Condividi tramite


Panoramica della funzione Threat Modeling Tool

Threat Modeling Tool offre supporto in ambito di modellazione delle minacce. Per un'introduzione allo strumento, vedere Guida introduttiva a Threat Modeling Tool.

Nota

Threat Modeling Tool viene aggiornato spesso, perciò si consiglia di controllare questa guida di frequente per vedere le ultime funzionalità e miglioramenti.

Per aprire una pagina vuota, selezionare Creare un modello.

Pagina vuota

Per vedere tutte le funzionalità attualmente disponibili nello strumento, usare il modello di minaccia creato dal nostro team nell'esempio di introduzione.

Modello di minaccia di base

Prima di illustrare le funzionalità integrate, è opportuno discutere dei componenti principali presenti nello strumento.

L'esperienza è simile ad altri prodotti Microsoft. Esaminare le voci di menu di primo livello.

Voci di menu

Etichetta Dettagli
File
  • Aprire, salvare e chiudere i file
  • Accedere e disconnettersi dagli account di OneDrive.
  • Condividere collegamenti (visualizzazione e modifica).
  • Visualizzare le informazioni di file.
  • Applicare un nuovo modello a modelli esistenti.
Modifica Annullare e ripristinare azioni, copiare, incollare ed eliminare.
Visualizzazione
  • Passare fra le visualizzazioni Analisi e Progettazione.
  • Aprire finestre chiuse (ad esempio stencil, proprietà degli elementi e messaggi).
  • Ripristinare le impostazioni predefinite del layout.
Diagramma Aggiungere ed eliminare diagrammi e spostarsi tra le schede dei diagrammi.
Report Creare report HTML da condividere con altri utenti.
? Individuare guide sull'uso dello strumento.

I simboli sono collegamenti ai menu di primo livello:

Simbolo Dettagli
Apri Apre un nuovo file.
Salva Salva il file attuale.
Progettazione Passa alla visualizzazione Progettazione dove è possibile creare modelli.
Analizzare Mostra le minacce generate e le relative proprietà.
Aggiungi diagramma Aggiunge un nuovo diagramma (simile a nuove schede di Excel).
Elimina diagramma Elimina il diagramma attuale.
Copia/Taglia/Incolla Copia, taglia e incolla gli elementi.
Annullare/Eseguire il ripristino Annulla e ripete azioni.
Zoom avanti/Zoom indietro Esegue lo zoom avanti e indietro nel diagramma per una migliore visualizzazione.
Commenti e suggerimenti Apre il forum MSDN.

Canvas

Spazio in cui si trascinano gli elementi. Il trascinamento è il modo più rapido ed efficiente per creare i modelli. È anche possibile fare clic con il pulsante destro del mouse e scegliere voci dal menu per aggiungere versioni generiche di elementi, come illustrato:

Rilascio dello stencil sul canvas

Rilascio sul canvas

Selezione dello stencil

Proprietà dell'elemento

Stencil

In base al modello selezionato è possibile trovare tutti gli stencil disponibili per l'uso. Se non si riesce a trovare gli elementi adatti, usare un altro modello. È anche possibile modificare un modello secondo le proprie esigenze. In genere è possibile trovare una combinazione di categorie come quelle indicati di seguito:

Nome dello stencil Dettagli
Processo Applicazioni, plugin del browser, minacce, macchine virtuali
Interazione esterna Provider di autenticazione, browser, utenti, applicazioni Web
Archivio dati Cache, archiviazione, file di configurazione, database, registro
Flusso di dati File binario, ALPC, HTTP, HTTPS/TLS/SSL, IOCTL, IPSec, named pipe, RPC/DCOM, SMB, UDP
Linea di trust/limite perimetrale Reti aziendali, Internet, computer, Sandbox, modalità utente/kernel

Note/messaggi

Componente Dettagli
Messaggi Logica dello strumento interno che avvisa gli utenti ogni volta che si verifica un errore, ad esempio l'assenza di flussi di dati tra gli elementi.
Note Vengono aggiunte note manuali al file dai team di tecnici nel corso del processo di progettazione e revisione.

Proprietà dell'elemento

Le proprietà dell'elemento variano in base gli elementi selezionati. Oltre ai limiti di trust, tutti gli altri elementi contengono tre selezioni generali:

Proprietà dell'elemento Dettagli
Nome Utile per assegnare nomi a processi, risorse di archiviazione, interazioni e flussi in modo da facilitarne il riconoscimento.
Fuori ambito Se selezionato, l'elemento viene sottratto dalla matrice di generazione delle minacce (scelta non consigliata).
Ragioni per il fuori ambito Campo di giustificazione per informare gli utenti perché è stato selezionato il fuori ambito.

