Informazioni dettagliate sulla rappresentazione in Defender per Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

La rappresentazione è quando il mittente di un messaggio di posta elettronica è simile all'indirizzo di posta elettronica di un mittente reale o previsto. Gli utenti malintenzionati usano spesso indirizzi di posta elettronica del mittente rappresentati nel phishing o in altri tipi di attacchi per ottenere l'attendibilità del destinatario. Esistono due tipi di rappresentazione di base:

• Rappresentazione del dominio: contiene sottili differenze nel dominio. Ad esempio, lila@ćóntoso.com rappresenta lila@contoso.com.
• Rappresentazione utente: contiene sottili differenze nell'alias di posta elettronica. Ad esempio, rnichell@contoso.com rappresenta michelle@contoso.com.

La rappresentazione del dominio è diversa dallo spoofing del dominio, perché il dominio rappresentato è spesso un dominio reale registrato, ma con l'intento di ingannare. I messaggi provenienti da mittenti nel dominio rappresentato sono in grado di passare controlli di autenticazione della posta elettronica regolari che altrimenti identificherebbero i messaggi come tentativi di spoofing (SPF, DKIM e DMARC).

La protezione dalla rappresentazione fa parte delle impostazioni dei criteri anti-phishing esclusive per Microsoft Defender per Office 365. Per altre informazioni su queste impostazioni, vedere Impostazioni di rappresentazione nei criteri anti-phishing in Microsoft Defender per Office 365.

Gli amministratori possono usare le informazioni dettagliate sulla rappresentazione nel portale di Microsoft Defender per identificare rapidamente i messaggi provenienti da mittenti o domini mittente rappresentati specificati nella protezione della rappresentazione nei criteri anti-phishing.

Che cosa è necessario sapere prima di iniziare?

• Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing. Per passare direttamente alla pagina Informazioni dettagliate sulla rappresentazione , usare https://security.microsoft.com/impersonationinsight.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
  • Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: Appartenenza a uno dei gruppi di ruoli seguenti:
    • Gestione organizzazione
    • Amministratore della sicurezza
    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Lettore globale
  • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore globale, Amministratore della sicurezza, Lettore di sicurezza o Lettore globale offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

• È possibile abilitare e configurare la protezione della rappresentazione nei criteri anti-phishing in Microsoft Defender per Office 365. La protezione della rappresentazione non è abilitata per impostazione predefinita. Per altre informazioni, vedere Configurare i criteri anti-phishing in Microsoft Defender per Office 365 e Usare il portale di Microsoft Defender per assegnare criteri di sicurezza predefiniti Standard e Strict agli utenti.

• Per altre informazioni sui requisiti di licenza, vedere Condizioni di licenza.

Aprire le informazioni dettagliate sulla rappresentazione nel portale di Microsoft Defender

Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia >Anti-phishing nella sezione Criteri. In alternativa, per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

Nella pagina Anti-phishing le informazioni dettagliate sulla rappresentazione sono simili alle seguenti:

I dati analitici sono disponibili in due modalità:

• Modalità informazioni dettagliate: se la protezione dalla rappresentazione è abilitata e configurata in eventuali criteri anti-phishing, le informazioni dettagliate mostrano il numero di messaggi rilevati da domini rappresentati e utenti rappresentati (mittenti) negli ultimi sette giorni. Il numero visualizzato è il totale di tutti i tentativi di rappresentazione rilevati da tutti i criteri anti-phishing.
• Modalità if: se la protezione dalla rappresentazione non è abilitata e configurata in criteri anti-phishing attivi, le informazioni dettagliate mostrano quanti messaggi sarebbero stati rilevati dalla protezione della rappresentazione negli ultimi sette giorni.

Per visualizzare le informazioni sui rilevamenti di rappresentazione, selezionare Visualizza rappresentazione nelle informazioni dettagliate sulla rappresentazione per passare alla pagina Informazioni dettagliate sulla rappresentazione .

Visualizzare informazioni sui rilevamenti di rappresentazione del dominio

La pagina https://security.microsoft.com/impersonationinsightInformazioni dettagliate sulla rappresentazione in è disponibile quando si seleziona Visualizza rappresentazione nelle informazioni dettagliate sulla rappresentazione nella pagina Anti-phishing.

Nella pagina Informazioni dettagliate sulla rappresentazione verificare che la scheda Domini sia selezionata.

