Támadásszimulációs képzés üzembe helyezésével kapcsolatos szempontok és GYIK

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender funkcióit Office 365 2. csomagban? Használja a 90 napos Defender for Office 365 próbaverziót a Microsoft Defender portal próbaverzióinak központjában. A Try Microsoft Defender for Office 365 című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbafeltételeket.

Támadási szimulációs tréning lehetővé teszi Microsoft 365 E5 vagy Microsoft Defender Office 365 2. csomagú szervezetek számára a szociális mérnöki kockázatok mérését és kezelését. Támadási szimulációs tréning lehetővé teszi a valós, ártalmatlan adathalász hasznos adatokon alapuló adathalász szimulációkat. A Terranova biztonságával együttműködésben nyújtott, hipercélos képzés segít a tudás javításában és a felhasználói viselkedés megváltoztatásában.

A Támadási szimulációs tréning használatának első lépéseiről az Ismerkedés a Támadási szimulációs tréning használatával című témakörben talál további információt.

Bár a szimulációk létrehozása és ütemezése egyszerű, a nagyvállalati szintű szimulációk tervezést igényelnek. Ez a cikk segítséget nyújt az ügyfelek által a saját környezetükben futtatott szimulációk során felmerülő konkrét kihívások megoldásában.

Felhasználói felülettel kapcsolatos problémák

A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek

Az URL-hírnévszolgáltatás azonosíthat egy vagy több olyan URL-címet, amelyet a Támadási szimulációs tréning nem biztonságosként használ. A Google Biztonságos böngészés a Google Chrome-ban letiltja a szimulált adathalász URL-címek némelyikét egy megtévesztő webhelyre vonatkozó előre látható üzenettel. Bár számos URL-hírnévszolgáltatóval együttműködve mindig engedélyezzük a szimulációs URL-címeket, nem mindig rendelkezünk teljes lefedettséggel.

Ez a probléma nincs hatással a Microsoft Edge-re.

A tervezési fázis részeként ellenőrizze az URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. Ha a Google Biztonságos böngészés letiltja az URL-címeket, kövesse a Google útmutatását az URL-címekhez való hozzáférés engedélyezéséhez.

A Támadási szimulációs tréning által jelenleg használt URL-címek listájáért tekintse meg a Támadási szimulációs tréning használatának első lépéseit ismertető témakört.

Adathalászati szimuláció és hálózati proxymegoldások és szűrőillesztők által blokkolt rendszergazdai URL-címek

A köztes biztonsági eszközök vagy szűrők blokkolhatják vagy elvethetik az adathalász szimulációs URL-címeket és a rendszergazdai URL-címeket. Például:

• Tűzfalak
• Web Application Firewall (WAF) megoldások
• Nem Microsoft-szűrőillesztők (például kernelmódú szűrők)

Bár ebben a rétegben kevés ügyfelet blokkolnak, ez előfordul. Ha problémákba ütközik, fontolja meg a következő URL-címek konfigurálását, hogy a biztonsági eszközök vagy szűrők szükség szerint megkerüljék a vizsgálatot:

• A szimulált adathalász URL-címek az Első lépések a Támadási szimulációs tréning című cikkben leírtak szerint.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments
• http://asttrainingfdendpoint-a6fva0cjbsbbereq.b02.azurefd.net/

Nem minden megcélzott felhasználónak küldött szimulációs üzenetek

Lehetséges, hogy a szimuláció által megcélzott összes felhasználó nem kapja meg a szimulációs e-maileket. A célérvényesítés a következő típusú felhasználókat zárja ki:

• Érvénytelen címzett e-mail-címek.
• Vendégek.
• Azok a felhasználók, amelyek már nem aktívak a Microsoft Entra ID.

A PowerShell Exchange OnlineGet-DistributionGroupMember parancsmagja segítségével megtekintheti és ellenőrizheti a megcélzott csoporttagokat.

A felhasználókhoz váratlanul hozzárendelt vagy nem hozzárendelt képzések

A betanítási kampányok betanítási küszöbértéke megakadályozza, hogy a felhasználók ugyanazokat a képzéseket rendeljék hozzájuk egy adott időszakban (alapértelmezés szerint 90 nap). További információ: Betanítási küszöbérték beállítása.

