Na plataforma PhishER, você pode usar o PhishML para classificar mensagens e priorizar as ameaças de e-mail a partir das caixas de entrada dos seus usuários. O PhishML é um recurso de aprendizagem de máquina que analisa as mensagens da caixa de entrada do PhishER e determina a porcentagem de segurança, ou valor de confiança, de cada mensagem, ou seja, se ela está limpa, é um spam ou se representa uma ameaça.

O PhishML permite que você defina os limites que os valores de confiança de uma mensagem devem atender ou exceder para a classificação automática. Depois, você pode criar ações que usem as marcas do PhishML para automatizar a classificação e priorização das mensagens na caixa de entrada do PhishER.

O PhishML passa por um aprendizado contínuo e aprimora constantemente a sua precisão com base na linguagem usada no conteúdo dos e-mails denunciados. O PhishML aprende somente com os e-mails de phishing denunciados que são enviados para a KnowBe4 quando você habilita a configuração Enviar uma cópia para nós na seção Phish Alert, em Configurações da conta do KSAT. Após extrair o texto e ignorar o conteúdo incorporado nas mensagens, o PhishML compara a linguagem com padrões observados em outras mensagens analisadas no PhishER.

Como habilitar o PhishML

Para habilitar o PhishML para sua plataforma PhishER, siga estas etapas:

1. Faça login na plataforma PhishER.
2. Acesse Settings (Configurações) > PhishML.
3. Ative o botão de alternância Enable PhishML (Habilitar o PhishML).
   Observação: na primeira vez que você habilita o PhishML, uma caixa de diálogo de Termos e condições é exibida. Antes de usar o PhishML, você precisa revisar e aceitar a Política de privacidade e os Termos de serviço da KnowBe4. Depois de revisar os dois itens, clique em Aceitar.
4. Marque a caixa de seleção ao lado de cada categoria à qual você deseja que o PhishML forneça um valor de confiança ao analisar uma mensagem.
5. (Opcional) Para definir um valor de limite personalizado para cada categoria, clique e arraste o controle deslizante interativo para a esquerda ou para a direita. Para obter mais informações, consulte a seção Como configurar valores e limites de confiança, abaixo.
6. Clique em Save (Salvar) para atualizar as configurações do PhishML.

Como configurar valores e limites de confiança

O PhishML gera três valores de confiança para cada mensagem que ele analisa. Esses valores representam a porcentagem de segurança de uma mensagem, ou seja, se ela está limpa, é um spam ou representa uma ameaça. Você pode exibir os valores de confiança de uma mensagem na subguia Actions (Ações) da barra lateral da página Message Details (Detalhes da mensagem).

Um limite de confiança é a porcentagem mínima de segurança que o PhishML deve atender ou exceder para que uma mensagem seja marcada como limpa, spam ou ameaça. O PhishML aplicará marcas às mensagens qualificadas apenas se o limite de confiança estiver ativo. Nas Settings (Configurações) do PhishER, você pode habilitar ou desabilitar os limites de confiança. Depois de habilitar um limite de confiança, você pode clicar e arrastar o controle deslizante ao lado dele para definir um valor de limite personalizado. Cada limite de confiança pode ser definido como qualquer valor personalizado entre 51 e 100. Por padrão, cada valor de limite de confiança é definido como 95.

Recomendamos configurar um valor de limite de confiança mais baixo, menor do que 80, caso queira aumentar o número de mensagens que são automaticamente marcadas pelo PhishML como limpas, spam ou ameaça. Para identificar as mensagens que são spam ou que representam uma ameaça, sugerimos configurar um limite de confiança mais baixo para o PhishML. Essa configuração permite que os administradores do PhishER resolvam ou eliminem rapidamente as mensagens seguras e priorizem as mensagens que precisam de análise ou revisão.

Se você deseja diminuir o número de mensagens marcadas pelo PhishML como limpas, spam ou ameaça, configure um valor de limite de confiança mais alto, acima de 85. Para identificar as mensagens que estão limpas, sugerimos configurar um limite de confiança mais alto para o PhishML. Essa configuração permite que os administradores do PhishER priorizem as mensagens que precisam de análise ou revisão.

Marcas do PhishML

Com base em análises, o PhishML aplica uma marca a cada uma das suas mensagens. Na subguia Actions (Ações) da barra lateral da página Message Details (Detalhes da mensagem), você pode exibir a marca que o PhishML anexou a uma mensagem. Você também pode adicionar e remover marcas. Para saber mais sobre as marcas do PhishML, veja a lista abaixo:

• PML:CLEAN: esta marca será anexada à sua mensagem quando o PhishML determinar que uma mensagem está limpa, com base no seu limite de confiança.
• PML:SPAM: esta marca será anexada à sua mensagem quando o PhishML determinar que uma mensagem é um spam, com base no seu limite de confiança.
• PML:THREAT: esta marca será anexada à sua mensagem quando o PhishML determinar que uma mensagem representa uma ameaça, com base no seu limite de confiança.
• PML:BYPASSED: esta marca será anexada à sua mensagem quando o PhishML ficar inativo. Você pode tentar executar novamente as regras e ações na mensagem. Depois, se o PhishML tiver êxito, a marca adequada será adicionada à mensagem.

