공격 시뮬레이션 교육 배포 고려 사항 및 FAQ
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
공격 시뮬레이션 훈련 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 계획 2 조직이 실제 무해한 피싱 페이로드로 구동되는 피싱 시뮬레이션을 만들고 관리할 수 있도록 하여 소셜 엔지니어링 위험을 측정하고 관리할 수 있습니다. Terranova 보안과 협력하여 제공되는 하이퍼 타겟 교육은 지식을 개선하고 직원 행동을 변경하는 데 도움이 됩니다.
공격 시뮬레이션 훈련 시작하는 방법에 대한 자세한 내용은 공격 시뮬레이션 훈련 사용을 참조하세요.
시뮬레이션 만들기 및 예약 환경은 자유롭게 흐르고 마찰이 없도록 설계되지만 엔터프라이즈 규모의 시뮬레이션에는 계획이 필요합니다. 이 문서는 고객이 자체 환경에서 시뮬레이션을 실행할 때 발생하는 특정 문제를 해결하는 데 도움이 됩니다.
최종 사용자 환경 문제
Google Safe 브라우징에 의해 차단된 피싱 시뮬레이션 URL
URL 평판 서비스는 공격 시뮬레이션 훈련 사용하는 하나 이상의 URL을 안전하지 않은 것으로 식별할 수 있습니다. Google Chrome의 Google Safe 브라우징은 미리 기만적인 사이트 메시지와 함께 시뮬레이션된 피싱 URL 중 일부를 차단합니다. 시뮬레이션 URL을 항상 허용하기 위해 많은 URL 평판 공급업체와 협력하지만 항상 전체 범위가 있는 것은 아닙니다.
이 문제는 Microsoft Edge에 영향을 주지 않습니다.
계획 단계의 일부로 피싱 캠페인에서 URL을 사용하기 전에 지원되는 웹 브라우저에서 URL의 가용성을 검사 합니다. Google 안전 검색에 의해 URL이 차단된 경우 Google의 이 지침에 따라 URL에 대한 액세스를 허용합니다.
공격 시뮬레이션 훈련 현재 사용되는 URL 목록은 공격 시뮬레이션 훈련 사용 시작을 참조하세요.
네트워크 프록시 솔루션 및 필터 드라이버에 의해 차단된 피싱 시뮬레이션 및 관리 URL
중간 보안 디바이스 또는 필터에 의해 피싱 시뮬레이션 URL과 관리자 URL이 모두 차단되거나 삭제될 수 있습니다. 예:
- 방화벽
- WAF(Web Application Firewall) 솔루션
- 타사 필터 드라이버(예: 커널 모드 필터)
이 계층에서 차단되는 고객을 거의 못했습니다. 문제가 발생하는 경우 필요에 따라 보안 디바이스 또는 필터의 검사를 무시하도록 다음 URL을 구성하는 것이 좋습니다.
- 공격 시뮬레이션 훈련 사용 시작에 설명된 대로 시뮬레이션된 피싱 URL입니다.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
시뮬레이션 메시지가 모든 대상 사용자에게 전달되지 않음
실제로 시뮬레이션 전자 메일 메시지를 받는 사용자 수가 시뮬레이션의 대상이 된 사용자 수보다 적을 수 있습니다. 다음 유형의 사용자는 대상 유효성 검사의 일부로 제외됩니다.
- 받는 사람 전자 메일 주소가 잘못되었습니다.
- 게스트 사용자.
- Microsoft Entra ID 더 이상 활성화되지 않은 사용자입니다.
메일 그룹 또는 메일 사용 가능 보안 그룹을 사용하여 사용자를 대상으로 지정하는 경우 Exchange Online PowerShell의 Get-DistributionGroupMember cmdlet을 사용하여 메일 그룹 구성원을 보고 유효성을 검사할 수 있습니다.
사용자에게 예기치 않게 할당되거나 할당되지 않은 교육
학습 캠페인의 학습 임계값은 사용자가 특정 간격(기본적으로 90일) 동안 동일한 학습을 할당하지 못하도록 합니다. 자세한 내용은 학습 임계값 설정을 참조하세요.