Ha létrehozott egy szimulációt vagy egy szimulációautomatizálást a betanítási hozzárendelés értékével : Betanítás hozzárendelése nekem (Ajánlott), a betanítást a felhasználó korábbi szimulációja és a betanítási eredmények alapján rendeljük hozzá. Ha konkrét feltételek alapján szeretne képzést hozzárendelni, válassza a Tanfolyamok és modulok kiválasztása lehetőséget.

Mi történik, ha egy felhasználó egy szimulációs üzenetre válaszol vagy továbbít?

Ha egy felhasználó egy szimulációs üzenetre válaszol, vagy egy másik postaládába továbbítja azt, akkor az üzenet normál e-mail-üzenetként lesz kezelve (beleértve a biztonságos hivatkozások vagy a biztonságos mellékletek általi detonációt is). A szimulációs jelentés azt mutatja, hogy a szimulációs üzenet megválaszolva vagy továbbítva lett-e. A szimulációs e-mail minden URL-címe egy adott felhasználóhoz van kötve, így a Biztonságos hivatkozások detonációkat a felhasználó kattintásként azonosítja.

Ha dedikált biztonsági műveleti (SecOps) postaládát használ, ügyeljen arra, hogy a speciális kézbesítési szabályzatban secOps-ként azonosítsa, hogy az üzeneteket szűretlenül kézbesítse.

Hogyan állíthatom be a szimulációs üzenetek kézbesítését?

• A szimulációk régióérzékeny kézbesítést kínálnak.
• A szimulációautomatizálások egy szimulációs ütemezési oldallal rendelkeznek, ahol véletlenszerűen konfigurálhatja a kézbesítést, és konfigurálhatja az egyéb kézbesítési adatokat.

Mindkét esetben fontos, hogy különböző hasznos adatokat használjon a felhasználók közötti vita és azonosítás elkerülése érdekében.

Miért blokkolja az Outlook a szimulációs üzenetek képeit?

Alapértelmezés szerint az Outlook úgy van konfigurálva, hogy blokkolja az internetről érkező üzenetek automatikus képletöltését. Bár beállíthatja, hogy az Outlook automatikusan letöltse a képeket, a biztonsági következmények (rosszindulatú kódok vagy webes hibák lehetséges automatikus letöltése, más néven adatgyűjtő jelek vagy nyomkövető képpontok) miatt nem javasoljuk.

Olyan felhasználók kattintásait vagy feltörési eseményeit látom, akik ragaszkodnak ahhoz, hogy ne kattintson a hivatkozásra a szimulációs üzenetben, VAGY a kattintások a kézbesítéstől számított néhány másodpercen belül sok felhasználónál megjelennek (hamis pozitív). Mi történik?

Ezek az események akkor fordulhatnak elő, ha más biztonsági eszközök vagy alkalmazások szimulációs üzeneteket vizsgálnak. Például (de nem kizárólagosan):

• Alkalmazások vagy beépülő modulok az Outlookban, amelyek megvizsgálják vagy elfogják az üzenetet.
• Email biztonsági alkalmazásokat.
• Végpontbiztonság vagy víruskereső szoftver.
• Biztonsági vezénylés, automatizálás és válasz (SOAR) forgatókönyvek, amelyek automatikusan osztályozják vagy automatikusan válaszolnak a jelentett üzenetekre.

Az ilyen típusú alkalmazások webes tartalmakat vizsgálva észlelhetik az adathalászatot, ezért meg kell határoznia a szimulációs üzenetek kizárásait ezekben az alkalmazásokban.

EmailLinkClicked_IP és EmailLinkClicked_TimeStamp adatok további részleteket adhatnak meg az eseményről. Ha például néhány másodperccel a kézbesítés után egy kattintás történt, és az IP-cím nem a Microsofthoz, az Ön vállalatához vagy a felhasználóhoz tartozik, akkor valószínű, hogy egy nem a Microsofttól származó szűrőrendszer vagy egy másik szolgáltatás elfogta az üzenetet.

