Condividi tramite

Automazioni del payload per il training della simulazione degli attacchi

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Nel training di simulazione degli attacchi in Microsoft 365 E5 o Microsoft Defender per Office 365 Piano 2, le automazioni del payload (note anche come raccolta del payload) raccolgono informazioni dagli attacchi di phishing reali segnalati dagli utenti dell'organizzazione. È possibile specificare le condizioni da cercare negli attacchi di phishing( ad esempio, destinatari, tecnica di ingegneria sociale o informazioni sul mittente).

L'automazione del payload simula i messaggi e i payload dell'attacco e li archivia come payload personalizzati con identificatori nel nome del payload. È quindi possibile usare i payload raccolti in simulazioni o automazioni per avviare automaticamente simulazioni innocue agli utenti di destinazione.

Per informazioni dettagliate sulla modalità di raccolta delle automazioni del payload, vedere la sezione Appendice alla fine di questo articolo.

Per informazioni introduttive sulla Formazione con simulazione degli attacchi, vedi Introduzione all'uso della Formazione con simulazione degli attacchi.

Per visualizzare le automazioni del payload esistenti create, aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com, passare alla scheda >Posta elettronica & collaborazione>Training di simulazione> attacchiautomazioni e quindi selezionare Automazioni payload. Per passare direttamente alla scheda Automazioni in cui è possibile selezionare Automazioni payload, usare https://security.microsoft.com/attacksimulator?viewid=automations.

Per ogni automazione del payload vengono visualizzate le informazioni seguenti. È possibile ordinare le automazioni del payload facendo clic su un'intestazione di colonna disponibile.

  • Nome automazione
  • Tipo: il valore è Payload.
  • Elementi raccolti
  • Data ultima modifica
  • Stato: il valore è Pronto o Bozza.

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

  • Scorrere orizzontalmente nel Web browser.
  • Restringere la larghezza delle colonne appropriate.
  • Rimuovere le colonne dalla visualizzazione.
  • Ridurre lo zoom indietro nel Web browser.

Creare automazioni del payload

Per creare un'automazione del payload, seguire questa procedura:

  1. Nel portale di Microsoft Defender in https://security.microsoft.com/passare a Posta elettronica & collaborazione>Formazione sulla simulazione>degli attacchi Automazioni scheda >Automazioni del payload. Per passare direttamente alla scheda Automazioni in cui è possibile selezionare Automazioni payload, usare https://security.microsoft.com/attacksimulator?viewid=automations.

  2. Nella pagina Automazioni payload selezionare Crea automazione per avviare la procedura guidata di automazione del payload.

    Pulsante Crea simulazione nella scheda Automazioni payload nel training della simulazione degli attacchi nel portale di Microsoft Defender

    Nota

    In qualsiasi momento dopo aver assegnato il nome all'automazione del payload durante la creazione guidata di automazione del payload, è possibile selezionare Salva e chiudi per salvare lo stato di avanzamento e continuare a configurare l'automazione del payload in un secondo momento. L'automazione del payload incompleta ha il valore StatoBozza nelle automazioni payload nella scheda Automazioni . È possibile riprendere da dove si è interrotto selezionando l'automazione del payload e facendo clic su Modifica automazione.

    Attualmente, la raccolta del payload non è abilitata negli ambienti GCC a causa delle restrizioni di raccolta dei dati.

  3. Nella pagina Nome automazione configurare le impostazioni seguenti:

    • Nome: immettere un nome descrittivo univoco per l'automazione del payload.
    • Descrizione: immettere una descrizione dettagliata facoltativa per l'automazione del payload.

    Al termine della pagina Nome automazione , selezionare Avanti.

  4. Nella pagina Condizioni di esecuzione selezionare le condizioni dell'attacco di phishing reale che determina quando viene eseguita l'automazione.

    Selezionare Aggiungi condizione e quindi selezionare una delle condizioni seguenti:

    • No. degli utenti interessati nella campagna: nelle caselle visualizzate configurare le impostazioni seguenti:
      • Uguale a, Minore di, Maggiore di, Minore o uguale a o Maggiore di o uguale a.
      • Immettere il valore: numero di utenti a cui è stata assegnata la campagna di phishing.
    • Campagne con una tecnica di phish specifica: nella casella visualizzata selezionare uno dei valori disponibili:
      • Raccolta credenziali
      • Allegato malware
      • Collegamento in allegato.
      • Collegamento a malware
      • Guida pratica
    • Dominio mittente specifico: nella casella visualizzata immettere un valore di dominio di posta elettronica del mittente (ad esempio, contoso.com).
    • Nome mittente specifico: nella casella visualizzata immettere un valore per il nome del mittente.
    • Indirizzo di posta elettronica del mittente specifico: nella casella visualizzata immettere un indirizzo di posta elettronica del mittente.
    • Destinatari specifici di utenti e gruppi: nella casella visualizzata iniziare a digitare il nome o l'indirizzo di posta elettronica dell'utente o del gruppo. Quando viene visualizzato, selezionarlo.

