Na subguia Threat Intel das configurações do PhishER, você pode configurar o recurso Threat Intel para o console do PhishER. O Threat Intel conta com uma integração da Webroot ao PhishER Plus. O serviço BrightCloud Web Classification & Web Reputation da Webroot usa inteligência baseada em aprendizado de máquina para analisar URLs em busca de conteúdo malicioso. Essa integração usa a API Webroot para permitir que o PhishER envie URLs para análise, extraia dados de relatórios e execute consultas de pesquisa avançadas.

Depois que o Threat Intel verifica um URL, um relatório de análise de ameaças estará disponível na subguia Domains & URLs (Domínios e URLs) na página Message Details (Detalhes da mensagem) no console do PhishER. Para obter mais informações, consulte o artigo Guia da caixa de entrada do PhishER.

Como configurar a integração

Para configurar a integração, preencha os campos na subguia Threat Intel das configurações do PhishER. Para obter mais informações, veja a captura de tela e a lista abaixo:

1. Threat Intel Disabled ou Threat Intel Enabled (Threat Intel desabilitado ou Threat Intel habilitado): use esse botão de alternância para desabilitar ou habilitar a integração.
2. (Opcional) Automatic Scanning Settings (Configurações de verificação automática): nessa seção, você pode definir as configurações que permitem que o Threat Intel verifique automaticamente partes de uma mensagem. Para saber sobre essas opções, veja a lista abaixo:
   • Automatically Scan All URLs (Verificar automaticamente todos os URLs): se você marcar essa caixa de seleção, todos os URLs na caixa de entrada do PhishER serão automaticamente enviados ao Threat Intel.
3. Update Threat Intel Settings (Atualizar configurações do Threat Intel): clique nesse botão se desejar salvar as alterações feitas nas configurações de integração nessa seção.
4.  (Opcional) Automatic Scanning Timeout (Expiração de verificação automática): o campo Timeout if no response in seconds (Expirar se não houver respostas em segundos) exibe o período de expiração personalizado para os resultados da verificação do Threat Intel. Se o Threat Intel não retornar resultados de verificação nesse período de expiração, uma marca TI_BYPASSED será aplicada à mensagem correspondente. Por padrão, o período de expiração é de 120 segundos. Para saber mais sobre as marcas que podem ser aplicadas à mensagem, leia a seção Marcas do Threat Intel deste artigo. 
5. (Opcional) Ignored Domains (Domínios ignorados): essa seção exibe os domínios que você deseja que o Threat Intel ignore ao executar uma verificação.
6. Update Shared Settings (Atualizar configurações compartilhadas): se desejar atualizar o período de expiração personalizado ou os domínios ignorados para suas integrações, clique nesse botão para abrir a janela pop-up Shared Integrations Settings (Configurações de integrações compartilhadas). Na janela pop-up, você pode inserir um número de segundos no campo Timeout if no response in seconds (Expirar se não houver respostas em segundos) para definir um período de expiração personalizado para os resultados da verificação do Threat Intel. No campo Ignored Domains (Domínios ignorados), insira os domínios que deseja que o Threat Intel ignore ao executar uma verificação. Digite cada domínio como uma nova linha na caixa de texto. Se você adicionar um domínio a esta lista, qualquer subdomínio dele também será excluído. No entanto, se você adicionar um subdomínio à lista, o domínio não será excluído. Curingas (*) e identificadores de recursos uniformes (URIs) não podem ser usados. 
   Importante: para obter mais informações sobre os domínios da KnowBe4 que não devem ser enviados como links ao Threat Intel, leia a seção Como excluir das verificações os domínios da KnowBe4 neste artigo.

Como fazer uma verificação com o Threat Intel

Após a integração da sua conta do Threat Intel ao console do PhishER, você poderá executar uma verificação do Threat Intel em domínios e URLs. Para executar uma verificação do Threat Intel em um domínio ou URL específico, clique em Scan (Verificar) na página Message Details (Detalhes da mensagem).