학습 할당 값이 있는 시뮬레이션 또는 시뮬레이션 자동화 를 만든 경우 학습 할당(권장)은 사용자의 이전 시뮬레이션 및 학습 결과를 기반으로 학습을 할당합니다. 특정 기준에 따라 학습을 할당하려면 학습 과정 및 모듈 선택을 직접 선택합니다.
사용자가 시뮬레이션 메시지에 회신하거나 전달하면 어떻게 되나요?
사용자가 다른 사서함에 회신하거나 시뮬레이션 메시지를 전달하는 경우 메시지는 일반 전자 메일 메시지(안전한 링크 또는 안전한 첨부 파일에 의한 폭발 포함)처럼 처리됩니다. 시뮬레이션 보고서에는 시뮬레이션 메시지가 회신되었는지 또는 전달되었는지가 표시됩니다. 시뮬레이션 전자 메일의 각 URL은 개별 사용자에 연결되므로 안전한 링크 폭발은 사용자가 클릭으로 식별합니다.
SecOps(전용 보안 작업) 사서함을 사용하는 경우 메시지가 필터링되지 않도록 고급 배달 정책 에서 SecOps로 식별해야 합니다.
시뮬레이션 메시지 배달을 어떻게 엇갈릴 수 있나요?
- 시뮬레이션은 지역 인식 제공을 제공합니다.
- 시뮬레이션 자동화에는 배달을 임의로 지정하고 다른 배달 세부 정보를 구성할 수 있는 시뮬레이션 일정 페이지 가 있습니다.
어느 쪽이든 사용자 간의 토론과 식별을 피하기 위해 다른 페이로드를 사용하는 것이 중요합니다.
Outlook에서 시뮬레이션 메시지의 이미지가 차단되는 이유는 무엇인가요?
기본적으로 Outlook은 인터넷의 메시지에서 자동 이미지 다운로드를 차단하도록 구성됩니다. Outlook에서 이미지를 자동으로 다운로드하도록 구성할 수 있지만 보안 영향(웹 비콘 또는 추적 픽셀이라고도 하는 악성 코드 또는 웹 버그의 잠재적 자동 다운로드)으로 인해 권장하지 않습니다.
시뮬레이션 메시지에서 링크를 클릭하지 않았다고 주장하는 사용자의 클릭 또는 손상 이벤트가 표시됩니다.
타사 필터링 서비스는 블레임 수 있습니다. 사용하는 비 Microsoft 필터링 시스템의 경우 다음 항목을 허용하거나 제외해야 합니다.
- 모든 공격 시뮬레이션 훈련 URL 및 해당 도메인. 현재는 고정 IP 주소 목록에서 시뮬레이션 메시지를 보내지 않습니다.
- 사용자 지정 페이로드에 사용하는 다른 모든 도메인.
시뮬레이션 메시지에 외부 태그 또는 안전 팁을 추가할 수 있나요?
사용자 지정 페이로드에는 메시지에 외부 태그를 추가하는 옵션이 있습니다. 자세한 내용은 페이로드 만들기의 5단계를 참조하세요.
페이로드에 안전 팁을 추가하는 기본 제공 옵션은 없지만 페이로드 설정 마법사의 페이로드 구성 페이지에서 다음 방법을 사용할 수 있습니다.
안전 팁이 포함된 기존 전자 메일 메시지를 템플릿으로 사용합니다. 메시지를 HTML로 저장하고 정보를 복사합니다.
첫 번째 연락처 안전 팁에 다음 샘플 코드를 사용합니다.
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
시뮬레이션을 통해 사용자를 배치하지 않고 학습 모듈을 할당할 수 있나요?
예. 자세한 내용은 공격 시뮬레이션 훈련 캠페인 교육을 참조하세요.
어떻게 할까요? 전달되지 않은 시뮬레이션 메시지에 대해 알아보시나요?
