Huomioitavat seikat hyökkäyssimulaatiokoulutuksen käyttöönotossa ja usein kysytyt kysymykset
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Hyökkäyssimulaatiokoulutus mahdollistaa Microsoft 365 E5- tai Microsoft Defender for Office 365 plan 2 -organisaatioiden sosiaalisen suunnittelun riskien mittaamisen ja hallinnan sallimalla tietojenkalastelusimulaatioiden luomisen ja hallinnan, jotka perustuvat todellisiin, harmittomiin tietojenkalastelun hyötykuormaan. Terranovan tietoturvan kanssa yhteistyössä annettava hyper-kohdennettu koulutus auttaa parantamaan tietämystä ja muuttamaan työntekijöiden käyttäytymistä.
Lisätietoja Hyökkäyssimulaatiokoulutus käytön aloittamisesta on artikkelissa Hyökkäyssimulaatiokoulutus käytön aloittaminen.
Vaikka simuloinnin luonti- ja aikataulukokemus on suunniteltu vapaasti virtaavaksi ja kitkattomaksi, suuryrityksen mittakaavassa simulaatiot edellyttävät suunnittelua. Tämä artikkeli auttaa vastaamaan tiettyihin haasteisiin, joita näemme asiakkaidemme suorittaessa simulaatioita omissa ympäristöissään.
Loppukäyttäjän käyttökokemuksiin liittyvät ongelmat
Tietojenkalastelusimulaatioiden URL-osoitteet, jotka Google Safe Browsing on estänyt
URL-maineen palvelu saattaa tunnistaa yhden tai useamman Hyökkäyssimulaatiokoulutus käyttämän URL-osoitteen turvattomaksi. Google Safe Browsing Google Chromessa estää joitakin simuloituja tietojenkalastelun URL-osoitteita petollisen sivuston edellä olevalla viestillä. Vaikka teemme yhteistyötä useiden URL-mainetoimittajien kanssa, jotta simulaatioiden URL-osoitteet voidaan aina sallia, emme aina saa täyttä kattavuutta.
Tämä ongelma ei vaikuta Microsoft Edgeen.
Varmista osana suunnitteluvaihetta, että URL-osoitteen saatavuus on tuettujen selainten käytettävissä, ennen kuin käytät URL-osoitetta tietojenkalastelukampanjassa. Jos Google Safe Browsing estää URL-osoitteet, noudata näitä Googlen ohjeita , jotta voit käyttää URL-osoitteita.
Katso Hyökkäyssimulaatiokoulutus käytön aloittaminen -artikkeli Hyökkäyssimulaatiokoulutus tällä hetkellä käyttämien URL-osoitteiden luettelosta.
Tietojenkalastelun simulointi ja järjestelmänvalvojan URL-osoitteet, jotka verkon välityspalvelinratkaisut ja suodatinohjaimet ovat estäneet
Välitason suojauslaitteet tai suodattimet saattavat estää tai pudottaa sekä tietojenkalastelusimulaatioiden URL-osoitteet että järjestelmänvalvojan URL-osoitteet. Esimerkki:
- Palomuurit
- Verkkosovelluksen palomuuriratkaisut
- Kolmannen osapuolen suodatinohjaimet (esimerkiksi ydintilan suodattimet)
Vaikka olemme nähneet, että vain harvat asiakkaat on estetty tässä kerroksessa, se tapahtuu. Jos kohtaat ongelmia, harkitse seuraavien URL-osoitteiden määrittämistä ohittamaan suojauslaitteiden tai suodattimien tarkistus tarvittaessa:
- Simuloidut tietojenkalastelun URL-osoitteet kohdassa Hyökkäyssimulaatiokoulutus käytön aloittaminen kuvatulla tavalla.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Simulointiviestejä ei toimitettu kaikille kohdennetuille käyttäjille
On mahdollista, että simulaatiosähköpostiviestejä todellisuudessa vastaanottavien käyttäjien määrä on pienempi kuin simulaation kohteena neiden käyttäjien määrä. Seuraavat käyttäjätyypit jätetään pois osana kohdevahvistusta:
- Virheelliset vastaanottajan sähköpostiosoitteet.
- Vieraskäyttäjät.
- Käyttäjät, jotka eivät ole enää aktiivisia Microsoft Entra ID.
