Notifiche utente automatiche per i risultati di phishing segnalati dall'utente in AIR

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Nota

Le funzionalità descritte in questo articolo sono attualmente disponibili in anteprima pubblica, non sono disponibili in tutte le organizzazioni e sono soggette a modifiche.

Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online, gli amministratori possono configurare il back-end per i messaggi segnalati dagli utenti come dannosi o non dannosi in Outlook (inviare a Microsoft, inviare a una cassetta postale di report o entrambi) e configurare le varie opzioni di notifica per i messaggi segnalati dall'utente. Per altre informazioni, vedere Impostazioni segnalate dall'utente.

Nelle organizzazioni di Microsoft 365 con Microsoft Defender per Office 365 Piano 2, quando un utente segnala un messaggio come phishing, un'indagine viene creata automaticamente nell'indagine automatizzata e nella risposta (AIR). Gli amministratori possono configurare le impostazioni dei messaggi segnalati dall'utente per inviare una notifica tramite posta elettronica all'utente che ha segnalato il messaggio in base al verdetto di AIR. Questa notifica è nota anche come risposta di feedback automatica.

Questo articolo illustra come abilitare e personalizzare la risposta automatica al feedback per specifici verdetti AIR, come vengono inviati i messaggi di posta elettronica di notifica e come sono le notifiche.

Che cosa è necessario sapere prima di iniziare?

• Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Impostazioni segnalate dall'utente , usare https://security.microsoft.com/securitysettings/userSubmission.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza.
  • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore globale o Amministratore della sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

Usare il portale di Microsoft Defender per configurare la risposta di feedback automatica

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Impostazioni> Email & schedaImpostazioni segnalate dall'utente per lacollaborazione>. Per passare direttamente alla pagina Impostazioni segnalate dall'utente, usare https://security.microsoft.com/securitysettings/userSubmission.

2. Nella pagina Impostazioni segnalate dall'utente verificare che sia selezionata l'opzione Monitoraggio messaggi segnalati in Outlook .

3. Nella sezione Email notifiche>Messaggio di posta elettronica risultati selezionare Invia automaticamente un messaggio di posta elettronica agli utenti i risultati dell'indagine e quindi selezionare una o più delle opzioni seguenti visualizzate:

   • Phishing o malware: viene inviata una notifica tramite posta elettronica all'utente che ha segnalato il messaggio come phishing quando AIR identifica la minaccia come phishing, phishing ad alta attendibilità o malware.
   • Posta indesiderata: viene inviata una notifica tramite posta elettronica all'utente che ha segnalato il messaggio come phishing quando AIR identifica la minaccia come posta indesiderata.
   • Nessuna minaccia trovata: viene inviata una notifica tramite posta elettronica all'utente che ha segnalato il messaggio come phishing quando AIR non identifica alcuna minaccia.

   

4. Il messaggio di posta elettronica di notifica usa lo stesso modello di quando un amministratore seleziona Contrassegna come e invia una notifica nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission.

   È possibile personalizzare il messaggio di posta elettronica di notifica selezionando il collegamento Personalizza i risultati tramite posta elettronica .

   Nel riquadro a comparsa Personalizza notifiche di posta elettronica di revisione amministratore che si apre, configurare le impostazioni seguenti nel phishing (che corrisponde all'opzione risposta di feedback automatico phishing o malware), Junk and No threats found tabs:Customize admin review email notifications that opens, configure the following settings on the Phishing (which correspond to the Phishing or malware automatic feedback response option), Junk and No threats found tabs:In the Customize admin review email notifications that opens, configure the following settings on the Phishing (Che corrisponde all'opzione phishing o malware automatic feedback response), Junk and No threats found tabs:

   • Email testo dei risultati del corpo: immettere il testo personalizzato da usare. È possibile usare testo diverso per phishing, posta indesiderata e nessuna minaccia trovata.
   • Email testo del piè di pagina: immettere il testo del piè di pagina del messaggio personalizzato da usare. Lo stesso testo viene usato per phishing, posta indesiderata e nessuna minaccia trovata.