A verificação do Threat Intel em um domínio ou URL pode levar até 15 minutos para ser concluída. Quando a verificação estiver concluída, os resultados da análise serão exibidos na página Message Details (Detalhes da mensagem) do console do PhishER. Clique em Click to View Scan Results (Clique para ver os resultados da verificação) para conferir os resultados. Para obter mais informações, leia a seção Como exibir detalhes da mensagem do Guia da caixa de entrada do PhishER.

Como excluir das verificações os domínios da KnowBe4

A KnowBe4 usa vários domínios que não devem ser enviados como links ao Threat Intel. Você pode inserir esses domínios ignorados na seção Shared Integrations Settings (Configurações de integrações compartilhadas) na subguia Threat Intel das configurações do PhishER. Para localizar e excluir os domínios, siga as etapas abaixo:

1. Faça login no console do KSAT.
2. Navegue até a guia Phishing e selecione a subguia Domínios. Essa subguia exibe uma lista de nossos domínios root do link de phishing. Para obter mais informações, leia o artigo Como gerenciar domínios do link de phishing.
   Observação: se você não tiver acesso a essa subguia, entre em contato com nossa equipe de suporte para obter uma lista de domínios do link de phishing.
3. Em outro navegador ou em uma guia separada, faça login no console do PhishER.
4. Acesse Settings (Configurações) > Threat Intel.
5. Na seção Shared Integrations Settings (Configurações de integrações compartilhadas), clique em Update Shared Settings (Atualizar configurações compartilhadas).
6. No campo Ignored Domains (Domínios ignorados), insira os domínios root do console do KSAT.
7. Clique em Update Shared Settings (Atualizar configurações compartilhadas).
8. Se você usar mais de uma instância do console do KSAT, repita as etapas de 1 a 7 para excluir os domínios root de todas as suas instâncias. Para obter mais informações sobre as instâncias do KSAT, leia o artigo Instâncias de treinamento da KnowBe4.

Marcas do Threat Intel

Com base nos resultados da verificação, o Threat Intel aplicará uma ou mais marcas às suas mensagens. Para saber mais sobre as marcas do Threat Intel, veja a lista abaixo:

1. TI_BYPASSED: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel expirar. Essa marca geralmente é anexada às marcas adicionais do Threat Intel. Você pode definir um período de expiração personalizado em Shared Integrations Settings (Configurações de integrações compartilhadas) do Threat Intel.
   Observação: mesmo que o Threat Intel expire, o PhishER continuará aguardando que ele retorne os resultados. No entanto, as ações automatizadas não serão executadas no item enquanto ele é verificado pelo Threat Intel.
2. TI_ERROR: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel resultar em erros de processamento ou quando o Threat Intel não conseguir verificar um domínio ou URL.
3. TI_HIGH_RISK: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel determinar que uma ameaça foi detectada e os domínios ou URLs verificados apresentarem risco alto.
4. TI_IGNORED: essa marca será anexada à sua mensagem quando os URLs ou os domínios encontrados na sua lista de domínios ignorados forem detectados em uma mensagem.
5. TI_LOW_RISK: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel determinar que nenhuma ameaça foi detectada, mas os domínios ou URLs verificados apresentarem risco baixo.
6. TI_MODERATE_RISK: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel determinar que uma possível ameaça foi detectada e os domínios ou URLs verificados apresentarem um risco moderado.
7. TI_NOT_FOUND: essa marca será anexada à sua mensagem quando o Threat Intel não retornar uma correspondência para os domínios ou URLs verificados.
8. TI_PENDING: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel for colocada na fila. Essa marca será removida quando a verificação for concluída.
9. TI_SCANNED: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel determinar que nenhuma ameaça foi detectada nos domínios ou URLs verificados.
10. TI_SUSPICIOUS: essa marca será anexada à sua mensagem quando uma verificação do Threat Intel determinar que os domínios ou URLs verificados são suspeitos.