设置集成

分享

本文是否有帮助?

上次更新时间:

将 Threat Intel 与您的 PhishER 控制台集成

在 PhishER 设置的 Threat Intel 子选项卡中,您可以为 PhishER 控制台配置 Threat Intel 功能。Threat Intel 由 Webroot 与 PhishER Plus 的集成提供支持。Webroot 的 BrightCloud Web 分类和 Web 信誉服务使用基于机器学习的智能技术,分析 URL 中的恶意内容。此集成通过 Webroot API 让 PhishER 能够提交 URL 进行分析、提取报告数据并执行高级搜索查询。

注意:Threat Intel 仅适用于 PhishER Plus 帐户。配置 Threat Intel 功能无需单独的 Webroot 订阅。

在 Threat Intel 扫描 URL 后,威胁分析报告会显示在 PhishER 控制台 Message Details(消息详情)页面的 Domains & URLs(域和 URL)子选项卡下。有关更多信息,请参阅 PhishER 收件箱指南

配置集成

若要配置集成,可填写 PhishER Settings(设置)中 Threat Intel 子选项卡上的字段。有关更多信息,请查看以下截图和列表:

  1. Threat Intel Disabled(Threat Intel 已禁用)或 Threat Intel Enabled(Threat Intel 已启用):使用此切换开关,可禁用或启用集成。
  2. (可选)Automatic Scanning Settings(自动扫描设置):在此部分中,您可配置相应设置,允许 Threat Intel 自动扫描消息的各部分内容。如需了解这些选项,请查看以下列表:
    • Automatically Scan All URLs(自动扫描所有 URL):如果您选中此复选框,Threat Intel 将自动收到 PhishER 收件箱中的所有 URL。
  3. Update Threat Intel Settings(更新 Threat Intel 设置):如果您想保存对此部分中集成设置所做的更改,请单击此按钮。
  4.  (可选)Automatic Scanning Timeout(自动扫描超时)Timeout if no response in seconds(无响应时的超时(秒))字段显示 Threat Intel 扫描结果的自定义超时时限。如果 Threat Intel 在此超时时限内没有返回扫描结果,TI_BYPASSED 标签将应用于相应消息。超时时限默认为 120 秒。要了解有关可应用于消息的标签的更多信息,请参阅本文的 Threat Intel 标签部分。 
  5. (可选)Ignored Domains(已忽略域):此部分显示您希望 Threat Intel 在运行扫描时忽略的域。
  6. Update Shared Settings(更新共享设置):如果您希望更新集成的自定义超时时限或已忽略域,请单击此按钮打开 Shared Integrations Settings(共享集成设置)弹出窗口。在弹出窗口中,您可以在 Timeout if no response in seconds(无响应时的超时(秒))字段中输入秒数,为 Threat Intel 扫描结果设置自定义超时时限。在 Ignored Domains(已忽略域)字段中,您可以输入希望 Threat Intel 在运行扫描时忽略的域。在文本框中分行输入每个域。如果您在此列表中添加域,该域的任何子域也会被排除。但是,如果您在此列表中添加子域,该域不会被排除。不支持使用通配符 (*) 和统一资源标识符 (URI)。 
    重要提示:有关不应作为链接发送至 Threat Intel 的 KnowBe4 域的更多信息,请参阅本文的排除扫描项中的 KnowBe4 域部分。

使用 Threat Intel 进行扫描

将 Threat Intel 帐户与 PhishER 控制台集成后,您可以对域和 URL 运行 Threat Intel 扫描。若要对特定域或 URL 运行 Threat Intel 扫描,请单击 Message Details(消息详情)页面上的 Scan(扫描)

