Támadásszimulációs képzés üzembe helyezésével kapcsolatos szempontok és GYIK
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Támadási szimulációs tréning lehetővé teszi Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender Plan 2 szervezetek számára a szociális mérnöki kockázatok mérését és kezelését azáltal, hogy lehetővé teszik a valós világra épülő adathalász szimulációk létrehozását és kezelését, ártalmatlan adathalász hasznos adatok. A Terranova biztonságával együttműködésben nyújtott, hipercélos képzés segít a tudás javításában és az alkalmazottak viselkedésének módosításában.
A Támadási szimulációs tréning használatának első lépéseiről az Ismerkedés a Támadási szimulációs tréning használatával című témakörben talál további információt.
Bár a szimuláció létrehozási és ütemezési felülete szabadon áramló és súrlódásmentes, a nagyvállalati szintű szimulációk tervezést igényelnek. Ez a cikk segítséget nyújt az ügyfelek által a saját környezetükben futtatott szimulációk során felmerülő konkrét kihívások megoldásában.
Végfelhasználói élményekkel kapcsolatos problémák
A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek
Az URL-hírnévszolgáltatás azonosíthat egy vagy több olyan URL-címet, amelyet a Támadási szimulációs tréning nem biztonságosként használ. A Google Biztonságos böngészés a Google Chrome-ban letiltja a szimulált adathalász URL-címek némelyikét egy megtévesztő webhelyre vonatkozó előre látható üzenettel. Bár számos URL-hírnévszolgáltatóval együttműködve mindig engedélyezzük a szimulációs URL-címeket, nem mindig rendelkezünk teljes lefedettséggel.
Ez a probléma nincs hatással a Microsoft Edge-re.
A tervezési fázis részeként ellenőrizze az URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. Ha a Google Biztonságos böngészés letiltja az URL-címeket, kövesse a Google ezen útmutatójának útmutatását az URL-címekhez való hozzáférés engedélyezéséhez.
A Támadási szimulációs tréning által jelenleg használt URL-címek listájáért tekintse meg a Támadási szimulációs tréning használatának első lépéseit ismertető témakört.
Adathalászati szimuláció és hálózati proxymegoldások és szűrőillesztők által blokkolt rendszergazdai URL-címek
Az adathalász szimulációs URL-címeket és a rendszergazdai URL-címeket is blokkolhatják vagy elvethetik a köztes biztonsági eszközök vagy szűrők. Például:
- Tűzfalak
- Web Application Firewall (WAF) megoldások
- Külső szűrőillesztők (például kernelmódú szűrők)
Bár néhány ügyfelet blokkoltak ezen a rétegen, mégis előfordul. Ha problémákba ütközik, fontolja meg a következő URL-címek konfigurálását, hogy a biztonsági eszközök vagy szűrők szükség szerint megkerüljék a vizsgálatot:
- A szimulált adathalász URL-címek az Első lépések a Támadási szimulációs tréning című cikkben leírtak szerint.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Nem minden megcélzott felhasználónak küldött szimulációs üzenetek
Lehetséges, hogy a szimulációs e-maileket ténylegesen megkapó felhasználók száma kisebb, mint a szimuláció által megcélzott felhasználók száma. A célérvényesítés a következő típusú felhasználókat zárja ki:
- Érvénytelen címzett e-mail-címek.
- Vendégfelhasználók.
- Azok a felhasználók, amelyek már nem aktívak a Microsoft Entra ID.
Ha terjesztési csoportokat vagy levelezési biztonsági csoportokat használ a felhasználók megcélzásához, a PowerShell Exchange OnlineGet-DistributionGroupMember parancsmagját használhatja a terjesztési csoport tagjainak megtekintéséhez és ellenőrzéséhez.
A felhasználókhoz váratlanul hozzárendelt vagy nem hozzárendelt képzések
A betanítási kampányok betanítási küszöbértéke megakadályozza, hogy a felhasználók ugyanazokat a képzéseket rendeljék hozzájuk egy adott időszakban (alapértelmezés szerint 90 nap). További információ: Betanítási küszöbérték beállítása.
