Condividi tramite


Payload nella formazione sul simulatore di attacchi

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

In Formazione con simulazione degli attacchi in Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2, un payload è il collegamento, il codice a matrice o l'allegato nel messaggio di posta elettronica di phishing simulato presentato agli utenti. Formazione con simulazione degli attacchi offre un catalogo di payload integrato affidabile per le tecniche di ingegneria sociale disponibili. Tuttavia, potrebbe essere necessario creare payload personalizzati che funzionino meglio per l'organizzazione.

Per informazioni introduttive sulla Formazione con simulazione degli attacchi, vedi Introduzione all'uso della Formazione con simulazione degli attacchi.

Per visualizzare i payload disponibili, aprire il portale di Microsoft Defender in https://security.microsoft.com, passare alla scheda >Email & raccolta collaborazione>Formazione con simulazione degli attacchi>Content e quindi selezionare Payload. In alternativa, per passare direttamente alla scheda Raccolta contenuto in cui è possibile selezionare Payload, usare https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

I payload nella scheda Raccolta contenuto hanno tre schede:

  • Payload globali: contiene i payload predefiniti e non modificabili. Questi payload sono basati su attacchi reali osservati nei data center Microsoft. Anche se non esiste una pianificazione di rilascio specifica, in genere ogni mese sono in media da 30 a 40 nuovi payload.
  • Payload del tenant: contiene i payload personalizzati creati.
  • MDO consigli: i payload consigliati da Defender per Office 365 hanno un impatto notevole quando vengono usati dagli utenti malintenzionati. Le raccomandazioni si basano su campagne identificate e su un tasso di compromissione stimato elevato. Questo elenco viene aggiornato mensilmente. Se non sono presenti attività recenti della campagna nell'organizzazione (meno di 60 giorni), la scheda MDO raccomandazioni potrebbe essere vuota.

Le informazioni disponibili nelle schede sono descritte nell'elenco seguente:

  • MDO scheda Raccomandazioni: per ogni payload vengono visualizzate le informazioni seguenti:

    • Nome payload
    • Tasso compromesso (%)
    • Consigliato da
    • Data e ora raccomandazione
  • Payload globali e schede payload tenant : per ogni payload vengono visualizzate le informazioni seguenti. È possibile ordinare i payload facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Le colonne predefinite sono contrassegnate con un asterisco (*):

    • Nome payload*
    • Tipo*: attualmente questo valore è sempre Progettazione sociale.
    • Piattaforma
    • Tecnica*: una delle tecniche di ingegneria sociale disponibili:
      • Raccolta credenziali
      • Allegato malware
      • Collegamento in allegato.
      • Collegamento a malware
      • URL dannoso
      • Concessione del consenso OAuth
      • Guida pratica
    • Lingua*: se il payload contiene più traduzioni, le prime due lingue vengono visualizzate direttamente. Per visualizzare le lingue rimanenti, passare il puntatore del mouse sull'icona numerica , ad esempio +10.
    • Simulazioni avviate*: numero di simulazioni avviate che usano il payload.
    • Source
    • Velocità compromessa prevista (%)*: dati cronologici in Microsoft 365 che stimano la percentuale di persone che verranno compromesse da questo payload (utenti compromessi/numero totale di utenti che ricevono il payload). Per altre informazioni, vedere Velocità di compromissione prevista.
    • Creato da*: per i payload predefiniti, il valore è Microsoft. Per i payload personalizzati, il valore è il nome dell'entità utente (UPN) dell'utente che ha creato il payload.
    • Ultima modifica*
    • Stato*: i valori sono:
      • Pronto
      • Bozza: disponibile solo nella scheda Payload tenant .
      • Archivio: i payload archiviati sono visibili solo quando Show archived payloads is toggled on .
    • (controllo Azioni ):*Eseguire un'azione sul payload. Le azioni disponibili dipendono dal valore Status del payload, come descritto nelle sezioni della procedura. Questo controllo viene sempre visualizzato alla fine della riga del payload.

