Como criar e gerenciar regras do PhishER

Na plataforma PhishER, as regras são expressões lógicas que permitem que você classifique e marque automaticamente mensagens na sua caixa de entrada do PhishER. As marcas atribuídas fazem com que o PhishER execute ações nas mensagens. Você pode criar regras na guia Regras. Para criar uma ação, consulte o artigo Como criar e gerenciar ações do PhishER.

A guia Rules (Regras) contém dois tipos de regras: personalizadas e do sistema. As regras personalizadas são aquelas que você pode criar usando o Editor de regras Yara. As regras do sistema são regras padrão fornecidas pela KnowBe4. A guia Regras também contém variáveis globais, que são variáveis que você cria para usar em várias regras com as mesmas sequências de caracteres. Ao atualizar uma variável global, você pode atualizar todas as regras que contêm essas sequências de caracteres.

Para saber mais sobre como criar e gerenciar as regras do PhishER, consulte as subseções abaixo:

Acesse:
Criando regras

• Criando regras usando o Editor básico
• Criando regras usando o Editor avançado
• Prévia das regras
• Editando regras

Usando variáveis globais
Visualizando a lista de regras

Criando regras

Você pode criar regras personalizadas na plataforma PhishER para classificar as mensagens que foram encaminhadas para a caixa de entrada do PhishER. Para criar suas regras, use o Editor básico ou o Editor avançado. Todas as regras personalizadas devem seguir a lógica da regra YARA. YARA é uma ferramenta usada para identificar e classificar amostras de malware.

Para criar uma regra, siga estas etapas:

1. Faça login na plataforma PhishER.
2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
3. Clique no botão New Rule (Nova regra), no canto superior direito da página, para abrir a página Rule Details (Detalhes da regra).
   
4. No campo Name (Nome), digite um nome exclusivo para sua regra. Recomendamos que você digite um nome que descreva brevemente a função da regra. O nome não pode começar com um valor numérico, exceder 128 caracteres nem incluir qualquer uma das palavras-chave listadas na documentação Como criar regras YARA da YARA.
5. (Opcional) No campo Description (Descrição), insira uma descrição para a sua regra. Como melhor prática, recomendamos que você insira uma descrição da função pretendida da regra.
6. Na seção Edit Tags: (Editar marcas:), adicione uma marca personalizada que você deseja ver anexada a uma mensagem, caso essa mensagem corresponda a essa regra específica. Para adicionar uma marca, clique em Add new tag (Adicionar nova marca) e insira um nome para a sua marca. Depois, clique fora do campo Add new tag (Adicionar nova marca) para criar a marca.
7. No menu suspenso Choose target: (Escolher destino:), selecione a parte da mensagem à qual você deseja que a regra seja aplicada ou executada. Os destinos selecionados são Raw (Bruto), Headers (Cabeçalhos), Body (Corpo) ou Attachments (Anexos). Por padrão, Raw (Bruto) estará selecionado.
8. Na seção do Editor de regras Yara, crie sua regra usando o Editor básico ou o Editor avançado. Para obter mais informações, confira as subseções abaixo.

Voltar ao início

Criando regras usando o Editor básico

O Editor básico permite que você crie uma regra personalizada sem a necessidade de escrever toda a lógica da regra YARA. Você pode inserir valores para as sequências de caracteres e selecionar as condições da sua regra, e o Editor básico processará sua entrada para criar a lógica da regra. Para aprender a criar uma regra usando a guia Basic Editor (Editor básico), consulte a captura de tela e a lista a seguir:

1. Basic Editor (Editor básico): selecione esta guia para exibir as opções que você pode usar para criar uma regra.
2. Create Strings (Criar sequências de caracteres): crie e defina sequências de caracteres para usar ao criar suas condições. Para obter mais informações, consulte o artigo Como posso criar sequências de caracteres e condições no Editor básico?
3. New String (Nova sequência de caracteres): clique neste botão para adicionar uma sequência de caracteres à regra. Você pode criar até cinco sequências de caracteres por regra.
4. Create Conditions (Criar condições): crie condições selecionando como suas sequências de caracteres definidas devem estar relacionadas umas com as outras. As condições permitem que você especifique quais mensagens serão afetadas pela sua regra. Para obter mais informações, consulte o artigo Como posso criar sequências de caracteres e condições no Editor básico? Selecione uma das seguintes opções:
   • Match any of the defined strings (Corresponder qualquer uma das sequências de caracteres definidas): selecione esta opção para detectar as mensagens que correspondem a qualquer uma das suas sequências de caracteres definidas.
   • Match all of the defined strings (Corresponder todas as sequências de caracteres definidas): selecione esta opção para detectar as mensagens que correspondem a todas as suas sequências de caracteres definidas.
   • Custom conditions (Condições personalizadas): selecione esta opção para detectar as mensagens que correspondem às suas condições personalizadas.
5. New Condition Group (Novo grupo de condições): Se a opção Custom conditions (Condições personalizadas) estiver selecionada, clique neste botão para criar as condições personalizadas às quais as mensagens devem atender para que sejam afetadas pela regra.
6. Save Rule (Salvar regra): clique neste botão para salvar sua regra. Sua regra será exibida na página Rules List (Lista de regras) da subguia Custom Rules (Regras personalizadas). Depois de salvar sua regra, você poderá habilitá-la ativando o botão de alternância na coluna Status (Status) (clique para ver) da regra. Em seguida, clique no botão Apply Changes (Aplicar alterações) no canto superior direito da página.
7. Apply Rule to Inbox (Aplicar regra para caixa de entrada): clique neste botão para executar sua regra em todas as mensagens na sua caixa de entrada. Pelo menos uma mensagem deve corresponder à sua regra e aos critérios da regra de prévia para que esta opção se torne disponível.

Voltar ao início

Criando regras usando o Editor avançado

O Editor avançado permite criar a lógica da sua regra YARA sem a necessidade de orientações. Se você editar uma regra no Editor avançado, o Editor básico será desabilitado para a regra. Para saber mais sobre como criar regras usando a lógica da regra YARA, consulte o artigo Como criar regras YARA. Para aprender a criar uma regra usando a guia Advanced Editor (Editor avançado), consulte a captura de tela e a lista a seguir:

1. Advanced Editor (Editor avançado): selecione esta guia para exibir a seção de bloqueio de código na qual você pode criar uma regra com a lógica da regra YARA.
2. Save Rule (Salvar regra): clique neste botão para salvar sua regra. A regra será exibida na página Rules List (Lista de regras) da subguia Custom Rules (Regras personalizadas). Depois de salvar sua regra, você pode habilitá-la ativando o botão de alternância na coluna Status (Status) (clique para ver) da regra. Em seguida, clique no botão Apply Changes (Aplicar alterações) no canto superior direito da página.
3. Apply Rule to Inbox (Aplicar regra para caixa de entrada): clique neste botão para executar sua regra em todas as mensagens na caixa de entrada. Pelo menos uma mensagem deve corresponder à sua regra e aos critérios da regra de prévia para que esta opção se torne disponível.

Voltar ao início

Prévia das regras

Antes de salvar uma nova regra, recomendamos que você veja uma prévia de como essa regra afetará suas mensagens do PhishER. Para ver uma prévia de uma regra, siga estas etapas:

1. Faça login na plataforma PhishER.
2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
3. Clique no botão New Rule (Nova regra), no canto superior direito da página, ou selecione uma regra na página Rules List (Lista de regras). Ao clicar no botão New Rule (Nova regra), a página Rule Details (Detalhes da regra) é aberta.
4. Crie ou modifique sua regra YARA usando a seção YARA Rule Editor (Editor da regra YARA).
5. Antes de salvar sua regra, clique no botão Run Preview (Executar prévia). Será exibida uma lista de todas as mensagens na sua caixa de entrada que correspondem à sua regra.
6. Você pode atualizar a lista de prévias modificando as seguintes opções de critérios:
   • Saved Query (Consulta salva) (opcional): escolha uma Saved Query (Consulta salva) personalizada para ver como a regra afeta as mensagens nessa consulta.
   • Last 7 days (Últimos 7 dias): selecione um período para as mensagens das quais deseja ver uma prévia. As opções são Last 24 hours (Últimas 24 horas), Last 7 days (Últimos 7 dias) e Last 30 days (Últimos 30 dias). Por padrão, Last 7 days (Últimos 7 dias) estará selecionado.
   • Matched Messages (Mensagens correspondentes): se você vir a prévia de uma regra, opções adicionais serão exibidas para filtrar as mensagens na lista de prévias.
   • Matched Messages (Mensagens correspondentes) (padrão): selecione esta opção para exibir apenas as mensagens que correspondem à condição da regra na sua caixa de entrada do PhishER.
   • Unmatched Messages (Mensagens sem correspondência): selecione esta opção para exibir apenas as mensagens que não têm correspondência com a condição da regra na sua caixa de entrada do PhishER.
   • All Messages (Todas as mensagens): selecione esta opção para exibir todas as mensagens na sua caixa de entrada do PhishER. A coluna Matched (Correspondente) indica se a mensagem correspondeu (verdadeiro) ou não (falso) com a regra (clique para ver).

