Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=report-sophoslabs-analysis-report

Report di analisi dei SophosLabs

Il Report di analisi dei SophosLabs fornisce i verdetti dei SophosLabs sui messaggi e-mail di tipo Segnalato come minaccia (falsi negativi) o Segnalato come pulito (falsi positivi) inviati da utenti e amministratori. Include inoltre una ripartizione delle minacce (malware, imitazione e spam) e dei messaggi inviati in blocco (bulk) classificati da Sophos Email.

Il report aiuta a valutare l’efficacia delle impostazioni attuali di Sophos Email e a identificare pattern nel comportamento degli utenti. Se alcuni utenti segnalano raramente messaggi rischiosi, potrebbe essere consigliabile verificarne l’attività per assicurarsi che siano in grado di riconoscere e segnalare correttamente le minacce.

Per visualizzare il report, selezionare Report > Email Security > Report di analisi dei SophosLabs.

Il seguente video indica come amministratori e utenti possono segnalare falsi positivi o falsi negativi ai SophosLabs e visualizzare i verdetti.

Come segnalare messaggi ai SophosLabs

Amministratori e utenti possono segnalare messaggi sospetti o classificati erroneamente ai SophosLabs, a scopo di ulteriore analisi. Questi report aiutano a migliorare il rilevamento delle minacce di Sophos e a ridurre i falsi negativi e i falsi positivi nell’intera organizzazione.

Esistono diversi modi per segnalare i messaggi.

  • Segnalazione utilizzando i banner intelligenti nelle e-mail

    Amministratori e utenti possono cliccare su Report nei banner intelligenti che vengono visualizzati nelle e-mail ricevute. Se nel criterio è attivata la segnalazione, l’opzione Report sarà disponibile per i messaggi contrassegnati come Esterno o Non attendibile.

    Impostazioni dei messaggi per gli utenti finali

  • Segnalazione dalla Protezione contro gli attacchi di imitazione di utenti VIP

    I messaggi che imitano e-mail provenienti da utenti nell’elenco di VIP vengono rilevati automaticamente e messi in quarantena. Amministratori e utenti possono segnalare questi messaggi ai SophosLabs, a scopo di ulteriore analisi.

    Protezione contro gli attacchi di imitazione

  • Segnalazione durante il recupero su richiesta

    Quando gli amministratori recuperano manualmente i messaggi recapitati, li possono segnalare ai SophosLabs e specificare un motivo, ad esempio phishing, spam o malware.

    Recupero su richiesta

Questi metodi di segnalazione forniscono ai SophosLabs un feedback prezioso per migliorare l’accuratezza del rilevamento e per proteggere l’organizzazione contro le minacce in continua evoluzione.

Visualizzazione di un messaggio segnalato da Dettagli messaggio

Quando un messaggio viene inviato ai SophosLabs da Dettagli messaggio, viene etichettato come Segnalato come minaccia o Segnalato come pulito. È possibile cliccare sul link per aprire il Report di analisi dei SophosLabs. Il report viene filtrato automaticamente per mostrare il messaggio selezionato.

Link per aprire il “Report di analisi dei SophosLabs”.

Dettagli del report dei SophosLabs

Il Report di analisi dei SophosLabs aiuta a verificare rapidamente come è stato analizzato il messaggio e quale verdetto è stato emesso dai SophosLabs.

Il report include filtri, riepiloghi delle statistiche, un grafico e schede di riepilogo che aiutano a comprendere rapidamente i pattern di segnalazione e i verdetti.

Filtri

È possibile visualizzare le segnalazioni inviate negli ultimi 365 giorni. Per impostazione predefinita, il report mostra gli ultimi 30 giorni. Utilizzare il menu a discesa per filtrare in base a Segnalato come minaccia o Segnalato come pulito.

Riepilogo delle statistiche di rilevamento

Il riepilogo delle statistiche di rilevamento nella parte alta del report ha due sezioni:

  1. Rilevato da Sophos: mostra il numero di messaggi identificati come “Minacce” o “Bulk” da Sophos durante la scansione iniziale.
  2. Analizzato dai SophosLabs: mostra il numero di messaggi classificati dai SophosLabs come “Minacce”, “Bulk”, “Senza classificazione” o “Pulito” dopo l’analisi.

I messaggi di tipo “Malware”, “Imitazione” e “Spam” rientrano nella categoria “Minacce”.

