Ofte stillede spørgsmål og overvejelser i forbindelse med udrulning af kursus i angrebssimulering
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Simuleringstræning af angreb gør det muligt for Microsoft 365 E5 eller Microsoft Defender for Office 365 Plan 2-organisationer at måle og administrere social engineering-risici ved at tillade oprettelse og administration af phishing-simuleringer, der er drevet af den virkelige verden, harmløs phishing Nyttelast. Hyper-målrettet træning, der leveres i partnerskab med Terranova-sikkerhed, hjælper med at forbedre viden og ændre medarbejdernes adfærd.
Du kan finde flere oplysninger om at komme i gang med Simuleringstræning af angreb under Kom i gang med at bruge Simuleringstræning af angreb.
Simuleringsoprettelses- og planlægningsoplevelsen er designet til at være fristrøms- og friktionsfri, men simuleringer i stor skala kræver planlægning. Denne artikel hjælper med at håndtere specifikke udfordringer, som vi ser, når vores kunder kører simuleringer i deres egne miljøer.
Problemer med slutbrugeroplevelser
URL-adresser til phishing-simulering blokeret af Google Safe Browsing
En TJENESTE til URL-omdømme identificerer muligvis en eller flere af de URL-adresser, der bruges af Simuleringstræning af angreb, som usikre. Google Sikker browsing i Google Chrome blokerer nogle af de simulerede phishing-URL-adresser med en meddelelse om vildledende websted forude . Selvom vi arbejder med mange leverandører af URL-omdømme for altid at tillade vores simulerings-URL-adresser, har vi ikke altid fuld dækning.
Dette problem påvirker ikke Microsoft Edge.
Som en del af planlægningsfasen skal du kontrollere tilgængeligheden af URL-adressen i dine understøttede webbrowsere, før du bruger URL-adressen i en phishing-kampagne. Hvis URL-adresserne er blokeret af Google Safe Browsing, skal du følge denne vejledning fra Google for at give adgang til URL-adresserne.
Se Kom i gang med at bruge Simuleringstræning af angreb for at få vist en liste over URL-adresser, der i øjeblikket bruges af Simuleringstræning af angreb.
Phishingsimulerings- og administrator-URL-adresser, der er blokeret af netværksproxyløsninger og filterdrivere
Både URL-adresser til phishing-simulering og administrator-URL-adresser kan blive blokeret eller droppet af dine mellemliggende sikkerhedsenheder eller filtre. Det kan f.eks. være:
- Firewalls
- WAF-løsninger (Web Application Firewall)
- Filterdrivere fra tredjepart (f.eks. kernetilstandsfiltre)
Selvom vi har set få kunder blive blokeret på dette lag, sker det. Hvis du støder på problemer, kan du overveje at konfigurere følgende URL-adresser for at omgå scanning fra dine sikkerhedsenheder eller filtre efter behov:
- De simulerede URL-adresser til phishing, som beskrevet i Kom i gang med at bruge Simuleringstræning af angreb.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Simuleringsmeddelelser leveres ikke til alle målrettede brugere
Det er muligt, at antallet af brugere, der faktisk modtager simuleringsmails, er mindre end antallet af brugere, der blev målrettet af simuleringen. Følgende typer brugere er udelukket som en del af målvalideringen:
- Ugyldige modtagermailadresser.
- Gæstebrugere.
- Brugere, der ikke længere er aktive i Microsoft Entra ID.
Hvis du bruger distributionsgrupper eller mailaktiverede sikkerhedsgrupper til målbrugere, kan du bruge cmdlet'en Get-DistributionGroupMember i Exchange Online PowerShell til at få vist og validere medlemmer af distributionsgruppen.
Oplæringer, der uventet er tildelt eller ikke tildelt til brugere
Tærsklen for oplæring i uddannelseskampagner forhindrer brugerne i at få tildelt de samme kurser i et bestemt interval (som standard 90 dage). Du kan få mere at vide under Angiv grænsen for oplæring.