시뮬레이션에 대한 사용자 탭 은 시뮬레이션 메시지 배달: 배달 실패로 필터링할 수 있습니다.
보낸 사람 도메인을 소유한 경우 배달되지 않은 시뮬레이션 보고서가 배달되지 않는 보고서(NDR 또는 반송 메시지라고도 함)에 반환됩니다. NDR의 코드에 대한 자세한 내용은 Exchange Online 배달 외 보고서 및 SMTP 오류 Email 참조하세요.
공격 시뮬레이션 훈련 보고 관련 문제
팁
시뮬레이션 데이터 기록은 시뮬레이션이 시작된 후와 사용자가 시뮬레이션 메시지와 상호 작용을 시작한 후 몇 분 후에 시작됩니다. 고정된 시작 시간이 없습니다. 이벤트는 시뮬레이션이 종료된 후에도 계속 캡처됩니다.
공격 시뮬레이션 훈련 보고서 및 기타 보고서와 사용자 활동 데이터의 차이점
시뮬레이션 메시지와 관련된 사용자 활동에 대한 보고의 경우 기본 제공 시뮬레이션 보고서를 사용하는 것이 좋습니다. 다른 원본(예: 고급 헌팅)의 보고서가 정확하지 않을 수 있습니다.
시뮬레이션 URL은 안전한 링크로 래핑되지 않으며 래핑되지 않은 링크로 간주됩니다. 래핑되지 않은 링크의 모든 클릭이 안전한 링크를 통과하는 것은 아니므로 시뮬레이션 메시지와 관련된 사용자 활동이 UrlClickEvents 로그에 기록되지 않을 수 있습니다.
공격 시뮬레이션 훈련 보고서에 활동 세부 정보가 포함되어 있지 않습니다.
공격 시뮬레이션 훈련 직원의 위협 준비 진행 상황을 계속 알려주는 다양하고 실행 가능한 인사이트를 제공합니다. 공격 시뮬레이션 훈련 보고서가 데이터로 채워지지 않으면 감사 로깅이 organization 설정되어 있는지 확인합니다(기본적으로 켜져 있음).
이벤트를 캡처, 기록 및 다시 읽을 수 있도록 공격 시뮬레이션 훈련 감사 로깅이 필요합니다. 감사 로깅을 해제하면 공격 시뮬레이션 훈련 다음과 같은 결과가 발생할 수 있습니다.
- 보고 데이터는 모든 보고서에서 사용할 수 없습니다. 보고서가 비어 있는 것처럼 보입니다.
- 데이터를 사용할 수 없으므로 학습 할당이 차단됩니다.
감사 로깅이 켜져 있는지 확인하거나 켜려면 감사 켜기 또는 끄기를 참조하세요.
팁
빈 활동 세부 정보는 사용자에게 할당되는 E5 라이선스가 없기 때문에 발생합니다. 보고 이벤트가 캡처되고 기록되는지 확인하기 위해 활성 사용자에게 하나 이상의 E5 라이선스가 할당되었는지 확인합니다.
사용자 작업 및 관리자 작업이 감사됩니다. 관리 활동 API에서 AuditLogRecordType 값 85, 88 및 218을 찾습니다.
일부 감사 정보는 Defender 포털 또는 스트리밍 API를 통해 Microsoft Defender XDR 고급 헌팅의 CloudAppEvents 테이블에서도 사용할 수 있습니다.
온-프레미스 사서함 관련 문제 보고
공격 시뮬레이션 훈련 온-프레미스 사서함을 지원하지만 보고 기능이 감소합니다.
- 사용자가 시뮬레이션 전자 메일을 읽거나 전달하거나 삭제했는지에 대한 데이터는 온-프레미스 사서함에 사용할 수 없습니다.
- 시뮬레이션 전자 메일을 보고한 사용자 수는 온-프레미스 사서함에 사용할 수 없습니다.
팁
전송 파이프라인을 통해 전송되는 시뮬레이션 메시지와 Microsoft 365의 직접 주입 이외의 교육, 자동화 및 콘텐츠 관리 환경은 온-프레미스 사서함에 대해 동일합니다.
