Aspekty nasazení trénování simulace útoku a nejčastější dotazy

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Simulační nácvik útoku umožňuje organizacím Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2 měřit a spravovat rizika sociálního inženýrství tím, že umožňuje vytváření a správu simulací phishing, které využívají skutečné a neškodné phishingové datové části. Hyper-cílené školení, poskytované ve spolupráci se zabezpečením Terranova, pomáhá zlepšovat znalosti a měnit chování zaměstnanců.

Další informace o tom, jak začít s Simulační nácvik útoku, najdete v tématu Začínáme používat Simulační nácvik útoku.

I když je prostředí pro vytváření a plánování simulací navržené tak, aby bez běhu a bez třecích ploch, simulace na podnikovém měřítku vyžadují plánování. Tento článek pomáhá řešit konkrétní problémy, které vidíme, když naši zákazníci spouští simulace ve svých vlastních prostředích.

Problémy s prostředím koncových uživatelů

Adresy URL simulace útoků phishing blokované službou Google Safe Browsing

Služba reputace adres URL může identifikovat jednu nebo více adres URL, které Simulační nácvik útoku používají, jako nebezpečné. Bezpečné procházení Google v prohlížeči Google Chrome blokuje některé simulované adresy URL útoků phishing se zprávou o podvodném webu . I když spolupracujeme s mnoha dodavateli reputace adres URL, abychom vždy povolili adresy URL simulace, nemáme vždy úplné pokrytí.

Upozornění na podvodný web v prohlížeči Google Chrome

Tento problém nemá vliv na Microsoft Edge.

V rámci fáze plánování nezapomeňte zkontrolovat dostupnost adresy URL v podporovaných webových prohlížečích před použitím adresy URL ve phishingové kampani. Pokud jsou adresy URL blokované službou Google Safe Browsing, povolte přístup k adresám URL podle těchto pokynů od Googlu.

Seznam adres URL, které aktuálně používají Simulační nácvik útoku, najdete v tématu Začínáme používat Simulační nácvik útoku.

Simulace útoků phishing a adresy URL správců blokované řešeními síťového proxy serveru a ovladači filtru

Adresy URL simulace útoků phishing i adresy URL pro správce můžou být blokované nebo vyřazené zprostředkujícími bezpečnostními zařízeními nebo filtry. Příklady:

  • Brány firewall
  • řešení Web Application Firewall (WAF)
  • Ovladače filtrů třetích stran (například filtry v režimu jádra)

I když jsme viděli, že v této vrstvě dochází k zablokování několika zákazníků, stává se to. Pokud narazíte na problémy, zvažte konfiguraci následujících adres URL tak, aby se podle potřeby obešly kontroly bezpečnostními zařízeními nebo filtry:

Zprávy simulace se nedoručí všem cílovým uživatelům

Je možné, že počet uživatelů, kteří skutečně dostanou e-mailové zprávy simulace, je menší než počet uživatelů, na které simulace cílila. V rámci ověření cíle jsou vyloučeny následující typy uživatelů:

  • Neplatné e-mailové adresy příjemců
  • Uživatelé typu host.
  • Uživatelé, kteří už nejsou v Microsoft Entra ID aktivní.

Pokud k cílení na uživatele používáte distribuční skupiny nebo poštovní skupiny zabezpečení, můžete k zobrazení a ověření členů distribuční skupiny použít rutinu Get-DistributionGroupMember v Exchange Online PowerShellu.

Problémy s vytvářením sestav Simulační nácvik útoku

Simulační nácvik útoku sestavy neobsahují žádné podrobnosti o aktivitách.

Simulační nácvik útoku přináší bohaté užitečné přehledy, které vás informují o průběhu připravenosti vašich zaměstnanců na hrozby. Pokud Simulační nácvik útoku sestavy nejsou naplněné daty, ověřte, že je protokolování auditu ve vaší organizaci zapnuté (ve výchozím nastavení je zapnuté).

Protokolování auditu vyžaduje Simulační nácvik útoku, aby bylo možné zaznamenávat, zaznamenávat a číst události. Vypnutí protokolování auditu má pro Simulační nácvik útoku následující důsledky:

  • Data generování sestav nejsou dostupná ve všech sestavách. Sestavy se zdají být prázdné.
  • Trénovací přiřazení jsou blokovaná, protože data nejsou k dispozici.

Pokud chcete ověřit, jestli je protokolování auditu zapnuté nebo jestli ho chcete zapnout, přečtěte si téma Zapnutí nebo vypnutí auditování.

Poznámka

Prázdné podrobnosti o aktivitě můžou být také způsobené tím, že se uživatelům nepřiřazují žádné licence E5. Ověřte, že aktivnímu uživateli je přiřazena alespoň jedna licence E5, abyste měli jistotu, že se zachytávají a zaznamenávají události sestav.

