阅读本文,了解有关使用 KnowBe4 的 PhishER 平台的常见问题解答。如果本文尚未解答您的其他问题,请向我们的支持团队支持团队(链接在新窗口中打开)提交问题单。
如需详细了解 PhishER,请参阅 PhishER 产品手册。
通用信息
有关 PhishER 的通用信息,请查看以下问题和答案:
- PhishER 平台如何保护我的信息?
- 如何为我的组织内其他成员授予并管理 PhishER 访问权限?
- 如何为我的组织购买 PhishER?
- 哪些 URL 改写器和缩短器能与 PhishER 兼容?
- 我能否使用 PhishER 来处理并拦截病毒?
- 我的 PhishER 平台所接收和发送的数据是否已加密?
PhishER 平台如何保护我的信息?
PhishER 会运用 KnowBe4 的所有安全和隐私最佳实践,请详见安全声明安全声明(链接在新窗口中打开)页面。要想加强防护,您可在 KSAT 控制台中对管理员账户启用多重身份验证。
如何为我的组织内其他成员授予并管理 PhishER 访问权限?
PhishER 账户管理员可在 KSAT 控制台的用户档案中启用 PhishER 设置,向您的组织内其他成员授予 PhishER 访问权限。KSAT 管理员自动拥有 PhishER 访问权限。
账户管理员也可在 KSAT 用户档案中禁用 PhishER 访问权限。
如何为我的组织购买 PhishER?
若想购买 PhishER 平台,请联系您的客户经理。如果不知道谁是您的客户经理,请联系我们的支持团队支持团队(链接在新窗口中打开)。
哪些 URL 改写器和缩短器能与 PhishER 兼容?
若想改写或缩短 URL,比如用于设置网络钩子的 URL,我们建议使用我们的兼容改写器和缩短器。
有关可支持的 URL 缩短器列表,请参见下表:
| 名称 | URL |
|---|---|
| Bitly | bit.ly |
| Bitdo | bit.do |
| Capsulink | cli.re, [www.]capsulink.com |
| Googl | goo.gl |
| Owly | ow.ly |
| TinyURL | tinyurl.com |
有关可支持的 URL 改写器列表,请参见下表:
| 名称 | URL |
|---|---|
| Barracuda | linkprotect.cudasvc.com |
| Cisco | secure-web.cisco.com |
| Egress Defend | *.defend.egress.com |
| FireEye | *.fireeye.com |
| Google (Gmail) | [www.]google.com |
| Mimecast |
|
| Office 365 | *.safelinks.protection.office365.us |
| Outlook | *.safelinks.protection.outlook.com |
| PostOffice | clicktime.cloud.postoffice.net |
| Proofpoint | urldefense.proofpoint.com |
| Sophos | *.protection.sophos.com |
| Symantec | clicktime.symantec.com |
| TrendAI(原名 Trend Micro) | *.trendmicro.com |
| Trustwave | scanmail.trustwave.com |
我能否使用 PhishER 来处理并拦截病毒?
不,您不能使用 PhishER 来处理并拦截病毒。PhishER 不是专门的邮件筛选器。PhishER 旨在为您的组织提供平台,帮助评估您的用户报告的所有可疑电子邮件。但是,您可使用 PhishER 来检测已报告电子邮件中的常见元素,从而自动运行事件响应操作。
我的 PhishER 平台所接收和发送的数据是否已加密?
是,PhishER 会针对平台所接收和发送的数据,采用传输层安全 (TLS) 加密协议。
新手入门
有关入门使用 PhishER 的帮助信息,请查看以下问题:
- 设置我的 PhishER 平台需要多长时间?
- 是否需要使用 Phish Alert Button (PAB) 将电子邮件转发至我的 PhishER Inbox?
- 我可以生成的报告电子邮件是否存在数量限制?
- 如何查找我已保存的筛选室?
- 我能否按特定标签筛选 PhishER Inbox?
- 如何从我的 PhishER Inbox 中删除消息?
- 如何从用户的收件箱中永久删除电子邮件?
- 我创建了新规则。此规则是否会影响我的 PhishER Inbox 在规则创建前收到的消息?
- PhishER 平台可支持哪个版本的 YARA?
- 我能否在 YARA 规则中使用正则表达式?
- 我能否在 PhishER 中安全地打开附件?
- 当消息被标记为垃圾邮件时,我能否通知最终用户?
- 我能否使用附件前缀来查找含类似附件的电子邮件?
