适用于 Microsoft Outlook、Microsoft Exchange、Microsoft 365 和 Google Workspace 的 Phish Alert Button (PAB) 插件可供用户报告可疑电子邮件。
在本文中,您将了解如何启用和配置 PAB、选择最适合您组织的 PAB 安装指南,以及如何设置多个 PAB 实例。
如需了解安装 PAB 如何使您的组织受益,以及有哪些最佳实践,请查看我们的 Phish Alert Button (PAB) 实施最佳实践一文。
向我们的服务器发送什么数据?
PAB 通过安全加密的 TLS 1.2 与我们的 API 通信。作为标准 HTTPS 通信的一部分,它会向我们发送外部 IP 地址、用户代理和其他标准浏览器信息。
以下是从用户设备发送至我们服务器的信息:
- 许可密钥
- PAB 版本
- 操作系统 (OS)
- 操作系统架构
- 包括 32 位和 64 位。
- Microsoft Outlook 版本
- Windows 配置语言
- 语言代码,如 EN 为英语、DE 为德语等等。
- 操作系统 ID
- 为每台工作站单独生成的随机 GUID。
- 用户的电子邮件地址
- 我们不会存储用户的电子邮件地址,除非它已在我们的系统中。
当用户报告的电子邮件不属于模拟网络钓鱼电子邮件时,除非您在账户设置中启用了向我们发送副本设置,报告的电子邮件将不会发送给我们。启用此设置时,已上报的电子邮件会转发给我们以及您账户设置中指定的电子邮件地址。有关此设置的更多信息,请查看以下启用和配置 PAB 部分内容。
启用 PAB
安装 PAB 之前,您需要在账户设置中启用和配置 PAB。欲启用 PAB,请遵循以下步骤。
- 登录您的 KnowBe4 控制台,并前往您的账户设置页面。在不同版本的账户中,此页面的显示也不同。
-
免费版本:如果您拥有免费账户,请登录您的控制台并点击开始使用按钮。点击后,您将跳转到启用 Phish Alert 界面。跳转到第 4 步查看进一步说明。
- 付费版本:如果您有付费账户,请登录您的控制台,并在屏幕右上角点击您的电子邮件地址。然后选择账户设置。
-
-
选择账户集成 > Phish Alert。
- 打开启用 Phish Alert 设置。
-
单击添加 Phish Alert 实例按钮。
注意:如果选择添加 Phish Alert 实例按钮,则会打开弹出窗口,要求您确认是否要创建新的实例。有关设置多个实例的更多信息,请参阅文章设置多个 Phish Alert Button (PAB) 实例。
Phish Alert 设置
填写账户设置中的字段,即可配置 PAB。有关这些字段的信息,请查看以下截图和列表:
- 启用 Phish Alert:若想为您的账户启用 PAB,请打开此设置。如果您在组织内设置 PAB 但未启用此设置,您组织的 PAB 报告将不被记录。
-
选择 PAB 版本:在下拉菜单中选择要为此 PAB 实例编辑的 PAB 版本。
注意:根据您选择的 PAB 版本,电子邮件格式部分下方将显示不同的字段。例如,如果选择 Microsoft PAB,将显示启用 Microsoft 365 Defender 集成切换按钮,如果选择 Google PAB,则会显示启用自动 PAB 激活切换按钮。如需更多信息,您可以查看所选 PAB 版本对应的 PAB 产品手册。 - 设为默认:单击此按钮,将当前 PAB 版本设为下拉菜单中的默认选项。可以为您创建的每个 PAB 实例设置默认值。此设置仅影响您的账户界面,不会对已部署的 PAB 功能产生影响。
- 设置名称:输入 PAB 实例名称。
- 图标:为 PAB 上传自己的自定义图标。如果您未上传自定义图标,则将使用默认 PAB 图标。如需详细了解图标的图像要求,请参阅文章变更 Phish Alert Button (PAB) 图标。如果您之前安装过 PAB,且当前首次添加自定义图标,则需重新安装 PAB,变更才能生效。
-
许可密钥:此字段显示与此 PAB 实例相关的许可密钥。使用许可密钥在您的工作站上安装 PAB。如果您将 Google Workspace Chrome 扩展程序用于 Google Apps,您的许可密钥会自动内置于您的 config.json 文件中。
注意:PAB 许可密钥的开头包含一个两位数的环境指示符,表明许可密钥的提供环境,例如美国、欧盟、加拿大等。环境指示符不适用于 HCL Domino(原 Lotus Domino)中的 PAB。 -
电子邮件格式:选择通过 PAB 转发的电子邮件格式要求。
