مشاركة عبر


اعتبارات نشر التدريب على محاكاة الهجوم والأسئلة المتداولة

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

يتيح التدريب على محاكاة الهجوم للمؤسسات Microsoft 365 E5 أو Microsoft Defender لـ Office 365 الخطة 2 قياس مخاطر الهندسة الاجتماعية وإدارتها. يسمح التدريب على محاكاة الهجوم بمحاكاة التصيد الاحتيالي التي يتم تشغيلها بواسطة حمولات التصيد الاحتيالي غير الضارة في العالم الحقيقي. يساعد التدريب الموجه فائقة الاستهداف، الذي يتم تقديمه بالشراكة مع أمان Terranova، على تحسين المعرفة وتغيير سلوك المستخدم.

لمزيد من المعلومات حول بدء استخدام التدريب على محاكاة الهجوم، راجع بدء استخدام التدريب على محاكاة الهجوم.

بينما تم تصميم إنشاء وجدولة عمليات المحاكاة لتكون سهلة، فإن المحاكاة على نطاق المؤسسة تتطلب التخطيط. تساعد هذه المقالة في معالجة التحديات المحددة التي نراها بينما يقوم عملاؤنا بتشغيل عمليات المحاكاة في بيئاتهم الخاصة.

مشكلات تجربة المستخدم

عناوين URL لمحاكاة التصيد الاحتيالي التي تم حظرها بواسطة Google Safe Browsing

قد تحدد خدمة سمعة عنوان URL عنوان URL واحدا أو أكثر من عناوين URL التي تستخدمها التدريب على محاكاة الهجوم على أنها غير آمنة. يقوم Google Safe Browsing في Google Chrome بحظر بعض عناوين URL للتصيد الاحتيالي التي تمت محاكاتها مع رسالة مسبقة لموقع خادع . بينما نعمل مع العديد من بائعي سمعة عنوان URL للسماح دائما بعناوين URL للمحاكاة الخاصة بنا، ليس لدينا دائما تغطية كاملة.

تحذير الموقع المخادع مسبقا في Google Chrome

لا تؤثر هذه المشكلة على Microsoft Edge.

كجزء من مرحلة التخطيط، تأكد من التحقق من توفر عنوان URL في مستعرضات الويب المدعومة قبل استخدام عنوان URL في حملة تصيد احتيالي. إذا حظر الاستعراض الآمن من Google عناوين URL، فاتبع هذه الإرشادات من Google للسماح بالوصول إلى عناوين URL.

راجع بدء استخدام التدريب على محاكاة الهجوم للحصول على قائمة عناوين URL المستخدمة حاليا من قبل التدريب على محاكاة الهجوم.

محاكاة التصيد الاحتيالي وعناوين URL للمسؤول المحظورة بواسطة حلول وكيل الشبكة وبرامج تشغيل التصفية

قد تقوم أجهزة الأمان الوسيطة أو عوامل التصفية بحظر أو إسقاط عناوين URL لمحاكاة التصيد الاحتيالي وعناوين URL للمسؤول. على سبيل المثال:

  • جدران الحماية
  • حلول جدار حماية تطبيق الويب (WAF)
  • برامج تشغيل عامل التصفية غير التابعة ل Microsoft (على سبيل المثال، عوامل تصفية وضع النواة)

بينما نرى عددا قليلا من العملاء محظورين في هذه الطبقة، إلا أنه يحدث. إذا واجهت مشكلات، ففكر في تكوين عناوين URL التالية لتجاوز الفحص بواسطة أجهزة الأمان أو عوامل التصفية كما هو مطلوب:

  • عناوين URL المحاكاة للتصيد الاحتيالي كما هو موضح في بدء استخدام التدريب على محاكاة الهجوم.
  • https://security.microsoft.com/attacksimulator
  • https://security.microsoft.com/attacksimulationreport
  • https://security.microsoft.com/trainingassignments
  • http://asttrainingfdendpoint-a6fva0cjbsbbereq.b02.azurefd.net/

رسائل المحاكاة التي لم يتم تسليمها إلى جميع المستخدمين المستهدفين

من المحتمل ألا يتلقى جميع المستخدمين المستهدفين بالمحاكاة رسائل البريد الإلكتروني للمحاكاة. يتم استبعاد الأنواع التالية من المستخدمين كجزء من التحقق من صحة الهدف:

  • عناوين البريد الإلكتروني للمستلم غير صحيحة.
  • الضيوف.
  • المستخدمون الذين لم يعودوا نشطين في Microsoft Entra ID.

