Cómo evitar WildFire hacer clic en el enlace de correo electrónico y alterar los resultados de la campaña de phishing o cualquier enlace de correo electrónico de autoresponder
Objective
Cuando WIldFire recibe un Elink, API tiende a visitar el enlace, en el proceso se cambian los resultados. Por ejemplo, todos los enlaces se hacen clic en una campaña de phishing, por lo tanto, los resultados no son precisos. Otro ejemplo es un vínculo en el que se hace clic para las aprobaciones automáticas.Hay dos maneras de WildFire dejar de visitar el correo de la siguiente ELINK manera.
(a) Cualquiera de los dos puede impedir que WildFire haga clic en esos enlaces.
(b) O puedes parar Firewall filtrando el tráfico de la campaña de phishing usando App- ID en una regla de seguridad que no tiene un WildFire perfil.
Environment
- Toda la PAN-OS versión
- Tráfico de correo electrónico de la campaña de phishing
Procedure
Opción(a): Puede detener el WildFire para hacer clic en esos enlaces.
- Puede abrir un caso de soporte técnico mediante el portal de soporte técnico.
- Enumere el nombre de su empresa, el nombre de la empresa de phishing y los dominios/ URL el usuario puede visitar haciendo clic en los enlaces.
- Agregaremos esos dominios a la WildFire lista blanca. Incluso el ELINK ha sido presentado por , no visitará WildFire Firewall WildFire enlaces.
Este es un proceso simple de tres pasos.
- Cree una firma de aplicación personalizada para que coincida con los correos electrónicos de la campaña de phishing mediante campos de encabezado de correo electrónico.
3. Por último, mueva esta regla de seguridad para preceder a la regla coincidente SMTP actualmente.
En el ejemplo siguiente se muestra la campaña de phishing knowbe4, puede crear una firma de aplicación personalizada para cualquier aplicación una vez un indicador único y crear una firma personalizada; estos indicadores pueden ser un campo en la cabecera. Este es un vínculo que describe cómo crear una aplicación personalizada.
Paso:1
2. Asigne el nombre de la firma, seleccione la categoría -> general-internet, Parent App->smpt, seleccione los otros campos.
3. Vaya a la siguiente pestaña, "avance", y seleccione el análisis según sea necesario para los patrones de tipo de archivo, virus y datos
- Haga clic en "Añadir" y dé un nombre.
- Haga clic en "Añadir o condición", y haga la siguiente selección:
- Coincidencia de patrón > operador
- Contexto -> encabezado de correo electrónico
- pattern-> X-PHISHTEST { Tenga en cuenta que este encabezado se puede cambiar, puede ver el encabezado actual seleccionando el correo electrónico "mostrar original"}
6. Puede agregar más condiciones en la aplicación personalizada en función del encabezado del correo electrónico. Al agregar la segunda condición, puede usar la condición "o" o "y".
Paso 3:
- Mueva esto policy antes que cualquier otro que pueda hacer juego tal policy tráfico, así que esto policy golpeará primero.