开始使用

分享

本文是否有帮助?

上次更新时间:

PhishER 快速入门指南

提示:加入 KnowBe4 社区!在此社区中,您可与其他管理员、合作伙伴和员工联系交流、共享知识并协作实现新理念。有关更多信息,请参阅 KnowBe4 社区指南

在本指南中,您将学习如何入门使用 PhishER 平台。您可使用 PhishER 平台,帮助您的组织识别潜在的电子邮件威胁并加强安全措施。以下工作流程图会显示 PhishER 处理已报告电子邮件所采取的各个步骤。

注意:本指南适用于已启用 PhishER 并能够访问平台的用户。有关启用和访问 PhishER 的更多信息,请参阅 PhishER 产品手册新手入门部分。

有关 PhishER 平台的详细信息,请参阅 PhishER 产品手册

第 1 步:报告

您需要先设置报告电子邮件地址,将电子邮件转发到 PhishER 收件箱,然后您的用户才能向 PhishER 报告可疑电子邮件。建议您安装 Phish Alert Button (PAB) 以自动转发电子邮件,但也可让用户手动转发电子邮件至报告电子邮件地址。

如需详细了解如何报告消息,请观看以下视频。

有关更多信息,请参阅文章 PhishER 设置:账户,以及视频访问 PhishER 平台和设置消息转发

第 2 步:识别

在 PhishER 收件箱收到用户报告的电子邮件后,您需要设置 PhishER 来分析并识别电子邮件属于威胁、安全还是垃圾邮件。然后,您可创建 PhishER 的规则和标签,助您识别电子邮件。

而且,建议您启用 PhishML 和 VirusTotal,可自动识别并标记已报告的电子邮件。要标记 PhishER 中的电子邮件,可首先进行 PhishML 和 VirusTotal 分析。想要根据针对组织的任何特定疑问、术语或属性标记电子邮件,可参阅文章如何创建和管理 PhishER 规则,或参考文章 YARA 规则示例中所述示例,编写专属的规则。

如需详细了解如何分析并识别电子邮件,请参见以下视频和子部分。

PhishML

PhishML 是一项机器学习模块,可为 PhishER 收件箱所接收的每条消息生成三个置信度值。这三个值分别表示安全邮件、垃圾邮件或威胁邮件的确信百分比。

您可使用范围滚动条来自定义阈值。建议按以下数值分配阈值:安全邮件为 95,垃圾邮件为 75,威胁邮件为 65。阈值设置可保证标记准确性。

注意:如果达到或超过有效置信度阈值,PhishML 会对您的任何一条消息应用以下标签之一:PML:CLEAN、PML:SPAM 或 PML:THREAT。

有关更多信息,请参阅文章如何使用 PhishML

VirusTotal

VirusTotal 是一项检查和分析文件中恶意内容的服务。建议将您的 VirusTotal 账户与 PhishER 集成。如果没有 VirusTotal 账户,可前往 VirusTotal 网站免费注册。进行集成后,您可对消息的附件和 URL 运行 VirusTotal 扫描。

提示:KnowBe4 已获得 VirusTotal 的授权,可与 VirusTotal 公共 API(免费版)集成。
注意:VirusTotal 扫描会对您的消息应用以下一个或多个标签:VT_Pending、VT_Bad、VT_Scanned、VT_Bypassed 或 VT_Hash_not_found

更多信息,请参阅文章如何将 VirusTotal 与 PhishER 平台集成

第 3 步:处置

给已报告电子邮件中的消息分配任何标签后,这些标签就会说明如何在 PhishER 中处理消息。这些标签可以触发在消息上运行的操作。与此类似,如未将标签分配给消息,则缺少标签会触发对消息运行操作。

创建完标签后,即可创建操作并自动处理消息。建议创建相应操作,分别处理安全邮件、垃圾邮件和需要注意的潜在威胁邮件。有关推荐操作的更多信息,请参阅文章如何使用 PhishML

如需详细了解消息处置,请观看以下视频。

第 4 步:使用 PhishRIP(可选)

PhishRIP 是一项 PhishER 电子邮件隔离功能,让您的组织可在关联到 Microsoft 365 或 Google Workspace 实例的所有邮箱中搜索用户报告的电子邮件。借助 PhishRIP,即可从用户收件箱中删除潜在的电子邮件威胁,从而防范活跃的网络钓鱼攻击。您可在检测到潜在威胁后手动触发 PhishRIP,也可通过操作触发 PhishRIP。

如需详细了解 PhishRIP,请观看以下视频。

有关更多信息,请参阅文章如何使用 PhishRIP

第 5 步:使用黑名单(可选)

PhishER Blocklist 功能可帮助您的 Microsoft 365 邮件服务器防止用户的收件箱接收恶意或垃圾邮件。使用 PhishER Blocklist,可为您的组织创建和管理黑名单条目的专用列表。查看用户报告的电子邮件时,您可更新黑名单,将有关威胁或垃圾邮件的信息发送至您的邮件服务器。

Global Blocklist 功能可使用有关电子邮件威胁的众包信息,帮助您的邮件服务器拦截电子邮件。KnowBe4 威胁研究实验室可编译来自所有 PhishER Blocklist 和其他来源的数据,从而创建并发布 Global Blocklist 条目。此功能仅适用于 PhishER Plus 账户。

如需详细了解黑名单,请观看以下视频。

有关更多信息,请参阅文章 PhishER 设置:集成如何使用 PhishER Blocklist如何使用 Global Blocklist

第 6 步:使用 PhishFlip(可选)

PhishFlip 是一项 PhishER 功能,让您的组织可在 KSAT 控制台的网络钓鱼活动中重复利用用户报告的电子邮件。PhishFlip 会从已报告电子邮件中删除所有恶意元素,转为安全邮件并发送给您的用户。您须在您的平台上启用 PhishRIP,才能使用 PhishFlip。

如需详细了解 PhishFlip,请观看以下视频。

有关更多信息,请参阅文章如何使用 PhishFlip

本文是否有帮助?

32 人中有 29 人觉得有帮助

未找到您需要的内容?

联系支持人员