PhishER 收件箱会显示用户通过手动方式或 Phish Alert Button (PAB) 所报告的电子邮件。用户开始报告电子邮件后,您可立即在收件箱中查看和管理这些邮件。
如需了解如何使用收件箱,请参见以下部分。
导航收件箱
要想显示或隐藏收件箱的特定列,可选择 Inbox(收件箱)页面右上角的齿轮图标。单击此图标,打开 Inbox Table Settings(收件箱表格设置)弹出窗口。选中或取消选中复选框(位于列名左侧),可显示或隐藏列。
有关收件箱页面的更多信息,请查看以下截图和列表:
- Category(类别):此列会显示各处置类别的消息分组。可按以下三种方式分类或处置消息:Clean (安全邮件)、Spam (垃圾邮件)或Threat (威胁邮件)。如未确定具体处置类别,每条消息均会被先处置为Unknown (未知邮件)。
- From (发件人):此列会显示与原始消息关联的发件人名称。
- From Email (发件人电子邮件地址):此列会显示与原始消息关联的电子邮件地址。
- Subject (主题):此列会显示原始消息主题行中的文字。
- First Disposition Date (首次处置日期):此列会显示首次处置消息的时间戳。
- Current Disposition Date (最近处置日期):此列会显示最近处置消息的时间戳。
- Reported at (报告时间):此列会显示收件箱收到消息的日期和时间。
- Reported by (报告用户):此列会显示报告消息的用户名称。
- Reported by (Email) (报告人电子邮件地址):此列会显示报告消息的用户电子邮件地址。
- Status (状态):此列会显示消息的分析状态。消息状态可分为Received (已接收)、In Review (审核中)或Resolved (已处理)。
- Tags (标签):此列会显示根据消息属性添加至消息的标签。消息所含标签数量不限。所有标签均可点击。单击标签,即可根据该标签创建 PhishER 收件箱的筛选视图。可自动或手动给消息分配标签。如需了解标签分配方式,请查看下表:
- 用户可使用 Phish Alert Button (PAB) 处置功能,建议给消息分配相应标签。有关更多信息,请参阅文章将用户评论和电子邮件处置功能添加至 Phish Alert Button。
- 管理员可手动添加标签至 Inbox(收件箱)内或 PhishER 收件箱中 Message Details(消息详情)页面内的消息。管理员还可在收件箱中选择多条消息,为所选消息添加标签。
- 如果消息与含有某一标签的规则相匹配,则会自动给消息分配相应标签。
- Priority(优先级):此列会说明是否需要因潜在恶意内容而紧急审核消息。消息优先级可分为Low (低级)、Medium (中级)、High (高级)、Critical (紧急)或(Unknown) 未知。消息的初始优先级由组织的规则和操作决定。不过,管理员可随时更改优先级。
-
PhishRIP:如果在 PhishER 平台上已启用 PhishRIP,则会显示此列。单击加号图标,启动 PhishRIP。如果已在消息上启动 PhishRIP,则会显示鱼骨图标。
下载收件箱 CSV
单击 Inbox(收件箱)页面右上角的 Download CSV(下载 CSV)按钮,即可下载 PhishER 收件箱的 CSV 文件。此 CSV 文件包含了收件箱中全部可见列和隐藏列。
如果该 CSV 文件未超过最大项目数,将直接通过您的浏览器自动下载。直接下载 CSV 文件的最大项目数默认为 5,000 个。您可以在 PhishER Settings 的 Preferences 子选项卡中设置项目限制。如果 CSV 文件所含项目超过最大项目数,则会先在您的 PhishER 控制台中生成该文件,然后您才能进行下载。当文件完全生成并可供下载时,您将在控制台中收到一条提醒。该文件也将显示在 PhishER Settings 的 Downloads 子选项卡中。有关更多信息,请参阅文章 PhishER 设置:账户。
有关这些列的更多信息,请查看下表:
| 列名称 | 描述 |
|---|---|
| id | 此列会显示用于识别消息的唯一字符串序列。 |
| md5 | 此列会显示使用 MD5 算法的消息散列值。 |
| sha1 | 此列会显示使用 SHA1 算法的消息散列值。 |
| sha256 | 此列会显示使用 SHA256 算法的消息散列值。 |
| status | 此列会显示消息状态。消息状态可分为Received (已接收)、In Review (审核中)或Resolved (已处理)。 |
