Perguntas frequentes

Compartilhar

Este artigo é útil?

Última atualização:

PERGUNTAS FREQUENTES: PhishER

Neste artigo, você encontrará perguntas frequentes sobre como usar a plataforma PhishER da KnowBe4. Caso tenha outras dúvidas que não estejam incluídas neste artigo, envie um tíquete para nossa equipe de suporte equipe de suporte (o link abre em uma nova janela).

Para saber mais sobre o PhishER, consulte o Manual do produto PhishER.

Informações gerais

Para obter informações gerais sobre o PhishER, consulte as perguntas e respostas abaixo:

  1. Como minhas informações estão protegidas na plataforma PhishER?
  2. Como conceder e gerenciar acesso ao PhishER para outros membros da minha organização?
  3. Como adquirir o PhishER para minha organização?
  4. Quais ferramentas de reescrita e encurtamento de URLs são compatíveis com o PhishER?
  5. Eu posso usar o PhishER para processar e bloquear vírus?
  6. Os dados enviados para a plataforma PhishER, e partir dela, são criptografados?

Como minhas informações estão protegidas na plataforma PhishER?

O PhishER utiliza todas as melhores práticas de segurança e privacidade da KnowBe4, conforme detalhado na página Declaração de segurança Declaração de segurança (o link abre em uma nova janela). Para obter uma camada adicional de proteção, habilite a autenticação multifator na sua conta de administrador do console do KSAT.

Como conceder e gerenciar acesso ao PhishER para outros membros da minha organização?

Os administradores de conta do PhishER podem conceder acesso ao PhishER para outros membros da sua organização, habilitando a configuração do PhishER nos Perfis de usuário do console do KSAT. Os administradores do KSAT têm acesso automático ao PhishER.

Os administradores da conta também podem desabilitar o acesso ao PhishER no Perfil de usuário do KSAT.

Como adquirir o PhishER para minha organização?

Se você quiser adquirir a plataforma PhishER, entre em contato com seu gerente de contas. Caso não saiba quem é o seu gerente de contas, entre em contato com nossa equipe de suporte equipe de suporte (o link abre em uma nova janela).

Quais ferramentas de reescrita e encurtamento de URLs são compatíveis com o PhishER?

Se você quiser reescrever ou encurtar um URL, por exemplo, um URL usado para configurar um webhook, recomendamos usar uma das nossas ferramentas de reescrita e encurtamento compatíveis.

Observação: essas ferramentas de reescrita e encurtamento de URLs também são compatíveis com o Second Chance.

Para obter uma lista de ferramentas de encurtamento de URLs com suporte, veja a tabela abaixo:

Nome URL
Bitly bit.ly
Bitdo bit.do
Capsulink cli.re, [www.]capsulink.com
Googl goo.gl
Owly ow.ly
TinyURL tinyurl.com

Para obter uma lista de ferramentas de reescrita de URLs com suporte, veja a tabela abaixo:

Nome URL
Barracuda linkprotect.cudasvc.com
Cisco secure-web.cisco.com
Egress Defend *.defend.egress.com
FireEye *.fireeye.com
Google (Gmail) [www.]google.com
Mimecast
  • protect-*.mimecast.com
  • *.mimecastprotect.com
Office 365 *.safelinks.protection.office365.us
Outlook *.safelinks.protection.outlook.com
PostOffice clicktime.cloud.postoffice.net
Proofpoint urldefense.proofpoint.com
Sophos *.protection.sophos.com
Symantec clicktime.symantec.com
TrendAI (anteriormente, Trend Micro) *.trendmicro.com
Trustwave scanmail.trustwave.com

Eu posso usar o PhishER para processar e bloquear vírus?

Não, não é possível usar o PhishER para processar e bloquear vírus. O PhishER não foi elaborado para ser um filtro de e-mail. O objetivo do PhishER é fornecer à sua organização uma plataforma para avaliar todos os e-mails suspeitos denunciados pelos seus usuários. No entanto, você pode usar o PhishER para detectar elementos comuns nos e-mails denunciados para automatizar suas ações de resposta a incidentes.

Os dados enviados para a plataforma PhishER, e partir dela, são criptografados?

Sim, o PhishER utiliza o protocolo de criptografia Transport Layer Security (TLS) para enviar dados para a plataforma e a partir dela.

