Payload nella formazione per la simulazione degli attacchi

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di prova di Defender per Office 365 di 90 giorni nell'hub delle versioni di prova del portale Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nella formazione basata sulla simulazione degli attacchi in Microsoft 365 E5 o Microsoft Defender per Office 365 Piano 2, un payload è il collegamento, il codice QR o l'allegato contenuti nel messaggio email di phishing simulato visualizzato dagli utenti. La formazione con simulazione degli attacchi offre un solido catalogo integrato di payload per le tecniche di ingegneria sociale disponibili. Tuttavia, potrebbe essere necessario creare payload personalizzati che funzionino meglio per l'organizzazione.

Per informazioni introduttive sulla Formazione con simulazione degli attacchi, vedi Introduzione all'uso della Formazione con simulazione degli attacchi.

Per visualizzare i payload disponibili, aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com, passare alla scheda Email & collaboration>Attack simulation training>Content library> e quindi selezionare Payloads. In alternativa, per passare direttamente alla scheda Raccolta contenuto in cui è possibile selezionare Payload, usare https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

I payload nella scheda Raccolta contenuto hanno tre schede:

  • Payload globali: contiene i payload predefiniti e non modificabili. Questi payload sono basati su attacchi reali osservati nei data center Microsoft. Anche se non esiste una pianificazione di rilascio specifica, in genere ogni mese sono in media da 30 a 40 nuovi payload.
  • Payload del tenant: Contiene i payload personalizzati che hai creato.
  • Raccomandazioni MDO: i payload consigliati da Defender per Office 365 hanno un impatto notevole quando vengono usati dagli utenti malintenzionati. Le raccomandazioni si basano su campagne identificate e su un tasso di compromissione stimato elevato. Questo elenco viene aggiornato mensilmente. Se non è presente alcuna attività di campagna recente nell'organizzazione (meno di 60 giorni), la scheda Raccomandazioni MDO potrebbe essere vuota.

Nota

Le indicazioni su marchio, logo e brand relative ai payload si applicano allo stesso modo ai payload globali (payload integrati forniti da Microsoft) e ai payload del tenant (payload personalizzati che si creano). Per maggiori dettagli sulle considerazioni legali, vedi Creazione di payload.

Microsoft fornisce payload di training di simulazione degli attacchi per aiutare i clienti a simulare tecniche di attacco reali. Microsoft non fornisce consulenza legale e i clienti rimangono responsabili della determinazione dell'uso appropriato di eventuali payload nel proprio ambiente. Per domande relative alle leggi applicabili, all'uso dei marchi o ad altre considerazioni legali, i clienti devono consultare i propri consulenti legali.

Le informazioni disponibili nelle schede MDO recommendations, Global payloads e Tenant payloads sono descritte nell'elenco seguente:

  • Scheda Raccomandazioni MDO : per ogni payload vengono visualizzate le informazioni seguenti:

    • Nome del payload
    • Tasso compromesso (%)
    • Consigliato da
    • Data e ora raccomandazione
  • Nelle schede Payload globali e Payload tenant: per ogni payload vengono visualizzate le informazioni seguenti. È possibile ordinare i payload facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Le colonne predefinite sono contrassegnate con un asterisco (*):

    • Nome del payload*
    • Tipo*: attualmente questo valore è sempre Progettazione sociale.
    • Piattaforma
    • Tecnica*: una delle tecniche di ingegneria sociale disponibili:
      • Raccolta di credenziali
      • Allegato contenente malware
      • Collegamento in allegato.
      • Collegamento a malware
      • URL drive-by
      • Concessione del consenso per OAuth
      • Guida pratica
    • Lingua*: se il payload contiene più traduzioni, le prime due lingue vengono visualizzate direttamente. Per visualizzare le lingue rimanenti, passare il puntatore del mouse sull'icona numerica , ad esempio +10.
    • Simulazioni avviate*: numero di simulazioni avviate che usano il payload.
    • Source
    • Velocità compromessa prevista (%)*: dati cronologici in Microsoft 365 che stimano la percentuale di persone che verranno compromesse da questo payload (utenti compromessi/numero totale di utenti che ricevono il payload). Per altre informazioni, vedere Velocità di compromissione prevista.
    • Creato da*: per i payload predefiniti, il valore è Microsoft. Per i payload personalizzati, il valore è lo User Principal Name (UPN) dell'utente che ha creato il payload.
    • Ultima modifica*
    • Stato*: i valori sono:
      • Pronto
      • Bozza: disponibile solo nella scheda Payload tenant .
      • Archivio: i payload archiviati sono visibili solo se Mostra payload archiviati è attivato su .
    • (controllo Azioni)*: Esegui un'azione sul payload. Le azioni disponibili dipendono dal valore stato del payload come descritto in Modificare payload, Copiare payload, Archiviare payload e Inviare un test. Questo controllo viene sempre visualizzato alla fine della riga del payload.

