Considérations et forum aux questions sur le déploiement de la formation de simulation d’attaque
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 sur le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.
La formation sur la simulation d’attaque permet aux organisations Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2 de mesurer et de gérer les risques liés à l’ingénierie sociale en autorisant la création et la gestion de simulations de hameçonnage alimentées par des charges utiles d’hameçonnage réelles et inoffensives. La formation hyper-ciblée, fournie en partenariat avec la sécurité Terranova, permet d’améliorer les connaissances et de modifier le comportement des employés.
Pour plus d’informations sur la prise en main de la formation sur la simulation d’attaque, consultez Prise en main de la formation sur la simulation d’attaque.
Bien que l’expérience de création et de planification de simulation soit conçue pour être fluide et fluide, les simulations à l’échelle de l’entreprise nécessitent une planification. Cet article vous aide à résoudre les défis spécifiques que nous voyons lorsque nos clients exécutent des simulations dans leurs propres environnements.
Problèmes liés aux expériences des utilisateurs finaux
URL de simulation d’hameçonnage bloquées par la navigation sécurisée Google
Un service de réputation d’URL peut identifier une ou plusieurs URL utilisées par l’entraînement de simulation d’attaque comme non sécurisées. Google Safe Browsing dans Google Chrome bloque certaines DES URL d’hameçonnage simulées avec un message d’avance de site trompeur . Bien que nous travaillons avec de nombreux fournisseurs de réputation d’URL pour toujours autoriser nos URL de simulation, nous n’avons pas toujours une couverture complète.
Ce problème n’affecte pas Microsoft Edge.
Dans le cadre de la phase de planification, veillez à vérifier la disponibilité de l’URL dans vos navigateurs web pris en charge avant d’utiliser l’URL dans une campagne de hameçonnage. Si les URL sont bloquées par la navigation sécurisée Google, suivez ces instructions de Google pour autoriser l’accès aux URL.
Reportez-vous à Prise en main de l’apprentissage de la simulation d’attaque pour obtenir la liste des URL actuellement utilisées par la formation sur la simulation d’attaque.
Url d’administration et de simulation d’hameçonnage bloquées par les solutions de proxy réseau et les pilotes de filtre
Les URL de simulation de hameçonnage et les URL d’administration peuvent être bloquées ou supprimées par vos filtres ou appareils de sécurité intermédiaires. Par exemple :
- Pare-feu
- Solutions de pare-feu d’applications web (WAF)
- Pilotes de filtre tiers (par exemple, filtres en mode noyau)
Bien que nous ayons vu peu de clients être bloqués au niveau de cette couche, cela se produit. Si vous rencontrez des problèmes, envisagez de configurer les URL suivantes pour contourner l’analyse par vos appareils de sécurité ou filtres en fonction des besoins :
- URL de hameçonnage simulées décrites dans La formation prise en main de la simulation d’attaque.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Messages de simulation non remis à tous les utilisateurs ciblés
Il est possible que le nombre d’utilisateurs qui reçoivent réellement les messages électroniques de simulation soit inférieur au nombre d’utilisateurs ciblés par la simulation. Les types d’utilisateurs suivants sont exclus dans le cadre de la validation cible :
- Adresses e-mail des destinataires non valides.
- Utilisateurs invités.
- Utilisateurs qui ne sont plus actifs dans l’ID Microsoft Entra.
Si vous utilisez des groupes de distribution ou des groupes de sécurité à extension messagerie pour cibler des utilisateurs, vous pouvez utiliser l’applet de commande Get-DistributionGroupMember dans Exchange Online PowerShell pour afficher et valider les membres du groupe de distribution.
Formations attribuées de manière inattendue ou non attribuées aux utilisateurs
Le seuil d’entraînement dans les campagnes de formation empêche les utilisateurs de recevoir les mêmes formations pendant un intervalle spécifique (90 jours par défaut). Pour plus d’informations, consultez Définir le seuil d’entraînement.
Si vous avez créé une simulation ou une automatisation de simulation avec la valeur d’affectation d’entraînement Assigner une formation pour moi (Recommandé), nous affectons l’entraînement en fonction des résultats de simulation et d’entraînement précédents d’un utilisateur. Pour attribuer une formation en fonction de critères spécifiques, sélectionnez Sélectionner des cours de formation et des modules moi-même.