注意:此功能仅适用于 EXE PAB 和 Hybrid PAB。 -
发送非模拟电子邮件至:如果用户报告非模拟电子邮件,您可以将此电子邮件的副本发送给您组织内的特定用户。欲向这些用户发送该电子邮件副本,请在此字段中输入用户电子邮件箱地址。电子邮箱地址必须使用逗号分隔。不会转发任何模拟网络钓鱼电子邮件。
注意:若在此字段中使用 KnowBe4 Defend 的 Abuse Mailbox,务必将电子邮件格式设置为 EML。若选择 MSG 格式,Defend 的 Abuse Mailbox 将无法接收通过 PAB 报告的电子邮件。 -
添加 PhishER 电子邮件地址:在发送非模拟电子邮件至:字段中,单击此按钮,通过您的 PhishER 账户添加第一个报告电子邮件地址。
注意:如果您设置的 PhishER 账户已被启用,报告电子邮件地址将自动填写到该字段中。若想从列表中移除此电子邮件地址,可单击移除 PhishER 电子邮件地址按钮。 - 向我们发送副本:启用此设置,可将已上报的非模拟网络钓鱼电子邮件副本发送至 KnowBe4 进行分析。此电子邮件将包含原始邮件标题。我们可以将这些电子邮件用作模板,撰写未来用于模拟网络钓鱼攻击的邮件。如需详细了解如何与我们分享电子邮件,请参阅文章使用 Phish Alert Button (PAB) 与 KnowBe4 分享已报告的网络钓鱼电子邮件。
PAB 特定设置
以下设置可用于自定义 PAB,并且将根据您选择的 PAB 版本而变化。
-
限制 CRID 验证:启用此设置,可将含活动收件人 ID (CRID) 标题的已报告电子邮件分类为模拟网络钓鱼电子邮件,而无需额外的验证检查。
此设置默认禁用,这表示 PAB 将使用 CRID 验证来检测电子邮件是否为模拟网络钓鱼电子邮件。CRID 验证会检查电子邮件是否具有有效的活动收件人 ID (CRID) 标题,电子邮件是否是过去一小时内首次报告,以及是否从安装了 PAB 的同一个账户报告。
注意:当用户报告来自已结束的网络钓鱼活动的模拟网络钓鱼电子邮件时,将会收到在用户报告网络钓鱼安全测试电子邮件时显示回复内容中设置的成功提示消息。但是,仅当用户首次报告该电子邮件或是在首次报告后一小时内再次报告时,才会发送此消息。针对已结束的网络钓鱼活动报告的模拟网络钓鱼电子邮件,不会在该活动中显示为“已报告”状态。模拟网络钓鱼电子邮件会被删除,且只会在 KSAT 控制台中显示为已报告邮件,不会转发给 PhishER。HCL Domino(原 Lotus Domino)中的 PAB 不使用 CRID 验证。
重要提示:不建议启用此设置。但是,如果 CRID 验证导致模拟网络钓鱼电子邮件被报告为非模拟网络钓鱼电子邮件,您可启用此设置。 -
忽略培训通知:启用此设置将阻止 PAB 报告任何包含有效培训通知 ID (TNID) 的培训电子邮件。此功能仅适用于 EXE PAB、Gmail 插件 PAB、Hybrid PAB 和 Microsoft 功能区 PAB。如果您的用户在启用此设置后报告培训电子邮件,则该电子邮件将保留在他们的收件箱中,并且他们将看到如下所示的弹出窗口。如需详细了解如何自定义向用户显示的文本,请参阅语言设置部分中的用户报告培训电子邮件时的回复:字段。
注意:TNID 的有效期为以下三个持续时间中的最短者:用户收到培训通知电子邮件后两周、培训注册期限加一周,或报告培训通知后 48 小时。TNID 过期后,培训电子邮件在经报告时将被视为非模拟电子邮件。 -
启用 Microsoft 365 Defender 集成:如果您想向 Microsoft 提交页面发送已报告电子邮件副本,请勾选此复选框。更多信息请参阅文章将 Microsoft Defender for Office 365 与 Phish Alert Button (PAB) 集成
注意:如果您启用此设置,但未启用允许用户发表评论和处置信息设置,那么您的用户只能为已报告电子邮件选择网络钓鱼或可疑邮件或垃圾邮件处置方式。 - 提交已报告电子邮件至:输入与您 Microsoft 账户的提交页面和 SecOps 邮箱关联的电子邮件地址。
- 保存已报告电子邮件的副本:如果您想让 PAB 在报告用户的已发送文件夹中保存一份已报告电子邮件的副本,请勾选此复选框。
-
根据 PAB 区域设置自动填充网络钓鱼语言:如果您启用此设置,PAB 将在用户个人资料的空白字段中自动填充首选网络钓鱼语言。如需详细了解如何为各用户单独设置语言,请参阅本地化指南。
注意:此功能仅适用于 EXE PAB、Hybrid PAB 和 Microsoft 功能区 PAB。 -