A nem Microsoft-szűrési rendszerek vagy -szolgáltatások esetében engedélyeznie vagy mentesítenie kell a következő elemeket:

• Minden Támadási szimulációs tréning URL-cím és a megfelelő tartományok. Jelenleg nem küldünk szimulációs üzeneteket az IP-címek statikus listájából.
• Minden más tartomány, amelyet egyéni hasznos adatokhoz használ.

Hozzáadhatom a külső címkét vagy biztonsági tippeket a szimulációs üzenetekhez?

Egyéni hasznos adatok konfigurálásával hozzáadhatja a külső címkét az üzenetekhez. További információt a Hasznos adatok létrehozása című témakör 5. lépésében talál.

Nincsenek beépített lehetőségek a hasznos adatok biztonsági tippjeinek hozzáadására, de a hasznos adatok beállítására szolgáló varázsló Hasznos adatok konfigurálása lapján a következő módszereket használhatja:

• Használjon egy meglévő e-mailt, amely sablonként tartalmazza a biztonsági tippet. Mentse az üzenetet HTML formátumban, és másolja az adatokat.

• Használja az alábbi mintakódot az Első kapcsolat biztonsági tippjéhez:

  <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
  mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
  paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
  0in 0in 0in 0in">
  <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
    <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
    <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
    <div>
    <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
    mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
    column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
    wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
    Aptos;color:#212121;mso-ligatures:none">You don't often get email from
    this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
    this is important</a></span></p>
    </div>
    </td>
    <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
    align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
  </tr>
  </tbody></table>
  <div>
  <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
  color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
  </div>
  

Hozzárendelhetek betanítási modulokat anélkül, hogy a felhasználókat szimuláción keresztül használnám?

Igen, További információ: Kampányok betanítása Támadási szimulációs tréning.

Hogyan tudni a nem kézbesített szimulációs üzenetekről?

A szimuláció Felhasználók lapja a Szimulációs üzenetkézbesítés: Sikertelen kézbesítés alapján szűrhető.

Ha Ön a feladó tartománya, a kézbesítetlen szimulációs jelentést a rendszer egy sikertelen kézbesítésről szóló jelentésben (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetben) adja vissza. A sikertelen kézbesítésről szóló jelentésben szereplő kódokkal kapcsolatos további információkért lásd: Email sikertelen kézbesítésről szóló jelentések és SMTP-hibák Exchange Online.

Jelentéskészítési problémák

Tipp

• A szimulációs adatrögzítés néhány perccel a szimuláció elindítása után és azután indul el, hogy a felhasználók elkezdenek kommunikálni a szimulációs üzenetekkel. Nincs rögzített kezdési időpont. Az események a szimuláció befejezése után is rögzítve lesznek.

• A nem Microsoft-eszközök által jelentett szimulációs üzeneteket a rendszer nem rögzíti a támadásszimulációs jelentésekben.

• 2025 decembere után az Üzenetközpont MC1166864 után a felhasználói interakciós jeleket a rendszer következetesen rögzíti, amíg a szimuláció véget nem ér. Például:

  • Kompromisszum
  • Jelentés
  • Olvasni
  • Törlés
  • Válasz
  • Előre
  • Házon kívül (csak akkor, ha a támadásszimulációs e-mail fogadásakor aktív)
  • Melléklet megnyitva

  A betanítással kapcsolatos események (például a Betanítás befejezve vagy a Folyamatban) megjelennek a szimulációs jelentésekben a betanítás határidejéig, még a szimuláció befejezése után is.

Az Támadási szimulációs tréning jelentések és más jelentések felhasználói tevékenységadatainak eltérései

A szimulációs üzenetekhez kapcsolódó felhasználói tevékenységekről való jelentéskészítéshez a beépített szimulációs jelentéseket javasoljuk. Előfordulhat, hogy más forrásokból (például speciális veszélyforrás-keresésből) származó jelentések nem pontosak.

A biztonságos hivatkozások nem burkolják a szimulációs URL-címeket, ezért az URL-címek nem csomagolt hivatkozásoknak minősülnek. A meg nem feleltetett hivatkozásokra való kattintások nem minden esetben haladnak át a Biztonságos hivatkozásokon, így előfordulhat, hogy a szimulációs üzenetekhez kapcsolódó felhasználói tevékenységek nem lesznek rögzítve az UrlClickEvents naplóiban.