Que se passe-t-il lorsqu’un utilisateur répond ou transfère un message de simulation ?
Si un utilisateur répond à un message de simulation ou le transfère à une autre boîte aux lettres, le message est traité comme un message électronique normal (y compris la détonation par des liens fiables ou des pièces jointes fiables). Le rapport simulation indique si le message de simulation a été répondu ou transféré. Chaque URL de l’e-mail de simulation étant liée à un utilisateur individuel, les détonations de liens fiables sont identifiées comme des clics par l’utilisateur.
Si vous utilisez une boîte aux lettres d’opérations de sécurité (SecOps) dédiée, veillez à l’identifier en tant que SecOps dans la stratégie de remise avancée afin que les messages ne soient pas filtrés.
Comment puis-je échelonner la remise des messages de simulation ?
- Les simulations offrent une livraison prenant en charge les régions.
- Les automatisations de simulation disposent d’une page de planification de simulation dans laquelle vous pouvez aléatoirement la livraison et configurer d’autres détails de remise.
Dans les deux cas, il est important d’utiliser différentes charges utiles pour éviter toute discussion et identification entre les utilisateurs.
Pourquoi les images dans les messages de simulation sont-elles bloquées par Outlook ?
Par défaut, Outlook est configuré pour bloquer les téléchargements automatiques d’images dans les messages à partir d’Internet. Bien que vous puissiez configurer Outlook pour télécharger automatiquement des images, nous vous déconseillons de le faire en raison des implications en matière de sécurité (téléchargement automatique potentiel de code malveillant ou de bogues web, également appelés balises web ou pixels de suivi).
Je vois des clics ou des événements de compromission d’utilisateurs qui insistent pour ne pas cliquer sur le lien dans le message de simulation
Les services de filtrage tiers peuvent être responsables. Pour tous les systèmes de filtrage non-Microsoft que vous utilisez, vous devez autoriser ou exempter les éléments suivants :
- Toutes les URL d’apprentissage de simulation d’attaque et les domaines correspondants. Actuellement, nous n’envoyons pas de messages de simulation à partir d’une liste statique d’adresses IP.
- Tous les autres domaines que vous utilisez dans des charges utiles personnalisées.
Puis-je ajouter l’étiquette externe ou des conseils de sécurité aux messages de simulation ?
Les charges utiles personnalisées ont la possibilité d’ajouter la balise Externe aux messages. Pour plus d’informations, consultez Étape 5 dans Créer des charges utiles.
Il n’existe aucune option intégrée pour ajouter des conseils de sécurité aux charges utiles, mais vous pouvez utiliser les méthodes suivantes dans la page Configurer la charge utile de l’Assistant Configuration de la charge utile :
Utilisez un e-mail existant qui contient le conseil de sécurité comme modèle. Enregistrez le message au format HTML et copiez les informations.
Utilisez l’exemple de code suivant pour le conseil de sécurité premier contact :
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
Puis-je attribuer des modules de formation sans faire passer les utilisateurs par une simulation ?
Oui. Pour plus d’informations, consultez Campagnes d’entraînement à la simulation d’attaque.
Comment puis-je découvrir les messages de simulation qui n’ont pas été remis ?
L’onglet Utilisateurs de la simulation est filtrable par message de simulation : Échec de remise.
Si vous êtes propriétaire du domaine de l’expéditeur, le rapport de simulation non remis est retourné dans un rapport de non-remise (également appelé notification d’échec de remise ou message de rebond). Pour plus d’informations sur les codes dans la notification d’échec de remise, voir Envoyer par e-mail des rapports d’échec de remise et des erreurs SMTP dans Exchange Online.
Problèmes liés aux rapports de formation sur la simulation d’attaque
Conseil
L’enregistrement des données de simulation démarre quelques minutes après le lancement de la simulation et après que les utilisateurs commencent à interagir avec les messages de simulation. Il n’y a pas d’heure de début fixe. Les événements sont toujours capturés une fois la simulation terminée.
Différences dans les données d’activité utilisateur des rapports d’entraînement de simulation d’attaque et d’autres rapports
Pour créer des rapports sur l’activité utilisateur liée aux messages de simulation, nous vous recommandons d’utiliser les rapports de simulation intégrés. Les rapports provenant d’autres sources (par exemple, repérage avancé) peuvent ne pas être exacts.