Hlášení problémů s místními poštovními schránkami

Simulační nácvik útoku podporuje místní poštovní schránky, ale s omezenými funkcemi vytváření sestav:

  • Data o tom, jestli uživatelé přečetli, přeposílali nebo odstranili simulační e-maily, nejsou pro místní poštovní schránky k dispozici.
  • Počet uživatelů, kteří nahlásili simulační e-mail, není pro místní poštovní schránky k dispozici.

Sestavy simulace se neaktualizují okamžitě.

Podrobné sestavy simulace se neaktualizují hned po spuštění kampaně. Neboj; toto chování je očekávané.

Každá simulační kampaň má životní cyklus. Při prvním vytvoření je simulace v naplánovaném stavu. Při spuštění simulace přejde do stavu Probíhá . Po dokončení simulace přejde do stavu Dokončeno .

I když je simulace v naplánovaném stavu, jsou sestavy simulace většinou prázdné. Během této fáze simulační modul překládá e-mailové adresy cílových uživatelů, rozšiřuje distribuční skupiny, odebírá ze seznamu uživatele typu host atd.:

Podrobnosti simulace zobrazující simulaci v naplánovaném stavu

Jakmile simulace přejde do fáze Probíhá , začnou se informace stéci do sestav:

Podrobnosti simulace zobrazující simulaci ve stavu Probíhá

Aktualizace jednotlivých sestav simulace po přechodu do stavu Probíhá může trvat až 30 minut. Data sestavy se budou dál sestavovat, dokud simulace nedosáhne stavu Dokončeno . K aktualizacím sestav dochází v následujících intervalech:

  • Prvních 60 minut každých 10 minut.
  • Každých 15 minut po 60 minutách do dvou dnů.
  • Každých 30 minut po dvou dnech až do sedmi dnů.
  • Každých 60 minut po sedmi dnech.

Widgety na stránce Přehled poskytují rychlý snímek stavu zabezpečení založeného na simulacích vaší organizace v průběhu času. Vzhledem k tomu, že tyto widgety odrážejí celkový stav zabezpečení a cestu v průběhu času, aktualizují se po dokončení každé simulační kampaně.

Poznámka

K extrahování dat můžete použít možnost Exportovat na různých stránkách sestav.

Zprávy nahlášené uživateli jako phishing se nezobrazují v sestavách simulace

Sestavy simulace v trénování simulátoru útoku poskytují podrobnosti o aktivitě uživatele. Příklady:

  • Uživatelé, kteří klikli na odkaz ve zprávě.
  • Uživatelé, kteří se vzdali svých přihlašovacích údajů.
  • Uživatelé, kteří zprávu nahlásili jako phishing.

Pokud zprávy, které uživatelé nahlásili jako phishing, nejsou zachyceny v Simulační nácvik útoku sestavách simulace, může existovat pravidlo toku pošty Exchange (označované také jako pravidlo přenosu), které blokuje doručení nahlášených zpráv do Microsoftu. Ověřte, že žádná pravidla toku pošty neblokují doručování na následující e-mailové adresy:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Uživatelům se po nahlášení simulované zprávy přiřadí trénování.

Pokud je uživatelům přiřazeno školení poté, co nahlásí zprávu simulace útoku phishing, zkontrolujte, jestli vaše organizace používá poštovní schránku hlášení k přijímání zpráv nahlášených uživateli na adrese https://security.microsoft.com/securitysettings/userSubmission. Poštovní schránka sestav musí být nakonfigurovaná tak, aby přeskakovala mnoho kontrol zabezpečení, jak je popsáno v požadavcích na poštovní schránku sestav.

Pokud nenakonfigurujete požadovaná vyloučení pro vlastní poštovní schránku hlášení, můžou být zprávy odpálené bezpečnými odkazy nebo ochranou bezpečných příloh, což způsobí přiřazení trénování.

Další nejčastější dotazy

O: Cílovým uživatelům je k dispozici několik možností:

  • Zahrnout všechny uživatele (aktuálně dostupné pro organizace s méně než 40 000 uživateli).
  • Zvolte konkrétní uživatele.
  • Vyberte uživatele ze souboru CSV (jedna e-mailová adresa na řádek).
  • Microsoft Entra cílení na základě skupin.

Zjistili jsme, že se snadněji spravují kampaně, kde cílové uživatele identifikují skupiny Microsoft Entra.

Otázka: Existují nějaká omezení cílení na uživatele při importu ze souboru CSV nebo přidávání uživatelů?

O: Limit pro import příjemců ze souboru CSV nebo přidání jednotlivých příjemců do simulace je 40 000.

