مشاركة عبر

اعتبارات نشر التدريب على محاكاة الهجوم والأسئلة المتداولة

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

يتيح التدريب على محاكاة الهجوم للمؤسسات Microsoft 365 E5 أو Microsoft Defender لـ Office 365 الخطة 2 قياس وإدارة مخاطر الهندسة الاجتماعية من خلال السماح بإنشاء وإدارة عمليات محاكاة التصيد الاحتيالي التي يتم تشغيلها بواسطة حمولات التصيد الاحتيالي غير الضارة في العالم الحقيقي. يساعد التدريب الموجه فائقة الاستهداف، الذي يتم تقديمه بالشراكة مع أمان Terranova، على تحسين المعرفة وتغيير سلوك الموظفين.

لمزيد من المعلومات حول بدء استخدام التدريب على محاكاة الهجوم، راجع بدء استخدام التدريب على محاكاة الهجوم.

بينما تم تصميم تجربة إنشاء المحاكاة وجدولتها لتكون تدفقا حرا وبلا احتكاك، فإن المحاكاة على نطاق المؤسسة تتطلب التخطيط. تساعد هذه المقالة في معالجة التحديات المحددة التي نراها بينما يقوم عملاؤنا بتشغيل عمليات المحاكاة في بيئاتهم الخاصة.

المشكلات المتعلقة بتجارب المستخدم النهائي

عناوين URL لمحاكاة التصيد الاحتيالي التي تم حظرها بواسطة Google Safe Browsing

قد تحدد خدمة سمعة عنوان URL عنوان URL واحدا أو أكثر من عناوين URL التي تستخدمها التدريب على محاكاة الهجوم على أنها غير آمنة. يقوم Google Safe Browsing في Google Chrome بحظر بعض عناوين URL للتصيد الاحتيالي التي تمت محاكاتها مع رسالة مسبقة لموقع خادع . بينما نعمل مع العديد من بائعي سمعة عنوان URL للسماح دائما بعناوين URL للمحاكاة الخاصة بنا، ليس لدينا دائما تغطية كاملة.

تحذير الموقع المخادع مسبقا في Google Chrome

لا تؤثر هذه المشكلة على Microsoft Edge.

كجزء من مرحلة التخطيط، تأكد من التحقق من توفر عنوان URL في مستعرضات الويب المدعومة قبل استخدام عنوان URL في حملة تصيد احتيالي. إذا تم حظر عناوين URL بواسطة Google Safe Browsing، فاتبع هذه الإرشادات من Google للسماح بالوصول إلى عناوين URL.

راجع بدء استخدام التدريب على محاكاة الهجوم للحصول على قائمة عناوين URL المستخدمة حاليا من قبل التدريب على محاكاة الهجوم.

محاكاة التصيد الاحتيالي وعناوين URL للمسؤول المحظورة بواسطة حلول وكيل الشبكة وبرامج تشغيل التصفية

قد يتم حظر كل من عناوين URL لمحاكاة التصيد الاحتيالي وعناوين URL للمسؤول أو إسقاطها بواسطة أجهزة الأمان الوسيطة أو عوامل التصفية. على سبيل المثال:

  • جدران الحماية
  • حلول جدار حماية تطبيق الويب (WAF)
  • برامج تشغيل عامل تصفية الجهات الخارجية (على سبيل المثال، عوامل تصفية وضع النواة)

على الرغم من أننا رأينا عددا قليلا من العملاء يتم حظرهم في هذه الطبقة، إلا أنه يحدث. إذا واجهت مشكلات، ففكر في تكوين عناوين URL التالية لتجاوز الفحص بواسطة أجهزة الأمان أو عوامل التصفية كما هو مطلوب:

رسائل المحاكاة التي لم يتم تسليمها إلى جميع المستخدمين المستهدفين

من الممكن أن يكون عدد المستخدمين الذين يتلقون رسائل البريد الإلكتروني للمحاكاة بالفعل أقل من عدد المستخدمين الذين تم استهدافهم بواسطة المحاكاة. يتم استبعاد الأنواع التالية من المستخدمين كجزء من التحقق من صحة الهدف:

  • عناوين البريد الإلكتروني للمستلم غير صحيحة.
  • المستخدمون الضيوف.
  • المستخدمون الذين لم يعودوا نشطين في Microsoft Entra ID.