Jos käytät kohdekäyttäjille jakeluryhmiä tai sähköpostia käyttäviä käyttöoikeusryhmiä, voit tarkastella ja vahvistaa jakeluryhmän jäseniä Exchange Online PowerShellinGet-DistributionGroupMember cmdlet-komennolla.
Harjoitukset, jotka on määritetty käyttäjille odottamatta tai joita ei ole määritetty
Koulutuskampanjoiden harjoittamisen raja-arvo estää käyttäjiä saamasta samoja koulutuksia tietyllä aikavälillä (oletusarvoisesti 90 päivää). Lisätietoja on kohdassa Koulutuksen raja-arvon määrittäminen.
Jos olet luonut simuloinnin tai simulointiautomaation harjoitustehtävän arvolla Määritä koulutus minulle (suositus), määritämme koulutuksen käyttäjän aiempien simulointi- ja koulutustulosten perusteella. Jos haluat määrittää koulutusta tiettyjen ehtojen perusteella, valitse valitse itse Valitse koulutuskurssit ja -moduulit.
Mitä tapahtuu, kun käyttäjä vastaa simulointiviestiin tai lähettää sen edelleen?
Jos käyttäjä vastaa simulointiviestiin tai lähettää sen edelleen toiseen postilaatikkoon, viestiä käsitellään tavallisena sähköpostiviestinä (mukaan lukien turvalliset linkit tai turvalliset liitteet). Simulaatioraportti näyttää, onko simulaatioviesti vastattu vai välitetty. Jokainen simulointisähköpostin URL-osoite on sidottu yksittäiseen käyttäjään, joten käyttäjä tunnistaa Turvalliset linkit -räjähdykset käyttäjän napsauttamina.
Jos käytät erityistä suojaustoimintojen (SecOps) postilaatikkoa, muista tunnistaa se secops-muodossa laajennetussa toimituskäytännössä , jotta viestit toimitetaan suodattamattomina.
Miten voin porrastaa simulointiviestien toimittamisen?
- Simulaatiot tarjoavat aluetietoista toimitusta.
- Simulointiautomaatioilla on simulointiaikataulun sivu , jossa voit satunnaistaa toimitusta ja määrittää muita toimitustietoja.
Joka tapauksessa on tärkeää käyttää eri hyötykuormia, jotta käyttäjien välillä ei keskustella ja tunnisteta.
Miksi Outlook estää simulointiviestien kuvat?
Outlook on oletusarvoisesti määritetty estämään automaattiset kuvalataukset Internetistä viesteissä. Vaikka voit määrittää Outlookin lataamaan kuvat automaattisesti, emme suosittele sitä tietoturvavaikutusten vuoksi (mahdollinen haitallisten koodien tai verkkovirheiden automaattinen lataus, jota kutsutaan myös verkkojäljityksiksi tai pikselin jäljitykseksi).
Näen napsautuksia tai kompromissitapahtumia käyttäjiltä, jotka väittävät, että he eivät napsauttaneet simulaatioviestin linkkiä
Kolmannen osapuolen suodatuspalvelut voivat olla syyllisiä. Jos käytät jotakin muuta kuin Microsoftin suodatusjärjestelmää, sinun on sallittava seuraavat kohteet tai vapautettava ne siitä:
- Kaikki Hyökkäyssimulaatiokoulutus URL-osoitteet ja vastaavat toimialueet. Tällä hetkellä simulointiviestejä ei lähetetä staattisesta IP-osoitteiden luettelosta.
- Kaikki muut toimialueet, joita käytät mukautetuissa hyötykuormissa.
Voinko lisätä simulointiviesteihin ulkoisen tunnisteen tai suojausvihjeitä?
Mukautetuilla tiedoilla voi lisätä ulkoisen tunnisteen viesteihin. Lisätietoja on kohdassa Vaihe 5 kohdassa Hyötykuormien luominen.
Sisäänrakennettuja vaihtoehtoja suojausvinkkien lisäämiseksi hyötykuormaan ei ole, mutta voit käyttää seuraavia menetelmiä ohjatun tietojen määritystoiminnon Tietojen määrittäminen -sivulla:
Käytä mallina aiemmin luotua sähköpostiviestiä, joka sisältää suojausvihjeen. Tallenna viesti HTML-muodossa ja kopioi tiedot.
Käytä seuraavaa mallikoodia Ensimmäisen kontaktin turvavihjeen kohdalla:
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
Voinko määrittää koulutusmoduuleja ilman, että käyttäjillä on simulaatioita?