    Consiglio

    Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

    • Scorrere orizzontalmente nel Web browser.
    • Restringere la larghezza delle colonne appropriate.
    • Rimuovere le colonne dalla visualizzazione.
    • Riduci lo zoom nel browser web.

    Per trovare un payload nell'elenco, digitare parte del nome del payload nella casella Di ricerca e quindi premere INVIO.

    Selezionare questa opzione per filtrare i payload in base a uno o ai valori seguenti:

    • Tecnica: una delle tecniche di ingegneria sociale disponibili:

      • Raccolta di credenziali
      • Allegato contenente malware
      • Collegamento in allegato.
      • Collegamento a malware
      • URL drive-by
      • Concessione del consenso per OAuth
      • Guida pratica
    • Complessità: calcolato in base al numero di indicatori nel payload che indicano un possibile attacco (errori di ortografia, urgenza e così via). Più indicatori sono più facili da identificare come attacco e indicano una minore complessità. I valori disponibili sono: Alto, Medio e Basso.

    • Lingua: I valori disponibili sono: English, Spanish, German, Japanese, French, Portuguese, Dutch, Italian, Swedish, Cinese (semplificato), Cinese (tradizionale, Taiwan), Norvegese Bokmål, Polacco, Russian, Finlandese, Korean, Turkish, Hungarian, Tailandese, Arabic, Vietnamita, Slovacco, Greco, Indonesiano, Rumeno, Sloveno, Croato, Catalano e Altro.

    • Aggiungere tag

    • Filtra per tema: i valori disponibili sono: Attivazione account, Verifica account, Fatturazione, Pulizia della posta, Documento ricevuto, Spese, Fax, Report finanziario, Messaggi in arrivo, Fattura, Articolo ricevuto, Avviso di accesso, Posta ricevuta, Password, Pagamento, Buste paga, Offerta personalizzata, Quarantena, Lavoro da remoto, Rivedi messaggio, Aggiornamento di sicurezza, Servizio sospeso, Firma richiesta, Aumenta lo spazio di archiviazione della casella di posta, Verifica casella di posta, Segreteria telefonica e Altro.

    • Filtra per marca: i valori disponibili sono: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud e Altro.

    • Filtro per settore: i valori disponibili sono: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, e Altro.

    • Evento corrente: i valori disponibili sono o No.

    • Controverso: i valori disponibili sono o No.

    Al termine della configurazione dei filtri, selezionare Applica, Annulla o Cancella filtri.

Quando si seleziona un payload facendo clic in qualsiasi punto della riga, tranne che sulla casella di controllo accanto al nome, viene visualizzato un riquadro a comparsa con i dettagli seguenti:

  • Scheda Panoramica : visualizzare il payload come viene visualizzato dagli utenti. Sono visibili anche le proprietà del payload:

    • Descrizione del payload
    • Nome del mittente
    • Da un messaggio di posta elettronica
    • Oggetto e-mail
    • Origine: per i payload predefiniti, il valore è Globale. Per i payload personalizzati, il valore è Tenant.
    • Frequenza clic
    • Simulazioni avviate
    • Theme
    • Marchio
    • Settore
    • Controverso
    • Velocità di compromissione stimata
    • Evento corrente
    • Etichette
  • Scheda Simulazioni avviate :

    • Nome della simulazione
    • Frequenza clic
    • Tasso compromesso
    • Azione: facendo clic sul collegamento Visualizza dettagli è possibile visualizzare i dettagli della simulazione.

Per visualizzare i payload archiviati (il valore Stato è Archivio), usare l'interruttore Mostra payload archiviati nella scheda Payload tenant.