يمكنك استخدام الأمر cmdlet Get-DistributionGroupMember في Exchange Online PowerShell لعرض أعضاء المجموعة المستهدفة والتحقق من صحتهم.

التدريبات المعينة أو غير المعينة للمستخدمين بشكل غير متوقع

يمنع حد التدريب في الحملات التدريبية المستخدمين من الحصول على نفس التدريبات المعينة لهم خلال فترة زمنية محددة (90 يوما بشكل افتراضي). لمزيد من المعلومات، راجع تعيين حد التدريب.

إذا قمت بإنشاء محاكاة أو أتمتة محاكاة بقيمة تعيين التدريب تعيين تدريب لي (مستحسن)، فإننا نعين التدريب استنادا إلى نتائج المحاكاة والتدريب السابقة للمستخدم. لتعيين التدريب استنادا إلى معايير محددة، حدد تحديد الدورات التدريبية والوحدات.

ماذا يحدث عندما يرد المستخدم على رسالة محاكاة أو يعيد توجيهها؟

إذا رد مستخدم على رسالة محاكاة أو قام بإعادة توجيهها إلى علبة بريد أخرى، يتم التعامل مع الرسالة كرسالة بريد إلكتروني عادية (بما في ذلك التفجير بواسطة الارتباطات الآمنة أو المرفقات الآمنة). يوضح تقرير المحاكاة ما إذا كان قد تم الرد على رسالة المحاكاة أو إعادة توجيهها. يرتبط كل عنوان URL في البريد الإلكتروني للمحاكاة بمستخدم فردي، لذلك يتم تحديد عمليات تفجير الروابط الآمنة على أنها نقرات من قبل المستخدم.

إذا كنت تستخدم علبة بريد مخصصة لعمليات الأمان (SecOps)، فتأكد من تعريفها على أنها SecOps في نهج التسليم المتقدم بحيث يتم تسليم الرسائل دون تصفية.

كيف يمكنني التقسيم المرحلي لتسليم رسائل المحاكاة؟

في كلتا الحالتين، من المهم استخدام حمولات مختلفة لتجنب المناقشة والتعريف بين المستخدمين.

لماذا يتم حظر الصور في رسائل المحاكاة بواسطة Outlook؟

بشكل افتراضي، يتم تكوين Outlook لحظر تنزيلات الصور التلقائية في الرسائل من الإنترنت. على الرغم من أنه يمكنك تكوين Outlook لتنزيل الصور تلقائيا، إلا أننا لا نوصي بذلك بسبب الآثار الأمنية (التنزيل التلقائي المحتمل للتعليمات البرمجية الضارة أو أخطاء الويب، والمعروفة أيضا باسم برامج ويب الملحقة للتتبع أو وحدات البكسل).

يمكن أن تحدث هذه الأحداث عندما تقوم أجهزة الأمان أو التطبيقات الأخرى بفحص رسائل المحاكاة. على سبيل المثال (على سبيل المثال لا الحصر):

  • التطبيقات أو المكونات الإضافية داخل Outlook التي تقوم بفحص الرسالة أو اعتراضها.
  • تطبيقات أمان البريد الإلكتروني.
  • أمان نقطة النهاية أو برامج مكافحة الفيروسات.
  • أدلة مبادئ تنسيق الأمان والتشغيل التلقائي والاستجابة (SOAR) التي تقوم تلقائيا بفرز الرسائل المبلغ عنها أو الاستجابة لها تلقائيا.

يمكن لهذه الأنواع من التطبيقات إلقاء نظرة على محتوى الويب للكشف عن التصيد الاحتيالي، لذلك تحتاج إلى تحديد استثناءات لرسائل المحاكاة في هذه التطبيقات.

قد توفر بيانات EmailLinkClicked_IP EmailLinkClicked_TimeStamp مزيدا من التفاصيل حول الحدث. على سبيل المثال، إذا حدثت نقرة بعد بضع ثوان من التسليم، وكان عنوان IP لا ينتمي إلى Microsoft أو شركتك أو المستخدم، فمن المحتمل أن يكون نظام تصفية غير تابع ل Microsoft أو خدمة أخرى قد اعترض الرسالة.