启用电子邮件转发:启用此设置,可将电子邮件转发至需要电子邮件转发的服务(如 Proofpoint)。启用此设置,还可自动将电子邮件格式设置变更为 MSG。在发送非模拟电子邮件至:字段中,输入任何其他转发电子邮件地址。
注意:此功能仅适用于 EXE PAB 和 Hybrid PAB。 - 从已报告电子邮件中排除原始正文(仅限 Hybrid PAB、Gmail 插件 PAB、Microsoft 功能区 PAB 和 Outlook 版 PAB):选中此复选框,可排除已报告电子邮件副本中的正文文本。原始正文文本仅包含在附件 EML 或 MSG 文件中。
- 将电子邮件标题作为 TXT 附件发送:若想在文本 (.TXT) 文件附件中添加已报告消息的标题,请选中此复选框。
- 将已报告消息的标头添加至已转发消息的正文:当您的用户报告非模拟电子邮件时,消息标头将被添加到已转发消息的正文中。因此,您需要在 PAB 设置的发送非模拟电子邮件至:部分中填写转发地址。
- 启用 Defend 集成:如果启用此设置,用户便可将电子邮件作为灰色邮件、垃圾邮件以及其他处置报告给 Defend。此设置需要同时在 KSAT 和 Defend 控制台中配置。有关更多信息,请参阅我们的文章 Defend - PAB 集成。
- 允许用户发表评论和处置信息:启用此设置,可让用户在使用 PAB 时添加评论并确定电子邮件的处置方式。有关更多信息,请参阅 Phish Alert Button (PAB) 用户评论和电子邮件处置指南。
- 禁用未知电子邮件处置:若想从用户使用 PAB 时的可选项目中排除未知邮件处置,可选中此复选框。
-
默认处置:选择一个处置选项,将其设为 PAB 实例的默认处置。当用户单击 PAB 时,该默认处置选项将显示为已选定。
注意:如果打开启用 Defend 集成切换开关,您还将看到灰色邮件和允许接收未来消息选项。 - 将已处置的电子邮件发送至:根据已报告电子邮件的处置方式,在下方处置字段中输入其他转发电子邮件地址。有关更多信息,请参阅 Phish Alert Button (PAB) 用户评论和电子邮件处置指南。
语言设置
此设置部分可用于修改向 PAB 用户显示的语言设置和消息。
- 添加语言:单击此按钮,向您的 PAB 实例添加额外语言。此功能仅与特定的 PAB 版本兼容。如需了解您的 PAB 版本是否与其他语言功能兼容,请参阅 Phish Alert Button (PAB) 语言感知功能指南。
- 语言下拉菜单:从下拉菜单中选择您想为 PAB 实例使用的语言。
- 设为默认:勾选此复选框,将此语言设置为您的 PAB 实例的默认语言。
- 转发电子邮件前缀:如果非模拟网络钓鱼电子邮件转发至您在将非模拟邮件发送至:字段中设置的收件人,此前缀将添加在原始主题行之前。
- 确认消息:单击 PAB 后,用户会看到此消息。默认情况下,此消息会要求用户确认他们是否要报告此电子邮件。此字段最多可输入 255 个字符。
- 按钮文本:此文本将显示在用户电子邮件客户端中的 PAB 上。
-
按钮群组文本:此文本将显示在用户电子邮件客户端中的 PAB 下。
- 当用户报告非模拟网络钓鱼电子邮件时,显示回复:如果您启用此设置,用户在报告非模拟网络钓鱼电子邮件时会看到此消息。在此字段中,EXE PAB 最多可输入 469 个字符,Hybrid PAB 则为 500 个字符。
-
当用户报告网络钓鱼安全测试电子邮件时,显示回复:如果您启用此设置,用户将在报告模拟网络钓鱼电子邮件时看到此消息。在此字段中,EXE PAB 最多可输入 469 个字符,Hybrid PAB 则为 500 个字符。
注意:此功能不适用于免费 PAB。 - 回复持续 __ 秒:设置电子邮件回复消息在屏幕上的显示时长。最长持续 60 秒。
-
用户报告培训电子邮件时的回复:如果您已启用忽略培训通知设置,用户报告 KnowBe4 培训电子邮件时会看到此消息。在此字段中,EXE PAB 最多可输入 469 个字符,Hybrid PAB 则为 500 个字符。此设置还包含其独立的回复持续时间,默认设置为 10 秒,最长持续时间为 60 秒。
注意:Microsoft 功能区 PAB 不受响应时长影响,响应消息将保持打开状态,直至被关闭或单击确认。 - 评论和处置设置:输入您自己的文本,可自定义 PAB 处置的标签和描述。如果您没有自定义处置方式,则将使用默认文本。要向用户显示处置描述,请打开处置标签字段旁边的切换开关。有关更多信息,请参阅 Phish Alert Button (PAB) 用户评论和电子邮件处置指南。
下载和权限
以下设置可用于查看文档、下载 PAB 清单文件以及授予权限。
