在 PhishER 控制台上，规则是一系列逻辑表达式，让您可以在 PhishER 收件箱中自动处置和标记消息。已分配的标签会触发 PhishER 对消息运行操作。您可通过 Rules（规则）选项卡创建规则。若想创建操作，请参阅文章如何创建和管理 PhishER 操作。

规则选项卡包含两种规则，分别是自定义规则和系统规则。自定义规则是可通过 YARA 规则编辑器创建的规则。系统规则是由 KnowBe4 提供的默认规则。Rules（规则）选项卡还包含全局变量，您所创建的全局变量可用于含相同字符串的多个规则。更新全局变量，即可更新含相同字符串的所有规则。

创建规则

您可在 PhishER 控制台上创建自定义规则，处置已转发到 PhishER 收件箱的消息。要创建规则，可使用基础编辑器或高级编辑器。所有自定义规则必须遵循另一个递归/荒谬首字母缩写 (YARA) 逻辑。YARA 是一项用于识别和分类恶意软件样本的工具。

按照以下步骤，创建规则：

1. 登录您的 PhishER 控制台。
2. 在页面左侧的侧边栏中，选择 Rules（规则）选项卡，打开 Rules List（规则列表）页面。
3. 单击页面右上角的 New Rule（新建规则）按钮，打开 Rule Details（规则详情）页面。
   注意：如果您希望 PhishER 根据您的需求描述自动生成规则，请参阅使用 YARA 规则生成器创建规则部分。

   

4. 在 Name（名称）字段中输入规则的专属名称。建议您输入可简单说明规则功能的名称。规则名称不能以数值开头，不能超过 64 个字符，也不能包含 YARA 的编写 YARA 规则文档中列出的任何关键字。
5. （可选）在 Description（描述）字段中输入规则的描述。根据最佳实践，建议您输入规则专用功能的描述。描述不能超过 64 个字符。
6. 打开 Edit Tags:（编辑标签：）部分，添加想要附加至消息的自定义标签（如该消息匹配此特定规则）。要添加标签，可单击“Add new tag（添加新标签）”并输入标签名称。然后，单击“Add new tag（添加新标签）”字段范围外的区域，即可创建标签。
7. 打开 Choose target:（选择目标）下拉菜单，选择想要应用或运行规则的消息部分。可选目标包括原始消息、标题、正文和附件。默认选择“原始消息”。
8. 打开 Yara Rule Editor（YARA 规则编辑器）部分，使用基础编辑器或高级编辑器来编写规则。有关更多信息，请参见以下子部分。

使用基础编辑器创建规则

通过基础编辑器，无需编写所有 YARA 规则逻辑，即可创建自定义规则。您可输入字符串的值并选择规则的条件，接着基础编辑器会处理您所输入的信息，为您的规则创建规则逻辑。如需了解如何通过 Basic Editor（基础编辑器）选项卡创建规则，请查看以下截图和列表：

1. 基础编辑器：选择此选项卡，显示可用于创建规则的选项。
2. 创建字符串：创建并定义用于创建条件的字符串。有关更多信息，请参阅文章如何在基础编辑器中创建字符串和条件？。
3. 新增字符串：单击此按钮，将字符串添加至规则。每个规则可创建最多五个字符串。
4. 创建条件：选择已定义字符串的互联方式，然后创建条件。通过这些条件，您可指定规则需要影响的相应消息。有关更多信息，请参阅文章如何在基础编辑器中创建字符串和条件？。可从下列选项中选择：
   • 匹配任何已定义字符串：选择此选项，检测与任何已定义字符串匹配的消息。
   • 匹配所有已定义字符串：选择此选项，检测与全部已定义字符串匹配的消息。
   • 自定义条件：选择此选项，检测与自定义条件匹配的消息。
5. 新建条件组：如果您选择 Custom conditions（自定义条件），则可单击此按钮并创建自定义条件，规则只能影响符合这些条件的消息。
6. 保存规则：单击此按钮，保存规则。在 Custom Rules（自定义规则）子选项卡下方，您的规则会显示在 Rules List（规则列表）页面上。After saving your rule, you can enable your rule by turning on the toggle under the rule's Status column.然后，单击页面右上角的 Apply Changes（应用更改）按钮。

   

7. 将规则应用于收件箱：单击此按钮，针对收件箱中所有消息运行规则。必须有至少一条消息与您的规则和预览规则条件匹配，才能使用此选项。

使用高级编辑器创建规则

通过高级编辑器，即使没有指导，也可编写 YARA 规则逻辑。如果您在高级编辑器中编辑规则，对应规则的基础编辑器就会被禁用。如需了解如何通过 YARA 规则逻辑编写规则，请参阅文章“如何编写 YARA 规则”。如需了解如何通过 Advanced Editor（高级编辑器）选项卡创建规则，请查看以下截图和列表：

