Automazioni dei payload per il training di simulazione degli attacchi

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di prova di Defender per Office 365 di 90 giorni nell'hub delle versioni di prova del portale Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nella formazione sulla simulazione degli attacchi in Microsoft 365 E5 o Microsoft Defender per Office 365 Piano 2, le automazioni del payload (note anche come raccolta di payload) raccolgono informazioni dagli attacchi di phishing del mondo reale segnalati dagli utenti dell'organizzazione. È possibile specificare le condizioni da cercare negli attacchi di phishing( ad esempio, destinatari, tecnica di ingegneria sociale o informazioni sul mittente).

L'automazione del payload simula i messaggi e i payload dell'attacco e li archivia come payload personalizzati con identificatori nel nome del payload. È quindi possibile usare i payload raccolti in simulazioni o automazioni per avviare automaticamente simulazioni innocue agli utenti di destinazione.

Le automazione del payload si basano sui messaggi di posta elettronica che Defender per Office 365 identificano come campagne di phishing. I payload idonei vengono raccolti dai messaggi segnalati dall'utente recapitati alla posta in arrivo, segnalati come phishing e confermati come phishing da Microsoft. Per maggiori dettagli, consulta Come le automazioni dei payload raccolgono i payload.

Per informazioni introduttive sulla Formazione con simulazione degli attacchi, vedi Introduzione all'uso della Formazione con simulazione degli attacchi.

Per visualizzare eventuali automazioni del payload esistenti create, apri il portale di Microsoft Defender all'indirizzo https://security.microsoft.com, vai alla scheda Email & collaboration>Attack simulation training>Automazioni> e quindi seleziona Automazioni del payload. Per passare direttamente alla scheda Automazioni in cui è possibile selezionare Automazioni payload, usare https://security.microsoft.com/attacksimulator?viewid=automations.

Per ogni automazione del payload vengono visualizzate le informazioni seguenti. È possibile ordinare le automazioni del payload facendo clic su un'intestazione di colonna disponibile.

  • Nome dell'automazione
  • Tipo: il valore è Payload.
  • Elementi raccolti
  • Data ultima modifica
  • Stato: il valore è Pronto o Bozza.

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

  • Scorrere orizzontalmente nel Web browser.
  • Restringere la larghezza delle colonne appropriate.
  • Rimuovere le colonne dalla visualizzazione.
  • Riduci lo zoom nel browser web.

Creare automazioni del payload

Per creare un'automazione del payload, seguire questa procedura:

  1. Nel portale di Microsoft Defender in https://security.microsoft.com/, passare a Posta elettronica e collaborazione>Training di simulazione degli attacchi>Automazioni, scheda >Automazioni payload. Per passare direttamente alla scheda Automazioni in cui è possibile selezionare Automazioni payload, usare https://security.microsoft.com/attacksimulator?viewid=automations.

  2. Nella pagina Automazioni del payload, seleziona Crea automazione per avviare la nuova procedura guidata per l'automazione del payload.

    Il pulsante Crea simulazione nella scheda Automazioni del payload in Training di simulazione degli attacchi nel portale Microsoft Defender

    Nota

    In qualsiasi momento dopo aver assegnato il nome all'automazione del payload durante la creazione guidata di automazione del payload, è possibile selezionare Salva e chiudi per salvare lo stato di avanzamento e continuare a configurare l'automazione del payload in un secondo momento. L'automazione del payload incompleta ha il valore StatoBozza nelle automazioni payload nella scheda Automazioni . È possibile riprendere da dove si è interrotto selezionando l'automazione del payload e facendo clic su Modifica automazione.

    Attualmente, la raccolta del payload non è abilitata negli ambienti GCC a causa delle restrizioni di raccolta dei dati.

  3. Nella pagina Nome automazione configurare le impostazioni seguenti:

    • Nome: immettere un nome descrittivo univoco per l'automazione del payload.
    • Descrizione: immettere una descrizione dettagliata facoltativa per l'automazione del payload.

    Al termine della pagina Nome automazione , selezionare Avanti.

  4. Nella pagina Condizioni di esecuzione selezionare le condizioni dell'attacco di phishing reale che determina quando viene eseguita l'automazione.

    Selezionare Aggiungi condizione e quindi selezionare una delle condizioni seguenti:

    • No. degli utenti interessati nella campagna: nelle caselle visualizzate configurare le impostazioni seguenti:
      • Uguale a, Minore di, Maggiore di, Minore o uguale a o Maggiore di o uguale a.
      • Inserisci il valore: Il numero di utenti presi di mira dalla campagna di phishing.
    • Campagne con una tecnica di phish specifica: nella casella visualizzata selezionare uno dei valori disponibili:
      • Raccolta di credenziali
      • Allegato contenente malware
      • Collegamento in allegato.
      • Collegamento a malware
      • Guida pratica
    • Dominio mittente specifico: nella casella visualizzata immettere un valore di dominio di posta elettronica del mittente (ad esempio, contoso.com).
    • Nome mittente specifico: nella casella visualizzata immettere un valore per il nome del mittente.
    • Indirizzo di posta elettronica del mittente specifico: nella casella visualizzata immettere un indirizzo di posta elettronica del mittente.
    • Destinatari specifici di utenti e gruppi: nella casella visualizzata iniziare a digitare il nome o l'indirizzo di posta elettronica dell'utente o del gruppo. Quando viene visualizzato, selezionarlo.

    È possibile usare ogni condizione una sola volta. Più condizioni usano la logica AND (<Condition1> e <Condition2>).