- 在 PhishML 阈值方面有哪些建议?
设置我的 PhishER 平台需要多长时间?
根据您的邮件服务器设置以及您是否手动转发或通过 Phish Alert Button (PAB) 自动转发已报告的电子邮件,设置时间视情况而异。如果您的组织使用 PAB,您可快速入门使用 PhishER,因为您的已报告电子邮件会自动发送至 PhishER。您可通过 PhishER 平台的 Rules 选项卡缩短设置时间,平台上的系统规则可助您快速处置电子邮件。有关入门使用 PhishER 的帮助信息,请参阅 PhishER 快速入门指南。
是否需要使用 Phish Alert Button (PAB) 将电子邮件转发至我的 PhishER Inbox?
作为使用 PAB 的替代方法,您可以手动将用户报告的电子邮件转发到与您组织的 PhishER 平台绑定的报告电子邮件地址。您还可以下载电子邮件的 EML 文件,将 EML 文件附加到新电子邮件中,然后将电子邮件发送给 PhishER。PhishER 会将此流程识别为 PAB 报告。如果您在 PhishER 设置中为报告电子邮件地址选中 Forwarded Only 复选框,PhishER 会将此流程识别为手动报告。在使用这种电子邮件转发方式时,已转发的电子邮件必须采用 EML 格式(即 RFC 822 格式)进行传输。这种格式包括原始电子邮件的完整标题和电子邮件正文。
有关这些方式的更多信息,请参阅文章 PhishER 设置:账户。
我可以生成的报告电子邮件是否存在数量限制?
不,您可按需生成任意数量的报告电子邮件地址。例如,如果您的组织想针对不同的用户群组、Phish Alert Button (PAB) 实例或办公地点使用不同的报告电子邮件地址,您可创建多个报告电子邮件地址。
如何查找我已保存的筛选室?
在 PhishER 中保存筛选室后,该筛选室将存储在 Rooms 页面上的 Saved Queries 下方。有关筛选室的更多信息,请参阅文章创建和管理 PhishER 筛选室。
我能否按特定标签筛选 PhishER Inbox?
您可以使用 Lucene 查询语法,按特定标签筛选您的 PhishER Inbox。例如,您可在收件箱的搜索栏中输入以下查询,然后收件箱将显示所有带 "Threat" 标签的消息。
tags: "threat"
有关收件箱的更多信息,请参阅文章 PhishER Inbox 指南。
如何从我的 PhishER Inbox 中删除消息?
您可在 PhishER Inbox 中选择消息,并从 Message Details 页面中删除该消息。要删除消息,请按照以下步骤操作:
- 登录 PhishER,前往 Inbox 页面。
- 选择要删除的消息。打开 Message Details 页面。
- 在 Message Details 页面右侧,可查看 Actions and Discussion 侧边栏。打开 Actions 选项卡,单击 Delete Message 按钮。打开 Delete Message? 弹出窗口。
- 在 Delete Message? 弹出窗口中,单击 Yes, delete it。
如何从用户的收件箱中永久删除电子邮件?
您必须先在 PhishER Settings 的 PhishRIP 子选项卡中启用 Allow Permanent Message Deletion 设置,才能从用户的收件箱中永久删除电子邮件。启用此设置后,必须先由 PhishRIP 隔离电子邮件,才能永久删除该邮件。有关此设置的更多信息,请参阅文章 PhishRIP 指南。
我创建了新规则。此规则是否会影响我的 PhishER Inbox 在规则创建前收到的消息?
不,在规则更改前所收到的消息不会受影响。若想针对规则创建前所收到的消息运行新规则,请按照以下步骤操作:
- 登录 PhishER,前往 Inbox 页面。
- 选中相应消息左侧的复选框,可选择该消息。Run 下拉菜单将显示在 Inbox 页面左上角。
- 打开 Run 下拉菜单,选择针对已选定消息运行的操作。
PhishER 平台可支持哪个版本的 YARA?
PhishER 目前可支持 YARA 4.1.2 版本。有关此版本的更多信息,请参阅 YARA 的编写 YARA 规则编写 YARA 规则(链接在新窗口中打开)文档。
我能否在 YARA 规则中使用正则表达式?
能,您可在编写 YARA 规则时使用正则表达式。然而,并非所有正则表达式命令都能被 YARA 编译器识别。有关 YARA 可识别的正则表达式命令的列表,请参阅 YARA 的正则表达式正则表达式(链接在新窗口中打开)文档。
我能否在 PhishER 中安全地打开附件?