    Consiglio

    Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

    • Scorrere orizzontalmente nel Web browser.
    • Restringere la larghezza delle colonne appropriate.
    • Rimuovere le colonne dalla visualizzazione.
    • Ridurre lo zoom indietro nel Web browser.

    Per trovare un payload nell'elenco, digitare parte del nome del payload nella casella Di ricerca e quindi premere INVIO.

    Selezionare questa opzione per filtrare i payload in base a uno o ai valori seguenti:

    • Tecnica: una delle tecniche di ingegneria sociale disponibili:

      • Raccolta credenziali
      • Allegato malware
      • Collegamento in allegato.
      • Collegamento a malware
      • URL dannoso
      • Concessione del consenso OAuth
      • Guida pratica
    • Complessità: calcolato in base al numero di indicatori nel payload che indicano un possibile attacco (errori di ortografia, urgenza e così via). Più indicatori sono più facili da identificare come attacco e indicano una minore complessità. I valori disponibili sono: Alto, Medio e Basso.

    • Lingua: I valori disponibili sono: inglese, spagnolo, tedesco, giapponese, francese, portoghese, olandese, italiano, svedese, cinese (semplificato), cinese (tradizionale, Taiwan), norvegese Bokmål, polacco, russo, finlandese, coreano, turco, ungherese, tailandese, arabo, vietnamiti, slovacchi, greci, indonesiani, rumeni, sloveni, croati, catalani e altri.

    • Aggiungere tag

    • Filtro per tema: i valori disponibili sono: Attivazione account, Verifica account, Fatturazione, Pulisci posta, Documento ricevuto, Spese, Fax, Report finanziario, Messaggi in ingresso, Fattura, Articolo ricevuto, Avviso di accesso, Posta ricevuta, Password, Pagamento, Retribuzioni, Offerta personalizzata, Quarantena, Lavoro remoto, Verifica messaggio, Aggiornamento della sicurezza, Servizio sospeso, Firma richiesta, Archiviazione cassette postali di aggiornamento, Verifica cassetta postale, Segreteria telefonica e Altro.

    • Filtra per marca: i valori disponibili sono: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud e Altro.

    • Filtro per settore: i valori disponibili sono: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, e Altro.

    • Evento corrente: i valori disponibili sono o No.

    • Controverso: i valori disponibili sono o No.

    Al termine della configurazione dei filtri, selezionare Applica, Annulla o Cancella filtri.

Quando si seleziona un payload facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome, viene visualizzato un riquadro a comparsa dei dettagli con le informazioni seguenti:

  • Scheda Panoramica : visualizzare il payload come viene visualizzato dagli utenti. Sono visibili anche le proprietà del payload:

    • Descrizione del payload
    • Nome mittente
    • Da un messaggio di posta elettronica
    • Oggetto e-mail
    • Origine: per i payload predefiniti, il valore è Globale. Per i payload personalizzati, il valore è Tenant.
    • Frequenza clic
    • Simulazioni avviate
    • Theme
    • Marchio
    • Settore
    • Controverso
    • Velocità di compromissione stimata
    • Evento corrente
    • Tag
  • Scheda Simulazioni avviate :

    • Nome della simulazione
    • Frequenza clic
    • Velocità compromessa
    • Azione: facendo clic sul collegamento Visualizza dettagli è possibile visualizzare i dettagli della simulazione.

Per visualizzare i payload archiviati (il valore Status è Archive), usare l'interruttore Mostra payload archiviati nella scheda Payload tenant .

Payload del codice a matrice

Nella scheda Payload globali diPayloaddella raccolta> contenuto in https://security.microsoft.com/attacksimulator?viewid=contentlibrary& source=global, è possibile visualizzare i payload del codice a matrice predefiniti e imodificabili digitando QR nella casella Di ricerca e quindi premendo INVIO.