Ha létrehozott egy szimulációt vagy egy szimulációautomatizálást a betanítási hozzárendelés értékével : Betanítás hozzárendelése nekem (Ajánlott), a betanítást a felhasználó korábbi szimulációja és a betanítási eredmények alapján rendeljük hozzá. Ha konkrét feltételek alapján szeretne képzést hozzárendelni, válassza a Tanfolyamok és modulok kiválasztása lehetőséget.
Mi történik, ha egy felhasználó egy szimulációs üzenetre válaszol vagy továbbít?
Ha egy felhasználó egy szimulációs üzenetre válaszol, vagy egy másik postaládába továbbítja azt, akkor az üzenet normál e-mail-üzenetként lesz kezelve (beleértve a biztonságos hivatkozások vagy a biztonságos mellékletek általi detonációt is). A szimulációs jelentés azt mutatja, hogy a szimulációs üzenet megválaszolva vagy továbbítva lett-e. A szimulációs e-mail minden URL-címe egy adott felhasználóhoz van kötve, így a Biztonságos hivatkozások detonációkat a felhasználó kattintásként azonosítja.
Ha dedikált biztonsági műveleti (SecOps) postaládát használ, ügyeljen arra, hogy a speciális kézbesítési szabályzatban secOps-ként azonosítsa, hogy az üzeneteket szűretlenül kézbesítse.
Hogyan állíthatom be a szimulációs üzenetek kézbesítését?
- A szimulációk régióérzékeny kézbesítést kínálnak.
- A szimulációautomatizálások egy szimulációs ütemezési oldallal rendelkeznek, ahol véletlenszerűen konfigurálhatja a kézbesítést, és konfigurálhatja az egyéb kézbesítési adatokat.
Mindkét esetben fontos, hogy különböző hasznos adatokat használjon a felhasználók közötti vita és azonosítás elkerülése érdekében.
Miért blokkolja az Outlook a szimulációs üzenetek képeit?
Alapértelmezés szerint az Outlook úgy van konfigurálva, hogy blokkolja az internetről érkező üzenetek automatikus képletöltését. Bár beállíthatja, hogy az Outlook automatikusan letöltse a képeket, a biztonsági következmények (rosszindulatú kódok vagy webes hibák lehetséges automatikus letöltése, más néven adatgyűjtő jelek vagy nyomkövető képpontok) miatt nem javasoljuk.
Olyan felhasználók kattintásait vagy feltöréseit látom, akik ragaszkodnak ahhoz, hogy ne kattintanak a hivatkozásra a szimulációs üzenetben
Előfordulhat, hogy a külső szűrési szolgáltatások a hibásak. Az Ön által használt nem Microsoft-szűrési rendszerek esetében engedélyeznie vagy mentesítenie kell a következő elemeket:
- Minden Támadási szimulációs tréning URL-cím és a megfelelő tartományok. Jelenleg nem küldünk szimulációs üzeneteket az IP-címek statikus listájából.
- Minden más tartomány, amelyet egyéni hasznos adatokhoz használ.
Hozzáadhatom a külső címkét vagy biztonsági tippeket a szimulációs üzenetekhez?
Az egyéni hasznos adatokhoz hozzáadhatja a Külső címkét az üzenetekhez. További információt a Hasznos adatok létrehozása című témakör 5. lépésében talál.
Nincsenek beépített lehetőségek a hasznos adatok biztonsági tippjeinek hozzáadására, de a hasznos adatok beállítása varázsló Hasznos adatok konfigurálása lapján a következő módszereket használhatja:
Használjon egy meglévő e-mailt, amely sablonként tartalmazza a biztonsági tippet. Mentse az üzenetet HTML formátumban, és másolja az adatokat.
Használja az alábbi mintakódot az Első kapcsolat biztonsági tippjéhez:
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
Hozzárendelhetek betanítási modulokat anélkül, hogy a felhasználókat szimuláción keresztül használnám?
Igen, További információ: Kampányok betanítása Támadási szimulációs tréning.
Hogyan tudni a nem kézbesített szimulációs üzenetekről?
