Teilen über

Überlegungen zur Bereitstellung von Angriffssimulationstraining und FAQ

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Mithilfe von Angriffssimulationsschulungen können Microsoft 365 E5- oder Microsoft Defender für Office 365 Plan 2-Organisationen Social Engineering-Risiken messen und verwalten, indem sie die Erstellung und Verwaltung von Phishing-Simulationen ermöglichen, die von realen, harmlosen Phishingnutzlasten unterstützt werden. Hyper-gezielte Schulungen, die in Partnerschaft mit Terranova Security bereitgestellt werden, helfen, das Wissen zu verbessern und das Verhalten der Mitarbeiter zu ändern.

Weitere Informationen zu den ersten Schritten mit dem Angriffssimulationstraining finden Sie unter Erste Schritte mit dem Angriffssimulationstraining.

Während die Simulationserstellung und -planung so konzipiert ist, dass sie frei und reibungslos ist, erfordern Simulationen auf Unternehmensebene eine Planung. Dieser Artikel hilft bei der Bewältigung spezifischer Herausforderungen, die unsere Kunden beim Ausführen von Simulationen in ihren eigenen Umgebungen sehen.

Probleme mit Endbenutzererfahrungen

Phishingsimulations-URLs, die von Google Safe Browsing blockiert werden

Ein URL-Reputationsdienst kann eine oder mehrere der URLs, die vom Angriffssimulationstraining verwendet werden, als unsicher identifizieren. Google Safe Browsing in Google Chrome blockiert einige der simulierten Phishing-URLs mit einer täuschenden Website-Vorabmeldung . Obwohl wir mit vielen URL-Reputationsanbietern zusammenarbeiten, um unsere Simulations-URLs immer zuzulassen, haben wir nicht immer eine vollständige Abdeckung.

Die täuschende Website voraus Warnung in Google Chrome

Dieses Problem wirkt sich nicht auf Microsoft Edge aus.

Überprüfen Sie im Rahmen der Planungsphase unbedingt die Verfügbarkeit der URL in Ihren unterstützten Webbrowsern, bevor Sie die URL in einer Phishingkampagne verwenden. Wenn die URLs von Google Safe Browsing blockiert werden, befolgen Sie diese Anleitung von Google, um den Zugriff auf die URLs zuzulassen.

Unter Erste Schritte mit dem Angriffssimulationstraining finden Sie eine Liste der URLs, die derzeit vom Training für die Angriffssimulation verwendet werden.

Phishingsimulation und Administrator-URLs, die von Netzwerkproxylösungen und Filtertreibern blockiert werden

Sowohl URLs der Phishingsimulation als auch Administrator-URLs können von Ihren Zwischensicherheitsgeräten oder -filtern blockiert oder gelöscht werden. Zum Beispiel:

  • Firewalls
  • WAF-Lösungen (Web Application Firewall)
  • Filtertreiber von Drittanbietern (z. B. Kernelmodusfilter)

Wir haben zwar gesehen, dass nur wenige Kunden auf dieser Ebene blockiert wurden, aber dies geschieht. Wenn Probleme auftreten, sollten Sie die folgenden URLs konfigurieren, um die Überprüfung durch Ihre Sicherheitsgeräte oder Filter nach Bedarf zu umgehen:

Simulationsnachrichten, die nicht an alle Zielbenutzer übermittelt werden

Es ist möglich, dass die Anzahl der Benutzer, die tatsächlich die Simulations-E-Mail-Nachrichten erhalten, kleiner ist als die Anzahl der Benutzer, die von der Simulation betroffen waren. Die folgenden Benutzertypen werden im Rahmen der Zielüberprüfung ausgeschlossen:

  • Ungültige Empfänger-E-Mail-Adressen.
  • Gastbenutzer.
  • Benutzer, die nicht mehr in Microsoft Entra ID aktiv sind.

Wenn Sie Verteilergruppen oder E-Mail-aktivierte Sicherheitsgruppen als Zielbenutzer verwenden, können Sie das Cmdlet Get-DistributionGroupMember in Exchange Online PowerShell verwenden, um Verteilergruppenmitglieder anzuzeigen und zu überprüfen.

