Configurare i criteri anti-phishing in Microsoft Defender per Office 365

Suggerimento

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft 365 Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Si applica a

I criteri anti-phishing in Microsoft Defender per Office 365 consentono di proteggere l'organizzazione da attacchi di phishing basati su rappresentazione dannosi e altri tipi di attacchi di phishing. Per altre informazioni sulle differenze tra i criteri anti-phishing in Exchange Online Protection (EOP) e i criteri anti-phishing in Microsoft Defender per Office 365, vedere Protezione anti-phishing.

Gli amministratori possono visualizzare, modificare e configurare (ma non eliminare) i criteri anti-phishing predefiniti. Per una maggiore granularità, è anche possibile creare criteri anti-phishing personalizzati che si applicano a utenti, gruppi o domini specifici dell'organizzazione. I criteri personalizzati hanno sempre la precedenza sul criterio predefinito, ma non è possibile modificarne la priorità (in funzione).

È possibile configurare i criteri anti-phishing in Defender per Office 365 nel portale di Microsoft 365 Defender o in Exchange Online PowerShell.

Per informazioni sulla configurazione dei criteri anti-phishing più limitati disponibili in Exchange Online Protection (ovvero organizzazioni senza Defender per Office 365), vedere Configurare i criteri anti-phishing in EOP.

Gli elementi di base di un criterio anti-phishing sono:

  • I criteri anti-phishing: specifica le protezioni di phishing da abilitare o disabilitare e le azioni da applicare alle opzioni.
  • Regola anti-phish: specifica la priorità e i filtri del destinatario (a cui si applicano i criteri) per un criterio anti-phish.

La differenza tra questi due elementi non è ovvia quando si gestiscono i criteri anti-phishing nel portale di Microsoft 365 Defender:

  • Quando si crea un criterio, si sta effettivamente creando una regola anti-phish e i criteri anti-phish associati contemporaneamente usando lo stesso nome per entrambi.
  • Quando si modifica un criterio, le impostazioni relative al nome, alla priorità, abilitate o disabilitate e i filtri dei destinatari modificano la regola anti-phish. Tutte le altre impostazioni modificano i criteri anti-phish associati.
  • Quando si rimuove un criterio, vengono rimossi la regola anti-phishing e i criteri anti-phishing associati.

In Exchange Online PowerShell, i criteri e la regola vengono gestiti separatamente. Per altre informazioni, vedere la sezione Usare Exchange Online PowerShell per configurare i criteri anti-phishing più avanti in questo articolo.

Ogni organizzazione Defender per Office 365 dispone di un criterio anti-phishing predefinito denominato Office 365 AntiPhish Default con queste proprietà:

  • I criteri vengono applicati a tutti i destinatari dell'organizzazione, anche se non esiste alcuna regola anti-phish (filtri dei destinatari) associata ai criteri.
  • Il valore personalizzato della priorità del criterio è Minore e non può essere modificato (il criterio viene sempre applicato per ultimo). Qualsiasi criterio personalizzato creato avrà sempre una priorità più alta.
  • Il criterio è quello predefinito (la proprietà IsDefault contiene il valore True), e non è possibile eliminarlo.

Per aumentare l'efficacia della protezione anti-phishing in Defender per Office 365, è possibile creare criteri anti-phishing personalizzati con impostazioni più rigide applicate a utenti o gruppi specifici di utenti.

Che cosa è necessario sapere prima di iniziare?

  • Per aprire il portale di Microsoft 365 Defender, andare alla pagina https://security.microsoft.com. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.

  • Prima di eseguire le procedure descritte in questo articolo, occorre disporre delle autorizzazioni in Exchange Online:

    • Per aggiungere, modificare ed eliminare i criteri anti-phishing, è necessario essere membri dei gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
    • Per l'accesso in sola lettura ai criteri anti-phishing, è necessario essere membri dei gruppi * di ruoli Lettore globale o Lettore di sicurezza.

    Per altre informazioni, vedere Autorizzazioni in Exchange Online.

    Note:

    • L'aggiunta di utenti al ruolo di Azure Active Directory corrispondente nell'interfaccia di amministrazione di Microsoft 365 fornisce agli utenti le autorizzazioni necessarie e le autorizzazioni per altre funzionalità di Microsoft 365. Per altre informazioni, vedere Informazioni sui ruoli di amministratore.
    • Anche il gruppo di ruoli di Gestione organizzazione sola visualizzazione in Exchange Online offre inoltre l'accesso di sola lettura a tale funzionalità.
  • Per le impostazioni consigliate per i criteri anti-phishing in Defender per Office 365, vedere Criteri anti-phishing nelle impostazioni di Defender per Office 365.

  • Attendere fino a 30 minuti per l'applicazione di criteri nuovi o aggiornati.

  • Per informazioni sulla posizione in cui vengono applicati i criteri anti-phishing nella pipeline di filtro, vedere Ordine e precedenza della protezione della posta elettronica.

