攻撃シミュレーション トレーニングの展開に関する考慮事項と FAQ
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
攻撃シミュレーション トレーニングを使用すると、Microsoft 365 E5または Microsoft Defender for Office 365 Plan 2 組織は、実際の無害なフィッシング ペイロードを利用したフィッシング シミュレーションの作成と管理を可能にすることで、ソーシャル エンジニアリング リスクを測定および管理できます。 Terranova セキュリティと提携して提供されるハイパーターゲット トレーニングは、知識の向上と従業員の行動の変更に役立ちます。
攻撃シミュレーション トレーニングの概要の詳細については、「攻撃シミュレーション トレーニングの使用を開始する」を参照してください。
シミュレーションの作成とスケジューリングのエクスペリエンスは、自由に流れ、摩擦のない設計になっていますが、エンタープライズ 規模でのシミュレーションには計画が必要です。 この記事は、お客様が独自の環境でシミュレーションを実行する場合に発生する特定の課題に対処するのに役立ちます。
エンド ユーザー エクスペリエンスに関する問題
Google セーフ ブラウズによってブロックされたフィッシング シミュレーション URL
URL 評判サービスでは、攻撃シミュレーション トレーニングによって使用される 1 つ以上の URL が安全でないと識別される場合があります。 Google Chrome の Google セーフ ブラウズでは、 詐欺サイトの先行 メッセージを含むシミュレートされたフィッシング URL の一部がブロックされます。 多くの URL 評判ベンダーと連携して、シミュレーション URL を常に許可していますが、常に完全なカバレッジを提供するとは限りません。
この問題は Microsoft Edge には影響しません。
計画フェーズの一環として、フィッシング キャンペーンで URL を使用する前に、サポートされている Web ブラウザーで URL の可用性をチェックしてください。 Google セーフ ブラウズによって URL がブロックされている場合は、Google の このガイダンスに従って URL へのアクセスを許可します。
攻撃シミュレーション トレーニングで現在使用されている URL の一覧については、「攻撃シミュレーション トレーニングの使用を開始する」を参照してください。
ネットワーク プロキシ ソリューションとフィルター ドライバーによってブロックされるフィッシング シミュレーションと管理者 URL
フィッシング シミュレーション URL と管理 URL の両方が、中間セキュリティ デバイスまたはフィルターによってブロックまたは削除される可能性があります。 以下に例を示します。
- ファイアウォール
- Web Application Firewall (WAF) ソリューション
- サード パーティ製フィルター ドライバー (カーネル モード フィルターなど)
このレイヤーでブロックされているお客様はほとんどいませんが、これは発生します。 問題が発生した場合は、必要に応じて、セキュリティ デバイスまたはフィルターによるスキャンをバイパスするように次の URL を構成することを検討してください。
- 「攻撃シミュレーション トレーニングの使用を開始する」で説明されているシミュレートされたフィッシング URL。
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
すべてのターゲット ユーザーに配信されないシミュレーション メッセージ
シミュレーションの電子メール メッセージを実際に受信するユーザーの数が、シミュレーションの対象となるユーザーの数よりも少ない可能性があります。 次の種類のユーザーは、ターゲット検証の一部として除外されます。
- 受信者のメール アドレスが無効です。
- ゲスト ユーザー。
- Microsoft Entra IDでアクティブでなくなったユーザー。
配布グループまたはメールが有効なセキュリティ グループを使用してユーザーをターゲットにする場合は、PowerShell のGet-DistributionGroupMember コマンドレットExchange Online使用して、配布グループのメンバーを表示および検証できます。
トレーニングが予期せず割り当てられたか、ユーザーに割り当てられない
トレーニング キャンペーンのトレーニングしきい値は、ユーザーが特定の間隔 (既定では 90 日間) に同じトレーニングを割り当てることを防ぎます。 詳細については、「 トレーニングのしきい値を設定する」を参照してください。
トレーニング割り当て値 [Assign training for Me (推奨)] を使用してシミュレーションまたはシミュレーション自動化を作成した場合は、ユーザーの以前のシミュレーションとトレーニング結果に基づいてトレーニングを割り当てます。 特定の条件に基づいてトレーニングを割り当てるには、[ トレーニング コースとモジュールを自分で選択する] を選択します。
ユーザーがシミュレーション メッセージに応答したり、シミュレーション メッセージを転送したりするとどうなりますか?