Trainings, die Benutzern unerwartet zugewiesen oder nicht zugewiesen wurden

Der Trainingsschwellenwert in Trainingskampagnen verhindert, dass Benutzern während eines bestimmten Intervalls (standardmäßig 90 Tage) dieselben Schulungen zugewiesen werden. Weitere Informationen finden Sie unter Festlegen des Trainingsschwellenwerts.

Wenn Sie eine Simulation oder eine Simulationsautomatisierung mit dem Trainingszuweisungswert Training für mich zuweisen (empfohlen) erstellt haben, weisen wir training basierend auf der vorherigen Simulation und den Trainingsergebnissen eines Benutzers zu. Um Schulungen basierend auf bestimmten Kriterien zuzuweisen, wählen Sie Trainingskurse und Module selbst auswählen aus.

Was geschieht, wenn ein Benutzer auf eine Simulationsnachricht antwortet oder diese weiterleitet?

Wenn ein Benutzer auf eine Simulationsnachricht antwortet oder an ein anderes Postfach weiterleitet, wird die Nachricht wie eine normale E-Mail-Nachricht behandelt (einschließlich Detonation durch sichere Links oder sichere Anlagen). Der Simulationsbericht zeigt an, ob die Simulationsmeldung geantwortet oder weitergeleitet wurde. Jede URL in der Simulations-E-Mail ist an einen einzelnen Benutzer gebunden, sodass Detonationen von sicheren Links vom Benutzer als Klicks identifiziert werden.

Wenn Sie ein SecOps-Postfach (Dedicated Security Operations) verwenden, müssen Sie es in der erweiterten Übermittlungsrichtlinie als SecOps identifizieren, damit Nachrichten ungefiltert zugestellt werden.

Wie kann ich die Übermittlung von Simulationsnachrichten staffeln?

In beiden Fall ist es wichtig, unterschiedliche Nutzlasten zu verwenden, um Diskussionen und Identifizierungen zwischen Benutzern zu vermeiden.

Warum werden Bilder in Simulationsnachrichten von Outlook blockiert?

Standardmäßig ist Outlook so konfiguriert, dass automatische Bilddownloads in Nachrichten aus dem Internet blockiert werden. Obwohl Sie Outlook so konfigurieren können, dass Bilder automatisch heruntergeladen werden, empfehlen wir dies aufgrund der Auswirkungen auf die Sicherheit (potenzielles automatisches Herunterladen von schädlichem Code oder Webfehlern, auch bekannt als Webbeacons oder Trackingpixel).

Möglicherweise sind Filterdienste von Drittanbietern verantwortlich. Für alle Von Microsoft stammenden Filtersysteme, die Sie verwenden, müssen Sie die folgenden Elemente zulassen oder ausschließen:

  • Alle Angriffssimulations-Trainings-URLs und die entsprechenden Domänen. Derzeit senden wir keine Simulationsnachrichten aus einer statischen Liste von IP-Adressen.
  • Alle anderen Domänen, die Sie in benutzerdefinierten Nutzlasten verwenden.

Kann ich das Externe Tag oder Sicherheitstipps zu Simulationsnachrichten hinzufügen?

Benutzerdefinierte Nutzlasten haben die Möglichkeit, nachrichten das Tag External hinzuzufügen. Weitere Informationen finden Sie unter Schritt 5 unter Erstellen von Nutzlasten.

Es gibt keine integrierten Optionen zum Hinzufügen von Sicherheitstipps zu Nutzlasten, aber Sie können die folgenden Methoden auf der Seite Nutzlast konfigurieren des Nutzlastsetup-Assistenten verwenden:

  • Verwenden Sie eine vorhandene E-Mail-Nachricht, die den Sicherheitstipp enthält, als Vorlage. Speichern Sie die Nachricht als HTML, und kopieren Sie die Informationen.

  • Verwenden Sie den folgenden Beispielcode für den Sicherheitstipp "Erster Kontakt":

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

Kann ich Trainingsmodule zuweisen, ohne Benutzer durch eine Simulation zu bringen?