إذا كنت تستخدم مجموعات التوزيع أو مجموعات الأمان الممكنة للبريد لاستهداف المستخدمين، يمكنك استخدام الأمر cmdlet Get-DistributionGroupMember في Exchange Online PowerShell لعرض أعضاء مجموعة التوزيع والتحقق من صحتهم.

التدريبات المعينة أو غير المعينة للمستخدمين بشكل غير متوقع

يمنع حد التدريب في الحملات التدريبية المستخدمين من الحصول على نفس التدريبات المعينة لهم خلال فترة زمنية محددة (90 يوما بشكل افتراضي). لمزيد من المعلومات، راجع تعيين حد التدريب.

إذا قمت بإنشاء محاكاة أو أتمتة محاكاة بقيمة تعيين التدريب تعيين تدريب لي (مستحسن)، فإننا نعين التدريب استنادا إلى نتائج المحاكاة والتدريب السابقة للمستخدم. لتعيين التدريب استنادا إلى معايير محددة، حدد تحديد الدورات التدريبية والوحدات.

ماذا يحدث عندما يرد المستخدم على رسالة محاكاة أو يعيد توجيهها؟

إذا رد مستخدم على رسالة محاكاة أو قام بإعادة توجيهها إلى علبة بريد أخرى، يتم التعامل مع الرسالة كرسالة بريد إلكتروني عادية (بما في ذلك التفجير بواسطة الارتباطات الآمنة أو المرفقات الآمنة). يوضح تقرير المحاكاة ما إذا كان قد تم الرد على رسالة المحاكاة أو إعادة توجيهها. يرتبط كل عنوان URL في البريد الإلكتروني للمحاكاة بمستخدم فردي، لذلك يتم تحديد عمليات تفجير الروابط الآمنة على أنها نقرات من قبل المستخدم.

إذا كنت تستخدم علبة بريد مخصصة لعمليات الأمان (SecOps)، فتأكد من تعريفها على أنها SecOps في نهج التسليم المتقدم بحيث يتم تسليم الرسائل دون تصفية.

كيف يمكنني التقسيم المرحلي لتسليم رسائل المحاكاة؟

في كلتا الحالتين، من المهم استخدام حمولات مختلفة لتجنب المناقشة والتعريف بين المستخدمين.

لماذا يتم حظر الصور في رسائل المحاكاة بواسطة Outlook؟

بشكل افتراضي، يتم تكوين Outlook لحظر تنزيلات الصور التلقائية في الرسائل من الإنترنت. على الرغم من أنه يمكنك تكوين Outlook لتنزيل الصور تلقائيا، إلا أننا لا نوصي بذلك بسبب الآثار الأمنية (التنزيل التلقائي المحتمل للتعليمات البرمجية الضارة أو أخطاء الويب، والمعروفة أيضا باسم برامج ويب الملحقة للتتبع أو وحدات البكسل).

يمكن أن تحدث هذه الأحداث عندما تقوم أجهزة أو تطبيقات أمان إضافية بفحص رسائل المحاكاة. على سبيل المثال (على سبيل المثال لا الحصر):

  • التطبيقات أو المكونات الإضافية داخل Outlook التي تقوم بفحص الرسالة أو اعتراضها.
  • تطبيقات أمان البريد الإلكتروني.
  • أمان نقطة النهاية أو برامج مكافحة الفيروسات.
  • أدلة مبادئ تنسيق الأمان والتشغيل التلقائي والاستجابة (SOAR) التي تقوم تلقائيا بفرز الرسائل المبلغ عنها أو الاستجابة لها تلقائيا.

يمكن لهذه الأنواع من التطبيقات إلقاء نظرة على محتوى الويب للكشف عن التصيد الاحتيالي، لذلك تحتاج إلى تحديد استثناءات لرسائل المحاكاة في هذه التطبيقات.

قد توفر بيانات EmailLinkClicked_IP EmailLinkClicked_TimeStamp مزيدا من التفاصيل حول الحدث. على سبيل المثال، إذا حدثت نقرة بعد بضع ثوان من التسليم، وكان عنوان IP لا ينتمي إلى Microsoft أو شركتك أو المستخدم، فمن المحتمل أن نظام تصفية تابع لجهة خارجية أو خدمة أخرى اعترضت الرسالة.