Como criar ações recomendadas com as marcas do PhishML

Depois de configurar o PhishML, recomendamos configurar três ações com as marcas do PhishML para ajudar sua organização a identificar e responder rapidamente às ameaças de e-mail. Para saber sobre as configurações de cada ação recomendada, consulte as subseções abaixo.

PML:THREAT (mensagens de prioridade alta)

Você pode criar esta ação para ajudar sua organização a identificar e priorizar mensagens potencialmente maliciosas e que possam exigir análise futura. Para criar essa ação, defina as etapas 1, 2 e 3 para corresponder às seguintes configurações:

1. Choose how this action should be triggered (Escolha como esta ação deve ser disparada): recomendamos que você selecione a opção Specify Tags (Especificar marcas). Depois, selecione Has Any (Tem alguma) e digite “PML:THREAT” como marca.
2. Choose the action to be taken on matched messages (Escolha a ação a ser tomada nas mensagens correspondentes): selecione as opções Set Status (Definir status), Set Priority (Definir prioridade) e Set Category (Definir categoria). Depois, aplique as seguintes configurações aos menus suspensos:
   • Set Status (Definir status): selecione In Review (Em revisão).
   • Set Priority (Definir prioridade): selecione Critical (Crítico).
   • Set Category (Definir categoria): selecione Threat (Ameaça).
3. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): recomendamos uma das seguintes opções:
   • Crie uma resposta de e-mail personalizada que será automaticamente enviada para os destinatários selecionados. Para saber mais sobre essa opção, consulte a seção deste artigo intitulada Como criar um e-mail personalizado para a sua ação do PhishML.
   • Crie uma ação rápida que envie uma resposta automática para os destinatários selecionados quando você executar essa ação manualmente. Para saber mais sobre essa opção, consulte a seção deste artigo intitulada Como criar uma ação rápida para a sua ação do PhishML.

Depois de selecionar essas configurações, você pode definir as configurações restantes para a ação. Para obter outras configurações recomendadas, consulte as seções Como criar um e-mail personalizado para a sua ação do PhishML e Como criar uma ação rápida para a sua ação do PhishML, abaixo. Para obter informações gerais sobre as configurações restantes, consulte o artigo Como criar e gerenciar ações do PhishER.

PML:CLEAN (mensagens de prioridade média)

Você pode criar esta ação para ajudar sua organização a identificar e priorizar as mensagens que são consideradas seguras. Para criar essa ação, defina as etapas 1, 2 e 3 para corresponder às seguintes configurações:

1. Choose how this action should be triggered (Escolha como esta ação deve ser disparada): recomendamos que você selecione a opção Specify Tags (Especificar marcas). Depois, selecione Has Any (Tem alguma) e digite “PML:CLEAN” como marca.
2. Choose the action to be taken on matched messages (Escolha a ação a ser tomada nas mensagens correspondentes): selecione as opções Set Status (Definir status), Set Priority (Definir prioridade) e Set Category (Definir categoria). Depois, aplique as seguintes configurações aos menus suspensos:
   • Set Status (Definir status): selecione Resolved (Resolvido).
   • Set Priority (Definir prioridade): selecione Medium (Média).
   • Set Category (Definir categoria): selecione Clean (Limpa).
3. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): recomendamos uma das seguintes opções:
   • Crie uma resposta de e-mail personalizada que será automaticamente enviada para os destinatários selecionados. Para saber mais sobre essa opção, consulte a seção deste artigo intitulada Como criar um e-mail personalizado para a sua ação do PhishML.
   • Crie uma ação rápida que envie uma resposta automática para os destinatários selecionados quando você executar essa ação manualmente. Para saber mais sobre essa opção, consulte a seção deste artigo intitulada Como criar uma ação rápida para a sua ação do PhishML.

Depois de selecionar essas configurações, você pode definir as configurações restantes para a ação. Para obter outras configurações recomendadas, consulte as seções Como criar um e-mail personalizado para a sua ação do PhishML e Como criar uma ação rápida para a sua ação do PhishML, abaixo. Para obter informações gerais sobre as configurações restantes, consulte o artigo Como criar e gerenciar ações do PhishER.

PML:SPAM (mensagens de prioridade baixa)

Você pode criar esta ação para ajudar a sua organização a identificar e priorizar as mensagens determinadas como não solicitadas, mas que provavelmente não são maliciosas. Para criar essa ação, defina as etapas 1, 2 e 3 para corresponder às seguintes configurações:

1. Choose how this action should be triggered (Escolha como esta ação deve ser disparada): recomendamos que você selecione a opção Specify Tags (Especificar marcas). Depois, selecione Has Any (Tem alguma) e digite “PML:SPAM” como marca.
2. Choose the action to be taken on matched messages (Escolha a ação a ser tomada nas mensagens correspondentes): selecione as opções Set Status (Definir status), Set Priority (Definir prioridade) e Set Category (Definir categoria). Depois, aplique as seguintes configurações aos menus suspensos:
   • Set Status (Definir status): selecione Resolved (Resolvido).
   • Set Priority (Definir prioridade): selecione Low (Baixa).
   • Set Category (Definir categoria): selecione Spam.
3. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): recomendamos uma das seguintes opções:
   • Crie uma resposta de e-mail personalizada que será automaticamente enviada para os destinatários selecionados. Para saber mais sobre essa opção, consulte a seção deste artigo intitulada Como criar um e-mail personalizado para a sua ação do PhishML.
   • Crie uma ação rápida que envie uma resposta automática para os destinatários selecionados quando você executar essa ação manualmente. Para saber mais sobre essa opção, consulte a seção deste artigo intitulada Como criar uma ação rápida para a sua ação do PhishML.