Contenuti del codice QR

Nella scheda Payload globali di Libreria contenuti>Payload in https://security.microsoft.com/attacksimulator?viewid=contentlibrary&source=global, è possibile visualizzare i payload di codice QR integrati e non modificabili digitando QR nella casella Cerca e quindi premendo il tasto ENTER.

I contenuti dei codici QR sono disponibili in cinque lingue per rispecchiare scenari reali che prevedono attacchi tramite codici QR.

Schermata della scheda Payload globali che mostra i payload dei codici QR restituiti dopo la ricerca del valore QR.

Puoi anche creare payload personalizzati che utilizzano codici QR come link di phishing, come descritto in Creare payload.

Consiglio

Prima di utilizzare un payload di un codice QR nelle simulazioni, assicurati di esaminare i campi e il contenuto disponibili al suo interno.

Creare payload

Usare la procedura seguente per creare un payload personalizzato nella scheda Payload tenant .

Nota

  • Alcuni marchi, loghi, simboli, insegne e altri identificatori di origine ricevono una maggiore protezione in base agli statuti e alle leggi locali, statali e federali. L'uso non autorizzato di tali indicatori può sottoporre gli utenti a sanzioni, incluse le multe penali. Anche se non si tratta di un elenco esaustivo, comprende i sigilli presidenziale, vicepresidenziale e del Congresso, la CIA, l'FBI, la Social Security, Medicare e Medicaid, l'Internal Revenue Service degli Stati Uniti e le Olimpiadi. Oltre a queste categorie di marchi, l'uso e la modifica di qualsiasi marchio di terze parti comporta un rischio intrinseco. L'uso di marchi e logo personalizzati in un payload sarebbe meno rischioso, in particolare quando l'organizzazione consente l'uso. Se hai domande legali sull'utilizzo del logo e del marchio, consulta i tuoi consulenti legali.

  • Microsoft consente ai clienti di utilizzare i nostri loghi e gli elementi del marchio nei payload personalizzati all'interno di Simulazione di attacco per la formazione, purché i loghi e gli elementi del marchio siano utilizzati solo come parte del contenuto della simulazione. La pagina di destinazione per l'utente deve contenere un disclaimer ben visibile e impossibile da ignorare, che indichi chiaramente che Microsoft non è associata all'esercizio di simulazione e non lo approva, né che si trattasse di un'e-mail reale proveniente da Microsoft o ad essa associata. È possibile usare il testo della pagina di destinazione globale di Microsoft come riferimento:

    Il messaggio su cui si è appena fatto clic è una simulazione di messaggi di phishing. Non si tratta di un messaggio reale del proprietario del marchio o del logo presente nella simulazione. I marchi e i loghi presenti nella simulazione possono essere di proprietà dei rispettivi proprietari e non sono in alcun modo associati o associati alla simulazione, né hanno i proprietari di tali marchi e loghi autorizzati, sponsorizzati o approvati l'uso di tali marchi e loghi nella simulazione.

  1. Nel portale di Microsoft Defender, vai a https://security.microsoft.comPosta elettronica e collaborazione>Training di simulazione degli attacchi>Raccolta contenuto scheda >Payload>Payload del tenant scheda. Per passare direttamente alla scheda Raccolta contenuto, in cui puoi selezionare Payload e la scheda Payload del tenant, usa https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

    Nella scheda Payload del tenant, selezionare Crea un payload per avviare la procedura guidata di creazione di un nuovo payload.

    Crea un payload nella scheda Payload del tenant in Payload in Training di simulazione degli attacchi nel portale di Microsoft Defender.

    Nota

    In qualsiasi momento dopo aver assegnato il nome al payload durante la procedura guidata per il nuovo payload, è possibile selezionare Salva e chiudi per salvare lo stato di avanzamento e continuare in un secondo momento. Il payload incompleto ha il valore StatoBozza. È possibile riprendere il percorso in cui si è interrotto selezionando il payload e quindi facendo clic sull'azione Modifica payload visualizzata.

    È anche possibile creare payload durante la creazione di simulazioni. Per altre informazioni, vedere Creare una simulazione: selezionare un payload e una pagina di accesso.

