账户设置

分享

本文是否有帮助?

上次更新时间:

PhishER 设置:集成

打开 PhishER SettingsIntegrations 部分,可查看和管理与邮件服务器的集成、由 PhishER 支持的第三方集成以及与 KSAT 控制台的集成。

提示:有关特定 PhishER 集成的更多信息,请参见知识库的集成子部分。

邮件服务器

Mail Servers 子选项卡显示了连接至 PhishER 平台的邮件服务器。打开此子选项卡,可连接和管理您的 Microsoft 365 和 Google Workspace 邮件服务器实例。在此子选项卡上连接邮件服务器实例之后,您可为平台启用 PhishRIP 或 PhishER Blocklist。

将邮件服务器连接至 PhishER 平台的某项功能后,即可编辑和测试该连接。如果您更新邮件服务器实例,该实例将在 PhishER 平台上自动更新。您也可以通过 PhishER SettingsBlocklistPhishRIP 子选项卡连接邮件服务器。

如需了解如何连接和管理邮件服务器,请参见以下子部分。

连接 Microsoft 365 邮件服务器

要连接 Microsoft 365 邮件服务器的新实例,请按照以下步骤操作:

  1. 登录您的 PhishER 平台。
  2. 选择 Settings > Mail Servers
  3. 若想连接至 PhishRIP,请单击 New PhishRIP Connection,并遵循文章如何使用 PhishRIP 中的在 Microsoft 365 中启用部分的步骤。若想连接至 PhishER Blocklist,请单击 New Blocklist Connection,并遵循本文 Blocklist 部分的步骤。

连接 Google Workspace 邮件服务器

要连接 Google Workspace 邮件服务器的新实例,请按照以下步骤操作:

  1. 登录您的 PhishER 平台。
  2. 选择 Settings > Mail Servers
  3. 单击 New PhishRIP Connection 按钮,并遵循文章如何使用 PhishRIP 中的在 Google Workspace 中启用部分的步骤。

管理您的邮件服务器

连接邮件服务器实例后,该实例就会显示在 Mail Servers 页面上。如果您编辑或删除邮件服务器实例,更改将自动应用于 PhishER 平台。如果您断开实例连接,该实例将继续显示在 Mail Servers 页面上(除非您删除或重新连接实例)。

如需详细了解 Mail Servers 页面的设置,请查看以下截图和列表。

  1. New PhishRIP ConnectionNew Blocklist Connection:单击这些按钮,可添加新的邮件服务器实例或重新连接已断开连接的实例。有关连接实例的更多信息,请参见本文的上述子部分。
  2. 铅笔图标:单击此图标,可自定义邮件服务器实例的名称。
  3. Test PhishRIP Connection:单击此链接,可确认邮件服务器已连接至 PhishER 平台。链接旁边将显示连接测试成功的日期和时间。User Mailboxes Scanned 将显示测试连接时已扫描的邮箱数量。
  4. 漏斗图标:您可以单击此图标打开 User Mailboxes Selection 弹出窗口。在弹出窗口中,您可以在字段中输入电子邮件域或正则表达式来指示 PhishRIP 可以扫描的用户邮箱。如需了解更多信息,请阅读下面的“用户邮箱选择”部分。
  5. Disconnect PhishRIPDisconnect Blocklist:单击这些按钮,可从 PhishRIP 或 PhishER Blocklist 断开邮件服务器的连接。
  6. 垃圾桶图标:单击此图标,可删除已断开连接的邮件服务器实例。

选择用户邮箱

运行第一个 PhishRIP 查询后,您的邮件服务器实例将显示漏斗图标。您可以单击此图标打开 User Mailboxes Selection 弹出窗口。此弹出窗口显示电子邮件域或正则表达式,指示 PhishRIP 可以扫描的用户邮箱。您可以在 Domain Scan List 字段中输入电子邮件域,或者在 Regular Expression Scan List 字段中输入正则表达式。每个值另起一行输入。然后,单击 Save 以保存您的更改。PhishRIP 查询将仅在具有列表中匹配的域或正则表达式字符串的用户邮箱中进行搜索。如果您希望 PhishRIP 查询搜索所有可用的用户邮箱,请从两个字段中删除所有条目。