Hvis du har oprettet en simulering eller automatisering af simulering med oplæringstildelingsværdien Tildel oplæring for mig (anbefalet), tildeler vi oplæring baseret på en brugers tidligere simulerings- og oplæringsresultater. Hvis du vil tildele kurser baseret på bestemte kriterier, skal du selv vælge Vælg kurser og moduler.
Hvad sker der, når en bruger besvarer eller videresender en simuleringsmeddelelse?
Hvis en bruger svarer på eller videresender en simuleringsmeddelelse til en anden postkasse, behandles meddelelsen som en normal mail (herunder detonation af Sikre links eller Sikre vedhæftede filer). Simuleringsrapporten viser, om simuleringsmeddelelsen blev besvaret eller videresendt. Hver URL-adresse i simuleringsmailen er knyttet til en individuel bruger, så sikkerhedslink-detonationer identificeres som klik af brugeren.
Hvis du bruger en secOps-postkasse (Dedicated Security Operations), skal du huske at identificere den som en SecOps i politikken for avanceret levering , så meddelelser leveres ufiltreret.
Hvordan kan jeg forskyde leveringen af simuleringsmeddelelser?
- Simuleringer tilbyder områdebevidst levering.
- Simuleringsautomatiseringer har en side med simuleringsplaner , hvor du kan randomisere levering og konfigurere andre leveringsoplysninger.
I begge tilfælde er det vigtigt at bruge forskellige nyttedata for at undgå diskussion og identifikation blandt brugerne.
Hvorfor blokeres billeder i simuleringsmeddelelser af Outlook?
Outlook er som standard konfigureret til at blokere automatiske billedoverførsler i meddelelser fra internettet. Selvom du kan konfigurere Outlook til automatisk at downloade billeder, anbefaler vi det ikke på grund af de sikkerhedsmæssige konsekvenser (potentiel automatisk download af skadelig kode eller webfejl, også kendt som webfyr eller sporingspixel).
Jeg kan se klik eller kompromishændelser fra brugere, der insisterer på, at de ikke klikkede på linket i simuleringsmeddelelsen, ELLER jeg kan se klik inden for et par sekunder efter levering for mange brugere (falske positiver). Hvad sker der?
Disse hændelser kan forekomme, når yderligere sikkerhedsenheder eller programmer inspicerer simuleringsmeddelelser. For eksempel (men ikke begrænset til):
- Programmer eller plug-ins i Outlook, der undersøger eller opfanger meddelelsen.
- Mailsikkerhedsprogrammer.
- Slutpunktsikkerhed eller antivirussoftware.
- Soar-playbooks (Security Orchestration, Automation and Response), der automatisk triagere eller automatisk besvarer rapporterede meddelelser.
Disse typer programmer kan se på webindhold for at registrere phishing, så du skal definere udeladelser for simuleringsmeddelelser i disse programmer.
EmailLinkClicked_IP og EmailLinkClicked_TimeStamp data kan give flere oplysninger om hændelsen. Hvis et klik f.eks. fandt sted et par sekunder efter levering, og IP-adressen ikke tilhører Microsoft, din virksomhed eller brugeren, er det sandsynligt, at et filtreringssystem fra tredjepart eller en anden tjeneste opfangede meddelelsen.
For alle filtreringssystemer eller -tjenester, der ikke er fra Microsoft, skal du tillade eller undtage følgende elementer:
- Alle Simuleringstræning af angreb URL-adresser og de tilsvarende domæner. I øjeblikket sender vi ikke simuleringsmeddelelser fra en statisk liste over IP-adresser.
- Alle andre domæner, som du bruger i brugerdefinerede nyttedata.
Kan jeg føje det eksterne mærke eller sikkerhedstip til simuleringsmeddelelser?
Brugerdefinerede nyttedata har mulighed for at føje mærket Ekstern til meddelelser. Du kan få flere oplysninger under Trin 5 i Opret nyttedata.
Der er ingen indbyggede indstillinger til at føje sikkerhedstip til nyttedata, men du kan bruge følgende metoder på siden Konfigurer nyttedata i guiden til konfiguration af nyttedata::
Brug en eksisterende mail, der indeholder sikkerhedstip som en skabelon. Gem meddelelsen som HTML, og kopiér oplysningerne.