即使 VirusTotal 将附件标记为安全,KnowBe4 也不建议在 PhishER 中打开附件。我们建议在安全的沙盒环境中打开任何附件进行分析。
当消息被标记为垃圾邮件时,我能否通知最终用户?
您可在 PhishER 中创建操作来通知用户,提醒用户他们的消息已被标记为垃圾邮件。要创建此操作,请设定步骤 1、2 和 3,以便匹配下列设置:
- Choose how this action should be triggered:选择 Specify Tags 选项。然后,选择 Has Any 并添加所有与垃圾邮件相关的 PhishER 标签。
- (可选)Choose the action to be taken on matched messages:选择 Set Status、Set Priority 和 Set Category 选项。对于 Set Status 选项,从下拉菜单中选择 Resolved。对于 Set Priority 选项,从下拉菜单中选择 Low。对于 Set Category 选项,从下拉菜单中选择 Spam。
- Choose how you would like to report this action:选择 Send Email 选项。选择此选项后,您可创建自定义电子邮件响应,当消息被标记为垃圾邮件时,该响应将自动发送给您所选的收件人。有关更多信息,请参阅文章在 PhishER 中创建自定义电子邮件模板。
我能否使用附件前缀来查找含类似附件的电子邮件?
能,如果包含前缀,您就能使用。例如,如果附件名为“randomdoc.xml”,则可使用下列前缀:
- random
- ran
- rando
在 PhishML 阈值方面有哪些建议?
如需了解 PhishML 阈值的建议设置,请参阅文章 PhishML 指南中的设置置信度值和阈值部分。
使用 PhishRIP 和 PhishFlip
有关使用 PhishRIP 和 PhishFlip 的帮助信息,请查看以下问题:
- 要将 Microsoft 365 实例连接至 PhishRIP,我需要什么权限?
- 要通过 Google Workspace 启用 PhishRIP,我需要什么权限?
- 为什么我的管理员账户需要全局权限才能启用 PhishRIP?
- 要确保使用 PhishRIP 时信息不会丢失或被盗,应采取什么安全措施?
- PhishFlip 活动开始后,追踪持续时间是否始终设为三天?能否修改追踪持续时间?
- PhishFlip 是否会使用已报告电子邮件中的附件?
要将 Microsoft 365 实例连接至 PhishRIP,我需要什么权限?
您必须拥有已启用全局权限的 Microsoft 365 管理员账户,才能将 PhishRIP 访问权限授予 Microsoft 365 实例中的所有邮箱。然后,您可登录账户并接受用于连接 Microsoft 365 的必要权限。如需详细了解必要权限,请参阅文章 PhishRIP 指南。
要通过 Google Workspace 启用 PhishRIP,我需要什么权限?
您必须拥有 Google Workspace 账户管理员电子邮件地址,才能通过 Google Workspace 启用 PhishRIP。
为什么我的管理员账户需要全局权限才能启用 PhishRIP?
您的管理员账户必须启用全局权限,方能授予 PhishRIP 初始连接至您的邮件服务器所需要的访问权限。启用后,PhishRIP 不使用全局权限发挥作用。
要确保使用 PhishRIP 时信息不会丢失或被盗,应采取什么安全措施?
KnowBe4 的信息安全团队会监控 KnowBe4 服务的滥用和可疑活动。KnowBe4 设有控制措施,可防止查询篡改、通配符搜索和跨账户访问等行为。信息安全团队已经测试过这些控制措施,保证措施有效可行。
PhishRIP 会使用未保存的一次性 Microsoft GraphAPI 令牌与 Microsoft 进行通信。PhishRIP 可对 Microsoft 365 账户进行次数有限的固定查询,而且这些查询必须符合已报告给 PhishER 的消息的特定条件。所有消息、查询和查询响应均已加密。未经组织许可,KnowBe4 员工不得访问组织的 PhishER 账户。
PhishER 可提供几种方法,防止在使用 PhishRIP 时您的信息丢失或被盗。
首先,您可创建安全角色,限制您添加至 PhishER 平台的用户的访问权限。您可使用安全角色,向用户授予下列控制台部分的有限或完全访问权限:
- Rooms
- Inbox
- Rules
- Actions
- PhishRIP
- Settings
借助安全角色,您可指定哪些管理员具有启动 PhishRIP 查询的访问权限。
接着,您可指定自定义条件,PhishER 会通过这些条件移除与任何潜在威胁电子邮件相似的电子邮件,此前威胁邮件均已经由 Phish Alert Button (PAB) 发送至 PhishER。
最后,如果消息被隔离,且您发现该消息为安全邮件,则可通过 PhishER 平台恢复该消息。
PhishFlip 活动开始后,追踪持续时间是否始终设为三天?能否修改追踪持续时间?