ユーザーがシミュレーション メッセージに返信したり、別のメールボックスに転送したりした場合、メッセージは通常のメール メッセージ (安全なリンクや安全な添付ファイルによる爆発を含む) のように扱われます。 シミュレーション レポートには、シミュレーション メッセージが返信されたか転送されたかが表示されます。 シミュレーション メール内の各 URL は個々のユーザーに関連付けられているため、安全なリンクの爆発はユーザーによるクリックとして識別されます。
専用のセキュリティ操作 (SecOps) メールボックスを使用する場合は、メッセージがフィルター処理されていない状態で配信されるように、 高度な配信ポリシー で SecOps として識別してください。
シミュレーション メッセージの配信を時間差にするにはどうすればよいですか?
- シミュレーションでは、 リージョンに対応した配信が提供されます。
- シミュレーション自動化には、配信をランダム化し、その他の配信の詳細を構成できる シミュレーション スケジュール ページ があります。
いずれの場合も、ユーザー間のディスカッションと識別を避けるために、異なるペイロードを使用することが重要です。
シミュレーション メッセージ内の画像が Outlook によってブロックされるのはなぜですか?
既定では、Outlook はインターネットからのメッセージの自動画像ダウンロードをブロックするように構成されています。 画像を自動的にダウンロードするように Outlook を構成することはできますが、セキュリティへの影響 (悪意のあるコードや Web バグ (Web ビーコンまたは追跡ピクセルとも呼ばれます) の自動ダウンロードの可能性があるため、お勧めしません。
シミュレーション メッセージでリンクをクリックしなかったと主張したユーザーからのクリックまたは侵害イベントが表示されるか、多くのユーザー (誤検知) の配信から数秒以内にクリックが表示されます。 何が起こっているのでしょうか?
これらのイベントは、追加のセキュリティ デバイスまたはアプリケーションがシミュレーション メッセージを検査するときに発生する可能性があります。 たとえば (ただし、これらに限定されません):
- メッセージを検査またはインターセプトする Outlook 内のアプリケーションまたはプラグイン。
- セキュリティ アプリケーションをEmailします。
- エンドポイント セキュリティまたはウイルス対策ソフトウェア。
- 報告されたメッセージを自動的にトリアージまたは自動的に応答するセキュリティ オーケストレーション、オートメーション、応答 (SOAR) プレイブック。
これらの種類のアプリケーションでは、Web コンテンツを見てフィッシングを検出できるため、これらのアプリケーションでシミュレーション メッセージの除外を定義する必要があります。
EmailLinkClicked_IPデータとEmailLinkClicked_TimeStampデータは、イベントの詳細を提供する場合があります。 たとえば、配信の数秒後にクリックが発生し、IP アドレスが Microsoft、会社、またはユーザーに属していない場合、サード パーティのフィルター システムまたは別のサービスがメッセージを傍受した可能性があります。
Microsoft 以外のフィルタリング システムまたはサービスの場合は、次の項目を許可または除外する必要があります。
- すべての攻撃シミュレーション トレーニング URL と対応するドメイン。 現時点では、IP アドレスの静的な一覧からシミュレーション メッセージを送信しません。
- カスタム ペイロードで使用するその他のドメイン。
外部タグまたは安全に関するヒントをシミュレーション メッセージに追加できますか?
