Ofte stillede spørgsmål og overvejelser i forbindelse med udrulning af kursus i angrebssimulering

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender til Office 365 i prøveversionshubben til Microsoft Defender Portal. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Oplæring i simulering af angreb gør det muligt for Microsoft 365 E5- eller Microsoft Defender for Office 365 Plan 2-organisationer at måle og administrere social engineering-risici ved at tillade oprettelse og administration af phishing-simuleringer, der er drevet af den virkelige verden, harmløse phishing-nyttedata. Hyper-målrettet træning, der leveres i partnerskab med Terranova-sikkerhed, hjælper med at forbedre viden og ændre medarbejdernes adfærd.

Du kan finde flere oplysninger om at komme i gang med oplæringen af simulering af angreb under Kom i gang med at bruge træningen til simulering af angreb.

Simuleringsoprettelses- og planlægningsoplevelsen er designet til at være fristrøms- og friktionsfri, men simuleringer i stor skala kræver planlægning. Denne artikel hjælper med at håndtere specifikke udfordringer, som vi ser, når vores kunder kører simuleringer i deres egne miljøer.

Problemer med slutbrugeroplevelser

URL-adresser til phishing-simulering blokeret af Google Safe Browsing

En TJENESTE til URL-omdømme identificerer muligvis en eller flere af de URL-adresser, der bruges af oplæringen i simulering af angreb som usikre. Google Sikker browsing i Google Chrome blokerer nogle af de simulerede phishing-URL-adresser med en meddelelse om vildledende websted forude . Selvom vi arbejder med mange leverandører af URL-omdømme for altid at tillade vores simulerings-URL-adresser, har vi ikke altid fuld dækning.

Dette problem påvirker ikke Microsoft Edge.

Som en del af planlægningsfasen skal du kontrollere tilgængeligheden af URL-adressen i dine understøttede webbrowsere, før du bruger URL-adressen i en phishing-kampagne. Hvis URL-adresserne er blokeret af Google Safe Browsing, skal du følge denne vejledning fra Google for at give adgang til URL-adresserne.

Se Oplæring i at komme i gang med at bruge simulering af angreb for at få vist en liste over URL-adresser, der i øjeblikket bruges af træningen til simulering af angreb.

Phishingsimulerings- og administrator-URL-adresser, der er blokeret af netværksproxyløsninger og filterdrivere

Både URL-adresser til phishing-simulering og administrator-URL-adresser kan blive blokeret eller droppet af dine mellemliggende sikkerhedsenheder eller filtre. Det kan f.eks. være:

• Firewalls
• WAF-løsninger (Web Application Firewall)
• Filterdrivere fra tredjepart (f.eks. kernetilstandsfiltre)

Selvom vi har set få kunder blive blokeret på dette lag, sker det. Hvis du støder på problemer, kan du overveje at konfigurere følgende URL-adresser for at omgå scanning fra dine sikkerhedsenheder eller filtre efter behov:

• De simulerede phishing-URL-adresser som beskrevet i Kom i gang med at bruge oplæring i simulering af angreb.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Simuleringsmeddelelser leveres ikke til alle målrettede brugere

Det er muligt, at antallet af brugere, der faktisk modtager simuleringsmails, er mindre end antallet af brugere, der blev målrettet af simuleringen. Følgende typer brugere er udelukket som en del af målvalideringen:

• Ugyldige modtagermailadresser.
• Gæstebrugere.
• Brugere, der ikke længere er aktive i Microsoft Entra ID.

Hvis du bruger distributionsgrupper eller mailaktiverede sikkerhedsgrupper til målbrugere, kan du bruge cmdlet'en Get-DistributionGroupMember i Exchange Online PowerShell til at få vist og validere medlemmer af distributionsgruppen.

Problemer med oplæringsrapportering af simulering af angreb

Oplæringsrapporter om simulering af angreb indeholder ingen aktivitetsoplysninger

Oplæring i simulering af angreb leveres med omfattende indsigt, der kan handles på, og som holder dig informeret om dine medarbejderes trusselsparathed. Hvis oplæringsrapporter om simulering af angreb ikke udfyldes med data, skal du kontrollere, at logføring af overvågning er slået til i din organisation (den er som standard slået til).

Overvågningslogføring er påkrævet ved oplæring af simulering af angreb, så hændelser kan registreres, registreres og læses tilbage. Deaktivering af overvågningslogføring har følgende konsekvenser for oplæringen af simulering af angreb:

• Rapporteringsdata er ikke tilgængelige på tværs af alle rapporter. Rapporterne ser tomme ud.
• Oplæringsopgaver er blokeret, fordi data ikke er tilgængelige.

Hvis du vil kontrollere, at overvågningslogføring er slået til, eller hvis du vil aktivere den, skal du se Slå overvågning til eller fra.

Bemærk!