1. 高级编辑器：选择此选项卡，显示代码块部分，您可在此处通过 YARA 规则逻辑编写规则。
2. 保存规则：单击此按钮，保存规则。在自定义规则子选项卡下方，您的规则会显示在规则列表页面上。After saving your rule, you can enable your rule by turning on the toggle under the rule's Status column.然后，单击页面右上角的 Apply Changes（应用更改）按钮。

   

3. 将规则应用于收件箱：单击此按钮，针对收件箱中所有消息运行规则。必须有至少一条消息与您的规则和预览规则条件匹配，才能使用此选项。

使用 YARA 规则生成器创建规则

使用 YARA 规则生成器，您可以通过描述想要规则执行的操作来自定义规则。您可以输入规则的检测要求，YARA 规则生成器会处理您输入的内容以创建规则逻辑。要了解如何使用 YARA 规则生成器选项卡创建规则，请按照以下步骤操作：

请按照以下步骤创建规则：

1. 登录您的 PhishER 控制台。
2. 在页面左侧的侧边栏中，选择 Rules（规则）选项卡，打开 Rules List（规则列表）页面。
3. 单击页面右上角的 New AI Rule（新建 AI 规则）按钮，打开 Rule Details（规则详情）页面。

   

4. 在描述您的检测要求字段中，输入您想要创建的规则描述。

   

5. 单击生成规则。YARA 规则生成器会将您的检测需求转换为一条 PhishER 规则，该规则包含名称、描述、标签以及完整的 YARA 语法。

   

6. 您可以按照需要编辑生成的规则。然后，单击 Save Rule（保存规则）以保存规则。

预览规则

建议先预览规则对 PhishER 消息的影响方式，再保存新规则。按照以下步骤，预览规则：

1. 登录您的 PhishER 控制台。
2. 在页面左侧的侧边栏中，选择 Rules（规则）选项卡，打开 Rules List（规则列表）页面。
3. 单击页面右上角的新建规则按钮，或选择规则列表页面上的一条规则。单击 New Rule（新建规则）按钮后，可打开 Rule Details（规则详情）页面。
4. 使用 YARA 规则编辑器部分，编写或修改 YARA 规则。
5. 单击 Run Preview（运行预览）按钮，然后保存规则。预览列表会显示收件箱中与您的规则匹配的所有消息。
   注意：PhishER 只会检查最近 1000 条消息的规则预览。如果匹配规则的消息不在最近 1000 条消息的范围里，则预览不会包含该消息。
6. 修改下列条件选项，即可更新预览列表：
   • 已保存查询（可选）：选择一个自定义的已保存查询，查看规则对该查询中消息的影响方式。
   • 过去 7 天内：选择要预览的消息日期范围。日期范围包括过去 24 小时内、过去 7 天内和过去 30 天内：默认选择 Last 7 days（过去 7 天内）。
   • 已匹配消息：如果您预览规则，则会显示其他选项，用于筛选预览列表中的消息。
   • 已匹配消息（默认）：选择此选项，仅显示 PhishER 收件箱中与规则条件匹配的消息。
   • 未匹配消息：选择此选项，仅显示 PhishER 收件箱中与规则条件不匹配的消息。
   • 所有消息：选择此选项，可显示 PhishER 收件箱中的所有消息。Matched（匹配）列会说明消息与规则匹配（True）还是不匹配（False）。

     

     注意：要想打开预览列表所示的消息，建议您在新选项卡中打开相应消息，以免丢失新规则。
   • （可选）要想对预览列表中的所有消息运行此规则，可单击 Apply Rule to Current Matches（将规则应用于当前匹配消息）按钮。

     

编辑规则

要编辑自定义规则，可打开 Rules List（规则列表）页面并单击规则的 Name（名称）或 Description（描述），然后打开 Rule Details（规则详情）页面。要想编辑系统规则，可创建新的自定义规则。然后，将系统规则的逻辑复制并粘贴到自定义规则的 YARA 规则编辑器中。如需了解关于系统规则的更多信息，请参阅本文中的使用系统规则部分。

使用全局变量

打开 Rules List（规则列表）页面的 Global Variables（全局变量）子选项卡，可创建全局变量或查看已创建的全局变量。如果您使用含相同字符串的多个规则，则可通过全局变量一次性更新全部规则。

使用基础编辑器或高级编辑器，创建含全局变量的字符串，即可在规则中添加全局变量。如果您编辑全局变量，规则会在含全局变量的所有规则中自动更新。

按照以下步骤，创建全局变量：

1. 登录您的 PhishER 控制台。
2. 在页面左侧的侧边栏中，选择 Rules（规则）选项卡，打开 Rules List（规则列表）页面。
3. 前往 Global Variables（全局变量）子选项卡。