カスタム ペイロードには、メッセージに External タグを追加するオプションがあります。 詳細については、「 ペイロードの作成」の手順 5 を参照してください。
ペイロードに安全性のヒントを追加するための組み込みオプションはありませんが、ペイロードセットアップ ウィザードの [ペイロードの構成] ページで次の方法を使用できます。
安全ヒントをテンプレートとして含む既存の電子メール メッセージを使用します。 メッセージを HTML として保存し、情報をコピーします。
最初の接触安全ヒントには、次のサンプル コードを使用します。
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
ユーザーをシミュレーションに入れずにトレーニング モジュールを割り当てることができますか?
はい。 詳細については、「攻撃シミュレーション トレーニングでのトレーニング キャンペーン」を参照してください。
配信されなかったシミュレーション メッセージについて調べる操作方法
シミュレーションの [ユーザー] タブ は、[ シミュレーション メッセージ配信: 配信に失敗しました] でフィルター処理できます。
送信者ドメインを所有している場合、配信不能シミュレーション レポートは配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) で返されます。 NDR のコードの詳細については、「Exchange Onlineの配信不能レポートと SMTP エラーのEmail」を参照してください。
攻撃シミュレーション トレーニングレポートに関する問題
ヒント
シミュレーション データの記録は、シミュレーションが開始されてから数分後、ユーザーがシミュレーション メッセージの操作を開始した後に開始されます。 開始時刻は固定されません。 イベントは、シミュレーションの終了後もキャプチャされます。
攻撃シミュレーション トレーニング レポートやその他のレポートからのユーザー アクティビティ データの違い
シミュレーション メッセージに関連するユーザー アクティビティのレポートには、 組み込みのシミュレーション レポートを使用することをお勧めします。 他のソースからのレポート ( 高度なハンティングなど) が正確でない可能性があります。
シミュレーション URL は安全なリンクによってラップされず、ラップされていないリンクと見なされます。 ラップされていないリンクをクリックしても安全なリンクが表示されるわけではないため、シミュレーション メッセージに関連するユーザー アクティビティが UrlClickEvents ログに記録されない可能性があります。
攻撃シミュレーション トレーニング レポートにアクティビティの詳細が含まれていない
攻撃シミュレーション トレーニングには、従業員の脅威に対する準備状況の進捗状況を常に把握できる、豊富で実用的な分析情報が用意されています。 攻撃シミュレーション トレーニングレポートにデータが入力されていない場合は、organizationで監査ログが有効になっていることを確認します (既定ではオンになっています)。
イベントをキャプチャ、記録、読み取ることができるように、攻撃シミュレーション トレーニングでは監査ログが必要です。 監査ログをオフにすると、攻撃シミュレーション トレーニングに次の結果が生じることがあります。
- レポート データは、すべてのレポートで使用できるわけではありません。 レポートは空で表示されます。
- データを使用できないため、トレーニングの割り当てはブロックされます。
監査ログが有効になっていることを確認するか、有効にするには、「 監査のオンとオフを切り替える」を参照してください。
ヒント
空のアクティビティの詳細は、E5 ライセンスがユーザーに割り当てられていないことも原因です。 少なくとも 1 つの E5 ライセンスがアクティブ ユーザーに割り当てられていることを確認して、レポート イベントがキャプチャされて記録されていることを確認します。
ユーザーアクションと管理者アクションが監査されます。 管理アクティビティ API で、 AuditLogRecordType 値 85、88、および 218 を探します。
一部の監査情報は、Defender ポータルまたはストリーミング API を使用して、Microsoft Defender XDR Advanced ハンティングの CloudAppEvents テーブルでも使用できる場合があります。
オンプレミスメールボックスに関する問題の報告
攻撃シミュレーション トレーニングでは、オンプレミスのメールボックスがサポートされていますが、レポート機能が低下しています。
