在 PhishER 控制台中，您可使用 PhishRIP，移除用户收件箱中的威胁电子邮件。通过 PhishRIP，您可搜索用户报告的电子邮件并在 Microsoft 365 邮件服务器或 Google Workspace 邮件服务器上移除所有类似电子邮件，从而防范活跃的网络钓鱼攻击。

启用 PhishRIP

如需了解如何在 Microsoft 365 邮件服务器或 Google Workspace 邮件服务器中启用 PhishRIP，请参见以下子部分。您可将 PhishRIP 连接到多个邮件服务器。

在 Microsoft 365 中启用

按照以下步骤，在 Microsoft 365 中启用 PhishRIP：

1. 登录您的 PhishER 控制台。
2. 单击页面左侧的齿轮图标，前往您的设置。
3. 选择 PhishRIP 部分。
4. 单击 Connect to Microsoft 365（连接至 Microsoft 365） 按钮。跳转到 Microsoft 365 登录页面。
5. 使用您的管理员凭据，登录 Microsoft 365 帐户。

6. 登录后，Permissions requested 弹出窗口将显示第一组权限。阅读权限，然后单击 Accept（接受）。您将跳转至返回 PhishER。

   注意：若在上一次查询后添加了用户，则针对任何已添加用户运行每次查询之后，就会创建隔离文件夹。前后两次查询必须间隔 10 分钟以上，才会进行此操作。

   

7. 在 PhishER 设置的邮件服务器部分，将显示您 Microsoft 365 邮件服务器的新实例。您需要接受第二组权限，将应用程序添加到邮件服务器，方可完成邮件服务器与 PhishRIP 的连接。
8. 要接受权限，请点击 Continue（继续）。您将跳转到 Microsoft。
9. 使用您的管理员凭据，再次登录 Microsoft 365 帐户。

10. 登录后，Permissions requested 将显示第二组权限。阅读权限，然后单击 Accept（接受）。您将跳转至返回 PhishER。您的 Microsoft 365 邮件服务器实例将连接到 PhishRIP。

    

11. 打开 PhishER 设置的 PhishRIP 部分，单击 Disabled（已禁用）切换开关。然后单击 Save（保存）。通过此操作，即可在 PhishER 控制台中启用 PhishRIP。

    

12. （可选）选中 Allow Permanent Message（允许永久删除消息）复选框，启用 PhishRIP 中的删除选项。启用删除选项后，管理员可请求 PhishRIP 隔离、恢复和永久删除 Microsoft 365 邮件服务器中的电子邮件。

    重要提示：KnowBe4 无法恢复已永久删除的电子邮件。

    

13. （可选）选中 Enable Hidden Quarantine Folder（启用隐藏的隔离文件夹）复选框，自动将未来隔离的邮件移至隐藏文件夹。此功能将帮助用户避免访问潜在恶意内容。在启用此功能之前创建的任何现有隔离文件夹和消息仍可供用户查看和访问。PhishRIP 启用时，新的 PhishER 帐户会自动开启此设置，且此设置仅适用于 Microsoft 365。

    注意：Restore（恢复）和 Permanently Delete（永久删除）PhishRIP 操作在这个隐藏的文件夹中仍将完全运行。

    

在 PhishER 控制台中启用 PhishRIP 后，导航面板中会立即显示鱼骨图标。单击此图标，访问 PhishRIP。

要连接其他邮件服务器，可打开 PhishER 设置的 Mail Servers（邮件服务器）部分，再次单击 Connect to Microsoft 365（连接至 Microsoft 365）。

在 Google Workspace 中启用

按照以下步骤，在 Google Workspace 中启用 PhishRIP：

1. 登录您的 PhishER 控制台。
2. 单击页面左侧的齿轮图标，前往您的设置。
3. 选择 PhishRIP 部分。

4. 单击 Connect to Google Workspace（连接至 Google Workspace）。打开 Google Workspace 凭据弹出窗口并查看详细说明。

   

5. 复制 Client ID（客户端 ID）。

6. 打开浏览器的独立标签页，登录 Google Workspace Google Workspace（链接在新窗口中打开）管理员控制台。您必须具有超级用户管理员角色。

