Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità di Microsoft Defender per Office 365 Piano 2? Usa la versione di prova di Defender per Office 365 di 90 giorni nell'hub delle versioni di prova del portale Microsoft Defender. Scopri chi può registrarsi e le condizioni della versione di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni con Microsoft Defender per Office 365 Piano 2 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), è possibile usare il training di simulazione degli attacchi nel portale di Microsoft Defender per eseguire scenari di attacco realistici nell'organizzazione. Gli attacchi simulati nel training di simulazione degli attacchi consentono di identificare e trovare utenti vulnerabili prima che un attacco reale influisca sulla linea finale.
Questo articolo illustra le nozioni di base del training di simulazione degli attacchi.
Guardare questo breve video per altre informazioni sul training della simulazione degli attacchi.
Che cosa è necessario sapere prima di iniziare?
Prima di iniziare, esaminare i requisiti di licenza, ambiente e accesso seguenti.
Il Training di simulazione di attacco richiede una licenza di Microsoft 365 E5 o di Microsoft Defender per Office 365 Plan 2. Per altre informazioni sui requisiti di licenza, vedere Condizioni di licenza.
Il training di simulazione degli attacchi supporta le cassette postali locali, ma con funzionalità di creazione di report ridotte. Per altre informazioni, vedere Segnalazione di problemi con le cassette postali locali.
Per aprire il portale di Microsoft Defender, passare a https://security.microsoft.com. La formazione sulla simulazione degli attacchi è disponibile in Posta elettronica e collaborazione>Formazione sulla simulazione degli attacchi. Per passare direttamente al training di simulazione degli attacchi, usare https://security.microsoft.com/attacksimulator.
Per altre informazioni sulla disponibilità del training di simulazione degli attacchi in diverse sottoscrizioni di Microsoft 365, vedere Descrizione del servizio Microsoft Defender per Office 365.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Autorizzazioni di Microsoft Entra: è necessaria l'appartenenza a uno dei ruoli seguenti:
- Amministratore globale¹
- Amministratore della sicurezza
- Amministratore della simulazione degli attacchi²: creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi.
- Autore di payload di attacco³: Creare payload di attacco che un amministratore può avviare successivamente.
- Operatore di sicurezza e lettore di sicurezza⁴: visualizzare tutti gli aspetti delle campagne di simulazione degli attacchi.
Importante
¹ Microsoft sostiene fortemente il principio dei privilegi minimi. L'assegnazione degli account solo alle autorizzazioni minime necessarie per eseguire le attività consente di ridurre i rischi per la sicurezza e di rafforzare la protezione complessiva dell'organizzazione. Amministratore globale è un ruolo con privilegi elevati che è consigliabile limitare agli scenari di emergenza o quando non è possibile usare un ruolo diverso.
² L'aggiunta di utenti a questo gruppo di ruoli in Posta elettronica & autorizzazioni di collaborazione nel portale di Microsoft Defender non è attualmente supportata.
³ I membri di Attack Payload Author hanno le seguenti limitazioni nell'addestramento alla simulazione di attacchi:
- Non possono creare o modificare simulazioni, campagne di formazione, automazioni di simulazione o automazioni dei payload.
- Non possono modificare le impostazioni globali.
- Non possono modificare il contenuto (ad esempio, le notifiche), ma possono modificare i payload.
- Non possono visualizzare i report di simulazione del tenant, i report aggregati, i record di automazione della simulazione o i record di automazione del payload.
⁴ I membri dell'operatore di sicurezza e del lettore di sicurezza hanno le limitazioni seguenti nel training della simulazione degli attacchi:
- Non possono creare o modificare simulazioni, campagne di training, automazioni di simulazione o automazioni payload.
- Non possono modificare le impostazioni globali.
- Non possono modificare i contenuti (ad esempio, i payload del tenant o le notifiche).
- Possono accedere ai dati tramite API di lettura con ambito utente, ma non possono usare API di scrittura.
Attualmente, il controllo di accesso unificato basato sui ruoli (RBAC) di Microsoft Defender XDR non è supportato.
Non sono disponibili cmdlet di PowerShell corrispondenti per il training della simulazione degli attacchi.