Brug følgende eksempelkode for sikkerhedstip til første kontakt:
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
Kan jeg tildele træningsmoduler uden at sætte brugerne gennem en simulering?
Ja. Du kan få flere oplysninger under Oplæringskampagner i Simuleringstræning af angreb.
Hvordan gør jeg finde ud af om simuleringsmeddelelser, der ikke blev leveret?
Fanen Brugere for simuleringen kan filtreres efter levering af simuleringsmeddelelse: Levering mislykkedes.
Hvis du ejer afsenderens domæne, returneres den ikke-leverede simuleringsrapport i en rapport, der ikke leveres (også kendt som en NDR eller bounce message). Du kan finde flere oplysninger om koderne i NDR under Rapporter om manglende levering af mail og SMTP-fejl i Exchange Online.
Problemer med Simuleringstræning af angreb rapportering
Tip
Optagelsen af simuleringsdata starter et par minutter efter, at simuleringen er startet, og efter at brugerne begynder at interagere med simuleringsmeddelelserne. Der er ikke noget fast starttidspunkt. Hændelser registreres stadig, når simuleringen slutter.
Forskelle i brugeraktivitetsdata fra Simuleringstræning af angreb rapporter og andre rapporter
Hvis du vil rapportere om brugeraktivitet, der er relateret til simuleringsmeddelelser, anbefaler vi, at du bruger de indbyggede simuleringsrapporter. Rapporter fra andre kilder (f.eks. avanceret jagt) er muligvis ikke nøjagtige.
URL-adresser til simulering ombrydes ikke af sikre links og betragtes som ikke-ombrudte links. Det er ikke alle klik på ikke-ombrudte links, der går gennem Sikre links, så brugeraktivitet, der er relateret til simuleringsmeddelelser, registreres muligvis ikke i URLClickEvents-loggene.
Simuleringstræning af angreb rapporter indeholder ingen aktivitetsoplysninger
Simuleringstræning af angreb leveres med omfattende indsigt, der kan handles på, og som holder dig informeret om dine medarbejderes status for trusselsparathed. Hvis Simuleringstræning af angreb rapporter ikke udfyldes med data, skal du kontrollere, at logføring af overvågning er slået til i din organisation (den er som standard slået til).
Overvågningslogføring er påkrævet af Simuleringstræning af angreb så hændelser kan registreres, registreres og læses tilbage. Deaktivering af overvågningslogføring har følgende konsekvenser for Simuleringstræning af angreb:
- Rapporteringsdata er ikke tilgængelige på tværs af alle rapporter. Rapporterne ser tomme ud.
- Oplæringsopgaver er blokeret, fordi data ikke er tilgængelige.
Hvis du vil kontrollere, at overvågningslogføring er slået til, eller hvis du vil aktivere den, skal du se Slå overvågning til eller fra.
Tip
Tomme aktivitetsoplysninger skyldes også, at der ikke tildeles E5-licenser til brugerne. Bekræft, at mindst én E5-licens er tildelt en aktiv bruger for at sikre, at rapporteringshændelser registreres og registreres.
Brugerhandlinger og administratorhandlinger overvåges. I API'en til administrationsaktivitet skal du se efter værdierne 85, 88 og 218 for AuditLogRecordType .
Nogle overvågningsoplysninger kan også være tilgængelige i tabellen CloudAppEvents i Microsoft Defender XDR Avanceret jagt via Defender-portalen eller Streaming-API'en.
Rapportering af problemer med postkasser i det lokale miljø
Simuleringstræning af angreb understøtter postkasser i det lokale miljø, men med reduceret rapporteringsfunktionalitet:
- Data om, hvorvidt brugerne har læst, videresendt eller slettet simuleringsmailen, er ikke tilgængelige for postkasser i det lokale miljø.
- Antallet af brugere, der har rapporteret simuleringsmailen, er ikke tilgængeligt for postkasser i det lokale miljø.