I payload del codice a matrice sono disponibili in cinque lingue per affrontare scenari reali che comportano attacchi di codice a matrice.

Screenshot della scheda Payload globali che mostra i payload del codice a matrice restituiti dopo la ricerca del valore QR.

È anche possibile creare payload personalizzati che usano codici a matrice come collegamenti di phishing, come descritto nella sezione successiva.

Consiglio

Prima di usare un payload di codice a matrice nelle simulazioni, assicurarsi di esaminare i campi e il contenuto disponibili nel payload.

Creare payload

Nota

Alcuni marchi, loghi, simboli, insegne e altri identificatori di origine ricevono una maggiore protezione in base agli statuti e alle leggi locali, statali e federali. L'uso non autorizzato di tali indicatori può sottoporre gli utenti a sanzioni, incluse le multe penali. Anche se non è un elenco completo, questo include i sigilli presidenziale, vice-presidenziale e congressuale, la CIA, l'FBI, la sicurezza sociale, Medicare e Medicaid, la Stati Uniti Internal Revenue Service e le Olimpiadi. Oltre a queste categorie di marchi, l'uso e la modifica di qualsiasi marchio di terze parti comporta un rischio intrinseco. L'uso di marchi e logo personalizzati in un payload sarebbe meno rischioso, in particolare quando l'organizzazione consente l'uso. Se si hanno altre domande su ciò che è o non è appropriato usare durante la creazione o la configurazione di un payload, è consigliabile consultare i consulenti legali.

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & scheda Collaborazione>Formazione con simulazione degli attacchi>Ritenuto della> libreria Payloads>Scheda Payload tenant. Per passare direttamente alla scheda Raccolta contenuto in cui è possibile selezionare Payload e la scheda Payload tenant, usare https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

    Nella scheda Payload tenant selezionare Crea un payload per avviare la procedura guidata per il nuovo payload.

    Creare un payload nella scheda Payload tenant in Payload in Formazione con simulazione degli attacchi nel portale di Microsoft Defender.

    Nota

    In qualsiasi momento dopo aver assegnato il nome al payload durante la procedura guidata per il nuovo payload, è possibile selezionare Salva e chiudi per salvare lo stato di avanzamento e continuare in un secondo momento. Il payload incompleto ha il valore StatoBozza. È possibile riprendere il percorso in cui si è interrotto selezionando il payload e quindi facendo clic sull'azione Modifica payload visualizzata.

    È anche possibile creare payload durante la creazione di simulazioni. Per altre informazioni, vedere Creare una simulazione: selezionare un payload e una pagina di accesso.

  2. Nella pagina Seleziona tipo selezionare uno dei valori seguenti:

    Al termine della pagina Seleziona tipo , selezionare Avanti.

  3. Nella pagina Selezione tecnica le opzioni disponibili sono le stesse della pagina Selezione tecnica della nuova procedura guidata di simulazione:

    • Raccolta credenziali*
    • Allegato malware
    • Collegamento nell'allegato*
    • Collegamento a Malware*
    • Drive-by URL*
    • Concessione del consenso OAuth*
    • Guida pratica

    * Questa tecnica di ingegneria sociale consente di usare i codici a matrice.

    Per altre informazioni sulle diverse tecniche di ingegneria sociale, vedere Simulazioni.

    Al termine, nella pagina Seleziona tecnica selezionare Avanti.

  4. Nella pagina Nome payload configurare le impostazioni seguenti:

    • Nome: immettere un nome descrittivo univoco per il payload.
    • Descrizione: immettere una descrizione dettagliata facoltativa per il payload.

    Al termine della pagina Nome payload , selezionare Avanti.

  5. Nella pagina Configura payload è possibile compilare il payload. Molte delle impostazioni disponibili sono determinate dalla selezione effettuata nella pagina Selezione tecnica ( ad esempio, collegamenti e allegati).