Příjemcem může být jednotlivý uživatel nebo skupina. Skupina může obsahovat stovky nebo tisíce příjemců, takže skutečný limit není omezen počtem jednotlivých uživatelů.

Správa velkého souboru CSV nebo přidání mnoha jednotlivých příjemců může být těžkopádná. Používání Microsoft Entra skupin zjednodušuje celkovou správu simulace.

Otázka: Poskytuje Microsoft datové části v jiných jazycích?

O: V současné době je k dispozici více než 40 lokalizovaných datových částí ve více než 29 jazycích: angličtina, španělština, japonština, francouzština, portugalština, holandština, italština, švédština, čínština (zjednodušená), norština Bokmål, polština, ruština, finština, korejština, turečtina, maďarština, hebrejština, thajština, arabština, vietnamština, slovenština, řečtina, indonéština, rumunština, slovinština, chorvatština, katalánština a další. Zjistili jsme, že přímý nebo strojový překlad stávajících datových částí do jiných jazyků vede k nepřesnostem a snížení relevance.

Přesto můžete vytvořit vlastní datovou část v jazyce, který si zvolíte, pomocí vlastního prostředí pro vytváření datových částí. Důrazně také doporučujeme, abyste oshromí stávající datové části, které byly použity k cílení na uživatele v konkrétní geografické oblasti. Jinými slovy, nechte útočníky lokalizovat obsah za vás.

Otázka: Kolik školicích videí je k dispozici?

O: V současné době je v knihovně obsahu k dispozici více než 85 školicích modulů.

Otázka: Jak můžu přepnout na jiné jazyky pro portál pro správu a školení?

O: V Microsoftu 365 nebo Office 365 je konfigurace jazyka specifická a centralizovaná pro každý uživatelský účet. Pokyny ke změně nastavení jazyka najdete v článku Změna jazyka zobrazení a časového pásma v Microsoftu 365 pro firmy.

Synchronizace změny konfigurace napříč všemi službami může trvat až 30 minut.

Otázka: Můžu před spuštěním plnohodnotné kampaně aktivovat testovací simulaci, abych pochopil, jak vypadá?

Odpověď: Ano, můžete! Na poslední stránce Zkontrolovat simulaci v průvodci novou simulací vyberte Odeslat test. Tato možnost odešle aktuálně přihlášeným uživatelům ukázkovou simulační zprávu útoku phishing. Po ověření phishingové zprávy ve složce Doručená pošta můžete simulaci odeslat.

Tlačítko Odeslat test na stránce Zkontrolovat simulaci

Otázka: Můžu v rámci stejné simulační kampaně cílit na uživatele, kteří patří do jiného tenanta?

Odpověď: Ne. V současné době se simulace mezi tenanty nepodporují. Ověřte, že všichni vaši cíloví uživatelé jsou ve stejném tenantovi. Všichni uživatelé mezi tenanty nebo uživatelé typu host jsou vyloučeni z kampaně simulace.

Otázka: Jak funguje doručování s informacemi o oblastech?

O: Doručování s informacemi o oblastech používá atribut TimeZone poštovní schránky cílového uživatele a logiku "ne dříve" k určení, kdy se má zpráva doručit. Představte si například následující scénář:

  • V 7:00 v časovém pásmu Tichomoří (UTC-8) správce vytvoří a naplánuje kampaň, která má začít ve stejný den v 9:00.
  • UserA je ve východním časovém pásmu (UTC-5).
  • Uživatel B je také v tichomořském časovém pásmu.

V 9:00 ve stejný den se odešle zpráva simulace uživateli UserB. Při doručování s informacemi o oblastech se zpráva neodesílají uživateli A ve stejný den, protože 9:00 tichomořského času je 12:00 východního času. Místo toho se zpráva odešle uživateli A následující den v 9:00 východního času.

Takže při počátečním spuštění kampaně s povoleným doručováním podle oblastí se může zdát, že zpráva simulace byla odeslána pouze uživatelům v určitém časovém pásmu. Ale jak čas uplyne a do oboru se dostane více uživatelů, cílových uživatelů se zvyšuje.

Otázka: Shromažďuje microsoft nějaké informace, které uživatelé zadávají na přihlašovací stránce Credential Harvest a které se používají v simulaci credential Harvest?

Odpověď: Ne. Všechny informace zadané na přihlašovací stránce pro získávání přihlašovacích údajů se tiše zahodí. Zaznamenává se pouze "kliknutí", aby se zachytála událost ohrožení zabezpečení. Microsoft neshromažďuje, protokoluje ani neukládá žádné podrobnosti, které uživatelé zadávají v tomto kroku.