| attachments_count | 此列会显示消息内含的附件数量。 |
| category | 此列会显示消息类别。可按以下四种方式分类或处置消息:安全邮件、垃圾邮件、威胁邮件或未知邮件。有关更多信息,请参见上述导航收件箱部分。 |
| from | 此列会显示与原始消息关联的电子邮件地址。 |
| from_name | 此列会显示与原始消息关联的发件人名称。 |
| reply_to | 此列会显示收件人电子邮件地址,当用户回复消息时,该信息会填充电子邮件的收件人字段。 |
| reply_to_name | 此列会显示收件人名称或电子邮件地址,当用户回复消息时,该信息会填充电子邮件的收件人字段。 |
| reported_at | 此列会显示 PhishER 收件箱收到消息的日期和时间。日期和时间采用协调世界时 (UTC) 格式。 |
| reported_by | 此列会显示报告消息的用户电子邮件地址。 |
| reported_by_name | 此列会显示报告消息的用户名称。 |
| priority | 此列会显示消息优先级。消息优先级可分为Low (低级)、Medium (中级)、High (高级)、Critical (紧急)或(Unknown) 未知。有关更多信息,请参见上述导航收件箱部分。 |
| subject | 此列会显示原始消息主题行中的文字。 |
| tags | 此列会显示添加至消息的所有标签。 |
| IngestionAddress | 此列会显示用于转发消息至 PhishER 的报告电子邮件地址。 |
| Current disposition date | 此列会显示上一次处置消息的日期和时间。日期和时间采用协调世界时 (UTC) 格式。 |
| First disposition date | 此列会显示首次处置消息的日期和时间。日期和时间采用协调世界时 (UTC) 格式。 |
筛选收件箱
您可以筛选收件箱内的消息。如需了解可选的筛选器,请查看以下截图和列表:
-
Filter by Category(按类别筛选):在此部分,您可根据处置方式筛选消息。有关更多信息,请查看以下选项:
- Clean (安全邮件):选择此选项,显示已处置为安全邮件的所有消息。
- Spam (垃圾邮件):选择此选项,显示已处置为垃圾邮件的所有消息。
- Threat (威胁邮件):选择此选项,显示已处置为威胁邮件的所有消息。
- Unknown (未知邮件):选择此选项,显示未处置为上述三种类别的所有消息。
-
Filter by Status (按状态筛选):在此部分,您可根据 PhishER 中的邮件分析状态筛选消息。有关更多信息,请查看以下选项:
- Received (已接收):选择此选项,显示 PhishER 中未审核的所有消息。
- In Review (审核中):选择此选项,显示 PhishER 中正在审核的所有消息。
- Resolved (已处理):选择此选项,显示已审核和处理的所有消息。
-
Filter by Priority (按优先级筛选):在此部分,您可根据已分配优先级筛选消息。有关更多信息,请查看以下选项:
- Unknown (未知邮件):选择此选项,显示未分配优先级的所有消息。
- Low (低级):选择此选项,显示标记为低优先级的所有邮件。
- Medium (中级):选择此选项,显示标记为中优先级的所有邮件。
- High (高级):选择此选项,显示标记为高优先级的所有邮件。
- Critical (紧急):选择此选项,显示标记为紧急优先级的所有邮件。
有关更多筛选器选项,可在 Search...(搜索...)框中通过 Lucene 查询来筛选收件箱。另外,还可单击 Save query as room(将查询另存为筛选室)按钮,保存自定义筛选器。有关更多信息,请参阅文章如何使用 Lucene 查询语法和如何创建和管理 PhishER 筛选室。
对选定消息运行操作
要选择消息,请勾选对应消息左侧的复选框。选择消息后,Inbox(收件箱)页面左上角会显示 Run(运行)下拉菜单。打开下拉菜单,选择 Replay(重新运行)、PhishRIP、Email(电子邮件)或 Actions(操作)下方所列的相应操作。
有关这些选项的更多信息,请查看以下截图和列表:
- Replay(重新运行):在此子部分,您可针对选定消息重新运行规则和操作。有关可用操作的更多信息,请查看下表:
- All Rules (全部规则):通过此操作,您可针对任何选定消息运行所有自定义规则。若通过手动选定消息,也会对不匹配标签条件的电子邮件运行此操作。