بالنسبة لأي أنظمة أو خدمات تصفية غير Microsoft، تحتاج إلى السماح بالعناصر التالية أو إعفائها:

هل يمكنني إضافة العلامة الخارجية أو نصائح الأمان إلى رسائل المحاكاة؟

يمكنك تكوين حمولات مخصصة لإضافة العلامة الخارجية إلى الرسائل. لمزيد من المعلومات، راجع الخطوة 5 في إنشاء حمولات.

لا توجد خيارات مضمنة لإضافة تلميحات الأمان إلى الحمولات، ولكن يمكنك استخدام الأساليب التالية في صفحة تكوين الحمولة لمعالج إعداد الحمولة:

  • استخدم رسالة بريد إلكتروني موجودة تحتوي على تلميح الأمان كقالب. احفظ الرسالة بتنسيق HTML وانسخ المعلومات.

  • استخدم نموذج التعليمات البرمجية التالي لتلميح أمان جهة الاتصال الأولى:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
    mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
    paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
    0in 0in 0in 0in">
    <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
      <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
      <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
      <div>
      <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
      mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
      column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
      wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
      Aptos;color:#212121;mso-ligatures:none">You don't often get email from
      this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
      this is important</a></span></p>
      </div>
      </td>
      <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
      align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
    </tr>
    </tbody></table>
    <div>
    <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
    color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
    </div>
    

هل يمكنني تعيين وحدات تدريبية دون وضع المستخدمين من خلال المحاكاة؟

نعم. لمزيد من المعلومات، راجع حملات التدريب في التدريب على محاكاة الهجوم.

كيف أعمل معرفة رسائل المحاكاة التي لم يتم تسليمها؟

يمكن تصفية علامة التبويب Users للمحاكاة حسب تسليم رسالة المحاكاة: فشل التسليم.

إذا كنت تملك مجال المرسل، يتم إرجاع تقرير المحاكاة غير المحذور في تقرير عدم التسليم (يعرف أيضا باسم NDR أو رسالة المرتد). لمزيد من المعلومات حول الرموز في التقرير بعدم التسليم، راجع تقارير البريد الإلكتروني غير المتعلقة بالتسليم وأخطاء SMTP في Exchange Online.

الإبلاغ عن المشكلات

تلميح

يبدأ تسجيل بيانات المحاكاة بعد بضع دقائق من بدء المحاكاة وبعد أن يبدأ المستخدمون في التفاعل مع رسائل المحاكاة. لا يوجد وقت بدء ثابت. لا تزال الأحداث يتم التقاطها بعد انتهاء المحاكاة.

الاختلافات في بيانات نشاط المستخدم من التقارير التدريب على محاكاة الهجوم والتقارير الأخرى

للإبلاغ عن نشاط المستخدم المتعلق برسائل المحاكاة، نوصي باستخدام تقارير المحاكاة المضمنة. قد لا تكون التقارير الواردة من مصادر أخرى (على سبيل المثال، التتبع المتقدم) دقيقة.

لا تقوم الارتباطات الآمنة بتضمين عناوين URL للمحاكاة، لذلك تعتبر عناوين URL ارتباطات غير مغلفة. لا تمر كل النقرات على الارتباطات غير المغطاة عبر الارتباطات الآمنة، لذلك قد لا يتم تسجيل نشاط المستخدم المتعلق برسائل المحاكاة في سجلات UrlClickEvents.

لا تحتوي التقارير التدريب على محاكاة الهجوم على أي تفاصيل نشاط

يأتي التدريب على محاكاة الهجوم مع رؤى غنية وقابلة للتنفيذ تبقيك على علم بتقدم جاهزية التهديدات للمستخدمين. إذا لم يتم ملء التدريب على محاكاة الهجوم التقارير بالبيانات، فتحقق من تشغيل تسجيل التدقيق في مؤسستك (يكون قيد التشغيل بشكل افتراضي).

يتطلب التدريب على محاكاة الهجوم تسجيل التدقيق لالتقاط الأحداث وتسجيلها وقراءتها. يؤدي إيقاف تشغيل تسجيل التدقيق إلى العواقب التالية على التدريب على محاكاة الهجوم:

  • لا تتوفر بيانات التقارير عبر جميع التقارير. تظهر التقارير فارغة.
  • يتم حظر تعيينات التدريب، لأن البيانات غير متوفرة.

للتحقق من تشغيل تسجيل التدقيق أو تشغيله، راجع تشغيل التدقيق أو إيقاف تشغيله.

