KnowBe4 的 PhishER 是一个安全编排、自动化和响应 (SOAR) 平台，用于管理用户报告的电子邮件。借助 PhishER，您的组织能够识别潜在的电子邮件威胁，进而强化安全措施和深度防御计划。

PhishER 可作为独立平台自行运作，但与 KSAT 控制台结合使用时可产生最佳效果。PhishER 还能与 VirusTotal 和 Syslog 等第三方分析工具集成，为您的组织提供安全扫描和评估。

PhishER 工作流程

PhishER 工作流程图如下。建议开始使用前先查看此工作流程，以便深入了解 PhishER。

有关此工作流程的更多信息，请查看下表：

1. 当您的用户报告可疑电子邮件时，这些邮件会被发送到 PhishER 收件箱。
2. PhishER 会采用您的自定义规则，分析电子邮件中各个部分的恶意内容或危险信号。然后，PhishER 会将标签分配给符合规则条件的电子邮件。
3. 这些标签会触发 PhishER 执行特定操作。根据您组织的自定义规则和操作，PhishER 会自动处置每封电子邮件。该处置功能有助于您对用户报告的电子邮件设定优先级并快速应对真实的网络钓鱼攻击。
4. 如果您已启用 PhishER Blocklist，则可利用恶意或垃圾邮件的相关信息，阻止用户收件箱接收类似电子邮件。如果您订阅了 PhishER Plus 且启用了 Global Blocklist，可使用众包信息拦截类似电子邮件。
5. 如果您启用了 PhishRIP，可移除用户收件箱已接收的类似恶意或垃圾邮件。如果您订阅了 PhishER Plus 且启用了 Global PhishRIP，可使用众包信息移除类似电子邮件。
6. 如果您启用了 PhishFlip，可重复利用已报告的电子邮件创建 KSAT 网络钓鱼模板和活动。PhishFlip 会先将已报告电子邮件中的恶意元素移除，再向您的用户发送网络钓鱼测试。

先决条件

如果结合使用 PhishER 和 KSAT，您需要分别购买这两款产品的相同用户名额。如果在订阅期限内购买了其中一款产品的额外用户名额，您还需要购买另一款产品的名额。

所有 PhishER 客户都需要具备电子邮件转发系统，这样才能将用户报告的全部电子邮件转发到 PhishER 收件箱进行分析。建议您为组织安装 Phish Alert Button (PAB)，但也可选择让用户手动转发电子邮件至报告电子邮件地址。有关上述方法的更多信息，请参阅 Phish Alert Button (PAB) 产品手册和 PhishER 设置文章。

创建账户

首先，您需要创建 PhishER 账户。

按照以下步骤，创建账户：

1. 登录您的 KnowBe4 账户。
2. 单击页面右上角的用户名。从打开的下拉菜单中，选择 Account Settings（账户设置）。
3. 选择 Account Integrations（账户集成） > PhishER。
4. 单击 Create PhishER Account（创建 PhishER 账户）按钮。

访问 PhishER

为您的组织创建完 PhishER 账户并已在您的账户中启用 PhishER 后，前往 PhishER 按钮就会立即显示在您的 KnowBe4 账户设置页面上。点击此按钮，直接进入 PhishER 平台。或者，您也可以跳转到您的 KnowBe4 实例所对应的 URL，以访问您的 PhishER 平台。有关更多信息，请查看以下截图和列表：

• 美国：https://phisher.knowbe4.com
• 加拿大：https://ca.phisher.knowbe4.com
• 欧盟：https://eu.phisher.knowbe4.com
• 德国：https://de.phisher.knowbe4.com
• 英国：https://uk.phisher.knowbe4.com

设置报告电子邮件地址

您需要设置至少一个报告电子邮件地址，以便转发电子邮件到您的收件箱。如果您的组织使用 PAB 进行报告，您需要为每个 PAB 实例设置一个报告电子邮件地址。

按照以下步骤，设置报告电子邮件地址：

1. 登录您的 KnowBe4 账户。
2. 单击页面右上角的用户名。从打开的下拉菜单中，选择 Account Settings（账户设置）。
3. 前往Account Integrations（账户集成） > Phish Alert，打开 PAB 实例设置。
4. 在 Send Non-Simulated Phishing Emails to（将非模拟网络钓鱼电子邮件发送至）字段中，输入您的报告电子邮件地址。有关此字段的更多信息，请参阅 Phish Alert Button (PAB) 产品手册中的启用和配置 PAB 部分。
5. 单击 Save Phish Alert Settings（保存 Phish Alert 设置）按钮。
6. 单击页面底部的 Save Changes（保存变更）按钮。