Kyllä. Lisätietoja on artikkelissa Kampanjoiden harjoittaminen Hyökkäyssimulaatiokoulutus.
Ohjevalikko selvittää simulaatioviesteistä, joita ei toimitettu?
Simuloinnin Käyttäjät-välilehti on suodatettavissa simulointiviestin toimituksen mukaan: Toimitus epäonnistui.
Jos omistat lähettäjän toimialueen, toimittamaton simulointiraportti palautetaan toimittamattomassa raportissa (kutsutaan myös NDR:ksi tai pomppuviestiksi). Lisätietoja NDR:n koodeista on artikkelissa Sähköpostin toimimattomat raportit ja SMTP-virheet Exchange Online.
Hyökkäyssimulaatiokoulutus raportoinnin ongelmat
Vihje
Simulointitietojen tallennus alkaa muutaman minuutin kuluttua simuloinnin käynnistämisestä ja sen jälkeen, kun käyttäjät alkavat käsitellä simulointiviestejä. Kiinteää aloitusaikaa ei ole. Tapahtumat vangitaan yhä simulaation päättymisen jälkeen.
Erot käyttäjien toimintatiedoissa Hyökkäyssimulaatiokoulutus raporteista ja muista raporteista
Jos haluat raportoida simulointiviestiin liittyvästä käyttäjän toiminnasta, suosittelemme, että käytät sisäisiä simulointiraportteja. Muista lähteistä peräisin olevat raportit (esimerkiksi kehittynyt metsästys) eivät välttämättä ole tarkkoja.
Turvalliset linkit eivät rivitä simulaatioiden URL-osoitteita, ja niitä pidetään paketoituina linkkeinä. Kaikki avaamattomien linkkien napsautukset eivät mene Turvallisten linkkien kautta, joten simulointiviesteihin liittyvää käyttäjän toimintaa ei ehkä tallenneta UrlClickEvents-lokeihin.
Hyökkäyssimulaatiokoulutus raportit eivät sisällä mitään toimintotietoja
Hyökkäyssimulaatiokoulutus sisältää monipuolisia ja toiminnallisia tietoja, jotka pitävät sinut ajan tasalla työntekijöidesi uhkavalmiuden edistymisestä. Jos Hyökkäyssimulaatiokoulutus raporteissa ei ole tietoja, varmista, että valvontaloki on käytössä organisaatiossasi (se on oletusarvoisesti käytössä).
Hyökkäyssimulaatiokoulutus edellyttää valvontakirjausta, jotta tapahtumat voidaan siepata, tallentaa ja lukea uudelleen. Valvontalokin poistaminen käytöstä aiheuttaa seuraavat vaikutukset Hyökkäyssimulaatiokoulutus:
- Raportointitiedot eivät ole käytettävissä kaikissa raporteissa. Raportit näkyvät tyhjinä.
- Harjoitustehtävät on estetty, koska tiedot eivät ole käytettävissä.
Jos haluat varmistaa, että valvontakirjaus on käytössä tai ottaa sen käyttöön, katso Kohta Valvonnan ottaminen käyttöön tai poistaminen käytöstä.
Vihje
Tyhjät toimintotiedot johtuvat myös siitä, että E5-käyttöoikeuksia ei ole määritetty käyttäjille. Varmista, että aktiiviselle käyttäjälle on määritetty vähintään yksi E5-käyttöoikeus sen varmistamiseksi, että raportointitapahtumat tallennetaan ja tallennetaan.
Käyttäjän toimintoja ja järjestelmänvalvojan toimintoja valvotaan. Etsi hallintatoiminnon ohjelmointirajapinnasta AuditLogRecordType-arvot 85, 88 ja 218.
Jotkin valvontatiedot saattavat olla käytettävissä myös CloudAppEvents-taulukossa Microsoft Defender XDR Kehittynyt metsästys Defender-portaalin tai streaming-ohjelmointirajapinnan kautta.
Paikallisten postilaatikoiden raportointiongelmat
Hyökkäyssimulaatiokoulutus tukee paikallisia postilaatikoita, mutta toimintoja on rajoitettu:
- Tiedot siitä, ovatko käyttäjät lukeneet, välitetyt tai poistaneet simulointisähköpostin, eivät ole käytettävissä paikallisissa postilaatikoissa.