È possibile passare il cursore del mouse su ciascuna sezione del riepilogo delle statistiche di rilevamento per visualizzare una ripartizione delle categorie dei messaggi. Per visualizzare ulteriori dettagli, si possono intraprendere le seguenti azioni:

  • Cliccare su un numero nel pannello Rilevato da Sophos per accedere al report Riepilogo dei messaggi.
  • Cliccare su un numero nel pannello Analizzato dai SophosLabs per filtrare la tabella in base al verdetto.

Per nascondere il riepilogo delle statistiche di rilevamento, cliccare su Nascondi grafico nella parte in alto a destra della pagina.

Grafico

Il grafico mostra una visualizzazione della sequenza temporale dei messaggi inviati ai SophosLabs a scopo di analisi. Aiuta a tenere traccia di quando sono stati segnalati diversi tipi di messaggi e come sono stati categorizzati nel tempo.

Ecco cosa si può fare con il grafico:

  • Passare il cursore del mouse sul grafico per visualizzare il numero di messaggi in ciascuna categoria, in base alla data.
  • Cliccare su un elemento della legenda per mostrare o nascondere categorie specifiche, in modo da potersi concentrare su quelle di maggiore interesse.
  • Cliccare su Nascondi grafico per nascondere il grafico.

Schede

Il report include quattro schede di riepilogo che mettono in evidenza i principali approfondimenti ottenuti dalle segnalazioni:

  • Principali mittenti
  • Principali domini mittente
  • Principali IP mittente
  • Principali utenti segnalatori

Queste schede aiutano a identificare le origini di potenziali minacce e gli utenti che segnalano frequentemente messaggi sospetti. È possibile utilizzare questi approfondimenti per ottimizzare i criteri, migliorare il rilevamento o formare utenti specifici.

Ecco cosa si può fare con le schede:

  • Cliccare su un numero su una scheda, per visualizzare un elenco di segnalazioni che trovano corrispondenza.
  • Cliccare sull’icona Espandi Icona Espandi. per aprire una visualizzazione dettagliata della scheda. Ogni scheda mostra fino a 30 voci e include una barra di ricerca che può essere utilizzata per trovare risultati specifici.
  • Cliccare su Nascondi riepilogo per nascondere le schede.

Tabella dei report

La tabella del report mostra il numero di messaggi elaborati per ogni data nell’intervallo selezionato. È possibile ordinare la tabella in base a qualsiasi colonna.

Ogni riga rappresenta un messaggio che è stato inviato ai SophosLabs a scopo di analisi.

Colonne

Il report mostra i seguenti dettagli:

  • Direzione: In entrata o In uscita. Cliccare sull’icona Filtro Icona Filtro. e selezionare In entrata, In uscita o entrambe le opzioni, per filtrare le righe.
  • Mittente: l’indirizzo e-mail del mittente.
  • Segnalante: l’indirizzo e-mail dell’utente segnalante.
  • Oggetto: cliccare sull’oggetto per visualizzare ulteriori dettagli sul messaggio.
  • Data di ricezione: indica la data e l’ora in cui è stato ricevuto il messaggio.
  • Verdetto dell’analisi: indica il verdetto dei SophosLabs, ad esempio “Malware”, “Imitazione”, “Spam”, “Bulk”, “Senza classificazione” o “Pulito”. I messaggi che devono ancora essere analizzati dai SophosLabs verranno visualizzati con la dicitura “Analisi in sospeso”.

Dettagli del “Report di analisi dei SophosLabs”.

Vista estesa

È possibile espandere una riga per visualizzare informazioni dettagliate su un messaggio segnalato. La vista estesa include i seguenti dettagli:

  • Il timestamp quando il messaggio è stato ricevuto
  • Il timestamp quando il messaggio è stato segnalato
  • L’indirizzo IP di origine e il server di posta di invio
  • La categoria originaria del messaggio
  • Il verdetto dell’analisi
  • L’utente segnalante e altri destinatari

Visualizzazione estesa dei dettagli del “Report di analisi dei SophosLabs”.

Azioni

Nel Report di analisi dei SophosLabs, è possibile cercare segnalazioni, autorizzare o bloccare mittenti e pianificare o esportare report.

Come effettuare la ricerca

È possibile utilizzare la Ricerca avanzata per cercare le segnalazioni del report pertinenti.

Nota

Inserire almeno tre caratteri di una parola, un indirizzo e-mail o un indirizzo IP per trovare corrispondenze parziali. Lasciare vuoto un campo se non si desidera utilizzarlo per filtrare i risultati.

