In questa guida spiegherò come creare una policy di protezione per le cassette postali in caso di attacchi tramite allegati malevoli.
La policy definisce il comportamento del sistema quando viene rilevato un allegato nelle email ricevute.
Per procedere con la configurazione dobbiamo seguire i seguenti passaggi:
-
Andare sul portale di Defender raggiungibile dal link: https://security.microsoft.com
-
Cliccare sull’icona che mostra la barra di navigazione.

- Andare nella sezione “Posta Elettronica e collaborazione”.

- Andare su “Criteri e regole”.

- Selezionare “Criteri per minaccia”.

- Cliccare sulla voce “Allegati sicuri”.

- Cliccare quindi sulla voce “Crea”.

Nota importante
Qui, come per altre sezioni, vedremo che sono presenti già alcune policy di default create da Microsoft che non possono essere spente né cancellate.
Il mio suggerimento è di creare sempre una o più nuove policy sulla base delle necessità e mantenere la default invariata. Tanto le nostre policy avranno sempre una priorità più alta di quelle create automaticamente da Microsoft.
- Selezioniamo il “nome” della policy.

- Scriviamo pure una descrizione per la nostra policy. Anche se questo passaggio non è obbligatorio, ci aiuterà a capire cosa faccia questa policy qualora nel nostro tenant ne siano presenti più di una. Una volta completata la compilazione, clicchiamo su “Avanti”.

-
Scegliamo a quali utenti applicarla. Per questa configurazione abbiamo 3 opzioni:
- applicarla a singoli utenti;
- applicarla a gruppi di utenti;
- applicarla a livello di dominio.

Nota personale
In questa sezione è possibile aggiungere più utenti, gruppi e domini in maniera granulare. Se lo facciamo, ovviamente, il portale applica le policy a questi.
Il mio suggerimento è però di creare delle policy ed applicarle a livello di gruppo, quindi o solo ad utenti espliciti, o solo a gruppi espliciti, o solo a domini espliciti.
- Oltre a queste impostazioni, è possibile applicare anche esclusioni specifiche, sempre a livello di utente singolo, gruppo o dominio.

-
Ciò che questa policy ci permetterà di scegliere è come proteggere le mailbox dalle mail con allegati. In questo caso potremo:
- Disattivare l’analisi sugli allegati;
- Il messaggio e l’allegato vengono spediti all’utente ma sarà presente una notifica che indica che il file allegato è malevolo;
- I messaggi con allegati malevoli vengono bloccati;
- La mail viene recapitata senza allegato. Questo verrà analizzato e poi, se sarà valido, verrà nuovamente recapitata la mail con l’allegato.
Nota personale
Quest’ultima soluzione, a mio avviso, è quella che può creare più problemi agli utenti, in quanto si vedrebbero le mail recapitate più volte e, se non ben istruiti, potrebbero lamentarsi di problemi del flusso di posta o pensare che la soluzione implementata non funzioni correttamente.

- A questo punto potremo scegliere quale policy di notifica di quarantena applicare, in modo che vengano informati che delle mail destinate a loro sono state bloccate.

Nota importante
Se non la selezioneremo, o se selezioneremo una policy non attiva, solo l’amministratore vedrà quella mail bloccata sul tenant nel portale di https://security.microsoft.com.
- Come ultima opzione abbiamo la possibilità di reindirizzare il messaggio con gli allegati ad un indirizzo specifico, in modo che un team di sicurezza o di analisi SOC possa analizzarli.

- Appena avremo configurato la policy sulla base delle nostre necessità dovremo cliccare su “Avanti”

- A questo punto Microsoft ci mostrerà il recap di quanto configurato.

- Se tutto risulterà essere corretto, potremo procedere a creare la nostra policy cliccando su “Invia”.

- A questo punto la nostra policy sarà creata e, in circa 15 minuti, diventerà effettiva e si applicherà agli utenti definiti in fase di creazione.

Nota importante
Questa era solo una policy di configurazione del servizio di Defender for Office 365.
Di seguito lascio i link alle altre guide per configurare le altre policy di protezione per le nostre mailbox:
- Anti phishing
- Filtro della posta Indesiderata (Antispam)
- Antimalware
- Collegamenti sicuri
- Policy di quarantena
Nota personale
Ho preferito separare le guide in modo tale che il tutto sia il più leggibile possibile. Avere un’unica guida creerebbe molta confusione, in quanto risulterebbe davvero lunga e difficilmente leggibile.
Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.
Guarda il video qui