A szimuláció Felhasználók lapja a Szimulációs üzenetkézbesítés: Sikertelen kézbesítés alapján szűrhető.
Ha Ön a feladó tartománya, a kézbesítetlen szimulációs jelentést a rendszer egy sikertelen kézbesítésről szóló jelentésben (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetben) adja vissza. A sikertelen kézbesítésről szóló jelentésben szereplő kódokkal kapcsolatos további információkért lásd: Email sikertelen kézbesítésről szóló jelentések és SMTP-hibák Exchange Online.
A Támadási szimulációs tréning jelentéskészítéssel kapcsolatos problémák
Tipp
A szimulációs adatrögzítés néhány perccel a szimuláció elindítása után és azután kezdődik, hogy a felhasználók elkezdenek kommunikálni a szimulációs üzenetekkel. Nincs rögzített kezdési időpont. Az események a szimuláció befejezése után is rögzítve lesznek.
Az Támadási szimulációs tréning jelentések és más jelentések felhasználói tevékenységadatainak eltérései
A szimulációs üzenetekhez kapcsolódó felhasználói tevékenységekről való jelentéskészítéshez a beépített szimulációs jelentéseket javasoljuk. Előfordulhat, hogy más forrásokból (például speciális veszélyforrás-keresésből) származó jelentések nem pontosak.
A szimulációs URL-címeket nem a biztonságos hivatkozások burkolják, és nem tördelt hivatkozásoknak számítanak. A meg nem feleltetett hivatkozásokra való kattintások nem minden esetben haladnak át a Biztonságos hivatkozásokon, így előfordulhat, hogy a szimulációs üzenetekhez kapcsolódó felhasználói tevékenységek nem lesznek rögzítve az UrlClickEvents naplóiban.
Támadási szimulációs tréning jelentések nem tartalmaznak tevékenységadatokat
Támadási szimulációs tréning gazdag, gyakorlatban hasznosítható megállapításokkal rendelkezik, amelyek folyamatosan tájékoztatják az alkalmazottak veszélyforrás-felkészültségi állapotáról. Ha Támadási szimulációs tréning jelentések nincsenek adatokkal feltöltve, ellenőrizze, hogy a naplózás be van-e kapcsolva a szervezetben (alapértelmezés szerint be van kapcsolva).
Az események rögzítéséhez, rögzítéséhez és visszaolvasásához Támadási szimulációs tréning naplózásra van szükség. A naplózás kikapcsolása a következő következményekkel jár a Támadási szimulációs tréning esetén:
- A jelentéskészítési adatok nem minden jelentésben érhetők el. A jelentések üresen jelennek meg.
- A betanítási hozzárendelések le vannak tiltva, mert az adatok nem érhetők el.
Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.
Tipp
Az üres tevékenységadatokat az is okozhatja, hogy nincsenek felhasználókhoz rendelt E5-licencek. Ellenőrizze, hogy legalább egy E5-licenc hozzá van-e rendelve egy aktív felhasználóhoz, hogy a jelentési események rögzítve és rögzítve legyenek.
A felhasználói műveletek és a rendszergazdai műveletek naplózása. A Felügyeleti tevékenység API-ban keresse meg az AuditLogRecordType 85, 88 és 218 értékeket.
Bizonyos naplózási információk a Microsoft Defender XDR Speciális veszélyforrás-keresés Microsoft Defender XDR CloudAppEvents táblájában is elérhetők a Defender portálon vagy a Stream API-val.
Helyszíni postaládákkal kapcsolatos jelentéskészítési problémák
Támadási szimulációs tréning támogatja a helyszíni postaládákat, de kevesebb jelentéskészítési funkcióval:
- A helyszíni postaládákban nem érhetők el azok az adatok, hogy a felhasználók olvassák, továbbítják vagy törölték-e a szimulációs e-maileket.
- Azoknak a felhasználóknak a száma, akik jelentették a szimulációs e-mailt, nem érhetők el a helyszíni postaládákban.