Nella Ricerca avanzata sono disponibili le seguenti condizioni di ricerca:

  • Mittente: Supporta porzioni di stringhe. Non distingue tra caratteri maiuscoli e minuscoli.

  • Segnalante: Supporta porzioni di stringhe. Non distingue tra caratteri maiuscoli e minuscoli.

    Esempio

    Si può inserire john per trovare corrispondenza con john.doe@example.com.

  • Origine: indirizzo IP o server di posta di origine. Supporta valori parziali degli indirizzi IP.

    Esempio

    Si può inserire 192 per trovare corrispondenza con 192.168.0.1.

  • Oggetto: Supporta porzioni di stringhe. Non distingue tra caratteri maiuscoli e minuscoli.

    Esempio

    Si può inserire test per trovare corrispondenza con spam test.

  • Verdetto: Selezionare tra Qualsiasi, In sospeso, Bulk, Spam, Malware, Imitazione, Senza classificazione, Pulito, Minacce (Malware, Imitazione, Spam).

  • Data di segnalazione: selezionare la data della segnalazione.

È possibile utilizzare una combinazione di condizioni di ricerca diverse. Quando si utilizzano condizioni di ricerca diverse, le colleghiamo con un operatore logico AND. Questo significa che, per essere visualizzato nei risultati, un messaggio deve trovare corrispondenza con tutte le condizioni di ricerca.

Dopo aver applicato le condizioni di ricerca, cliccare su Cerca per aggiornare i risultati della ricerca.

Nei risultati della ricerca, le condizioni di ricerca selezionate vengono visualizzate nella casella di ricerca. È possibile modificare la ricerca cliccando sull’icona a forma di crocetta grigia accanto a una condizione per rimuoverla. I risultati della ricerca vengono aggiornati immediatamente.

Autorizzazione di un mittente

È possibile autorizzare mittenti solo durante la visualizzazione dei dati di Segnalato come pulito nel Report di analisi dei SophosLabs.

Cliccare sui tre puntini Icona con i tre puntini. a destra della tabella del report per autorizzare un mittente, un dominio del mittente o un indirizzo IP.

Opzione per l’autorizzazione di un mittente, un dominio del mittente o un indirizzo IP dalla tabella del report.

Quando si autorizza l’indirizzo e-mail, il dominio o l’indirizzo IP di un mittente, si possono aggiungere descrizioni per specificare il motivo di ciascuna voce di autorizzazione. Una descrizione potrebbe essere, per esempio, “partner commerciale attendibile”. È possibile visualizzare e modificare queste descrizioni in un secondo momento, nell’elenco Autorizzazione/blocco in entrata. Vedere Autorizzazione/blocco in entrata.

Blocco di un mittente

È possibile bloccare mittenti solo durante la visualizzazione dei dati di Segnalato come minaccia nel Report di analisi dei SophosLabs.

Cliccare sui tre puntini Icona con i tre puntini. a destra della tabella del report per bloccare un mittente, un dominio del mittente o un indirizzo IP.

Opzione per il blocco di un mittente, un dominio del mittente o un indirizzo IP dalla tabella del report.

Quando si blocca l’indirizzo e-mail, il dominio o l’indirizzo IP di un mittente, si possono aggiungere descrizioni per specificare il motivo di ciascuna voce di blocco. Ad esempio, una descrizione potrebbe essere “bloccato a causa di spam”. È possibile visualizzare e modificare queste descrizioni in un secondo momento, nell’elenco Autorizzazione/blocco in entrata. Vedere Autorizzazione/blocco in entrata.

Avviso

Prestare attenzione quando si blocca un indirizzo IP. Si potrebbe bloccare accidentalmente un intero servizio. Ad esempio, se viene bloccato l’indirizzo IP utilizzato da Microsoft 365, non si riceveranno messaggi da alcun utente di Microsoft 365.

Pianificazione di un report

È possibile pianificare l’invio regolare via e-mail di Report di analisi dei SophosLabs ad amministratori selezionati.

Procedura

Per informazioni su come pianificare un report, vedere Pianificazione dei report.

Esportazione di un report

È possibile esportare un Report di analisi dei SophosLabs contenente un resoconto delle attività durante un intervallo di date specificato, oppure durante gli ultimi 90 giorni. Il file esportato includerà tutti i filtri applicati al momento dell’esportazione.

Cliccare su Esporta per scaricare il report come file CSV o PDF.