Usare il portale di Microsoft 365 Defender per creare criteri anti-phishing

La creazione di criteri anti-phishing personalizzati nel portale di Microsoft 365 Defender crea contemporaneamente la regola anti-phishing e i criteri anti-phishing associati usando lo stesso nome per entrambi.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Email & Collaboration > Policies & Rules > Threat policies > Anti-phishing nella sezione Criteri. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

  2. Nella pagina Anti-phishing fare clic sull'icona Crea. Creazione.

  3. Viene aperta la creazione guidata criteri. Nella pagina Nome criterio configurare queste impostazioni:

    • Nome: immettere un nome univoco descrittivo per il criterio.
    • Descrizione: immettere una descrizione opzionale per il criterio.

    Al termine dell'operazione, fare clic su Avanti.

  4. Nella pagina Utenti, gruppi e domini visualizzata identificare i destinatari interni a cui si applicano i criteri (condizioni del destinatario):

    • Utenti: la cassette postali, gli utenti di posta o contatti di posta specificati.
    • Gruppi:
      • Membri dei gruppi di distribuzione specificati o dei gruppi di sicurezza abilitati alla posta elettronica.
      • Gruppi di Microsoft 365 specificati.
    • Domini: tutti i destinatari nei domini specificati accettati nell'organizzazione.

    Fare clic nella casella appropriata, iniziare a digitare un valore e selezionare il valore desiderato nei risultati. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su Rimuovi Rimuovi icona. accanto al valore.

    Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per gli utenti, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.

    Più valori della stessa condizione utilizzano la logica OR (ad esempio, <recipient1> o <recipient2>). Condizioni diverse utilizzano la logica AND (ad esempio, <recipient1> e <member of group 1>).

    • Escludere questi utenti, gruppi e domini: per aggiungere eccezioni ai destinatari interni a cui si applicano i criteri (eccezione destinatari), selezionare questa opzione e configurare le eccezioni. Impostazioni e comportamento sono equivalenti alle condizioni.

    Importante

    Più condizioni o eccezioni diverse non sono additivi; sono inclusivi. I criteri vengono applicati solo ai destinatari che corrispondono a tutti i filtri dei destinatari specificati. Ad esempio, si configura una condizione di filtro del destinatario nei criteri con i valori seguenti:

    • Il destinatario è: romain@contoso.com
    • Il destinatario è membro di: Dirigenti

    Il criterio viene applicato a romain@contoso.com solo se è anche membro dei gruppi di dirigenti. Se non è un membro del gruppo, il criterio non viene applicato a lui.

    Analogamente, se si usa lo stesso filtro destinatario come eccezione ai criteri, il criterio non viene applicato a romain@contoso.com solo se è anche membro dei gruppi Executives. Se non è un membro del gruppo, il criterio si applica ancora a lui.

    Al termine dell'operazione, fare clic su Avanti.

  5. Nella pagina Soglia di phishing & protezione visualizzata configurare le impostazioni seguenti:

    • Soglia di posta elettronica di phishing: usare il dispositivo di scorrimento per selezionare uno dei valori seguenti:

      • 1 - Standard (valore predefinito).
      • 2 - Aggressivo
      • 3 - Più aggressivo
      • 4 - Più aggressivo

      Per altre informazioni, vedere Soglie di phishing avanzate nei criteri anti-phishing in Microsoft Defender per Office 365.

    • Rappresentazione: queste impostazioni sono una condizione per i criteri che identificano mittenti specifici da cercare (singolarmente o per dominio) nell'indirizzo Da dei messaggi in ingresso. Per altre informazioni, vedere Impostazioni di rappresentazione nei criteri anti-phishing in Microsoft Defender per Office 365.

      Nota

      • In ogni criterio anti-phishing è possibile specificare un massimo di 350 utenti protetti (indirizzi di posta elettronica del mittente). Non è possibile specificare lo stesso utente protetto in più criteri.
      • La protezione dalla rappresentazione utente non funziona se il mittente e il destinatario hanno comunicato in precedenza tramite posta elettronica. Se il mittente e il destinatario non hanno mai comunicato tramite posta elettronica, il messaggio verrà identificato come un tentativo di rappresentazione.
      • Abilitare gli utenti per la protezione: il valore predefinito è disattivato (non selezionato). Per attivarla, selezionare la casella di controllo e quindi fare clic sul collegamento Gestisci (nn) mittenti visualizzato.

        Nel riquadro a comparsa Gestisci mittenti per la protezione della rappresentazione visualizzato seguire questa procedura:

        • Mittenti interni: fare clic su Aggiungi icona interna. Selezionare interno. Nel riquadro a comparsa Aggiungi mittenti interni visualizzato fare clic nella casella e selezionare un utente interno dall'elenco. È possibile filtrare l'elenco digitando l'utente e quindi selezionandolo dai risultati. È possibile usare la maggior parte degli identificatori (nome, nome visualizzato, alias, indirizzo di posta elettronica, nome account e così via), ma il nome visualizzato corrispondente viene visualizzato nei risultati.