7. (Opcional) Se você deseja executar esta regra em todas as mensagens da lista de prévias, clique no botão Apply Rule to Current Matches (Aplicar regra às correspondências atuais) (clique para ver).

Voltar ao início

Editando regras

Para editar uma regra personalizada, clique no Name (Nome) ou na Description (Descrição) da regra na página Rules List (Lista de regras) para abrir a página Rule Details (Detalhes da regra). Se você quiser editar uma regra do sistema, crie uma regra personalizada. Depois, copie e cole a lógica da regra do sistema no Editor da regra Yara da regra personalizada.

Voltar ao início

Usando variáveis globais

Na subguia Global Variables (Variáveis globais) da página Rules List (Lista de regras), você pode criar variáveis globais ou exibir as variáveis globais já criadas. Se você usar várias regras com as mesmas sequências de caracteres, poderá usar variáveis globais para atualizar todas essas sequências ao mesmo tempo.

É possível incluir as variáveis globais nas regras, usando o Editor básico ou o Editor avançado para criar sequências de caracteres que contêm variáveis globais. Se você editar uma variável global, a regra será automaticamente atualizada em todas as regras que incluem a variável global.

Para criar uma variável global, siga estas etapas:

1. Faça login na plataforma PhishER.
2. Na barra lateral à esquerda da página, selecione a guia Rules (Regras) para abrir a página Rules List (Lista de regras).
3. Navegue até a subguia Global Variables (Variáveis globais).
   
4. Clique no botão New Variable (Nova variável) no canto superior direito da página. Ao clicar nesse botão, a página Create Global Variable (Criar variável global) será aberta.
5. No campo Name (Nome), digite um nome para a variável global.
   
6. No campo Value (Valor), digite um valor para a variável global.
   
   Observação: as variáveis globais devem atender aos mesmos requisitos que se aplicam a outras variáveis e sequências de caracteres. O valor não pode começar com um valor numérico, exceder 255 caracteres nem ser uma das palavras-chave listadas na documentação Como criar regras YARA da YARA.
7. Clique em Save (Salvar) para salvar sua variável global. A variável global aparecerá na página Rules List (Lista de regras), na subguia Global Variables (Variáveis globais).

Na página Rules List (Lista de regras), você pode exibir informações sobre a variável global, como quando ela foi criada e quando foi atualizada pela última vez. Você também pode editar o valor de uma variável global clicando no nome da variável para abrir a tela Edit Global Variable (Editar variável global). O nome de uma variável global existente não pode ser alterado. Para excluir uma variável global, clique no ícone de lixeira.

Para aprender a criar uma regra usando as variáveis globais, consulte o artigo Como eu crio sequências de caracteres e condições no Editor básico da regra YARA?

Voltar ao início

Visualizando a lista de regras

A página Rules List (Lista de regras) exibe todas as suas regras e variáveis globais. Para saber mais sobre a página Rules List (Lista de regras), veja a captura de tela e a lista abaixo:

1. Name (Nome): esta coluna exibe o nome atribuído à regra.
2. Description (Descrição): esta coluna exibe uma descrição da regra.
3. Rule Target (Destino da regra): esta coluna exibe a parte de uma mensagem na qual a regra será executada. Por exemplo, o destino da regra poderia ser o cabeçalho do e-mail.
4. Status (Status): esta coluna exibe o estado atual da regra. Uma regra pode estar habilitada ou desabilitada. Para alterar o status de uma regra, clique no botão de alternância.
   Observação: para que uma regra seja executada nas mensagens da sua caixa de entrada do PhishER, ela deve estar habilitada.
5. Updated At (Atualização em): esta coluna exibe a data e hora nas quais a regra foi atualizada pela última vez.
6. Matched Count (Contagem correspondente): esta coluna exibe o número de vezes que a regra correspondeu a uma mensagem na sua caixa de entrada do PhishER.
7. Tags (Marcas): esta coluna exibe todas as marcas anexadas a uma mensagem. As marcas só serão anexadas a uma mensagem se ela corresponder à regra.
8. Filter by Status (Filtrar por status): clique neste menu suspenso para selecionar uma exibição filtrada das suas regras habilitadas ou desabilitadas.

Voltar ao início