시뮬레이션 보고서는 즉시 업데이트되지 않습니다.
자세한 시뮬레이션 보고서는 캠페인을 시작하는 즉시 업데이트되지 않습니다. 걱정 마세요; 이 동작이 필요합니다.
모든 시뮬레이션 캠페인에는 수명 주기가 있습니다. 처음 만들면 시뮬레이션이 예약됨 상태입니다. 시뮬레이션이 시작되면 진행 중 상태로 전환됩니다. 완료되면 시뮬레이션이 완료됨 상태로 전환됩니다.
시뮬레이션이 예약된 상태인 동안 시뮬레이션 보고서는 대부분 비어 있습니다. 이 단계에서 시뮬레이션 엔진은 대상 사용자 이메일 주소를 해결하고, 배포 그룹을 확장하고, 목록에서 게스트 사용자를 제거하는 등의 작업을 수행합니다.
시뮬레이션이 진행 중 단계에 들어가면 정보가 보고로 흘러들어갑니다.
개별 시뮬레이션 보고서가 진행 중 상태로 전환된 후 업데이트하는 데 최대 30분이 걸릴 수 있습니다. 시뮬레이션이 완료 됨 상태에 도달할 때까지 보고서 데이터는 계속 빌드됩니다. 보고 업데이트는 다음 간격으로 발생합니다.
- 처음 60분 동안 10분마다.
- 60분 후 15분마다 2일까지.
- 2일 후 30분마다 7일까지.
- 7일 후 60분마다.
개요 페이지의 위젯은 시간이 지남에 따라 organization 시뮬레이션 기반 보안 태세의 빠른 스냅샷 제공합니다. 이러한 위젯은 시간이 지남에 따라 전반적인 보안 태세와 여정을 반영하므로 각 시뮬레이션 캠페인이 완료된 후에 업데이트됩니다.
참고
다양한 보고 페이지에서 내보내기 옵션을 사용하여 데이터를 추출할 수 있습니다.
사용자가 피싱으로 보고한 메시지가 시뮬레이션 보고서에 표시되지 않음
공격 시뮬레이터 학습의 시뮬레이션 보고서는 사용자 활동에 대한 세부 정보를 제공합니다. 예:
- 메시지의 링크를 클릭한 사용자입니다.
- 자격 증명을 포기한 사용자입니다.
- 메시지를 피싱으로 보고한 사용자입니다.
사용자가 피싱으로 보고한 메시지가 공격 시뮬레이션 훈련 시뮬레이션 보고서에 캡처되지 않는 경우 Microsoft에 보고된 메시지 배달을 차단하는 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)이 있을 수 있습니다. 메일 흐름 규칙이 다음 전자 메일 주소로 배달을 차단하지 않는지 확인합니다.
junk@office365.microsoft.comabuse@messaging.microsoft.comphish@office365.microsoft.comnot_junk@office365.microsoft.com
시뮬레이션된 메시지를 보고한 후 사용자에게 학습이 할당됩니다.
피싱 시뮬레이션 메시지를 보고한 후 사용자에게 학습이 할당된 경우 검사 organization 보고 사서함을 사용하여 에서 https://security.microsoft.com/securitysettings/userSubmission사용자가 보고한 메시지를 수신하는지 확인합니다. 보고 사서함 필수 구성 요소에 설명된 대로 많은 보안 검사를 건너뛰도록 보고 사서함을 구성해야 합니다.
사용자 지정 보고 사서함에 필요한 제외를 구성하지 않으면 안전한 링크 또는 안전한 첨부 파일 보호로 인해 메시지가 폭발하여 학습 할당이 발생할 수 있습니다.
기타 질문과 대답
Q: 시뮬레이션 캠페인을 위해 사용자를 대상으로 하는 권장 방법은 무엇인가요?
A: 대상 사용자가 사용할 수 있는 몇 가지 옵션은 다음과 같습니다.