Támadási szimulációs tréning jelentések nem tartalmaznak tevékenységadatokat

Támadási szimulációs tréning gazdag, gyakorlatban hasznosítható megállapításokkal rendelkezik, amelyek folyamatosan tájékoztatják a felhasználók veszélyforrás-felkészültségi állapotáról. Ha Támadási szimulációs tréning jelentések nincsenek adatokkal feltöltve, ellenőrizze, hogy a naplózás be van-e kapcsolva a szervezetben (alapértelmezés szerint be van kapcsolva).

Támadási szimulációs tréning naplózást igényel az események rögzítéséhez, rögzítéséhez és visszaolvasásához. A naplózás kikapcsolása a következő következményekkel jár a Támadási szimulációs tréning esetén:

• A jelentéskészítési adatok nem minden jelentésben érhetők el. A jelentések üresen jelennek meg.
• A betanítási hozzárendelések le vannak tiltva, mert az adatok nem érhetők el.

Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.

Tipp

A hozzárendelt Microsoft 365 E5 licenccel nem rendelkező felhasználók is üres tevékenységadatokat okoznak. A jelentési események rögzítésének és rögzítésének biztosításához ellenőrizze, hogy legalább egy E5-licenc hozzá van-e rendelve egy aktív felhasználóhoz.

A felhasználói műveletek és a rendszergazdai műveletek naplózása. A Felügyeleti tevékenység API-ban keresse meg az AuditLogRecordType 85, 88 és 218 értékeket.

Bizonyos naplózási információk a Microsoft Defender XDR Speciális veszélyforrás-keresés Microsoft Defender XDR CloudAppEvents táblájában is elérhetők a Defender portálon vagy a Stream API-val.

Helyszíni postaládákkal kapcsolatos jelentéskészítési problémák

Támadási szimulációs tréning támogatja a helyszíni postaládákat, de kevesebb jelentéskészítési funkcióval:

• A helyszíni postaládákban nem érhetők el azok az adatok, hogy a felhasználók olvassák, továbbítják vagy törölték-e a szimulációs e-maileket.
• Azoknak a felhasználóknak a száma, akik jelentették a szimulációs e-mailt, nem érhetők el a helyszíni postaládákban.

Tipp

A szimulációs üzeneteket a rendszer az átviteli folyamaton keresztül küldi el a helyszíni postaládákba. Ellenkező esetben a betanítási, automatizálási és tartalomkezelési funkciók megegyeznek a helyszíni postaládák esetében.

A szimulációs jelentések nem frissülnek azonnal

A részletes szimulációs jelentések nem frissülnek közvetlenül a kampány elindítása után. Ne aggódj; ez a viselkedés várható.

Minden szimulációs kampány rendelkezik életciklussal. Az első létrehozáskor a szimuláció Ütemezett állapotban van. Amikor a szimuláció elindul, a folyamat folyamatban állapotra vált. Ha elkészült, a szimuláció Befejezve állapotba vált.

Bár egy szimuláció ütemezett állapotban van, a szimulációs jelentések többnyire üresek. Ebben a szakaszban a szimulációs motor feloldja a célfelhasználói e-mail-címeket, kibővíti a terjesztési csoportokat, eltávolítja a vendégeket a listából stb.:

Miután a szimuláció belépett a folyamatban lévő szakaszba, az információk elkezdenek becsúszni a jelentésbe:

Akár 30 percig is eltarthat, amíg az egyes szimulációs jelentések frissülnek a Folyamatban állapotra való áttérés után. A jelentés adatainak összeállítása addig folytatódik, amíg a szimuláció el nem éri a Befejezve állapotot. A jelentéskészítési frissítések a következő időközönként történnek:

• Az első 60 percben 10 percenként.
• 60 perc után 15 percenként két napig.
• Két nap után 30 percenként hét napig.
• Hét nap után 60 percenként.

Az Áttekintés oldalon található widgetek gyors pillanatképet nyújtanak a szervezet szimulációalapú biztonsági helyzetéről az idő múlásával. Mivel ezek a widgetek tükrözik az általános biztonsági állapotot és az idő múlásával kapcsolatos folyamatot, az egyes szimulációs kampányok befejezése után frissülnek.