Ja. Weitere Informationen finden Sie unter Trainingskampagnen in Angriffssimulationstraining.

Wie finde ich Simulationsnachrichten heraus, die nicht übermittelt wurden?

Die Registerkarte Benutzer für die Simulation kann nach Übermittlung von Simulationsnachrichten gefiltert werden: Fehler beim Übermitteln.

Wenn Sie der Besitzer der Absenderdomäne sind, wird der nicht zugestellte Simulationsbericht in einem Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet) zurückgegeben. Weitere Informationen zu den Codes im NDR finden Sie unter E-Mail-Nichtzustellbarkeitsberichte und SMTP-Fehler in Exchange Online.

Probleme mit der Berichterstellung für angriffssimulationstraining

Tipp

Die Aufzeichnung von Simulationsdaten beginnt einige Minuten nach dem Start der Simulation und nachdem Benutzer mit der Interaktion mit den Simulationsmeldungen begonnen haben. Es gibt keine feste Startzeit. Ereignisse werden auch nach Dem Ende der Simulation erfasst.

Unterschiede bei den Benutzeraktivitätsdaten von Trainingsberichten zur Angriffssimulation und anderen Berichten

Für Berichte zu Benutzeraktivitäten im Zusammenhang mit Simulationsmeldungen empfehlen wir die Verwendung der integrierten Simulationsberichte. Berichte aus anderen Quellen (z. B. erweiterte Suche) sind möglicherweise nicht korrekt.

Simulations-URLs werden nicht durch sichere Links umschlossen und gelten als unwrappte Links. Nicht alle Klicks auf entwrappte Links durchlaufen sichere Links, sodass Benutzeraktivitäten im Zusammenhang mit Simulationsmeldungen möglicherweise nicht in den UrlClickEvents-Protokollen aufgezeichnet werden.

Trainingsberichte zur Angriffssimulation enthalten keine Aktivitätsdetails

Das Training zur Angriffssimulation bietet umfassende, umsetzbare Erkenntnisse, die Sie über den Fortschritt der Bedrohungsbereitschaft Ihrer Mitarbeiter auf dem Laufenden halten. Wenn Die Trainingsberichte für die Angriffssimulation nicht mit Daten aufgefüllt werden, überprüfen Sie, ob die Überwachungsprotokollierung in Ihrer Organisation aktiviert ist (standardmäßig aktiviert).

Die Überwachungsprotokollierung ist für das Angriffssimulationstraining erforderlich, damit Ereignisse erfasst, aufgezeichnet und zurückgelesen werden können. Das Deaktivieren der Überwachungsprotokollierung hat die folgenden Auswirkungen auf das Training der Angriffssimulation:

  • Berichtsdaten sind nicht in allen Berichten verfügbar. Die Berichte werden leer angezeigt.
  • Trainingszuweisungen werden blockiert, da keine Daten verfügbar sind.

Informationen zum Überprüfen, ob die Überwachungsprotokollierung aktiviert oder aktiviert ist, finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Tipp

Leere Aktivitätsdetails werden auch dadurch verursacht, dass Benutzern keine E5-Lizenzen zugewiesen werden. Stellen Sie sicher, dass einem aktiven Benutzer mindestens eine E5-Lizenz zugewiesen ist, um sicherzustellen, dass Berichtsereignisse erfasst und aufgezeichnet werden.

Benutzer- und Administratoraktionen werden überwacht. Suchen Sie in der Verwaltungsaktivitäts-API nach den AuditLogRecordType-Werten 85, 88 und 218.

Einige Überwachungsinformationen sind möglicherweise auch in der CloudAppEvents-Tabelle in Microsoft Defender XDR Advanced Hunting über das Defender-Portal oder die Streaming-API verfügbar.

Melden von Problemen mit lokalen Postfächern

Das Training für die Angriffssimulation unterstützt lokale Postfächer, jedoch mit eingeschränkter Berichterstellungsfunktionalität:

  • Daten darüber, ob Benutzer die Simulations-E-Mail lesen, weiterleiten oder löschen, sind für lokale Postfächer nicht verfügbar.
  • Die Anzahl der Benutzer, die die Simulations-E-Mail gemeldet haben, ist für lokale Postfächer nicht verfügbar.