تلميح

يتسبب المستخدمون الذين ليس لديهم تراخيص Microsoft 365 E5 معينة أيضا في تفاصيل نشاط فارغة. للتأكد من تسجيل أحداث التقارير وتسجيلها، تحقق من تعيين ترخيص E5 واحد على الأقل لمستخدم نشط.

يتم تدقيق إجراءات المستخدم وإجراءات المسؤول. في واجهة برمجة تطبيقات نشاط الإدارة، ابحث عن قيم AuditLogRecordType 85 و88 و218.

قد تتوفر بعض معلومات التدقيق أيضا في جدول CloudAppEvents في Microsoft Defender XDR التتبع المتقدم عبر مدخل Defender أو واجهة برمجة تطبيقات البث.

الإبلاغ عن مشكلات في علب البريد المحلية

يدعم التدريب على محاكاة الهجوم علب البريد المحلية، ولكن مع انخفاض وظائف إعداد التقارير:

  • لا تتوفر بيانات حول ما إذا كان المستخدمون يقرأون بريد المحاكاة الإلكتروني أو يعيدون توجيهه أو يحذفونه لعلب البريد المحلية.
  • عدد المستخدمين الذين أبلغوا عن بريد المحاكاة الإلكتروني غير متوفر لعلب البريد المحلية.

تلميح

يتم إرسال رسائل المحاكاة عبر مسار النقل إلى علب البريد المحلية. وإلا، فإن تجارب التدريب والتشغيل التلقائي وإدارة المحتوى هي نفسها لعلب البريد المحلية.

لا يتم تحديث تقارير المحاكاة على الفور

لا يتم تحديث تقارير المحاكاة التفصيلية مباشرة بعد بدء الحملة. لا تقلق; هذا السلوك متوقع.

كل حملة محاكاة لها دورة حياة. عند الإنشاء لأول مرة، تكون المحاكاة في الحالة المجدولة . عند بدء المحاكاة، تنتقل إلى حالة قيد التقدم . عند الانتهاء، تنتقل المحاكاة إلى الحالة مكتملة .

بينما تكون المحاكاة في الحالة المجدولة ، تكون تقارير المحاكاة فارغة في الغالب. أثناء هذه المرحلة، يقوم محرك المحاكاة بحل عناوين البريد الإلكتروني للمستخدم الهدف، وتوسيع مجموعات التوزيع، وإزالة الضيوف من القائمة، وما إلى ذلك:

تفاصيل المحاكاة التي تعرض المحاكاة في الحالة المجدولة

بمجرد دخول المحاكاة في مرحلة قيد التقدم ، تبدأ المعلومات في التحاير في إعداد التقارير:

تفاصيل المحاكاة التي تعرض المحاكاة في حالة قيد التقدم

قد يستغرق تحديث تقارير المحاكاة الفردية ما يصل إلى 30 دقيقة بعد الانتقال إلى حالة قيد التقدم . تستمر بيانات التقرير في الإنشاء حتى تصل المحاكاة إلى الحالة مكتملة . تحدث تحديثات التقارير على الفواصل الزمنية التالية:

  • كل 10 دقائق لأول 60 دقيقة
  • كل 15 دقيقة بعد 60 دقيقة حتى يومين.
  • كل 30 دقيقة بعد يومين حتى سبعة أيام.
  • كل 60 دقيقة بعد سبعة أيام

توفر عناصر واجهة المستخدم في صفحة نظرة عامة لقطة سريعة لوضع الأمان المستند إلى المحاكاة لمؤسستك بمرور الوقت. نظرا لأن عناصر واجهة المستخدم هذه تعكس وضعك الأمني العام ورحلتك بمرور الوقت، يتم تحديثها بعد اكتمال كل حملة محاكاة.

ملاحظة

يمكنك استخدام خيار التصدير على صفحات التقارير المختلفة لاستخراج البيانات.

لا تظهر الرسائل التي تم الإبلاغ عنها على أنها تصيد احتيالي من قبل المستخدمين في تقارير المحاكاة

توفر تقارير المحاكاة في تدريب محاكاة الهجوم تفاصيل حول نشاط المستخدم. على سبيل المثال:

  • المستخدمون الذين نقروا على الارتباط في الرسالة.
  • المستخدمون الذين تخلىوا عن بيانات الاعتماد الخاصة بهم.
  • المستخدمون الذين أبلغوا عن الرسالة على أنها تصيد احتيالي.