          Ripetere questo passaggio tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su Rimuovi Rimuovi icona. accanto al valore.

          Al termine, fare clic su Aggiungi

        • Mittenti esterni: fare clic su Aggiungi icona esterna. Selezionare esterno. Nel riquadro a comparsa Aggiungi mittenti esterni visualizzato immettere un nome visualizzato nella casella Aggiungi un nome e un indirizzo di posta elettronica nella casella Aggiungi un messaggio di posta elettronica vaild e quindi fare clic su Aggiungi.

          Ripetere questo passaggio tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su Rimuovi Rimuovi icona. accanto al valore.

          Al termine, fare clic su Aggiungi

        Tornando al riquadro a comparsa Gestisci mittenti per la rappresentazione , è possibile rimuovere le voci selezionando una o più voci dall'elenco. È possibile cercare voci usando l'icona Cerca. Casella di ricerca .

        Dopo aver selezionato almeno una voce, l'icona Rimuovi utenti selezionati. Viene visualizzata l'icona Rimuovi utenti selezionati, che è possibile usare per rimuovere le voci selezionate.

        Al termine, fare clic su Fine.

      • Abilitare i domini per la protezione: il valore predefinito è disattivato (non selezionato). Per attivarla, selezionare la casella di controllo e quindi configurare una o entrambe le impostazioni seguenti visualizzate:

        • Includi i domini di cui sono proprietario: per attivare questa impostazione, selezionare la casella di controllo. Per visualizzare i domini di cui si è proprietari, fare clic su Visualizza domini personali.

        • Includi domini personalizzati: per attivare questa impostazione, selezionare la casella di controllo e quindi fare clic sul collegamento Gestisci (nn) dominio personalizzato visualizzato. Nel riquadro a comparsa Gestisci domini personalizzati per la protezione della rappresentazione visualizzato fare clic sull'icona Aggiungi domini. Aggiungere domini.

          Nel riquadro a comparsa Aggiungi domini personalizzati visualizzato fare clic nella casella Dominio , immettere un valore e quindi premere INVIO o selezionare il valore visualizzato sotto la casella. Ripetere questo passaggio tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su Rimuovi icona accanto al valore.

          Al termine, fare clic su Aggiungi domini

          Nota

          È possibile avere un massimo di 50 domini in tutti i criteri anti-phishing.

        Tornando al riquadro a comparsa Gestisci domini personalizzati per la rappresentazione , è possibile rimuovere le voci selezionando una o più voci dall'elenco. È possibile cercare voci usando l'icona Cerca. Casella di ricerca .

        Dopo aver selezionato almeno una voce, l'icona Elimina domini. Viene visualizzata l'icona Elimina, che è possibile usare per rimuovere le voci selezionate.

    • Aggiungere mittenti e domini attendibili: specificare le eccezioni di protezione della rappresentazione per i criteri facendo clic su Gestisci (nn) mittenti attendibili e domini. Nel riquadro a comparsa Gestisci domini personalizzati per la protezione della rappresentazione visualizzato configurare le impostazioni seguenti:

      • Mittenti: verificare che la scheda Mittente sia selezionata e fare clic sull'icona Aggiungi mittenti. Nel riquadro a comparsa Aggiungi mittenti attendibili visualizzato immettere un indirizzo di posta elettronica nella casella e quindi fare clic su Aggiungi. Ripetere questo passaggio tutte le volte necessarie. Per rimuovere una voce esistente, fare clic sull'icona Elimina per la voce.

        Al termine, fare clic su Aggiungi.

      • Domini: selezionare la scheda Dominio e fare clic sull'icona Aggiungi domini.

        Nel riquadro a comparsa Aggiungi domini attendibili visualizzato fare clic nella casella Dominio , immettere un valore e quindi premere INVIO o selezionare il valore visualizzato sotto la casella. Ripetere questo passaggio tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su Rimuovi icona accanto al valore.

        Al termine, fare clic su Aggiungi.

      Tornando al riquadro a comparsa Gestisci domini personalizzati per la rappresentazione , è possibile rimuovere le voci dalle schede Mittente e Dominio selezionando una o più voci dall'elenco. È possibile cercare voci usando l'icona Cerca. Casella di ricerca .

      Dopo aver selezionato almeno una voce, viene visualizzata l'icona Elimina , che consente di rimuovere le voci selezionate.

      Al termine, fare clic su Fine.

      Nota

      Il numero massimo di voci di mittente e dominio è 1024.

    • Abilitare l'intelligence per le cassette postali: il valore predefinito è attivato (selezionato) e si consiglia di lasciarlo attivato. Per disattivarla, deselezionare la casella di controllo.