    • Sezione Dettagli mittente : Configurare le impostazioni seguenti:

      • Nome mittente
      • Usa nome come nome visualizzato: per impostazione predefinita, questa impostazione non è selezionata.
      • Dalla posta elettronica: se si sceglie un indirizzo di posta elettronica interno per il mittente del payload, il payload sembra provenire da un collega dipendente. Questo indirizzo di posta elettronica del mittente aumenta la suscettibilità di un utente al payload e aiuta a informare i dipendenti sul rischio di minacce interne.
      • Oggetto e-mail
      • Aggiungi tag esterno alla posta elettronica: per impostazione predefinita, questa impostazione non è selezionata.
    • Sezione dei dettagli degli allegati (solo allegati malware, collegamento in allegato o tecniche di collegamento a malware ): configurare le impostazioni seguenti:

      • Assegnare un nome all'allegato: immettere un nome file per l'allegato.
      • Selezionare un tipo di allegato: selezionare un tipo di file per l'allegato. I valori disponibili sono Docx o HTML.
    • Collegamento di phishing o collegamento per le sezioni degli allegati :

      • La sezione Collegamento di phishing è disponibile solo nelle tecniche raccolta credenziali, Collegamento in allegato, URL di drive-by o concessione del consenso OAuth .
      • La sezione Collegamento per allegati è disponibile solo nella tecnica Collegamento a malware .

      Selezionare Seleziona URL. Nel riquadro a comparsa dei dettagli visualizzato selezionare uno degli URL disponibili e quindi selezionare Conferma.

      Per modificare l'URL, selezionare Modifica URL.

      Nota

      Gli URL disponibili sono elencati in Simulazioni.

      Controllare la disponibilità dell'URL di phishing simulato nei Web browser supportati prima di usare l'URL in una campagna di phishing. Per altre informazioni, vedere URL di simulazione del phishing bloccati da Google Safe Browsing.

    • Sezione del contenuto degli allegati (solo tecnica Collegamento in allegato ).

      È disponibile un editor RTF per creare il contenuto dell'allegato. Per visualizzare le impostazioni tipiche del tipo di carattere e della formattazione, impostare Formattazione dei controlli su .

      Selezionare la casella di collegamento Phishing . Nella finestra di dialogo Nome URL di phishing visualizzata immettere un valore Nome per l'URL selezionato nella sezione Collegamento phishing e quindi selezionare Conferma.

      Il valore del nome immesso viene aggiunto al contenuto dell'allegato come collegamento all'URL di phishing.

    • Impostazioni comuni per tutte le tecniche nella pagina Configura payload :

      • Aggiungere tag

      • Tema: I valori disponibili sono: Attivazione account, Verifica account, Fatturazione, Pulisci posta, Documento ricevuto, Spese, Fax, Report finanziario, Messaggi in arrivo, Fattura, Articolo ricevuto, Avviso di accesso, Posta, Password, Pagamento, Retribuzioni, Offerta personalizzata, Quarantena, Lavoro remoto, Esaminare il messaggio, l'aggiornamento della sicurezza, il servizio sospeso, la firma necessaria, l'archiviazione delle cassette postali di aggiornamento, la verifica della cassetta postale, la segreteria telefonica o altro.

      • Brand: I valori disponibili sono: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud, Other.

      • Settore: I valori disponibili sono: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, or Altro.

      • Evento corrente: i valori disponibili sono o No.

      • Controverso: i valori disponibili sono o No.

      • Sezione Lingua : selezionare la lingua per il payload. I valori disponibili sono: inglese, spagnolo, tedesco, giapponese, francese, portoghese, olandese, italiano, svedese, cinese (semplificato), cinese (tradizionale, Taiwan), norvegese Bokmål, polacco, russo, finlandese, coreano, turco, ungherese, ebraico, tailandese, arabo, vietnamita, slovacca, greca, indonesiana, rumena, slovena, croata, catalana o altro.