بالنسبة لأي أنظمة أو خدمات تصفية غير Microsoft، تحتاج إلى السماح بالعناصر التالية أو إعفائها:

هل يمكنني إضافة العلامة الخارجية أو نصائح الأمان إلى رسائل المحاكاة؟

تحتوي الحمولات المخصصة على خيار إضافة العلامة الخارجية إلى الرسائل. لمزيد من المعلومات، راجع الخطوة 5 في إنشاء حمولات.

لا توجد خيارات مضمنة لإضافة تلميحات الأمان إلى الحمولات، ولكن يمكنك استخدام الطرق التالية في صفحة تكوين الحمولة لمعالج إعداد الحمولة:

  • استخدم رسالة بريد إلكتروني موجودة تحتوي على تلميح الأمان كقالب. احفظ الرسالة بتنسيق HTML وانسخ المعلومات.

  • استخدم نموذج التعليمات البرمجية التالي لتلميح أمان جهة الاتصال الأولى:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

هل يمكنني تعيين وحدات تدريبية دون وضع المستخدمين من خلال المحاكاة؟

نعم. لمزيد من المعلومات، راجع حملات التدريب في التدريب على محاكاة الهجوم.

كيف أعمل معرفة رسائل المحاكاة التي لم يتم تسليمها؟

يمكن تصفية علامة التبويب Users للمحاكاة حسب تسليم رسالة المحاكاة: فشل التسليم.

إذا كنت تملك مجال المرسل، يتم إرجاع تقرير المحاكاة غير المحذور في تقرير عدم التسليم (يعرف أيضا باسم NDR أو رسالة المرتد). لمزيد من المعلومات حول الرموز في التقرير بعدم التسليم، راجع تقارير البريد الإلكتروني غير المتعلقة بالتسليم وأخطاء SMTP في Exchange Online.

مشكلات في إعداد التقارير التدريب على محاكاة الهجوم

تلميح

يبدأ تسجيل بيانات المحاكاة بعد بضع دقائق من بدء المحاكاة وبعد أن يبدأ المستخدمون في التفاعل مع رسائل المحاكاة. لا يوجد وقت بدء ثابت. لا تزال الأحداث يتم التقاطها بعد انتهاء المحاكاة.

الاختلافات في بيانات نشاط المستخدم من التقارير التدريب على محاكاة الهجوم والتقارير الأخرى

للإبلاغ عن نشاط المستخدم المتعلق برسائل المحاكاة، نوصي باستخدام تقارير المحاكاة المضمنة. قد لا تكون التقارير الواردة من مصادر أخرى (على سبيل المثال، التتبع المتقدم) دقيقة.

لا يتم تضمين عناوين URL للمحاكاة بواسطة الارتباطات الآمنة وتعتبر ارتباطات غير مغلفة. لا تمر كل النقرات على الارتباطات غير المغطاة عبر الارتباطات الآمنة، لذلك قد لا يتم تسجيل نشاط المستخدم المتعلق برسائل المحاكاة في سجلات UrlClickEvents.

لا تحتوي التقارير التدريب على محاكاة الهجوم على أي تفاصيل نشاط

يأتي التدريب على محاكاة الهجوم مع رؤى غنية وقابلة للتنفيذ تبقيك على علم بتقدم جاهزية التهديدات لموظفيك. إذا لم يتم ملء التدريب على محاكاة الهجوم التقارير بالبيانات، فتحقق من تشغيل تسجيل التدقيق في مؤسستك (يكون قيد التشغيل بشكل افتراضي).

تسجيل التدقيق مطلوب من قبل التدريب على محاكاة الهجوم بحيث يمكن التقاط الأحداث وتسجيلها وقراءتها مرة أخرى. يؤدي إيقاف تشغيل تسجيل التدقيق إلى العواقب التالية على التدريب على محاكاة الهجوم:

  • لا تتوفر بيانات التقارير عبر جميع التقارير. تظهر التقارير فارغة.
  • يتم حظر تعيينات التدريب، لأن البيانات غير متوفرة.