Tip
Ud over de simuleringsmeddelelser, der sendes via transportpipelinen i forhold til direkte injektion i Microsoft 365, er trænings-, automatiserings- og indholdsstyringsoplevelserne de samme for postkasser i det lokale miljø.
Simuleringsrapporter opdateres ikke med det samme
Detaljerede simuleringsrapporter opdateres ikke umiddelbart efter, at du har startet en kampagne. Vær ikke bekymret; denne funktionsmåde forventes.
Alle simulationskampagner har en livscyklus. Når simuleringen oprettes første gang, er den i tilstanden Planlagt . Når simuleringen starter, skifter den til tilstanden I gang . Når det er fuldført, overgår simuleringstilstanden til tilstanden Fuldført .
Mens en simulering er i tilstanden Planlagt , er simuleringsrapporterne for det meste tomme. I denne fase løser simuleringsprogrammet mailadresserne for destinationsbrugeren, udvider distributionsgrupper, fjerner gæstebrugere fra listen osv.:
Når simuleringen går ind i fasen I gang , begynder oplysningerne at narre til rapporteringen:
Det kan tage op til 30 minutter, før de enkelte simuleringsrapporter opdateres efter overgangen til tilstanden I gang . Rapportdataene fortsætter med at blive oprettet, indtil simuleringen når tilstanden Fuldført . Rapporteringsopdateringer forekommer med følgende intervaller:
- Hvert 10. minut i de første 60 minutter.
- Hvert 15. minut efter 60 minutter indtil to dage.
- Hvert 30. minut efter to dage indtil syv dage.
- Hvert 60. minut efter syv dage.
Widgets på siden Oversigt giver et hurtigt øjebliksbillede af din organisations simuleringsbaserede sikkerhedsholdning over tid. Da disse widgets afspejler din overordnede sikkerhedsholdning og din rejse over tid, opdateres de, når hver simuleringskampagne er fuldført.
Bemærk!
Du kan bruge indstillingen Eksportér på de forskellige rapporteringssider til at udtrække data.
Meddelelser, der er rapporteret som phishing af brugere, vises ikke i simuleringsrapporter
Simuleringsrapporter i Oplæring af angrebssimulator indeholder oplysninger om brugeraktivitet. Det kan f.eks. være:
- Brugere, der har klikket på linket i meddelelsen.
- Brugere, der opgav deres legitimationsoplysninger.
- Brugere, der har rapporteret meddelelsen som phishing.
Hvis meddelelser, som brugere har rapporteret som phishing, ikke registreres i Simuleringstræning af angreb simuleringsrapporter, kan der være en Regel for Exchange-mailflow (også kendt som en transportregel), der blokerer leveringen af de rapporterede meddelelser til Microsoft. Kontrollér, at alle regler for mailflow ikke blokerer levering til følgende mailadresser:
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
Brugerne tildeles oplæring, når de rapporterer en simuleret meddelelse
Hvis brugerne får tildelt oplæring, efter at de har rapporteret en phishingsimuleringsmeddelelse, skal du kontrollere, om din organisation bruger en postkasse til at modtage brugerrapporterede meddelelser på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostkassen skal konfigureres til at springe mange sikkerhedskontroller over, som beskrevet i forudsætningerne for rapporteringspostkassen.
Hvis du ikke konfigurerer de påkrævede udeladelser for den brugerdefinerede rapporteringspostkasse, kan meddelelserne blive detoneret af Safe Links eller Safe Attachments Protection, hvilket medfører oplæringsopgaver.
Andre ofte stillede spørgsmål
Spørgsmål: Hvad er den anbefalede metode til at målrette brugere til simuleringskampagner?
Svar: Der er flere tilgængelige indstillinger for målbrugere:
- Medtag alle brugere (i øjeblikket tilgængelige for organisationer med mindre end 40.000 brugere).
- Vælg bestemte brugere.
- Vælg brugere fra en CSV-fil (én mailadresse pr. linje).