      • Email sezione messaggio:

        • È possibile selezionare Importa messaggio di posta elettronica e quindi Scegliere il file per importare un file di messaggio di testo normale esistente. Sono disponibili due schede:

        • Scheda Testo : è disponibile un editor RTF per creare il payload. Per visualizzare le impostazioni tipiche del tipo di carattere e della formattazione, impostare Formattazione dei controlli su .

          Consiglio

          La barra Dei controlli formattazione contiene un'azione Inserisci codice a matrice che è possibile usare anziché selezionare Inserisci controllo codice a matrice dall'elenco a discesa Tag dinamici per le tecniche di social engineering applicabili:

          Azione Inserisci codice a matrice nei controlli di formattazione nella pagina Configura payload della creazione guidata del nuovo payload.

          Per informazioni dettagliate sull'aggiunta di codici a matrice a un payload, vedere la descrizione del controllo Inserisci codice a matrice .

          Nella scheda Testo sono disponibili anche i controlli seguenti:

          • Tag dinamico: selezionare tra i tag seguenti:

            Nome tag Valore del tag
            Inserisci nome utente ${userName}
            Inserisci nome ${firstName}
            Inserisci cognome ${lastName}
            Inserisci UPN ${upn}
            Inserisci Email ${emailAddress}
            Inserisci reparto ${department}
            Gestione inserimento ${manager}
            Inserisci telefono cellulare ${mobilePhone}
            Inserisci città ${city}
            Inserisci data ${date|MM/dd/yyyy|offset}
          • Il controllo Inserisci codice a matrice è disponibile solo nelle tecniche Raccolta credenziali, URL drive-by, Concessione del consenso OAuth o Guida pratica .

            Invece di usare un collegamento come payload di phishing nel messaggio, è possibile usare un codice a matrice. Selezionando il controllo Inserisci codice a matrice si apre il riquadro a comparsa Inserisci codice a matrice in cui si configurano le informazioni seguenti:

            • Dimensioni: selezionare uno dei valori seguenti:
              • Piccolo (50 x 50 pixel)
              • Medio (100 x 100 pixel)
              • Grande (150 x 150 pixel)
            • Posizione orizzontale: immettere la posizione orizzontale in centimetri. Usare la casella Da successiva per specificare il punto iniziale orizzontale da cui misurare:
              • Angolo superiore sinistro
              • Centra
            • Posizione verticale: immettere la posizione verticale in centimetri. Usare la casella Da successiva per specificare il punto iniziale verticale da cui misurare:
              • Angolo superiore sinistro
              • Centra

            Riquadro a comparsa Inserisci codice a matrice dalla pagina Configura payload della creazione guidata del nuovo payload.

            Al termine del riquadro a comparsa Inserisci codice a matrice , selezionare Salva.

            Codice a matrice inserito nel messaggio di posta elettronica del payload durante la creazione del payload.

            Consiglio

            • Il codice a matrice viene mappato all'URL di phishing selezionato nella sezione > Selezionare URL del collegamento Phishing. Quando il payload viene usato in una simulazione, il servizio sostituisce il codice a matrice con un codice a matrice generato dinamicamente per tenere traccia delle metriche di clic e compromissione. Le dimensioni, la posizione e la forma del codice a matrice corrispondono alle opzioni di configurazione configurate nel payload.

            • Se si usa il pulsante Invia un test nella pagina Verifica payload (passaggio 7), viene visualizzato il codice a matrice, ma punta l'URL di phishing selezionato. Il codice a matrice dinamico viene generato quando il payload viene usato in una simulazione reale.

            • Il codice a matrice viene inserito nel messaggio di posta elettronica come immagine. Se si passa dalla scheda Testo alla scheda Codice , viene visualizzata l'immagine inserita in formato Base64. L'inizio dell'immagine contiene <div id="QRcode"...>. Verificare che il payload completato contenga <div id="QRcode"...> prima di usarlo in una simulazione. Ad esempio:

              <div id="QRcode" style="position: absolute; margin-top: 2%; margin-left: 2%;"><img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAM0AAADNCAYAAAAbvPRpAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAA9cSURBVHhe7dNBDiM7EgPRvv+l/1zgLVggIXm6FU...
              