- All Rules and All Actions (全部规则和全部操作):通过此操作,您可针对任何选定消息运行所有自定义规则和操作。如果您的组织已启用 VirusTotal 或 PhishML,也会针对任何选定消息运行这些规则和操作。
- PhishRIP:如果您的组织已启用 PhishRIP,在此子部分,您可对任何选定消息运行 PhishRIP 操作。有关可用操作的更多信息,请查看下表:
- Find Similar Messages (查找类似消息):通过此操作,打开 Find Similar Messages(查找类似消息)弹出窗口,即可选择 PhishRIP 查询的匹配条件。
- Create KSAT Template (创建 KSAT 模板):通过此操作,将选定电子邮件发送到您的 KSAT 控制台,即可使用安全电子邮件来创建新的网络钓鱼模板。
- Email(电子邮件):在此子部分,您可发送电子邮件。单击 Send Custom Email(发送自定义电子邮件),打开弹出窗口中的模板编辑器。准备好发送电子邮件时,单击 Send(发送)按钮。
-
Actions (操作):在此子部分,您可针对选定消息运行自定义操作。
提示:另外,亦可在收件箱页面右上方的 QuickActions(快速操作)栏中选择自定义快速操作(单击查看),然后针对选定消息运行操作。若在创建操作之前收到消息,均可使用这两种运行方式。
在收件箱页面顶部,还可设置选定消息的类别、状态和优先级,并添加多个标签。
要想清除选定消息,可单击 Clear Selection(清除选项)按钮。
查看消息详情
单击 PhishER 收件箱中的某一条消息,打开 Message Details(消息详情)页面。有关消息详情页面顶部的更多信息,请查看以下截图和列表:
- From(发件人):此字段会显示原始消息发件人的名称或电子邮件地址。
- Reply-to (回复):此字段会显示收件人名称或电子邮件地址,当用户回复消息时,该信息会填充电子邮件的收件人字段。
- To (收件人):此字段会显示原始消息收件人的名称或电子邮件地址。
- CC (抄送):此字段会显示原始消息抄送的任何电子邮件地址。
- Reported (报告时间):此字段会显示用户报告消息的日期和时间。
- Reported by (报告用户):此字段会显示报告消息的用户名称或电子邮件地址。
Message Details(消息详情)页面中此部分的所有电子邮件地址均可点击。单击电子邮件地址,转到收件箱的筛选视图,并显示与特定电子邮件地址关联的所有消息。
Message Details(消息详情)页面中的子选项卡提供了对应消息的相关信息。有关更多信息,请单击下方选项卡:
Preview(预览)选项卡会提供消息概览。此概览会显示消息正文中的内容。在此概览中,您还能看到消息所含的附件和 URL 数量。
Raw Message(原始消息)选项卡会提供消息的原始内容。原始内容是指包括标题和正文在内的完整消息内容。
Headers(标题)选项卡会提供消息标题的视图。您可打开右上角的下拉菜单,查看 All Headers(所有标题)、Standard Headers(标准标题)或 Non-Standard Headers(非标准标题)。亦可通过搜索栏搜索消息标题中的特定信息。
下列信息已默认突出显示,便于快速浏览标题:
- 域名密钥识别邮件 (DKIM)
- 基于域的消息身份验证、报告和一致性(DMARC)
- 发件人政策框架 (SPF)
- IP 地址
Attachments(附件)选项卡会提供有关消息所含附件的更多信息。
如果可用,则会显示下列信息:
- 文件大小
- 文件类型
- MD5
- SHA1
- SHA256
您可选择单击附件名称右侧的下载图标,然后下载附件。要想查看 PhishER 收件箱中含有此附件的所有消息,可单击附件标题,转到收件箱的筛选视图。
可单击 All Attachments(所有附件)下拉按钮,筛选 Attachments(附件)选项卡。您可缩小列表范围,只查看标记为 Bad Attachments(危险附件)的附件。
也可单击 VirusTotal Scan(扫描)按钮,通过 VirusTotal 运行扫描。扫描完成后,会显示 Click to View Report(单击查看报告)选项。
您还可以点击 CrowdStrike Detonate(分解)按钮,通过 CrowdStrike 分解和分析文件。分解完成后,会显示 View Report(查看报告)选项。