إذا لم يتم التقاط الرسائل التي أبلغ عنها المستخدمون على أنها تصيد احتيالي في تقارير المحاكاة التدريب على محاكاة الهجوم، فقد تكون هناك قاعدة تدفق بريد Exchange (تعرف أيضا باسم قاعدة النقل) تمنع تسليم الرسائل المبلغ عنها إلى Microsoft. تحقق من أن أي قواعد لتدفق البريد لا تمنع التسليم إلى عناوين البريد الإلكتروني التالية:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

يتم تعيين تدريب للمستخدمين بعد الإبلاغ عن رسالة محاكاة

إذا تم تعيين تدريب للمستخدمين بعد الإبلاغ عن رسالة محاكاة التصيد الاحتيالي، فتحقق لمعرفة ما إذا كانت مؤسستك تستخدم علبة بريد لإعداد التقارير لتلقي الرسائل التي أبلغ عنها المستخدم على https://security.microsoft.com/securitysettings/userSubmission. يجب تكوين علبة بريد التقارير لتخطي العديد من عمليات التحقق من الأمان كما هو موضح في المتطلبات الأساسية لعلمة بريد التقارير.

قد تؤدي حماية الارتباطات الآمنة أو المرفقات الآمنة إلى تفجير الرسائل إذا لم تقم بتكوين الاستثناءات المطلوبة لعلوة بريد التقارير المخصصة. تؤدي الرسائل المفجرة إلى تعيينات التدريب.

الأسئلة الأخرى المتداولة

ج: تتوفر العديد من الخيارات للمستخدمين المستهدفين:

  • قم بتضمين جميع المستخدمين (متوفر حاليا للمؤسسات التي يقل عدد مستخدميها عن 40000 مستخدم).
  • اختر مستخدمين محددين.
  • حدد المستخدمين من ملف CSV (عنوان بريد إلكتروني واحد لكل سطر).
  • استخدم مجموعات Microsoft Entra. أنواع المجموعات التالية مدعومة:
    • مجموعات Microsoft 365 (ثابتة وديناميكية)
    • مجموعات التوزيع (ثابتة فقط)
    • مجموعات الأمان الممكنة للبريد (ثابتة فقط)

نجد أن الحملات المخصصة لمجموعات Microsoft Entra أسهل في الإدارة.

س: كم عدد وحدات التدريب هناك؟

حاليا، هناك 94 تدريب مضمن في صفحة وحدات التدريب .

س: كيف يتم استخدام اللغات لتجارب مثل وحدات التدريب والإعلامات؟

  • وحدات التدريب: يتم استخدام إعدادات الإعدادات المحلية للمستعرض. ولكن بمجرد تعيين التدريب إلى مستخدم، يستمر تحديد اللغة، ويتم تعيين التدريبات المستقبلية بتلك اللغة.
  • إعلامات المستخدم النهائي: يتم استخدام إعدادات اللغة/الإعدادات الخاصة بعلب البريد.
  • حمولات المحاكاة: يتم استخدام اللغة التي حددها المسؤول أثناء الإنشاء.
  • الصفحات المقصودة: يتم استخدام إعدادات لغة حساب Microsoft 365. يمكن للمستخدم أيضا تغيير اللغات في الصفحة المقصودة.

س: هل هناك أي حدود في استهداف المستخدمين أثناء الاستيراد من CSV أو إضافة مستخدمين؟

ج: الحد الأقصى لاستيراد المستلمين من ملف CSV أو إضافة مستلمين فرديين إلى محاكاة هو 40,000.

يمكن أن يكون المستلم مستخدما فرديا أو مجموعة. قد تحتوي المجموعة على مئات أو آلاف المستلمين. الحد الأعلى لعدد المستخدمين هو 400,000، ولكن نوصي بحد 200,000 مستخدم لكل محاكاة للحصول على أفضل أداء.

يمكن أن تكون إدارة ملف CSV كبير أو إضافة العديد من المستلمين الفرديين مرهقة. يؤدي استخدام مجموعات Microsoft Entra إلى تبسيط الإدارة العامة للمحاكاة.

تلميح

حاليا، علب البريد المشتركة غير مدعومة في التدريب على محاكاة الهجوم. يجب أن تستهدف عمليات المحاكاة علب بريد المستخدم أو المجموعات التي تحتوي على علب بريد المستخدم.

يتم توسيع المجموعات ويتم إنشاء قائمة المستخدمين في وقت حفظ المحاكاة أو أتمتة المحاكاة أو الحملة التدريبية.