  2. Nella pagina Seleziona tipo selezionare Email e quindi selezionare Avanti.

  3. Nella pagina Selezione tecnica le opzioni disponibili sono le stesse della pagina Selezione tecnica della nuova procedura guidata di simulazione:

    • Furto di credenziali*
    • Allegato contenente malware
    • Collegamento nell'allegato*
    • Collegamento a Malware*
    • Drive-by URL*
    • Autorizzazione del consenso OAuth*
    • Guida pratica

    * Questa tecnica di ingegneria sociale consente di utilizzare i codici QR.

    Per altre informazioni sulle diverse tecniche di ingegneria sociale, vedere Simulazioni.

    Al termine, nella pagina Seleziona tecnica selezionare Avanti.

  4. Nella pagina Nome payload configurare le impostazioni seguenti:

    • Nome: immettere un nome descrittivo univoco per il payload.
    • Descrizione: immettere una descrizione dettagliata facoltativa per il payload.

    Al termine della pagina Nome payload , selezionare Avanti.

  5. Nella pagina Configura payload, è il momento di creare il payload. Molte delle impostazioni disponibili sono determinate dalla selezione effettuata nella pagina Selezione tecnica ( ad esempio, collegamenti e allegati).

    • Sezione Dettagli mittente : Configurare le impostazioni seguenti:

      • Nome del mittente
      • Usa il nome come nome visualizzato: Per impostazione predefinita, questa opzione non è selezionata.
      • Dalla posta elettronica: se si sceglie un indirizzo di posta elettronica interno per il mittente del payload, il payload sembra provenire da un collega dipendente. Questo indirizzo di posta elettronica del mittente aumenta la suscettibilità di un utente al payload e aiuta a informare i dipendenti sul rischio di minacce interne.
      • Oggetto e-mail
      • Aggiungi il tag "Esterno" alle email: per impostazione predefinita, questa opzione non è selezionata.
    • Sezione dei dettagli degli allegati (solo allegati malware, collegamento in allegato o tecniche di collegamento a malware ): configurare le impostazioni seguenti:

      • Assegnare un nome all'allegato: immettere un nome file per l'allegato.
      • Selezionare un tipo di allegato: selezionare un tipo di file per l'allegato. I valori disponibili sono Docx o HTML.
    • Collegamento di phishing o collegamento per le sezioni degli allegati :

      • La sezione Link di phishing è disponibile solo nelle tecniche Raccolta credenziali, Link nell'allegato, URL drive-by o Concessione del consenso OAuth.
      • La sezione Collegamento per allegati è disponibile solo nella tecnica Collegamento a malware .

      Selezionare Seleziona URL. Nel riquadro a comparsa dei dettagli visualizzato selezionare uno degli URL disponibili e quindi selezionare Conferma.

      Per modificare l'URL, selezionare Modifica URL.

      Nota

      Gli URL disponibili sono elencati in Simulazioni.

      Controllare la disponibilità dell'URL di phishing simulato nei Web browser supportati prima di usare l'URL in una campagna di phishing. Per altre informazioni, vedere URL di simulazione del phishing bloccati da Google Safe Browsing.

    • Sezione Contenuto allegato (solo tecnica Collegamento nell'allegato).

      È disponibile un editor RTF per creare il contenuto dell'allegato. Per visualizzare le impostazioni tipiche del tipo di carattere e della formattazione, impostare Formattazione dei controlli su .

      Selezionare la casella di collegamento Phishing . Nella finestra di dialogo Nome URL di phishing visualizzata immettere un valore Nome per l'URL selezionato nella sezione Collegamento phishing e quindi selezionare Conferma.

      Il valore del nome immesso viene aggiunto al contenuto dell'allegato come collegamento all'URL di phishing.

    • Impostazioni comuni per tutte le tecniche nella pagina Configura payload :

      • Aggiungere tag

      • Tema: I valori disponibili sono: Attivazione account, Verifica account, Fatturazione, Pulizia posta, Documento ricevuto, Spese, Fax, Report finanziario, Messaggi in arrivo, Fattura, Articolo ricevuto, Avviso di accesso, Posta, Password, Pagamento, Retribuzioni, Offerta personalizzata, Quarantena, Lavoro remoto, Revisione messaggio, Aggiornamento della sicurezza, Servizio sospeso, Firma richiesta, Aggiornamento dello spazio di archiviazione della cassetta postale, Verifica della cassetta postale, Segreteria telefonica, o Altro.