            • Verificare la pagina di accesso durante l'uso del payload in una simulazione. È anche possibile creare pagine di accesso durante la creazione di simulazioni. Per altre informazioni, vedere Creare una simulazione: selezionare un payload e una pagina di accesso.

            • È consigliabile eseguire una simulazione di test per convalidare il flusso end-to-end prima di usare il payload con un pubblico più ampio.

          • Il collegamento di phishing o il controllo degli allegati malware è disponibile:

            • Il collegamento di phishing è disponibile solo nelle tecniche Credential Harvest, Drive-by URL o OAuth Consent Grant .
            • Il collegamento agli allegati malware è disponibile solo nel collegamento a malware.

            Dopo aver selezionato il controllo, viene visualizzata una finestra di dialogo Nome URL di phishing . Immettere un valore Name per l'URL selezionato nella sezione Collegamento phishing o Collegamento per allegato e quindi selezionare Conferma.

            Il valore del nome immesso viene aggiunto al corpo del messaggio come collegamento all'URL di phishing. Nella scheda Codice il valore del collegamento è <a href="${phishingUrl}" target="_blank">Name value you specified</a>.

          Consiglio

          Per aggiungere immagini, copiare (CTRL+C) e incollare (CTRL+V) l'immagine nell'editor nella scheda Testo . L'editor converte automaticamente l'immagine in Base64 come parte del codice HTML. La dimensione massima del payload per una simulazione è 4 MB.

        • Scheda Codice : è possibile visualizzare e modificare direttamente il codice HTML.

        • Sostituire tutti i collegamenti nel messaggio di posta elettronica con il collegamento di phishing (Credential Harvest, Link to Malware, Drive-by URL o OAuth Consent Grant techniques only): questo interruttore può risparmiare tempo sostituendo tutti i collegamenti nel messaggio con il collegamento phishing selezionato in precedenza o Collegamento per l'URL allegato . Per eseguire questa azione, attivare o disattivare l'impostazione su .

    • Sezione Velocità compromessa stimata : selezionare Stima velocità di compromissione per calcolare la frequenza di riuscita stimata del payload. Per altre informazioni, vedere Velocità di compromissione prevista.

    Al termine, nella pagina Configura payload selezionare Avanti.

    Consiglio

    Per la tecnica della guida pratica , passare direttamente alla pagina Verifica payload .

  6. La pagina Aggiungi indicatori è disponibile solo se è stata selezionata l'opzione Raccolta credenziali, Collegamento in allegato, URL drive-by o Concessione di consenso OAuth nella pagina Selezione tecnica .

    Gli indicatori aiutano i dipendenti a identificare i segni rivelatori dei messaggi di phishing.

    Nella pagina Aggiungi indicatori selezionare Aggiungi indicatore. Nel riquadro a comparsa Aggiungi indicatore visualizzato configurare le impostazioni seguenti:

    • Selezionare e indicatore che si vuole usare e Dove inserire questo indicatore nel payload?:

      Questi valori sono correlati. Dove è possibile posizionare l'indicatore dipende dal tipo di indicatore. I valori disponibili sono descritti nella tabella seguente:

      Tipo di indicatore Posizione dell'indicatore
      Tipo di allegato Corpo del messaggio
      Dettagli di distrazione Corpo del messaggio
      Spoofing del dominio Corpo del messaggio

      Dall'indirizzo di posta elettronica
      Messaggio di saluto generico Corpo del messaggio
      Ricorsi umanitari Corpo del messaggio
      Incoerenza Corpo del messaggio
      Mancanza di dettagli del mittente Corpo del messaggio
      Linguaggio legale Corpo del messaggio
      Offerta a tempo limitato Corpo del messaggio
      Imitazione del logo o marchio datato Corpo del messaggio
      Simula un processo aziendale o aziendale Corpo del messaggio
      No/minimal branding Corpo del messaggio
      Pone come amico, collega, supervisore o figura di autorità Corpo del messaggio
      Richiesta di informazioni riservate Corpo del messaggio
      Indicatori di sicurezza e icone Corpo del messaggio