Tipp

Abgesehen von den Simulationsnachrichten, die über die Transportpipeline und direct injection in Microsoft 365 gesendet werden, sind die Trainings-, Automatisierungs- und Inhaltsverwaltungserfahrungen für lokale Postfächer identisch.

Simulationsberichte werden nicht sofort aktualisiert

Detaillierte Simulationsberichte werden nicht sofort nach dem Start einer Kampagne aktualisiert. Keine Sorge; Dieses Verhalten wird erwartet.

Jede Simulationskampagne hat einen Lebenszyklus. Bei der ersten Erstellung befindet sich die Simulation im Zustand Geplant . Wenn die Simulation gestartet wird, wechselt sie in den Status In Bearbeitung . Nach Abschluss des Vorgangs wechselt die Simulation in den Status Abgeschlossen .

Während sich eine Simulation im Zustand Geplant befindet, sind die Simulationsberichte größtenteils leer. In dieser Phase löst das Simulationsmodul die E-Mail-Adressen des Zielbenutzers auf, erweitert Verteilergruppen, entfernt Gastbenutzer aus der Liste usw.:

Simulationsdetails, die die Simulation im Zustand

Sobald die Simulation in die Phase In Bearbeitung eintritt, beginnen Informationen in die Berichterstellung einzudringen:

Simulationsdetails, die die Simulation im Status

Es kann bis zu 30 Minuten dauern, bis die einzelnen Simulationsberichte nach dem Übergang in den Status In Bearbeitung aktualisiert werden. Die Berichtsdaten werden so lange erstellt, bis die Simulation den Status Abgeschlossen erreicht hat. Berichterstellungsupdates erfolgen in den folgenden Intervallen:

  • Alle 10 Minuten für die ersten 60 Minuten.
  • Alle 15 Minuten nach 60 Minuten bis zwei Tagen.
  • Alle 30 Minuten nach zwei Tagen bis sieben Tagen.
  • Alle 60 Minuten nach sieben Tagen.

Widgets auf der Seite Übersicht bieten eine schnelle Momentaufnahme des simulationsbasierten Sicherheitsstatus Ihrer Organisation im Laufe der Zeit. Da diese Widgets Ihren allgemeinen Sicherheitsstatus und Ihre Reise im Laufe der Zeit widerspiegeln, werden sie aktualisiert, nachdem jede Simulationskampagne abgeschlossen wurde.

Hinweis

Sie können die Option Exportieren auf den verschiedenen Berichtsseiten verwenden, um Daten zu extrahieren.

Nachrichten, die von Benutzern als Phishing gemeldet werden, werden nicht in Simulationsberichten angezeigt

Simulationsberichte im Angriffssimulatortraining enthalten Details zur Benutzeraktivität. Zum Beispiel:

  • Benutzer, die auf den Link in der Nachricht geklickt haben.
  • Benutzer, die ihre Anmeldeinformationen aufgegeben haben.
  • Benutzer, die die Nachricht als Phishing gemeldet haben.

Wenn Nachrichten, die Von Benutzern als Phishing gemeldet wurden, nicht in Simulationsberichten zur Angriffssimulation erfasst werden, gibt es möglicherweise eine Exchange-Nachrichtenflussregel (auch als Transportregel bezeichnet), die die Übermittlung der gemeldeten Nachrichten an Microsoft blockiert. Stellen Sie sicher, dass Nachrichtenflussregeln die Übermittlung an die folgenden E-Mail-Adressen nicht blockieren:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Benutzern wird ein Training zugewiesen, nachdem sie eine simulierte Nachricht gemeldet haben

Wenn Benutzern nach dem Melden einer Phishingsimulationsnachricht ein Training zugewiesen wird, überprüfen Sie, ob Ihre Organisation ein Berichterstellungspostfach verwendet, um vom Benutzer gemeldete Nachrichten unter https://security.microsoft.com/securitysettings/userSubmissionzu empfangen. Das Berichterstellungspostfach muss so konfiguriert werden, dass es viele Sicherheitsüberprüfungen überspringt, wie in den Voraussetzungen für das Berichterstellungspostfach beschrieben.