      • Abilitare la protezione della rappresentazione basata su intelligence: questa impostazione è disponibile solo se Abilita intelligence per le cassette postali è attiva (selezionata). Questa impostazione consente all'intelligence per le cassette postali di intervenire sui messaggi identificati come tentativi di rappresentazione. Specificare l'azione da eseguire nell'impostazione If mailbox intelligence detects an impersonated user (Se l'intelligence per le cassette postali rileva un utente rappresentato ) nella pagina successiva.

        È consigliabile attivare questa impostazione selezionando la casella di controllo . Per disattivare questa impostazione, deselezionare la casella di controllo.

    • Spoof: in questa sezione usare la casella di controllo Abilita funzionalità di intelligence per spoofing per attivare o disattivare l'intelligence per lo spoofing. Il valore predefinito è attivato (selezionato) e si consiglia di lasciarlo attivato. Specificare l'azione da eseguire sui messaggi dei mittenti spoofing bloccati nell'impostazione Se il messaggio viene rilevato come spoof nella pagina successiva.

      Per disattivare l'intelligence per lo spoofing, deselezionare la casella di controllo.

      Nota

      Non è necessario disattivare la protezione anti-spoofing se il record MX non punta a Microsoft 365. È invece possibile abilitare il filtro avanzato per i connettori. Per istruzioni, vedere Filtro avanzato per i connettori in Exchange Online.

    Al termine dell'operazione, fare clic su Avanti.

  6. Nella pagina Azioni visualizzata configurare le impostazioni seguenti:

    • Azioni messaggio: configurare le azioni seguenti in questa sezione:

      • Se il messaggio viene rilevato come utente rappresentato: questa impostazione è disponibile solo se è stata selezionata l'opzione Consenti agli utenti di proteggere nella pagina precedente. Selezionare una delle azioni seguenti nell'elenco a discesa per i messaggi in cui il mittente è uno degli utenti protetti specificati nella pagina precedente:

        • Non applicare alcuna azione

        • Reindirizzare il messaggio ad altri indirizzi di posta elettronica

        • Spostare il messaggio nelle cartelle Posta indesiderata dei destinatari

        • Mettere in quarantena il messaggio: se si seleziona questa azione, viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione della rappresentazione utente. I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per ulteriori informazioni, vedere criteri di quarantena.

          Un valore di criterio Applica quarantena vuoto indica che vengono usati i criteri di quarantena predefiniti (DefaultFullAccessPolicy per i rilevamenti di rappresentazione utente). Quando in seguito si modificano i criteri anti-phishing o si visualizzano le impostazioni, viene visualizzato il nome predefinito dei criteri di quarantena.

        • Recapitare il messaggio e aggiungere altri indirizzi alla riga Ccn

        • Eliminare il messaggio prima che venga recapitato

      • Se il messaggio viene rilevato come dominio rappresentato: questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita domini da proteggere nella pagina precedente. Selezionare una delle azioni seguenti nell'elenco a discesa per i messaggi in cui l'indirizzo di posta elettronica del mittente si trova in uno dei domini protetti specificati nella pagina precedente:

        • Non applicare alcuna azione

        • Reindirizzare il messaggio ad altri indirizzi di posta elettronica

        • Spostare il messaggio nelle cartelle Posta indesiderata dei destinatari

        • Mettere in quarantena il messaggio: se si seleziona questa azione, viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione della rappresentazione del dominio.

          Un valore di criterio Applica quarantena vuoto indica che vengono usati i criteri di quarantena predefiniti (DefaultFullAccessPolicy per i rilevamenti di rappresentazione del dominio). Quando in seguito si modificano i criteri anti-phishing o si visualizzano le impostazioni, viene visualizzato il nome predefinito dei criteri di quarantena.

        • Recapitare il messaggio e aggiungere altri indirizzi alla riga Ccn

        • Eliminare il messaggio prima che venga recapitato

      • Se l'intelligence per le cassette postali rileva un utente rappresentato: questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita intelligence per la protezione della rappresentazione nella pagina precedente. Selezionare una delle azioni seguenti nell'elenco a discesa per i messaggi identificati come tentativi di rappresentazione dall'intelligence per le cassette postali:

        • Non applicare alcuna azione

        • Reindirizzare il messaggio ad altri indirizzi di posta elettronica

        • Spostare il messaggio nelle cartelle Posta indesiderata dei destinatari

        • Mettere in quarantena il messaggio: se si seleziona questa azione, viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione intelligence delle cassette postali. I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per ulteriori informazioni, vedere criteri di quarantena.

          Un valore di criterio Applica quarantena vuoto indica che vengono usati i criteri di quarantena predefiniti (DefaultFullAccessPolicy per i rilevamenti di intelligence delle cassette postali). Quando in seguito si modificano i criteri anti-phishing o si visualizzano le impostazioni, viene visualizzato il nome predefinito dei criteri di quarantena.