للتحقق من تشغيل تسجيل التدقيق أو تشغيله، راجع تشغيل التدقيق أو إيقاف تشغيله.

تلميح

تحدث تفاصيل النشاط الفارغة أيضا بسبب عدم تعيين تراخيص E5 للمستخدمين. تحقق من تعيين ترخيص E5 واحد على الأقل لمستخدم نشط للتأكد من تسجيل أحداث التقارير وتسجيلها.

يتم تدقيق إجراءات المستخدم وإجراءات المسؤول. في واجهة برمجة تطبيقات نشاط الإدارة، ابحث عن قيم AuditLogRecordType 85 و88 و218.

قد تتوفر بعض معلومات التدقيق أيضا في جدول CloudAppEvents في Microsoft Defender XDR التتبع المتقدم عبر مدخل Defender أو واجهة برمجة تطبيقات البث.

الإبلاغ عن مشكلات في علب البريد المحلية

يدعم التدريب على محاكاة الهجوم علب البريد المحلية، ولكن مع انخفاض وظائف إعداد التقارير:

  • لا تتوفر بيانات حول ما إذا كان المستخدمون يقرأون بريد المحاكاة الإلكتروني أو يعيدون توجيهه أو يحذفونه لعلب البريد المحلية.
  • عدد المستخدمين الذين أبلغوا عن بريد المحاكاة الإلكتروني غير متوفر لعلب البريد المحلية.

تلميح

بخلاف رسائل المحاكاة التي يتم إرسالها عبر مسار النقل مقابل الحقن المباشر في Microsoft 365، فإن تجارب التدريب والتشغيل التلقائي وإدارة المحتوى هي نفسها لعلب البريد المحلية.

لا يتم تحديث تقارير المحاكاة على الفور

لا يتم تحديث تقارير المحاكاة التفصيلية مباشرة بعد بدء الحملة. لا تقلق; هذا السلوك متوقع.

كل حملة محاكاة لها دورة حياة. عند الإنشاء لأول مرة، تكون المحاكاة في الحالة المجدولة . عند بدء المحاكاة، تنتقل إلى حالة قيد التقدم . عند الانتهاء، تنتقل المحاكاة إلى الحالة مكتملة .

بينما تكون المحاكاة في الحالة المجدولة ، تكون تقارير المحاكاة فارغة في الغالب. أثناء هذه المرحلة، يقوم محرك المحاكاة بحل عناوين البريد الإلكتروني للمستخدم الهدف، وتوسيع مجموعات التوزيع، وإزالة المستخدمين الضيوف من القائمة، وما إلى ذلك:

تفاصيل المحاكاة التي تعرض المحاكاة في الحالة المجدولة

بمجرد دخول المحاكاة في مرحلة قيد التقدم ، تبدأ المعلومات في التحاير في إعداد التقارير:

تفاصيل المحاكاة التي تعرض المحاكاة في حالة قيد التقدم

قد يستغرق تحديث تقارير المحاكاة الفردية ما يصل إلى 30 دقيقة بعد الانتقال إلى حالة قيد التقدم . تستمر بيانات التقرير في الإنشاء حتى تصل المحاكاة إلى الحالة مكتملة . تحدث تحديثات التقارير على الفواصل الزمنية التالية:

  • كل 10 دقائق لأول 60 دقيقة
  • كل 15 دقيقة بعد 60 دقيقة حتى يومين.
  • كل 30 دقيقة بعد يومين حتى سبعة أيام.
  • كل 60 دقيقة بعد سبعة أيام

توفر عناصر واجهة المستخدم في صفحة نظرة عامة لقطة سريعة لوضع الأمان المستند إلى المحاكاة لمؤسستك بمرور الوقت. نظرا لأن عناصر واجهة المستخدم هذه تعكس وضعك الأمني العام ورحلتك بمرور الوقت، يتم تحديثها بعد اكتمال كل حملة محاكاة.

ملاحظة

يمكنك استخدام خيار التصدير على صفحات التقارير المختلفة لاستخراج البيانات.