Megjegyzés:

Az adatok kinyeréséhez használhatja az Exportálás lehetőséget a különböző jelentésoldalakon.

A felhasználók által adathalászként jelentett üzenetek nem jelennek meg a szimulációs jelentésekben

A támadásszimulátor betanításának szimulációs jelentései részletesen ismertetik a felhasználói tevékenységeket. Például:

• Azok a felhasználók, akik az üzenetben a hivatkozásra kattintottak.
• Azok a felhasználók, akik lemondtak a hitelesítő adataikról.
• Azok a felhasználók, akik adathalászként jelentették az üzenetet.

Ha a felhasználók által adathalászként jelentett üzeneteket nem rögzítik Támadási szimulációs tréning szimulációs jelentésekben, előfordulhat, hogy egy Exchange-alapú levélforgalmi szabály (más néven átviteli szabály) blokkolja a jelentett üzenetek Kézbesítését a Microsoftnak. Ellenőrizze, hogy az e-mail-forgalomra vonatkozó szabályok nem blokkolják-e a kézbesítést a következő e-mail-címekre:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

A felhasználókhoz a szimulált üzenet jelentése után betanítást rendelnek

Ha a felhasználók betanítást kapnak az adathalász szimulációs üzenet bejelentése után, ellenőrizze, hogy a szervezete használ-e jelentési postaládát a felhasználó által jelentett üzenetek fogadásához a címen https://security.microsoft.com/securitysettings/userSubmission. A jelentési postaládát úgy kell konfigurálni, hogy kihagyjon számos biztonsági ellenőrzést a jelentési postaláda előfeltételeiben leírtak szerint.

Ha nem konfigurálja az egyéni jelentési postaláda kötelező kizárásait, a Biztonságos hivatkozások vagy a Biztonságos mellékletek elleni védelem felrobbanthatja az üzeneteket. A robbantott üzenetek betanítási hozzárendeléseket eredményeznek.

Egyéb gyakori kérdések

K: Mi az ajánlott módszer a felhasználók szimulációs kampányokhoz való megcélzásához?

A: Számos lehetőség áll rendelkezésre a célfelhasználók számára:

• Az összes felhasználó belefoglalása (jelenleg a 40 000-nél kevesebb felhasználóval rendelkező szervezetek számára érhető el).
• Válassza ki az adott felhasználókat.
• Válasszon ki felhasználókat egy CSV-fájlból (soronként egy e-mail-cím).
• Használjon Microsoft Entra csoportokat. A következő csoporttípusok támogatottak:
  • Microsoft 365-csoportok (statikus és dinamikus)
  • Terjesztési csoportok (csak statikus)
  • Levelezési biztonsági csoportok (csak statikus)

Azt tapasztaljuk, hogy a Microsoft Entra csoportokhoz rendelt kampányok könnyebben kezelhetők.

K: Hány képzési modul van?

Jelenleg 94 beépített képzés található a Képzési modulok oldalon.

K: Hogyan használják a nyelveket az olyan élményekhez, mint a képzési modulok és az értesítések?

• Képzési modulok: A böngésző területi beállításai használhatók. Ha azonban a betanítást hozzárendeli egy felhasználóhoz, a nyelv kiválasztása megmarad, és a későbbi betanítások is az adott nyelven lesznek hozzárendelve.
• Végfelhasználói értesítések: A rendszer a postaláda területi beállítását/nyelvi beállításait használja.
• Szimuláció hasznos adatai: A rendszer a rendszergazda által a létrehozás során kiválasztott nyelvet használja.
• Kezdőlapok: A Rendszer a Microsoft 365-fiók nyelvi beállításait használja. A felhasználó a kezdőlapon is módosíthatja a nyelveket.

K: Vannak korlátozások a felhasználók megcélzására a CSV-ből való importálás vagy a felhasználók hozzáadása során?

V: A címzettek CSV-fájlból való importálásának vagy az egyes címzettek szimulációhoz való hozzáadásának korlátja 40 000.