Blocklist

打开 Blocklist 子选项卡,可启用 PhishER Blocklist 功能。通过此功能,您的邮件服务器可防止用户的收件箱接收恶意或垃圾邮件。借助此功能,您可拦截来自发件人、域、URL 和文件散列的电子邮件。

如果您具备 PhishER Plus 订阅等级,亦可启用 Global Blocklist 功能,将您的邮件服务器连接到由 KnowBe4 威胁研究实验室托管的黑名单。如果您在自己的平台上启用 Global Blocklist 和 PhishRIP,则可启用 Global PhishRIP 功能,通过 Global Blocklist 从您的用户收件箱中移除电子邮件威胁。有关上述功能的更多信息,请参阅文章如何使用 Global Blocklist如何使用 Global PhishRIP

注意:您的组织必须具有已连接至组织域的有效 Microsoft 365 实例,才能在您的 PhishER 平台中启用 PhishER Blocklist 和 Global Blocklist。

要启用黑名单,请按照以下步骤操作:

  1. 登录您的 PhishER 平台。
  2. 选择 Settings > Blocklist
  3. 单击 Connect to Microsoft 365 按钮。通过此按钮,可前往 Microsoft 365 登录页面。
  4. 登录后,就会显示 Permissions requested Accept for your organization 弹出窗口。阅读权限后,即可单击 Accept 按钮。
  5. 打开 Disabled 旁边的切换开关。
  6. 打开 Blocklist Entry Duration 下拉菜单,选择想要黑名单保留条目的时长。持续时间默认选择 60 天。
  7. 点击保存

启用 PhishER Blocklist 后,拦截图标就会显示在 PhishER 平台左侧导航面板上。单击此图标,可访问黑名单。

启用 PhishER Blocklist 后,您需要将 Exchange 管理员角色分配至 PhishER Blocklist 应用程序,对角色进行身份验证。

注意:如果在设置 PhishER Blocklist 后启用 Global Blocklist,则无需重复连接邮件服务器和分配 Exchange Administrator 角色的步骤。

要将 Exchange 管理员角色分配至应用程序,请按照以下步骤操作:

  1. 使用您的管理员凭据登录 Microsoft Entra 管理员中心。您必须至少为特权身份验证管理员角色。
  2. 跳转到 Microsoft Entra ID > Identity > Roles & admins > Roles & admins
  3. 单击 Exchange Administrator 角色并单击 Add assignments
  4. 在搜索栏中输入“PhishER Blocklist”,然后单击 Add

完成上述步骤后,即可添加和管理黑名单条目。有关使用黑名单的更多信息,请参阅文章如何使用 PhishER Blocklist

CrowdStrike

您可以在 CrowdStrike 子选项卡中使用 CrowdStrike Falcon Sandbox 配置集成。CrowdStrike Falcon Intelligence 是一种与 Falcon Sandbox 结合分析恶意内容文件和 URL 的威胁情报服务。要将 CrowdStrike Falcon Sandbox 与 PhishER 集成,您必须拥有 PhishER Plus 订阅和活跃的 CrowdStrike Falcon Intelligence 订阅。如果您没有订阅 CrowdStrike,可在 CrowdStrike 网站上进行购买。

有关 CrowdStrike 与 PhishER 集成的更多信息,请参阅文章如何将 CrowdStrike 与 PhishER 平台集成

VirusTotal

打开 VirusTotal 子选项卡,可配置与 VirusTotal 的集成。VirusTotal 是一项服务,使用了 70 多个防病毒扫描程序来检查和分析文件中的恶意内容。您必须拥有有效的 VirusTotal 许可密钥,才能将您的 VirusTotal 账户与 PhishER 集成。如果没有 VirusTotal 账户,可前往 VirusTotal 网站免费注册。