- Simulointisähköpostin ilmoittaneiden käyttäjien määrä ei ole käytettävissä paikallisissa postilaatikoissa.
Vihje
Muut kuin kuljetusputken kautta lähetettävät simulointiviestit ja Suora lisäys Microsoft 365:ssä, koulutus-, automaatio- ja sisällönhallintakokemukset ovat samat paikallisissa postilaatikoissa.
Simulointiraportteja ei päivitetä heti
Yksityiskohtaisia simulointiraportteja ei päivitetä heti kampanjan käynnistämisen jälkeen. Ei hätää; tämä on odotettavissa.
Jokaisella simulaatiokampanjalla on elinkaari. Kun simulointi luodaan ensimmäisen kerran, se on Ajoitettu-tilassa . Kun simulaatio käynnistyy, se siirtyy Keskeneräinen-tilaan . Kun simulointi on valmis, se siirtyy Valmis-tilaan .
Simulointi on aikataulun mukainen , mutta simulointiraportit ovat enimmäkseen tyhjiä. Tässä vaiheessa simulointimoduuli ratkaisee kohdekäyttäjän sähköpostiosoitteet, laajentaa jakeluryhmiä, poistaa vieraskäyttäjät luettelosta jne.
Kun simulointi siirtyy Käynnissä-vaiheeseen , tiedot alkavat valua raportointiin:
Yksittäisten simulointiraporttien päivittyminen keskeneräisten raporttien päivittymisen jälkeen voi kestää jopa 30 minuuttia. Raporttitietojen muodostamista jatketaan, kunnes simulointi saavuttaa Valmis-tilan . Raportointipäivitykset suoritetaan seuraavin väliajoin:
- 10 minuutin välein ensimmäisen 60 minuutin ajan.
- 15 minuutin välein 60 minuutin kuluttua kahteen päivään.
- 30 minuutin välein kahden päivän jälkeen seitsemään päivään.
- 60 minuutin välein seitsemän päivän jälkeen.
Yleiskatsaus-sivun pienoissovellukset antavat nopean tilannevedoksen organisaatiosi simulointiin perustuvasta suojausasennuksesta ajan kuluessa. Koska nämä pienoissovellukset kuvastavat yleistä suojausasentoasi ja matkaasi ajan kuluessa, ne päivitetään kunkin simulaatiokampanjan päätyttyä.
Huomautus
Voit poimia tietoja käyttämällä Vie-vaihtoehtoa eri raportointisivuilla.
Käyttäjien tietojenkalasteluksi ilmoittamia viestejä ei näytetä simulointiraporteissa
Attack Simulator -koulutuksen simulointiraportit antavat tietoja käyttäjän toiminnasta. Esimerkki:
- Käyttäjät, jotka napsauttivat viestin linkkiä.
- Käyttäjät, jotka luopuivat tunnistetiedoistaan.
- Käyttäjät, jotka ilmoittivat viestin tietojenkalasteluksi.
Jos tietojenkalasteluksi ilmoitettuja viestejä ei tallenneta Hyökkäyssimulaatiokoulutus simulointiraportteihin, saattaa olla Exchange-postinkulun sääntö (tunnetaan myös siirtosääntönä), joka estää ilmoitettujen viestien toimittamisen Microsoftille. Varmista, että kaikki postinkulun säännöt eivät estä toimitusta seuraaviin sähköpostiosoitteisiin:
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
Käyttäjille määritetään koulutusta simuloidun viestin raportoimisen jälkeen
Jos käyttäjille määritetään koulutusta tietojenkalastelusimulaatioviestin raportoimisen jälkeen, tarkista, käyttääkö organisaatiosi raportoinnin postilaatikkoa vastaanottamaan käyttäjän ilmoittamia viestejä osoitteessa https://security.microsoft.com/securitysettings/userSubmission. Raportoinnin postilaatikko on määritettävä ohittamaan monet suojaustarkistukset, jotka on kuvattu raportoinnin postilaatikon edellytyksistä.
Jos et määritä mukautetun raportointipostilaatikon vaadittuja poissulkemisia, turvalliset linkit tai Turvalliset liitteet -suojaus saattavat räjäyttää viestit, mikä aiheuttaa koulutusmäärityksiä.
Muita usein kysyttyjä kysymyksiä
Kysymys: Mikä on suositeltu menetelmä käyttäjien kohdentamiseen simulointikampanjoihin?