I dati correlati alla simulazione e al training degli attacchi vengono archiviati con altri dati dei clienti per i servizi di Microsoft 365. Per altre informazioni, vedere Percorsi dei dati di Microsoft 365. Il training di simulazione degli attacchi è disponibile nelle aree seguenti: APC, EUR e NAM. I paesi all'interno di queste aree in cui è disponibile il training di simulazione degli attacchi includono ARE, AUS, AUT, BRA, CAN, CHE, CHL, DEU, DNK, ESP, FRA, GBR, IDN, IND, ISR, ITA, JPN, KOR, LAM, MEX, MYS, NOR, NZL, POL, QAT, SGP, SWE, TWN e ZAF.
Nota
NOR, ZAF, ARE e DEU sono le aggiunte più recenti. In queste aree sono disponibili tutte le funzionalità, ad eccezione della telemetria relativa ai messaggi di posta elettronica segnalati. Stiamo lavorando per rendere disponibili le funzionalità e informeremo i clienti quando saranno disponibili i dati di telemetria per i messaggi di posta elettronica segnalati.
Il training di simulazione degli attacchi è disponibile negli ambienti Microsoft 365 GCC, GCC High e DoD. Alcune funzionalità avanzate non sono disponibili in GCC High e DoD (ad esempio, automazione dei payload, payload consigliati e tasso di compromissione previsto). Se l'organizzazione dispone di Microsoft 365 G5, Office 365 G5 o Microsoft Defender per Office 365 (piano 2) per enti pubblici, è possibile usare il training di simulazione degli attacchi come descritto in questo articolo.
Nota
La formazione sulla simulazione degli attacchi offre ai clienti E3 un sottoinsieme di funzionalità in versione di valutazione. L'offerta di prova include la possibilità di utilizzare un payload Credential Harvest e di selezionare esperienze di formazione "ISA Phishing" o "Mass Market Phishing". Nessun'altra funzionalità fa parte dell'offerta di valutazione E3.
Simulazioni
Una simulazione nel training di simulazione degli attacchi è la campagna complessiva che fornisce messaggi di phishing realistici ma innocui agli utenti. Gli elementi di base di una simulazione sono:
- Chi ottiene il messaggio di phishing simulato e in base alla pianificazione.
- Formazione che gli utenti ricevono in base alla loro azione o all'assenza di azione (sia per azioni corrette che errate) sul messaggio di phishing simulato.
- Il payload utilizzato nel messaggio di phishing simulato (un collegamento o un allegato) e la composizione del messaggio di phishing (ad esempio, consegna di un pacco, problemi con l'account o hai vinto un premio).
- La tecnica di ingegneria sociale. Il payload e la tecnica di ingegneria sociale sono strettamente correlati.
Nel training di simulazione degli attacchi sono disponibili più tipi di tecniche di ingegneria sociale. Ad eccezione della Guida pratica, queste tecniche sono state curate dal framework MITRE ATT&CK®. Sono disponibili payload diversi per diverse tecniche di ingegneria sociale nel training di simulazione degli attacchi.
Sono disponibili le tecniche di ingegneria sociale seguenti:
Raccolta credenziali: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento*. Quando il destinatario fa clic sul collegamento, passa a un sito Web che in genere mostra una finestra di dialogo che richiede all'utente il nome utente e la password. In genere, la pagina di destinazione è a tema per rappresentare un sito Web noto per creare attendibilità nell'utente.
Allegato malware: un utente malintenzionato invia al destinatario un messaggio contenente un allegato. Quando il destinatario apre l'allegato, nel dispositivo dell'utente viene eseguito codice arbitrario (ad esempio, una macro) per consentire all'utente malintenzionato di installare più codice o di inserirsi ulteriormente.
Collegamento in Allegato: questa tecnica è un ibrido di raccolta delle credenziali. Un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento all'interno di un allegato. Quando il destinatario apre l'allegato e fa clic sul collegamento, passa a un sito Web che in genere mostra una finestra di dialogo che richiede all'utente il nome utente e la password. In genere, la pagina di destinazione è a tema per rappresentare un sito Web noto per creare attendibilità nell'utente.
Collegamento a Malware*: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento a un allegato in un sito noto di condivisione file ,ad esempio SharePoint o Dropbox. Quando il destinatario fa clic sul collegamento, viene aperto l'allegato e viene eseguito codice arbitrario (ad esempio, una macro) nel dispositivo dell'utente per consentire all'utente malintenzionato di installare altro codice o di trincerarsi ulteriormente.