A címzett lehet egyéni felhasználó vagy csoport. Egy csoport több száz vagy több ezer címzettet tartalmazhat. A felhasználók számának felső korlátja 400 000, de a legjobb teljesítmény érdekében minden szimulációhoz 200 000 felhasználót ajánlunk.

A nagy MÉRETŰ CSV-fájlok kezelése vagy sok egyéni címzett hozzáadása nehézkes lehet. A Microsoft Entra csoportok használata leegyszerűsíti a szimuláció általános kezelését.

Tipp

A megosztott postaládák jelenleg nem támogatottak a Támadási szimulációs tréning. A szimulációknak felhasználói postaládákat vagy felhasználói postaládákat tartalmazó csoportokat kell céloznia.

A csoportok ki vannak bontva, és a felhasználók listája a szimuláció, a szimuláció automatizálása vagy a betanítási kampány mentésekor jön létre.

K: Az adott időintervallumban üzembe helyezhető szimulációk számának korlátai?

A. Nem, bár lassúságot tapasztalhat, ha sok párhuzamos szimulációt indít el. A szolgáltatás üzenetsebesség-korlátai a szimulációs üzenetek sebességét is korlátozzák.

K: A Microsoft más nyelveken is biztosít hasznos adatokat?

V: Jelenleg több mint 40 honosított hasznos adat érhető el 29+ nyelven: angol, spanyol, német, japán, francia, portugál, holland, olasz, svéd, kínai (egyszerűsített), norvég Bokmål, lengyel, orosz, finn, koreai, török, magyar, héber, thai, arab, vietnami, szlovák, görög, indonéz, román, szlovén, horvát, katalán és egyéb. Megállapítottuk, hogy a meglévő hasznos adatok más nyelvekre történő közvetlen vagy gépi fordítása pontatlanságokhoz és csökkent relevanciához vezet.

Ennek ellenére létrehozhatja saját hasznos adatait a választott nyelven az egyéni hasznosadat-létrehozási felület használatával. Azt is javasoljuk, hogy gyűjtse be azokat a meglévő hasznos adatokat, amelyeket egy adott földrajzi helyen lévő felhasználók megcélzására használtak. Más szóval hagyja, hogy a támadók honosítják a tartalmat.

K: Hány oktatóvideó érhető el?

A: Jelenleg több mint 85 képzési modul érhető el a tartalomtárban.

K: Hogyan válthatok más nyelvekre a felügyeleti portálon és a betanítási felületen?

A: A Microsoft 365-ben vagy Office 365 a nyelvi konfiguráció minden felhasználói fiókhoz egyedi és központosított. A nyelvi beállítások módosításáról a Megjelenítési nyelv és időzóna módosítása a Microsoft 365 Vállalati verzióban című témakörben olvashat.

A konfigurációmódosítás akár 30 percet is igénybe vehet az összes szolgáltatás közötti szinkronizáláshoz.

K: Elindíthatok egy tesztszimulációt, hogy megértsem, hogyan néz ki, mielőtt elindítanék egy valódi kampányt?

V: Igen. Az új szimulációs varázsló utolsó Szimuláció áttekintése lapján válassza a Teszt küldése lehetőséget. Ez a beállítás adathalász szimulációs mintaüzenetet küld az aktuálisan bejelentkezett felhasználónak. Miután ellenőrizte az adathalász üzenetet a Beérkezett üzenetek mappában, elküldheti a szimulációt.

Tipp

A Teszt küldése a Hasznos adatok lapon is használható. Ha azonban a kiválasztott hasznos adatokat használja egy szimulációban, a tesztüzenet megjelenik az összesített jelentésekben. Exportálhatja az eredményeket, vagy a Microsoft Graph API segítségével szűrheti az eredményeket.

K: Megcélozhatom azokat a felhasználókat, amelyek egy másik szervezethez tartoznak ugyanazon szimulációs kampány részeként?

V: Nem. A szervezetek közötti szimulációk jelenleg nem támogatottak. Ellenőrizze, hogy az összes megcélzott felhasználó ugyanabban a szervezetben van-e. A szervezetközi felhasználók és vendégek ki vannak zárva a szimulációs kampányból.

K: Hogyan működik a régiótudatos kézbesítés?