- 保存 Phish Alert 设置:点击此按钮,保存针对 PAB 设置所做的所有变更。
- 查看指南:单击此按钮,可打开已选定 PAB 版本的产品手册。
-
下载:单击此按钮,可下载已选定 PAB 版本的安装、清单或配置文件。您将下载以下任一文件:
- PhishAlertButtonSetup.exe (EXE PAB)
- PhishAlertManifest.xml(Microsoft 产品 PAB 清单)
- PhishAlertManifestMSR.xml(Microsoft 功能区 Phish Alert Button)
- Phish_alert_configuration.json(Chrome 扩展 PAB 配置文件)
- 接受 Microsoft 权限,为 PAB 授权 Graph API:单击此按钮,可打开 Microsoft 365 页面。然后,审查并接受相应权限,以授权 PAB 使用 Microsoft 的 Graph API。
-
为 Graph API 授权 NAA-SSO:单击此按钮,可打开 Microsoft 365 页面。然后,审查并接受相应权限,以授权 PAB 使用 Microsoft 的嵌套应用程序身份验证 (NAA-SSO)。
注意:如果您选择 Gmail PAB 插件版本,则将显示下列按钮。发送 Gmail PAB 插件 Magic Mail:单击此按钮,可使用 Magic Mail 向用户发送激活电子邮件。有关更多信息,请参阅 Gmail Phish Alert Button (PAB) 插件产品手册中的使用 Magic Mail 发送激活电子邮件部分。注意:所有设置(启用 Phish Alert 和将非模拟邮件发送至:除外)都会在重启后应用于邮件客户端。当用户点击 PAB 报告电子邮件后,即可对将非模拟邮件发送至:选项应用更新设置。
PAB 安装指南
PAB 安装取决于您的组织的邮件环境。以下是我们的 PAB 安装指南:
电子邮件 PAB
-
Phish Alert Button (PAB) 产品手册
- 本产品手册适用于 Microsoft 365 和 Microsoft Exchange 的 Hybrid PAB。
- Gmail Phish Alert Button 插件产品手册
- Microsoft Outlook(EXE 版本)Phish Alert Button 产品手册
- Google Workspace (Chrome) Phish Alert Button 产品手册
- Microsoft Ribbon Phish Alert Button 产品手册
除了我们的安装指南外,您还可以查看我们的 Phish Alert Button (PAB) 兼容性表格,以确定适合您组织的 PAB。
协作平台 PAB
多个 PAB 实例
您可以为您的组织设置多个 PAB 实例。设置多个实例可定义特定用户的独特设置,如提示消息或额外语言。您添加 PAB 实例时,将收到额外的许可密钥,用于您自定义实例设置。
欲设置多个 PAB 实例,请查看以下文章:
PAB 报告
免费和付费 KnowBe4 账户都可以使用 PAB。PAB 可根据您的账户类型,提供有关用户点击量的额外信息。
- 如果您拥有免费账户,您的控制台报表面板将显示图表,追踪您的用户报告了多少网络钓鱼电子邮件。您可以下载此数据的 CSV 文件,其中包含用户点击 PAB 的日期和次数。
-
如果您拥有付费账户,您的报表面板将显示图表,追踪您的用户报告了多少网络钓鱼电子邮件。您可以下载包含以下数据的 CSV 文件:日期、PAB 使用次数,以及邮件是否属于模拟攻击。
打开用户个人资料页面以及控制台中任何网络钓鱼活动的用户选项卡,可查看用户报告了哪些网络钓鱼电子邮件。
PAB 用户活动
选择账户集成 > Phish Alert > 查看 PAB 用户活动,可查看哪些用户使用 PAB 报告消息。
打开账户设置,查看 PAB 用户活动页面。此页面包含相应数据,比如用户上次使用 PAB 的时间以及使用 PAB 的次数。要查看 PAB 用户活动页面,请按照以下步骤操作:
- 登录 KSAT 控制台,单击页面右上角的电子邮件地址,选择账户设置。
- 导航至账户集成 > Phish Alert。
-
单击查看 PAB 用户活动。单击链接,打开页面。
PAB 用户活动页面会显示每个用户的电子邮件地址及其 PAB 实例、活动和工作站的全局唯一标识符 (GUID)。最近活动一列会显示用户上次使用 PAB 的日期和时间。活动计数一列会显示用户使用 PAB 的总次数。