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:^*

• Dominio mittente: dominio di rappresentazione, ovvero il dominio usato per inviare il messaggio di posta elettronica.
• Numero di messaggi: numero di messaggi provenienti dalla rappresentazione del dominio del mittente negli ultimi sette giorni.
• Tipo di rappresentazione: questo valore mostra il percorso rilevato della rappresentazione, ad esempio Dominio nell'indirizzo.
• Domini rappresentati: dominio protetto dalla protezione della rappresentazione del dominio, che dovrebbe essere simile al dominio nel dominio mittente.
• Tipo di dominio: questo valore è Dominio aziendale per i domini accettati o Dominio personalizzato per i domini personalizzati.
• Criterio: i criteri anti-phishing che hanno rilevato il dominio rappresentato.
• Rappresentazione consentita: uno dei valori seguenti:
  • Sì: il dominio è stato configurato come dominio attendibile (eccezione per la protezione dalla rappresentazione) nei criteri anti-phishing che hanno rilevato il messaggio. Sono stati rilevati messaggi dal dominio rappresentato, ma consentiti.
  • No: il dominio è stato configurato per la protezione dalla rappresentazione nei criteri anti-phishing che hanno rilevato il messaggio. L'azione per i rilevamenti di rappresentazione del dominio nei criteri anti-phishing viene eseguita nel messaggio.

^* Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Ridurre lo zoom indietro nel Web browser.

Per modificare l'elenco dei rilevamenti di rappresentazione del dominio da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco su compatta o normale e quindi selezionare Elenco compatto.

Usare la casella Search e un elenco di valori delimitati da virgole per trovare rilevamenti di rappresentazione di dominio specifici.

Usare Esporta per esportare l'elenco dei rilevamenti di rappresentazione del dominio in un file CSV.

Visualizzare i dettagli relativi al rilevamento della rappresentazione del dominio

Nella scheda Domini della pagina Informazioni dettagliate sulla rappresentazione in https://security.microsoft.com/impersonationinsight?type=Domainselezionare uno dei rilevamenti di rappresentazione facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.

Le informazioni seguenti sono disponibili nel riquadro a comparsa dettagli:

• Perché l'abbiamo preso?

• Cosa devi fare?

• Riepilogo del dominio: dominio rilevato come rappresentazione.

• Dati Whois: contiene informazioni sul dominio:

  • Posizione del mittente
  • Data di creazione del dominio
  • Data di scadenza del dominio
  • Dichiarante

• Esplora informazioni: selezionare il collegamento per aprire Esplora minacce o rilevamenti in tempo reale per ulteriori dettagli sul mittente.

• Email dal mittente: questa sezione mostra le informazioni seguenti sui messaggi simili provenienti da mittenti nel dominio:

  • Data
  • Destinatario
  • Oggetto
  • Mittente
  • Indirizzo IP mittente
  • Azione di recapito

Consiglio

Per visualizzare i dettagli su altre voci di rappresentazione del dominio senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

Per evitare che i mittenti in un dominio rilevato vengano identificati come rappresentazione del dominio, vedere la sottosezione successiva.

Esentare i mittenti in un dominio rilevato dai controlli di rappresentazione del dominio futuri

Nella scheda Domini della pagina Informazioni dettagliate sulla rappresentazione in https://security.microsoft.com/impersonationinsight?type=Domain, seguire questa procedura per escludere i mittenti in un dominio rilevato dall'essere identificati come rappresentazione di dominio:

Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.

Nel riquadro a comparsa dei dettagli visualizzato usare i criteri Seleziona rappresentazione per modificare e Aggiungi all'elenco di rappresentazione consentito nella parte superiore del riquadro a comparsa. Queste impostazioni interagiscono per aggiungere il dominio all'elenco Mittenti e domini attendibili nei criteri che identificano erroneamente il messaggio come rappresentazione del dominio:

• Selezionare i criteri anti-phishing nell'elenco a discesa. I criteri anti-phishing responsabili del rilevamento del messaggio sono visualizzati nel valore Criteri nella scheda Dominio .

• Attivare l'interruttore : per aggiungere il dominio all'elenco Mittenti e domini attendibili nel criterio selezionato.

  Per rimuovere il dominio dall'elenco Mittenti e domini attendibili , tornare all'interruttore

Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.

