如何 WildFire 停止单击电子邮件链接和更改网络钓鱼活动或任何自动响应电子邮件链接的结果
18528
Created On 07/13/20 16:31 PM - Last Modified 04/24/24 09:46 AM
Objective
当 WIldFire 收到 Elink 时,它 API 倾向于访问链接,在此过程中结果会发生变化。 例如,所有链接都在网络钓鱼活动中单击,因此结果不准确。 另一个示例是单击以进行自动审批的链接。有两种方法 WildFire 可以停止访问 ELINK 邮件中如下。
(a) 您可以停止 WildFire 单击这些链接。
(b) 或者您可以使用 Firewall App 过滤掉网络钓鱼活动流量 ID ,在没有配置文件的安全规则中 WildFire 停止。
Environment
- 所有 PAN-OS 版本
- 网络钓鱼活动电子邮件流量
Procedure
选项(a):您可以停止 WildFire 单击这些链接。
- 您可以使用支持门户打开支持案例。
- 列出您的公司名称、网络钓鱼公司名称以及 URL 用户可以通过单击链接访问的域名/
- 我们将将这些域添加到 WildFire 白名单中。 即使 ELINK 已经提交, WildFire Firewall WildFire 也不会访问链接。
这是一个简单的三步过程。
- 使用电子邮件标题字段创建自定义应用程序签名以匹配网络钓鱼活动电子邮件。
请注意, 一旦创建"自定义应用",并且使用自定义应用标识流量,就会发生应用程序移动。 大多数情况下, WildFire 配置文件不适用于自定义应用。 这就是为什么我们不需要另一个安全规则与自定义应用程序,没有 wildfire 配置文件。由于流量基础应用程序是 SMTP ,此流量将匹配允许的第一个 policy SMTP 。
2. 但是,您仍然可以在"应用程序"选项卡中创建具有"自定义应用程序"的安全规则,用于流量监视。 虽然不需要, I 但会推荐它。
3. 最后,将此安全规则移动到当前匹配 SMTP 规则之前。
3. 最后,将此安全规则移动到当前匹配 SMTP 规则之前。
下面的示例演示了 knowbe4 网络钓鱼活动, 您可以在唯一指标之后为任何应用程序创建自定义应用程序签名并创建自定义签名;这些指标可以是标头中的字段。 下面是一 个 链接,介绍如何创建自定义应用程序。
步骤:1
1.打开 UI ->打开对象->应用程序->单击"添加
"2。 提供签名的名称,选择类别 ->互联网,父应用程序->smpt,选择其他字段。
"2。 提供签名的名称,选择类别 ->互联网,父应用程序->smpt,选择其他字段。
4. 选择"签名"选项卡并填写所需字段。
- 单击"添加"并给出名称。
- 单击"添加或条件",然后执行以下操作:
- 运算符->模式匹配
- 上下文 - >电子邮件标题
- 模式 X-PHISHTEST >{ 请注意 ,此标题可以更改,您可以通过选择"显示原始"电子邮件来查看当前标题}
6. 您可以在自定义应用中根据电子邮件标头添加更多条件。 添加第二个条件时,可以使用"或"或"和"条件。
步骤:2
1. policy使用自定义应用程序创建安全性。
第3步:
- policy在任何其他 policy 可以匹配此类流量之前移动此卡,因此 policy 这将首先命中。