Drive-by-URL*: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento. Quando il destinatario fa clic sul collegamento, passa a un sito Web che tenta di eseguire il codice in background. Questo codice in background prova a raccogliere informazioni sul destinatario o distribuire codice arbitrario nel dispositivo. In genere, il sito Web di destinazione è un sito Web noto che è stato compromesso o un clone di un sito Web noto. La familiarità con il sito Web aiuta a convincere l'utente che il collegamento è sicuro da fare clic. Questa tecnica è nota anche come attacco di foro di irrigazione.
Concessione del consenso OAuth*: Un utente malintenzionato crea un'applicazione Azure dannosa che cerca di ottenere accesso ai dati. L'applicazione invia una richiesta di posta elettronica che contiene un collegamento. Quando il destinatario fa clic sul collegamento, il meccanismo di concessione del consenso dell'applicazione richiede l'accesso ai dati ,ad esempio la posta in arrivo dell'utente.
Guida pratica: guida all'insegnamento che contiene istruzioni per gli utenti (ad esempio, come segnalare i messaggi di phishing).
* Il collegamento può essere un URL o un codice QR.
Gli URL usati dal training di simulazione degli attacchi sono elencati nella tabella seguente:
https://www.attemplate.com |
https://www.exportants.it |
https://www.resetts.it |
https://www.bankmenia.com |
https://www.exportants.org |
https://www.resetts.org |
https://www.bankmenia.de |
https://www.financerta.com |
https://www.salarytoolint.com |
https://www.bankmenia.es |
https://www.financerta.de |
https://www.salarytoolint.net |
https://www.bankmenia.fr |
https://www.financerta.es |
https://www.securembly.com |
https://www.bankmenia.it |
https://www.financerta.fr |
https://www.securembly.de |
https://www.bankmenia.org |
https://www.financerta.it |
https://www.securembly.es |
https://www.banknown.de |
https://www.financerta.org |
https://www.securembly.fr |
https://www.banknown.es |
https://www.financerts.com |
https://www.securembly.it |
https://www.banknown.fr |
https://www.financerts.de |
https://www.securembly.org |
https://www.banknown.it |
https://www.financerts.es |
https://www.securetta.de |
https://www.banknown.org |
https://www.financerts.fr |
https://www.securetta.es |
https://www.browsersch.com |
https://www.financerts.it |
https://www.securetta.fr |
https://www.browsersch.de |
https://www.financerts.org |
https://www.securetta.it |
https://www.browsersch.es |
https://www.hardwarecheck.net |
https://www.shareholds.com |
https://www.browsersch.fr |
https://www.hrsupportint.com |
https://www.sharepointen.com |
https://www.browsersch.it |
https://www.mcsharepoint.com |
https://www.sharepointin.com |
https://www.browsersch.org |
https://www.mesharepoint.com |
https://www.sharepointle.com |
https://www.docdeliveryapp.com |
https://www.officence.com |
https://www.sharesbyte.com |
https://www.docdeliveryapp.net |
https://www.officenced.com |
https://www.sharession.com |
https://www.docstoreinternal.com |
https://www.officences.com |
https://www.sharestion.com |
https://www.docstoreinternal.net |
https://www.officentry.com |
https://www.supportin.de |
https://www.doctorican.de |
https://www.officested.com |
https://www.supportin.es |
https://www.doctorican.es |
https://www.passwordle.de |
https://www.supportin.fr |
https://www.doctorican.fr |
https://www.passwordle.fr |
https://www.supportin.it |
https://www.doctorican.it |
https://www.passwordle.it |
https://www.supportres.de |
https://www.doctorican.org |
https://www.passwordle.org |
https://www.supportres.es |
https://www.doctrical.com |
https://www.payrolltooling.com |
https://www.supportres.fr |
https://www.doctrical.de |
https://www.payrolltooling.net |
https://www.supportres.it |
https://www.doctrical.es |
https://www.prizeably.com |
https://www.supportres.org |
https://www.doctrical.fr |
https://www.prizeably.de |
https://www.techidal.com |
https://www.doctrical.it |
https://www.prizeably.es |
https://www.techidal.de |
https://www.doctrical.org |
https://www.prizeably.fr |
https://www.techidal.fr |
https://www.doctricant.com |
https://www.prizeably.it |
https://www.techidal.it |
https://www.doctrings.com |
https://www.prizeably.org |
https://www.techniel.de |
https://www.doctrings.de |
https://www.prizegiveaway.net |
https://www.techniel.es |
https://www.doctrings.es |
https://www.prizegives.com |
https://www.techniel.fr |
https://www.doctrings.fr |
https://www.prizemons.com |
https://www.techniel.it |
https://www.doctrings.it |
https://www.prizesforall.com |
https://www.templateau.com |
https://www.doctrings.org |
https://www.prizewel.com |
https://www.templatent.com |
https://www.exportants.com |
https://www.prizewings.com |
https://www.templatern.com |
https://www.exportants.de |
https://www.resetts.de |
https://www.windocyte.com |
https://www.exportants.es |
https://www.resetts.es |
|
https://www.exportants.fr |
https://www.resetts.fr |
Nota
Controllare la disponibilità dell'URL di phishing simulato nei Web browser supportati prima di usare l'URL in una campagna di phishing. Per altre informazioni, vedere URL di simulazione del phishing bloccati da Google Safe Browsing.