Tipp
A microsoft 365-ben az átviteli folyamaton keresztül küldött szimulációs üzeneteken és a Microsoft 365-ben történő közvetlen injektáláson kívül a betanítási, automatizálási és tartalomkezelési funkciók megegyeznek a helyszíni postaládák esetében is.
A szimulációs jelentések nem frissülnek azonnal
A részletes szimulációs jelentések nem frissülnek közvetlenül a kampány elindítása után. Ne aggódj; ez a viselkedés várható.
Minden szimulációs kampány rendelkezik életciklussal. Az első létrehozáskor a szimuláció Ütemezett állapotban van. Amikor a szimuláció elindul, a folyamat folyamatban állapotra vált. Ha elkészült, a szimuláció Befejezve állapotba vált.
Bár egy szimuláció ütemezett állapotban van, a szimulációs jelentések többnyire üresek. Ebben a szakaszban a szimulációs motor feloldja a célfelhasználói e-mail-címeket, kibővíti a terjesztési csoportokat, eltávolítja a vendégfelhasználókat a listából stb.:
Miután a szimuláció belépett a folyamatban lévő szakaszba, az információk elkezdenek becsúszni a jelentésbe:
Akár 30 percig is eltarthat, amíg az egyes szimulációs jelentések frissülnek a Folyamatban állapotra való áttérés után. A jelentés adatainak összeállítása addig folytatódik, amíg a szimuláció el nem éri a Befejezve állapotot. A jelentéskészítési frissítések a következő időközönként történnek:
- Az első 60 percben 10 percenként.
- 60 perc után 15 percenként két napig.
- Két nap után 30 percenként hét napig.
- Hét nap után 60 percenként.
Az Áttekintés oldalon található widgetek gyors pillanatképet nyújtanak a szervezet szimulációalapú biztonsági helyzetéről az idő múlásával. Mivel ezek a widgetek tükrözik az általános biztonsági állapotot és az idő múlásával kapcsolatos folyamatot, az egyes szimulációs kampányok befejezése után frissülnek.
Megjegyzés:
Az adatok kinyeréséhez használhatja az Exportálás lehetőséget a különböző jelentésoldalakon.
A felhasználók által adathalászként jelentett üzenetek nem jelennek meg a szimulációs jelentésekben
A támadásszimulátor betanításának szimulációs jelentései részletesen ismertetik a felhasználói tevékenységeket. Például:
- Azok a felhasználók, akik az üzenetben a hivatkozásra kattintottak.
- Azok a felhasználók, akik lemondtak a hitelesítő adataikról.
- Azok a felhasználók, akik adathalászként jelentették az üzenetet.
Ha a felhasználók által adathalászként jelentett üzeneteket nem rögzítik Támadási szimulációs tréning szimulációs jelentésekben, előfordulhat, hogy egy Exchange-alapú levélforgalmi szabály (más néven átviteli szabály) blokkolja a jelentett üzenetek Kézbesítését a Microsoftnak. Ellenőrizze, hogy az e-mail-forgalomra vonatkozó szabályok nem blokkolják-e a kézbesítést a következő e-mail-címekre:
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
A felhasználókhoz a szimulált üzenet jelentése után betanítást rendelnek
Ha a felhasználók betanítást kapnak az adathalász szimulációs üzenet bejelentése után, ellenőrizze, hogy a szervezete használ-e jelentési postaládát a felhasználó által jelentett üzenetek fogadásához a címen https://security.microsoft.com/securitysettings/userSubmission. A jelentési postaládát úgy kell konfigurálni, hogy kihagyjon számos biztonsági ellenőrzést a jelentési postaláda előfeltételeiben leírtak szerint.
Ha nem konfigurálja az egyéni jelentéskészítési postaládához szükséges kizárásokat, az üzeneteket a Biztonságos hivatkozások vagy a Biztonságos mellékletek védelem robbanthatja fel, ami betanítási hozzárendeléseket okoz.
Egyéb gyakori kérdések
K: Mi az ajánlott módszer a felhasználók szimulációs kampányokhoz való megcélzásához?
A: Számos lehetőség áll rendelkezésre a célfelhasználók számára:
- Az összes felhasználó belefoglalása (jelenleg a 40 000-nél kevesebb felhasználóval rendelkező szervezetek számára érhető el).