A: A régióérzékeny kézbesítés a megcélzott felhasználó postaládájának időzóna attribútumával határozza meg, hogy mikor kell kézbesíteni az üzenetet. Az e-mailek kézbesítése ± időeltolása a felhasználó időzónája alapján lehet. Vegyük például a következő forgatókönyvet:

• A csendes-óceáni időzónában (UTC-8) 7:00-kor egy rendszergazda létrehoz és ütemez egy kampányt, amely ugyanazon a napon 9:00-kor kezdődik.
• A UserA a keleti időzónában van (UTC-5).
• A UserB a csendes-óceáni időzónában is található.

Ugyanezen a napon 9:00-kor a rendszer elküldi a szimulációs üzenetet a UserB-nek. Régióbarát kézbesítés esetén az üzenetet a rendszer nem küldi el a UserA-nak ugyanazon a napon, mert a csendes-óceáni idő 9:00 keleti idő szerint 12:00. Ehelyett a rendszer a következő napon keleti idő szerint 9:00-kor küldi el az üzenetet a UserA-nak.

Így egy régióérzékeny kézbesítést engedélyező kampány első futtatásakor úgy tűnhet, hogy a szimulációs üzenetet csak egy adott időzónában lévő felhasználók kapják meg. Ahogy azonban az idő múlásával egyre több felhasználó kerül a hatókörbe, a megcélzott felhasználók száma nő.

Ha nem használ régióalapú kézbesítést, a kampány a beállítást végző felhasználó időzónája alapján indul el.

K: Gyűjt vagy tárol a Microsoft olyan adatokat, amelyeket a felhasználók a Hitelesítő adatok betakarítása bejelentkezési oldalon a Hitelesítő adatok begyűjtése szimulációs technikában használnak?

V: Nem. A hitelesítő adatok begyűjtése bejelentkezési oldalon megadott adatokat a rendszer csendesen elveti. A biztonsági sérülési esemény rögzítéséhez csak a "kattintás" lesz rögzítve. A Microsoft nem gyűjti, naplózza és nem tárolja az ebben a lépésben megadott adatokat.

K: Mennyi ideig őrzi meg a rendszer a szimulációs információkat? Törölhetek szimulációs adatokat?

A: Lásd a következő táblázatot:

Adattípus	Visszatartás
Szimulációs metaadatok	18 hónap, hacsak egy rendszergazda nem törli először a szimulációt.
Szimuláció automatizálása	18 hónap, hacsak egy rendszergazda nem törli először a szimuláció automatizálását.
Hasznos adatok automatizálása	18 hónap, hacsak egy rendszergazda nem törli először a hasznos adatok automatizálását.
Felhasználói tevékenység szimulációs metaadatokban	18 hónap, hacsak egy rendszergazda nem törli először a szimulációt.
Globális hasznos adatok	Megőrzve, kivéve, ha a Microsoft törölte.
Bérlői hasznos adatok	18 hónap, kivéve, ha egy rendszergazda először törli az archivált hasznos adatokat.
Felhasználói tevékenység a betanítási metaadatokban	18 hónap, hacsak egy rendszergazda nem törli először a szimulációt.
Az MDO ajánlott hasznos adatai	6 hónap.
Globális végfelhasználói értesítések	Megőrzve, kivéve, ha a Microsoft törölte.
Bérlő végfelhasználói értesítései	18 hónap, kivéve, ha egy rendszergazda először törli az értesítést.
Globális bejelentkezési oldalak	Megőrzve, kivéve, ha a Microsoft törölte.
Bérlői bejelentkezési oldalak	18 hónap, kivéve, ha egy rendszergazda először törli a bejelentkezési oldalt.
Globális kezdőlapok	Megőrzve, kivéve, ha a Microsoft törölte
Bérlői kezdőlapok	18 hónap, kivéve, ha egy rendszergazda először törli a kezdőlapot.

Ha a teljes bérlőt törli, a támadásszimuláció betanítási adatai 90 nap után törlődnek.

További információt a Office 365 Microsoft Defender adatmegőrzési információi című témakörben talál.

K: Létrehozhatok, megtekinthetek és kezelhetek szimulációkat API-val?