   

   Al termine del riquadro a comparsa Personalizza notifiche di posta elettronica di revisione amministratore , selezionare Conferma per tornare alla pagina Impostazioni segnalate dall'utente .

Funzionamento della risposta di feedback automatizzata

Dopo aver abilitato la risposta di feedback automatizzata, l'utente che ha segnalato il messaggio come phishing riceve una notifica tramite posta elettronica in base al verdetto AIR e agli utenti selezionati invia automaticamente un messaggio di posta elettronica ai risultati delle opzioni di indagine :

Consiglio

Gli screenshot seguenti mostrano messaggi di posta elettronica di notifica di esempio inviati agli utenti. Come spiegato in precedenza, è possibile personalizzare il messaggio di posta elettronica di notifica usando le opzioni in Personalizzare i risultati nelle impostazioni segnalate dall'utente.

• Nessuna minaccia trovata: se un utente segnala un messaggio come phishing, l'invio attiva AIR nel messaggio segnalato. Se l'indagine non rileva minacce, l'utente che ha segnalato il messaggio riceve un messaggio di posta elettronica di notifica simile al seguente:

  

• Posta indesiderata: se un utente segnala un messaggio come phishing, l'invio attiva AIR nel messaggio segnalato. Se l'indagine rileva che il messaggio è posta indesiderata, l'utente che ha segnalato il messaggio riceve un messaggio di notifica simile al seguente:

  

• Phishing o malware: se un utente segnala un messaggio come phishing, l'invio attiva AIR nel messaggio segnalato. Ciò che accade dopo dipende dai risultati dell'indagine:

  • Phishing o malware con attendibilità elevata: il messaggio deve essere corretto usando una delle azioni seguenti:

    • Approvare l'azione consigliata (visualizzata come azioni in sospeso nell'indagine o nel Centro notifiche).
    • Correzione tramite altri mezzi (ad esempio, Esplora minacce).

    Dopo la correzione del messaggio, l'indagine viene chiusa come correzione o parzialmente correzione. Solo quando lo stato dell'indagine è uno di questi valori è la notifica tramite posta elettronica inviata all'utente che ha segnalato il messaggio.

    Consiglio

    Per il phishing o il malware ad alta attendibilità, l'indagine potrebbe essere immediatamente vicina come correzione se il messaggio non viene trovato nella cassetta postale (il messaggio è stato eliminato). Non è prevista alcuna indagine in sospeso da chiudere, quindi non viene inviata alcuna notifica tramite posta elettronica all'utente che ha segnalato il messaggio.

  • Phishing: l'indagine non crea azioni in sospeso, ma l'utente riceve comunque un messaggio di notifica che indica che il messaggio è stato rilevato come phishing. Il messaggio di posta elettronica di notifica è simile al seguente:

    

Quando AIR raggiunge un verdetto e il messaggio di posta elettronica di notifica viene inviato all'utente che ha segnalato il messaggio come phishing, i valori delle proprietà seguenti vengono visualizzati per la voce nella scheda Utente segnalato nella pagina Invii nel portale di Defender:

• Contrassegnato come: contiene il verdetto.
• Contrassegnato da: il valore è Automazione.

Se il messaggio è stato inviato automaticamente o manualmente a Microsoft per la revisione o se il messaggio è stato esaminato da AIR, il verdetto viene visualizzato nella proprietà Contrassegnato come . Per altre informazioni sulla scheda Segnalati dall'utente nella pagina Invii, vedere Amministrazione opzioni per i messaggi segnalati dall'utente.

Ulteriori informazioni

Per altre informazioni su invii e indagini in Defender per Microsoft 365, vedere gli articoli seguenti:

• Indagine e risposta automatizzate in Microsoft Defender per Office 365
• Visualizzare i risultati di un'indagine automatizzata in Microsoft 365
• Revisione amministratore per i messaggi segnalati
• Funzionamento dell'indagine e della risposta automatizzate in Microsoft Defender per Office 365