Creare simulazioni
Per istruzioni su come creare e avviare simulazioni di training di simulazione degli attacchi, vedere Simulare un attacco di phishing.
La pagina di destinazione della simulazione è la posizione in cui si trovano gli utenti quando aprono il payload. Quando si crea una simulazione, si seleziona la pagina di destinazione da usare. È possibile scegliere tra pagine di destinazione predefinite, pagine di destinazione personalizzate già create oppure creare una nuova pagina di destinazione da usare durante la creazione della simulazione. Per creare pagine di destinazione, vedere Pagine di destinazione nel training di simulazione degli attacchi.
Le notifiche per gli utenti finali nella simulazione inviano promemoria periodici agli utenti, ad esempio notifiche di assegnazione della formazione e promemoria. È possibile scegliere tra notifiche predefinite, notifiche personalizzate già create oppure creare nuove notifiche da usare durante la creazione della simulazione. Per creare notifiche, vedere Notifiche dell'utente finale per il training della simulazione degli attacchi.
Consiglio
Le automazioni di simulazione offrono i miglioramenti seguenti rispetto alle simulazioni tradizionali:
- Le automazioni di simulazione possono includere più tecniche di ingegneria sociale e payload correlati (le simulazioni ne contengono una sola).
- Le automazioni di simulazione supportano opzioni di pianificazione automatizzate (oltre alla data di inizio e alla data di fine nelle simulazioni).
Per altre informazioni, vedere Automazioni di simulazione per il training della simulazione degli attacchi.
Per vedere quali reparti sono più vulnerabili alle simulazioni di phishing, crea simulazioni identiche o automazioni di simulazione con ambito definito in base al reparto, quindi usa i report e le informazioni dettagliate sulla formazione tramite simulazione di attacco per confrontare i risultati.
Creare e gestire i payload
Anche se il training di simulazione degli attacchi contiene molti payload predefiniti per le tecniche di social engineering disponibili, è possibile creare payload personalizzati per soddisfare meglio le esigenze aziendali, inclusa la copia e la personalizzazione di un payload esistente. È possibile creare payload in qualsiasi momento prima di creare la simulazione o durante la creazione della simulazione. Per creare payload, vedere Creare un payload personalizzato per il training della simulazione degli attacchi.
Nelle simulazioni che usano tecniche di social engineering Credential Harvest o Link in Attachment , le pagine di accesso fanno parte del payload selezionato. La pagina di accesso è la pagina Web in cui gli utenti immettono le proprie credenziali. Ogni payload applicabile usa una pagina di accesso predefinita, ma è possibile modificare la pagina di accesso usata. È possibile scegliere tra pagine di accesso predefinite, pagine di accesso personalizzate già create oppure creare una nuova pagina di accesso da usare durante la creazione della simulazione o del payload. Per creare pagine di accesso, vedere Pagine di accesso nel training di simulazione degli attacchi.
L'esperienza di training migliore per i messaggi di phishing simulati consiste nel renderli il più vicini possibile agli attacchi di phishing reali che potrebbero verificarsi nell'organizzazione. E se si potessero acquisire e usare versioni innocue dei messaggi di phishing reali rilevati in Microsoft 365 e usarli in campagne di phishing simulate? È possibile, con automazioni del payload (nota anche come raccolta del payload). Per creare automazioni payload, vedere Automazioni payload per il training di simulazione degli attacchi.
La formazione sulla simulazione degli attacchi supporta anche l'uso di codici QR nei payload. È possibile scegliere dall'elenco dei payload di codice a matrice predefiniti oppure creare payload di codice a matrice personalizzati. Per altre informazioni, vedi Payload dei codici QR nel Training di simulazione degli attacchi.