      Oggetto del messaggio
      Nome visualizzato del mittente e indirizzo di posta elettronica Nome mittente

      Dall'indirizzo di posta elettronica
      Senso di urgenza Corpo del messaggio

      Oggetto del messaggio
      Irregolarità ortografiche e grammaticali Corpo del messaggio

      Oggetto del messaggio
      Linguaggio minaccioso Corpo del messaggio

      Oggetto del messaggio
      Troppo buono per essere vere offerte Corpo del messaggio
      Progettazione o formattazione dall'aspetto non professionale Corpo del messaggio
      Collegamento ipertestuale URL Corpo del messaggio
      Sei speciale Corpo del messaggio

      Questo elenco è curato per contenere gli indizi più comuni visualizzati nei messaggi di phishing.

      Se si seleziona l'oggetto del messaggio di posta elettronica o il corpo del messaggio come posizione per l'indicatore, viene visualizzato Selezionare il testo . Nel riquadro a comparsa Seleziona testo richiesto visualizzato selezionare (evidenziare) il testo nell'oggetto del messaggio o nel corpo del messaggio in cui si vuole visualizzare l'indicatore. Al termine, selezionare Seleziona.

      Posizione di testo selezionata nel corpo del messaggio da aggiungere a un indicatore nella creazione guidata del nuovo payload in Formazione con simulazione degli attacchi

      Tornando al riquadro a comparsa Aggiungi indicatore , il testo selezionato viene visualizzato nella sezione Testo selezionato .

    • Descrizione indicatore: è possibile accettare la descrizione predefinita per l'indicatore o personalizzarla.

    • Anteprima indicatore: per visualizzare l'aspetto dell'indicatore corrente, fare clic in un punto qualsiasi all'interno della sezione.

      Al termine del riquadro a comparsa Aggiungi indicatore , selezionare Aggiungi

    Ripetere questi passaggi per aggiungere più indicatori.

    Nella pagina Aggiungi indicatori è possibile esaminare gli indicatori selezionati:

    • Per modificare un indicatore esistente, selezionarlo e quindi selezionare Modifica indicatore.

    • Per eliminare un indicatore esistente, selezionarlo e quindi selezionare Elimina.

    • Per spostare gli indicatori verso l'alto o verso il basso nell'elenco, selezionare l'indicatore e quindi selezionare Sposta su o Sposta giù.

    Al termine, nella pagina Aggiungi indicatori selezionare Avanti.

  7. Nella pagina Verifica payload è possibile esaminare i dettagli del payload.

    Selezionare il pulsante Invia un test per inviare una copia del messaggio di posta elettronica del payload a se stessi (l'utente attualmente connesso) per l'ispezione.

    Selezionare il pulsante Indicatore di anteprima per aprire il payload in un riquadro a comparsa di anteprima. L'anteprima include tutti gli indicatori di payload creati.

    Nella pagina Rivedi payload è possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.

    Al termine, nella pagina Rivedi payload selezionare Invia. Nel messaggio di conferma visualizzato selezionare Fatto.

    Pagina Rivedi payload in Formazione con simulazione degli attacchi nel portale di Microsoft Defender

  8. Nella pagina Nuovo payload creato è possibile usare i collegamenti per visualizzare tutte le simulazioni o passare alla panoramica Formazione con simulazione degli attacchi.

    Al termine della pagina Nuovo payload creato , selezionare Fine.