لا تظهر الرسائل التي تم الإبلاغ عنها على أنها تصيد احتيالي من قبل المستخدمين في تقارير المحاكاة

توفر تقارير المحاكاة في تدريب محاكاة الهجوم تفاصيل حول نشاط المستخدم. على سبيل المثال:

  • المستخدمون الذين نقروا على الارتباط في الرسالة.
  • المستخدمون الذين تخلىوا عن بيانات الاعتماد الخاصة بهم.
  • المستخدمون الذين أبلغوا عن الرسالة على أنها تصيد احتيالي.

إذا لم يتم التقاط الرسائل التي أبلغ عنها المستخدمون على أنها تصيد احتيالي في تقارير المحاكاة التدريب على محاكاة الهجوم، فقد تكون هناك قاعدة تدفق بريد Exchange (تعرف أيضا باسم قاعدة النقل) تمنع تسليم الرسائل المبلغ عنها إلى Microsoft. تحقق من أن أي قواعد لتدفق البريد لا تمنع التسليم إلى عناوين البريد الإلكتروني التالية:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

يتم تعيين تدريب للمستخدمين بعد الإبلاغ عن رسالة محاكاة

إذا تم تعيين تدريب للمستخدمين بعد الإبلاغ عن رسالة محاكاة التصيد الاحتيالي، فتحقق لمعرفة ما إذا كانت مؤسستك تستخدم علبة بريد لإعداد التقارير لتلقي الرسائل التي أبلغ عنها المستخدم على https://security.microsoft.com/securitysettings/userSubmission. يجب تكوين علبة بريد التقارير لتخطي العديد من عمليات التحقق من الأمان كما هو موضح في المتطلبات الأساسية لعلمة بريد التقارير.

إذا لم تقم بتكوين الاستثناءات المطلوبة لعلمة بريد التقارير المخصصة، فقد يتم تفجير الرسائل بواسطة الارتباطات الآمنة أو حماية المرفقات الآمنة، مما يؤدي إلى تعيينات التدريب.

الأسئلة الأخرى المتداولة

ج: تتوفر العديد من الخيارات للمستخدمين المستهدفين:

  • قم بتضمين جميع المستخدمين (متوفر حاليا للمؤسسات التي يقل عدد مستخدميها عن 40000 مستخدم).
  • اختر مستخدمين محددين.
  • حدد المستخدمين من ملف CSV (عنوان بريد إلكتروني واحد لكل سطر).
  • Microsoft Entra الاستهداف المستند إلى المجموعة. أنواع المجموعات التالية مدعومة:
    • مجموعات Microsoft 365 (ثابتة وديناميكية)
    • مجموعات التوزيع (ثابتة فقط)
    • مجموعات الأمان الممكنة للبريد (ثابتة فقط)

نجد أن الحملات التي يتم فيها تحديد المستخدمين المستهدفين من قبل مجموعات Microsoft Entra أسهل في الإدارة.

س: كم عدد وحدات التدريب هناك؟

حاليا، هناك 94 تدريب مضمن في صفحة وحدات التدريب .

س: كيف يتم استخدام اللغات لتجارب مثل وحدات التدريب والإعلامات؟

  • وحدات التدريب: يتم استخدام إعدادات الإعدادات المحلية للمستعرض. ولكن بمجرد تعيين التدريب إلى مستخدم، يستمر تحديد اللغة، ويتم تعيين التدريبات المستقبلية بتلك اللغة.
  • إعلامات المستخدم النهائي: يتم استخدام إعدادات اللغة/الإعدادات الخاصة بعلب البريد.
  • تحميلات المحاكاة: يتم استخدام اللغة التي حددها المسؤول أثناء الإنشاء.
  • الصفحات المقصودة: يتم استخدام إعدادات لغة حساب Microsoft 365. يمكن للمستخدم أيضا تغيير اللغات من القائمة المنسدلة الموجودة في الصفحة المقصودة.

س: هل هناك أي حدود في استهداف المستخدمين أثناء الاستيراد من CSV أو إضافة مستخدمين؟

ج: الحد الأقصى لاستيراد المستلمين من ملف CSV أو إضافة مستلمين فرديين إلى محاكاة هو 40,000.

يمكن أن يكون المستلم مستخدما فرديا أو مجموعة. قد تحتوي المجموعة على مئات أو آلاف المستلمين. الحد الأعلى لعدد المستخدمين هو 400,000، ولكن نوصي بحد 200,000 مستخدم لكل محاكاة للحصول على أفضل أداء.