Les URL de simulation ne sont pas encapsulées par des liens fiables et sont considérées comme des liens non capturés. Tous les clics sur les liens non enregistrés ne passent pas par des liens fiables, de sorte que l’activité utilisateur liée aux messages de simulation peut ne pas être enregistrée dans les journaux UrlClickEvents.
Les rapports de formation à la simulation d’attaque ne contiennent aucun détail d’activité
La formation sur la simulation d’attaque est fournie avec des insights riches et exploitables qui vous tiennent informé de la progression de la préparation aux menaces de vos employés. Si les rapports de formation sur la simulation d’attaque ne sont pas remplis avec des données, vérifiez que la journalisation d’audit est activée dans votre organisation (elle est activée par défaut).
La journalisation d’audit est requise par l’entraînement à la simulation d’attaque pour que les événements puissent être capturés, enregistrés et lus. La désactivation de la journalisation d’audit a les conséquences suivantes pour l’entraînement à la simulation d’attaque :
- Les données de création de rapports ne sont pas disponibles dans tous les rapports. Les rapports apparaissent vides.
- Les affectations d’entraînement sont bloquées, car les données ne sont pas disponibles.
Pour vérifier que la journalisation d’audit est activée ou pour l’activer, consultez Activer ou désactiver l’audit.
Conseil
Les détails d’activité vides sont également causés par l’absence de licenceS E5 attribuées aux utilisateurs. Vérifiez qu’au moins une licence E5 est attribuée à un utilisateur actif pour vous assurer que les événements de création de rapports sont capturés et enregistrés.
Les actions utilisateur et les actions d’administrateur sont auditées. Dans l’API Activité de gestion, recherchez les valeurs AuditLogRecordType 85, 88 et 218.
Certaines informations d’audit peuvent également être disponibles dans la table CloudAppEvents de Microsoft Defender XDR Advanced par le biais du portail Defender ou de l’API de streaming.
Signalement de problèmes liés aux boîtes aux lettres locales
La formation à la simulation d’attaque prend en charge les boîtes aux lettres locales, mais avec des fonctionnalités de création de rapports réduites :
- Les données indiquant si les utilisateurs ont lu, transféré ou supprimé l’e-mail de simulation ne sont pas disponibles pour les boîtes aux lettres locales.
- Le nombre d’utilisateurs qui ont signalé l’e-mail de simulation n’est pas disponible pour les boîtes aux lettres locales.
Conseil
Outre les messages de simulation envoyés via le pipeline de transport et l’injection directe dans Microsoft 365, les expériences de formation, d’automatisation et de gestion de contenu sont les mêmes pour les boîtes aux lettres locales.
Les rapports de simulation ne sont pas mis à jour immédiatement
Les rapports de simulation détaillés ne sont pas mis à jour immédiatement après le lancement d’une campagne. Ne vous inquiétez pas; ce comportement est attendu.
Chaque campagne de simulation a un cycle de vie. Une fois créée, la simulation est dans l’état Planifié . Lorsque la simulation démarre, elle passe à l’état En cours . Une fois terminée, la simulation passe à l’état Terminé .
Lorsqu’une simulation est à l’état Planifié, les rapports de simulation sont pour la plupart vides . Au cours de cette étape, le moteur de simulation résout les adresses e-mail des utilisateurs cibles, développe des groupes de distribution, supprime les utilisateurs invités de la liste, etc. :
Une fois que la simulation passe à l’étape En cours , les informations commencent à ruisseler dans les rapports :
La mise à jour des rapports de simulation individuels peut prendre jusqu’à 30 minutes après la transition à l’état En cours . Les données du rapport continuent de générer jusqu’à ce que la simulation atteigne l’état Terminé . Les mises à jour de rapports se produisent aux intervalles suivants :
- Toutes les 10 minutes pendant les 60 premières minutes.
- Toutes les 15 minutes après 60 minutes jusqu’à deux jours.
- Toutes les 30 minutes après deux jours jusqu’à sept jours.
- Toutes les 60 minutes après sept jours.