      • Brand: I valori disponibili sono: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud, Other.

      • Settore: I valori disponibili sono: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, or Altro.

      • Evento corrente: i valori disponibili sono o No.

      • Controverso: i valori disponibili sono o No.

      • Sezione Lingua : selezionare la lingua per il payload. I valori disponibili sono: inglese, spagnolo, tedesco, giapponese, francese, portoghese, olandese, italiano, svedese, cinese (semplificato), cinese (tradizionale, Taiwan), norvegese bokmål, polacco, russo, finlandese, coreano, turco, ungherese, ebraico, tailandese, arabo, vietnamita, slovacco, greco, indonesiano, rumeno, sloveno, croato, catalano, o altro.

      • Sezione del messaggio e-mail:

        • È possibile selezionare Importa messaggio di posta elettronica e quindi Scegliere il file per importare un file di messaggio di testo normale esistente. Sono disponibili due schede:

        • Scheda Testo: è disponibile un editor di testo avanzato per creare il payload. Per visualizzare le impostazioni tipiche del tipo di carattere e della formattazione, impostare Formattazione dei controlli su .

          Consiglio

          La barra Controlli di formattazione contiene un'azione Inserisci codice QR che puoi usare anziché selezionare il controllo Inserisci codice QR nell'elenco a discesa Tag dinamico per le tecniche di social engineering applicabili:

          L'azione Inserisci codice QR nei controlli di formattazione nella pagina Configura payload della procedura guidata di creazione di un nuovo payload.

          Per informazioni sull'aggiunta di codici QR al payload, vedere la descrizione del controllo Inserisci codice QR per i dettagli.

          Nella scheda Testo sono disponibili anche i controlli seguenti:

          • Tag dinamico: selezionare tra i tag seguenti:

            Nome del tag Valore del tag
            Inserisci nome utente ${userName}
            Inserisci nome ${firstName}
            Inserisci cognome ${lastName}
            Inserisci UPN ${upn}
            Inserisci Email ${emailAddress}
            Inserisci reparto ${department}
            Gestione inserimento ${manager}
            Inserisci telefono cellulare ${mobilePhone}
            Inserisci città ${city}
            Inserisci la data ${date|MM/dd/yyyy|offset}
          • Il controllo Inserisci codice QR è disponibile solo nelle tecniche Raccolta delle credenziali, URL drive-by, Concessione del consenso tramite OAuth o Guida introduttiva.

            Invece di usare un link come contenuto di phishing nel messaggio, è possibile usare un codice QR. Selezionando il controllo Inserisci codice a matrice si apre il riquadro a comparsa Inserisci codice a matrice in cui si configurano le informazioni seguenti:

            • Dimensioni: selezionare uno dei valori seguenti:
              • Piccolo (50 x 50 pixel)
              • Medio (100 x 100 pixel)
              • Grande (150 x 150 pixel)
            • Posizione orizzontale: immettere la posizione orizzontale in centimetri. Usare la casella Da successiva per specificare il punto iniziale orizzontale da cui misurare:
              • Angolo superiore sinistro
              • Centra
            • Posizione verticale: immettere la posizione verticale in centimetri. Usare la casella Da successiva per specificare il punto iniziale verticale da cui misurare:
              • Angolo superiore sinistro
              • Centra

            La finestra a comparsa Inserisci codice QR dalla pagina Configura payload nella procedura guidata per la creazione di un nuovo payload.

            Dopo aver completato le operazioni nel riquadro a comparsa Inserisci codice QR, selezionare Salva.

            Codice QR inserito nel messaggio e-mail del payload durante la creazione del payload.

            Consiglio

            • Il codice QR rimanda all'URL di phishing selezionato nella sezione Link di phishing>Seleziona URL. Quando il payload viene utilizzato in una simulazione, il servizio sostituisce il codice QR con un codice QR generato dinamicamente per tenere traccia delle metriche di clic e compromissione. Le dimensioni, la posizione e la forma del codice QR corrispondono alle opzioni che hai configurato nel payload.

            • Se usi il pulsante Invia un test nella pagina Rivedi payload (passaggio 7), viene visualizzato il codice QR, ma questo rimanda all'URL di phishing che hai selezionato. Il codice QR dinamico viene generato quando il payload viene utilizzato in una simulazione reale.