报表面板

打开 PhishER 平台后，将显示 Dashboard（报表面板）页面。您可在此页面快速概览 PhishER 平台。有关此页面的更多信息，请查看以下截图和列表：

1. 搜索：您可在此搜索栏中通过 Lucene 查询来筛选报表面板。报表面板将显示符合条件的所有消息的相关信息概览。
2. 编辑报表面板布局：您可单击此图标，在报表面板中添加和删除微件。您可拖放和调整每个微件，创建自定义布局。单击此图标后，将显示 Reset Dashboard Layout（重置报表面板布局）和 Add Widget（添加微件）按钮。
3. 过去 30 天内：报表面板默认显示过去 30 天内的数据和活动。不过，您可单击 Last 30 days（过去 30 天内）按钮，调整报表面板视图，显示不同的日期范围。单击此按钮，打开日期范围弹出窗口。
4. 已报告消息：此部分会显示已转发到 PhishER 收件箱的已报告消息数量。
5. 已自动处理：此部分会显示根据已启用的规则和操作所处置的消息数量。
6. 已手动处理：此部分会显示在未启用规则和操作时所处置的消息数量。
7. 未处理：此部分会显示尚未处置的消息数量。
8. 已接收消息：此条形图会显示已转发到 PhishER 收件箱的已报告消息数量。这些数据会显示每天或每小时的已报告消息数量。
9. 消息摘要：此饼图会显示已自动处理、已手动处理和待审核状态的消息数量对比。
10. Reported Messages by Category (已报告消息（按类别）)：此线图会显示消息的处置方式。可按下列类别处置消息：安全邮件、垃圾邮件或威胁邮件。每条消息均被首先默认处置为未知邮件，然后再由 PhishER 或管理员处置为其他具体类别。
11. Categories (类别)：此饼图会显示正在处置的消息数量对比。
12. 已报告消息（按优先级）：此线图会显示已报告消息的优先级。可按下列优先级分配消息：未知、低级、中级、高级或紧急。这些数据会显示每种优先级每天或每小时的已报告消息数量。
13. 优先级：此饼图会显示消息优先级分配的对比情况。

筛选室

Rooms（筛选室）选项卡包含了 PhishER 收件箱内消息的多个筛选视图。每个筛选视图会根据已保存的查询信息和系统生成的筛选器进行显示。单击每个系统生成筛选器旁边的图标，可查看已筛选的收件箱、报表面板和报告。

单击筛选室内的特定消息组，即可转到 Inbox（收件箱）的筛选视图，视图会显示该组的所有消息。如果有至少两条消息符合筛选室条件，则会在筛选室中创建一个消息组。

有关筛选室的更多信息，请参阅文章如何创建和管理 PhishER 筛选室。

收件箱

您可在 Inbox（收件箱）选项卡中查看用户报告的所有消息。这些消息包括用户已报告的全部电子邮件，用户可使用 PAB 或手动转发电子邮件至报告电子邮件地址进行报告。您可在此选项卡中筛选消息，并将自定义筛选设置保存为筛选室。另外，您还可执行操作并更改消息处置功能。

PhishER 会运用第三方分析工具，对消息的不同组成部分进行分析，包括原始数据、标题、附件和正文。单击某一条消息，Message Details（消息详情）页面将显示与消息有关的详细信息（如各组成部分）。在此页面中，您还可对消息执行操作，并利用 Discussion（聊天）功能与管理员就相关消息进行沟通。

有关收件箱的更多信息，请参阅文章如何使用 PhishER 收件箱。

规则

您可在 Rules（规则）选项卡中查看所有 PhishER 规则。规则是一种逻辑表达形式，用于处置转发到 PhishER 收件箱的电子邮件。所有规则必须遵循 YARA 规则逻辑，才能处置电子邮件。

