Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
So stoppen Sie WildFire das Klicken auf den E-Mail-Link und änd... - Knowledge Base - Palo Alto Networks

So stoppen Sie WildFire das Klicken auf den E-Mail-Link und ändern die Ergebnisse für Phishing-Kampagnen oder Autoresponder-E-Mail-Links

14001
Created On 07/13/20 16:31 PM - Last Modified 04/24/24 09:46 AM


Objective


Wenn WIldFire ein Elink erhält, API neigt er dazu, den Link zu besuchen, während der Prozess die Ergebnisse geändert werden. Beispielsweise werden alle Links in einer Phishing-Kampagne angeklickt, daher sind die Ergebnisse nicht korrekt. Ein weiteres Beispiel ist ein Link, auf den für automatische Genehmigungen geklickt wird.Es gibt zwei WildFire Möglichkeiten, den Besuch ELINK der in der E-Mail wie folgt zu beenden. 
(a) Entweder sie können das WildFire Klicken auf diese Links stoppen.
(b) Oder Sie können anhalten, indem Sie Firewall den Phishing-Kampagnenverkehr mithilfe von App filtern - ID in einer Sicherheitsregel, die kein WildFire Profil hat.



Environment


  • Alle PAN-OS Versionen
  • Phishing-Kampagnen-E-Mail-Verkehr


Procedure


Option(a): Sie können die WildFire stoppen, um auf diese Links zu klicken.

  1. Sie können einen Supportfall über das Supportportal öffnen.
  2. Listen Sie Ihren Firmennamen, Phishing-Firmennamen und Domänen/domänen auf, URL die der Benutzer besuchen kann, indem Sie auf die Links klicken.
  3. Wir werden diese Domänen zur WildFire Whitelist hinzufügen. Auch die ELINK wurde von eingereicht , werden keine Links WildFire Firewall WildFire besuchen.  
Option(b): Sie können an der anhalten, indem Sie Firewall den Phishing-Kampagnenverkehr mithilfe von App filtern – ID in einer Sicherheitsregel, die kein WildFire Profil hat. 
Dies ist ein einfacher dreistufiger Prozess.
  1. Erstellen Sie eine benutzerdefinierte Anwendungssignatur, die den Phishing-Kampagnen-E-Mails mithilfe von E-Mail-Headerfeldern entspricht.
Bitte beachten Sie,dass nach der Erstellung einer "benutzerdefinierten App" und der Identifizierung des Datenverkehrs mit einer benutzerdefinierten App eine Anwendungsverschiebung erfolgt. Meistens wird das WildFire Profil nicht auf die benutzerdefinierte App angewendet. Deshalb brauchen wir keine weitere Sicherheitsregel mit einer benutzerdefinierten App und ohne wildfire Profil.Da die Datenverkehrsbasisanwendung SMTP ist, stimmt dieser Datenverkehr mit dem ersten hinzu, der policy SMTP zulässt.
2. Sie können jedoch weiterhin eine Sicherheitsregel mit einer "benutzerdefinierten Anwendung" auf der Registerkarte Anwendung für die Datenverkehrsüberwachung erstellen. Obwohl nicht benötigt, I würde es empfehlen. 
3. Verschieben Sie schließlich diese Sicherheitsregel, um der aktuell übereinstimmenden Regel voranzufahren. SMTP

Im folgenden Beispiel wird die knowbe4-Phishing-Kampagne veranschaulicht, Sie können eine benutzerdefinierte Anwendungssignatur für jede Anwendung erstellen, sobald ein eindeutiger Indikator ist, und eine benutzerdefinierte Signatur erstellen. Diese Indikatoren können ein Feld in der Kopfzeile sein. Im Folgenden finden Sie einen Link, der beschreibt, wie Sie eine benutzerdefinierte Anwendung erstellen.

Schritt:1

1.Öffnen Sie die UI ->open objects-> Application-> klicken Sie auf "Hinzufügen"
2. Geben Sie den Namen der Signatur, wählen Sie die Kategorie -> general-internet, Parent App->smpt, wählen Sie die anderen Felder.

              Konfigurieren der benutzerdefinierten App

           3. Wechseln Sie zur nächsten Registerkarte "Advance", und wählen Sie das Scannen nach Bedarf für Dateityp-, Virus- und Datenmuster aus.

             Advance-Registerkarte
 
4. Wählen Sie die Registerkarte Signatur aus und füllen Sie die erforderlichen Felder aus.
  • Klicken Sie auf "Hinzufügen" und geben Sie einen Namen an.
  • Klicken Sie auf "Hinzufügen oder Bedingung", und führen Sie die folgende Auswahl durch:
  • Operator->-Musterübereinstimmung
  • Kontext -> E-Mail-Header
  • pattern-> X-PHISHTEST - Bitte beachten Sie, dass diese Kopfzeile geändert werden kann, sie können die aktuelle Kopfzeile sehen, indem Sie die E-Mail "Original anzeigen" auswählen.
SignaturauswahlSignaturkonfiguration

6. Sie können weitere Bedingungen in der benutzerdefinierten App basierend auf dem E-Mail-Header hinzufügen. Beim Hinzufügen der zweiten Bedingung können Sie die Bedingung "oder" oder "und" verwenden.
 
Schritt:2
1. Erstellen Sie eine Sicherheit policy mit der benutzerdefinierten Anwendung.

Schritt 3:

  1. Verschieben Sie dies policy vor jedem policy anderen, der mit diesem Datenverkehr übereinstimmen kann, sodass dies policy zuerst getroffen wird.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UoBCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language