            • Il codice QR viene inserito nel messaggio e-mail come immagine. Se si passa dalla scheda Testo alla scheda Codice , viene visualizzata l'immagine inserita in formato Base64. L'inizio dell'immagine contiene <div id="QRcode"...>. Verificare che il payload completato contenga <div id="QRcode"...> prima di usarlo in una simulazione. Ad esempio:

              <div id="QRcode" style="position: absolute; margin-top: 2%; margin-left: 2%;"><img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAM0AAADNCAYAAAAbvPRpAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAA9cSURBVHhe7dNBDiM7EgPRvv+l/1zgLVggIXm6FU...
              
            • Verificare la pagina di accesso durante l'uso del payload in una simulazione. È anche possibile creare pagine di accesso durante la creazione di simulazioni. Per altre informazioni, vedere Creare una simulazione: selezionare un payload e una pagina di accesso.

            • È consigliabile eseguire una simulazione di test per convalidare il flusso end-to-end prima di usare il payload con un pubblico più ampio.

          • Il controllo Link di phishing o Allegato malware è disponibile:

            • Il collegamento di phishing è disponibile solo nelle tecniche Credential Harvest, Drive-by URL o OAuth Consent Grant .
            • Il collegamento agli allegati malware è disponibile solo nel collegamento a malware.

            Dopo aver selezionato il controllo, viene visualizzata una finestra di dialogo Nome URL di phishing . Immettere un valore Name per l'URL selezionato nella sezione Collegamento phishing o Collegamento per allegato e quindi selezionare Conferma.

            Il valore del nome immesso viene aggiunto al corpo del messaggio come collegamento all'URL di phishing. Nella scheda Codice il valore del collegamento è <a href="${phishingUrl}" target="_blank">Name value you specified</a>.

          Consiglio

          Per aggiungere immagini, copiare (CTRL+C) e incollare (CTRL+V) l'immagine nell'editor nella scheda Testo . L'editor converte automaticamente l'immagine in Base64 come parte del codice HTML. La dimensione massima del payload per una simulazione è 4 MB.

        • Scheda Codice : è possibile visualizzare e modificare direttamente il codice HTML.

        • Sostituisci tutti i link nel messaggio email con il link di phishing (solo per le tecniche Credential Harvest, Link to Malware, Drive-by URL o OAuth Consent Grant): questa opzione può far risparmiare tempo sostituendo tutti i link nel messaggio con l'URL Link di phishing o URL per l'allegato selezionato in precedenza. Per eseguire questa azione, attivare o disattivare l'impostazione su .

    • Sezione Velocità compromessa stimata : selezionare Stima velocità di compromissione per calcolare la frequenza di riuscita stimata del payload. Per altre informazioni, vedere Velocità di compromissione prevista.

    Al termine, nella pagina Configura payload selezionare Avanti.

    Consiglio

    Con la tecnica Guida pratica, si passa direttamente alla pagina Rivedi il payload.

  6. La pagina Aggiungi indicatori è disponibile solo se è stata selezionata l'opzione Raccolta credenziali, Collegamento in allegato, URL drive-by o Concessione di consenso OAuth nella pagina Selezione tecnica .

    Gli indicatori aiutano i dipendenti a identificare i segni rivelatori dei messaggi di phishing.

    Nella pagina Aggiungi indicatori selezionare Aggiungi indicatore. Nel riquadro a comparsa Aggiungi indicatore visualizzato configurare le impostazioni seguenti:

    • Selezionare e indicatore che si vuole usare e Dove inserire questo indicatore nel payload?:

      Questi valori sono correlati. Dove è possibile posizionare l'indicatore dipende dal tipo di indicatore. I valori disponibili sono descritti nella tabella seguente:

      Tipo di indicatore Posizione dell'indicatore
      Tipo di allegato Corpo del messaggio
      Dettaglio che distrae Corpo del messaggio
      Spoofing del dominio Corpo del messaggio