   

4. 单击页面右上角的 New Variable（新建变量）按钮。单击此按钮后，可打开 Create Global Variable（创建全局变量）页面。
5. 在 Name（名称）字段中输入全局变量的名称。

   

6. 在 Value（值）字段中输入全局变量的值。
   注意：全局变量必须符合适用于其他变量和字符串的相同要求。该值不能以数值开头，不能超过 255 个字符，也不能包含 YARA 的编写 YARA 规则文档中列出的任何关键字。
7. 单击 Save（保存），保存全局变量。在 Global Variables（全局变量）子选项卡下方，您的全局变量会显示在 Rules List（规则列表）页面上。

在 Rules List（规则列表）页面上，您可查看全局变量的相关信息，如全局变量创建时间和最近更新时间。另外，您还可单击变量名称，打开 Edit Global Variable（编辑全局变量）页面，即可编辑全局变量的值。现有全局变量的名称无法更改。要想删除全局变量，可单击垃圾桶图标。

如需了解如何通过全局变量创建规则，请参阅文章如何在 YARA 规则基础编辑器中创建字符串和条件？。

使用系统规则

您的 PhishER 控制台提供系统规则，以帮助您处置和标记消息。在 Rules List（规则列表）页面的 System Rules（系统规则）子选项卡中，您可以为您的 PhishER 控制台启用这些规则。默认禁用系统规则。

有关这些系统规则的更多信息，请查看以下截图和列表：

规则名称	规则描述
KB4:COMMUNICATION	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有沟通相关常用词的消息。
KB4:NON_ENGLISH	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有非英文常用词的消息。
KB4:URGENCY	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有表达紧急性常用词的消息。
KB4:SECURITY	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有安全问题相关常用词的消息。
KB4:SHIPPING	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有常用货运词汇的消息。
KB4:FINANCIAL	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有常用财务词汇的消息。
KB4:BILLING	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有常用账单词汇的消息。
KB4:GENERAL	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有常用一般词汇的消息。
KB4:BRANDS	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有常用品牌词汇的消息。
KB4:419SCAM	在 419 骗局（也叫尼日利亚王子骗局）中，此规则会检测主题或发件人字段含有常用词的消息。
KB4:KSAT_HEADERS_TRAINING	此规则会检测含 KnowBe4 标题的培训通知消息。
KB4:KSAT_HEADERS_PST	此规则会检测含 KnowBe4 标题的网络钓鱼安全测试 (PST) 消息。
KB4:SPF_PASS	此规则会检测通过了 SPF 检查的消息。
KB4:DKIM_PASS	此规则会检测通过了 DKIM 检查的消息。
KB4:JAPANESE	在网络钓鱼骗局中，此规则会检测主题或发件人字段含有日语常用词的消息。

二维码解码器标签

二维码解码器是 PhishER 的一项功能，该功能在您的控制台后台运行，用于自动扫描已报告电子邮件中的二维码。当二维码解码器检测到消息正文中的二维码时，便会提取二维码中的嵌入式 URL 并为该消息添加标签。已提取的 URL 将显示在您的 PhishER Inbox（PhishER 收件箱）内 Message Details（消息详情）页面的 Domains and URLs（域和 URL）选项卡中。有关二维码解码器标签的更多信息，请查看以下列表：

标签名称	标签描述
QR_CODE_FOUND	当二维码解码器检测到消息正文中的二维码时，便会为该消息添加此标签。
QR_CODE_SCAN_FAILED	当二维码解码器无法扫描消息时，便会为该消息添加此标签。例如，如果二维码不包含嵌入式 URL，扫描就会失败。

查看规则列表

规则列表会显示所有规则和全局变量。如需详细了解规则列表页面，请查看以下截图和列表：

1. 名称：此列会显示规则的指定名称。
2. 描述：此列会显示规则的描述。
3. 规则目标：此列会显示运行规则的消息部分。例如，规则目标可以是电子邮件标题。
4. 状态：此列会显示规则的当前状态。可以启用或禁用规则。要更改规则状态，可单击切换开关。
   注意：要对 PhishER 收件箱中的消息运行规则，必须启用对应规则。
5. 更新时间：此列会显示上一次更新规则的日期和时间。
6. 已匹配次数：此列会显示规则与 PhishER 收件箱消息匹配的次数。
7. 标签：此列会显示已添加至消息的所有标签。只有当消息与规则匹配时，标签才会添加到消息上。
8. 按状态筛选：单击此下拉菜单，选择已启用或已禁用规则的筛选视图。