- Microsoft Entra gruppebaseret målretning. Følgende gruppetyper understøttes:
- Microsoft 365-grupper (statisk og dynamisk)
- Distributionsgrupper (kun statisk)
- Mailaktiverede sikkerhedsgrupper (kun statisk)
Vi oplever, at kampagner, hvor de målrettede brugere identificeres af Microsoft Entra grupper, er nemmere at administrere.
Spørgsmål: Hvor mange træningsmoduler er der?
Der er i øjeblikket 94 indbyggede kurser på siden Oplæringsmoduler .
Spørgsmål: Hvordan bruges sprog til oplevelser som træningsmoduler og meddelelser?
- Træningsmoduler: Indstillinger for landestandard i browseren bruges. Men når oplæringen er tildelt til en bruger, bevares sprogvalget, og fremtidige kurser tildeles på det pågældende sprog.
- Slutbrugermeddelelser: Landestandarden/sprogindstillingerne for postkassen bruges.
- Simulerings playloads: Det sprog, der er valgt af administratoren under oprettelsen, bruges.
- Landingssider: Sprogindstillingerne for Microsoft 365-kontoen bruges. Brugeren kan også ændre sprog på den rulleliste, der findes på landingssiden.
Spørgsmål: Er der nogen begrænsninger for målretning mod brugere, når du importerer fra en CSV eller tilføjer brugere?
Svar: Grænsen for import af modtagere fra en CSV-fil eller tilføjelse af individuelle modtagere til en simulering er 40.000.
En modtager kan være en individuel bruger eller en gruppe. En gruppe kan indeholde hundred- eller tusindvis af modtagere. Den øvre grænse for antallet af brugere er 400.000, men vi anbefaler en grænse på 200.000 brugere for hver simulering for at opnå den bedste ydeevne.
Det kan være besværligt at administrere en stor CSV-fil eller tilføje mange individuelle modtagere. Brug af Microsoft Entra grupper forenkler den overordnede administration af simuleringen.
Tip
Delte postkasser understøttes i øjeblikket ikke i Simuleringstræning af angreb. Simuleringer skal målrette brugerpostkasser eller grupper, der indeholder brugerpostkasser.
Grupper udvides, og listen over brugere genereres på det tidspunkt, hvor simulerings-, automatiserings- eller oplæringskampagnen gemmes.
Spørgsmål: Er grænserne for antallet af simuleringer, der kan udrulles i løbet af et bestemt tidsinterval?
En. Nej, selvom du kan opleve langsom, hvis du starter mange parallelle simuleringer. Meddelelseshastigheder (herunder simuleringsmeddelelser) er begrænset af tjenestens grænser for meddelelseshastigheder.
Spørgsmål: Leverer Microsoft nyttedata på andre sprog?
Svar: Der er i øjeblikket mere end 40 lokaliserede nyttedata tilgængelige på mere end 29 sprog: engelsk, spansk, tysk, japansk, fransk, portugisisk, hollandsk, italiensk, svensk, kinesisk (forenklet), norsk bokmål, polsk, russisk, finsk, koreansk, tyrkisk, hebraisk, thai, arabisk, vietnamesisk, slovakisk, græsk, indonesisk, rumænsk, slovensk, kroatisk, catalansk og andet. Vi har fastslået, at direkte oversættelse eller maskinoversættelse af eksisterende nyttedata til andre sprog fører til unøjagtigheder og reduceret relevans.
Når det er sagt, kan du oprette din egen nyttedata på det sprog, du vælger, ved hjælp af den brugerdefinerede brugeroplevelse til oprettelse af nyttedata. Vi anbefaler også på det kraftigste, at du høster eksisterende nyttedata, der blev brugt til at målrette brugere i et bestemt geografisk område. Med andre ord skal du lade angriberne lokalisere indholdet for dig.
Spørgsmål: Hvor mange træningsvideoer er tilgængelige?
Svar: Der er i øjeblikket mere end 85 tilgængelige træningsmoduler i indholdsbiblioteket.
Spørgsmål: Hvordan kan jeg skifte til andre sprog for min administrationsportal og uddannelse?