Visualizzare report e informazioni dettagliate sulla simulazione
Dopo aver creato e avviato la simulazione di phishing, è necessario vedere come funziona. Ad esempio:
- L'hanno ricevuto tutti?
- Chi ha eseguito quale azione sul messaggio di phishing simulato e sul payload contenuto al suo interno (eliminare, segnalare, aprire il payload, inserire credenziali e così via).
- Chi ha completato il training assegnato.
I report e le informazioni dettagliate disponibili per il training della simulazione degli attacchi sono descritti in Report per il training della simulazione degli attacchi.
Comprendere il tasso di compromissione stimato
Spesso è necessario personalizzare una campagna di phishing simulato per gruppi di destinatari specifici. Se il messaggio di phishing è troppo vicino al perfetto, quasi tutti sono ingannati da esso. Se è troppo sospetto, nessuno si lascia ingannare. Inoltre, i messaggi di phishing che alcuni utenti considerano difficili da identificare sono considerati facili da identificare da altri utenti. Allora, come si fa a trovare un equilibrio?
La velocità di compromissione stimata (PCR) indica la potenziale efficacia quando il payload viene usato in una simulazione. PCR usa dati cronologici intelligenti in Microsoft 365 per stimare la percentuale di persone che saranno compromesse dal payload. Ad esempio:
- Contenuto del payload.
- Tassi di compromissione aggregati e anonimi di altre simulazioni.
- Metadati del payload.
PCR consente di confrontare le percentuali di click-through previste rispetto a quelle effettive per le simulazioni di phishing. Puoi anche usare il PCR e i dati effettivi sulla percentuale di clic per vedere come si comporta la tua organizzazione rispetto ai risultati previsti.
Le informazioni PCR per un payload sono disponibili ovunque sia possibile visualizzare e selezionare i payload, nonché nei seguenti report e nelle analisi dettagliate:
- Impatto del comportamento sulla scheda del tasso di compromissione
- Scheda dell'efficacia del training per il report di simulazione degli attacchi
Consiglio
Il simulatore di attacco usa i collegamenti sicuri in Defender per Office 365 per tenere traccia in modo sicuro dei dati dei clic per l'URL nel messaggio di payload inviato ai destinatari di una campagna di phishing, anche se l'impostazione Track user clicks in Safe Links policies è disattivata.
Assegnare la formazione senza eseguire simulazioni
Le simulazioni di phishing tradizionali presentano agli utenti messaggi sospetti e gli obiettivi seguenti:
- Invita gli utenti a segnalare il messaggio come messaggio sospetto.
- Fornire formazione dopo che gli utenti fanno clic su o avviano il payload dannoso simulato e rinunciano alle proprie credenziali.
Tuttavia, a volte non si vuole attendere che gli utenti esercino azioni corrette o errate prima di eseguire il training. Il training di simulazione degli attacchi offre le funzionalità seguenti per ignorare l'attesa e passare direttamente al training:
Campagne di formazione: una campagna di formazione è un'assegnazione esclusivamente formativa per gli utenti di destinazione. È possibile assegnare direttamente il training senza sottoporre gli utenti al test di una simulazione. Le campagne di formazione semplificano lo svolgimento di sessioni di apprendimento come la formazione mensile sulla consapevolezza della cybersecurity. Per ulteriori informazioni, vedi Campagne di training in Training di simulazione degli attacchi.
Consiglio
I moduli di training vengono usati nelle campagne di training, ma è anche possibile usare i moduli di training quando si assegna il training in simulazioni regolari.
Guide pratiche nelle simulazioni: le simulazioni basate sulla tecnica di social engineering Guida pratica non mirano a mettere alla prova gli utenti. Una guida pratica è un'esperienza di apprendimento leggera che gli utenti possono visualizzare direttamente nella posta in arrivo. Ad esempio, sono disponibili i seguenti payload predefiniti della guida operativa ed è possibile crearne di propri (inclusi la copia e la personalizzazione di un payload esistente):
- Guida all'insegnamento: Come segnalare i messaggi di phishing
- Guida didattica: come riconoscere e segnalare messaggi di phishing tramite codice QR
Consiglio
La formazione sulla simulazione degli attacchi offre le seguenti opzioni di formazione predefinite per gli attacchi basati su codice QR:
- Moduli di training:
- Codici QR malevoli
- Codici QR stampati malevoli
- Guide pratiche nelle simulazioni: Guida didattica: Come riconoscere e segnalare i messaggi di phishing tramite codice QR