Como começar

Para obter mais informações para começar a usar o PhishER, consulte as seguintes perguntas:

  1. Quanto tempo demora para configurar minha plataforma PhishER?
  2. Eu preciso usar o Phish Alert Button (PAB) para encaminhar e-mails para a caixa de entrada do PhishER?
  3. Há um limite de quantos e-mails de denúncia eu posso gerar?
  4. Onde posso encontrar minhas salas salvas?
  5. Eu posso filtrar a caixa de entrada do PhishER por uma marca específica?
  6. Como posso excluir uma mensagem da caixa de entrada do PhishER?
  7. Como posso excluir permanentemente um e-mail das caixas de entrada dos meus usuários?
  8. Eu criei uma nova regra. Isso afetará as mensagens que estavam na caixa de entrada do PhishER antes da criação da regra?
  9. Qual versão da regra YARA tem suporte na plataforma PhishER?
  10. Eu posso usar expressões regulares na minha regra YARA?
  11. Eu posso abrir anexos com segurança no PhishER?
  12. Eu posso informar a um usuário final quando uma mensagem for marcada como spam?
  13. Eu posso usar prefixos de anexos para encontrar e-mails com anexos semelhantes?
  14. Quais são as recomendações de limites do PhishML?

Quanto tempo demora para configurar minha plataforma PhishER?

O tempo de configuração varia com base nas configurações do seu servidor de e-mail e se você encaminha e-mails denunciados manual ou automaticamente com o Phish Alert Button (PAB). Se a sua organização usar o PAB, você poderá começar a utilizar o PhishER rapidamente, pois seus e-mails denunciados serão enviados para ele automaticamente. Diminua o tempo de configuração na guia Rules (Regras) da plataforma PhishER, que oferece regras do sistema para ajudar você a iniciar rapidamente a classificação de e-mails. Para obter mais informações para começar a usar o PhishER, consulte nosso Guia de início rápido do PhishER.

Eu preciso usar o Phish Alert Button (PAB) para encaminhar e-mails para a caixa de entrada do PhishER?

Como alternativa ao uso do PAB, encaminhe manualmente os e-mails denunciados pelos usuários para um endereço de e-mail de denúncia vinculado à plataforma PhishER da sua organização. Você também pode baixar o arquivo EML de um e-mail, anexá-lo a um novo e-mail e, depois, enviar o e-mail ao PhishER. O PhishER reconhecerá esse processo como um relatório do PAB. Se a caixa de seleção Forwarded Only (Apenas encaminhado) estiver marcada para o endereço de e-mail de denúncia nas configurações do PhishER, o PhishER reconhecerá esse processo como uma denúncia manual. Esse método de encaminhamento de e-mail requer que os e-mails encaminhados sejam transmitidos em um formato EML, especificamente no formato RFC 822. Esse formato inclui os cabeçalhos e o corpo do e-mail completos do e-mail original.

Para obter mais informações sobre esses métodos, consulte o artigo Configurações do PhishER: conta.

Há um limite de quantos e-mails de denúncia eu posso gerar?

Não. Você pode gerar quantos endereços de e-mail de denúncia quiser. Por exemplo, é possível criar vários endereços de e-mails de denúncia quando sua organização desejar usar diferentes endereços de e-mail de denúncia para grupos de usuários, instâncias do Phish Alert Button (PAB) ou locais de trabalho distintos.

Observação: todos os e-mails encaminhados para seus endereços de e-mail de denúncia são enviados para a sua caixa de entrada do PhishER.

Onde posso encontrar minhas salas salvas?

Depois de salvar uma sala no PhishER, ela é armazenada em Saved Queries (Consultas salvas) da página Rooms (Salas). Para obter mais informações sobre as salas, consulte o artigo Como criar e gerenciar salas do PhishER.

Eu posso filtrar a caixa de entrada do PhishER por uma marca específica?

Você pode usar a sintaxe de consulta do Lucene para filtrar a caixa de entrada do PhishER por uma marca específica. Por exemplo, você pode digitar a consulta abaixo na barra de pesquisa da sua caixa de entrada para que ela mostre todas as mensagens que contêm uma marca de ameaça anexada.

marcas: "threat" ("ameaça")

Para obter mais informações sobre sua caixa de entrada, consulte o artigo Guia da caixa de entrada do PhishER.

Como posso excluir uma mensagem da caixa de entrada do PhishER?