Domains and URLs(域和 URL)选项卡会提供消息中检测到的每个域和 URL 的详细信息。有关更多信息,请查看以下截图和列表:
- 发件人信息:此部分会显示与原始消息源关联的发件人域的相关信息。例如,“thisismyfull-link.com”。
- 链接信息:此部分会显示消息中检测到的链接相关信息,包括完整 URL、首次检测链接时间以及最近检测链接时间。
要想查看 PhishER 收件箱中含有特定链接的所有消息,可单击相应链接,转到收件箱的筛选视图。要复制链接,可单击 URL 右侧的复制图标。要通过链接创建 PhishER Blocklist 条目,可单击复制图标旁边的 Create Blocklist Entry(创建黑名单条目)按钮。
打开 All URLs(所有 URL) 下拉菜单,可筛选消息内含的所有重定向插件链接。如果消息没有重定向插件链接,目标 URL 将用于筛选结果。根据下列下拉菜单选项,即可筛选 URL 视图:All URLs(所有 URL)、Ignored URLs(已忽略 URL)、Observed URLs(已识别 URL)、Scanned URLs(已扫描 URL) 和 Unscanned URLs(未扫描 URL)。
您可单击 VirusTotal Scan(扫描)按钮,通过 VirusTotal 运行扫描。扫描完成后,会显示 Click to View Report(单击查看报告)选项。
您可单击 CrowdStrike Detonate(分解)按钮,通过 CrowdStrike 运行扫描。扫描完成后,会显示 Click to View Scan Results(单击查看扫描结果)选项。
您可单击 Threat Intel Scan(扫描)按钮,通过 Threat Intel 与 Webroot 的集成运行扫描。扫描完成后,会显示 Click to View Scan Results(单击查看扫描结果)选项。PhishER 会将扫描结果保存两个小时。如果您在两小时后再次扫描 URL,PhishER会将该 URL 重新发送到 Webroot 并显示新的扫描结果。
Matched Rules(已匹配规则)选项卡会提供一份规则表格,所示规则均为系统运行后与消息匹配的规则。此选项卡会详细说明给消息分配具体标签的原因。表格中的每一行会显示规则的名称和描述、规则与消息匹配的时间、已匹配消息的数量以及与相应规则关联的标签。
History(历史记录)选项卡会提供与消息关联的所有用户、操作和规则事件。有关更多信息,请查看以下截图和列表:
- User Event(用户事件):用户事件是指由用户发起的操作,用户手动将操作应用于消息并导致消息更改。例如,用户事件可以是“字段已更改,更改用户为 User_Name,更改时间为 Mon DD, YYYY at H:MM”,或是“已对链接 URL 或附件名称启动 VirusTotal 扫描”。
- Action Event (操作事件):当已触发的操作导致消息更改时,就会发生操作事件。例如,操作事件可以是“电子邮件已发送,发送操作为 Action_Name,发送时间为 Mon DD, YYYY at H:MM”。
- Rule Event(规则事件):当已匹配的规则导致消息更改时,就会发生规则事件。例如,规则事件可以是“标签已更改,更改规则为 Rule_Name,更改时间为 Mon DD, YYYY at H:MM”。
查看侧边栏
在 Message Details(邮件详情)页面上,可以查看 Actions(操作)、Discussion(聊天)和 Similar(相似邮件)侧边栏。在此侧边栏中,可打开 Actions(操作)、Discussion(聊天)和 Similar(相似邮件)子选项卡。
有关这些子选项卡的信息,请参见以下子部分:
Actions(操作)
在 Actions(操作)子选项卡中,可更新邮件的处置和标签,下载已报告原始电子邮件,并对邮件运行操作。如已启用 PhishRIP,则可创建并查看 PhishRIP 查询,并查看 PhishML 置信度结果。有关更多信息,请查看以下截图和列表:
- Category, Status, Priority (类别、状态、优先级):使用这些选项,可更改消息的处置方式。有关更多信息,请参见上述筛选收件箱部分。
- 快速操作:单击其中一个自定义 QuickActions(快速操作),可对消息运行操作。
- PhishRIP:此部分会显示已发起的 PhishRIP 查询数量以及最后查询日期。单击 Create New Query(创建新查询),发起 PhishRIP 查询。单击 View Query(查看查询),查看针对此消息创建的 PhishRIP 历史查询。