  9. Nella scheda Payload tenant il payload creato è ora elencato con il valore StatoPronto.

Intervenire sui payload

Tutte le azioni sui payload esistenti iniziano nella pagina Payload . Per procedere, aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com, passare a Email & scheda > Collaborazione >Formazione con simulazione degli attacchi>Libreria dei contenutiScheda Payload>del tenant. Per passare direttamente alla scheda Raccolta contenuto in cui è possibile selezionare Payload e le schede Payload tenant o Payload globali, usare https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

Consiglio

Per visualizzare il controllo (azioni) nelle schede Payload globali o Payload tenant , è probabile che sia necessario eseguire una o più delle operazioni seguenti:

  • Scorrere orizzontalmente nel Web browser.
  • Restringere la larghezza delle colonne appropriate.
  • Rimuovere le colonne dalla visualizzazione.
  • Ridurre lo zoom indietro nel Web browser.

Modificare i payload

Non è possibile modificare i payload predefiniti nella scheda Payload globali . È possibile modificare payload personalizzati solo nella scheda Payload tenant .

Per modificare un payload esistente nella scheda Payload tenant , eseguire una delle operazioni seguenti:

  • Selezionare il payload facendo clic sulla casella di controllo accanto al nome. Selezionare l'azione Modifica payload visualizzata.
  • Selezionare il payload facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato selezionare Modifica payload nella parte inferiore del riquadro a comparsa.
  • Selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Modifica.

Verrà visualizzata la procedura guidata payload con le impostazioni e i valori del payload selezionato. I passaggi sono gli stessi descritti nella sezione Creare payload .

Copiare payload

Per copiare un payload esistente nelle schede Payload tenant o Payload globali , eseguire una delle operazioni seguenti:

  • Selezionare il payload facendo clic sulla casella di controllo accanto al nome e quindi selezionare l'azione Copia payload visualizzata.
  • Selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Copia payload.

Verrà visualizzata la creazione guidata payload con le impostazioni e i valori del payload selezionato. I passaggi sono gli stessi descritti nella sezione Creare payload .

Nota

Quando si copia un payload predefinito nella scheda Payload globali , assicurarsi di modificare il valore Name . In caso contrario, il payload verrà visualizzato nella pagina Payload tenant con lo stesso nome del payload predefinito.

Payload di archiviazione

Per archiviare un payload esistente nella scheda Payload tenant , selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Archivia.

Il valore Stato del payload viene modificato in Archivio e il payload non è più visibile nella tabella Payload tenant quando Mostra payload archiviati viene disattivato .

Per visualizzare i payload archiviati nella scheda Payload tenant , attivare o disattivare Mostra payload archiviati su .

Dopo aver archiviato un payload, è possibile ripristinarlo o rimuoverlo come descritto nelle sottosezioni seguenti.

Ripristinare i payload archiviati

Per ripristinare un payload di archivio nella scheda Payload tenant , seguire questa procedura:

  1. Impostare l'interruttore Mostra payload archiviati su su .
  2. Selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Ripristina.

Dopo aver ripristinato il payload archiviato, il valore Stato diventa Bozza. Attiva/Disattiva Mostra payload archiviati per visualizzare il payload ripristinato. Per restituire il payload al valore StatoPronto, modificare il payload, esaminare o modificare le impostazioni e quindi selezionare Invia.

Rimuovere i payload archiviati

Per rimuovere un payload archiviato dalla scheda Payload tenant , seguire questa procedura:

  1. Impostare l'interruttore Mostra payload archiviati su su .
  2. Selezionare il payload facendo clic su (Azioni) alla fine della riga, selezionare Elimina e quindi conferma nella finestra di dialogo di conferma.

Inviare un test

Nelle schede Payload tenant o Payload globali è possibile inviare una copia del messaggio di posta elettronica del payload a se stessi (l'utente attualmente connesso) per l'ispezione.

Selezionare il payload facendo clic sulla casella di controllo accanto al nome e quindi selezionare il pulsante Invia un test visualizzato.

Introduzione alla formazione sull’uso di Simulatore di attacchi

Crea una simulazione di attacchi di phishing

Acquisire informazioni approfondite attraverso la formazione del Simulatore di attacchi