- Válassza ki az adott felhasználókat.
- Válasszon ki felhasználókat egy CSV-fájlból (soronként egy e-mail-cím).
- Microsoft Entra csoportalapú célzást.
Könnyebben kezelhetők azok a kampányok, amelyekben a megcélzott felhasználókat Microsoft Entra csoportok azonosítják.
K: Hány képzési modul van?
Jelenleg 94 beépített képzés található a Képzési modulok oldalon.
K: Vannak korlátozások a felhasználók megcélzására a CSV-ből való importálás vagy a felhasználók hozzáadása során?
V: A címzettek CSV-fájlból való importálásának vagy az egyes címzettek szimulációhoz való hozzáadásának korlátja 40 000.
A címzett lehet egyéni felhasználó vagy csoport. Egy csoport több száz vagy több ezer címzettet tartalmazhat. A felhasználók számának felső korlátja 400 000, de a legjobb teljesítmény érdekében minden szimulációhoz 200 000 felhasználót ajánlunk.
A nagy MÉRETŰ CSV-fájlok kezelése vagy sok egyéni címzett hozzáadása nehézkes lehet. A Microsoft Entra csoportok használata leegyszerűsíti a szimuláció általános kezelését.
Tipp
A megosztott postaládák jelenleg nem támogatottak a Támadási szimulációs tréning. A szimulációknak felhasználói postaládákat vagy felhasználói postaládákat tartalmazó csoportokat kell céloznia.
A terjesztési csoportok ki vannak bontva, és a felhasználók listája a szimuláció vagy a szimuláció automatizálásának mentésekor jön létre.
K: Az adott időintervallumban üzembe helyezhető szimulációk számának korlátai?
Egy. Nem, bár lassúságot tapasztalhat, ha sok párhuzamos szimulációt indít el. Az üzenetarányokat (beleértve a szimulációs üzenetek sebességét) a szolgáltatás üzenetsebesség-korlátai korlátozzák.
K: A Microsoft más nyelveken is biztosít hasznos adatokat?
V: Jelenleg több mint 40 honosított hasznos adat érhető el 29+ nyelven: angol, spanyol, német, japán, francia, portugál, holland, olasz, svéd, kínai (egyszerűsített), norvég Bokmål, lengyel, orosz, finn, koreai, török, magyar, héber, thai, arab, vietnami, szlovák, görög, indonéz, román, szlovén, horvát, katalán és egyéb. Megállapítottuk, hogy a meglévő hasznos adatok más nyelvekre történő közvetlen vagy gépi fordítása pontatlanságokhoz és csökkent relevanciához vezet.
Ennek ellenére létrehozhatja saját hasznos adatait a választott nyelven az egyéni hasznosadat-létrehozási felület használatával. Azt is javasoljuk, hogy gyűjtse be azokat a meglévő hasznos adatokat, amelyeket egy adott földrajzi helyen lévő felhasználók megcélzására használtak. Más szóval hagyja, hogy a támadók honosítják a tartalmat.
K: Hány oktatóvideó érhető el?
A: Jelenleg több mint 85 képzési modul érhető el a tartalomtárban.
K: Hogyan válthatok más nyelvekre a felügyeleti portálon és a betanítási felületen?
A: A Microsoft 365-ben vagy Office 365 a nyelvi konfiguráció minden felhasználói fiókhoz egyedi és központosított. A nyelvi beállítások módosításáról a Megjelenítési nyelv és időzóna módosítása a Microsoft 365 Vállalati verzióban című témakörben olvashat.
A konfigurációmódosítás akár 30 percet is igénybe vehet az összes szolgáltatás közötti szinkronizáláshoz.
K: Elindíthatok egy tesztszimulációt, hogy megértsem, hogyan néz ki, mielőtt elindítanék egy teljes körű kampányt?