      Dall'indirizzo email
      Messaggio di saluto generico Corpo del messaggio
      Ricorsi umanitari Corpo del messaggio
      Incoerenza Corpo del messaggio
      Mancanza di dettagli del mittente Corpo del messaggio
      Linguaggio legale Corpo del messaggio
      Offerta a tempo limitato Corpo del messaggio
      Imitazione del logo o marchio datato Corpo del messaggio
      Simula un processo di lavoro o aziendale Corpo del messaggio
      Nessuna personalizzazione minima Corpo del messaggio
      Si spaccia per amico, collega, superiore o figura autoritaria Corpo del messaggio
      Richiesta di informazioni riservate Corpo del messaggio
      Indicatori di sicurezza e icone Corpo del messaggio

      Oggetto del messaggio
      Nome visualizzato del mittente e indirizzo di posta elettronica Nome del mittente

      Dall'indirizzo email
      Senso di urgenza Corpo del messaggio

      Oggetto del messaggio
      Irregolarità ortografiche e grammaticali Corpo del messaggio

      Oggetto del messaggio
      Linguaggio minaccioso Corpo del messaggio

      Oggetto del messaggio
      Troppo buono per essere vere offerte Corpo del messaggio
      Progettazione o formattazione dall'aspetto non professionale Corpo del messaggio
      Creazione di collegamenti ipertestuali per gli URL Corpo del messaggio
      Sei speciale Corpo del messaggio

      Questo elenco è curato per contenere gli indizi più comuni visualizzati nei messaggi di phishing.

      Se si seleziona l'oggetto del messaggio di posta elettronica o il corpo del messaggio come posizione per l'indicatore, viene visualizzato Selezionare il testo . Nel riquadro a comparsa Seleziona testo richiesto visualizzato selezionare (evidenziare) il testo nell'oggetto del messaggio o nel corpo del messaggio in cui si vuole visualizzare l'indicatore. Al termine, selezionare Seleziona.

      Posizione di testo selezionata nel corpo del messaggio da aggiungere a un indicatore nella creazione guidata del nuovo payload in Formazione con simulazione degli attacchi

      Tornando al riquadro a comparsa Aggiungi indicatore , il testo selezionato viene visualizzato nella sezione Testo selezionato .

    • Descrizione indicatore: è possibile accettare la descrizione predefinita per l'indicatore o personalizzarla.

    • Anteprima indicatore: per visualizzare l'aspetto dell'indicatore corrente, fare clic in un punto qualsiasi all'interno della sezione.

      Dopo aver completato le operazioni nel riquadro a comparsa Aggiungi indicatore, selezionare Aggiungi

    Ripetere questi passaggi per aggiungere più indicatori.

    Nella pagina Aggiungi indicatori è possibile esaminare gli indicatori selezionati:

    • Per modificare un indicatore esistente, selezionarlo e quindi selezionare Modifica indicatore.

    • Per eliminare un indicatore esistente, selezionarlo e quindi selezionare Elimina.

    • Per spostare gli indicatori verso l'alto o verso il basso nell'elenco, selezionare l'indicatore e quindi selezionare Sposta su o Sposta giù.

    Al termine, nella pagina Aggiungi indicatori selezionare Avanti.

  7. Nella pagina Verifica payload è possibile esaminare i dettagli del payload.

    Seleziona il pulsante Invia un test per inviare a te stesso una copia dell'email di payload (l'utente attualmente connesso) per esaminarla.

    Selezionare il pulsante Indicatore di anteprima per aprire il payload in un riquadro a comparsa di anteprima. L'anteprima include tutti gli indicatori di payload che hai creato.

    Nella pagina Rivedi payload è possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.

    Al termine, nella pagina Rivedi payload selezionare Invia. Nel messaggio di conferma visualizzato selezionare Fatto.

    Pagina Rivedi payload in Formazione con simulazione degli attacchi nel portale di Microsoft Defender

  8. Nella pagina Nuovo payload creato è possibile usare i collegamenti per visualizzare tutte le simulazioni o passare alla panoramica Formazione con simulazione degli attacchi.

    Al termine della pagina Nuovo payload creato , selezionare Fine.