K: Kohdekäyttäjillä on käytettävissään useita vaihtoehtoja:
- Sisällytä kaikki käyttäjät (tällä hetkellä käytettävissä organisaatioissa, joissa on alle 40 000 käyttäjää).
- Valitse tietyt käyttäjät.
- Valitse käyttäjät CSV-tiedostosta (yksi sähköpostiosoite riviä kohti).
- Microsoft Entra ryhmäpohjainen kohdistaminen.
Huomaamme, että kampanjoita, joissa Microsoft Entra ryhmät tunnistavat kohdekäyttäjät, on helpompi hallita.
K: Kuinka monta koulutusmoduulia on olemassa?
Tällä hetkellä Harjoitusmoduulit-sivulla on 94 sisäistä koulutusta.
K: Onko käyttäjiin kohdistamisessa mitään rajoituksia CSV-tiedostosta tuonnin tai käyttäjien lisäämisen aikana?
Vastaus: CsV-tiedoston vastaanottajien tuomisen tai yksittäisten vastaanottajien simulointiin lisäämisen raja on 40 000.
Vastaanottaja voi olla yksittäinen käyttäjä tai ryhmä. Ryhmässä voi olla satoja tai tuhansia vastaanottajia. Käyttäjien enimmäismäärä on 400 000, mutta suosittelemme 200 000 käyttäjän rajoitusta kullekin simuloinnille parhaan suorituskyvyn takaamista varten.
Suuren CSV-tiedoston hallinta tai useiden yksittäisten vastaanottajien lisääminen voi olla hankalaa. Microsoft Entra ryhmien käyttäminen yksinkertaistaa simuloinnin yleistä hallintaa.
Vihje
Tällä hetkellä jaettuja postilaatikoita ei tueta Hyökkäyssimulaatiokoulutus. Simuloinnit tulee kohdistaa käyttäjän postilaatikoihin tai ryhmiin, jotka sisältävät käyttäjän postilaatikoita.
Jakeluryhmiä laajennetaan ja käyttäjäluettelo luodaan silloin, kun simulointia tai simuloinnin automaatiota tallennetaan.
K: Ovatko tietyn ajanjakson aikana käyttöönotettavien simulaatioiden määrän rajat?
A. Ei, vaikka saatat kokea hitautta, jos käynnistät monia rinnakkaisia simulaatioita. Viestien määrää (mukaan lukien simulointiviestien määrä) rajoittavat palvelun viestien nopeusrajoitukset.
K: Tarjoaako Microsoft hyötykuormat muilla kielillä?
V: Saatavilla on tällä hetkellä yli 40 lokalisoitua hyötykuormaa yli 29 kielellä: englanti, espanja, saksa, japani, ranska, portugali, hollanti, italia, ruotsi, kiina (yksinkertaistettu), norja bokmål, puola, venäjä, suomi, korea, turkki, unkari, heprea, thai, arabia, vietnam, slovakki, kreikka, indonesia, romania, slovenia, kroatia, katalaani ja muu. Olemme päättäneet, että olemassa olevien tietojen suora tai konekäännös muille kielille johtaa epätarkkuuksia ja merkityksellisyyden heikkenemiseen.
Voit kuitenkin luoda oman hyötykuormasi valitsemallasi kielellä käyttämällä mukautettua tietojen luontikokemusta. Suosittelemme myös, että keräät olemassa olevia hyötykuormia, joita on käytetty käyttäjille tietyllä maantieteellisellä alueella. Toisin sanoen anna hyökkääjien lokalisoida sisältö puolestasi.
K: Kuinka monta koulutusvideota on saatavilla?
K: Tällä hetkellä sisältökirjastossa on käytettävissä yli 85 koulutusmoduulia.
K: Miten voin siirtyä muille kielille hallintaportaalin ja koulutuskokemuksen vuoksi?
A: Microsoft 365:ssä tai Office 365 kielimääritys on erityinen ja keskitetty kullekin käyttäjätilille. Lisätietoja kieliasetuksen muuttamisesta on artikkelissa Näytön kielen ja aikavyöhykkeen muuttaminen Microsoft 365 for Businessissa.
Määritysmuutoksen synkronointi kaikkiin palveluihin voi kestää jopa 30 minuuttia.
K: Voinko käynnistää testisimulaation ymmärtääkseni, miltä se näyttää ennen täysimittaisen kampanjan käynnistämistä?
