Como analisar e identificar e-mails

Como criar e gerenciar regras do PhishER

Na plataforma PhishER, as regras são expressões lógicas que permitem que você classifique e marque automaticamente mensagens na sua caixa de entrada do PhishER. As marcas atribuídas fazem com que o PhishER execute ações nas mensagens. Você pode criar regras na guia Regras. Para criar uma ação, consulte o artigo Como criar e gerenciar ações do PhishER.

A guia Rules (Regras) contém dois tipos de regras: personalizadas e do sistema. As regras personalizadas são aquelas que você pode criar usando o Editor de regras Yara. As regras do sistema são regras padrão fornecidas pela KnowBe4. A guia Regras também contém variáveis globais, que são variáveis que você cria para usar em várias regras com as mesmas sequências de caracteres. Ao atualizar uma variável global, você pode atualizar todas as regras que contêm essas sequências de caracteres.

Observação:Todas as regras do PhishER devem seguir a lógica da regra Yet Another Recursive/Ridiculous Acronym (YARA) para classificar as mensagens. Para saber mais sobre como criar regras YARA, consulte o artigo Como criar regras YARA.

Criando regras

Você pode criar regras personalizadas na plataforma PhishER para classificar as mensagens que foram encaminhadas para a caixa de entrada do PhishER. Para criar suas regras, use o Editor básico ou o Editor avançado. Todas as regras personalizadas devem seguir a lógica da regra YARA. YARA é uma ferramenta usada para identificar e classificar amostras de malware.

Para criar uma regra, siga estas etapas:

  1. Faça login na plataforma PhishER.
  2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
  3. Clique no botão New Rule (Nova regra), no canto superior direito da página, para abrir a página Rule Details (Detalhes da regra).
  4. No campo Name (Nome), digite um nome exclusivo para sua regra. Recomendamos que você digite um nome que descreva brevemente a função da regra. O nome não pode começar com um valor numérico, exceder 128 caracteres nem incluir qualquer uma das palavras-chave listadas na documentação Como criar regras YARA da YARA.
  5. (Opcional) No campo Description (Descrição), insira uma descrição para a sua regra. Como melhor prática, recomendamos que você insira uma descrição da função pretendida da regra.
  6. Na seção Edit Tags: (Editar marcas:), adicione uma marca personalizada que você deseja ver anexada a uma mensagem, caso essa mensagem corresponda a essa regra específica. Para adicionar uma marca, clique em Add new tag (Adicionar nova marca) e insira um nome para a sua marca. Depois, clique fora do campo Add new tag (Adicionar nova marca) para criar a marca.
  7. No menu suspenso Choose target: (Escolher destino:), selecione a parte da mensagem à qual você deseja que a regra seja aplicada ou executada. Os destinos selecionados são Raw (Bruto), Headers (Cabeçalhos), Body (Corpo) ou Attachments (Anexos). Por padrão, Raw (Bruto) estará selecionado.
  8. Na seção do Editor de regras Yara, crie sua regra usando o Editor básico ou o Editor avançado. Para obter mais informações, confira as subseções abaixo.

Criando regras usando o Editor básico

O Editor básico permite que você crie uma regra personalizada sem a necessidade de escrever toda a lógica da regra YARA. Você pode inserir valores para as sequências de caracteres e selecionar as condições da sua regra, e o Editor básico processará sua entrada para criar a lógica da regra. Para aprender a criar uma regra usando a guia Basic Editor (Editor básico), consulte a captura de tela e a lista a seguir:

  1. Basic Editor (Editor básico): selecione esta guia para exibir as opções que você pode usar para criar uma regra.
  2. Create Strings (Criar sequências de caracteres): crie e defina sequências de caracteres para usar ao criar suas condições. Para obter mais informações, consulte o artigo Como posso criar sequências de caracteres e condições no Editor básico?
  3. New String (Nova sequência de caracteres): clique neste botão para adicionar uma sequência de caracteres à regra. Você pode criar até cinco sequências de caracteres por regra.
  4. Create Conditions (Criar condições): crie condições selecionando como suas sequências de caracteres definidas devem estar relacionadas umas com as outras. As condições permitem que você especifique quais mensagens serão afetadas pela sua regra. Para obter mais informações, consulte o artigo Como posso criar sequências de caracteres e condições no Editor básico? Selecione uma das seguintes opções:
    • Match any of the defined strings (Corresponder qualquer uma das sequências de caracteres definidas): selecione esta opção para detectar as mensagens que correspondem a qualquer uma das suas sequências de caracteres definidas.
    • Match all of the defined strings (Corresponder todas as sequências de caracteres definidas): selecione esta opção para detectar as mensagens que correspondem a todas as suas sequências de caracteres definidas.
    • Custom conditions (Condições personalizadas): selecione esta opção para detectar as mensagens que correspondem às suas condições personalizadas.
  5. New Condition Group (Novo grupo de condições): Se a opção Custom conditions (Condições personalizadas) estiver selecionada, clique neste botão para criar as condições personalizadas às quais as mensagens devem atender para que sejam afetadas pela regra.
  6. Save Rule (Salvar regra): clique neste botão para salvar sua regra. Sua regra será exibida na página Rules List (Lista de regras) da subguia Custom Rules (Regras personalizadas). Depois de salvar sua regra, você pode habilitá-la ativando o botão de alternância na coluna Status (Status) da regra. Em seguida, clique no botão Apply Changes (Aplicar alterações) no canto superior direito da página.
  7. Apply Rule to Inbox (Aplicar regra para caixa de entrada): clique neste botão para executar sua regra em todas as mensagens na sua caixa de entrada. Pelo menos uma mensagem deve corresponder à sua regra e aos critérios da regra de prévia para que esta opção se torne disponível.

Criando regras usando o Editor avançado

O Editor avançado permite criar a lógica da sua regra YARA sem a necessidade de orientações. Se você editar uma regra no Editor avançado, o Editor básico será desabilitado para a regra. Para saber mais sobre como criar regras usando a lógica da regra YARA, consulte o artigo Como criar regras YARA. Para aprender a criar uma regra usando a guia Advanced Editor (Editor avançado), consulte a captura de tela e a lista a seguir:

  1. Advanced Editor (Editor avançado): selecione esta guia para exibir a seção de bloqueio de código na qual você pode criar uma regra com a lógica da regra YARA.
  2. Save Rule (Salvar regra): clique neste botão para salvar sua regra. A regra será exibida na página Rules List (Lista de regras) da subguia Custom Rules (Regras personalizadas). Depois de salvar sua regra, você pode habilitá-la ativando o botão de alternância na coluna Status (Status) da regra. Em seguida, clique no botão Apply Changes (Aplicar alterações) no canto superior direito da página.
  3. Apply Rule to Inbox (Aplicar regra para caixa de entrada): clique neste botão para executar sua regra em todas as mensagens na caixa de entrada. Pelo menos uma mensagem deve corresponder à sua regra e aos critérios da regra de prévia para que esta opção se torne disponível.

Prévia das regras

Antes de salvar uma nova regra, recomendamos que você veja uma prévia de como essa regra afetará suas mensagens do PhishER. Para ver uma prévia de uma regra, siga estas etapas:

  1. Faça login na plataforma PhishER.
  2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
  3. Clique no botão New Rule (Nova regra), no canto superior direito da página, ou selecione uma regra na página Rules List (Lista de regras). Ao clicar no botão New Rule (Nova regra), a página Rule Details (Detalhes da regra) é aberta.
  4. Crie ou modifique sua regra YARA usando a seção YARA Rule Editor (Editor da regra YARA).
  5. Antes de salvar sua regra, clique no botão Run Preview (Executar prévia). Será exibida uma lista de todas as mensagens na sua caixa de entrada que correspondem à sua regra.
  6. Você pode atualizar a lista de prévias modificando as seguintes opções de critérios:
    • Saved Query (Consulta salva) (opcional): escolha uma Saved Query (Consulta salva) personalizada para ver como a regra afeta as mensagens nessa consulta.
    • Last 7 days (Últimos 7 dias): selecione um período para as mensagens das quais deseja ver uma prévia. As opções são Last 24 hours (Últimas 24 horas), Last 7 days (Últimos 7 dias) e Last 30 days (Últimos 30 dias). Por padrão, Last 7 days (Últimos 7 dias) estará selecionado.
    • Matched Messages (Mensagens correspondentes): se você vir a prévia de uma regra, opções adicionais serão exibidas para filtrar as mensagens na lista de prévias.
    • Matched Messages (Mensagens correspondentes) (padrão): selecione esta opção para exibir apenas as mensagens que correspondem à condição da regra na sua caixa de entrada do PhishER.
    • Unmatched Messages (Mensagens sem correspondência): selecione esta opção para exibir apenas as mensagens que não têm correspondência com a condição da regra na sua caixa de entrada do PhishER.
    • All Messages (Todas as mensagens): selecione esta opção para exibir todas as mensagens na sua caixa de entrada do PhishER. A coluna Matched (Correspondente) indica se a mensagem correspondeu (verdadeiro) ou não (falso) com a regra.
Observação:se você quiser abrir uma mensagem exibida na lista de prévias, recomendamos que isso seja feito em uma nova guia para evitar a perda da sua nova regra.
  1. (Opcional) Se você deseja executar esta regra em todas as mensagens da lista de prévias, clique no botão Apply Rule to Current Matches (Aplicar regra às correspondências atuais).