Tomme aktivitetsoplysninger kan også skyldes, at der ikke tildeles E5-licenser til brugerne. Bekræft, at mindst én E5-licens er tildelt en aktiv bruger for at sikre, at rapporteringshændelser registreres og registreres.

Rapportering af problemer med postkasser i det lokale miljø

Oplæring af simulering af angreb understøtter postkasser i det lokale miljø, men med reduceret rapporteringsfunktionalitet:

• Data om, hvorvidt brugerne har læst, videresendt eller slettet simuleringsmailen, er ikke tilgængelige for postkasser i det lokale miljø.
• Antallet af brugere, der har rapporteret simuleringsmailen, er ikke tilgængeligt for postkasser i det lokale miljø.

Simuleringsrapporter opdateres ikke med det samme

Detaljerede simuleringsrapporter opdateres ikke umiddelbart efter, at du har startet en kampagne. Vær ikke bekymret; denne funktionsmåde forventes.

Alle simulationskampagner har en livscyklus. Når simuleringen oprettes første gang, er den i tilstanden Planlagt . Når simuleringen starter, skifter den til tilstanden I gang . Når det er fuldført, overgår simuleringstilstanden til tilstanden Fuldført .

Mens en simulering er i tilstanden Planlagt , er simuleringsrapporterne for det meste tomme. I denne fase løser simuleringsprogrammet mailadresserne for destinationsbrugeren, udvider distributionsgrupper, fjerner gæstebrugere fra listen osv.:

Når simuleringen går ind i fasen I gang , begynder oplysningerne at narre til rapporteringen:

Det kan tage op til 30 minutter, før de enkelte simuleringsrapporter opdateres efter overgangen til tilstanden I gang . Rapportdataene fortsætter med at blive oprettet, indtil simuleringen når tilstanden Fuldført . Rapporteringsopdateringer forekommer med følgende intervaller:

• Hvert 10. minut i de første 60 minutter.
• Hvert 15. minut efter 60 minutter indtil to dage.
• Hvert 30. minut efter to dage indtil syv dage.
• Hvert 60. minut efter syv dage.

Widgets på siden Oversigt giver et hurtigt øjebliksbillede af din organisations simuleringsbaserede sikkerhedsholdning over tid. Da disse widgets afspejler din overordnede sikkerhedsholdning og din rejse over tid, opdateres de, når hver simuleringskampagne er fuldført.

Bemærk!

Du kan bruge indstillingen Eksportér på de forskellige rapporteringssider til at udtrække data.

Meddelelser, der er rapporteret som phishing af brugere, vises ikke i simuleringsrapporter

Simuleringsrapporter i Oplæring af angrebssimulator indeholder oplysninger om brugeraktivitet. Det kan f.eks. være:

• Brugere, der har klikket på linket i meddelelsen.
• Brugere, der opgav deres legitimationsoplysninger.
• Brugere, der har rapporteret meddelelsen som phishing.

Hvis meddelelser, som brugere har rapporteret som phishing, ikke registreres i simuleringsrapporter om simulering af angrebssimulering, kan der være en regel for Exchange-mailflow (også kendt som en transportregel), der blokerer leveringen af de rapporterede meddelelser til Microsoft. Kontrollér, at alle regler for mailflow ikke blokerer levering til følgende mailadresser:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

Brugerne tildeles oplæring, når de rapporterer en simuleret meddelelse

Hvis brugerne får tildelt oplæring, efter at de har rapporteret en phishingsimuleringsmeddelelse, skal du kontrollere, om din organisation bruger en postkasse til at modtage brugerrapporterede meddelelser på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostkassen skal konfigureres til at springe mange sikkerhedskontroller over, som beskrevet i forudsætningerne for rapporteringspostkassen.

Hvis du ikke konfigurerer de påkrævede udeladelser for den brugerdefinerede rapporteringspostkasse, kan meddelelserne blive detoneret af Safe Links eller Safe Attachments Protection, hvilket medfører oplæringsopgaver.

Andre ofte stillede spørgsmål

Spørgsmål: Hvad er den anbefalede metode til at målrette brugere til simuleringskampagner?

Svar: Der er flere tilgængelige indstillinger for målbrugere:

• Medtag alle brugere (i øjeblikket tilgængelige for organisationer med mindre end 40.000 brugere).
• Vælg bestemte brugere.
• Vælg brugere fra en CSV-fil (én mailadresse pr. linje).
• Microsoft Entra-gruppebaseret målretning.

Vi har opdaget, at kampagner, hvor de målrettede brugere identificeres af Microsoft Entra-grupper, er nemmere at administrere.

Spørgsmål: Er der nogen begrænsninger for målretning mod brugere, når du importerer fra en CSV eller tilføjer brugere?

Svar: Grænsen for import af modtagere fra en CSV-fil eller tilføjelse af individuelle modtagere til en simulering er 40.000.

