Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo evitar WildFire hacer clic en el enlace de correo electrón... - Knowledge Base - Palo Alto Networks

Cómo evitar WildFire hacer clic en el enlace de correo electrónico y alterar los resultados de la campaña de phishing o cualquier enlace de correo electrónico de autoresponder

14001
Created On 07/13/20 16:31 PM - Last Modified 04/24/24 09:46 AM


Objective


Cuando WIldFire recibe un Elink, API tiende a visitar el enlace, en el proceso se cambian los resultados. Por ejemplo, todos los enlaces se hacen clic en una campaña de phishing, por lo tanto, los resultados no son precisos. Otro ejemplo es un vínculo en el que se hace clic para las aprobaciones automáticas.Hay dos maneras de WildFire dejar de visitar el correo de la siguiente ELINK manera. 
(a) Cualquiera de los dos puede impedir que WildFire haga clic en esos enlaces.
(b) O puedes parar Firewall filtrando el tráfico de la campaña de phishing usando App- ID en una regla de seguridad que no tiene un WildFire perfil.



Environment


  • Toda la PAN-OS versión
  • Tráfico de correo electrónico de la campaña de phishing


Procedure


Opción(a): Puede detener el WildFire para hacer clic en esos enlaces.

  1. Puede abrir un caso de soporte técnico mediante el portal de soporte técnico.
  2. Enumere el nombre de su empresa, el nombre de la empresa de phishing y los dominios/ URL el usuario puede visitar haciendo clic en los enlaces.
  3. Agregaremos esos dominios a la WildFire lista blanca. Incluso el ELINK ha sido presentado por , no visitará WildFire Firewall WildFire enlaces.  
Opción b): Puedes detenerte Firewall filtrando el tráfico de la campaña de phishing mediante App- ID en una regla de seguridad que no tiene un WildFire perfil. 
Este es un proceso simple de tres pasos.
  1. Cree una firma de aplicación personalizada para que coincida con los correos electrónicos de la campaña de phishing mediante campos de encabezado de correo electrónico.
Tenga en cuenta, una vez que se crea una "aplicación personalizada" y el tráfico se identifica con una aplicación personalizada, se produce un cambio de aplicación. La mayoría de las veces el WildFire perfil no se aplica a la aplicación personalizada. Es por eso que no necesitamos otra regla de seguridad con una aplicación personalizada y sin wildfire perfil.Puesto que la aplicación de la base de tráfico SMTP es, este tráfico coincidirá con el primero policy que SMTP permite.
2. Sin embargo, todavía puede crear una regla de seguridad con una "aplicación personalizada" en la pestaña Aplicación para la supervisión del tráfico. Aunque no es necesario, I lo recomendaría. 
3. Por último, mueva esta regla de seguridad para preceder a la regla coincidente SMTP actualmente.

En el ejemplo siguiente se muestra la campaña de phishing knowbe4, puede crear una firma de aplicación personalizada para cualquier aplicación una vez un indicador único y crear una firma personalizada; estos indicadores pueden ser un campo en la cabecera. Este es un vínculo que describe cómo crear una aplicación personalizada.

Paso:1

1.Abra el UI ->abre objetos-> Aplicación-> haga clic en "Agregar"
2. Asigne el nombre de la firma, seleccione la categoría -> general-internet, Parent App->smpt, seleccione los otros campos.

              configurar la aplicación personalizada

           3. Vaya a la siguiente pestaña, "avance", y seleccione el análisis según sea necesario para los patrones de tipo de archivo, virus y datos

             pestaña anticipada
 
4. Seleccione la pestaña Firma y rellene los campos obligatorios.
  • Haga clic en "Añadir" y dé un nombre.
  • Haga clic en "Añadir o condición", y haga la siguiente selección:
  • Coincidencia de patrón > operador
  • Contexto -> encabezado de correo electrónico
  • pattern-> X-PHISHTEST { Tenga en cuenta que este encabezado se puede cambiar, puede ver el encabezado actual seleccionando el correo electrónico "mostrar original"}
selección de firmasconfiguración de firma

6. Puede agregar más condiciones en la aplicación personalizada en función del encabezado del correo electrónico. Al agregar la segunda condición, puede usar la condición "o" o "y".
 
Paso:2
1. Cree una seguridad policy con la aplicación personalizada.

Paso 3:

  1. Mueva esto policy antes que cualquier otro que pueda hacer juego tal policy tráfico, así que esto policy golpeará primero.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UoBCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language