    È possibile usare ogni condizione una sola volta. Più condizioni usano la logica AND (<Condition1> e <Condition2>).

    Per aggiungere un'altra condizione, selezionare Aggiungi condizione.

    Per rimuovere una condizione dopo l'aggiunta, selezionare .

    Al termine della pagina Condizioni di esecuzione , selezionare Avanti.

  5. Nella pagina Verifica automazione è possibile esaminare i dettagli dell'automazione del payload.

    È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.

    Al termine, nella pagina Verifica automazione selezionare Invia.

  6. Nella pagina Nuova automazione creata è possibile usare i collegamenti per attivare l'automazione del payload o passare alla pagina Simulazioni .

    Al termine, selezionare Fine.

  7. Tornando alle automazioni del payload nella scheda Automazioni , l'automazione del payload creata è ora elencata con il valore StatoPronto.

Attivare o disattivare le automazioni del payload

È possibile attivare o disattivare le automazioni del payload con il valore StatoPronto. Non è possibile attivare o disattivare le automazioni del payload incomplete con il valore StatoBozza.

Per attivare un'automazione del payload, selezionarla dall'elenco facendo clic sulla casella di controllo accanto al nome. Selezionare l'azione Attiva visualizzata e quindi selezionare Conferma nella finestra di dialogo.

Per disattivare un'automazione del payload, selezionarla dall'elenco facendo clic sulla casella di controllo accanto al nome. Selezionare l'azione Disattiva visualizzata e quindi selezionare Conferma nella finestra di dialogo.

Modificare le automazioni del payload

È possibile modificare solo le automazioni del payload con il valore StatoBozza o che sono disattivate.

Per modificare un'automazione del payload esistente nella pagina Automazioni payload , eseguire una delle operazioni seguenti:

  • Selezionare l'automazione del payload dall'elenco selezionando la casella di controllo accanto al nome. Selezionare l'azione Modifica automazione visualizzata.
  • Selezionare l'automazione del payload dall'elenco facendo clic in un punto qualsiasi della riga, ad eccezione della casella di controllo . Nel riquadro a comparsa dei dettagli visualizzato, nella scheda Generale selezionare Modifica nelle sezioni Nome, Descrizione o Condizioni di esecuzione .

Verrà visualizzata la procedura guidata di automazione del payload con le impostazioni e i valori dell'automazione del payload selezionata. I passaggi sono gli stessi descritti nella sezione Creare automazioni del payload .

Rimuovere le automazioni del payload

Per rimuovere un'automazione del payload, selezionare l'automazione del payload dall'elenco facendo clic sulla casella di controllo. Selezionare l'azione Elimina visualizzata e quindi selezionare Conferma nella finestra di dialogo.

Visualizzare i dettagli di automazione del payload

Per le automazioni del payload con il valore StatoPronto, selezionare il payload nella pagina Automazioni payload facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Il riquadro a comparsa dei dettagli aperto contiene le informazioni seguenti:

  • Nome dell'automazione del payload e numero di elementi raccolti.

  • Scheda Generale:

    • Data ultima modifica
    • Tipo: il valore è Payload.
    • Sezioni Nome, Descrizione ed Esegui condizioni : selezionare Modifica per aprire l'automazione guidata payload nella pagina correlata.

  • Scheda Cronologia esecuzione : questa scheda è disponibile solo per le automazioni del payload con il valore StatoPronto.

    Mostra informazioni sulla cronologia di esecuzione delle simulazioni che hanno usato l'automazione del payload.

    Scheda Cronologia esecuzioni nel riquadro a comparsa dettagli di un'automazione del payload.

Consiglio

Per visualizzare i dettagli su altre automazioni del payload senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

Appendice

L'automazione del payload si basa sui messaggi di posta elettronica identificati come campagne da Defender per Office 365:

  • Gli amministratori che contrassegnano i messaggi come phishing non comportano la raccolta del payload.

  • L'automazione del payload richiede l'accesso al payload non elaborato, che può includere messaggi segnalati dall'utente che soddisfano i criteri seguenti:

    • Il messaggio è stato recapitato alla posta in arrivo (false negative).
    • L'utente ha segnalato il messaggio come phishing.
    • Il messaggio segnalato è stato inviato a Microsoft (direttamente dall'utente o da un amministratore dal portale degli invii) e Microsoft ha determinato che il messaggio era di phishing.

  • I payload idonei vengono raccolti se i messaggi soddisfano i criteri dell'automazione del payload come descritto in precedenza in questo articolo (Passaggio 4 in Creare automazioni del payload).

Introduzione alla formazione sull’uso di Simulatore di attacchi

Automazioni di simulazione per il training della simulazione degli attacchi

Acquisire informazioni approfondite attraverso la formazione del Simulatore di attacchi