- ユーザーがシミュレーションメールを読み取り、転送、または削除したかどうかに関するデータは、オンプレミスのメールボックスでは使用できません。
- シミュレーション電子メールを報告したユーザーの数は、オンプレミスのメールボックスでは使用できません。
ヒント
Microsoft 365 のトランスポート パイプラインと直接挿入を介して送信されるシミュレーション メッセージ以外、トレーニング、自動化、コンテンツ管理のエクスペリエンスは、オンプレミスのメールボックスでも同じです。
シミュレーション レポートはすぐに更新されない
詳細なシミュレーション レポートは、キャンペーンを開始した直後には更新されません。 ご安心ください;この動作が予想されます。
すべてのシミュレーション キャンペーンにはライフサイクルがあります。 最初に作成されると、シミュレーションは スケジュールされた 状態になります。 シミュレーションが開始されると、[ 進行中 ] 状態に遷移します。 完了すると、シミュレーションは 完了 状態に遷移します。
シミュレーションが スケジュールされた 状態にある間、シミュレーション レポートはほとんど空です。 この段階では、シミュレーション エンジンはターゲット ユーザーのメール アドレスの解決、配布グループの拡張、一覧からのゲスト ユーザーの削除などを行います。
シミュレーションが [進行中 ] ステージに入ると、情報がレポートに取り込み始めます。
![[進行中] 状態のシミュレーションを示すシミュレーションの詳細](media/attack-sim-training-faq-in-progress-state.png#lightbox)
個々のシミュレーション レポートが [進行中 ] 状態に移行した後に更新されるまでに最大 30 分かかることがあります。 レポート データは、シミュレーションが 完了 状態になるまでビルドを続けます。 レポートの更新は、次の間隔で行われます。
- 最初の 60 分間は 10 分ごとに。
- 60 分後 15 分ごとに 2 日まで。
- 2 日後 30 分ごとに 7 日まで。
- 7 日後の 60 分ごとに。
[概要] ページのウィジェットは、時間の経過に伴うorganizationのシミュレーションベースのセキュリティ態勢の迅速なスナップショットを提供します。 これらのウィジェットは、全体的なセキュリティ体制と時間の経過に伴う体験を反映するため、各シミュレーション キャンペーンが完了すると更新されます。
注:
さまざまなレポート ページの [エクスポート] オプションを使用して、データを抽出できます。
ユーザーによってフィッシングとして報告されたメッセージがシミュレーション レポートに表示されない
攻撃シミュレーター トレーニングのシミュレーション レポートでは、ユーザー アクティビティの詳細が提供されます。 以下に例を示します。
- メッセージ内のリンクをクリックしたユーザー。
- 資格情報をあきらめたユーザー。
- メッセージをフィッシングとして報告したユーザー。
ユーザーがフィッシングとして報告したメッセージが攻撃シミュレーション トレーニングシミュレーション レポートにキャプチャされない場合は、報告されたメッセージの Microsoft への配信をブロックしている Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) が存在する可能性があります。 メール フロー ルールが、次のメール アドレスへの配信をブロックしていないことを確認します。
junk@office365.microsoft.comabuse@messaging.microsoft.comphish@office365.microsoft.comnot_junk@office365.microsoft.com
シミュレートされたメッセージを報告した後、ユーザーにトレーニングが割り当てられます
ユーザーがフィッシング シミュレーション メッセージを報告した後にトレーニングが割り当てられている場合は、チェック、organizationがレポート メールボックスを使用して でhttps://security.microsoft.com/securitysettings/userSubmissionユーザーから報告されたメッセージを受信するかどうかを確認します。 レポート メールボックスの前提条件で説明されているように、多くのセキュリティ チェックをスキップするように レポート メールボックスを構成する必要があります。
カスタム レポート メールボックスに必要な除外を構成しない場合、メッセージは安全なリンクまたは安全な添付ファイル保護によって爆発し、トレーニングの割り当てが発生する可能性があります。
その他のよく寄せられる質問
Q: シミュレーション キャンペーンのターゲットユーザーに推奨される方法は何ですか?