Editando regras

Para editar uma regra personalizada, clique no Name (Nome) ou na Description (Descrição) da regra na página Rules List (Lista de regras) para abrir a página Rule Details (Detalhes da regra). Se você quiser editar uma regra do sistema, crie uma regra personalizada. Depois, copie e cole a lógica da regra do sistema no Editor da regra Yara da regra personalizada. Para obter mais informações sobre as regras do sistema, leia a seção Usando as regras do sistema deste artigo.

Observação:para que todas as alterações sejam aplicadas, clique no botão Apply Changes (Aplicar alterações), no canto superior direito da página Rules List (Lista de regras). Depois, sua regra começará a ser executada nas mensagens recebidas. As mensagens que já estão na sua caixa de entrada não serão afetadas pela sua regra.

Usando variáveis globais

Na subguia Global Variables (Variáveis globais) da página Rules List (Lista de regras), você pode criar variáveis globais ou exibir as variáveis globais já criadas. Se você usar várias regras com as mesmas sequências de caracteres, poderá usar variáveis globais para atualizar todas essas sequências ao mesmo tempo.

É possível incluir as variáveis globais nas regras, usando o Editor básico ou o Editor avançado para criar sequências de caracteres que contêm variáveis globais. Se você editar uma variável global, a regra será automaticamente atualizada em todas as regras que incluem a variável global.

Observação:você pode criar quantas regras com variáveis globais desejar. Se você criar e aplicar uma regra contendo variáveis globais, para que outras regras possam ser executadas, a condição dessa regra deverá ser atendida.

Para criar uma variável global, siga estas etapas:

  1. Faça login na plataforma PhishER.
  2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
  3. Navegue até a subguia Global Variables.
  4. Clique no botão New Variable (Nova variável) no canto superior direito da página. Ao clicar nesse botão, a página Create Global Variable (Criar variável global) será aberta.
  5. No campo Name (Nome), digite um nome para a variável global.
  6. No campo Value (Valor), digite um valor para a variável global.
    Observação:as variáveis globais devem atender aos mesmos requisitos que se aplicam a outras variáveis e sequências de caracteres. O valor não pode começar com um valor numérico, exceder 255 caracteres nem ser uma das palavras-chave listadas na documentação Como criar regras YARA da YARA.
  7. Clique em Save (Salvar) para salvar sua variável global. A variável global aparecerá na página Rules List (Lista de regras), na subguia Global Variables (Variáveis globais).

Na página Rules List (Lista de regras), você pode exibir informações sobre a variável global, como quando ela foi criada e quando foi atualizada pela última vez. Você também pode editar o valor de uma variável global clicando no nome da variável para abrir a tela Edit Global Variable (Editar variável global). O nome de uma variável global existente não pode ser alterado. Para excluir uma variável global, clique no ícone de lixeira.

Para aprender a criar uma regra usando as variáveis globais, consulte o artigo Como eu crio sequências de caracteres e condições no Editor básico da regra YARA?

Usando regras do sistema

Sua plataforma PhishER fornece regras do sistema para ajudá-lo a organizar e marcar mensagens. A partir da subguia Regras do sistema da página deLista de regras, você pode habilitar essas regras para sua plataforma PhishER. Por padrão, as regras do sistema estão desabilitadas.