Depois de selecionar essas configurações, você pode definir as configurações restantes para a ação. Para obter mais configurações recomendadas, consulte as seções Como criar um e-mail personalizado para a sua ação do PhishML e Como criar uma ação rápida para a sua ação do PhishML. Para obter informações gerais sobre as configurações restantes, consulte o artigo Como criar e gerenciar ações do PhishER.

Como criar um e-mail personalizado para a sua ação do PhishML

Para enviar automaticamente uma notificação ao executar uma ação, você pode criar uma resposta de e-mail personalizada que o PhishER enviará automaticamente aos seus destinatários selecionados. Para saber como personalizar essa resposta de e-mail, consulte o artigo Como criar um modelo de e-mail personalizado no PhishER.

Para configurar uma resposta de e-mail e definir as configurações restantes para sua ação, as etapas 3, 4, 5 e 6 devem ser definidas para corresponder às seguintes configurações:

1. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): recomendamos a seleção de Send Email (Enviar e-mail).
2. (Opcional) Choose whether or not to halt further actions (Escolha se deseja ou não parar outras ações): recomendamos marcar a caixa de seleção Stop executing further actions (Parar de executar outras ações). Se você selecionar essa opção, poderá revisar todas as mensagens com a marca do PhishML da sua ação, antes que outras ações sejam disparadas.
3. Choose QuickActions settings (Escolha as configurações de ações rápidas): mantenha as configurações padrão.
4. Choose whether or not to permanently delete matching messages (Escolha se deseja ou não excluir permanentemente as mensagens correspondentes): mantenha as configurações padrão.

Como criar uma ação rápida para a sua ação do PhishML

Para denunciar a ação manualmente, você pode criar uma ação rápida. Ao executar essa ação rápida, uma resposta de e-mail é automaticamente enviada aos destinatários selecionados.

Para criar uma ação rápida e definir as configurações restantes para sua ação, as etapas 3, 4, 5 e 6 devem ser definidas para corresponder às seguintes configurações:

1. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): recomendamos a seleção de None (Nenhum).
2. (Opcional) Choose whether or not to halt further actions (Escolha se deseja ou não parar outras ações): marque a caixa de seleção Stop executing further actions (Parar de executar outras ações). Se você selecionar essa opção, poderá revisar todas as mensagens com a marca do PhishML da sua ação, antes que outras ações sejam disparadas.
3. Choose QuickActions settings (Escolha as configurações de ações rápidas): mantenha as configurações padrão.
4. Choose whether or not to permanently delete matching messages (Escolha se deseja ou não excluir permanentemente as mensagens correspondentes): mantenha as configurações padrão.

Depois de salvar sua nova ação, você precisará criar uma ação rápida, que enviará automaticamente uma resposta de e-mail quando for executada. Para criar essa ação, defina as etapas da nova ação para corresponder às seguintes configurações:

1. Choose how this action should be triggered (Escolha como esta ação deve ser disparada): recomendamos a seleção de Manual Trigger Only (Apenas disparo manual). Essa configuração impede que a ação seja executada automaticamente. Você pode executá-la manualmente selecionando-a no menu suspenso Run (Executar) ou na barra QuickActions (Ações rápidas). Para obter mais informações, consulte a etapa 5, abaixo.
2. Choose the action to be taken on matched messages (Escolha a ação a ser tomada nas mensagens correspondentes): mantenha as configurações padrão.
3. Choose how you would like to report this action (Escolha como deseja denunciar esta ação): recomendamos a seleção de Send Email (Enviar e-mail). Usando o modelo de e-mail, crie uma resposta de e-mail personalizada. Para saber como personalizar essa resposta de e-mail, consulte o artigo Como criar um modelo de e-mail personalizado no PhishER.

1. Choose whether or not to halt further actions (Escolha se deseja ou não parar outras ações): mantenha as configurações padrão.
2. Choose QuickActions settings (Escolha as configurações de ações rápidas): recomendamos que você marque a caixa de seleção à esquerda de Include this action in the QuickAction bar (Incluir esta ação na barra de ação rápida). Agora, a ação será exibida na barra de QuickActions (Ações rápidas) da Inbox (Caixa de entrada) do PhishER e na subguia Actions (Ações) da página Message Details (Detalhes da mensagem).
3. Choose whether or not to permanently delete matching messages (Escolha se deseja ou não excluir permanentemente as mensagens correspondentes): mantenha as configurações padrão.