Você pode selecionar uma mensagem na caixa de entrada do PhishER e excluí-la da página Message Details (Detalhes da mensagem). Para excluir uma mensagem, siga estas etapas:

  1. No PhishER, acesse a página Inbox (Caixa de entrada).
  2. Selecione a mensagem que você deseja excluir. A página Message Details (Detalhes da mensagem) será exibida.
  3. À direita da página Message Details (Detalhes da mensagem), você pode exibir a barra lateral Actions and Discussion (Ações e discussão). Na guia Actions (Ações), clique no botão Delete Message (Excluir mensagem). A janela pop-up Delete Message? (Excluir mensagem?) será aberta.
  4. Na janela pop-up Delete Message? (Excluir mensagem?), clique em Yes, delete it (Sim, excluir).

Como posso excluir permanentemente um e-mail das caixas de entrada dos meus usuários?

Antes de conseguir excluir permanentemente um e-mail das caixas de entrada dos seus usuários, você precisa habilitar a configuração Allow Permanent Message Deletion (Permitir a exclusão permanente da mensagem) na subguia PhishRIP das suas Settings (Configurações) do PhishER. Depois que essa configuração for habilitada, o e-mail deverá ser colocado em quarentena pelo PhishRIP para que possa ser permanentemente excluído. Para obter mais informações sobre essa configuração, consulte o artigo Guia do PhishRIP.

Eu criei uma nova regra. Isso afetará as mensagens que estavam na caixa de entrada do PhishER antes da criação da regra?

Não. As mensagens recebidas antes das mudanças na regra não serão afetadas. Se você quiser executar sua nova regra nas mensagens recebidas antes da criação da regra, siga estas etapas:

  1. No PhishER, acesse a página Inbox (Caixa de entrada).
  2. Marque a caixa de entrada à esquerda de uma mensagem para selecioná-la. O menu suspenso Run (Executar) é exibido no canto superior esquerdo da página Inbox (Caixa de entrada).
  3. No menu suspenso Run (Executar), selecione uma ação para executar em qualquer uma das suas mensagens selecionadas.

Qual versão da regra YARA tem suporte na plataforma PhishER?

Atualmente, o PhishER oferece suporte à versão 4.1.2 da YARA. Para obter mais informações sobre essa versão, consulte a documentação da YARA, em Como criar regras YARA Como criar regras YARA (o link abre em uma nova janela).

Eu posso usar expressões regulares na minha regra YARA?

Sim, você pode usar expressões regulares ao criar regras YARA. No entanto, nem todos os comandos regex são reconhecidos pelo compilador da regra YARA. Para obter uma lista dos comandos regex reconhecidos pela regra YARA, consulte a documentação da YARA, em Expressões regulares Expressões regulares (o link abre em uma nova janela).

Eu posso abrir anexos com segurança no PhishER?

A KnowBe4 não aconselha a abertura de anexos no PhishER, mesmo que o VirusTotal os considere seguros. Recomendamos abrir todos os anexos em um ambiente de área restrita seguro e protegido para fins de análise.

Eu posso informar a um usuário final quando uma mensagem for marcada como spam?

No PhishER, você pode alertar um usuário de que a mensagem dele foi marcada como spam criando uma ação para notificá-lo. Para criar essa ação, defina as etapas 1, 2 e 3 para corresponder às seguintes configurações:

  1. Choose how this action should be triggered (Escolha como esta ação deve ser disparada): selecione a opção Specify Tags (Especificar marcas). Depois, selecione Has Any (Tem alguma) e adicione todas as marcas do PhishER que estejam relacionadas ao spam.
  2. Opcional Choose the action to be taken on matched messages (Escolha a ação a ser executada nas mensagens correspondentes): selecione as opções Set Status (Definir status), Set Priority (Definir prioridade) e Set Category (Definir categoria). Para a opção Set Status (Definir status), selecione Resolved (Resolvido) no menu suspenso. Para a opção Set Priority (Definir prioridade), selecione Low (Baixa) no menu suspenso. Para a opção Set Category (Definir categoria), selecione Spam no menu suspenso.
  3. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): selecione a opção Send Email (Enviar e-mail). Quando essa opção for selecionada, uma resposta de e-mail personalizada poderá ser criada, que será enviada automaticamente aos destinatários da sua escolha quando uma mensagem for marcada como spam. Para obter mais informações, consulte o artigo Como criar um modelo de e-mail personalizado no PhishER.

Eu posso usar prefixos de anexos para encontrar e-mails com anexos semelhantes?

Sim, você pode usar o prefixo se ele estiver incluído. Por exemplo, se um anexo fosse denominado “randomdoc.xml”, os seguintes prefixos seriam aceitos:

  • random
  • ran
  • rando

Quais são as recomendações de limites do PhishML?

Para saber mais sobre as configurações recomendadas para os limites do PhishML, consulte a seção Como configurar valores e limites de confiança no artigo Guia do PhishML.