Svar: I Microsoft 365 eller Office 365 er sprogkonfigurationen specifik og centraliseret for hver brugerkonto. Du kan finde instruktioner til, hvordan du ændrer din sprogindstilling, under Skift visningssprog og tidszone i Microsoft 365 for Business.
Det kan tage op til 30 minutter at synkronisere konfigurationsændringen på tværs af alle tjenester.
Spørgsmål: Kan jeg udløse en testsimulering for at forstå, hvordan det ser ud, før jeg lancerer en færdig kampagne?
Svar: Ja, det kan du! Vælg Send en test på siden Gennemse simulering i den nye simuleringsguide. Denne indstilling sender en eksempel på phishing-simuleringsmeddelelse til den bruger, der i øjeblikket er logget på. Når du har valideret phishing-meddelelsen i din indbakke, kan du sende simuleringen.
Tip
Du kan også bruge Send en test fra siden Nyttedata . Men hvis du nogensinde bruger den valgte nyttedata i en simulering, vises testmeddelelsen i de aggregerede rapporter. Du kan eksportere resultaterne eller bruge Microsoft Graph API til at filtrere resultaterne.
Spørgsmål: Kan jeg målrette brugere, der tilhører en anden lejer, som en del af den samme simuleringskampagne?
Sv.: Nej. Simuleringer på tværs af lejere understøttes ikke i øjeblikket. Bekræft, at alle dine målrettede brugere er i den samme lejer. Alle brugere på tværs af lejere eller gæstebrugere er udelukket fra simuleringskampagnen.
Spørgsmål: Hvordan fungerer levering, der er opmærksom på området?
Svar: Levering, der er opmærksom på områder, bruger tidszoneattributten for den målrettede brugers postkasse til at bestemme, hvornår meddelelsen skal leveres. Der kan være en tidsforskel på ± én time i mailleveringen baseret på brugerens tidszone. Overvej f.eks. følgende scenarie:
- Kl. 07:00 i Pacific-tidszonen (UTC-8) opretter og planlægger en kampagne til at starte kl. 9:00 samme dag.
- UserA er i tidszonen Eastern (UTC-5).
- UserB er også i tidszonen Pacific.
Kl. 9:00 samme dag sendes simuleringsmeddelelsen til UserB. Med områdeorienteret levering sendes meddelelsen ikke til BrugerA samme dag, fordi kl. 9:00 Pacific time er 12:00 Eastern time. Meddelelsen sendes i stedet til UserA kl. 9:00 Eastern time den følgende dag.
Så i den indledende kørsel af en kampagne med områdeorienteret levering aktiveret kan det se ud til, at simuleringsmeddelelsen kun blev sendt til brugere i en bestemt tidszone. Men efterhånden som tiden går, og flere brugere kommer i omfang, øges de målrettede brugere.
Hvis du ikke bruger levering, der er områdeorienteret, starter kampagnen på baggrund af tidszonen for den bruger, der konfigurerer den.
Spørgsmål: Indsamler eller gemmer Microsoft oplysninger, som brugerne indtaster på logonsiden for Credential Harvest, og som bruges i simuleringsteknikken Til indsamling af legitimationsoplysninger?
Sv.: Nej. Alle oplysninger, der angives på logonsiden for indsamling af legitimationsoplysninger, kasseres uovervåget. Det er kun 'click', der registreres for at registrere kompromishændelsen. Microsoft indsamler, logfører eller gemmer ikke oplysninger, som brugerne angiver på dette trin.
Spørgsmål: Hvor længe bevares simuleringsoplysninger? Kan jeg slette simuleringsdata?