  9. Nella scheda Payload tenant il payload creato è ora elencato con il valore StatoPronto.

Eseguire azioni sui payload

Tutte le azioni sui payload esistenti iniziano nella pagina Payload . Per accedervi, aprire il portale di Microsoft Defender in https://security.microsoft.com, andare a Email & collaboration>Attack simulation training>Content library scheda >Payloads>Tenant payloads. Per passare direttamente alla scheda Content library, in cui è possibile selezionare Payloads e le schede Tenant payloads o Global payloads, usare https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

Consiglio

Per visualizzare il controllo (azioni) nelle schede Payload globali o Payload tenant , è probabile che sia necessario eseguire una o più delle operazioni seguenti:

  • Scorrere orizzontalmente nel Web browser.
  • Restringere la larghezza delle colonne appropriate.
  • Rimuovere le colonne dalla visualizzazione.
  • Riduci lo zoom nel browser web.

Modificare i payload

Non è possibile modificare i payload predefiniti nella scheda Payload globali . È possibile modificare payload personalizzati solo nella scheda Payload tenant .

Per modificare un payload esistente nella scheda Payload tenant , eseguire una delle operazioni seguenti:

  • Selezionare il payload facendo clic sulla casella di controllo accanto al nome. Selezionare l'azione Modifica payload visualizzata.
  • Selezionare il payload facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli che si apre, selezionare Modifica payload nella parte inferiore del riquadro.
  • Selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Modifica.

La procedura guidata del payload si apre con le impostazioni e i valori del payload selezionato. I passaggi sono gli stessi descritti nella sezione Creare payload .

Copiare payload

Per copiare un payload esistente nelle schede Payload tenant o Payload globali , eseguire una delle operazioni seguenti. Se stai copiando un payload predefinito dalla scheda Payload globali, assicurati di modificare il valore Nome nella procedura guidata, in modo che il payload copiato non compaia nella pagina Payload del tenant con lo stesso nome del payload predefinito.

  • Selezionare il payload facendo clic sulla casella di controllo accanto al nome e quindi selezionare l'azione Copia payload visualizzata.
  • Selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Copia payload.

Si apre la procedura guidata per la creazione del payload con le impostazioni e i valori del payload selezionato. I passaggi sono gli stessi descritti nella sezione Creare payload .

Nota

Quando si copia un payload predefinito nella scheda Payload globali, assicurarsi di modificare il valore Name. Se non lo fai, il payload verrà visualizzato nella pagina Payload del tenant con lo stesso nome del payload integrato.

Archivia payload

Per archiviare un payload esistente nella scheda Payload tenant, selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Archivio.

Il valore Status del payload viene modificato in Archivio e il payload non è più visibile nella tabella Payload tenant quando Mostra payload archiviati viene disattivato .

Per visualizzare i payload archiviati nella scheda Payload del tenant, attiva Mostra payload archiviati su .

Dopo aver archiviato un payload, è possibile ripristinarlo come descritto in Ripristinare i payload archiviati o rimuoverlo come descritto in Rimuovere i payload archiviati.

Ripristinare i payload archiviati

Per ripristinare un payload di archivio nella scheda Payload tenant , seguire questa procedura:

  1. Impostare l'interruttore Mostra payload archiviati su su .
  2. Selezionare il payload facendo clic su (Azioni) alla fine della riga e quindi selezionare Ripristina.

Dopo aver ripristinato il payload archiviato, il valore Stato diventa Bozza. Disattiva Mostra payload archiviati per visualizzare il payload ripristinato. Per restituire il payload al valore StatoPronto, modificare il payload, esaminare o modificare le impostazioni e quindi selezionare Invia.

Rimuovere i payload archiviati

Avvertimento

L'eliminazione di un payload archiviato la rimuove definitivamente e non può essere annullata.

Per rimuovere un payload archiviato dalla scheda Payload tenant , seguire questa procedura:

  1. Imposta l'opzione Mostra payload archiviati su Attivato .
  2. Selezionare il payload facendo clic su (Azioni) alla fine della riga, selezionare Elimina e quindi conferma nella finestra di dialogo di conferma.

Inviare un test

Nelle schede Payload tenant o Payload globali è possibile inviare una copia del messaggio di posta elettronica del payload a se stessi (l'utente attualmente connesso) per l'ispezione.

Selezionare il payload facendo clic sulla casella di controllo accanto al nome e quindi selezionare il pulsante Invia un test visualizzato.

Introduzione alla formazione sull’uso di Simulatore di attacchi

Crea una simulazione di attacchi di phishing

Acquisire informazioni approfondite attraverso la formazione del Simulatore di attacchi