Considérations et forum aux questions sur le déploiement de la formation de simulation d’attaque

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Exercice de simulation d'attaque permet aux organisations Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2 de mesurer et de gérer les risques liés à l’ingénierie sociale en permettant la création et la gestion de simulations d’hameçonnage alimentées par des simulations d’hameçonnage réelles et inoffensives charges utiles d’hameçonnage. La formation hyper-ciblée, fournie en partenariat avec la sécurité Terranova, permet d’améliorer les connaissances et de modifier le comportement des employés.

Pour plus d’informations sur la prise en main de Exercice de simulation d'attaque, consultez Prise en main de Exercice de simulation d'attaque.

Bien que l’expérience de création et de planification de simulation soit conçue pour être fluide et fluide, les simulations à l’échelle de l’entreprise nécessitent une planification. Cet article vous aide à résoudre les défis spécifiques que nous voyons lorsque nos clients exécutent des simulations dans leurs propres environnements.

Problèmes liés aux expériences des utilisateurs finaux

URL de simulation d’hameçonnage bloquées par la navigation sécurisée Google

Un service de réputation d’URL peut identifier une ou plusieurs URL utilisées par Exercice de simulation d'attaque comme non sécurisées. Google Safe Browsing dans Google Chrome bloque certaines DES URL d’hameçonnage simulées avec un message d’avance de site trompeur . Bien que nous travaillons avec de nombreux fournisseurs de réputation d’URL pour toujours autoriser nos URL de simulation, nous n’avons pas toujours une couverture complète.

Avertissement de l’avance du site trompeur dans Google Chrome

Ce problème n’affecte pas Microsoft Edge.

Dans le cadre de la phase de planification, veillez à case activée la disponibilité de l’URL dans vos navigateurs web pris en charge avant d’utiliser l’URL dans une campagne de hameçonnage. Si les URL sont bloquées par la navigation sécurisée Google, suivez ces instructions de Google pour autoriser l’accès aux URL.

Reportez-vous à Prise en main de Exercice de simulation d'attaque pour obtenir la liste des URL actuellement utilisées par Exercice de simulation d'attaque.

Url d’administration et de simulation d’hameçonnage bloquées par les solutions de proxy réseau et les pilotes de filtre

Les URL de simulation de hameçonnage et les URL d’administration peuvent être bloquées ou supprimées par vos filtres ou appareils de sécurité intermédiaires. Par exemple :

  • Pare-feu
  • solutions Web Application Firewall (WAF)
  • Pilotes de filtre tiers (par exemple, filtres en mode noyau)

Bien que nous ayons vu peu de clients être bloqués au niveau de cette couche, cela se produit. Si vous rencontrez des problèmes, envisagez de configurer les URL suivantes pour contourner l’analyse par vos appareils de sécurité ou filtres en fonction des besoins :

Messages de simulation non remis à tous les utilisateurs ciblés

Il est possible que le nombre d’utilisateurs qui reçoivent réellement les messages électroniques de simulation soit inférieur au nombre d’utilisateurs ciblés par la simulation. Les types d’utilisateurs suivants sont exclus dans le cadre de la validation cible :

  • Adresses e-mail des destinataires non valides.
  • Utilisateurs invités.
  • Utilisateurs qui ne sont plus actifs dans Microsoft Entra ID.

Si vous utilisez des groupes de distribution ou des groupes de sécurité à extension messagerie pour cibler des utilisateurs, vous pouvez utiliser l’applet de commande Get-DistributionGroupMember dans Exchange Online PowerShell pour afficher et valider les membres du groupe de distribution.

Problèmes liés aux rapports Exercice de simulation d'attaque

Exercice de simulation d'attaque rapports ne contiennent aucun détail d’activité

Exercice de simulation d'attaque est fourni avec des informations riches et exploitables qui vous tiennent informé de la progression de la préparation aux menaces de vos employés. Si Exercice de simulation d'attaque rapports ne sont pas remplis avec des données, vérifiez que la journalisation d’audit est activée dans votre organization (elle est activée par défaut).

La journalisation d’audit est requise par Exercice de simulation d'attaque afin que les événements puissent être capturés, enregistrés et lus. La désactivation de la journalisation d’audit a les conséquences suivantes pour Exercice de simulation d'attaque :

  • Les données de création de rapports ne sont pas disponibles dans tous les rapports. Les rapports apparaissent vides.
  • Les affectations d’entraînement sont bloquées, car les données ne sont pas disponibles.

Pour vérifier que la journalisation d’audit est activée ou pour l’activer, consultez Activer ou désactiver l’audit.

Remarque

Les détails d’activité vides peuvent également être causés par l’absence de licenceS E5 attribuées aux utilisateurs. Vérifiez qu’au moins une licence E5 est attribuée à un utilisateur actif pour vous assurer que les événements de création de rapports sont capturés et enregistrés.