En modtager kan være en individuel bruger eller en gruppe. En gruppe kan indeholde hundred- eller tusindvis af modtagere, så der er ikke en faktisk grænse for antallet af individuelle brugere.

Det kan være besværligt at administrere en stor CSV-fil eller tilføje mange individuelle modtagere. Brug af Microsoft Entra-grupper forenkler den overordnede administration af simuleringen.

Spørgsmål: Leverer Microsoft nyttedata på andre sprog?

Svar: Der er i øjeblikket mere end 40 lokaliserede nyttedata tilgængelige på mere end 29 sprog: engelsk, spansk, tysk, japansk, fransk, portugisisk, hollandsk, italiensk, svensk, kinesisk (forenklet), norsk bokmål, polsk, russisk, finsk, koreansk, tyrkisk, hebraisk, thai, arabisk, vietnamesisk, slovakisk, græsk, indonesisk, rumænsk, slovensk, kroatisk, catalansk og andet. Vi har fastslået, at direkte oversættelse eller maskinoversættelse af eksisterende nyttedata til andre sprog fører til unøjagtigheder og reduceret relevans.

Når det er sagt, kan du oprette din egen nyttedata på det sprog, du vælger, ved hjælp af den brugerdefinerede brugeroplevelse til oprettelse af nyttedata. Vi anbefaler også på det kraftigste, at du høster eksisterende nyttedata, der blev brugt til at målrette brugere i et bestemt geografisk område. Med andre ord skal du lade angriberne lokalisere indholdet for dig.

Spørgsmål: Hvor mange træningsvideoer er tilgængelige?

Svar: Der er i øjeblikket mere end 85 tilgængelige træningsmoduler i indholdsbiblioteket.

Spørgsmål: Hvordan kan jeg skifte til andre sprog for min administrationsportal og uddannelse?

Svar: I Microsoft 365 eller Office 365 er sprogkonfiguration specifik og centraliseret for hver brugerkonto. Du kan finde instruktioner til, hvordan du ændrer din sprogindstilling, under Skift visningssprog og tidszone i Microsoft 365 for Business.

Det kan tage op til 30 minutter at synkronisere konfigurationsændringen på tværs af alle tjenester.

Spørgsmål: Kan jeg udløse en testsimulering for at forstå, hvordan det ser ud, før jeg lancerer en færdig kampagne?

Svar: Ja, det kan du! Vælg Send en test på siden Gennemse simulering i den nye simuleringsguide. Denne indstilling sender en eksempel på phishing-simuleringsmeddelelse til den bruger, der i øjeblikket er logget på. Når du har valideret phishing-meddelelsen i din indbakke, kan du sende simuleringen.

Spørgsmål: Kan jeg målrette brugere, der tilhører en anden lejer, som en del af den samme simuleringskampagne?

Sv.: Nej. Simuleringer på tværs af lejere understøttes ikke i øjeblikket. Bekræft, at alle dine målrettede brugere er i den samme lejer. Alle brugere på tværs af lejere eller gæstebrugere er udelukket fra simuleringskampagnen.

Spørgsmål: Hvordan fungerer levering, der er opmærksom på området?

Svar: Levering, der er opmærksom på områder, bruger tidszoneattributten for den målrettede brugers postkasse til at bestemme, hvornår meddelelsen skal leveres. Der kan være en tidsforskel på ± én time i mailleveringen baseret på brugerens tidszone. Overvej f.eks. følgende scenarie:

• Kl. 07:00 i Pacific-tidszonen (UTC-8) opretter og planlægger en kampagne til at starte kl. 9:00 samme dag.
• UserA er i tidszonen Eastern (UTC-5).
• UserB er også i tidszonen Pacific.

Kl. 9:00 samme dag sendes simuleringsmeddelelsen til UserB. Med områdeorienteret levering sendes meddelelsen ikke til BrugerA samme dag, fordi kl. 9:00 Pacific time er 12:00 Eastern time. Meddelelsen sendes i stedet til UserA kl. 9:00 Eastern time den følgende dag.

Så i den indledende kørsel af en kampagne med områdeorienteret levering aktiveret kan det se ud til, at simuleringsmeddelelsen kun blev sendt til brugere i en bestemt tidszone. Men efterhånden som tiden går, og flere brugere kommer i omfang, øges de målrettede brugere.

Spørgsmål: Indsamler eller gemmer Microsoft oplysninger, som brugerne indtaster på logonsiden for Credential Harvest, og som bruges i simuleringsteknikken Til indsamling af legitimationsoplysninger?

Sv.: Nej. Alle oplysninger, der angives på logonsiden for indsamling af legitimationsoplysninger, kasseres uovervåget. Det er kun 'click', der registreres for at registrere kompromishændelsen. Microsoft indsamler, logfører eller gemmer ikke oplysninger, som brugerne angiver på dette trin.