So stoppen Sie WildFire das Klicken auf den E-Mail-Link und ändern die Ergebnisse für Phishing-Kampagnen oder Autoresponder-E-Mail-Links
Objective
Wenn WIldFire ein Elink erhält, API neigt er dazu, den Link zu besuchen, während der Prozess die Ergebnisse geändert werden. Beispielsweise werden alle Links in einer Phishing-Kampagne angeklickt, daher sind die Ergebnisse nicht korrekt. Ein weiteres Beispiel ist ein Link, auf den für automatische Genehmigungen geklickt wird.Es gibt zwei WildFire Möglichkeiten, den Besuch ELINK der in der E-Mail wie folgt zu beenden.
(a) Entweder sie können das WildFire Klicken auf diese Links stoppen.
(b) Oder Sie können anhalten, indem Sie Firewall den Phishing-Kampagnenverkehr mithilfe von App filtern - ID in einer Sicherheitsregel, die kein WildFire Profil hat.
Environment
- Alle PAN-OS Versionen
- Phishing-Kampagnen-E-Mail-Verkehr
Procedure
Option(a): Sie können die WildFire stoppen, um auf diese Links zu klicken.
- Sie können einen Supportfall über das Supportportal öffnen.
- Listen Sie Ihren Firmennamen, Phishing-Firmennamen und Domänen/domänen auf, URL die der Benutzer besuchen kann, indem Sie auf die Links klicken.
- Wir werden diese Domänen zur WildFire Whitelist hinzufügen. Auch die ELINK wurde von eingereicht , werden keine Links WildFire Firewall WildFire besuchen.
Dies ist ein einfacher dreistufiger Prozess.
- Erstellen Sie eine benutzerdefinierte Anwendungssignatur, die den Phishing-Kampagnen-E-Mails mithilfe von E-Mail-Headerfeldern entspricht.
3. Verschieben Sie schließlich diese Sicherheitsregel, um der aktuell übereinstimmenden Regel voranzufahren. SMTP
Im folgenden Beispiel wird die knowbe4-Phishing-Kampagne veranschaulicht, Sie können eine benutzerdefinierte Anwendungssignatur für jede Anwendung erstellen, sobald ein eindeutiger Indikator ist, und eine benutzerdefinierte Signatur erstellen. Diese Indikatoren können ein Feld in der Kopfzeile sein. Im Folgenden finden Sie einen Link, der beschreibt, wie Sie eine benutzerdefinierte Anwendung erstellen.
Schritt:1
2. Geben Sie den Namen der Signatur, wählen Sie die Kategorie -> general-internet, Parent App->smpt, wählen Sie die anderen Felder.
3. Wechseln Sie zur nächsten Registerkarte "Advance", und wählen Sie das Scannen nach Bedarf für Dateityp-, Virus- und Datenmuster aus.
- Klicken Sie auf "Hinzufügen" und geben Sie einen Namen an.
- Klicken Sie auf "Hinzufügen oder Bedingung", und führen Sie die folgende Auswahl durch:
- Operator->-Musterübereinstimmung
- Kontext -> E-Mail-Header
- pattern-> X-PHISHTEST - Bitte beachten Sie, dass diese Kopfzeile geändert werden kann, sie können die aktuelle Kopfzeile sehen, indem Sie die E-Mail "Original anzeigen" auswählen.
6. Sie können weitere Bedingungen in der benutzerdefinierten App basierend auf dem E-Mail-Header hinzufügen. Beim Hinzufügen der zweiten Bedingung können Sie die Bedingung "oder" oder "und" verwenden.
Schritt 3:
- Verschieben Sie dies policy vor jedem policy anderen, der mit diesem Datenverkehr übereinstimmen kann, sodass dies policy zuerst getroffen wird.