Signalement de problèmes liés aux boîtes aux lettres locales

Exercice de simulation d'attaque prend en charge les boîtes aux lettres locales, mais avec des fonctionnalités de création de rapports réduites :

  • Les données indiquant si les utilisateurs ont lu, transféré ou supprimé l’e-mail de simulation ne sont pas disponibles pour les boîtes aux lettres locales.
  • Le nombre d’utilisateurs qui ont signalé l’e-mail de simulation n’est pas disponible pour les boîtes aux lettres locales.

Les rapports de simulation ne sont pas mis à jour immédiatement

Les rapports de simulation détaillés ne sont pas mis à jour immédiatement après le lancement d’une campagne. Ne vous inquiétez pas; ce comportement est attendu.

Chaque campagne de simulation a un cycle de vie. Une fois créée, la simulation est dans l’état Planifié . Lorsque la simulation démarre, elle passe à l’état En cours . Une fois terminée, la simulation passe à l’état Terminé .

Lorsqu’une simulation est à l’état Planifié, les rapports de simulation sont pour la plupart vides . Au cours de cette étape, le moteur de simulation résout les adresses e-mail des utilisateurs cibles, développe des groupes de distribution, supprime les utilisateurs invités de la liste, etc. :

Détails de la simulation montrant la simulation dans l’état Planifié

Une fois que la simulation passe à l’étape En cours , les informations commencent à ruisseler dans les rapports :

Détails de la simulation montrant la simulation dans l’état En cours

La mise à jour des rapports de simulation individuels peut prendre jusqu’à 30 minutes après la transition à l’état En cours . Les données du rapport continuent de générer jusqu’à ce que la simulation atteigne l’état Terminé . Les mises à jour de rapports se produisent aux intervalles suivants :

  • Toutes les 10 minutes pendant les 60 premières minutes.
  • Toutes les 15 minutes après 60 minutes jusqu’à deux jours.
  • Toutes les 30 minutes après deux jours jusqu’à sept jours.
  • Toutes les 60 minutes après sept jours.

Les widgets de la page Vue d’ensemble fournissent un instantané rapide de la posture de sécurité basée sur la simulation de votre organization au fil du temps. Étant donné que ces widgets reflètent votre posture de sécurité globale et votre parcours au fil du temps, ils sont mis à jour une fois chaque campagne de simulation terminée.

Remarque

Vous pouvez utiliser l’option Exporter sur les différentes pages de création de rapports pour extraire des données.

Les messages signalés comme hameçonnage par les utilisateurs n’apparaissent pas dans les rapports de simulation

Les rapports de simulation de la formation sur le simulateur d’attaque fournissent des détails sur l’activité des utilisateurs. Par exemple :

  • Utilisateurs qui ont cliqué sur le lien dans le message.
  • Utilisateurs qui ont abandonné leurs informations d’identification.
  • Utilisateurs qui ont signalé le message comme hameçonnage.

Si les messages signalés par les utilisateurs comme hameçonnage ne sont pas capturés dans Exercice de simulation d'attaque rapports de simulation, il peut y avoir une règle de flux de messagerie Exchange (également appelée règle de transport) qui bloque la remise des messages signalés à Microsoft. Vérifiez que les règles de flux de courrier ne bloquent pas la remise aux adresses e-mail suivantes :

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

L’entraînement est attribué aux utilisateurs une fois qu’ils signalent un message simulé

Si une formation est attribuée aux utilisateurs après avoir signalé un message de simulation de hameçonnage, case activée pour voir si votre organization utilise une boîte aux lettres de création de rapports pour recevoir les messages signalés par l’utilisateur à l’adresse https://security.microsoft.com/securitysettings/userSubmission. La boîte aux lettres de création de rapports doit être configurée pour ignorer de nombreuses vérifications de sécurité, comme décrit dans les prérequis de la boîte aux lettres de création de rapports.

Si vous ne configurez pas les exclusions requises pour la boîte aux lettres de création de rapports personnalisée, les messages peuvent être détonés par les liens fiables ou la protection des pièces jointes fiables, ce qui entraîne des affectations d’entraînement.

Autres questions fréquentes (FAQ)

R : Plusieurs options sont disponibles pour les utilisateurs cibles :

  • Inclure tous les utilisateurs (actuellement disponibles pour les organisations de moins de 40 000 utilisateurs).
  • Choisissez des utilisateurs spécifiques.
  • Sélectionnez des utilisateurs à partir d’un fichier CSV (une adresse e-mail par ligne).
  • Microsoft Entra le ciblage basé sur les groupes.

Nous avons constaté que les campagnes où les utilisateurs ciblés sont identifiés par Microsoft Entra groupes sont plus faciles à gérer.

Q : Existe-t-il des limites dans le ciblage des utilisateurs lors de l’importation à partir d’un fichier CSV ou de l’ajout d’utilisateurs ?

R : La limite pour l’importation de destinataires à partir d’un fichier CSV ou l’ajout de destinataires individuels à une simulation est de 40 000.