Visualizzare informazioni sui rilevamenti di rappresentazione utente

La pagina https://security.microsoft.com/impersonationinsightInformazioni dettagliate sulla rappresentazione in è disponibile quando si seleziona Visualizza rappresentazione nelle informazioni dettagliate sulla rappresentazione nella pagina Anti-phishing.

Nella pagina Informazioni dettagliate sulla rappresentazione selezionare la scheda Utenti .

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:^*

• Mittente: indirizzo di posta elettronica del mittente che rappresenta il messaggio di posta elettronica inviato.
• Numero di messaggi: numero di messaggi provenienti dal mittente che rappresenta gli ultimi sette giorni.
• Tipo di rappresentazione: ad esempio, Utente nel nome visualizzato.
• Utenti rappresentati: nome visualizzato e indirizzo di posta elettronica del mittente protetto dalla protezione della rappresentazione, simile all'indirizzo di posta elettronica nel mittente.
• Tipo di utente: tipo di protezione applicato, ad esempio Utente protetto o Intelligence per le cassette postali.
• Criterio: i criteri anti-phishing che hanno rilevato il mittente rappresentato.
• Rappresentazione consentita: uno dei valori seguenti:
  • Sì: il mittente è stato configurato come utente attendibile (eccezione per la protezione della rappresentazione) nei criteri anti-phishing che hanno rilevato il messaggio. Sono stati rilevati messaggi del mittente rappresentato, ma consentiti.
  • No: il mittente è stato configurato per la protezione dalla rappresentazione nei criteri anti-phishing che hanno rilevato il messaggio. L'azione per i rilevamenti di rappresentazione utente nei criteri anti-phishing viene eseguita nel messaggio.

^* Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Ridurre lo zoom indietro nel Web browser.

Per modificare l'elenco dei rilevamenti di rappresentazione utente da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco su compatta o normale e quindi selezionare Elenco compatto.

Usare la casella Search e un elenco di valori delimitati da virgole per trovare rilevamenti di rappresentazione utente specifici.

Usare Esporta per esportare l'elenco dei rilevamenti di rappresentazione utente in un file CSV.

Visualizzare i dettagli relativi al rilevamento della rappresentazione utente

Nella scheda Utenti della pagina Informazioni dettagliate sulla rappresentazione in https://security.microsoft.com/impersonationinsight?type=Userselezionare uno dei rilevamenti di rappresentazione facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.

Le informazioni seguenti sono disponibili nel riquadro a comparsa dettagli:

• Perché l'abbiamo preso?

• Cosa devi fare?

• Riepilogo mittente: il mittente rilevato come rappresentazione.

• Esplora informazioni: selezionare il collegamento per aprire Esplora minacce o rilevamenti in tempo reale per ulteriori dettagli sul mittente.

• Email dal mittente: questa sezione mostra le informazioni seguenti sui messaggi simili inviati dal mittente:

  • Data
  • Destinatario
  • Oggetto
  • Mittente
  • Indirizzo IP mittente
  • Azione di recapito

Consiglio

Per visualizzare i dettagli sulle altre voci di rappresentazione utente senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

Per evitare che un mittente rilevato venga identificato come rappresentazione utente, vedere la sottosezione successiva.

Esentare un mittente rilevato da controlli di rappresentazione utente futuri

Nella scheda Utenti della pagina Informazioni dettagliate sulla rappresentazione in https://security.microsoft.com/impersonationinsight?type=User, seguire questa procedura per escludere i mittenti rilevati dall'essere identificati come rappresentazione utente:

Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.

Nel riquadro a comparsa dei dettagli visualizzato usare i criteri Seleziona rappresentazione per modificare e Aggiungi all'elenco di rappresentazione consentito nella parte superiore del riquadro a comparsa. Queste impostazioni interagiscono per aggiungere il mittente all'elenco Mittenti e domini attendibili nei criteri che identificano erroneamente il messaggio come rappresentazione utente:

• Selezionare i criteri anti-phishing nell'elenco a discesa. I criteri anti-phishing responsabili del rilevamento del messaggio sono visualizzati nel valore Criteri nella scheda Dominio .

• Attivare l'interruttore: per aggiungere il mittente all'elenco Mittenti e domini attendibili nei criteri selezionati.

  Per rimuovere il mittente dall'elenco Mittenti e domini attendibili , scorrere l'interruttore verso

Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.