        • Recapitare il messaggio e aggiungere altri indirizzi alla riga Ccn

        • Eliminare il messaggio prima che venga recapitato

      • Se il messaggio viene rilevato come spoofing: questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita intelligence per lo spoofing nella pagina precedente. Selezionare una delle azioni seguenti nell'elenco a discesa per i messaggi provenienti da mittenti spoofati bloccati:

        • Spostare il messaggio nelle cartelle Posta indesiderata dei destinatari

        • Mettere in quarantena il messaggio: se si seleziona questa azione, viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena che si applicano ai messaggi messi in quarantena da spoof intelligence protection. I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per ulteriori informazioni, vedere criteri di quarantena.

          Un valore vuoto Applica criteri di quarantena indica che vengono usati i criteri di quarantena predefiniti (DefaultFullAccessPolicy per i rilevamenti di intelligence per spoofing). Quando in seguito si modificano i criteri anti-phishing o si visualizzano le impostazioni, viene visualizzato il nome predefinito dei criteri di quarantena.

    • Suggerimenti per la sicurezza & indicatori: Configurare le impostazioni seguenti:

      • Mostra il primo contatto suggerimento per la sicurezza: per altre informazioni, vedere Primo contatto suggerimento per la sicurezza.
      • Mostra la rappresentazione utente suggerimento per la sicurezza: questa impostazione è disponibile solo se è stata selezionata l'opzione Consenti agli utenti di proteggere nella pagina precedente.
      • Mostra la rappresentazione del dominio suggerimento per la sicurezza: questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita domini da proteggere nella pagina precedente.
      • Mostra caratteri insoliti di rappresentazione utente suggerimento per la sicurezza Questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita utenti per la protezione o Abilita domini da proteggere nella pagina precedente.
      • Mostra (?) per i mittenti non autenticati per lo spoofing: questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita intelligence per spoofing nella pagina precedente. Aggiunge un punto interrogativo (?) alla foto del mittente nella casella Da in Outlook se il messaggio non supera i controlli SPF o DKIM e il messaggio non passa DMARC o l'autenticazione composita.
      • Mostra tag "via": questa impostazione è disponibile solo se è stata selezionata l'opzione Abilita intelligence spoofing nella pagina precedente. Aggiunge un tag via (chris@contoso.com tramite fabrikam.com) all'indirizzo From se è diverso dal dominio nella firma DKIM o nell'indirizzo MAIL FROM . Il valore predefinito è attivato (selezionato). Per disattivarla, deselezionare la casella di controllo.

      Per attivare un'impostazione, selezionare la casella di controllo . Per disattivarla, deselezionare la casella di controllo.

    Al termine dell'operazione, fare clic su Avanti.

  7. Nella pagina Controllo visualizzata controllare le impostazioni. È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. Oppure è possibile fare clic su Indietro o selezionare la pagina specifica della procedura guidata.

    Al termine, fare clic su Salva.

  8. Nel messaggio di conferma visualizzato fare clic su Fatto.

Usare il portale di Microsoft 365 Defender per visualizzare i criteri anti-phishing

  1. Nel portale di Microsoft 365 Defender passare a Posta elettronica & Criteri di collaborazione > & Regole > Criteri di minaccia > Anti-phishing nella sezione Criteri.

  2. Nella pagina Anti-phishing vengono visualizzate le proprietà seguenti nell'elenco dei criteri anti-phishing:

    • Nome
    • Stato
    • Priorità
    • Ultima modifica
  3. Quando si seleziona un criterio facendo clic sul nome, le impostazioni dei criteri vengono visualizzate in un riquadro a comparsa.

Usare il portale di Microsoft 365 Defender per modificare i criteri anti-phishing

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Email & Collaboration > Policies & Rules > Threat policies > Anti-phishing nella sezione Criteri. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

  2. Nella pagina Anti-phishing selezionare un criterio dall'elenco facendo clic sul nome.

  3. Nel riquadro a comparsa dei dettagli sui criteri visualizzato selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. Per altre informazioni sulle impostazioni, vedere la sezione Usare il portale di Microsoft 365 Defender per creare criteri anti-phishing più indietro in questo articolo.

    Per i criteri anti-phishing predefiniti, la sezione Utenti, gruppi e domini non è disponibile (il criterio si applica a tutti) e non è possibile rinominare i criteri.

Per abilitare o disabilitare un criterio o impostare l'ordine di priorità dei criteri, vedere le sezioni seguenti.

Abilitare o disabilitare i criteri anti-phishing personalizzati

Non è possibile disabilitare i criteri anti-phishing predefiniti.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Email & Collaboration > Policies & Rules > Threat policies > Anti-phishing nella sezione Criteri. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

  2. Nella pagina Anti-phishing selezionare un criterio personalizzato dall'elenco facendo clic sul nome.

  3. Nella parte superiore del riquadro a comparsa dei dettagli sui criteri visualizzato è presente uno dei valori seguenti:

    • Criterio disattivato: Per attivare il criterio, fare clic su Attiva icona Attiva .
    • Criterio attivato: Per disattivare il criterio, fare clic su Disattiva icona Disattiva.
  4. Nella finestra di dialogo di conferma visualizzata fare clic su Attiva o Disattiva.