Para obter mais informações sobre as regras do sistema, veja a captura de tela e a lista abaixo:

Nome da regra Descrição da regra
KB4:COMUNICAÇÃO Esta regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em tentativas de phishing que são sobre comunicação.
KB4:NON_ENGLISH Esta regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em tentativas de phishing que não estão em inglês.
KB4:URGÊNCIA Esta regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em tentativas de phishing que refletem urgência.
KB4:SECURANÇA Esta regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em tentativas de phishing que são sobre questões de segurança.
KB4:ENVIO Esta regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em tentativas de phishing.
KB4:FINANCEIRO Esta regra detecta mensagens que contêm palavras financeiras comuns nos campos Assunto ou De em tentativas de phishing.
KB4:COBRANÇA Esta regra detecta mensagens que contêm palavras de cobrança comuns nos campos Assunto ou De em tentativas de phishing.
KB4:GERAL Esta regra detecta mensagens que contêm palavras gerais comuns nos campos Assunto ou De em tentativas de phishing.
KB4:MARCAS Esta regra detecta mensagens que contêm palavras de marca comuns nos campos Assunto ou De em tentativas de phishing.
KB4:419SCAM Esta regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em fraudes 419 (também conhecido como golpes do príncipe nigeriano).
KB4:KSAT_CABEÇALHOS Esta regra detecta mensagens que contêm cabeçalhos da KnowBe4, incluindo notificações de treinamento e testes de phishing (PSTs).
KB4:SPF_PASS Esta regra detecta mensagens que passam nas verificações de SPF.
KB4:DKIM_PASS Esta regra detecta mensagens que passam nas verificações de DKIM.
KB4:JAPANÊS Essa regra detecta mensagens que contêm palavras comuns nos campos Assunto ou De em tentativas de phishing que estão em japonês.

Marcas do decodificador de código QR

O decodificador de código QR é um recurso do PhishER que opera no plano de fundo da sua plataforma para procurar automaticamente códigos QR nos e-mails denunciados. Quando o decodificador de código QR detecta um código QR no corpo de uma mensagem, ele extrai o URL incorporado ao código QR e atribui uma marca à mensagem. O URL extraído será exibido na guia Domains and URLs (Domínios e URLs) da página Message Details (Detalhes da mensagem) da caixa de entrada do PhishER. Para obter mais informações sobre as marcas do decodificador de código QR, consulte a seguinte lista:

Nome da marca Descrição da marca
QR_CODE_FOUND Essa marca é anexada a uma mensagem quando o decodificador de código QR detecta um código QR no corpo da mensagem.
QR_CODE_SCAN_FAILED Essa marca é anexada a uma mensagem quando o decodificador de código QR não consegue ler uma mensagem. Por exemplo, a leitura falhará se um código QR não contiver um URL incorporado.

Visualizando a lista de regras

A página Rules List (Lista de regras) exibe todas as suas regras e variáveis globais. Para saber mais sobre a página Rules List (Lista de regras), veja a captura de tela e a lista abaixo:

  1. Nome: esta coluna exibe o nome atribuído à regra.
  2. Description (Descrição): esta coluna exibe uma descrição da regra.
  3. Rule Target (Destino da regra): esta coluna exibe a parte de uma mensagem na qual a regra será executada. Por exemplo, o destino da regra poderia ser o cabeçalho do e-mail.
  4. Status: esta coluna exibe o estado atual da regra. Uma regra pode estar habilitada ou desabilitada. Para alterar o status de uma regra, clique no botão de alternância.
    Observação:para que uma regra seja executada nas mensagens da sua caixa de entrada do PhishER, ela deve estar habilitada.
  5. Updated At (Atualizada em): esta coluna exibe a data e hora nas quais a regra foi atualizada pela última vez.
  6. Matched Count (Contagem correspondente): esta coluna exibe o número de vezes que a regra correspondeu a uma mensagem na sua caixa de entrada do PhishER.
  7. Tags (Marcas): esta coluna exibe todas as marcas anexadas a uma mensagem. As marcas só serão anexadas a uma mensagem se ela corresponder à regra.
  8. Filter by Status (Filtrar por status): clique neste menu suspenso para selecionar uma exibição filtrada das suas regras habilitadas ou desabilitadas.

Não encontrou o que estava procurando?

Fale com o suporte