Les widgets de la page Vue d’ensemble fournissent un instantané rapide de la posture de sécurité basée sur la simulation de votre organisation au fil du temps. Étant donné que ces widgets reflètent votre posture de sécurité globale et votre parcours au fil du temps, ils sont mis à jour une fois chaque campagne de simulation terminée.
Remarque
Vous pouvez utiliser l’option Exporter sur les différentes pages de création de rapports pour extraire des données.
Les messages signalés comme hameçonnage par les utilisateurs n’apparaissent pas dans les rapports de simulation
Les rapports de simulation de la formation sur le simulateur d’attaque fournissent des détails sur l’activité des utilisateurs. Par exemple :
- Utilisateurs qui ont cliqué sur le lien dans le message.
- Utilisateurs qui ont abandonné leurs informations d’identification.
- Utilisateurs qui ont signalé le message comme hameçonnage.
Si les messages signalés par les utilisateurs comme hameçonnage ne sont pas capturés dans les rapports de simulation de simulation d’attaque, il peut y avoir une règle de flux de messagerie Exchange (également appelée règle de transport) qui bloque la remise des messages signalés à Microsoft. Vérifiez que les règles de flux de courrier ne bloquent pas la remise aux adresses e-mail suivantes :
junk@office365.microsoft.comabuse@messaging.microsoft.comphish@office365.microsoft.comnot_junk@office365.microsoft.com
L’entraînement est attribué aux utilisateurs une fois qu’ils signalent un message simulé
Si des utilisateurs reçoivent une formation après avoir signalé un message de simulation de hameçonnage, vérifiez si votre organisation utilise une boîte aux lettres de rapports pour recevoir les messages signalés par l’utilisateur à l’adresse https://security.microsoft.com/securitysettings/userSubmission. La boîte aux lettres de création de rapports doit être configurée pour ignorer de nombreuses vérifications de sécurité, comme décrit dans les prérequis de la boîte aux lettres de création de rapports.
Si vous ne configurez pas les exclusions requises pour la boîte aux lettres de création de rapports personnalisée, les messages peuvent être détonés par les liens fiables ou la protection des pièces jointes fiables, ce qui entraîne des affectations d’entraînement.
Autres questions fréquentes (FAQ)
Q : Quelle est la méthode recommandée pour cibler les utilisateurs pour les campagnes de simulation ?
R : Plusieurs options sont disponibles pour les utilisateurs cibles :
- Inclure tous les utilisateurs (actuellement disponibles pour les organisations de moins de 40 000 utilisateurs).
- Choisissez des utilisateurs spécifiques.
- Sélectionnez des utilisateurs à partir d’un fichier CSV (une adresse e-mail par ligne).
- Ciblage basé sur les groupes Microsoft Entra.
Nous constatons que les campagnes où les utilisateurs ciblés sont identifiés par les groupes Microsoft Entra sont plus faciles à gérer.
Q : Combien y a-t-il de modules de formation ?
Actuellement, il existe 94 formations intégrées sur la page Modules de formation .
Q : Existe-t-il des limites dans le ciblage des utilisateurs lors de l’importation à partir d’un fichier CSV ou de l’ajout d’utilisateurs ?
R : La limite pour l’importation de destinataires à partir d’un fichier CSV ou l’ajout de destinataires individuels à une simulation est de 40 000.
Un destinataire peut être un utilisateur individuel ou un groupe. Un groupe peut contenir des centaines ou des milliers de destinataires. La limite supérieure du nombre d’utilisateurs est de 400 000, mais nous recommandons une limite de 200 000 utilisateurs pour chaque simulation pour de meilleures performances.
La gestion d’un fichier CSV volumineux ou l’ajout de nombreux destinataires individuels peuvent être fastidieux. L’utilisation de groupes Microsoft Entra simplifie la gestion globale de la simulation.
Conseil
Actuellement, les boîtes aux lettres partagées ne sont pas prises en charge dans l’entraînement à la simulation d’attaque. Les simulations doivent cibler les boîtes aux lettres utilisateur ou les groupes contenant des boîtes aux lettres utilisateur.
Les groupes de distribution sont développés et la liste des utilisateurs est générée au moment de l’enregistrement de la simulation ou de l’automatisation de la simulation.