يمكن أن تكون إدارة ملف CSV كبير أو إضافة العديد من المستلمين الفرديين مرهقة. يؤدي استخدام مجموعات Microsoft Entra إلى تبسيط الإدارة العامة للمحاكاة.

تلميح

حاليا، علب البريد المشتركة غير مدعومة في التدريب على محاكاة الهجوم. يجب أن تستهدف عمليات المحاكاة علب بريد المستخدم أو المجموعات التي تحتوي على علب بريد المستخدم.

يتم توسيع مجموعات ويتم إنشاء قائمة المستخدمين في وقت حفظ المحاكاة أو أتمتة المحاكاة أو الحملة التدريبية.

س: هل حدود عدد عمليات المحاكاة التي يمكن نشرها خلال فترة زمنية محددة؟

A. لا، على الرغم من أنك قد تواجه بطء إذا قمت بتشغيل العديد من عمليات المحاكاة المتوازية. معدلات الرسائل (بما في ذلك معدلات رسائل المحاكاة) مقيدة بحدود معدل الرسائل للخدمة.

س: هل توفر Microsoft حمولات بلغات أخرى؟

ج: حاليا، هناك أكثر من 40 حمولات مترجمة متوفرة ب 29 لغة: الإنجليزية والإسبانية والألمانية واليابانية والفرنسية والبرتغالية والهولندية والإيطالية والسويدية والصينية (المبسطة) والنرويجية Bokmål والبولندية والروسية واللغة الفنلندية والكورية والتركية والهنغارية والعبرية والتايلاندية والعربية والفيتنامية والسلوفاكية واليونانية والإندونيسية والرومانية والسلوفينية والكرواتية والكتالانية وغيرها. لقد قررنا أن الترجمة المباشرة أو الآلية للحمولات الموجودة إلى لغات أخرى تؤدي إلى عدم الدقة وانخفاض الصلة.

مع ذلك، يمكنك إنشاء البيانات الأساسية الخاصة بك باللغة التي تختارها باستخدام تجربة تأليف الحمولة المخصصة. نوصي بشدة أيضا بحصاد الحمولات الموجودة التي تم استخدامها لاستهداف المستخدمين في جغرافية معينة. بمعنى آخر، اسمح للمهاجمين بترجمة المحتوى نيابة عنك.

س: كم عدد مقاطع الفيديو التدريبية المتوفرة؟

ج: حاليا، هناك أكثر من 85 وحدة تدريبية متوفرة في مكتبة المحتوى.

س: كيف يمكنني التبديل إلى لغات أخرى لمدخل المسؤول وتجربة التدريب؟

ج: في Microsoft 365 أو Office 365، يكون تكوين اللغة محددا ومركزيا لكل حساب مستخدم. للحصول على إرشادات حول كيفية تغيير إعداد اللغة، راجع تغيير لغة العرض والمنطقة الزمنية في Microsoft 365 للأعمال.

قد يستغرق تغيير التكوين ما يصل إلى 30 دقيقة للمزامنة عبر جميع الخدمات.

س: هل يمكنني إجراء محاكاة اختبارية لفهم شكلها قبل بدء حملة كاملة؟

ج: نعم يمكنك! في صفحة مراجعة المحاكاة الأخيرة في معالج المحاكاة الجديد، حدد إرسال اختبار. يرسل هذا الخيار عينة من رسالة محاكاة التصيد الاحتيالي إلى المستخدم الذي قام بتسجيل الدخول حاليا. بعد التحقق من صحة رسالة التصيد الاحتيالي في علبة الوارد، يمكنك إرسال المحاكاة.

الزر

تلميح

يمكنك أيضا استخدام إرسال اختبار من صفحة Payloads . ولكن، إذا استخدمت الحمولة المحددة في محاكاة، فستظهر رسالة الاختبار في التقارير المجمعة. يمكنك تصدير النتائج أو استخدام واجهة برمجة تطبيقات Microsoft Graph لتصفية النتائج.

