La Global Blocklist usa informazioni di provenienza pubblica relative alle minacce e‑mail per aiutarti a impedire che e‑mail dannose o di spam raggiungano le caselle di posta in arrivo degli utenti. Il team del Laboratorio di ricerca sulle minacce di KnowBe4 compila i dati di tutte le Blocklist di PhishER e di altre fonti per creare le voci della Global Blocklist. Queste voci contengono informazioni che verranno usate dal tuo server di posta per filtrare le e‑mail indesiderate.

La funzione Global Blocklist è disponibile solo per gli account su cui è attivo PhishER Plus. Dopo aver abilitato questa funzione e averla collegata al tuo server di posta Microsoft 365, KnowBe4 collegherà il tuo server di posta alla Global Blocklist. Quando il team del Laboratorio di ricerca sulle minacce aggiorna la Global Blocklist, le voci della blocklist del tuo server di posta verranno aggiornate automaticamente.

Per ulteriori informazioni sulla Blocklist di PhishER, leggi il nostro articolo Come utilizzare la Blocklist di PhishER.

Abilitare e autorizzare la Global Blocklist

Prima di poter utilizzare la Global Blocklist, devi abilitarla all’interno della piattaforma PhishER. Dovrai inoltre autorizzare la Global Blocklist assegnando il ruolo di admin Exchange all’applicazione Global Blocklist nel tuo account Microsoft 365 con Microsoft Entra ID.

Per abilitare e autorizzare la Global Blocklist, procedi come descritto di seguito:

1. Nella piattaforma PhishER, vai su Settings (Impostazioni) > Blocklist.
2. Se alla blocklist non è collegato alcun server di posta Microsoft 365, fai clic su Connect to Microsoft 365 (Connetti a Microsoft 365) e aggiungi una connessione.
   Nota:se hai già abilitato la Blocklist di PhishER e l’hai già collegata al server di posta Microsoft 365, puoi saltare questo passaggio.
3. Attiva l’interruttore situato accanto a Global Blocklist Disabled (Global Blocklist disabilitata).
4. Si apre la finestra pop‑up Terms and Conditions (Termini e condizioni); leggi e accetta la Privacy Policy (Informativa sulla privacy) e i Terms of Service (Termini del servizio). Dopo aver letto entrambi gli articoli, fai clic su I Accept (Accetto).
5. Fai clic su Save (Salva) per salvare le impostazioni della Global Blocklist.
6. Nel portale di Microsoft Entra ID, assegna il ruolo Exchange Administrator all’applicazione Global Blocklist. Per maggiori informazioni, consulta l’articolo Assegnare il ruolo Exchange Administrator all’applicazione PhishER Blocklist.

Monitorare le voci della Global Blocklist

Dopo aver abilitato e autorizzato la Global Blocklist, l’organizzazione avrà accesso alle voci della blocklist gestite dal team del Laboratorio di ricerca sulle minacce di KnowBe4. Puoi visualizzare l’elenco completo delle voci della Global Blocklist aprendo Blocklist > Your Syncing Entries (Voci sincronizzate) e selezionando Global Entries (Voci globali) nelle opzioni Filter by Entry Type (Filtra per tipo di voce).

Se hai abilitato la Global Blocklist e la Blocklist di PhishER per la tua organizzazione, la scheda secondaria Your Syncing Entries (Voci sincronizzate) riporterà le voci della Blocklist di PhishER e le voci della Global Blocklist sincronizzate con il tuo server di posta. Le voci sono elencate in base ai loro valori. Per ulteriori informazioni su questa scheda secondaria, guarda la schermata e l’elenco in basso:

1. Filter by Attribute (Filtra per attributo): tramite questi filtri puoi visualizzare le voci con un tipo di attributo specifico.
   Nota: la blocklist di PhishER ha un massimo di 500 voci per l’attributo Mittente, URL e Hash del file.
2. Filter by Status (Filtra per stato): tramite questi filtri puoi visualizzare le voci con uno stato specifico.
3. Filter by Entry Type (Filtra per tipo di voce): tramite questi filtri puoi visualizzare solo le voci della Global Blocklist o le voci personalizzate della tua Blocklist di PhishER.
4. Value (Valore): in questa colonna viene visualizzato il valore della voce. I valori possono essere l’indirizzo del mittente, l’URL o l’hash di un file. Il tuo server di posta utilizzerà questo valore per filtrare le e‑mail che hanno lo stesso valore. Per ulteriori informazioni su come verranno filtrate le e‑mail, leggi l’elenco in basso:
   • URL or File Hash (URL o Hash del file): se un’e‑mail contiene un URL o un valore hash del file corrispondente a una voce, il server di posta sposterà automaticamente l’e‑mail nella cartella Quarantine (Quarantena).
   • Sender (Mittente): se un’e‑mail contiene un mittente corrispondente a una voce, il server di posta sposterà automaticamente l’e‑mail nella cartella Junk (Posta indesiderata).
   Suggerimento:puoi fare clic su un valore della colonna per visualizzare la pagina Blocklist Audit Log. Per ulteriori informazioni, leggi la sezione Esaminare il registro di controllo di questo articolo.
5. Status (Stato): questa colonna riporta lo stato della voce della blocklist. Per ulteriori informazioni sugli stati, consulta l’elenco in basso:
   • Pending (In sospeso): questo stato indica che la voce sta per essere aggiunta o eliminata dalla blocklist.
   • Active (Attiva): questo stato indica che la voce è stata aggiunta alla blocklist e sincronizzata con il server di posta collegato.
   • Incomplete (Incompleta): questo stato indica che una voce è stata aggiunta e sincronizzata con uno o più server di posta collegati, ma non con tutti.
   • Failed (Non riuscita): questo stato indica che la voce non è stata aggiunta e sincronizzata correttamente. Se hai più server di posta connessi alla tua blocklist e una voce non si sincronizza con tutti, la voce verrà visualizzata come Failed (Non riuscita).
6. Created By (Creata da): questa colonna indica chi ha creato la voce. Se la voce della Blocklist di PhishER è stata creata da un admin di PhishER, viene visualizzato il valore Admin. Se la voce della Global Blocklist è stata creata dal team del Laboratorio di ricerca sulle minacce di KnowBe4 viene visualizzato il valore KnowBe4.
7. Created On (Creata il): questa colonna mostra la data e l’ora in cui la voce è stata aggiunta alla Global Blocklist.
8. Expires On (Scade il): questa colonna mostra la data e l’ora in cui la voce verrà rimossa dalla Global Blocklist e dall’elenco tenant consentiti/bloccati di Microsoft 365.
   Nota:la sincronizzazione tra le voci presenti nell’elenco tenant consentiti/bloccati di Microsoft 365 e la Global Blocklist può richiedere fino a 24 ore.
9. Actions (Azioni): in questa colonna, puoi fare clic sull’icona del cestino per aprire la finestra pop‑up Delete Blocklist Entry (Elimina voce della blocklist). In questa finestra puoi eliminare una voce dalla Blocklist di PhishER. In alternativa, puoi eliminare e ignorare una voce per evitare che venga aggiunta alla Blocklist di PhishER. Per saperne di più sulle voci ignorate, leggi la sezione secondaria Ignorare le voci in basso.

Ignorare le voci

Per evitare il blocco di alcune voci sui tuoi server di posta, puoi aggiungerle all’elenco di voci ignorate. Le voci ignorate non possono essere aggiunte alla Blocklist di PhishER.

Quando ignori una voce, a tutte le voci corrispondenti all’interno della Blocklist di PhishER verrà assegnato lo stato Pending (In sospeso) per indicare che verranno eliminate. All’interno della blocklist non potrai creare una voce corrispondente a una voce ignorata, se questa non viene prima eliminata nella scheda secondaria Your Ignored Entries (Voci ignorate).

Per ignorare una voce della blocklist esistente, procedi come descritto di seguito:

1. Accedi alla piattaforma PhishER.
2. Vai su Blocklist > Your Syncing Entries (Voci sincronizzate).
3. Individua la voce da ignorare.
4. Fai clic sull’icona del cestino nella colonna Actions (Azioni) in corrispondenza della voce. Si apre la finestra pop-up Delete Blocklist Entry (Elimina voce nella blocklist).
5. Nella finestra pop‑up, fai clic su Delete and Ignore (Elimina e ignora). Una voce ignorata verrà aggiunta alla scheda secondaria Your Ignored Entries (Voci ignorate) e alla voce corrispondente nella blocklist verrà assegnato lo stato Pending (In sospeso) per indicare che verrà eliminata.