  5. Fare clic su Chiudi nel riquadro a comparsa dei dettagli del criterio.

Tornare alla pagina dei criteri principale, il valore Stato del criterio sarà Attivato o Disattivato.

Impostare la priorità dei criteri anti-phishing personalizzati

Per impostazione predefinita, ai criteri anti-phishing viene assegnata una priorità basata sull'ordine in cui sono stati creati (i criteri più recenti hanno una priorità inferiore rispetto ai criteri precedenti). Un valore di priorità inferiore indica una priorità più alta per il criterio (0 è il massimo) e i criteri vengono elaborati nell'ordine di priorità (i criteri con priorità più elevata vengono elaborati prima di quelli con priorità più bassa). Nessun criterio può avere la stessa priorità e l'elaborazione dei criteri termina dopo l'applicazione del primo criterio.

Per modificare la priorità di un criterio, fare clic su Aumenta priorità o Riduci priorità nelle proprietà del criterio. Non è possibile modificare direttamente il valore Priorità nel portale di Microsoft 365 Defender. La modifica di priorità di un criterio è utile solo se si hanno più criteri.

Note:

  • Nel portale di Microsoft 365 Defender è possibile modificare la priorità dei criteri anti-phishing solo dopo la creazione. In PowerShell è possibile sostituire la priorità predefinita quando si crea la regola anti-phish (che può influire sulla priorità delle regole esistenti).
  • I criteri anti-phishing vengono elaborati nell'ordine in cui vengono visualizzati (il primo criterio ha il valore Priority 0). Il criterio anti-phishing predefinito ha il valore di priorità Minimo e non è possibile modificarlo.
  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Email & Collaboration > Policies & Rules > Threat policies > Anti-phishing nella sezione Criteri. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

  2. Nella pagina Anti-phishing selezionare un criterio personalizzato dall'elenco facendo clic sul nome.

  3. Nella parte superiore del riquadro a comparsa dei dettagli sui criteri visualizzato viene visualizzato Aumenta priorità o Riduci priorità in base al valore di priorità corrente e al numero di criteri personalizzati:

    • Il criterio con il valore Priority 0 ha solo l'opzione Riduci priorità disponibile.
    • Il criterio con il valore di priorità più basso (ad esempio , 3) ha solo l'opzione Aumenta priorità disponibile.
    • Se sono disponibili tre o più criteri, i criteri tra i valori di priorità più alta e più bassa hanno sia le opzioni Aumenta priorità che Riduci priorità disponibili.

    Fare clic sullaicona Aumenta priorità Aumenta priorità o sullaicona Riduci priorità Riduci priorità per modificare il valore Priorità.

  4. Al termine, fare clic su Chiudi nel riquadro a comparsa dei dettagli del criterio.

Usare il portale di Microsoft 365 Defender per rimuovere i criteri anti-phishing personalizzati

Quando si usa il portale di Microsoft 365 Defender per rimuovere un criterio anti-phishing personalizzato, la regola anti-phishing e i criteri anti-phishing corrispondenti vengono entrambi eliminati. Non è possibile rimuovere i criteri anti-phishing predefiniti.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Email & Collaboration > Policies & Rules > Threat policies > Anti-phishing nella sezione Criteri. Per passare direttamente alla pagina Anti-phishing , usare https://security.microsoft.com/antiphishing.

  2. Nella pagina Anti-phishing selezionare un criterio personalizzato dall'elenco facendo clic sul nome del criterio.

  3. Nella parte superiore del riquadro a comparsa dei dettagli sui criteri che appare, fare clic sulla icona Altre azioni. Altre azioni > Elimina icona del criterio Elimina criterio.

  4. Nella finestra di dialogo di conferma che viene visualizzata fare clic su .

Usare Exchange Online PowerShell per configurare i criteri anti-phishing

Come descritto in precedenza, un criterio di protezione dalla posta indesiderata è costituito da un criterio anti-phishing e una regola anti-phishing.

In Exchange Online PowerShell, la differenza tra i criteri anti-phish e le regole anti-phish è evidente. È possibile gestire i criteri anti-phish usando i *cmdlet -AntiPhishPolicy e gestire le regole anti-phish usando i *cmdlet -AntiPhishRule .

  • In PowerShell si creano prima i criteri anti-phishing, quindi si crea la regola anti-phish che identifica i criteri a cui si applica la regola.
  • In PowerShell le impostazioni nei criteri anti-phish e nella regola anti-phish vengono modificate separatamente.
  • Quando si rimuove un criterio anti-phishing da PowerShell, la regola anti-phish corrispondente non viene rimossa automaticamente e viceversa.

Usare PowerShell per creare criteri anti-phishing

La creazione di criteri anti-phishing in PowerShell è un processo in due passaggi:

  1. Creare i criteri anti-phishing.
  2. Creare la regola anti-phish che specifica i criteri anti-phish a cui si applica la regola.