س: هل يمكنني استهداف المستخدمين الذين ينتمون إلى مستأجر مختلف كجزء من نفس حملة المحاكاة؟

ج: لا. حاليا، المحاكاة عبر المستأجرين غير مدعومة. تحقق من أن جميع المستخدمين المستهدفين في نفس المستأجر. يتم استبعاد أي مستخدمين عبر المستأجرين أو مستخدمين ضيوف من حملة المحاكاة.

س: كيف تعمل التسليم على علم بالمنطقة؟

ج: يستخدم التسليم المدرك للمنطقة سمة المنطقة الزمنية لعلمة بريد المستخدم المستهدف لتحديد وقت تسليم الرسالة. قد يكون هناك فرق زمني ± ساعة واحدة في تسليم البريد الإلكتروني استنادا إلى المنطقة الزمنية للمستخدم. على سبيل المثال، ضع في اعتبارك السيناريو التالي:

  • في الساعة 7:00 صباحا في المنطقة الزمنية للمحيط الهادئ (UTC-8)، يقوم المسؤول بإنشاء وجدولة حملة للبدء في الساعة 9:00 صباحا في نفس اليوم.
  • UserA في المنطقة الزمنية الشرقية (UTC-5).
  • يقع UserB أيضا في المنطقة الزمنية للمحيط الهادئ.

في الساعة 9:00 صباحا في نفس اليوم، يتم إرسال رسالة المحاكاة إلى UserB. مع التسليم المدرك للمنطقة، لا يتم إرسال الرسالة إلى UserA في نفس اليوم، لأن الساعة 9:00 صباحا بتوقيت المحيط الهادئ هي 12:00 مساء بالتوقيت الشرقي. بدلا من ذلك، يتم إرسال الرسالة إلى UserA في الساعة 9:00 صباحا بالتوقيت الشرقي في اليوم التالي.

لذلك، عند التشغيل الأولي لحملة مع تمكين التسليم المدرك للمنطقة، قد يبدو أنه تم إرسال رسالة المحاكاة فقط إلى المستخدمين في منطقة زمنية محددة. ولكن، مع مرور الوقت ودخل المزيد من المستخدمين في النطاق، يزداد المستخدمون المستهدفون.

إذا لم تستخدم التسليم المدرك للمنطقة، فستبدأ الحملة استنادا إلى المنطقة الزمنية للمستخدم الذي يقوم بإعدادها.

س: هل تقوم Microsoft بجمع أو تخزين أي معلومات يدخلها المستخدمون في صفحة تسجيل الدخول إلى Credential Harvest، المستخدمة في تقنية محاكاة حصاد بيانات الاعتماد؟

ج: لا. يتم تجاهل أي معلومات تم إدخالها في صفحة تسجيل الدخول إلى حصاد بيانات الاعتماد بصمت. يتم تسجيل "النقر" فقط لالتقاط حدث الاختراق. لا تقوم Microsoft بجمع أو تسجيل أو تخزين أي تفاصيل يدخلها المستخدمون في هذه الخطوة.

س: ما المدة التي يتم فيها الاحتفاظ بمعلومات المحاكاة؟ هل يمكنني حذف بيانات المحاكاة؟

ج: راجع الجدول التالي:

نوع البيانات احتباس
بيانات تعريف المحاكاة 18 شهرا ما لم يتم حذف المحاكاة في وقت أقرب من قبل المسؤول.
أتمتة المحاكاة 18 شهرا ما لم يتم حذف أتمتة المحاكاة في وقت أقرب من قبل المسؤول.
أتمتة الحمولة 18 شهرا ما لم يتم حذف أتمتة الحمولة في وقت أقرب من قبل المسؤول.
نشاط المستخدم في بيانات تعريف المحاكاة 18 شهرا ما لم يتم حذف المحاكاة في وقت أقرب من قبل المسؤول.
حمولات عمومية يستمر ما لم تحذفه Microsoft.
حمولات المستأجر 18 شهرا ما لم يتم حذف الحمولة المؤرشفة في وقت أقرب من قبل المسؤول.
نشاط المستخدم في بيانات تعريف التدريب 18 شهرا ما لم يتم حذف المحاكاة في وقت أقرب من قبل المسؤول.
MDO حمولات موصى بها 6 أشهر.
إعلامات المستخدم النهائي العمومية يستمر ما لم تحذفه Microsoft.
إعلامات المستخدم النهائي للمستأجر 18 شهرا ما لم يتم حذف الإعلام في وقت أقرب من قبل المسؤول.
صفحات تسجيل الدخول العمومية يستمر ما لم تحذفه Microsoft.
صفحات تسجيل دخول المستأجر 18 شهرا ما لم يتم حذف صفحة تسجيل الدخول في وقت أقرب من قبل المسؤول.
الصفحات المقصودة العمومية يستمر ما لم يتم حذفه بواسطة Microsoft
الصفحات المقصودة للمستأجر 18 شهرا ما لم يتم حذف الصفحة المقصودة في وقت أقرب من قبل المسؤول.

