema tiver realizado a ação, a coluna ficará em branco.
  5. Event Action (Ação do evento): esta coluna indica qual ação foi realizada para uma entrada ou para a lista de bloqueio. Created (Criada) aparecerá quando uma entrada tiver sido criada. Synced (Sincronizada) aparecerá quando uma entrada ou lista de bloqueio tiver sido sincronizada com os servidores de e-mail conectados. Deleted (Excluída) aparecerá quando uma entrada tiver sido excluída.
  6. Status (Status): esta coluna indica se a ação foi bem-sucedida ou se falhou.

Este artigo foi útil?

Usuários que acharam isso útil: 0 de 0

Não encontrou o que estava procurando?

Fale com o suporte