A: ターゲット ユーザーには、いくつかのオプションを使用できます。
- すべてのユーザーを含めます (現在、40,000 人未満のユーザーを持つ組織で使用できます)。
- 特定のユーザーを選択します。
- CSV ファイルからユーザーを選択します (1 行に 1 つのメール アドレス)。
- グループベースのターゲット設定をMicrosoft Entraします。 次のグループの種類がサポートされています。
- Microsoft 365 グループ (静的および動的)
- 配布グループ (静的のみ)
- メールが有効なセキュリティ グループ (静的のみ)
ターゲットユーザーがMicrosoft Entraグループによって識別されるキャンペーンは、管理が容易であることがわかります。
Q: トレーニング モジュールの数はいくつですか?
現在、[トレーニング モジュール] ページには 94 個の組み込み トレーニングがあります 。
Q: トレーニング モジュールや通知などのエクスペリエンスに言語はどのように使用されますか?
- トレーニング モジュール: ブラウザーのロケール設定が使用されます。 ただし、トレーニングがユーザーに割り当てられると、言語の選択が維持され、その言語で将来のトレーニングが割り当てられます。
- エンド ユーザー通知: メールボックスのロケール/言語設定が使用されます。
- シミュレーション プレイロード: 作成時に管理者が選択した言語が使用されます。
- ランディング ページ: Microsoft 365 アカウントの言語設定が使用されます。 ユーザーは、ランディング ページにあるドロップダウンから言語を変更することもできます。
Q: CSV からのインポートまたはユーザーの追加中にユーザーをターゲットにすることに制限はありますか?
A: CSV ファイルから受信者をインポートするか、個々の受信者をシミュレーションに追加するための制限は 40,000 です。
受信者には、個々のユーザーまたはグループを指定できます。 グループには、数百または数千の受信者が含まれている可能性があります。 ユーザー数の上限は 400,000 ですが、最適なパフォーマンスを得るには、シミュレーションごとに 200,000 人のユーザーを制限することをお勧めします。
大きな CSV ファイルを管理したり、多数の個々の受信者を追加したりするのは面倒な場合があります。 Microsoft Entra グループを使用すると、シミュレーションの全体的な管理が簡略化されます。
ヒント
現在、共有メールボックスは攻撃シミュレーション トレーニングではサポートされていません。 シミュレーションでは、ユーザー メールボックスまたはユーザー メールボックスを含むグループをターゲットにする必要があります。
グループが拡張され、シミュレーション、シミュレーションの自動化、またはトレーニング キャンペーンを保存するときにユーザーの一覧が生成されます。
Q: 特定の期間にデプロイできるシミュレーションの数の制限はありますか?
A. いいえ。ただし、多くの並列シミュレーションを起動すると低速になる可能性があります。 メッセージ レート (シミュレーション メッセージ レートを含む) は、 サービスのメッセージ レート制限によって制限されます。
Q: Microsoft は他の言語でペイロードを提供していますか?
A: 現在、英語、スペイン語、ドイツ語、日本語、フランス語、ポルトガル語、オランダ語、イタリア語、スウェーデン語(簡体字)、ノルウェー語、ボクマル、ポーランド語、ロシア語、フィンランド語、韓国語、トルコ語、ハンガリー語、ヘブライ語、タイ語、アラビア語、ベトナム語、スロバキア語、ギリシャ語、インドネシア語、ルーマニア語、スロベニア語、クロアチア語、カタロニア語、その他の 40 以上のローカライズされたペイロードがあります。 既存のペイロードを他の言語に直接または機械翻訳すると、不正確になり、関連性が低下すると判断されました。
つまり、カスタム ペイロード作成エクスペリエンスを使用して、任意の言語で独自のペイロードを作成できます。 また、特定の地域のユーザーをターゲットにするために使用された既存のペイロードを収集することも強くお勧めします。 つまり、攻撃者がコンテンツをローカライズできるようにします。
Q: 利用できるトレーニング ビデオの数はいくつですか?
A: 現在、コンテンツ ライブラリには 85 を超えるトレーニング モジュールが用意されています。
Q: 管理ポータルとトレーニングエクスペリエンスのために他の言語に切り替えるにはどうすればよいですか?
