Falsi positivi
Questo articolo spiega come SMARTFENSE rileva, gestisce e nasconde le statistiche generate da software (falsi positivi) all'interno delle campagne. Inoltre, dettaglia i report e le configurazioni disponibili per garantire la precisione dei risultati e mantenere l'affidabilità delle metriche degli utenti.
Statistiche generate da software
Le statistiche generate da software sono un fenomeno indipendente dallo strumento di simulazione utilizzato. Sono presenti in quasi tutte le simulazioni attuali, poiché la maggior parte delle organizzazioni utilizza strumenti di email security.
Un falso positivo è una statistica generata automaticamente da un software, ma registrata a nome di un utente. Questa situazione è comune e può influire sulla precisione dei risultati delle campagne. Se il tuo strumento di simulazione non rileva questi casi, i report potrebbero includere azioni che gli utenti non hanno realmente eseguito.
SMARTFENSE incorpora algoritmi robusti e collaudati per rilevare queste statistiche e offrire risultati affidabili nelle campagne, costituendo un vantaggio differenziale rispetto ad altre soluzioni.
Analisi delle statistiche
Audit - Dettaglio della campagna
Qualsiasi campagna interessata da statistiche generate da software viene evidenziata affinché l'utente amministrativo possa identificare questa situazione. Ciò può verificarsi sia nelle campagne di Newsletter sia nelle simulazioni di Phishing o Ransomware.
Riepilogo
Falsi positivi
Dalla scheda Falsi positivi, vengono presentate risorse e report che permettono di analizzare e conoscere maggiori dettagli, facilitando la configurazione del nascondimento. Questa vista mostra se i falsi positivi sono nascosti o visibili, con accesso diretto per modificare la configurazione.
Inoltre, da questa stessa sezione è possibile riprocessare le statistiche dopo aver regolato la configurazione di nascondimento, ottenendo dati aggiornati e affidabili in cui vengono mostrate solo le azioni reali degli utenti.
Elenco delle interazioni generate da software
Questo report elenca i falsi positivi registrati nella campagna. Le informazioni includono:
Quantità di falsi positivi rilevati.
Utenti interessati da ciascun caso.
Origine di ciascun falso positivo.
I dati possono essere esportati in Excel o CSV per l'analisi, facilitando l'eliminazione dei duplicati e l'identificazione degli strumenti che generano falsi positivi.
Quantità di interazioni per utente
Questo report mostra tutti gli utenti assegnati alla campagna insieme al numero di interazioni registrate a loro nome.
SMARTFENSE rileva automaticamente la maggior parte dei falsi positivi; tuttavia, ogni organizzazione può presentare casi particolari non rilevati automaticamente.
Se un utente ha un numero insolito di interazioni, sarà evidenziato, poiché probabilmente è interessato da falsi positivi non identificati automaticamente.
Il report può essere esportato anche in Excel o CSV.
Indirizzi IP che hanno interagito nella campagna
Questo report mostra gli indirizzi IP da cui sono state generate interazioni con la campagna. Per ogni IP, viene dettagliato:
Se è collegato solo a interazioni degli utenti.
Se è collegato solo a falsi positivi.
Se è collegato a entrambi i tipi di interazioni.
Le informazioni possono essere esportate in Excel o CSV per facilitare l'analisi e l'identificazione degli strumenti che generano falsi positivi.
Come SMARTFENSE identifica le interazioni generate da software
Questa risorsa online fornisce informazioni chiare su:
Processo di Whitelist
Statistiche generate da Software
Come rileva SMARTFENSE l'interazione di uno strumento di sicurezza?
Interazioni provenienti da IP o user-agent configurati in Whitelist
Attivazione di link speciali
Analisi delle interazioni precedenti
Riprocessare le statistiche di una campagna
Se si modificano i filtri di nascondimento delle statistiche generate da software nella sezione Falsi positivi, le modifiche influiranno solo sulle statistiche registrate dopo la modifica.
Tuttavia, è possibile riprocessare le statistiche della campagna attuale per:
Contrassegnare come “Statistiche generate da software” tutte le statistiche ricevute dagli attuali User Agents e intervalli di IP configurati.
Contrassegnare come “Statistiche generate da software” tutte le statistiche avvenute 3 secondi prima di tali interazioni.
Si noti che lo scoring di rischio e la mappa di calore degli utenti potrebbero essere modificati dopo aver eseguito questa azione.
Per riprocessare le statistiche, premere il pulsante blu Riprocessa le statistiche di questa campagna e poi Accetta.