   注意：要了解如何查看您的管理员角色，请访问 Google 的文章查看角色分配和特权查看角色分配和特权（链接在新窗口中打开）。

7. 登录后，立即前往 Security（安全）> Access and data control（访问和数据控制）> API Controls（API 控制）> Manage Domain wide delegation（管理域委派范围）。

   

8. 单击 Add new（新增）。

   

9. 粘贴步骤 5 中所复制的 Client ID（客户端 ID）。

10. 在 OAuth scopes（OAuth 范围）字段中，输入“https://www.googleapis.com/auth/admin.directory.user.readonly,https://mail.google.com/”

    

11. 单击 Authorize（授权）。
12. 打开 Google Workspace 帐户设置，找到并复制 Google Workspace 客户 ID。如需了解如何查找客户 ID，请参阅 Google 的文章查找客户 ID 查找客户 ID（链接在新窗口中打开）。
13. 返回您的 PhishER 控制台。

14. 在 Google Workspace Credentials（Google Workspace 凭据）弹出窗口的 Access User（访问用户）字段中，输入帐户管理员电子邮件地址。

    

15. 在 Mailserver ID（邮件服务器 ID）字段中输入步骤 1 和步骤 2 中所复制的客户 ID。

16. 单击 Connect（连接）。

    注意：若在上一次查询后添加了用户，则针对任何已添加用户运行每次查询之后，就会创建隔离文件夹。前后两次查询必须间隔 10 分钟以上，才会进行此操作。

17. 打开 PhishER 设置的 PhishRIP 部分，单击 Disabled（已禁用）切换开关。然后单击 Save（保存）。通过此操作，即可在 PhishER 控制台中启用 PhishRIP。

    

18. （可选）选中 Allow Permanent Message（允许永久删除消息）复选框，启用 PhishRIP 中的删除选项。启用删除选项后，管理员可请求 PhishRIP 隔离、恢复和永久删除 Google Workspace 邮件服务器中的电子邮件。

    重要提示：KnowBe4 无法恢复已永久删除的电子邮件。

    

在 PhishER 控制台中启用 PhishRIP 后，导航面板中会立即显示鱼骨图标。单击此图标，访问 PhishRIP。

要连接其他邮件服务器，可打开 PhishER 设置的 Mail Servers（邮件服务器）部分，再次单击 Connect to Google Workspace（连接至 Google Workspace）。

发起 PhishRIP 查询

在 PhishER 控制台中，您可通过以下四种方法发起 PhishRIP 查询：PhishER Inbox 列、Run 下拉菜单、Message Details 页面以及 PhishRIP Queries 页面。有关每种方法的步骤，请参见以下子部分。

方法 1：“PhishER Inbox（PhishER 收件箱）”列

按照以下步骤，通过收件箱列发起查询：

1. 选择 Inbox（收件箱）选项卡。

   

2. 在 PhishRIP 列中，单击加号图标，打开 Find Similar Messages（查找相似邮件）弹出窗口。

   注意：如果您已在邮件上启动 PhishRIP，则会显示鱼骨图标，不会显示加号图标。如果 PhishRIP 列不可用，请选择 Inbox（收件箱）页面右上角的齿轮图标。然后，系统将打开收件箱表格设置弹出窗口。您可以选中 PhishRIP 复选框来显示该列。

   

方法 2：“Run（运行）”下拉菜单

按照以下步骤，通过 Run（运行）下拉菜单发起查询：

1. 选择 Inbox（收件箱）选项卡。

2. 要想发起消息查询，可单击对应消息左侧的复选框。

   

3. 单击页面左上角的 Run（运行）下拉菜单。

4. 打开 PhishRIP 部分，单击 Find Similar Messages（查找类似消息），打开 Find Similar Messages（查找类似消息）弹出窗口。

   

方法 3：“Message Details（消息详情）”页面

按照以下步骤，通过 Message Details（消息详情）页面发起查询：

1. 选择 Inbox（收件箱）选项卡。

2. 单击一条消息，打开 Message Details 页面。

   

3. 在页面右侧的 Actions and Discussion（操作和聊天）侧边栏中，单击 Actions（操作）选项卡下方的 Create New Query（创建新查询）按钮。单击此按钮后，可打开 Find Similar Messages（查找类似消息）弹出窗口。