- 모든 사용자(현재 사용자가 40,000명 미만인 조직에서 사용 가능)를 포함합니다.
- 특정 사용자를 선택합니다.
- CSV 파일에서 사용자를 선택합니다(줄당 하나의 이메일 주소).
- 그룹 기반 대상 지정을 Microsoft Entra.
대상 사용자를 Microsoft Entra 그룹으로 식별하는 캠페인을 보다 쉽게 관리할 수 있습니다.
Q: 얼마나 많은 학습 모듈이 있나요?
현재 학습 모듈 페이지에는 94개의 기본 제공 학습 이 있습니다 .
Q: CSV에서 가져오거나 사용자를 추가하는 동안 사용자를 대상으로 지정하는 데 제한이 있나요?
A: CSV 파일에서 받는 사람을 가져오거나 시뮬레이션에 개별 받는 사람을 추가하는 제한은 40,000입니다.
받는 사람은 개별 사용자 또는 그룹일 수 있습니다. 그룹에는 수백 또는 수천 명의 받는 사람이 포함될 수 있습니다. 사용자 수의 상한은 400,000이지만 최상의 성능을 위해 각 시뮬레이션에 대해 200,000명의 사용자 제한을 권장합니다.
큰 CSV 파일을 관리하거나 많은 개별 받는 사람을 추가하는 것은 번거로울 수 있습니다. Microsoft Entra 그룹을 사용하면 시뮬레이션의 전반적인 관리가 간소화됩니다.
팁
현재 공유 사서함은 공격 시뮬레이션 훈련 지원되지 않습니다. 시뮬레이션은 사용자 사서함 또는 사용자 사서함이 포함된 그룹을 대상으로 해야 합니다.
배포 그룹이 확장되고 시뮬레이션 또는 시뮬레이션 자동화를 저장할 때 사용자 목록이 생성됩니다.
Q: 특정 시간 간격 동안 배포할 수 있는 시뮬레이션 수에 대한 제한이 있나요?
대답. 아니요, 많은 병렬 시뮬레이션을 시작하면 속도가 느려질 수 있습니다. 메시지 속도(시뮬레이션 메시지 속도 포함)는 서비스의 메시지 속도 제한에 의해 제한됩니다.
Q: Microsoft는 다른 언어로 페이로드를 제공하나요?
A: 현재 영어, 스페인어, 독일어, 일본어, 프랑스어, 포르투갈어, 네덜란드어, 이탈리아어, 스웨덴어, 중국어(간체), 노르웨이어 Bokmål, 폴란드어, 러시아어, 핀란드어, 한국어, 터키어, 헝가리어, 히브리어, 태국어, 아랍어, 베트남어, 슬로바키아어, 그리스어, 인도네시아어, 루마니아어, 슬로베니아어, 크로아티아어, 카탈로니아어 등 29개 이상의 언어로 제공되는 40개 이상의 지역화된 페이로드가 있습니다. 기존 페이로드를 다른 언어로 직접 또는 기계 변환하면 부정확하고 관련성이 감소한다고 결정했습니다.
즉, 사용자 지정 페이로드 작성 환경을 사용하여 원하는 언어로 고유한 페이로드를 만들 수 있습니다. 또한 특정 지역의 사용자를 대상으로 하는 데 사용된 기존 페이로드를 수확하는 것이 좋습니다. 즉, 공격자가 콘텐츠를 지역화하도록 합니다.
Q: 사용할 수 있는 교육 비디오는 몇 개입니까?
A: 현재 콘텐츠 라이브러리에는 85개 이상의 학습 모듈이 있습니다.
Q: 관리 포털 및 교육 환경을 위해 다른 언어로 전환하려면 어떻게 해야 하나요?
A: Microsoft 365 또는 Office 365 언어 구성은 각 사용자 계정에 대해 특정하고 중앙 집중화됩니다. 언어 설정을 변경하는 방법에 대한 지침은 비즈니스용 Microsoft 365에서 표시 언어 및 표준 시간대 변경을 참조하세요.