Válasz: Igen, tudod! Az új szimulációs varázsló utolsó Szimuláció áttekintése lapján válassza a Teszt küldése lehetőséget. Ez a beállítás adathalász szimulációs mintaüzenetet küld az aktuálisan bejelentkezett felhasználónak. Miután ellenőrizte az adathalász üzenetet a Beérkezett üzenetek mappában, elküldheti a szimulációt.
Tipp
A Teszt küldése a Hasznos adatok lapon is használható. Ha azonban a kiválasztott hasznos adatokat használja egy szimulációban, a tesztüzenet megjelenik az összesített jelentésekben. Exportálhatja az eredményeket, vagy a Microsoft Graph API segítségével szűrheti az eredményeket.
K: Megcélozhatom azokat a felhasználókat, amelyek ugyanazon szimulációs kampány részeként egy másik bérlőhöz tartoznak?
V: Nem. A bérlők közötti szimulációk jelenleg nem támogatottak. Ellenőrizze, hogy az összes megcélzott felhasználó ugyanabban a bérlőben van-e. A bérlők közötti felhasználók és vendégfelhasználók ki vannak zárva a szimulációs kampányból.
K: Hogyan működik a régiótudatos kézbesítés?
A: A régióérzékeny kézbesítés a megcélzott felhasználó postaládájának időzóna attribútumával határozza meg, hogy mikor kell kézbesíteni az üzenetet. Az e-mailek kézbesítése ± időeltolása a felhasználó időzónája alapján lehet. Vegyük például a következő forgatókönyvet:
- A csendes-óceáni időzónában (UTC-8) 7:00-kor egy rendszergazda létrehoz és ütemez egy kampányt, amely ugyanazon a napon 9:00-kor kezdődik.
- A UserA a keleti időzónában van (UTC-5).
- A UserB a csendes-óceáni időzónában is található.
Ugyanezen a napon 9:00-kor a rendszer elküldi a szimulációs üzenetet a UserB-nek. Régióbarát kézbesítés esetén az üzenetet a rendszer nem küldi el a UserA-nak ugyanazon a napon, mert a csendes-óceáni idő 9:00 keleti idő szerint 12:00. Ehelyett a rendszer a következő napon keleti idő szerint 9:00-kor küldi el az üzenetet a UserA-nak.
Így egy régióérzékeny kézbesítést engedélyező kampány első futtatásakor úgy tűnhet, hogy a szimulációs üzenetet csak egy adott időzónában lévő felhasználók kapják meg. Ahogy azonban az idő múlásával egyre több felhasználó kerül a hatókörbe, a megcélzott felhasználók száma nő.
Ha nem használ régióalapú kézbesítést, a kampány a beállítást végző felhasználó időzónája alapján indul el.
K: Gyűjt vagy tárol a Microsoft olyan adatokat, amelyeket a felhasználók a Hitelesítő adatok betakarítása bejelentkezési oldalon a Hitelesítő adatok begyűjtése szimulációs technikában használnak?
V: Nem. A hitelesítő adatok begyűjtése bejelentkezési oldalon megadott adatokat a rendszer csendesen elveti. A biztonsági sérülési esemény rögzítéséhez csak a "kattintás" lesz rögzítve. A Microsoft nem gyűjti, naplózza és nem tárolja az ebben a lépésben megadott adatokat.
K: Mennyi ideig őrzi meg a rendszer a szimulációs információkat? Törölhetek szimulációs adatokat?