Vengono modificate le proprietà sotto ogni categoria di elemento. Selezionare ogni elemento per controllare le opzioni disponibili. È anche possibile aprire il modello per ottenere altre informazioni. Esaminiamo le funzionalità.

Schermata iniziale

All'apertura dell'app viene visualizzata la schermata di benvenuto.

Aprire un modello

Passare il mouse su Apri un modello per visualizzare due opzioni: Apri da questo computer e Apri da OneDrive. La prima opzione apre la schermata Apri file. La seconda opzione illustra il processo di accesso per OneDrive. Dopo l'autenticazione sarà possibile selezionare file e cartelle.

Aprire un modello

Aprire dal computer o da OneDrive

Commenti, suggerimenti e problemi

Quando si seleziona Commenti, suggerimenti e problemi, visitare il forum di MSDN per gli strumenti di SDL. Consente di vedere opinioni di altri utenti sullo strumento nonché nuove idee e soluzioni alternative.

Screenshot che mostra un pulsante con il testo Feedback, Suggerimenti e problemi.

Visualizzazione progettazione

Quando si apre o crea un nuovo modello, viene aperta la visualizzazione Progettazione.

Aggiungere elementi

È possibile aggiungere elementi nella griglia in due modi:

  • Trascinamento: trascinare l'elemento desiderato sulla griglia. Usare le proprietà dell'elemento per fornire informazioni aggiuntive.
  • Clic con il pulsante destro del mouse: fare clic con il pulsante destro del mouse in un punto qualsiasi della griglia e scegliere voci dal menu a discesa. Verrà visualizzata una rappresentazione generica dell'elemento selezionato.

Connettere elementi

È possibile connettere gli elementi in due modi:

  • Trascinamento: trascinare il flusso di dati desiderato sulla griglia e connettere entrambe le estremità agli elementi appropriati.
  • Clic + MAIUSC: fare clic sul primo elemento (invio di dati), tenere premuto il tasto MAIUSC e quindi selezionare il secondo elemento (ricezione di dati). Fare clic con il pulsante destro del mouse e scegliere Connetti. Se si usa un flusso di dati bidirezionale, l'ordine non è importante.

Proprietà

Per visualizzare le proprietà che possono essere modificate negli stencil, selezionare lo stencil e le informazioni verranno popolate di conseguenza. L'esempio seguente mostra la situazione prima e dopo il trascinamento di uno stencil Database nel diagramma:

Prima

Prima

After

Dopo

Messaggi

Se si crea un modello di minaccia e si dimentica di connettere i flussi di dati agli elementi, viene visualizzata una notifica. È possibile ignorare il messaggio o seguire le istruzioni per risolvere il problema.

Screenshot che mostra un connettore del modello di minaccia non connesso agli elementi, con il messaggio che questo problema causa.

Note

Per aggiungere note al diagramma, passare dalla scheda Messaggi alla scheda Note.

Visualizzazione analisi

Dopo aver compilato il diagramma, selezionare il simbolo Analisi (lente di ingrandimento) sulla barra degli strumenti dei collegamenti per passare alla visualizzazione Analisi.

Visualizzazione analisi

Selezione di minacce generata

Quando si seleziona una minaccia, è possibile usare tre funzioni distinte:

Funzionalità Informazioni
Indicatore letto

La minaccia viene contrassegnata come letta, permettendo di tenere traccia degli elementi rivisti.

Indicatore letto/non letto

Centro di interazione

Viene evidenziata l'interazione nel diagramma appartenente a una minaccia.

Stato attivo dell'interazione

Proprietà delle minacce

Altre informazioni sulla minaccia sono visualizzate nella finestra Proprietà della minaccia.

Proprietà delle minacce

Modifica della priorità

È possibile modificare il livello di priorità di ogni minaccia generata. Colori diversi rendono più semplice identificare le minacce con priorità alta, media e bassa.

Modifica della priorità

Campi modificabili delle proprietà della minaccia

Come illustrato nella figura precedente, è possibile modificare le informazioni generate dallo strumento. È anche possibile aggiungere informazioni a determinati campi, ad esempio la giustificazione. Questi campi vengono generati dal modello. Se sono necessarie altre informazioni per ogni minaccia, è possibile apportare modifiche.

Proprietà delle minacce

Report

Dopo aver completato la modifica delle priorità e aggiornato lo stato di ogni minaccia generata, sarà possibile salvare il file e/o stampare un report. Passare a Crea>report completo. Denominare il report. Verrà visualizzata una schermata simile all'immagine seguente:

Screenshot che mostra un esempio di report di modellazione delle minacce, tra cui un riepilogo, diagrammi e altre informazioni.

Passaggi successivi

  • Inviare domande, commenti e problemi a tmtextsupport@microsoft.com. Scaricare Threat Modeling Tool per iniziare.
  • Per rilasciare un modello alla community, visitare la nostra pagina GitHub.