구성 변경은 모든 서비스에서 동기화하는 데 최대 30분이 걸릴 수 있습니다.
Q: 본격적인 캠페인을 시작하기 전에 테스트 시뮬레이션을 트리거하여 모양을 파악할 수 있나요?
A: 네, 할 수 있습니다! 새 시뮬레이션 마법사의 마지막 시뮬레이션 검토 페이지에서 테스트 보내기를 선택합니다. 이 옵션은 현재 로그인한 사용자에게 샘플 피싱 시뮬레이션 메시지를 보냅니다. 받은 편지함에서 피싱 메시지의 유효성을 검사한 후 시뮬레이션을 제출할 수 있습니다.
팁
페이로드 페이지에서 테스트 보내기를 사용할 수도 있습니다. 그러나 시뮬레이션에서 선택한 페이로드를 사용하는 경우 테스트 메시지가 집계 보고서에 표시됩니다. 결과를 내보내거나 Microsoft Graph API 사용하여 결과를 필터링할 수 있습니다.
Q: 동일한 시뮬레이션 캠페인의 일부로 다른 테넌트에서 속한 사용자를 대상으로 지정할 수 있나요?
대답: 아니요. 현재 테넌트 간 시뮬레이션은 지원되지 않습니다. 모든 대상 사용자가 동일한 테넌트인지 확인합니다. 테넌트 간 사용자 또는 게스트 사용자는 시뮬레이션 캠페인에서 제외됩니다.
Q: 지역 인식 배달은 어떻게 작동하나요?
A: 지역 인식 배달은 대상 사용자 사서함의 표준 시간대 특성을 사용하여 메시지를 배달할 시기를 결정합니다. 사용자의 표준 시간대에 따라 전자 메일 배달에서 1시간 ± 시간 차이가 있을 수 있습니다. 예를 들어 다음과 같은 경우를 생각해볼 수 있습니다.
- 태평양 표준 시간대(UTC-8)의 오전 7:00에 관리자는 같은 날 오전 9시에 시작하는 캠페인을 만들고 예약합니다.
- UserA는 동부 표준 시간대(UTC-5)에 있습니다.
- UserB는 태평양 표준 시간대에도 있습니다.
같은 날 오전 9:00에 시뮬레이션 메시지가 UserB로 전송됩니다. 지역 인식 배달을 사용하면 태평양 표준시 오전 9:00이 동부 표준시인 12:00이므로 같은 날 UserA로 메시지가 전송되지 않습니다. 대신 메시지는 다음 날 오전 9시 동부 시간으로 UserA로 전송됩니다.
따라서 지역 인식 배달을 사용하도록 설정된 캠페인의 초기 실행 시 시뮬레이션 메시지가 특정 표준 시간대의 사용자에게만 전송된 것처럼 보일 수 있습니다. 그러나 시간이 지남에 따라 더 많은 사용자가 scope 들어오면 대상 사용자가 증가합니다.
지역 인식 배달을 사용하지 않으면 캠페인을 설정하는 사용자의 표준 시간대에 따라 캠페인이 시작됩니다.
Q: Microsoft는 자격 증명 수확 시뮬레이션 기술에 사용되는 자격 증명 수확 로그인 페이지에서 사용자가 입력하는 정보를 수집하거나 저장하나요?
대답: 아니요. 자격 증명 수집 로그인 페이지에 입력된 모든 정보는 자동으로 삭제됩니다. 손상 이벤트를 캡처하기 위해 '클릭'만 기록됩니다. Microsoft는 이 단계에서 사용자가 입력하는 세부 정보를 수집, 로그 또는 저장하지 않습니다.
Q: 시뮬레이션 정보는 얼마나 오래 보존합니까? 시뮬레이션 데이터를 삭제할 수 있나요?