V: Igen. Az olvasási és írási forgatókönyvek a Microsoft Graph API támogatottak:

• AttackSimulation.Read.All:
  • Szimulációs metaadatok olvasása
  • Felhasználói tevékenység olvasása
  • Betanítási adatok olvasása
  • Visszaeső elkövetők olvasása
• AttackSimulation.ReadWrite.All: Szimulációkat futtathat a megadott hasznos adatok, értesítések és bejelentkezési oldalak használatával.

További információ: A Office 365 Microsoft Defender részeként a szimulációk listázása és a Reports API áttekintése a támadásszimuláció betanításához.

K: Törölhetek egyéni hasznos adatokat?

V: Igen. Először archiválja a hasznos adatokat, majd törli az archivált hasznos adatokat. Útmutatásért lásd: Archívum hasznos adatok.

K: Módosíthatom a beépített hasznos adatokat?

A: Nem közvetlenül. Másolhatja a beépített hasznos adatokat, majd módosíthatja a másolatot. Útmutatásért lásd: Hasznos adatok másolása.

K: QR-kódszimulációt próbálok futtatni, de a QR-kód beolvasása a kezdőlap helyett a sikeres pingelést jeleníti meg?

Válasz: Amikor QR-kódot szúr be a hasznosadat-szerkesztőbe, az az Adathalászat hivatkozás kiválasztása szakaszban > kiválasztott alapvető adathalász URL-címre lesz leképezve. A QR-kód képként lesz beszúrva az e-mailbe. Ha a Szöveg lapról a Kód lapra vált, a beszúrt kép Base64 formátumban jelenik meg. A rendszerkép elején a következő található: <div id="QRcode"...>. A szimulációban való használat előtt győződjön meg arról, hogy a kész hasznos adat tartalmazza <div id="QRcode"...> azokat.

A szimuláció létrehozása során, ha beolvassa a QR-kódot, vagy a Teszt küldése paranccsal áttekinti a hasznos adatokat, a QR-kód a kiválasztott alapvető adathalász URL-címre mutat.

Ha a hasznos adatokat egy szimulációban használja, a szolgáltatás a QR-kódot egy dinamikusan generált QR-kódra cseréli a kattintások nyomon követéséhez és a metrikák sérüléséhez. A QR-kód mérete, pozíciója és alakja megegyezik a hasznos adatokban konfigurált konfigurációs beállításokkal. A QR-kód tényleges szimuláció során történő vizsgálata a konfigurált kezdőlapra irányítja.

K: Hasznos adatokat próbálok létrehozni HTML-ben, de úgy tűnik, hogy a hasznosadat-szerkesztő eltávolít bizonyos tartalmakat a tervemből?

A: A hasznosadat-szerkesztő jelenleg nem támogatja a következő HTML-címkéket: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.

K: Mi történik, ha módosítja egy meglévő szimulációban használt tartalmat?

A: A szimulációban használt kulcsfontosságú elemeket a szimulációtól függetlenül módosíthatja. Például:

• Hasznos adatok
• Modul
• Bejelentkezési oldal
• Kezdőlap

A szimuláció tartalmának kiértékelése az indításkor történik, ezért a szimulációban használt tartalom a tartalom módosításakor a szimuláció állapotától függ:

• Aktív vagy Folyamatban: Ez a szimuláció már elindult, így a tartalommódosítások nem lesznek használatban.
• Ütemezett: A szimuláció még nem lett elindítva, ezért a rendszer az indításkor bármilyen tartalommódosítást használ.

K: Mi történik, ha megszakít egy szimulációt, miután már rákattintottak a hasznos adatokra? Ezek a felhasználók továbbra is visszaeső elkövetőknek minősülnek, annak ellenére, hogy a szimulációt törölték?

A visszaeső elkövető olyan felhasználó, akit egymást követő szimulációk veszélyeztettek (lemondtak a hitelesítő adataikról). Az egymást követő szimulációk alapértelmezett értéke kettő, de konfigurálhatja a küszöbértéket.

Ha megszakít egy folyamatban lévő szimulációt, azokat a felhasználókat, akik a lemondás előtt ták meg a hitelesítő adataikat, visszaesőnek számít, vagy a jelentésekben feltörik őket.