   

如果 PhishRIP 查询失败，您可在 PhishRIP Queries（PhishRIP 查询）页面的 Status（状态）列中单击 Retry（重试），即可重新查询。无论处理状态如何，此选项仅可用于已失败查询。重新查询不会创建新查询。

方法 4：“PhishRIP Queries（PhishRIP 查询）”页面

当在 PhishER Settings 的 Preferences 子选项卡中启用了 Allow PhishRIP queries to be initiated without a source message 设置时，您可以在没有关联报告消息的情况下，从 PhishRIP Queries 页面发起查询。

要通过 PhishRIP Queries 页面发起查询，请按照以下步骤操作：

1. 登录您的 PhishER 控制台。
2. 选择 PhishRIP 部分。

3. 单击页面右上角的 Create New Query，打开 Find Similar Messages 弹出窗口。

   

当您使用此方法发起查询时，用于自定义条件的选项与其他方法不同。有关更多信息，请参阅下方的无源消息时的条件子部分。

查找类似消息

不管使用哪种方法来发起 PhishRIP 查询，都会出现 Find Similar Messages（查找类似消息）弹出窗口。有关此弹出窗口的更多信息，请查看以下截图和列表：

1. Match Criteria（匹配条件）：针对您的 PhishRIP 查询选择至少两个条件选项。凭借这些信息，PhishRIP 会找到邮件服务器上的所有匹配消息。

   注意：如果在 Settings 中启用了 Allow PhishRIP queries to be initiated with one match criterion 设置，您至少可以选择一个条件。
2. 查找已接收消息：PhishRIP 会默认查找过去 24 小时内收到的类似消息。单击下拉菜单，选择下列一个选项：Last 72 hours（过去 72 小时内）、Last Week（过去一周内）或Last Month（过去一个月内）。
3. Match Processing（匹配处理）：您可以为 PhishRIP 查询选择以下隔离和 PhishFlip 选项：

   1. Allow PhishRIP to automatically quarantine all found messages（允许 PhishRIP 自动隔离所有已查找邮件）：要想 PhishRIP 隔离所有已查找邮件，可选中此复选框。在您恢复或永久删除消息之前，这些消息都会保存在隔离文件夹内。

      注意：PhishRIP 在搜索消息时不会扫描隔离文件夹。
   2. Allow PhishFlip to automatically use all found messages（允许 PhishFlip 自动使用所有已查找邮件）：若希望 PhishER 利用 PhishRIP 查询检索到的电子邮件，在 KSAT 中自动创建网络钓鱼模板并发起网络钓鱼活动，请勾选此复选框。自动网络钓鱼活动会将模拟网络钓鱼电子邮件发送给已收到原始恶意电子邮件的用户。
4. 自定义条件：选择下列一个条件并修改文本字段，即可创建新的 PhishRIP 查询。要修改文本字段，可单击铅笔图标。如果您在没有报告消息的情况下创建新查询，请参阅下方的无源消息时的条件子部分。
   • 主题：您可在此字段中输入原始主题行的文本，从而缩小搜索条件范围。您需要输入原始主题行中的至少四个连续字符。如果主题包含任何特殊字符，您需要在查询中保留这些字符，才能搜索成功。
   • 发件人和收件人：您可在这些字段中输入原始电子邮件地址，或仅输入域或子域，从而缩小搜索条件范围。
   • 附件：您可在此字段输入原始附件名称，或输入文件类型以缩小搜索范围。需找到所有列出的附件以显示匹配电子邮件。您可从列表中移除不需要的附件。若要匹配特定类型的任何文件，请在文件扩展名前输入星号，例如“*.pdf”。
   • 正文：您可在此字段中输入原始消息的部分字符串，从而缩小搜索条件范围。您需要输入原始消息中的至少 30 个字符或 50% 的内容。

无源消息时的条件

当您从 PhishRIP Queries 页面创建新的 PhishRIP 查询时，您可以在 Find Similar Messages 弹出窗口中输入自己的条件来查找匹配的消息。有关自定义此条件的更多信息，请参阅以下列表：