是。所有 PhishFlip 活动的追踪持续时间均默认设为三天。目前不支持修改此设置。
PhishFlip 是否会使用已报告电子邮件中的附件?
是。PhishFlip 会将附件转换为 HTML 模板。
集成
有关使用 PhishER 集成的帮助信息,请查看以下问题:
- 在将 PhishER 与 KSAT 控制台集成时,我该怎么做?
- 进行 Syslog 的 PhishER TLS 连接设置时,需要使用哪种格式的 PEM TLS 认证?
- VT_Scanned 标签是什么意思?
- 我没有收到总计包含 500 个文件或 URL 的电子邮件,为什么 VirusTotal 公共 API 达到了最大请求次数?
在将 PhishER 与 KSAT 控制台集成时,我该怎么做?
将 PhishER 平台与 KSAT 控制台进行集成,能使您深入了解用户与真实网络钓鱼电子邮件的互动情况。打开 PhishER 平台,可配置与 KSAT 控制台的集成,以便更新 KSAT 用户时间线上的事件。将特定 PhishER 操作报告至 KSAT 控制台之后,即可创建智能组,从而根据用户对真实网络钓鱼电子邮件的处理方式,将特定用户设为目标。例如,您可创建智能组,用于搜索没有报告威胁邮件的用户。然后,您可利用这些信息,创建定向的培训活动,并重申使用 Phish Alert Button (PAB) 的重要性。
有关更多信息,请参阅 KSAT 控制台部分(请见文章 PhishER 设置:集成。
进行 Syslog 的 PhishER TLS 连接设置时,需要使用哪种格式的 PEM TLS 认证?
隐私增强邮件 (PEM) 传输层安全 (TLS) 证书的格式应包括页眉、换行、证书信息、换行和页脚。请查看以下可行格式示例:
-----BEGIN CERTIFICATE----- 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 -----END CERTIFICATE-----
VT 标签是什么意思?
VT 标签是指 VirusTotal 标签,在 VirusTotal 扫描后应用于您的消息。如需了解如何将 VirusTotal 账户与 PhishER 平台集成,请参阅文章将 VirusTotal 与 PhishER 平台集成。
有关每个 VT 标签的更多信息,请查看以下列表:
- VT_Scanned:当 VirusTotal 扫描完成且消息未被评为恶意邮件时,此标签将添加至消息。
- VT_Bypassed:当在设定超时时限内未收到 VirusTotal 的任何响应时,此标签将添加至消息。
- VT_Pending:当 PhishER 正在等待 VirusTotal 的响应时,此标签将添加至消息。
- VT_Bad:当 VirusTotal 将一个或多个已扫描项目评估为恶意邮件时,此标签将添加至消息。
我没有收到总计包含 500 个文件或 URL 的电子邮件,为什么 VirusTotal 公共 API 达到了最大请求次数?
进行扫描时,PhishER 会将各电子邮件中的所有文件或 URL 发送到 VirusTotal,作为对 API 端点的查询。然后,PhishER 会为每个文件或 URL 向 VirusTotal 发送 API 呼叫,以确定每个项目的扫描结果是否就绪。如果 VirusTotal 没有准备好提供扫描结果,PhishER 须继续发送 API 呼叫。其结果是,PhishER 必须为每个文件或 URL 发送至少 3 次请求后,才能重新进行查询。
故障排除
有关 PhishER 的故障排除信息,请查看以下问题:
删除隔离文件夹后会发生什么情况?
答:删除隔离文件夹后,该文件夹中的任何信息都会被删除。但是,您可运行新的 PhishRIP 查询,重新生成已删除的隔离文件夹。有关更多信息,请参阅文章 PhishRIP 指南。
为什么已报告消息中存在空值?
如果您的组织使用 Cisco Ironport 垃圾邮件筛选功能,且您在已报告消息中看到空值,那么您可能需要在 Cisco Ironport 中创建例外情况。您可针对已发送至 PhishER 报告电子邮件地址的出站电子邮件创建此例外情况。
如需更多帮助,我们建议联系 Cisco Ironport 的支持团队。