K: Kyllä voit! Valitse ohjatun uuden simulointitoiminnon viimeisellä Tarkastelusimulaatio-sivullaLähetä testi. Tämä vaihtoehto lähettää tietojenkalastelusimuloinnin malliviestin tällä hetkellä kirjautuneena olevalle käyttäjälle. Kun olet vahvistanut tietojenkalasteluviestin Saapuneet-kansiossa, voit lähettää simuloinnin.
Vihje
Voit myös käyttää Lähetä testi -toimintoaTiedot-sivulla . Mutta jos joskus käytät valittua hyötykuormaa simuloinnissa, testiviesti näkyy koosteraporteissa. Voit viedä tulokset tai suodattaa tulokset Microsoft Graph -ohjelmointirajapinnan avulla.
K: Voinko kohdentaa käyttäjät, jotka kuuluvat eri vuokraajaan osana samaa simulointikampanjaa?
V: Ei. Tällä hetkellä vuokraajien laajuisia simulaatioita ei tueta. Varmista, että kaikki kohdekäyttäjät ovat samassa vuokraajassa. Kaikki vuokraajien välillä toimivat käyttäjät tai vieraskäyttäjät jätetään pois simulointikampanjasta.
Kysymys: Miten aluetietoinen toimitus toimii?
Vastaus: Aluetietoinen toimitus käyttää kohdekäyttäjän postilaatikon aikavyöhykemääritettä viestin toimitusajankohdan määrittämiseen. Sähköpostin toimituksessa voi olla aikaero ± tunnin mukaan käyttäjän aikavyöhykkeen mukaan. Otetaan esimerkiksi seuraava skenaario:
- Järjestelmänvalvoja luo ja ajoittaa kampanjan alkavaksi samana päivänä klo 7.00 Tyynenmeren aikavyöhykkeellä (UTC-8).
- UserA on itäisellä aikavyöhykkeellä (UTC-5).
- KäyttäjäB on myös Tyynenmeren aikavyöhykkeellä.
Samana päivänä klo 9.00 simulointiviesti lähetetään KäyttäjäB:lle. Kun toimitus on aluekohtainen, viestiä ei lähetetä UserA:lle samana päivänä, koska kello 9.00 Tyynenmeren aikaa on klo 12.00 itäistä aikaa. Viesti lähetetään sen sijaan UserA:lle seuraavana päivänä klo 9.00 itäistä aikaa.
Kun kampanja on otettu käyttöön aluetietoisen toimituksen ollessa käytössä, saattaa siis vaikuttaa siltä, että simulointiviesti lähetettiin vain tietyllä aikavyöhykkeellä olevalle käyttäjälle. Mutta ajan myötä ja useampien käyttäjien vaikutusalueen mukaan kohdennetut käyttäjät kasvavat.
Jos et käytä aluekohtaista toimitusta, kampanja alkaa sen määrittäneen käyttäjän aikavyöhykkeen perusteella.
Kysymys: Kerääkö tai tallentaako Microsoft mitään tietoja, jotka käyttäjät syöttävät tunnistetietojen sadonkorjuun kirjautumissivulle, jota käytetään tunnistetietojen sadonkorjuun simulointitekniikassa?
V: Ei. Tunnistetietojen keräämisen kirjautumissivulle kirjoitetut tiedot hylätään taustalla. Vain napsautus tallennetaan kompromissitapahtuman sieppaamiseksi. Microsoft ei kerää, kirjaa tai tallenna mitään tietoja, joita käyttäjät syöttävät tässä vaiheessa.
K: Kuinka kauan simulointitietoja säilytetään? Voinko poistaa simulointitietoja?