Wenn Sie die erforderlichen Ausschlüsse für das benutzerdefinierte Berichterstellungspostfach nicht konfigurieren, werden die Nachrichten möglicherweise durch den Schutz sicherer Links oder sicherer Anlagen detoniert, was zu Trainingszuweisungen führt.

Weitere häufig gestellte Fragen

A: Für Zielbenutzer stehen mehrere Optionen zur Verfügung:

  • Alle Benutzer einschließen (derzeit für Organisationen mit weniger als 40.000 Benutzern verfügbar).
  • Wählen Sie bestimmte Benutzer aus.
  • Wählen Sie Benutzer aus einer CSV-Datei aus (eine E-Mail-Adresse pro Zeile).
  • Gruppenbasierte Microsoft Entra-Zielgruppenadressierung.

Wir stellen fest, dass Kampagnen, bei denen die Zielbenutzer von Microsoft Entra-Gruppen identifiziert werden, einfacher zu verwalten sind.

F: Wie viele Trainingsmodule gibt es?

Derzeit gibt es 94 integrierte Schulungen auf der Seite Trainingsmodule .

F: Gibt es Einschränkungen bei der Ausrichtung auf Benutzer beim Importieren aus einer CSV-Datei oder beim Hinzufügen von Benutzern?

A: Der Grenzwert für das Importieren von Empfängern aus einer CSV-Datei oder das Hinzufügen einzelner Empfänger zu einer Simulation beträgt 40.000.

Ein Empfänger kann ein einzelner Benutzer oder eine Gruppe sein. Eine Gruppe kann Hunderte oder Tausende von Empfängern enthalten. Die Obergrenze für die Anzahl der Benutzer beträgt 400.000, aber wir empfehlen für jede Simulation eine Obergrenze von 200.000 Benutzern, um eine optimale Leistung zu erzielen.

Das Verwalten einer großen CSV-Datei oder das Hinzufügen vieler einzelner Empfänger kann umständlich sein. Die Verwendung von Microsoft Entra-Gruppen vereinfacht die allgemeine Verwaltung der Simulation.

Tipp

Derzeit werden freigegebene Postfächer in der Angriffssimulationsschulung nicht unterstützt. Simulationen sollten auf Benutzerpostfächer oder Gruppen ausgerichtet sein, die Benutzerpostfächer enthalten.

Verteilergruppen werden erweitert, und die Liste der Benutzer wird zum Zeitpunkt des Speicherns der Simulation oder Simulationsautomatisierung generiert.

F: Gelten die Grenzwerte für die Anzahl von Simulationen, die während eines bestimmten Zeitintervalls bereitgestellt werden können?

A. Nein, obwohl es möglicherweise zu Langsamkeit kommt, wenn Sie viele parallele Simulationen starten. Nachrichtenraten (einschließlich Simulationsnachrichtenraten) werden durch die Nachrichtenratenlimits des Diensts eingeschränkt.

F: Stellt Microsoft Nutzlasten in anderen Sprachen bereit?

A: Derzeit sind mehr als 40 lokalisierte Nutzlasten in über 29 Sprachen verfügbar: Englisch, Spanisch, Deutsch, Japanisch, Französisch, Portugiesisch, Niederländisch, Italienisch, Schwedisch, Chinesisch (vereinfacht), Norwegisch Bokmål, Polnisch, Russisch, Finnisch, Koreanisch, Türkisch, Ungarisch, Hebräisch, Thai, Arabisch, Vietnamesisch, Slowakisch, Griechisch, Indonesisch, Rumänisch, Slowenisch, Kroatisch, Katalanisch und Andere. Wir haben festgestellt, dass die direkte oder maschinelle Übersetzung vorhandener Nutzlasten in andere Sprachen zu Ungenauigkeiten und geringerer Relevanz führt.