Per creare una voce ignorata dalla scheda secondaria Your Ignored Entries (Voci ignorate), effettua le seguenti operazioni:

1. Accedi alla piattaforma PhishER.
2. Vai a Blocklist > Your Ignored Entries (Voci ignorate).
3. Fai clic sul pulsante Create Ignored Entry (Crea voce ignorata) nell’angolo in alto a destra della pagina. Si apre la finestra pop-up Create Ignored Entry (Crea voce ignorata).
4. Nella finestra pop‑up, crea la voce ignorata. Per ulteriori informazioni, guarda la schermata e l’elenco in basso:
   • Attribute (Attributo): seleziona il tipo di attributo da utilizzare per la tua voce ignorata.
   • Sender (Mittente): seleziona questa opzione per utilizzare come valore l’indirizzo e-mail o il dominio del mittente. Nel campo Value (Valore) puoi inserire, ad esempio, un indirizzo e‑mail completo come “username@dominio.com” o un nome di dominio come “dominio.com”.
   • URL: seleziona questa opzione per utilizzare come valore un URL completo o un nome dell’host. Nel campo Value (Valore) puoi inserire, ad esempio, “www.nomesito.com/pagina" o “www.nomesito.com”.
   • File Hash (Hash del file): seleziona questa opzione per utilizzare come valore un hash SHA-256 del file.
   • Value (Valore): in questo campo, inserisci il valore specifico che il tuo server di posta non deve bloccare. Ad esempio, se per il campo Attribute (Attributo), selezioni Sender (Mittente), in questo campo dovrai inserire l’indirizzo e‑mail del mittente.
5. Per aggiungere la voce alle voci ignorate, fai clic su Save (Salva).

Puoi monitorare tutte le voci ignorate nella scheda secondaria Your Ignored Entries (Voci ignorate). Per ulteriori informazioni su questa scheda secondaria, guarda la schermata e l’elenco in basso:

1. Search... (Cerca): tramite questo campo puoi filtrare le voci ignorate utilizzando le query Lucene.
   Nota:per cercare voci con valori simili, devi utilizzare dei caratteri jolly. Ad esempio, per trovare tutti i valori che contengono “yahoo.com”, puoi cercare la stringa “*yahoo.com”. Per ulteriori informazioni, leggi l’articolo Come usare la sintassi delle query Lucene.
2. Filter by Attribute (Filtra per attributo): tramite questi filtri puoi visualizzare le voci con un tipo di attributo specifico.
3. Value (Valore): in questa colonna viene visualizzato il valore della voce.
4. Created On (Creata il): in questa colonna vengono visualizzate la data e l’ora di creazione della voce ignorata.
5. Actions (Azioni): in questa colonna, puoi fare clic sull’icona del cestino per eliminare una voce ignorata. Se elimini una voce ignorata, puoi utilizzare il suo valore per creare una nuova voce nella Blocklist di PhishER.

Esaminare il registro di controllo

All’interno della piattaforma PhishER, puoi andare su Blocklist > Audit Log (Registro di controllo) e visualizzare il registro. Il registro di controllo include le attività della Blocklist di PhishER e della Global Blocklist, come ad esempio la creazione, l’eliminazione e la sincronizzazione delle voci con i server di posta.

Per ulteriori informazioni su questa scheda secondaria, guarda la schermata e l’elenco in basso:

1. Timestamp (Data e ora): questa colonna mostra la data e l’ora in cui si è verificata l’azione nella colonna Event Action (Azione evento).
2. Event Type (Tipo di evento): questa colonna mostra il tipo di azione che si è verificata. Per ulteriori informazioni sui tipi di evento, consulta l’elenco in basso:
   • Entry Updated (Voce aggiornata): questo tipo di evento indica che una voce è stata creata o eliminata.
   • Entry Synced (Voce sincronizzata): questo tipo di evento indica che una voce è stata sincronizzata con la Blocklist di PhishER.
   • Blocklist Synced (Blocklist sincronizzata): questo tipo di evento indica che tutte le voci sono state sincronizzate per tutti i server di posta collegati.
3. Value (Valore): questa colonna mostra il valore della voce interessata.
4. Updated By (Aggiornata da): questa colonna indica l’origine dell’azione. Quando una voce viene aggiornata, in questa colonna viene visualizzato l’indirizzo e‑mail dell’utente che l’ha aggiornata. Quando una singola voce o le blocklist vengono sincronizzate, questa colonna mostra l’ID del server di posta o il nome del server di posta. Se l’azione è stata eseguita dal sistema, questa colonna sarà vuota.
5. Event Action (Azione evento): questa colonna indica quale azione è stata eseguita per una voce o una blocklist. Quando una voce è stata creata, viene visualizzato il messaggio Created (Creata). Quando una voce o una blocklist viene sincronizzata con i server di posta collegati, viene visualizzato il messaggio Synced (Sincronizzata). Quando una voce viene eliminata, viene visualizzato il messaggio Deleted (Eliminata).
6. Status (Stato): questa colonna indica se l’azione è riuscita o meno.