    Per aggiungere un'altra condizione, selezionare Aggiungi condizione.

    Per rimuovere una condizione dopo l'aggiunta, selezionare .

    Al termine della pagina Condizioni di esecuzione , selezionare Avanti.

  5. Nella pagina Verifica automazione è possibile esaminare i dettagli dell'automazione del payload.

    È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.

    Quando hai finito nella pagina Rivedi automazione, seleziona Invia.

  6. Nella pagina Nuova automazione creata è possibile usare i collegamenti per attivare l'automazione del payload o passare alla pagina Simulazioni .

    Al termine, selezionare Fine.

  7. Tornando alle automazioni del payload nella scheda Automazioni , l'automazione del payload creata è ora elencata con il valore StatoPronto.

Attivare o disattivare le automazioni del payload

È possibile attivare o disattivare le automazioni del payload con il valore StatoPronto. Non è possibile attivare o disattivare le automazioni del payload incomplete con il valore StatoBozza.

Per attivare un'automazione del payload, selezionarla dall'elenco facendo clic sulla casella di controllo accanto al nome. Selezionare l'azione Attiva visualizzata e quindi selezionare Conferma nella finestra di dialogo.

Per disattivare un'automazione del payload, selezionarla dall'elenco facendo clic sulla casella di controllo accanto al nome. Selezionare l'azione Disattiva visualizzata e quindi selezionare Conferma nella finestra di dialogo.

Modificare le automazioni del payload

È possibile modificare solo le automazioni del payload con il valore StatoBozza o che sono disattivate.

Per modificare un'automazione del payload esistente nella pagina Automazioni payload , eseguire una delle operazioni seguenti:

  • Selezionare l'automazione del payload dall'elenco selezionando la casella di controllo accanto al nome. Selezionare l'azione Modifica automazione visualizzata.
  • Selezionare l'automazione del payload dall'elenco facendo clic in qualsiasi punto della riga, ad eccezione della casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato, nella scheda Generale selezionare Modifica nelle sezioni Nome, Descrizione o Condizioni di esecuzione .

Verrà visualizzata la procedura guidata di automazione del payload con le impostazioni e i valori dell'automazione del payload selezionata. La procedura guidata usa le stesse pagine: Nome automazione (nome e descrizione), Condizioni di esecuzione (criteri di attacco di phishing) e Verifica automazione (rivedere e inviare). Per una descrizione dettagliata di ciascuna pagina, vedi Creare automazioni del payload.

Rimuovere le automazioni del payload

Avvertimento

Questa azione non può essere annullata. Quando si elimina un'automazione del payload, vengono eliminati anche tutti i payload raccolti e la cronologia di esecuzione per tale automazione.

Per rimuovere un'automazione del payload, selezionarla dall'elenco facendo clic sulla casella di controllo. Selezionare l'azione Elimina visualizzata e quindi selezionare Conferma nella finestra di dialogo.

Visualizzare i dettagli di automazione del payload

Per visualizzare i dettagli, l'automazione del payload deve avere il valore StatoPronto. Nella pagina Automazioni payload, fare clic in un punto qualsiasi della riga, tranne sulla casella di controllo. Viene visualizzato un riquadro a comparsa dei dettagli con le informazioni seguenti:

  • Nome dell'automazione e numero di elementi raccolti.

  • Scheda Generale:

    • Data ultima modifica
    • Tipo: il valore è Payload.
    • Sezioni Nome, Descrizione e Condizioni di esecuzione : selezionare Modifica per aprire la procedura guidata per tale pagina.
  • Scheda Cronologia di esecuzione : disponibile solo quando Lo stato è Pronto.

    Mostra la cronologia di esecuzione delle simulazioni che hanno usato questa automazione.

    La scheda Cronologia esecuzioni nel riquadro a comparsa dei dettagli di un'automazione del payload.

Consiglio

Per visualizzare i dettagli di altre automazioni del payload senza uscire dal riquadro dei dettagli, usa Elemento precedente e Elemento successivo nella parte superiore del riquadro.

Appendice: Come le automazioni dei payload raccolgono i payload

L'automazione del payload si basa sui messaggi di posta elettronica identificati come campagne da Defender per Office 365:

  • Il fatto che gli amministratori contrassegnino i messaggi come phishing non comporta la raccolta del payload.

  • L'automazione del payload richiede l'accesso al payload non elaborato. Il payload grezzo è il contenuto originale dell'email, incluse le intestazioni, il corpo, i collegamenti e gli allegati. I payload non elaborati provengono dai messaggi segnalati dall'utente che soddisfano i criteri seguenti:

    • Il messaggio è stato recapitato nella Posta in arrivo (falso negativo).
    • L'utente ha segnalato il messaggio come phishing.
    • Il messaggio è stato inviato a Microsoft (dall'utente o da un amministratore dal portale invii). Microsoft ha quindi confermato che il messaggio era un tentativo di phishing.
  • I payload vengono raccolti quando i messaggi soddisfano le condizioni di esecuzione impostate per l'automazione. Gli esempi includono il numero di utenti di destinazione, tecnica di phishing, dominio del mittente o destinatari specifici. Per i dettagli, vedi il passaggio 4 di Creare automazioni del payload.

Introduzione alla formazione sull’uso di Simulatore di attacchi

Automazioni di simulazione per Formazione con simulazione degli attacchi

Acquisire informazioni approfondite attraverso la formazione del Simulatore di attacchi