Note:

  • È possibile creare una nuova regola anti-phishing e assegnarvi un criterio anti-phish non collegato esistente. Una regola anti-phishing non può essere associata a più criteri anti-phishing.
  • È possibile configurare le impostazioni seguenti nei nuovi criteri anti-phishing in PowerShell che non sono disponibili nel portale di Microsoft 365 Defender fino a quando non si creano i criteri:
    • Creare il nuovo criterio come disabilitato (abilitato $false nel cmdlet New-AntiPhishRule ).
    • Impostare la priorità dei criteri durante la creazione (Priority <Number>) nel cmdlet New-AntiPhishRule .
  • Un nuovo criterio anti-phishing creato in PowerShell non è visibile nel portale di Microsoft 365 Defender fino a quando non si assegnano i criteri a una regola anti-phish.

Passaggio 1: Usare PowerShell per creare un criterio anti-phishing

Per creare un criterio anti-phish, usare questa sintassi:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

In questo esempio viene creato un criterio anti-phishing denominato Quarantena ricerche con le impostazioni seguenti:

  • I criteri sono abilitati (non si usa il parametro Enabled e il valore predefinito è $true).
  • La descrizione è: Criteri del reparto di ricerca.
  • Modifica l'azione predefinita per i rilevamenti di spoofing in Quarantena e usa i criteri di quarantena predefiniti per i messaggi in quarantena (non si usa il parametro SpoofQuarantineTag ).
  • Abilita la protezione dei domini dell'organizzazione per tutti i domini accettati e la protezione dei domini di destinazione per fabrikam.com.
  • Specifica Quarantine come azione per i rilevamenti di rappresentazione del dominio e usa i criteri di quarantena predefiniti per i messaggi in quarantena (non si usa il parametro TargetedDomainQuarantineTag ).
  • Specifica Mai Fujito (mfujito@fabrikam.com) come l'utente da proteggere da imitazione.
  • Specifica Quarantine come azione per i rilevamenti di rappresentazione utente e usa i criteri di quarantena predefiniti per i messaggi in quarantena (non si usa il parametro TargetedUserQuarantineTag ).
  • Abilita l'intelligence per le cassette postali (EnableMailboxIntelligence), consente alla protezione intelligence delle cassette postali di intervenire sui messaggi (EnableMailboxIntelligenceProtection), specifica Quarantine come azione per i messaggi rilevati e usa i criteri di quarantena predefiniti per i messaggi in quarantena (non si usa il parametro MailboxIntelligenceQuarantineTag ).
  • Abilita tutti i suggerimenti per la sicurezza.
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-AntiPhishPolicy.

Nota

Per istruzioni dettagliate su come specificare i criteri di quarantena da usare in un criterio anti-phishing, vedere Usare PowerShell per specificare i criteri di quarantena nei criteri anti-phishing.

Passaggio 2: Usare PowerShell per creare una regola anti-phish

Per creare una regola anti-phish, usare questa sintassi:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In questo esempio viene creata una regola anti-phish denominata Research Department con le condizioni seguenti:

  • La regola è associata al criterio anti-phishing denominato Quarantena ricerca.
  • La regola viene applicata ai membri del gruppo denominato Research Department.
  • Poiché non si usa il parametro Priority , viene usata la priorità predefinita.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-AntiPhishRule.

Usare PowerShell per visualizzare i criteri anti-phishing

Per visualizzare i criteri anti-phish esistenti, usare la sintassi seguente:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

In questo esempio viene restituito un elenco riepilogativo di tutti i criteri anti-phishing insieme alle proprietà specificate.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

In questo esempio vengono restituiti tutti i valori delle proprietà per il criterio anti-phish denominato Executives.

Get-AntiPhishPolicy -Identity "Executives"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-AntiPhishPolicy.

Usare PowerShell per visualizzare le regole anti-phishing

Per visualizzare le regole anti-phish esistenti, usare la sintassi seguente:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

In questo esempio viene restituito un elenco riepilogativo di tutte le regole anti-phish insieme alle proprietà specificate.

Get-AntiPhishRule | Format-Table Name,Priority,State

Per filtrare l'elenco in base alle regole abilitate o disabilitate, eseguire i comandi seguenti:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

In questo esempio vengono restituiti tutti i valori della proprietà per la regola anti-phish denominata Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-AntiPhishRule.

Usare PowerShell per modificare i criteri anti-phishing

Oltre agli elementi seguenti, sono disponibili le stesse impostazioni quando si modificano criteri anti-phish in PowerShell come quando si creano i criteri come descritto nella sezione Passaggio 1: Usare PowerShell per creare un criterio anti-phish più indietro in questo articolo.

  • L'opzione MakeDefault che trasforma il criterio specificato nel criterio predefinito (applicato a tutti, sempre con priorità più bassa e non è possibile eliminarlo) è disponibile solo quando si modifica un criterio anti-phish in PowerShell.

