Microsoft - Come evitare falsi positivi di ATP nelle simulazioni di phishing e ransomware (DMI)

Questo articolo spiega come configurare le regole di Advanced Threat Protection (ATP) in Microsoft per evitare falsi positivi nelle simulazioni inviate tramite Direct Message Injection (DMI). È il passaggio necessario quando il DMI è già configurato ma si registrano clic o aperture di file che gli utenti non hanno effettuato.

Requisiti preliminari

• Il mezzo di invio DMI deve essere configurato e funzionante. Se non lo ha ancora configurato, segua prima il Microsoft - Come configurare l'invio delle simulazioni tramite DMI (Direct Message Injection).
• Accesso amministratore al Centro di Amministrazione di Exchange: https://admin.exchange.microsoft.com
• Accesso amministratore alla sua piattaforma SMARTFENSE.

Passo 1 — Accorciare l’header di SMARTFENSE

Microsoft ha un limite di circa 100 caratteri per il valore dell’intestazione nelle regole di flusso di posta. L’header predefinito di SMARTFENSE solitamente supera questo limite, quindi deve essere accorciato prima di creare le regole.

1. Acceda alla sua piattaforma SMARTFENSE.
2. Vada su Configurazione > Sicurezza > Whitelist.
3. Nella sezione Header delle email di Phishing e Ransomware, clicchi su Personalizza Header.
4. Copi il valore dell’header in un editor di testo (ad esempio Blocco note).
5. Elimini caratteri dalla fine fino a quando il testo ha circa 100 caratteri.
6. Incolli l’header modificato nel campo corrispondente della piattaforma.
7. Clicchi su Salva.

Conservi l’header accorciato manualmente: le servirà per configurare entrambe le regole nei passi successivi.

Passo 2 — Creare la regola per saltare ATP Link

Questa regola impedisce ad ATP di analizzare i link inclusi nelle simulazioni, eliminando i falsi clic.

1. Acceda al Centro di Amministrazione di Exchange: https://admin.exchange.microsoft.com
2. Vada su Flusso di posta > Regole.
3. Clicchi su (+) Aggiungi una regola > Crea una nuova regola.
4. Assegni il nome Salta ATP Links.
5. In Applica questa regola se..., selezioni Le intestazioni del messaggio > includono una di queste parole.
6. In Scrivi testo, inserisca: X-PHISHINGSIMULATION. Clicchi su Salva.
7. In Scrivi parole, incolli l’header che ha accorciato nel Passo 1. Clicchi su Aggiungi e poi su Salva.
8. In Fai quanto segue, selezioni Modifica proprietà del messaggio > imposta un’intestazione del messaggio.
9. In Scrivi testo, inserisca: X-MS-Exchange-Organization-SkipSafeLinksProcessing. Clicchi su Salva.
10. In valore, inserisca: 1. Clicchi su Salva.
11. Clicchi su Avanti.
12. In Imposta la configurazione della regola, lasci i valori predefiniti e clicchi su Avanti.
13. In Rivedi e termina, clicchi su Termina.

Passo 3 — Creare la regola per saltare ATP Attachment

Questa regola impedisce ad ATP di analizzare gli allegati delle simulazioni di ransomware, eliminando le false aperture.

1. Nella schermata Regole, clicchi su (+) Aggiungi una regola > Crea una nuova regola.
2. Assegni il nome Salta ATP Attachments.
3. Ripeta i passi da 5 a 10 del Passo 2, con la seguente differenza al passo 9:
   • In Scrivi testo, inserisca: X-MS-Exchange-Organization-SkipSafeAttachmentProcessing
4. Clicchi su Avanti.
5. In Imposta la configurazione della regola, lasci i valori predefiniti e clicchi su Avanti.
6. In Rivedi e termina, clicchi su Termina.

Passo 4 — Abilitare le regole e impostare la priorità

Una volta create le due regole, è necessario abilitarle e configurare correttamente la loro priorità. Senza questo passaggio, le regole non avranno effetto.

1. Acceda per modificare la regola Salta ATP Links.
2. Vada su Modifica configurazione della regola.
3. Attivi il campo Abilitata.
4. Imposti la priorità su 0.
5. Salvi le modifiche.
6. Acceda per modificare la regola Salta ATP Attachments.
7. Vada su Modifica configurazione della regola.
8. Attivi il campo Abilitata.
9. Imposti la priorità su 1.
10. Attivi l’opzione Interrompi l’elaborazione di altre regole.
11. Salvi le modifiche.

L’opzione "Interrompi l’elaborazione di altre regole" deve essere attiva solo nella regola Salta ATP Attachments (priorità 1).

Passo 5 — Verificare la configurazione

Prima di lanciare una campagna a tutti gli utenti, verifichi che le regole funzionino correttamente.

1. Attenda almeno 2 ore affinché le regole si propaghino a tutti gli utenti.
2. Configuri una campagna di simulazione di prova indirizzata a un gruppo ristretto di utenti (può essere il suo stesso utente).
3. Verifichi che non vengano registrati clic o aperture di file che gli utenti del gruppo di prova non hanno effettuato.

💡 Migliori pratiche

• Configurare sempre le regole ATP quando si usa DMI come mezzo di invio in ambienti Microsoft, anche se non sono stati ancora rilevati falsi positivi.
• Usare l’header personalizzato (accorciato) in modo coerente: lo stesso valore deve essere presente sia nella piattaforma SMARTFENSE che in entrambe le regole di Exchange.
• Testare la configurazione con un gruppo ristretto prima di lanciare campagne massive.
• Non superare i 100 caratteri nel valore dell’header per evitare che Microsoft rifiuti la regola silenziosamente.
• Controllare le regole in Exchange se in qualche momento dovessero ricomparire falsi positivi, poiché gli aggiornamenti dell’ambiente Microsoft potrebbero disabilitarle.