Questo articolo contiene informazioni sulle impostazioni di Evasione del phishing con falsi positivi nella sezione Phishing delle Impostazioni account della console KSAT. Se hai avviato una campagna di phishing e noti risultati insoliti, potresti trovarti davanti a falsi clic. Nell’analisi dei risultati della campagna, se noti una percentuale di clic del 100% o indirizzi IP che non appartengono alla tua organizzazione, potrebbe trattarsi di falsi positivi. Le impostazioni di Evasione del phishing con falsi positivi possono ridurre al minimo l’incidenza di falsi positivi, fornendoti risultati delle campagne di phishing più accurati. Per maggiori informazioni sui clic, consulta la sezione Come identificare i clic dei bot nell’articolo Identificare e gestire i falsi positivi.

I falsi positivi nelle simulazioni di phishing spesso derivano da pratiche non corrette di inserimento nell’elenco elementi consentiti, dall’interferenza dello strumento di scansione dei link o da policy di sicurezza configurate in modo errato. Per ridurre al minimo questi problemi, assicurati che i filtri anti-spam siano configurati correttamente per escludere le e-mail di phishing di KnowBe4 dall’analisi dei link e dalle attività di controllo.

Verifica che gli smart host e le policy di recapito avanzate siano in linea con le impostazioni della tua campagna. Quando analizzi i falsi positivi attivati dagli strumenti di analisi dei link, controlla le configurazioni dell’inserimento nell’elenco elementi consentiti e collabora con gli amministratori IT per confermare che le impostazioni di sicurezza soddisfano gli standard dell’organizzazione, riducendo al contempo le occorrenze di falsi positivi.

Abilitare le impostazioni di evasione del phishing con falsi positivi

Per falso positivo, ci riferiamo a un’infrazione di phishing non causata da un utente che fa clic su un link di phishing. Se non risolti, i falsi positivi possono causare risultati inaccurati delle campagne di phishing nei Rapporti dei Phishing Security Test.

L’evasione del phishing con falsi positivi funziona monitorando quando si accede a un link nascosto in un Phishing Security Test (PST) inviato. Le infrazioni di phishing che si verificano dopo l’accesso a questo link nascosto vengono contrassegnate e ignorate se si verificano entro la Durata infrazioni bot ignorate. Inoltre, gli indirizzi IP per le infrazioni associate ai bot e ai test di phishing effettivi vengono confrontati configurando l’impostazione Corrispondenza indirizzo IP per le infrazioni bot ignorate.

Puoi abilitare e personalizzare le impostazioni di Evasione del phishing con falsi positivi nella sezione Phishing delle Impostazioni account. Per maggiori informazioni sulle impostazioni in questa sezione, vedi le schermate e l’elenco di seguito:

1. Ignora le infrazioni di phishing associate ai bot: seleziona questa casella di controllo per ignorare le infrazioni di phishing associate ai bot, che si verificano subito dopo aver effettuato l’accesso a un link nascosto. Quando abiliti questa impostazione, verranno visualizzate anche le opzioni Durata infrazioni bot ignorate e Corrispondenza indirizzo IP per le infrazioni bot ignorate.

   

2. Durata infrazioni bot ignorate: qui, puoi selezionare il tempo trascorso dall’accesso a un link nascosto in cui le successive infrazioni di phishing associate ai bot devono essere ignorate. Le opzioni disponibili sono Conservativa (5 sec), Bilanciata (10 sec) e Inclusiva (30 sec).
3. Corrispondenza indirizzo IP per le infrazioni bot ignorate: puoi selezionare i criteri di corrispondenza per ignorare le infrazioni di phishing associate ai bot in base all’indirizzo IP del link nascosto aperto rispetto all’indirizzo IP delle potenziali infrazioni di phishing associate ai bot. Le opzioni sono Nessuna corrispondenza, Primi due ottetti e Corrispondenza esatta. L’opzione Primi due ottetti troverà le corrispondenze degli indirizzi IP in base al relativo identificativo di rete di Classe B. Ad esempio, se l’indirizzo IP è 54.70.53.60, cercherà indirizzi IP che rientrano nella subnet 54.70.0.0/16.