إذا تم حذف المستأجر بأكمله، يتم حذف بيانات تدريب محاكاة الهجوم بعد 90 يوما.

لمزيد من المعلومات، راجع معلومات استبقاء البيانات Microsoft Defender لـ Office 365.

س: هل يمكنني إنشاء عمليات المحاكاة وعرضها وإدارتها باستخدام واجهة برمجة التطبيقات؟

ج: نعم. يتم دعم سيناريوهات القراءة والكتابة باستخدام واجهة برمجة تطبيقات Microsoft Graph:

  • AttackSimulation.Read.All:
    • قراءة بيانات تعريف المحاكاة
    • قراءة نشاط المستخدم
    • قراءة بيانات التدريب
    • قراءة المجرمين المتكررين
  • AttackSimulation.ReadWrite.All: قم بتشغيل عمليات المحاكاة باستخدام الحمولات والإشعارات وصفحات تسجيل الدخول المحددة.

لمزيد من المعلومات، راجع نظرة عامة على List simulations and Reports API للتدريب على محاكاة الهجوم كجزء من Microsoft Defender لـ Office 365.

س: هل يمكنني حذف حمولات مخصصة؟

ج: نعم. أولا تقوم بأرشفة الحمولة، ثم تحذف الحمولة المؤرشفة. للحصول على الإرشادات، راجع أرشفة الحمولات.

س: هل يمكنني تعديل الحمولات المضمنة؟

ج: ليس مباشرة. يمكنك نسخ الحمولة المضمنة ثم تعديل النسخة. للحصول على الإرشادات، راجع نسخ الحمولات.

س: أحاول تشغيل محاكاة رمز الاستجابة السريعة، ولكن مسح رمز الاستجابة السريعة يظهر لي "اختبار الاتصال بنجاح" بدلا من الصفحة المقصودة؟

ج: عند إدراج رمز الاستجابة السريعة في محرر الحمولة، يتم تعيينه إلى عنوان URL الأساسي للتصيد الاحتيالي الذي حددته في قسم >ارتباط التصيد الاحتياليحدد عنوان URL. يتم إدراج رمز الاستجابة السريعة في رسالة البريد الإلكتروني كصورة. إذا قمت بالتبديل من علامة التبويب نص إلى علامة التبويب التعليمات البرمجية ، فسترى الصورة المدرجة بتنسيق Base64. تحتوي بداية الصورة على <div id="QRcode"...>. تأكد من التحقق من أن الحمولة النهائية تحتوي على <div id="QRcode"...> قبل استخدامها في المحاكاة.

أثناء إنشاء المحاكاة، إذا قمت بمسح رمز الاستجابة السريعة ضوئيا أو كنت تستخدم إرسال اختبار لمراجعة الحمولة، يشير رمز الاستجابة السريعة إلى عنوان URL الأساسي للتصيد الاحتيالي الذي حددته.

عند استخدام الحمولة في محاكاة، تستبدل الخدمة رمز الاستجابة السريعة برمز الاستجابة السريعة الذي تم إنشاؤه ديناميكيا لتتبع مقاييس النقر والاختراق. يطابق حجم وموضع وشكل رمز الاستجابة السريعة خيارات التكوين التي قمت بتكوينها في الحمولة. يأخذك فحص رمز الاستجابة السريعة أثناء المحاكاة الفعلية إلى الصفحة المنتقل إليها المكونة.

س: أحاول إنشاء حمولة بلغة HTML، ولكن يبدو أن محرر الحمولة يزيل محتوى معينا من تصميمي؟

ج: حاليا، علامات HTML التالية غير مدعومة في محرر الحمولة: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.