Q : Le nombre de simulations pouvant être déployées pendant un intervalle de temps spécifique est-il limité ?
A. Non, même si vous pouvez rencontrer une lenteur si vous lancez de nombreuses simulations parallèles. Les taux de messages (y compris les taux de messages de simulation) sont limités par les limites de débit de messages du service.
Q : Microsoft fournit-il des charges utiles dans d’autres langues ?
R : Actuellement, plus de 40 charges utiles localisées sont disponibles dans plus de 29 langues : anglais, espagnol, allemand, japonais, français, portugais, néerlandais, italien, suédois, chinois (simplifié), norvégien Bokmål, polonais, russe, finnois, coréen, turc, hongrois, hébreu, thaï, arabe, vietnamien, slovaque, grec, indonésien, roumain, slovène, croate, catalan et autres. Nous avons déterminé que la traduction directe ou automatique de charges utiles existantes vers d’autres langues entraîne des inexactitudes et une diminution de la pertinence.
Cela dit, vous pouvez créer votre propre charge utile dans le langage de votre choix à l’aide de l’expérience de création de charge utile personnalisée. Nous vous recommandons également vivement de collecter les charges utiles existantes qui ont été utilisées pour cibler des utilisateurs dans une zone géographique spécifique. En d’autres termes, laissez les attaquants localiser le contenu pour vous.
Q : Combien de vidéos de formation sont disponibles ?
R : Actuellement, plus de 85 modules de formation sont disponibles dans la bibliothèque de contenu.
Q : Comment puis-je basculer vers d’autres langues pour mon portail d’administration et mon expérience de formation ?
R : Dans Microsoft 365 ou Office 365, la configuration de la langue est spécifique et centralisée pour chaque compte d’utilisateur. Pour obtenir des instructions sur la modification de votre paramètre de langue, consultez Modifier votre langue d’affichage et votre fuseau horaire dans Microsoft 365 entreprise.
La synchronisation de la modification de la configuration peut prendre jusqu’à 30 minutes entre tous les services.
Q : Puis-je déclencher une simulation de test pour comprendre à quoi elle ressemble avant de lancer une campagne à part entière ?
R : Oui, vous pouvez ! Dans la dernière page Vérifier la simulation de l’Assistant Nouvelle simulation, sélectionnez Envoyer un test. Cette option envoie un exemple de message de simulation d’hameçonnage à l’utilisateur actuellement connecté. Après avoir validé le message d’hameçonnage dans votre boîte de réception, vous pouvez envoyer la simulation.
Conseil
Vous pouvez également utiliser Envoyer un test à partir de la page Charges utiles . Toutefois, si vous utilisez la charge utile sélectionnée dans une simulation, le message de test apparaît dans les rapports d’agrégation. Vous pouvez exporter les résultats ou utiliser l’API Microsoft Graph pour filtrer les résultats.
Q : Puis-je cibler des utilisateurs appartenant à un autre locataire dans le cadre de la même campagne de simulation ?
R : Non. Actuellement, les simulations interlocataires ne sont pas prises en charge. Vérifiez que tous vos utilisateurs ciblés se trouvent dans le même locataire. Tous les utilisateurs interlocataires ou utilisateurs invités sont exclus de la campagne de simulation.
Q : Comment fonctionne la livraison prenant en charge les régions ?
R : La remise prenant en charge la région utilise l’attribut de fuseau horaire de la boîte aux lettres de l’utilisateur ciblé pour déterminer quand remettre le message. Il peut y avoir une différence de temps de ± une heure dans la remise de l’e-mail en fonction du fuseau horaire de l’utilisateur. Par exemple, envisagez le scénario suivant :
- À 7h00 dans le fuseau horaire Du Pacifique (UTC-8), un administrateur crée et planifie une campagne pour commencer à 9h00 le même jour.
- UserA se trouve dans le fuseau horaire Est (UTC-5).
- UserB se trouve également dans le fuseau horaire Pacifique.
À 9h00 le même jour, le message de simulation est envoyé à UserB. Avec une remise prenant en charge la région, le message n’est pas envoyé à UserA le même jour, car 9:00 heure du Pacifique est 12:00 PM (heure de l’Est). Au lieu de cela, le message est envoyé à UserA à 9h00 (heure de l’Est) le jour suivant.