  • Non è possibile rinominare un criterio anti-phish (il cmdlet Set-AntiPhishPolicy non ha alcun parametro Name ). Quando si rinomina un criterio anti-phishing nel portale di Microsoft 365 Defender, si rinomina solo la regola anti-phishing.

Per modificare un criterio anti-phishing, usare questa sintassi:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-AntiPhishPolicy.

Nota

Per istruzioni dettagliate su come specificare i criteri di quarantena da usare in un criterio anti-phishing, vedere Usare PowerShell per specificare i criteri di quarantena nei criteri anti-phishing.

Usare PowerShell per modificare le regole anti-phishing

L'unica impostazione non disponibile quando si modifica una regola anti-phish in PowerShell è il parametro Enabled che consente di creare una regola disabilitata. Per abilitare o disabilitare le regole anti-phishing esistenti, vedere la sezione successiva.

In caso contrario, non sono disponibili impostazioni aggiuntive quando si modifica una regola anti-phish in PowerShell. Le stesse impostazioni sono disponibili quando si crea una regola come descritto nella sezione Passaggio 2: Usare PowerShell per creare una regola anti-phish più indietro in questo articolo.

Per modificare una regola anti-phish, usare questa sintassi:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-AntiPhishRule.

Usare PowerShell per abilitare o disabilitare le regole anti-phishing

L'abilitazione o la disabilitazione di una regola anti-phishing in PowerShell abilita o disabilita l'intero criterio anti-phishing (la regola anti-phish e i criteri anti-phish assegnati). Non è possibile abilitare o disabilitare i criteri anti-phishing predefiniti (vengono sempre applicati a tutti i destinatari).

Per abilitare o disabilitare una regola anti-phish in PowerShell, usare la sintassi seguente:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

In questo esempio viene disabilitata la regola anti-phish denominata Marketing Department.

Disable-AntiPhishRule -Identity "Marketing Department"

In questo esempio viene abilitata la stessa regola.

Enable-AntiPhishRule -Identity "Marketing Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Enable-AntiPhishRule e Disable-AntiPhishRule.

Usare PowerShell per impostare la priorità delle regole anti-phishing

Il valore di priorità più alto che è possibile impostare in una regola è 0. Il valore più basso che è possibile impostare dipende dal numero di regole. Se si dispone di cinque regole predefinite, è possibile utilizzare i valori di priorità da 0 a 4. Modificare la priorità di una regola esistente può avere un effetto a catena su altre regole. Ad esempio, se si dispone di cinque regole (priorità da 0 a 4) e si modifica la priorità di una regola a 2, la regola esistente con priorità 2 viene modificata a livello di priorità 3 e la regola con priorità 3 viene modificata a livello di priorità 4.

Per impostare la priorità di una regola anti-phish in PowerShell, usare la sintassi seguente:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

Nell'esempio seguente la priorità della regola denominata Marketing Department viene impostata su 2. Tutte le regole esistenti che hanno una priorità minore o uguale a 2 vengono abbassate di 1 valore (i numeri di priorità vengono aumentati di 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Note:

  • Per impostare la priorità di una nuova regola al momento della creazione, usare invece il parametro Priority nel cmdlet New-AntiPhishRule .

  • Il criterio anti-phish predefinito non ha una regola anti-phish corrispondente e ha sempre il valore di priorità immodificabile Più basso.

Usare PowerShell per rimuovere i criteri anti-phishing

Quando si usa PowerShell per rimuovere un criterio anti-phishing, la regola anti-phish corrispondente non viene rimossa.

Per rimuovere un criterio anti-phishing in PowerShell, usare questa sintassi:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

In questo esempio vengono rimossi i criteri anti-phishing denominati Marketing Department.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-AntiPhishPolicy.

Usare PowerShell per rimuovere le regole anti-phishing

Quando si usa PowerShell per rimuovere una regola anti-phishing, i criteri anti-phish corrispondenti non vengono rimossi.

Per rimuovere una regola anti-phish in PowerShell, usare questa sintassi:

Remove-AntiPhishRule -Identity "<PolicyName>"

In questo esempio viene rimossa la regola anti-phish denominata Marketing Department.

Remove-AntiPhishRule -Identity "Marketing Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-AntiPhishRule.

Come verificare se queste procedure hanno avuto esito positivo?

Per verificare di aver configurato correttamente i criteri anti-phishing in Defender per Office 365, eseguire una delle operazioni seguenti:

  • Nella pagina Anti-phishing nel portale di Microsoft 365 Defender in https://security.microsoft.com/antiphishingverificare l'elenco dei criteri, i relativi valori status e priority. Per visualizzare altri dettagli, selezionare i criteri nell'elenco facendo clic sul nome e visualizzando i dettagli nel riquadro a comparsa visualizzato.

  • In Exchange Online PowerShell sostituire <Name> con il nome del criterio o della regola ed eseguire il comando seguente e verificare le impostazioni:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"