A: Katso seuraava taulukko:
Tietotyyppi | Säilyttäminen |
---|---|
Simuloinnin metatiedot | 18 kuukautta, ellei järjestelmänvalvoja poista simulaatiota aikaisemmin. |
Simulointiautomaatio | 18 kuukautta, ellei järjestelmänvalvoja poista simulaatioiden automaatiota aikaisemmin. |
Hyötykuorman automatisointi | 18 kuukautta, ellei järjestelmänvalvoja poista hyötykuorman automaatiota aikaisemmin. |
Käyttäjän toiminta simuloinnin metatiedoissa | 18 kuukautta, ellei järjestelmänvalvoja poista simulaatiota aikaisemmin. |
Yleiset tiedot | Pysyvästi, ellei Microsoft poista sitä. |
Vuokraajan tiedot | 18 kuukautta, ellei järjestelmänvalvoja poista arkistoitujen tietojen tietoja aikaisemmin. |
Käyttäjän toiminta koulutuksen metatiedoissa | 18 kuukautta, ellei järjestelmänvalvoja poista simulaatiota aikaisemmin. |
MDO suositellut tiedot | 6 kuukautta. |
Yleiset loppukäyttäjän ilmoitukset | Pysyvästi, ellei Microsoft poista sitä. |
Vuokraajan loppukäyttäjän ilmoitukset | 18 kuukautta, ellei järjestelmänvalvoja poista ilmoitusta aikaisemmin. |
Yleiset kirjautumissivut | Pysyvästi, ellei Microsoft poista sitä. |
Vuokraajan kirjautumissivut | 18 kuukautta, ellei järjestelmänvalvoja poista kirjautumissivua aiemmin. |
Yleiset aloitussivut | Pysyvästi, ellei Microsoft poistanut sitä |
Vuokraajan aloitussivut | 18 kuukautta, ellei järjestelmänvalvoja poista aloitussivua aiemmin. |
Jos koko vuokraaja poistetaan, hyökkäyssimulaation harjoitustiedot poistetaan 90 päivän kuluttua.
Lisätietoja on kohdassa Microsoft Defender for Office 365 tietojen säilytystiedot.
K: Voinko luoda, tarkastella ja hallita simulaatioita ohjelmointirajapinnan avulla?
V: Kyllä. Luku- ja kirjoitusskenaarioita tuetaan Microsoft Graph -ohjelmointirajapinnan avulla:
-
AttackSimulation.Read.All
:- Simuloinnin metatietojen lukeminen
- Käyttäjien toiminnan lukeminen
- Harjoitustietojen lukeminen
- Lue toistuvat rikoksentekijät
-
AttackSimulation.ReadWrite.All
: Suorita simulaatioita käyttäen määritettyjä hyötykuormat, ilmoitukset ja kirjautumissivuja.
Lisätietoja on kohdassa Luettelosimulaatioiden ja raporttien ohjelmointirajapinnan yleiskatsaus hyökkäyssimulaatioiden harjoittamiseen osana Microsoft Defender for Office 365.
K: Voinko poistaa mukautettuja hyötykuormat?
V: Kyllä. Arkistoit ensin tiedot ja sitten poistat arkistoidut tiedot. Katso ohjeet kohdasta Arkistoinnin tiedot.
K: Voinko muokata sisäisiä hyötymääriä?
A: Ei suoraan. Voit kopioida sisäiset tiedot ja muokata sitten kopiota. Katso ohjeet kohdasta Tietojen kopioiminen.
K: Yritän suorittaa QR-koodisimulaatiota, mutta QR-koodin skannaaminen näyttää, että "ping onnistui" aloitussivun sijaan?
V: Kun lisäät QR-koodin tietojen muokkaajaan, se yhdistää tietojenkalastelun URL-perusosoitteen, jonka valitsit tietojenkalastelulinkin osiossa >Valitse URL. QR-koodi lisätään sähköpostiviestiin kuvana. Jos vaihdat Teksti-välilehdestä Koodi-välilehteen, näet lisätyn kuvan Base64-muodossa. Kuvan alussa on .<div id="QRcode"...>
Varmista, että valmis hyötykuorma sisältää <div id="QRcode"...>
, ennen kuin käytät sitä simuloinnissa.
Jos skannaat QR-koodin tai tarkastelet hyötykuormaa Lähetä testi -toiminnolla , QR-koodi osoittaa valitsemaasi peruskalastelun URL-osoitteeseen.
Kun hyötykuormaa käytetään simuloinnissa, palvelu korvaa QR-koodin dynaamisesti luodulla QR-koodilla napsautusten ja kompromissien seuraamiseksi. QR-koodin koko, sijainti ja muoto vastaavat hyötykuormassa määrittämissäsi määritysasetuksissa määritettyjä asetuksia. QR-koodin skannaaminen todellisen simuloinnin aikana vie sinut määritetylle aloitussivulle.
K: Yritän luoda hyötykuormaa HTML-muodossa, mutta hyötykuormaeditori näyttää poistavan tietyn sisällön suunnittelustani?
A: Seuraavia HTML-tunnisteita ei tällä hetkellä tueta hyötykuormaeditorissa: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
.