注意:如果您启用 Automatic Scanning(自动扫描),Threat Intel 将自动接收 PhishER 收件箱中所有域或 URL 的散列。

对域或 URL 运行 Threat Intel 扫描时,扫描可能需要长达 15 分钟才能完成。扫描完成后,分析结果将显示在 PhishER 控制台的 Message Details(消息详情)页面上。单击 Click to View Scan Results(单击查看扫描结果)即可查看结果。有关更多信息,请参阅 PhishER 收件箱指南查看消息详情部分。

排除扫描项中的 KnowBe4 域

KnowBe4 会使用多个域,且不应将这些域作为链接发送至 Threat Intel。您可以在 PhishER 设置的 Threat Intel 子选项卡的 Shared Integrations Settings(共享集成设置)部分中输入这些已忽略域。若要查找并排除这些域,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 导航至 Phishing(网络钓鱼)选项卡,然后选择 Domains(域)子选项卡。此子选项卡显示根网络钓鱼链接域列表。有关更多信息,请参阅文章管理网络钓鱼链接域
    注意:如果无法访问此子选项卡,可联系我们的支持团队,获取网络钓鱼链接域列表。
  3. 在单独的浏览器或标签页中,登录到您的 PhishER 控制台。
  4. 导航至 Settings(设置) > Threat Intel
  5. Shared Integrations Settings(共享集成设置)部分中,单击 Update Shared Settings(更新共享设置)
  6. Ignored Domains(已忽略域)字段中,输入来自 KSAT 控制台的根域。
  7. 单击 Update Shared Settings(更新共享设置)
  8. 如果您使用多个 KSAT 控制台实例,请重复步骤 1-7 以从所有实例中排除根域。有关 KSAT 实例的更多信息,请参阅文章 KnowBe4 培训实例

Threat Intel 标签

根据扫描结果,Threat Intel 会对您的消息应用一个或多个标签。如需了解 Threat Intel 标签,请查看以下列表:

  1. TI_BYPASSED:当 Threat Intel 扫描超时时,此标签将附加至您的消息。此标签通常与其他 Threat Intel 标签一起附加至消息。您可以在 Threat Intel 的 Shared Integrations Settings(共享集成设置)下设置自定义超时时限。
    注意:如果 Threat Intel 发生超时,PhishER 仍会等待 Threat Intel 返回扫描结果。但是,在 Threat Intel 扫描项目时,不会对该项目运行自动操作。
  2. TI_ERROR:当 Threat Intel 扫描导致处理错误,或 Threat Intel 无法扫描某个域或 URL 时,此标签将附加至您的消息。
  3. TI_HIGH_RISK:当 Threat Intel 扫描确定检测到威胁且扫描的域或 URL 属于高风险时,此标签将附加至您的消息。
  4. TI_IGNORED:当检测到您的消息含有 Ignored Domains(已忽略域)列表上的 URL 或域时,此标签将附加至您的消息。
  5. TI_LOW_RISK:当 Threat Intel 扫描确定未检测到任何威胁但扫描的域或 URL 属于低风险时,此标签将附加至您的消息。
  6. TI_MODERATE_RISK:当 Threat Intel 扫描确定检测到潜在威胁且扫描的域或 URL 属于中等风险时,此标签将附加至您的消息。
  7. TI_NOT_FOUND:当 Threat Intel 扫描没有返回扫描的域或 URL 的匹配项时,此标签将附加至您的消息。
  8. TI_PENDING:当 Threat Intel 扫描进入队列时,此标签将附加至您的消息。扫描完成后,此标签将被移除。
  9. TI_SCANNED:当 Threat Intel 扫描确定未从扫描的域或 URL 中检测到任何威胁,此标签将附加至您的消息。
  10. TI_SUSPICIOUS:当 Threat Intel 扫描确定扫描的域或 URL 可疑时,此标签将附加至您的消息。
注意:含多个域或 URL 的消息可具有多个 TI 标签,因为有些扫描可能分别在不同时间完成或具有不同结果。

本文是否有帮助?

1 人中有 1 人觉得有帮助

未找到您需要的内容?

联系支持人员