Usando o PhishRIP e o PhishFlip

Para obter informações que ajudarão você a começar a usar o PhishRIP e o PhishFlip, consulte as seguintes perguntas:

  1. De quais permissões eu preciso para conectar minha instância do Microsoft 365 ao PhishRIP?
  2. De quais permissões eu preciso para habilitar o PhishRIP com o Google Workspace?
  3. Por que minha conta de administrador precisa de permissões globais para habilitar o PhishRIP?
  4. Quais medidas de segurança estão disponíveis para assegurar que informações não sejam perdidas nem roubadas ao usar o PhishRIP?
  5. Quando uma campanha do PhishFlip for iniciada, a duração do acompanhamento será sempre definida para três dias? Há alguma forma de modificar a duração do acompanhamento?
  6. O PhishFlip funciona com anexos encontrados nos e-mails denunciados?

De quais permissões eu preciso para conectar minha instância do Microsoft 365 ao PhishRIP?

Para conceder acesso ao PhishRIP a todas as caixas de correio da sua instância do Microsoft 365, você precisa ter uma conta de administrador do Microsoft 365 com as permissões globais habilitadas. Em seguida, você pode fazer login na sua conta e aceitar as permissões necessárias para se conectar ao Microsoft 365. Para saber mais sobre as permissões exigidas, consulte o artigo Guia do PhishRIP.

Observação: as informações de conta usadas para entrar no Microsoft 365 não serão armazenadas no PhishER. Esse endereço de e-mail também pode ser removido por outro administrador do Microsoft 365.

De quais permissões eu preciso para habilitar o PhishRIP com o Google Workspace?

Para habilitar o PhishRIP com o Google Workspace, você precisa ter um endereço de e-mail de administrador da conta do Google Workspace.

Por que minha conta de administrador precisa de permissões globais para habilitar o PhishRIP?

Sua conta de administrador precisa ter permissões globais habilitadas para conceder o acesso que o PhishRIP precisa para a conexão inicial ao seu servidor de e-mail. O PhishRIP não usa permissões globais para funcionar depois que é habilitado.

Quais medidas de segurança estão disponíveis para assegurar que informações não sejam perdidas nem roubadas ao usar o PhishRIP?

A equipe InfoSec da KnowBe4 monitora os serviços da KnowBe4 para identificar abusos e atividades suspeitas. A KnowBe4 tem controles que impedem a violação de consultas, pesquisas com curingas e o acesso entre contas. A equipe InfoSec testou esses controles para garantir que eles sejam efetivos.

O PhishRIP se comunica com a Microsoft usando um token GraphAPI de uso único da Microsoft que não é salvo. O PhishRIP tem um número limitado de consultas fixas que podem ser feitas na conta do Microsoft 365, e essas consultas devem corresponder a critérios específicos de uma mensagem que foi denunciada ao PhishER. Todas as mensagens, consultas e respostas a consultas são criptografadas. Os funcionários da KnowBe4 não podem acessar a conta do PhishER de uma organização sem permissão.

O PhishER oferece algumas formas de evitar que suas informações sejam perdidas ou roubadas ao usar o PhishRIP.

Primeiro, você pode limitar o acesso dos usuários que adiciona à plataforma PhishER ao criar funções de segurança. Você pode usar as funções de segurança para conceder acesso limitado ou total aos seus usuários para as seguintes áreas do console:

  • Rooms (Salas)
  • Inbox (Caixa de entrada)
  • Rules (Regras)
  • Actions (Ações)
  • PhishRIP
  • Settings (Configurações)

Com as funções de segurança, você pode especificar quais administradores terão acesso para iniciar as consultas do PhishRIP.

Depois, você pode especificar seus critérios personalizados, que o PhishER usará para remover os e-mails que possam parecer uma ameaça e que foram enviados ao PhishER pelo Phish Alert Button (PAB).

Por último, se a mensagem estiver em quarentena e você descobrir que ela está realmente limpa, poderá restaurá-la da sua plataforma PhishER.

Quando uma campanha do PhishFlip for iniciada, a duração do acompanhamento será sempre definida para três dias? Há alguma forma de modificar a duração do acompanhamento?

Sim. Por padrão, todas as campanhas do PhishFlip são definidas com uma duração de acompanhamento de três dias. No momento, essa configuração não pode ser modificada.

O PhishFlip funciona com anexos encontrados nos e-mails denunciados?

Sim. O PhishFlip converterá o anexo em um modelo HTML.