Un destinataire peut être un utilisateur individuel ou un groupe. Un groupe peut contenir des centaines ou des milliers de destinataires, de sorte qu’une limite réelle n’est pas définie sur le nombre d’utilisateurs individuels.

La gestion d’un fichier CSV volumineux ou l’ajout de nombreux destinataires individuels peuvent être fastidieux. L’utilisation de groupes Microsoft Entra simplifie la gestion globale de la simulation.

Q : Microsoft fournit-il des charges utiles dans d’autres langues ?

R : Actuellement, plus de 40 charges utiles localisées sont disponibles dans plus de 29 langues : anglais, espagnol, allemand, japonais, Français, portugais, néerlandais, italien, suédois, chinois (simplifié), norvégien Bokmål, polonais, russe, finnois, coréen, turc, hongrois, hébreu, thaï, arabe, vietnamien, slovaque, grec, indonésien, roumain, slovène, croate, catalan et autres. Nous avons déterminé que la traduction directe ou automatique de charges utiles existantes vers d’autres langues entraîne des inexactitudes et une diminution de la pertinence.

Cela dit, vous pouvez créer votre propre charge utile dans le langage de votre choix à l’aide de l’expérience de création de charge utile personnalisée. Nous vous recommandons également vivement de collecter les charges utiles existantes qui ont été utilisées pour cibler des utilisateurs dans une zone géographique spécifique. En d’autres termes, laissez les attaquants localiser le contenu pour vous.

Q : Combien de vidéos de formation sont disponibles ?

R : Actuellement, plus de 85 modules de formation sont disponibles dans la bibliothèque de contenu.

Q : Comment puis-je basculer vers d’autres langues pour mon portail d’administration et mon expérience de formation ?

R : Dans Microsoft 365 ou Office 365, la configuration de la langue est spécifique et centralisée pour chaque compte d’utilisateur. Pour obtenir des instructions sur la modification de votre paramètre de langue, consultez Modifier votre langue d’affichage et votre fuseau horaire dans Microsoft 365 entreprise.

La synchronisation de la modification de la configuration peut prendre jusqu’à 30 minutes entre tous les services.

Q : Puis-je déclencher une simulation de test pour comprendre à quoi elle ressemble avant de lancer une campagne à part entière ?

R : Oui, vous pouvez ! Dans la dernière page Vérifier la simulation de l’Assistant Nouvelle simulation, sélectionnez Envoyer un test. Cette option envoie un exemple de message de simulation d’hameçonnage à l’utilisateur actuellement connecté. Après avoir validé le message d’hameçonnage dans votre boîte de réception, vous pouvez envoyer la simulation.

Bouton Envoyer un test sur la page Vérifier la simulation

Q : Puis-je cibler des utilisateurs appartenant à un autre locataire dans le cadre de la même campagne de simulation ?

R : Non. Actuellement, les simulations interlocataires ne sont pas prises en charge. Vérifiez que tous vos utilisateurs ciblés se trouvent dans le même locataire. Tous les utilisateurs interlocataires ou utilisateurs invités sont exclus de la campagne de simulation.

Q : Comment fonctionne la livraison prenant en charge les régions ?

R : La remise prenant en charge la région utilise l’attribut TimeZone de la boîte aux lettres de l’utilisateur ciblé et la logique « not before » pour déterminer quand remettre le message. Par exemple, envisagez le scénario suivant :

  • À 7h00 dans le fuseau horaire Du Pacifique (UTC-8), un administrateur crée et planifie une campagne pour commencer à 9h00 le même jour.
  • UserA se trouve dans le fuseau horaire Est (UTC-5).
  • UserB se trouve également dans le fuseau horaire Pacifique.

À 9h00 le même jour, le message de simulation est envoyé à UserB. Avec une remise prenant en charge la région, le message n’est pas envoyé à UserA le même jour, car 9 :00 heure du Pacifique est 12 :00 PM (heure de l’Est). Au lieu de cela, le message est envoyé à UserA à 9h00 (heure de l’Est) le jour suivant.

Par conséquent, lors de l’exécution initiale d’une campagne avec une distribution prenant en charge la région activée, il peut apparaître que le message de simulation a été envoyé uniquement aux utilisateurs d’un fuseau horaire spécifique. Mais, à mesure que le temps passe et que de plus en plus d’utilisateurs entrent dans l’étendue, les utilisateurs ciblés augmentent.

Q : Microsoft collecte-t-il ou stocke-t-il des informations que les utilisateurs entrent dans la page de connexion Credential Harvest, utilisée dans la technique de simulation Credential Harvest ?

R : Non. Toutes les informations entrées dans la page de connexion de collecte des informations d’identification sont ignorées en mode silencieux. Seul le « clic » est enregistré pour capturer l’événement de compromission. Microsoft ne collecte, n’enregistre ni ne stocke les détails que les utilisateurs entrent à cette étape.