Abgesehen davon können Sie ihre eigenen Nutzlasten in der Sprache Ihrer Wahl erstellen, indem Sie die benutzerdefinierte Nutzlasterstellung verwenden. Es wird auch dringend empfohlen, vorhandene Nutzlasten zu sammeln, die verwendet wurden, um Benutzer in einer bestimmten Geografischen Region als Ziel zu verwenden. Mit anderen Worten, lassen Sie die Angreifer den Inhalt für Sie lokalisieren.

F: Wie viele Schulungsvideos sind verfügbar?

A: Derzeit sind in der Inhaltsbibliothek mehr als 85 Trainingsmodule verfügbar.

F: Wie kann ich für meine Verwaltungsportal- und Schulungserfahrung zu anderen Sprachen wechseln?

A: In Microsoft 365 oder Office 365 ist die Sprachkonfiguration für jedes Benutzerkonto spezifisch und zentralisiert. Anweisungen zum Ändern der Spracheinstellung finden Sie unter Ändern der Anzeigesprache und Zeitzone in Microsoft 365 Business.

Die Synchronisierung der Konfigurationsänderung für alle Dienste kann bis zu 30 Minuten dauern.

F: Kann ich eine Testsimulation auslösen, um zu verstehen, wie sie vor dem Starten einer vollwertigen Kampagne aussieht?

A: Ja, das können Sie! Wählen Sie auf der letzten Seite Simulation überprüfen im Assistenten für neue Simulation die Option Test senden aus. Diese Option sendet eine Beispiel-Phishingsimulationsnachricht an den aktuell angemeldeten Benutzer. Nachdem Sie die Phishingnachricht in Ihrem Posteingang überprüft haben, können Sie die Simulation übermitteln.

Schaltfläche

Tipp

Sie können auch Test senden über die Seite Nutzlasten verwenden. Wenn Sie jedoch jemals die ausgewählte Nutzlast in einer Simulation verwenden, wird die Testmeldung in den aggregierten Berichten angezeigt. Sie können die Ergebnisse exportieren oder die Microsoft Graph-API verwenden, um die Ergebnisse zu filtern.

F: Kann ich benutzer, die zu einem anderen Mandanten gehören, als Teil derselben Simulationskampagne ansprechen?

A: Nein. Mandantenübergreifende Simulationen werden derzeit nicht unterstützt. Vergewissern Sie sich, dass sich alle Zielbenutzer im selben Mandanten befinden. Mandantenübergreifende Benutzer oder Gastbenutzer werden von der Simulationskampagne ausgeschlossen.

F: Wie funktioniert die regionsbezogene Zustellung?

A: Die regionsbezogene Übermittlung verwendet das Zeitzonen-Attribut des Postfachs des Zielbenutzers, um zu bestimmen, wann die Nachricht übermittelt werden soll. Es kann eine Zeitdifferenz von ± einer Stunde in der E-Mail-Zustellung basierend auf der Zeitzone des Benutzers geben. Stellen Sie sich beispielsweise das folgende Szenario vor.

  • Um 7:00 Uhr in der Pazifischen Zeitzone (UTC-8) erstellt und plant ein Administrator eine Kampagne, die am selben Tag um 9:00 Uhr beginnt.
  • UserA befindet sich in der Östlichen Zeitzone (UTC-5).
  • UserB befindet sich auch in der Pazifischen Zeitzone.

Um 9:00 Uhr am selben Tag wird die Simulationsnachricht an UserB gesendet. Bei regionsbezogener Zustellung wird die Nachricht nicht am selben Tag an UserA gesendet, da 9:00 Uhr Pazifische Zeit 12:00 Uhr Ostzeit ist. Stattdessen wird die Nachricht am folgenden Tag um 9:00 Uhr Eastern Time an UserA gesendet.

Daher kann es bei der ersten Ausführung einer Kampagne mit aktivierter regionsbezogener Übermittlung den Anschein haben, dass die Simulationsnachricht nur an Benutzer in einer bestimmten Zeitzone gesendet wurde. Aber wenn die Zeit vergeht und mehr Benutzer in den Bereich kommen, nehmen die Zielbenutzer zu.