Integrações

Para obter mais informações para ajudar você com as integrações do PhishER, consulte as seguintes perguntas:

  1. O que eu posso fazer após a integração do PhishER com meu console do KSAT?
  2. Qual formato de certificação TLS PEM é exigido para as configurações de conexão TLS do PhishER para o Syslog?
  3. O que significam as marcas VT_Scanned?
  4. Por que a API pública VirusTotal está atingindo o número máximo de solicitações quando eu não recebi e-mails com um total de 500 arquivos ou URLs?

O que eu posso fazer após a integração do PhishER com meu console do KSAT?

A integração entre a plataforma PhishER e o console do KSAT oferece um melhor entendimento de como os seus usuários interagem com os e-mails de phishing reais. Na plataforma PhishER, você pode configurar a integração com o console do KSAT para atualizar eventos nas linhas do tempo dos usuários do KSAT. Depois que ações específicas do PhishER forem denunciadas ao console do KSAT, você poderá criar um Grupo inteligente para usuários específicos, com base em como eles lidaram com os e-mail de phishing reais. Por exemplo, você pode criar um Grupo inteligente que busque usuários que não denunciaram ameaças. Depois, você pode usar essas informações para criar uma campanha de treinamento direcionada e para reiterar a importância do uso do Phish Alert Button (PAB).

Para obter mais informações, consulte a seção Console do KSAT no artigo Configurações do PhishER: integrações.

Qual formato de certificação TLS PEM é exigido para as configurações de conexão TLS do PhishER para o Syslog?

O formato da certificação TLS PEM deve incluir o cabeçalho, uma nova linha, as informações do certificado, uma nova linha e o rodapé. Veja abaixo um exemplo de formato aceito:

-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

O que significam as marcas VT?

As marcas VT são marcas do VirusTotal, que são aplicadas às suas mensagens depois de uma verificação do VirusTotal. Para saber como integrar a sua conta do VirusTotal à plataforma PhishER, consulte o artigo Como integrar o VirusTotal à sua plataforma PhishER.

Para obter mais informações sobre cada marca VT, consulte a lista abaixo:

  • VT_Scanned: esta marca é adicionada à sua mensagem depois da verificação do VirusTotal e quando a mensagem não for considerada maliciosa.
  • VT_Bypassed: esta marca é adicionada à sua mensagem quando nenhuma resposta for recebida do VirusTotal dentro do período de tempo definido.
  • VT_Pending: esta marca é adicionada à sua mensagem quando o PhishER aguardar uma resposta do VirusTotal.
  • VT_Bad: esta marca será adicionada à sua mensagem quando o VirusTotal avaliar como maliciosos um ou mais itens verificados.

Por que a API pública VirusTotal está atingindo o número máximo de solicitações quando eu não recebi e-mails com um total de 500 arquivos ou URLs?

Para executar uma verificação, o PhishER envia cada arquivo ou URL em cada e-mail para o VirusTotal como uma consulta para o ponto de extremidade da API. Em seguida, o PhishER envia uma ligação de API para cada arquivo ou URL para o VirusTotal para determinar se os resultados da verificação estão prontos para cada item. Se o VirusTotal não estiver pronto para fornecer os resultados da verificação, o PhishER deve enviar chamadas de API adicionais. Como resultado, o PhishER deve enviar um mínimo de três solicitações por arquivo ou URL antes que uma consulta possa ser repetida.

Solução de problemas

Para obter informações sobre como solucionar problemas no PhishER, consulte estas perguntas:

  1. O que acontecerá quando uma pasta em quarentena for excluída?
  2. Por que os e-mails denunciados têm valores nulos?

O que acontecerá quando uma pasta em quarentena for excluída?

Resposta: Quando uma pasta em quarentena for excluída, tudo nessa pasta também será excluído. No entanto, você pode gerar novamente a pasta em quarentena excluída ao executar uma nova consulta do PhishRIP. Para obter mais informações, consulte o artigo Guia do PhishRIP.

Por que os e-mails denunciados têm valores nulos?

Se a sua organização usar o filtro de spam Cisco Ironport e você estiver vendo valores nulos nas mensagens denunciadas, poderá precisar criar uma exceção no Cisco Ironport. Essa exceção pode ser criada para os e-mails de saída enviados para o seu endereço de e-mail de denúncia do PhishER.

Para obter ajuda adicional, recomendamos que você consulte a equipe de suporte do Cisco Ironport.

Este artigo foi útil?

Usuários que acharam isso útil: 15 de 15

Não encontrou o que estava procurando?

Fale com o suporte