Al termine, la piattaforma tornerà automaticamente alla vista Riepilogo con i dati aggiornati nel grafico a imbuto e i falsi positivi nascosti.
| Avvertenza: il riprocessamento non modificherà le statistiche già contrassegnate come “Statistiche generate da software”. Non verranno create nuove interazioni a nome degli utenti. |
Vista degli Utenti assegnati alla campagna e delle loro azioni
Dalla vista Utenti assegnati alla campagna è possibile consultare la tabella con gli utenti e le loro interazioni.
Facendo clic su un utente specifico, viene mostrata la sua cronologia delle interazioni, indicando se sono di tipo utente o software.
Se nella sezione Configurazione > Sicurezza > Falsi positivi è configurato il nascondimento, verranno mostrate solo le azioni di tipo utente.
Per visualizzare tutte le interazioni, configurare in tale sezione affinché i falsi positivi, ovvero le azioni di software, siano visibili.
Nella cronologia di ciascun utente, la piattaforma può mostrare lo stato in verde Nessun avviso, oppure in rosso con l'avviso che l'utente è stato interessato da falsi positivi.
Esempio senza avvisi:
Esempio con avviso di falso positivo:
Per ogni interazione dell'utente viene mostrato:
- Tipo di Azione (Utente o Software).
- Indirizzo IP.
- Whois (accesso tramite il pulsante Consulta Whois).
- User Agent.
- Azioni, con il pulsante Segna come falso positivo.
| Nota: questa azione è irreversibile. |
Premendo questo pulsante Segna come falso positivo, è necessario scegliere una delle seguenti opzioni:
Segna solo questa interazione come falso positivo.
Segna tutte le interazioni provenienti da un indirizzo IP specifico (x.x.x.x) come falsi positivi, sia nella campagna attuale che nelle future.
Segna tutte le interazioni provenienti da uno specifico User Agent (x), sia nella campagna attuale che nelle future.
Configurazioni
Dal Menu Configurazione > Sicurezza > Falsi positivi è possibile definire se si desidera mostrare o nascondere i falsi positivi nei vari report della piattaforma.
Opzioni:
- Mostra falsi positivi
- Nascondi falsi positivi
Intervallo di secondi
L'intervallo di secondi definisce il livello di tolleranza rispetto a un falso positivo.
Quando viene rilevata una statistica generata da software, verranno contrassegnate come falsi positivi anche le interazioni che si verificano all'interno dell'intervallo configurato.
Importante: se si modifica questo intervallo, la modifica influirà solo sulle interazioni future.
Per applicarlo alle statistiche già registrate, è necessario riprocessare la campagna corrispondente.
Opzioni:
Attiva intervallo di secondi (consigliato)
Disattiva intervallo di secondi
Report delle simulazioni tramite il pulsante di segnalazione Phishing
Nelle campagne di simulazione di Phishing o Ransomware, dopo che un utente effettua una segnalazione tramite il pulsante Phishing, è possibile:
Continuare ad analizzare tutte le interazioni successive alla segnalazione.
Contrassegnare come falsi positivi tutte le interazioni che si verificano dopo la segnalazione.
Questa configurazione garantisce che, una volta che un utente identifica e segnala una simulazione, le interazioni generate automaticamente dal software siano trattate come falsi positivi.
La logica si applica individualmente: se un utente segnala una simulazione, ciò non influisce sulla raccolta delle statistiche degli altri utenti.
Configurazione User Agent
Questa configurazione consente di indicare quali User Agents devono essere sempre contrassegnati come falsi positivi.
Ogni volta che viene registrata un'interazione, verrà verificato se lo User Agent corrisponde a uno di quelli inseriti.
Non è necessario inserire gli User Agents completi.
Ad esempio: se viene registrata la stringa Chrome 83.0, un'interazione con lo User Agent “PC / Mac OS X 10.15.4 / Chrome 83.0.4103” sarà contrassegnata come falso positivo.
| Importante: le modifiche si applicano solo alle interazioni future. Perché abbiano effetto sulle campagne precedenti, è necessario riprocessare le statistiche della campagna. |
Configurazione IP
Permette di indicare quali intervalli di indirizzi IP devono essere sempre contrassegnati come falsi positivi.
Ogni volta che viene registrata un'interazione, verrà verificato se il suo indirizzo IP appartiene a uno degli intervalli definiti.
| Importante: le modifiche si applicano solo alle interazioni future. Perché abbiano effetto sulle campagne precedenti, è necessario riprocessare le statistiche della campagna. |
💡 Raccomandazioni
Controlla regolarmente i report dei Falsi positivi per mantenere l'integrità dei dati.
Utilizza il riprocessamento delle statistiche dopo aver modificato le configurazioni di IP o User Agent.
Attiva l'intervallo di secondi per migliorare la precisione nel rilevamento dei falsi positivi.
Esporta i report in Excel o CSV per un'analisi più approfondita e audit interni.