A: Lásd a következő táblázatot:
Adattípus | Visszatartás |
---|---|
Szimulációs metaadatok | 18 hónap, hacsak a szimulációt nem törli hamarabb egy rendszergazda. |
Szimuláció automatizálása | 18 hónap, hacsak a szimuláció automatizálását nem törli hamarabb egy rendszergazda. |
Hasznos adatok automatizálása | 18 hónap, kivéve, ha a hasznos adatok automatizálását hamarabb törli egy rendszergazda. |
Felhasználói tevékenység szimulációs metaadatokban | 18 hónap, hacsak a szimulációt nem törli hamarabb egy rendszergazda. |
Globális hasznos adatok | Megőrzve, kivéve, ha a Microsoft törölte. |
Bérlői hasznos adatok | 18 hónap, kivéve, ha a rendszergazda hamarabb törli az archivált hasznos adatokat. |
Felhasználói tevékenység a betanítási metaadatokban | 18 hónap, hacsak a szimulációt nem törli hamarabb egy rendszergazda. |
MDO ajánlott hasznos adatok | 6 hónap. |
Globális végfelhasználói értesítések | Megőrzve, kivéve, ha a Microsoft törölte. |
Bérlő végfelhasználói értesítései | 18 hónap, kivéve, ha a rendszergazda hamarabb törli az értesítést. |
Globális bejelentkezési oldalak | Megőrzve, kivéve, ha a Microsoft törölte. |
Bérlői bejelentkezési oldalak | 18 hónap, hacsak a bejelentkezési oldalt nem törli hamarabb egy rendszergazda. |
Globális kezdőlapok | Megőrzve, kivéve, ha a Microsoft törölte |
Bérlői kezdőlapok | 18 hónap, kivéve, ha a kezdőlapot korábban törölte egy rendszergazda. |
Ha a teljes bérlőt törli, a támadásszimuláció betanítási adatai 90 nap után törlődnek.
További információ: Adatmegőrzési információk Office 365-höz készült Microsoft Defender.
K: Létrehozhatok, megtekinthetek és kezelhetek szimulációkat API-val?
V: Igen. Az olvasási és írási forgatókönyvek a Microsoft Graph API támogatottak:
-
AttackSimulation.Read.All
:- Szimulációs metaadatok olvasása
- Felhasználói tevékenység olvasása
- Betanítási adatok olvasása
- Visszaeső elkövetők olvasása
-
AttackSimulation.ReadWrite.All
: Szimulációkat futtathat a megadott hasznos adatok, értesítések és bejelentkezési oldalak használatával.
További információ: A Office 365-höz készült Microsoft Defender részeként a szimulációk listázása és a Reports API áttekintése a támadásszimuláció betanításához.
K: Törölhetek egyéni hasznos adatokat?
V: Igen. Először archiválja a hasznos adatokat, majd törli az archivált hasznos adatokat. Útmutatásért lásd: Hasznos adatok archiválása.
K: Módosíthatom a beépített hasznos adatokat?
A: Nem közvetlenül. Másolhatja a beépített hasznos adatokat, majd módosíthatja a másolatot. Útmutatásért lásd: Hasznos adatok másolása.
K: QR-kódszimulációt próbálok futtatni, de a QR-kód beolvasása a kezdőlap helyett a sikeres pingelést jeleníti meg?
Válasz: Amikor QR-kódot szúr be a hasznosadat-szerkesztőbe, az az Adathalászat hivatkozás kiválasztása szakaszban > kiválasztott alapvető adathalász URL-címre lesz leképezve. A QR-kód képként lesz beszúrva az e-mailbe. Ha a Szöveg lapról a Kód lapra vált, a beszúrt kép Base64 formátumban jelenik meg. A rendszerkép elején a következő található: <div id="QRcode"...>
. A szimulációban való használat előtt győződjön meg arról, hogy a kész hasznos adat tartalmazza <div id="QRcode"...>
azokat.
A szimuláció létrehozása során, ha beolvassa a QR-kódot, vagy a Teszt küldése paranccsal áttekinti a hasznos adatokat, a QR-kód a kiválasztott alapvető adathalász URL-címre mutat.
Ha a hasznos adatokat egy szimulációban használja, a szolgáltatás a QR-kódot egy dinamikusan generált QR-kódra cseréli a kattintások nyomon követéséhez és a metrikák sérüléséhez. A QR-kód mérete, pozíciója és alakja megegyezik a hasznos adatokban konfigurált konfigurációs beállításokkal. A QR-kód tényleges szimuláció során történő vizsgálata a konfigurált kezdőlapra irányítja.
K: Hasznos adatokat próbálok létrehozni HTML-ben, de úgy tűnik, hogy a hasznosadat-szerkesztő eltávolít bizonyos tartalmakat a tervemből?
A: A hasznosadat-szerkesztő jelenleg nem támogatja a következő HTML-címkéket: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
.