A: Microsoft 365 または Office 365では、言語構成はユーザー アカウントごとに固有で一元化されています。 言語設定を変更する方法については、「 Microsoft 365 for Business で表示言語とタイム ゾーンを変更する」を参照してください。
構成の変更は、すべてのサービス間で同期するまでに最大 30 分かかる場合があります。
Q: 本格的なキャンペーンを開始する前に、テスト シミュレーションをトリガーして、どのように見えるかを理解できますか?
A: はい、可能です。 新しいシミュレーション ウィザードの最後の [シミュレーションの確認 ] ページで、[ テストの送信] を選択します。 このオプションは、現在ログインしているユーザーにサンプル フィッシング シミュレーション メッセージを送信します。 受信トレイでフィッシング メッセージを検証した後、シミュレーションを送信できます。
![[シミュレーションの確認] ページの [テストの送信] ボタン](media/attack-sim-training-simulations-review-simulation.png#lightbox)
ヒント
[ペイロード] ページから [テストの送信] を使用することもできます。 ただし、選択したペイロードをシミュレーションで使用した場合は、集計レポートにテスト メッセージが表示されます。 結果をエクスポートするか、Microsoft Graph APIを使用して結果をフィルター処理できます。
Q: 同じシミュレーション キャンペーンの一環として、別のテナントに属しているユーザーをターゲットにすることはできますか?
回答: いいえ。 現時点では、テナント間シミュレーションはサポートされていません。 対象となるすべてのユーザーが同じテナント内にあることを確認します。 テナント間ユーザーまたはゲスト ユーザーは、シミュレーション キャンペーンから除外されます。
Q: リージョン対応の配信のしくみ
A: リージョン対応配信では、対象ユーザーのメールボックスのタイム ゾーン属性を使用して、メッセージを配信するタイミングを決定します。 ユーザーのタイム ゾーンに基づいて、電子メール配信で 1 時間±の時間差がある場合があります。 たとえば、次のようなシナリオについて考えてみます。
- 太平洋タイム ゾーン (UTC-8) の午前 7 時に、管理者はキャンペーンを作成し、同じ日の午前 9 時に開始するようにスケジュールします。
- UserA は東部タイム ゾーン (UTC-5) にあります。
- UserB は太平洋タイム ゾーンにも含まれます。
同じ日の午前 9 時に、シミュレーション メッセージが UserB に送信されます。 リージョン対応の配信では、太平洋標準時の午前 9:00 は東部標準時の午後 12:00 であるため、メッセージは同じ日に UserA に送信されません。 代わりに、メッセージは翌日の午前 9 時 (東部標準時) に UserA に送信されます。
そのため、リージョン対応配信が有効になっているキャンペーンの最初の実行では、シミュレーション メッセージが特定のタイム ゾーンのユーザーにのみ送信されたように見える場合があります。 ただし、時間が経過し、スコープに入るユーザーが増えるにつれて、対象ユーザーが増えます。
リージョン対応配信を使用しない場合、キャンペーンは設定しているユーザーのタイム ゾーンに基づいて開始されます。
Q: Microsoft は、資格情報の収集シミュレーション手法で使用される [Credential Harvest サインイン] ページでユーザーが入力した情報を収集または格納しますか?
回答: いいえ。 資格情報の収集サインイン ページで入力された情報はすべて、サイレントで破棄されます。 "クリック" のみが記録され、侵害イベントがキャプチャされます。 Microsoft では、この手順でユーザーが入力した詳細を収集、ログ記録、または保存しません。
Q: シミュレーション情報はどのくらいの期間保持されますか? シミュレーション データを削除できますか?