• 主题：您可在此字段中输入主题行文本，从而缩小搜索条件范围。您需要输入至少 10 个字符。
• 发件人和收件人：您可在这些字段中输入完整的电子邮件地址、域名或子域名，从而缩小搜索条件范围。
• 附件：您可在此字段中输入附件名称，从而缩小搜索条件范围。您需要输入至少三个字符。若要匹配特定类型的任何文件，请在文件扩展名前输入星号（例如 *.pdf）。需找到所有列出的附件以显示匹配电子邮件。
• 正文：您可在此字段中输入消息内容文本，从而缩小搜索条件范围。您需要输入至少 20 个字符。

PhishRIP 查询

PhishRIP Queries（PhishRIP 查询）页面包含在 PhishER 控制台内部发起的所有 PhishRIP 查询。选择一项查询后，可将该查询标记为已处理或未处理。单击某一个查询 ID，可打开 PhishRIP Messages（PhishRIP 消息）页面。

有关 PhishRIP 查询页面的更多信息，请查看以下截图和列表：

1. ID：此列会显示可识别 PhishRIP 查询的唯一字符串。
2. Started（开始时间）：此列会显示发起 PhishRIP 查询的日期和时间。
3. Completed（完成时间）：此列会显示 PhishRIP 查询完成邮箱搜索的日期和时间。
4. SourceID：此列会显示为用于创建 PhishRIP 查询的 PhishER 消息所分配的唯一字符串。单击 SourceID 链接，查看相应消息的 Message Details（消息详情）页面。

5. AttackID：此列会显示为 PhishRIP 消息所分配的唯一字符串，且该消息与最近受 PhishRIP 影响的消息有共同的类似主题或发件人。

   注意：如果 PhishRIP 查询是从 PhishRIP Queries 页面发起的，而不是从 Inbox 中的某条消息发起的，则 SourceID 和 AttackID 列将显示“无源消息（高级功能）”和“无 AttackID（高级功能）”。
6. 已查找：此列会显示与 PhishRIP 查询条件匹配的消息数量。
7. 已打开：此列会显示打开过的已查找消息数量。
8. 发起人：此列会显示发起 PhishRIP 查询的用户姓名。
9. 状态：此列会显示 PhishRIP 查询状态。查询状态可分为处理中、已完成或已失败。
10. 处理情况：此列会显示查询被标记为已处理还是未处理。
11. 查询：此列会显示针对 PhishRIP 查询选定的匹配条件。单击数据库图标，可打开 View PhishRIP Details（查看 PhishRIP 详情）弹出窗口并显示最初选定的条件。使用此功能可查看由查询精准搜到的多个项目。
12. Create New Query：当在 PhishER Settings 中启用了 Allow PhishRIP queries to be initiated without a source message 设置后，您可以单击此按钮打开 Find Similar Messages 弹出窗口。然后，您可以输入自己的信息作为匹配条件。

可按以下状态筛选 PhishRIP 查询：处理中、已完成或已失败。亦可按以下处理情况进行筛选：已处理或未处理。在搜索栏中使用 Lucene 查询语法来筛选 PhishRIP 查询。选择消息后，可对该消息应用已处理或未处理的处理情况。