Svar: Se følgende tabel:
Datatype | Fastholdelse |
---|---|
Simuleringsmetadata | 18 måneder, medmindre simuleringen slettes tidligere af en administrator. |
Automatisering af simulering | 18 måneder, medmindre simuleringsautomatisering slettes hurtigere af en administrator. |
Automatisering af nyttedata | 18 måneder, medmindre automatiseringen af nyttedata slettes hurtigere af en administrator. |
Brugeraktivitet i simuleringsmetadata | 18 måneder, medmindre simuleringen slettes tidligere af en administrator. |
Globale nyttedata | Bevares, medmindre de slettes af Microsoft. |
Lejernyttedata | 18 måneder, medmindre den arkiverede nyttedata slettes hurtigere af en administrator. |
Brugeraktivitet i træningsmetadata | 18 måneder, medmindre simuleringen slettes tidligere af en administrator. |
MDO anbefalede nyttedata | 6 måneder. |
Globale slutbrugermeddelelser | Bevares, medmindre de slettes af Microsoft. |
Meddelelser fra slutbrugere af lejer | 18 måneder, medmindre meddelelsen slettes hurtigere af en administrator. |
Globale logonsider | Bevares, medmindre de slettes af Microsoft. |
Lejerlogonsider | 18 måneder, medmindre logonsiden slettes tidligere af en administrator. |
Globale landingssider | Bevares, medmindre den slettes af Microsoft |
Landingssider for lejer | 18 måneder, medmindre landingssiden slettes tidligere af en administrator. |
Hvis hele lejeren slettes, slettes oplæringsdata for simulering af angreb efter 90 dage.
Du kan få flere oplysninger under Oplysninger om dataopbevaring for Microsoft Defender for Office 365.
Spørgsmål: Kan jeg oprette, få vist og administrere simuleringer ved hjælp af en API?
Sv.: Ja. Læse- og skrivescenarier understøttes ved hjælp af Microsoft Graph API:
-
AttackSimulation.Read.All
:- Læs simuleringsmetadata
- Læs brugeraktivitet
- Læs oplæringsdata
- Læs gentagelsesovertrædere
-
AttackSimulation.ReadWrite.All
: Kør simuleringer ved hjælp af de angivne nyttedata, meddelelser og logonsider.
Du kan få flere oplysninger under Api-oversigt over listesimuleringer og rapporter for oplæring af simulering af angreb som en del af Microsoft Defender for Office 365.
Spørgsmål: Kan jeg slette brugerdefinerede nyttedata?
Sv.: Ja. Først skal du arkivere nyttedataene og derefter slette de arkiverede nyttedata. Du kan finde instruktioner under Arkivér nyttedata.
Spørgsmål: Kan jeg ændre de indbyggede nyttedata?
Svar: Ikke direkte. Du kan kopiere de indbyggede nyttedata og derefter redigere kopien. Du kan finde instruktioner under Kopiér nyttedata.
Spørgsmål: Jeg forsøger at køre en QR-kodesimulering, men scanning af QR-koden viser mig "ping vellykket" i stedet for landingssiden?
Svar: Når du indsætter en QR-kode i nyttedataeditoren, knyttes den til den grundlæggende phishing-URL-adresse, som du valgte i afsnittet >PhishinglinkVælg URL-adresse. QR-koden indsættes i mailen som et billede. Hvis du skifter fra fanen Tekst til fanen Kode , kan du se det indsatte billede i Base64-format. Starten af billedet indeholder <div id="QRcode"...>
. Sørg for at kontrollere, at den færdige nyttedata indeholder <div id="QRcode"...>
, før du bruger den i en simulering.
Hvis du scanner QR-koden under oprettelsen af simuleringen, eller hvis du bruger Send en test til at gennemse nyttedataene, peger QR-koden på den grundlæggende PHISHING-URL-adresse, du har valgt.
Når nyttedataene bruges i en simulering, erstatter tjenesten QR-koden med en dynamisk genereret QR-kode for at spore klik og kompromittere målepunkter. Størrelsen, placeringen og formen af QR-koden svarer til de konfigurationsindstillinger, du har konfigureret i nyttedataene. Scanning af QR-koden under en faktisk simulering fører dig til den konfigurerede landingsside.
Spørgsmål: Jeg forsøger at oprette en nyttedata i HTML, men nyttedataeditoren ser ud til at fjerne bestemt indhold fra mit design?
Svar: I øjeblikket understøttes følgende HTML-koder ikke i nyttedataeditoren: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
.