A: 次の表を参照してください。
| データ型 | 保持 |
|---|---|
| シミュレーション メタデータ | シミュレーションが管理者によって早く削除されない限り、18 か月。 |
| シミュレーションの自動化 | シミュレーションの自動化が管理者によって早く削除されない限り、18 か月。 |
| ペイロードの自動化 | ペイロードの自動化が管理者によって早く削除されない限り、18 か月。 |
| シミュレーション メタデータのユーザー アクティビティ | シミュレーションが管理者によって早く削除されない限り、18 か月。 |
| グローバル ペイロード | Microsoft によって削除されない限り永続化されます。 |
| テナント ペイロード | アーカイブされたペイロードが管理者によって早く削除されない限り、18 か月。 |
| トレーニング メタデータのユーザー アクティビティ | シミュレーションが管理者によって早く削除されない限り、18 か月。 |
| 推奨されるペイロードをMDOする | 6 か月。 |
| グローバル エンド ユーザー通知 | Microsoft によって削除されない限り永続化されます。 |
| テナント エンド ユーザー通知 | 通知が管理者によって早く削除されない限り、18 か月。 |
| グローバル ログイン ページ | Microsoft によって削除されない限り永続化されます。 |
| テナント ログイン ページ | ログイン ページが管理者によって早く削除されない限り、18 か月。 |
| グローバル ランディング ページ | Microsoft によって削除されない限り永続化されます |
| テナント ランディング ページ | ランディング ページが管理者によって早く削除されない限り、18 か月。 |
テナント全体が削除された場合、攻撃シミュレーションのトレーニング データは 90 日後に削除されます。
詳細については、「Microsoft Defender for Office 365のデータ保持情報」を参照してください。
Q: API を使用してシミュレーションを作成、表示、管理できますか?
A:はい、できます。 読み取りと書き込みのシナリオは、Microsoft Graph APIを使用してサポートされています。
-
AttackSimulation.Read.All:- シミュレーション メタデータの読み取り
- ユーザー アクティビティの読み取り
- トレーニング データの読み取り
- 繰り返し違反者の読み取り
-
AttackSimulation.ReadWrite.All: 指定したペイロード、通知、ログイン ページを使用してシミュレーションを実行します。
詳細については、「Microsoft Defender for Office 365の一部として、攻撃シミュレーション トレーニングのシミュレーションとレポート API の概要を一覧表示する」を参照してください。
Q: カスタム ペイロードを削除できますか?
A:はい、できます。 最初にペイロードをアーカイブしてから、アーカイブされたペイロードを削除します。 手順については、「 ペイロードのアーカイブ」を参照してください。
Q: 組み込みのペイロードを変更できますか?
A: 直接ではありません。 組み込みのペイロードをコピーし、コピーを変更できます。 手順については、「 ペイロードのコピー」を参照してください。
Q: QR コード シミュレーションを実行しようとしていますが、QR コードをスキャンすると、ランディング ページではなく "ping 成功" と表示されますか?
A: ペイロード エディターに QR コードを挿入すると、[フィッシング リンク] セクションの [URL の選択] で>選択したベース フィッシング URL にマップされます。 QR コードは、電子メール メッセージに画像として挿入されます。 [ テキスト ] タブから [ コード ] タブに切り替えると、挿入されたイメージが Base64 形式で表示されます。 イメージの先頭には が <div id="QRcode"...>含まれています。 シミュレーションで使用する前に、完成したペイロードに含まれていること <div id="QRcode"...> を確認してください。
シミュレーションの作成時に、QR コードをスキャンするか、[テストの 送信] を使用してペイロードを確認した場合、QR コードは選択したベース フィッシング URL を指します。
ペイロードがシミュレーションで使用されると、サービスは QR コードを動的に生成された QR コードに置き換えて、クリックと侵害のメトリックを追跡します。 QR コードのサイズ、位置、および形状は、ペイロードで構成した構成オプションと一致します。 実際のシミュレーション中に QR コードをスキャンすると、構成されたランディング ページに移動します。
Q: HTML でペイロードを作成しようとしていますが、ペイロード エディターがデザインから特定のコンテンツを削除しているようですか?
A: 現在、ペイロード エディターでは、次の HTML タグはサポートされていません。 applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title