-
下载原始电子邮件:单击此按钮,下载 .eml 格式的原始电子邮件文件。
注意:如果没有通过 Phish Alert Button (PAB) 报告电子邮件,而是手动转发邮件到 PhishER 收件箱,那么您所下载的文件不会包含电子邮件标题。 -
Run(运行):单击此按钮,然后从下拉菜单中选择下列一个选项。有关更多信息,请参见上述对选定消息运行操作部分。
- Actions(操作):针对消息运行单个操作。
- Email(电子邮件):发送自定义电子邮件。
- PhishRIP:创建 KSAT 模板。
- Replay(重新运行):针对消息运行所有规则或所有规则和操作。
- Assigned Tags(已分配标签):添加或移除消息的已分配标签。
- PhishML 置信度:查看 PhishML 置信度结果。如果您有 PhishER Plus 订阅,请单击 Generate Explanation(生成解释)以查看您的 PhishML Insights 解释。
- 删除消息:单击此按钮,删除消息。
Discussion(聊天)
打开 Discussion(聊天)子选项卡,可与其他管理员就相关消息进行沟通。此聊天功能类似于聊天窗口,有利于组织内多名管理员管理 PhishER 收件箱。
用户在使用 PAB 时,可与管理员就特定消息进行沟通。用户在使用 PAB 时发表评论后,该评论会出现在 Discussion(聊天)子选项卡中。有关更多信息,请参阅 Phish Alert Button (PAB) 用户评论和电子邮件处置指南。
管理员可以与使用 PAB 报告电子邮件的用户沟通。您可以在 PhishER Inbox(收件箱)的 Message Details(消息详情)页面中,向使用 PAB 报告消息的用户发送电子邮件。Discussion(聊天)子选项卡显示完整对话,并允许您在用户做出回应时从 PhishER 控制台发送外部消息。用户回复会在 Alerts(提醒)下生成一个 Event(事件),您可以单击该事件直接前往查看用户评论。有关更多信息,请参阅查看下载和评论提醒部分(位于 PhishER 设置:帐户文章中)。
- 您可以单击 Comment here(在此评论)文本框,然后输入要在内部保存或作为电子邮件发送给用户的消息。
- 单击 Save Internal Note(保存内部备注)按钮,让具有 PhishER 访问权限的所有管理员都能看到您的评论。
- 单击 Send Email(发送电子邮件)按钮,从 PhishER 控制台向您的用户发送回复。
Similar(相似邮件)
PhishER 会分析您收件箱中的邮件,提供一份组织中所有已报告的相关网络钓鱼攻击的列表。您可在 Similar(相似邮件)子选项卡中,对比并管理已报告邮件,以识别协同网络钓鱼邮件活动。
PhishER 会根据邮件主题和正文的相似性,自动对相关邮件进行分组。Similar(相似邮件)子选项卡上的 Similarity(相似性)列显示所选邮件与原始邮件之间的相似性整体百分比。相似性整体百分比下方显示两项具体的百分比。两封邮件主题行的相似性百分比显示在 (S) 旁边。两封邮件正文的相似性百分比显示在 (B) 旁边。系统会对这两项百分比取平均值,得到整体百分比。
在 PhishER Account Settings(账户设置)中,您可以设置 Similarity Threshold(相似性阈值),以调整两封邮件之间的相似性标准等级。Similarity Threshold(相似性阈值)越高,Similar(相似邮件)子选项卡中只会包含相似性极强的邮件;值越低,则会包含更多特征匹配度较低的邮件。
在 Similar(相似邮件)子选项卡的顶部,您可以像筛选收件箱邮件一样,对相似邮件进行筛选。有关这些筛选条件的更多信息,请参阅上述筛选收件箱部分。您还可设置所选邮件的 Category(类别)、Status(状态)和 Priority(优先级),并添加多个标签。默认情况下,PhishER 会分析过去 7 天的邮件。您可以单击 Last 7 Days(过去 7 天)打开日期范围弹出窗口,并调整此日期范围。最大日期范围为过去 30 天。
如果您点击单封邮件,侧边栏中会打开部分 Message Details(邮件详情)页面。然后,您可以对比原始邮件与相似邮件的详细信息。在侧边栏的左下角,可以单击 Go to message details(前往消息详情),直接前往该相似邮件的完整 Message Details(邮件详情)页面。