Par conséquent, lors de l’exécution initiale d’une campagne avec une distribution prenant en charge la région activée, il peut apparaître que le message de simulation a été envoyé uniquement aux utilisateurs d’un fuseau horaire spécifique. Mais, à mesure que le temps passe et que de plus en plus d’utilisateurs entrent dans l’étendue, les utilisateurs ciblés augmentent.
Si vous n’utilisez pas la livraison prenant en charge la région, la campagne démarre en fonction du fuseau horaire de l’utilisateur qui la configure.
Q : Microsoft collecte-t-il ou stocke-t-il des informations que les utilisateurs entrent dans la page de connexion Credential Harvest, utilisée dans la technique de simulation Credential Harvest ?
R : Non. Toutes les informations entrées dans la page de connexion de collecte des informations d’identification sont ignorées en mode silencieux. Seul le « clic » est enregistré pour capturer l’événement de compromission. Microsoft ne collecte, n’enregistre ni ne stocke les détails que les utilisateurs entrent à cette étape.
Q : Combien de temps les informations de simulation sont-elles conservées ? Puis-je supprimer des données de simulation ?
R : Consultez le tableau suivant :
| Type de données | Rétention |
|---|---|
| Métadonnées de simulation | 18 mois, sauf si la simulation est supprimée plus tôt par un administrateur. |
| Automatisation de la simulation | 18 mois, sauf si l’automatisation de la simulation est supprimée plus tôt par un administrateur. |
| Automatisation de la charge utile | 18 mois, sauf si l’automatisation de la charge utile est supprimée plus tôt par un administrateur. |
| Activité de l’utilisateur dans les métadonnées de simulation | 18 mois, sauf si la simulation est supprimée plus tôt par un administrateur. |
| Charges utiles globales | Conservé, sauf s’il est supprimé par Microsoft. |
| Charges utiles de locataire | 18 mois, sauf si la charge utile archivée est supprimée plus tôt par un administrateur. |
| Activité de l’utilisateur dans les métadonnées d’entraînement | 18 mois, sauf si la simulation est supprimée plus tôt par un administrateur. |
| Charges utiles recommandées par MDO | 6 mois. |
| Notifications globales aux utilisateurs finaux | Conservé, sauf s’il est supprimé par Microsoft. |
| Notifications de l’utilisateur final du locataire | 18 mois, sauf si la notification est supprimée plus tôt par un administrateur. |
| Pages de connexion globales | Conservé, sauf s’il est supprimé par Microsoft. |
| Pages de connexion du locataire | 18 mois, sauf si la page de connexion est supprimée plus tôt par un administrateur. |
| Pages d’accueil globales | Conservé, sauf suppression par Microsoft |
| Pages d’accueil du locataire | 18 mois, sauf si la page d’accueil est supprimée plus tôt par un administrateur. |
Si l’intégralité du locataire est supprimée, les données d’apprentissage de simulation d’attaque sont supprimées après 90 jours.
Pour plus d’informations, voir Informations sur la conservation des données pour Microsoft Defender pour Office 365.
Q : Puis-je créer, afficher et gérer des simulations à l’aide d’une API ?
R : Oui. Les scénarios de lecture et d’écriture sont pris en charge à l’aide de l’API Microsoft Graph :
-
AttackSimulation.Read.All:- Lire les métadonnées de simulation
- Lire l’activité utilisateur
- Lire les données d’apprentissage
- Lire les récidivistes
-
AttackSimulation.ReadWrite.All: exécutez des simulations à l’aide des charges utiles, notifications et pages de connexion spécifiées.
Pour plus d’informations, voir Vue d’ensemble de l’API Lister les simulations et rapports pour la formation à la simulation d’attaque dans le cadre de Microsoft Defender pour Office 365.
Q : Puis-je supprimer des charges utiles personnalisées ?
R : Oui. Tout d’abord, vous archivez la charge utile, puis vous supprimez la charge utile archivée. Pour obtenir des instructions, consultez Archiver les charges utiles.
Q : Puis-je modifier les charges utiles intégrées ?
R : Pas directement. Vous pouvez copier la charge utile, puis modifier la copie. Pour obtenir des instructions, consultez Copier des charges utiles.