Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment s’arrêter WildFire de cliquer sur le lien e-mail et de ... - Knowledge Base - Palo Alto Networks

Comment s’arrêter WildFire de cliquer sur le lien e-mail et de modifier les résultats de la campagne de phishing ou des liens de messagerie autoresponder

14001
Created On 07/13/20 16:31 PM - Last Modified 04/24/24 09:46 AM


Objective


Lorsque WIldFire reçoit un Elink, son API tend à visiter le lien, dans le processus, les résultats sont modifiés. Par exemple, tous les liens sont cliqués dans une campagne de phishing, de ce qui signifie que les résultats ne sont pas exacts. Un autre exemple est un lien qui est cliqué pour les approbations automatiques.Il y a deux façons WildFire d’arrêter de visiter ELINK le courrier comme suit. 
a) Soit vous pouvez arrêter le WildFire de cliquer sur ces liens.
b) Ou vous pouvez vous arrêter en filtrant le trafic de Firewall la campagne de phishing à ID l’aide d’App- dans une règle de sécurité qui n’a pas de WildFire profil.



Environment


  • Toutes les PAN-OS versions
  • Trafic de courriels de campagne d’hameçonnage


Procedure


Option(a): Vous pouvez arrêter de WildFire cliquer sur ces liens.

  1. Vous pouvez ouvrir un cas de support à l’aide du portail de support.
  2. Dressez la liste du nom de votre entreprise, du nom de votre entreprise de phishing et des URL domaines/ que l’utilisateur peut visiter en cliquant sur les liens.
  3. Nous ajouterons ces domaines à la WildFire liste blanche. Même le ELINK a été soumis par , ne WildFire Firewall WildFire visitera pas les liens.  
Option b) : Vous pouvez vous arrêter à Firewall l’en filtrant le trafic de la campagne de phishing en utilisant App- ID dans une règle de sécurité qui n’a pas de WildFire profil. 
Il s’agit d’un processus simple en trois étapes.
  1. Créez une signature d’application personnalisée pour correspondre aux e-mails de la campagne de phishing en utilisant des champs d’en-tête de messagerie.
Veuillez noter qu’une fois qu’une « application personnalisée » est créée et que le trafic est identifié avec une application personnalisée, un changement d’application se produit. La plupart du temps, le WildFire profil n’est pas appliqué à l’application personnalisée. C’est pourquoi nous n’avons pas besoin d’une autre règle de sécurité avec une application personnalisée et pas wildfire de profil.Puisque l’application de base de SMTP trafic est, ce trafic correspondra à la première policy qui SMTP permet.
2. Toutefois, vous pouvez toujours créer une règle de sécurité avec une « application personnalisée » dans l’onglet Application pour la surveillance du trafic. Bien qu’il ne soit pas I nécessaire, je le recommande. 
3. Enfin, déplacez cette règle de sécurité pour précéder la règle actuellement SMTP appariée.

L’exemple suivant illustre la campagne de phishing knowbe4, vous pouvez créer une signature d’application personnalisée pour n’importe quelle application une fois qu’un indicateur unique et créer une signature personnalisée; ces indicateurs peuvent être un champ dans l’en-tête. Voici un lien qui décrit comment créer une application personnalisée.

Étape:1

1.Open le UI ->open objets-> Application-> cliquez sur « Ajouter »
2. Donnez le nom de la signature, sélectionnez la catégorie -> general-internet, Parent App->smpt, sélectionnez les autres champs.

              configurer l’application personnalisée

           3. Passez à l’onglet suivant, « avancez » et sélectionnez la numérisation au besoin pour les modèles de type de fichier, de virus et de données

             onglet avance
 
4. Sélectionnez l’onglet Signature et remplissez les champs requis.
  • Cliquez sur le « Ajouter » et donner un nom.
  • Cliquez sur l’ajout ou l’état et faites la sélection suivante :
  • Correspondance de modèle > opérateur-opérateur
  • Contexte ->-en-tête de courriel
  • pattern-> { Veuillez X-PHISHTEST noter que cet en-tête peut être modifié, vous pouvez voir l’en-tête actuel en sélectionnant l’e-mail « afficher original » }
sélection de signaturessignature config

6. Vous pouvez ajouter plus de conditions dans l’application personnalisée en fonction de l’en-tête de l’e-mail. Tout en ajoutant la deuxième condition, vous pouvez utiliser « ou » ou « et » condition.
 
Étape:2
1. Créez une sécurité policy avec l’application personnalisée.

Etape 3:

  1. Déplacez-le policy avant tout autre qui peut correspondre à un tel policy trafic, de sorte que cela va policy frapper en premier.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UoBCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language