有关 VirusTotal 与 PhishER 平台集成的更多信息,请参阅文章 VirusTotal 与 PhishER 的集成

Threat Intel

打开 Threat Intel 子选项卡,可配置与 Threat Intel 的集成。Threat Intel 使用 Webroot 的 BrightCloud Web 分类和 Web 信誉服务来分析 URL。要使用 PhishER 平台配置 Threat Intel,您必须拥有 PhishER Plus 订阅。有关 Threat Intel 与 PhishER 平台集成的更多信息,请查看文章将 Threat Intel 与 PhishER 平台集成

Syslog

打开 Syslog 子选项卡,可配置已连接至 PhishER 平台的 Syslog 服务器。系统日志记录协议(简称 Syslog)是一项为网络设备或服务器生成日志的协议。您可将 Syslog 服务器与 PhishER 账户集成,以便在触发 PhishER 操作时记录日志。

有关 Syslog 服务器与 PhishER 平台集成的更多信息,请参阅文章如何将 Syslog 与 PhishER 平台集成

网络钩子

打开 Webhooks 子选项卡,您可配置已连接至 PhishER 平台的网络钩子。网络钩子,又称 HTTP 推送 API,可允许应用程序向其他应用程序提供实时信息。您可根据消息所附的 PhishER 操作接收回电。

有关为 PhishER 平台配置网络钩子的更多信息,请参阅文章如何在 PhishER 平台中创建和管理网络钩子

Cyren 收件箱安全 (CIS)

使用 Cyren 收件箱安全 (CIS) 时,可选择将已扫描或已报告的电子邮件发送至您的 PhishER 平台。有关此功能的更多信息,请参阅文章 Cyren 收件箱安全 (CIS) 集成

KSAT 控制台

打开 KSAT Console 子选项卡,可配置与 KSAT 控制台的集成,以便更新 KSAT 用户时间线上的事件。如果您拥有 SAT Foundation、SAT Advanced、铂金级或钻石级订阅,即可通过 KSAT 集成选项,在用户的 KSAT 用户时间线中查看两类事件。第一类事件是处置用户使用 Phish Alert Button (PAB) 所报告的消息。第二类事件是处置和查找 PhishRIP 已隔离的消息。

有关 KSAT 控制台子选项卡的更多信息,请查看以下截图和列表:

  1. User Event API Key:此字段显示了 User Event API Key 的最后四个字符。要更新此字段,可单击 Update Key。在打开的 Update Key 弹出窗口中,在 New User Event API Key 字段中输入 User Event API Key,然后单击 Save

    注意:您可在 KSAT 账户设置用户事件 API 部分中查找用户事件 API 密钥
  2. Send Events to KSAT via PhishER Actions:选中此复选框,可为 PhishER 操作启用发送至 KSAT 选项。当用户通过 PAB 报告消息时,您可使用此选项向 KSAT 控制台发送信息。

  3. Automatically send PhishRIP Events to KSAT Console:选中此复选框,可在 PhishRIP 隔离消息后向 KSAT 控制台发送信息。用户时间线上的事件将显示消息的处置信息及其在用户收件箱中的位置。

    注意:您必须启用 PhishRIP,才能使用 Automatically send PhishRIP Events to KSAT Console 集成功能。即使取消选中 Automatically send PhishRIP Events to KSAT Console 复选框,您也能在 KSAT 用户时间线上查看已报告电子邮件的处置信息。
  4. Exclude emails from Sent, Spam, Deleted, and Quarantine folders:选中此复选框,可将用户的“已发送”、“垃圾邮件”、“已删除”或“隔离”文件夹内电子邮件的信息排除。
  5. Send PhishRIP events to KSAT when the Source of the PhishRIP query is labeled as:若想发送仅接受特定处置的消息的相关信息,请选择特定处置。
  6. 保存:单击此按钮,可更新您的 KSAT 集成设置。

本文是否有帮助?

3 人中有 3 人觉得有帮助

未找到您需要的内容?

联系支持人员