س: هل حدود عدد عمليات المحاكاة التي يمكن نشرها خلال فترة زمنية محددة؟

A. لا، على الرغم من أنك قد تواجه بطء إذا قمت بتشغيل العديد من عمليات المحاكاة المتوازية. كما تقيد حدود معدل الرسائل للخدمة معدلات رسائل المحاكاة.

س: هل توفر Microsoft حمولات بلغات أخرى؟

ج: حاليا، هناك أكثر من 40 حمولات مترجمة متوفرة ب 29 لغة: الإنجليزية والإسبانية والألمانية واليابانية والفرنسية والبرتغالية والهولندية والإيطالية والسويدية والصينية (المبسطة) والنرويجية Bokmål والبولندية والروسية واللغة الفنلندية والكورية والتركية والهنغارية والعبرية والتايلاندية والعربية والفيتنامية والسلوفاكية واليونانية والإندونيسية والرومانية والسلوفينية والكرواتية والكتالانية وغيرها. لقد قررنا أن الترجمة المباشرة أو الآلية للحمولات الموجودة إلى لغات أخرى تؤدي إلى عدم الدقة وانخفاض الصلة.

مع ذلك، يمكنك إنشاء البيانات الأساسية الخاصة بك باللغة التي تختارها باستخدام تجربة تأليف الحمولة المخصصة. نوصي بشدة أيضا بحصاد الحمولات الموجودة التي تم استخدامها لاستهداف المستخدمين في جغرافية معينة. بمعنى آخر، اسمح للمهاجمين بترجمة المحتوى نيابة عنك.

س: كم عدد مقاطع الفيديو التدريبية المتوفرة؟

ج: حاليا، هناك أكثر من 85 وحدة تدريبية متوفرة في مكتبة المحتوى.

س: كيف يمكنني التبديل إلى لغات أخرى لمدخل المسؤول وتجربة التدريب؟

ج: في Microsoft 365 أو Office 365، يكون تكوين اللغة محددا ومركزيا لكل حساب مستخدم. للحصول على إرشادات حول كيفية تغيير إعداد اللغة، راجع تغيير لغة العرض والمنطقة الزمنية في Microsoft 365 للأعمال.

قد يستغرق تغيير التكوين ما يصل إلى 30 دقيقة للمزامنة عبر جميع الخدمات.

س: هل يمكنني تشغيل محاكاة اختبار لفهم شكلها قبل بدء حملة حقيقية؟

ج: نعم. في صفحة مراجعة المحاكاة الأخيرة في معالج المحاكاة الجديد، حدد إرسال اختبار. يرسل هذا الخيار عينة من رسالة محاكاة التصيد الاحتيالي إلى المستخدم الذي قام بتسجيل الدخول حاليا. بعد التحقق من صحة رسالة التصيد الاحتيالي في علبة الوارد، يمكنك إرسال المحاكاة.

الزر

تلميح

يمكنك أيضا استخدام إرسال اختبار من صفحة Payloads . ولكن، إذا استخدمت الحمولة المحددة في محاكاة، فستظهر رسالة الاختبار في التقارير المجمعة. يمكنك تصدير النتائج أو استخدام واجهة برمجة تطبيقات Microsoft Graph لتصفية النتائج.

س: هل يمكنني استهداف المستخدمين الذين ينتمون إلى مؤسسة مختلفة كجزء من نفس حملة المحاكاة؟

ج: لا. حاليا، لا يتم دعم عمليات المحاكاة عبر المؤسسات. تحقق من أن جميع المستخدمين المستهدفين في نفس المؤسسة. يتم استبعاد أي مستخدمين أو ضيوف عبر المؤسسات من حملة المحاكاة.

س: كيف تعمل التسليم على علم بالمنطقة؟

ج: يستخدم التسليم المدرك للمنطقة سمة المنطقة الزمنية لعلمة بريد المستخدم المستهدف لتحديد وقت تسليم الرسالة. قد يكون هناك فرق زمني ± ساعة واحدة في تسليم البريد الإلكتروني استنادا إلى المنطقة الزمنية للمستخدم. على سبيل المثال، ضع في اعتبارك السيناريو التالي:

  • في الساعة 7:00 صباحا في المنطقة الزمنية للمحيط الهادئ (UTC-8)، يقوم المسؤول بإنشاء وجدولة حملة للبدء في الساعة 9:00 صباحا في نفس اليوم.
  • UserA في المنطقة الزمنية الشرقية (UTC-5).
  • يقع UserB أيضا في المنطقة الزمنية للمحيط الهادئ.