Wenn Sie keine regionsbezogene Zustellung verwenden, beginnt die Kampagne basierend auf der Zeitzone des Benutzers, der sie eingerichtet hat.

F: Sammelt oder speichert Microsoft Informationen, die Benutzer auf der Anmeldeinformations-Ernte-Anmeldeseite eingeben, die in der Credential Harvest-Simulationsmethode verwendet wird?

A: Nein. Alle Informationen, die auf der Anmeldeseite für die Anmeldeinformationslese eingegeben werden, werden automatisch verworfen. Es wird nur der "Klick" aufgezeichnet, um das Kompromittierungsereignis zu erfassen. Microsoft sammelt, protokolliert oder speichert keine Details, die Benutzer in diesem Schritt eingeben.

F: Wie lange werden Simulationsinformationen aufbewahrt? Kann ich Simulationsdaten löschen?

A: Siehe folgende Tabelle:

Datentyp Aufbewahrung
Simulationsmetadaten 18 Monate, es sei denn, die Simulation wird früher von einem Administrator gelöscht.
Simulationsautomatisierung 18 Monate, es sei denn, die Simulationsautomatisierung wird früher von einem Administrator gelöscht.
Nutzlastautomatisierung 18 Monate, es sei denn, die Nutzlastautomatisierung wird früher von einem Administrator gelöscht.
Benutzeraktivität in Simulationsmetadaten 18 Monate, es sei denn, die Simulation wird früher von einem Administrator gelöscht.
Globale Nutzlasten Wird beibehalten, es sei denn, es wird von Microsoft gelöscht.
Mandantennutzlasten 18 Monate, es sei denn, die archivierte Nutzlast wird früher von einem Administrator gelöscht.
Benutzeraktivität in Trainingsmetadaten 18 Monate, es sei denn, die Simulation wird früher von einem Administrator gelöscht.
Empfohlene MDO-Nutzlasten 6 Monate.
Globale Endbenutzerbenachrichtigungen Wird beibehalten, es sei denn, es wird von Microsoft gelöscht.
Mandantenendbenutzerbenachrichtigungen 18 Monate, es sei denn, die Benachrichtigung wird früher von einem Administrator gelöscht.
Globale Anmeldeseiten Wird beibehalten, es sei denn, es wird von Microsoft gelöscht.
Mandantenanmeldeseiten 18 Monate, es sei denn, die Anmeldeseite wird früher von einem Administrator gelöscht.
Globale Zielseiten Beibehalten, sofern nicht von Microsoft gelöscht
Mandantenzielseiten 18 Monate, es sei denn, die Landing Page wird früher von einem Administrator gelöscht.

Wenn der gesamte Mandant gelöscht wird, werden die Trainingsdaten für die Angriffssimulation nach 90 Tagen gelöscht.

Weitere Informationen finden Sie unter Datenaufbewahrungsinformationen für Microsoft Defender für Office 365.

F: Kann ich Simulationen mithilfe einer API erstellen, anzeigen und verwalten?

A.: Ja. Lese- und Schreibszenarien werden mithilfe der Microsoft Graph-API unterstützt:

  • AttackSimulation.Read.All:
    • Lesen von Simulationsmetadaten
    • Benutzeraktivität lesen
    • Lesen von Trainingsdaten
    • Lesen von Wiederholungstätern
  • AttackSimulation.ReadWrite.All: Führen Sie Simulationen mit den angegebenen Nutzlasten, Benachrichtigungen und Anmeldeseiten aus.

Weitere Informationen finden Sie unter List simulation and Reports API overview for attack simulation training als Teil von Microsoft Defender für Office 365.

F: Kann ich benutzerdefinierte Nutzlasten löschen?

A.: Ja. Zuerst archivieren Sie die Nutzlast und löschen dann die archivierte Nutzlast. Anweisungen finden Sie unter Archivnutzlasten.

F: Kann ich die integrierten Nutzlasten ändern?

A: Nicht direkt. Sie können die Nutzlast kopieren und dann die Kopie ändern. Anweisungen finden Sie unter Kopieren von Nutzlasten.