根据规则，将电子邮件转发到 PhishER 收件箱后，会给电子邮件添加标签。选择 Rules（规则）选项卡，打开 Rules List（规则列表）页面，此页面设有下列子选项卡：

• Custom Rules（自定义规则）：此子选项卡会列出您的组织通过 PhishER 规则编辑器重新创建的各项规则。
• System Rules（系统规则）：此子选项卡会列出 KnowBe4 所提供的默认规则集。
• Global Variables（全局变量）：此子选项卡会列出您的组织针对自定义规则创建的全局变量。如果使用含相同字符串的多个规则，则可通过全局变量一次性更新全部规则。

有关规则的更多信息，请参阅文章如何创建和管理 PhishER 规则。

操作

您可在 Actions（操作）选项卡中查看所有 PhishER 操作。给消息分配标签后，此标签会说明如何在 PhishER 中处理消息。然后，此操作将启动消息处理过程的步骤。例如，您可创建一项操作，将垃圾邮件类别分配至所有匹配消息。选择 Actions（操作）选项卡，打开 Actions List（操作列表）页面，即可在此页面创建和管理 PhishER 平台的所有操作。

有关操作的更多信息，请参阅文章如何创建和管理 PhishER 操作。

报告

您可在 Reports（报告）选项卡中查看所有 PhishER 报告。每个子选项卡均会显示一份报告，报告中说明了用户所报告的电子邮件中最常见的信息。每份报告默认显示过去 30 天内的数据和活动，但您可单击页面右上角的 Last 30 Days（过去 30 天内）按钮，调整此日期范围。

Reports（报告）选项卡设有下列子选项卡：

• Attachments（附件）：此子选项卡会显示用户报告的电子邮件中最常见的附件类型。
• Reporters（报告人）：此子选项卡会显示报告电子邮件的最常见用户。
• Senders（发件人）：此子选项卡会显示与用户报告的电子邮件关联的最常见发件人域。
• Domains and URLs（域和 URL）：此子选项卡会显示用户报告的电子邮件中最常见的域和 URL。
• Tags (标签)：此子选项卡会显示用户报告的电子邮件所应用的最常见标签。

有关报告的更多信息，请参阅文章如何使用 PhishER 报告。

黑名单

PhishER Blocklist 功能可帮助您的 Microsoft 365 邮件服务器防止用户的收件箱接收恶意或垃圾邮件。打开 Blocklist 选项卡的 Your Syncing Entries 子选项卡，即可查看所有黑名单条目。查看用户报告的电子邮件时，您可更新黑名单，将有关威胁或垃圾邮件的信息发送至您的邮件服务器。

有关黑名单的更多信息，请参阅文章如何使用 PhishER Blocklist。

PhishRIP

PhishRIP 是一项 PhishER 电子邮件隔离功能，让您的组织可在连接到 Microsoft 365 或 Google Workspace 实例的所有收件箱中搜索用户报告的电子邮件。您可在 PhishRIP 选项卡中查看所有的 PhishRIP 搜索结果或查询信息。借助 PhishRIP，即可从用户收件箱中删除潜在的电子邮件威胁，从而防范活跃的网络钓鱼攻击。

在收件箱中选择某一条消息并单击 运行下拉菜单后，可触发相应操作，对经由 PhishRIP 查询找到的消息运行操作。

有关 PhishRIP 的更多信息，请参阅文章如何使用 PhishRIP。

PhishFlip

PhishFlip 是一项 PhishER 功能，让您的组织可在 KSAT 控制台的网络钓鱼活动中重复利用用户报告的电子邮件。PhishFlip 会将已报告电子邮件中的所有恶意元素移除，将邮件用作安全的网络钓鱼模板并发送给您的用户。

在 PhishER 平台上启用了 PhishFlip 后，即可根据用户报告的电子邮件创建 KSAT 网络钓鱼模板。然后，您可采用网络钓鱼模板，在 KSAT 控制台中创建网络钓鱼活动。而且，您还可创建 PhishFlip 自动化活动，内含 PhishER 平台上的特定已报告电子邮件。

有关 PhishFlip 的更多信息，请参阅文章如何使用 PhishFlip。