   

Come visualizzare i dettagli delle infrazioni di phishing associate ai bot ignorate

Dopo aver abilitato l’impostazione Ignora le infrazioni di phishing associate ai bot, le infrazioni ignorate nei test di phishing possono essere visualizzate nella pagina Utenti > Infrazioni ignorate nelle campagne di phishing.

Vedi la schermata e l’elenco in basso per una spiegazione dei dati presenti in questa sezione:

1. Nome e e-mail: questa colonna mostra il nome e l’indirizzo e-mail dell’utente dell’infrazione associata ai bot ignorata.
2. Data e ora: questa colonna mostra la data e l’ora dell’infrazione associata ai bot ignorata.
3. Intervallo eventi bot: questa colonna mostra i secondi trascorsi dall’accesso a un link nascosto in cui le successive infrazioni di phishing associate ai bot sono state ignorate.
4. Tipo di infrazione ignorata: questa colonna mostra il tipo dell’infrazione associata ai bot ignorata, in questo caso “Clic effettuato”.
5. Indirizzo IP: questa colonna mostra l’indirizzo IP dell’infrazione associata ai bot ignorata.
6. Browser: questa colonna mostra il browser usato dall’infrazione associata ai bot, come Chrome.
7. Versione browser: questa colonna mostra la versione del browser usato dall’infrazione associata ai bot.
8. Sistema operativo: questa colonna mostra il sistema operativo usato dall’infrazione associata ai bot, come Mac.
9. Eventi bot: questa colonna mostra il numero di infrazioni ignorate per questo utente. Tieni presente che questo contatore si ferma a 5 e altri eventi bot non aggiorneranno il resto dei dati della riga. Quando si verifica questa situazione, vedrai “5+” nella colonna Eventi bot.
10. Converti in un’infrazione di una campagna (icona del cestino): quando selezioni questa icona, la console convertirà le infrazioni dei bot ignorate in infrazioni della campagna di phishing. Altre informazioni sul funzionamento di questa funzione sono spiegate di seguito.
11. Anteprima (icona della busta): questa icona, se selezionata, mostra un’anteprima dell’e-mail della campagna di phishing.

Come convertire le infrazioni ignorate in infrazioni effettive

Puoi convertire le infrazioni dei bot ignorate in infrazioni delle campagne di phishing effettive se credi si sia verificato un falso negativo. Se ritieni che un utente non abbia superato un test di phishing e che la console stia mostrando un evento di infrazione ignorata e non un’infrazione di phishing, puoi convertire l’infrazione bot ignorata in un’infrazione della campagna di phishing.

Per completare il processo di conversione, effettua le seguenti operazioni:

1. Nella console KSAT, vai a Phishing > Campagne, quindi seleziona la campagna di phishing.
2. Vai a Utenti.
3. A destra della sezione Utenti, fai clic su Infrazione ignorata.
4. Quando vedi un’infrazione ignorata che desideri convertire in un’infrazione effettiva, fai clic sull’icona del cestino a destra dello schermo.

   

5. Ti verrà chiesto se vuoi convertire l’evento bot in un’infrazione della campagna, poiché non potrai annullare l’operazione.

   

6. Fai clic sul pulsante Conferma.
7. Un’infrazione ignorata può essere convertita in un’infrazione di phishing solo una volta. L’icona del cestino verrà disattivata dopo la conversione dell’infrazione ignorata in un’infrazione di phishing.

   

8. Il Tipo di infrazione ignorata sarà visibile dopo la sua conversione in infrazione di phishing. Ad esempio, nella schermata seguente, Tipo di infrazione ignorata è un tipo di infrazione Clic effettuato.