PhishRIP 消息

PhishRIP 消息页面会显示邮件服务器内所有收件箱中的匹配消息。有关此页面的更多信息，请查看以下截图和列表：

1. 邮箱电子邮件：此列会显示含有与 PhishRIP 查询匹配的消息的邮箱电子邮件地址。

   注意：您可以通过在邮件服务器设置中创建域或正则表达式列表来限制 PhishRIP 扫描的邮箱。如需了解更多信息，请参阅我们的 PhishER 设置：集成。
2. 邮箱名称：此列会显示含有与 PhishRIP 查询匹配的消息的收件箱名称。
3. 已读：此列会显示收件人的消息是已读还是未读。
4. 发现文件夹：此列会显示消息原来所在的收件箱文件夹。
5. 主题：此列会显示消息主题行中的文本。
6. 查找日期：此列会显示 PhishRIP 查询找到消息的日期。
7. PhishRIP 状态：此列会显示 PhishRIP 消息的最后已知状态。若邮件可用，状态将显示为 Discovered（已发现）、Quarantined（已隔离）、Deleted（已删除）或 Quarantine Pending（隔离待处理）。若邮件因在 PhishRIP 外部执行相关操作而无法访问，或已在其他查询中被删除，状态将显示为 Unavailable（不可用）。
8. PhishFlip 状态：此列会显示 PhishFlip 邮件的最后已知状态。若邮件可用，状态将显示为 PhishFlip Pending（PhishFlip 待处理）、PhishFlip Failed（PhishFlip 已失败）或 PhishFlip Created（PhishFlip 已创建）。若邮件未经过 PhishFlip 处理，则该字段将留空。
9. 已更新状态：此列会显示消息上一次应用更改的日期。
10. Download CSV（下载 CSV）：单击该按钮，可将 PhishRIP 查询识别的电子邮件列表及相关信息导出为 CSV 文件。下载内容可在 PhishER 设置的 Settings（设置）> Downloads（下载）下查看。

可按以下状态筛选 PhishRIP 消息：已发现、已隔离、已删除、待处理或已失败。

PhishRIP 操作

在 PhishRIP Messages（PhishRIP 消息）页面中选择 PhishRIP 消息后，会显示 Run（运行）下拉菜单。根据您在 PhishRIP settings（PhishRIP 设置）中所选的删除选项，Run（运行）下拉菜单会显示对应选项。

有关更多信息，请参见以下子部分。

已禁用永久删除消息功能

如果您在 PhishRIP settings（PhishRIP 设置）中禁用了 Allow Permanent Message Deletion（允许永久删除消息），Run（运行）下拉菜单会显示相应选项。有关这些选项的更多信息，请查看以下截图和列表：

1. 隔离：此操作会将选定消息移动到消息所在收件箱中的隔离文件夹。
2. 恢复：此操作会将选定消息从收件箱的隔离文件夹移动到消息的原始发现文件夹。
3. PhishFlip：此操作会根据用户报告的电子邮件创建 PhishFlip 自动活动。有关更多信息，请参阅文章 PhishFlip 指南的创建 PhishFlip 自动活动部分。
4. Create KSAT Template (创建 KSAT 模板)：此操作会自动创建 KSAT 网络钓鱼模板，您可在网络钓鱼活动中使用该模板。有关更多信息，请参阅文章 PhishFlip 指南的通过 PhishFlip 创建 KSAT 模板部分。
5. 发送自定义电子邮件：通过此选项，您可使用电子邮件模板编辑器来发送自定义电子邮件。单击 Send Custom Email（发送自定义电子邮件），打开弹出窗口中的模板编辑器。准备好发送电子邮件时，单击 Send（发送）按钮。

已启用永久删除消息功能

如果您在 PhishRIP settings（PhishRIP 设置）中启用了删除选项，Run（运行）下拉菜单会显示相应选项。有关这些选项的更多信息，请查看以下截图和列表：

1. 隔离：此操作会将选定消息移动到消息所在收件箱中的隔离文件夹。
2. 恢复：此操作会将选定消息从 Microsoft 365 收件箱或 Google Workspace 收件箱的隔离文件夹移动到消息的原始发现文件夹。

3. 永久删除：此操作会将选定消息从原来所在的 Microsoft 365 收件箱或 Google Workspace 收件箱中永久删除。必须先隔离消息，才能永久删除消息。如未隔离消息，此选项会显示为灰色。

   重要提示：KnowBe4 无法恢复已永久删除的电子邮件。
4. PhishFlip：此操作会根据用户报告的电子邮件创建 PhishFlip 自动活动。有关更多信息，请参阅文章 PhishFlip 的创建 PhishFlip 自动活动部分。
5. Create KSAT Template (创建 KSAT 模板)：此操作会自动创建 KSAT 网络钓鱼模板，您可在网络钓鱼活动中使用该模板。有关更多信息，请参阅文章 PhishFlip 的通过 PhishFlip 创建 KSAT 模板部分。
6. 发送自定义电子邮件：通过此选项，您可使用电子邮件模板编辑器来发送自定义电子邮件。单击 Send Custom Email（发送自定义电子邮件），打开弹出窗口中的模板编辑器。准备好发送电子邮件时，单击 Send（发送）按钮。