في الساعة 9:00 صباحا في نفس اليوم، يتم إرسال رسالة المحاكاة إلى UserB. مع التسليم المدرك للمنطقة، لا يتم إرسال الرسالة إلى UserA في نفس اليوم، لأن الساعة 9:00 صباحا بتوقيت المحيط الهادئ هي 12:00 مساء بالتوقيت الشرقي. بدلا من ذلك، يتم إرسال الرسالة إلى UserA في الساعة 9:00 صباحا بالتوقيت الشرقي في اليوم التالي.

لذلك، عند التشغيل الأولي لحملة مع تمكين التسليم المدرك للمنطقة، قد يبدو أنه تم إرسال رسالة المحاكاة فقط إلى المستخدمين في منطقة زمنية محددة. ولكن، مع مرور الوقت ودخل المزيد من المستخدمين في النطاق، يزداد المستخدمون المستهدفون.

إذا لم تستخدم التسليم المدرك للمنطقة، فستبدأ الحملة استنادا إلى المنطقة الزمنية للمستخدم الذي يقوم بإعدادها.

س: هل تقوم Microsoft بجمع أو تخزين أي معلومات يدخلها المستخدمون في صفحة تسجيل الدخول إلى Credential Harvest، المستخدمة في تقنية محاكاة حصاد بيانات الاعتماد؟

ج: لا. يتم تجاهل أي معلومات تم إدخالها في صفحة تسجيل الدخول إلى حصاد بيانات الاعتماد بصمت. يتم تسجيل "النقر" فقط لالتقاط حدث الاختراق. لا تقوم Microsoft بجمع أي تفاصيل يدخلها المستخدمون في هذه الخطوة أو تسجيلها أو تخزينها.

س: ما المدة التي يتم فيها الاحتفاظ بمعلومات المحاكاة؟ هل يمكنني حذف بيانات المحاكاة؟

ج: راجع الجدول التالي:

نوع البيانات احتباس
بيانات تعريف المحاكاة 18 شهرا ما لم يحذف المسؤول المحاكاة أولا.
أتمتة المحاكاة 18 شهرا ما لم يحذف المسؤول أتمتة المحاكاة أولا.
أتمتة الحمولة 18 شهرا ما لم يحذف المسؤول أتمتة الحمولة أولا.
نشاط المستخدم في بيانات تعريف المحاكاة 18 شهرا ما لم يحذف المسؤول المحاكاة أولا.
حمولات عمومية يستمر ما لم تحذفه Microsoft.
حمولات المستأجر 18 شهرا ما لم يحذف المسؤول الحمولة المؤرشفة أولا.
نشاط المستخدم في بيانات تعريف التدريب 18 شهرا ما لم يحذف المسؤول المحاكاة أولا.
MDO حمولات موصى بها 6 أشهر.
إعلامات المستخدم النهائي العمومية يستمر ما لم تحذفه Microsoft.
إعلامات المستخدم النهائي للمستأجر 18 شهرا ما لم يحذف المسؤول الإعلام أولا.
صفحات تسجيل الدخول العمومية يستمر ما لم تحذفه Microsoft.
صفحات تسجيل دخول المستأجر 18 شهرا ما لم يحذف المسؤول صفحة تسجيل الدخول أولا.
الصفحات المقصودة العمومية يستمر ما لم يتم حذفه بواسطة Microsoft
الصفحات المقصودة للمستأجر 18 شهرا ما لم يحذف المسؤول الصفحة المقصودة أولا.

إذا تم حذف المستأجر بأكمله، يتم حذف بيانات تدريب محاكاة الهجوم بعد 90 يوما.

لمزيد من المعلومات، راجع معلومات استبقاء البيانات Microsoft Defender لـ Office 365.

س: هل يمكنني إنشاء عمليات المحاكاة وعرضها وإدارتها باستخدام واجهة برمجة التطبيقات؟

ج: نعم. يتم دعم سيناريوهات القراءة والكتابة باستخدام واجهة برمجة تطبيقات Microsoft Graph:

  • AttackSimulation.Read.All:
    • قراءة بيانات تعريف المحاكاة
    • قراءة نشاط المستخدم
    • قراءة بيانات التدريب
    • قراءة المجرمين المتكررين
  • AttackSimulation.ReadWrite.All: قم بتشغيل عمليات المحاكاة باستخدام الحمولات والإشعارات وصفحات تسجيل الدخول المحددة.

