WildFire電子メールリンクをクリックして、フィッシングキャンペーンや自動メール送信メールリンクの結果を変更するのを止める方法
14001
Created On 07/13/20 16:31 PM - Last Modified 04/24/24 09:46 AM
Objective
WIldFireElinkを受信すると、その API リンクがリンクを訪問する傾向があり、その過程で結果が変更されます。 たとえば、すべてのリンクがフィッシング キャンペーンでクリックされるため、結果は正確ではありません。 もう 1 つの例は、自動承認のためにクリックされるリンクです。WildFireメールのでの訪問を停止するには ELINK 、次の2つの方法があります。
(a) WildFire これらのリンクをクリックするのを止めることができます。
(b) Firewall ID または、プロファイルを持たないセキュリティルールで App- を使用してフィッシング キャンペーンのトラフィックを除外することで停止できます WildFire 。
Environment
- すべての PAN-OS バージョン
- フィッシングキャンペーンのメールトラフィック
Procedure
オプション(a): を停止 WildFire して、これらのリンクをクリックすることができます。
- サポートポータルを使用してサポートケースを開くことができます。
- リンクをクリックして、会社名、フィッシング会社名、および URL ユーザーが訪問できるドメインを一覧表示します。
- これらのドメインをホワイトリストに追加 WildFire します。 によって ELINK 提出された場合でも WildFire Firewall WildFire 、リンクは訪問しません。
これは簡単な3段階のプロセスです。
- 電子メール ヘッダー フィールドを使用して、フィッシング キャンペーンのメールに一致するカスタム アプリケーション署名を作成します。
「 カスタムアプリ」が作成され、トラフィックがカスタムアプリで識別されると、アプリケーションシフトが発生します。 ほとんどの場合、 WildFire プロファイルはカスタム アプリに適用されません。 そのため、カスタム アプリとプロファイルを持たない別のセキュリティ規則は必要ありません wildfire 。トラフィック ベース アプリケーションは SMTP 、 が許可されている最初の トラフィックと一致 policy します SMTP 。
2. ただし、トラフィック監視用の [アプリケーション] タブで "カスタム アプリケーション" を使用してセキュリティ規則を作成することはできます。 必要ではありませんが、 I お勧めします。
3. 最後に、このセキュリティ規則を移動して、現在一致している規則の前に移動 SMTP します。
3. 最後に、このセキュリティ規則を移動して、現在一致している規則の前に移動 SMTP します。
次の例は 、knowbe4 フィッシング キャンペーン を示しており、一意のインジケータを 1 回、任意のアプリケーションのカスタム アプリケーション署名を作成し、カスタム署名を作成できます。これらのインジケータは、ヘッダーのフィールドにすることができます。 カスタム アプリケーションの作成方法を説明する リンク を次に示します。
ステップ:1
1.開く UI ->開くオブジェクト - >アプリケーション->"追加
"2をクリックします。 署名の名前を指定し、カテゴリ ->一般インターネット、親アプリケーション>smptを選択し、他のフィールドを選択します。
"2をクリックします。 署名の名前を指定し、カテゴリ ->一般インターネット、親アプリケーション>smptを選択し、他のフィールドを選択します。
3. 次のタブに移動し、ファイルの種類、ウイルス、およびデータパターンの必要に応じてスキャンを選択します。
4. [署名]タブを選択し、必要なフィールドに入力します。
- 「追加」をクリックして名前を付けます。
- [追加または条件] をクリックし、次の選択を行います。
- 演算子> パターン一致
- コンテキスト ->電子メール ヘッダー
- パターン> X-PHISHTEST {このヘッダーは変更可能です、 "元の表示" メールを選択して現在のヘッダーを確認できます}
6. 電子メールヘッダーに基づいて、カスタムアプリで条件を追加できます。 2 番目の条件を追加する際には、"or" または "and" 条件を使用できます。
ステップ:2
1. policyカスタム アプリケーションを使用してセキュリティを作成します。
ステップ 3:
- policyこのようなトラフィックに一致する他のトラフィックの前にこれを移動 policy して、最初 policy にヒットします。