لمزيد من المعلومات، راجع نظرة عامة على List simulations and Reports API للتدريب على محاكاة الهجوم كجزء من Microsoft Defender لـ Office 365.

س: هل يمكنني حذف حمولات مخصصة؟

ج: نعم. أولا تقوم بأرشفة الحمولة، ثم تحذف الحمولة المؤرشفة. للحصول على الإرشادات، راجع حمولات الأرشيف.

س: هل يمكنني تعديل الحمولات المضمنة؟

ج: ليس مباشرة. يمكنك نسخ الحمولة المضمنة ثم تعديل النسخة. للحصول على الإرشادات، راجع نسخ الحمولات.

س: أحاول تشغيل محاكاة رمز الاستجابة السريعة، ولكن مسح رمز الاستجابة السريعة يظهر لي "اختبار الاتصال بنجاح" بدلا من الصفحة المقصودة؟

ج: عند إدراج رمز الاستجابة السريعة في محرر الحمولة، يتم تعيينه إلى عنوان URL الأساسي للتصيد الاحتيالي الذي حددته في قسم >ارتباط التصيد الاحتياليحدد عنوان URL. يتم إدراج رمز الاستجابة السريعة في رسالة البريد الإلكتروني كصورة. إذا قمت بالتبديل من علامة التبويب نص إلى علامة التبويب التعليمات البرمجية ، فسترى الصورة المدرجة بتنسيق Base64. تحتوي بداية الصورة على <div id="QRcode"...>. تأكد من التحقق من أن الحمولة النهائية تحتوي على <div id="QRcode"...> قبل استخدامها في المحاكاة.

أثناء إنشاء المحاكاة، إذا قمت بمسح رمز الاستجابة السريعة ضوئيا أو كنت تستخدم إرسال اختبار لمراجعة الحمولة، يشير رمز الاستجابة السريعة إلى عنوان URL الأساسي للتصيد الاحتيالي الذي حددته.

عند استخدام الحمولة في محاكاة، تستبدل الخدمة رمز الاستجابة السريعة برمز الاستجابة السريعة الذي تم إنشاؤه ديناميكيا لتتبع مقاييس النقر والاختراق. يطابق حجم وموضع وشكل رمز الاستجابة السريعة خيارات التكوين التي قمت بتكوينها في الحمولة. يأخذك فحص رمز الاستجابة السريعة أثناء المحاكاة الفعلية إلى الصفحة المنتقل إليها المكونة.

س: أحاول إنشاء حمولة بلغة HTML، ولكن يبدو أن محرر الحمولة يزيل محتوى معينا من تصميمي؟

ج: حاليا، علامات HTML التالية غير مدعومة في محرر الحمولة: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.

س: ماذا يحدث إذا قمت بتعديل المحتوى المستخدم في محاكاة موجودة؟

ج: يمكنك تعديل العناصر الرئيسية المستخدمة في المحاكاة بشكل مستقل عن المحاكاة نفسها. على سبيل المثال:

  • حموله
  • الوحده النمطيه
  • صفحة تسجيل الدخول
  • الصفحة المقصودة

يتم تقييم محتوى المحاكاة في وقت التشغيل، لذلك يعتمد ما يتم استخدامه في المحاكاة على حالة المحاكاة عند تعديل المحتوى:

  • نشط أو قيد التقدم: تم تشغيل هذه المحاكاة بالفعل، لذلك لا يتم استخدام أي تغييرات في المحتوى.
  • مجدول: لم يتم تشغيل المحاكاة بعد، لذلك يتم استخدام أي تغييرات في المحتوى في الحالة عند تشغيلها.

س: ماذا يحدث إذا قمت بإلغاء محاكاة بعد أن تكون هناك نقرات بالفعل على الحمولة؟ هل لا يزال هؤلاء المستخدمون يعتبرون مجرمين متكررين، على الرغم من إلغاء المحاكاة؟

الجاني المتكرر هو مستخدم تعرض للاختراق من خلال عمليات محاكاة متتالية (تخلى عن بيانات الاعتماد الخاصة به). القيمة الافتراضية للمحاكاة المتتالية هي اثنان، ولكن يمكنك تكوين الحد.

إذا قمت بإلغاء محاكاة قيد التقدم، يتم احتساب المستخدمين الذين أدخلوا بيانات الاعتماد الخاصة بهم قبل الإلغاء كمجرمين متكررين أو اختراقهم في التقارير.