A: 다음 표를 참조하세요.
| 데이터 형식 | 보존 |
|---|---|
| 시뮬레이션 메타데이터 | 관리자가 시뮬레이션을 더 빨리 삭제하지 않는 한 18개월입니다. |
| 시뮬레이션 자동화 | 관리자가 시뮬레이션 자동화를 더 빨리 삭제하지 않는 한 18개월입니다. |
| 페이로드 자동화 | 관리자가 페이로드 자동화를 더 빨리 삭제하지 않는 한 18개월입니다. |
| 시뮬레이션 메타데이터의 사용자 활동 | 관리자가 시뮬레이션을 더 빨리 삭제하지 않는 한 18개월입니다. |
| 전역 페이로드 | Microsoft에서 삭제하지 않는 한 유지됩니다. |
| 테넌트 페이로드 | 보관된 페이로드가 관리자에 의해 더 빨리 삭제되지 않는 한 18개월입니다. |
| 학습 메타데이터의 사용자 활동 | 관리자가 시뮬레이션을 더 빨리 삭제하지 않는 한 18개월입니다. |
| 권장 페이로드 MDO | 6개월. |
| 전역 최종 사용자 알림 | Microsoft에서 삭제하지 않는 한 유지됩니다. |
| 테넌트 최종 사용자 알림 | 관리자가 알림을 더 빨리 삭제하지 않는 한 18개월입니다. |
| 전역 로그인 페이지 | Microsoft에서 삭제하지 않는 한 유지됩니다. |
| 테넌트 로그인 페이지 | 관리자가 로그인 페이지를 더 빨리 삭제하지 않는 한 18개월입니다. |
| 전역 방문 페이지 | Microsoft에서 삭제하지 않는 한 유지됨 |
| 테넌트 방문 페이지 | 관리자가 방문 페이지를 더 빨리 삭제하지 않는 한 18개월입니다. |
전체 테넌트가 삭제되면 공격 시뮬레이션 학습 데이터는 90일 후에 삭제됩니다.
자세한 내용은 Office 365용 Microsoft Defender 대한 데이터 보존 정보를 참조하세요.
Q: API를 사용하여 시뮬레이션을 만들고 보고 관리할 수 있나요?
A: 예. 읽기 및 쓰기 시나리오는 Microsoft Graph API 사용하여 지원됩니다.
-
AttackSimulation.Read.All:- 시뮬레이션 메타데이터 읽기
- 사용자 활동 읽기
- 학습 데이터 읽기
- 반복 범죄자 읽기
-
AttackSimulation.ReadWrite.All: 지정된 페이로드, 알림 및 로그인 페이지를 사용하여 시뮬레이션을 실행합니다.
자세한 내용은 Office 365용 Microsoft Defender 일부로 공격 시뮬레이션 학습에 대한 목록 시뮬레이션 및 보고서 API 개요를 참조하세요.
Q: 사용자 지정 페이로드를 삭제할 수 있나요?
A: 예. 먼저 페이로드를 보관한 다음 보관된 페이로드를 삭제합니다. 지침은 페이로드 보관을 참조하세요.
Q: 기본 제공 페이로드를 수정할 수 있나요?
A: 직접가 아닙니다. 기본 제공 페이로드를 복사한 다음 복사본을 수정할 수 있습니다. 지침은 페이로드 복사를 참조하세요.
Q: QR 코드 시뮬레이션을 실행하려고 하지만 QR 코드를 검사하면 방문 페이지 대신 'ping 성공'이 표시됩니다.
A: 페이로드 편집기에서 QR 코드를 삽입하면 피싱 링크 섹션 >URL 선택에서 선택한 기본 피싱 URL에 매핑됩니다. QR 코드는 전자 메일 메시지에 이미지로 삽입됩니다.
텍스트 탭에서 코드 탭으로 전환하면 삽입된 이미지가 Base64 형식으로 표시됩니다. 이미지의 시작 부분에는 가 포함됩니다 <div id="QRcode"...>. 시뮬레이션에서 사용하기 전에 완료된 페이로드가 <div id="QRcode"...> 포함되어 있는지 확인합니다.
시뮬레이션을 만드는 동안 QR 코드를 스캔하거나 테스트 보내기를 사용하여 페이로드를 검토하는 경우 QR 코드는 선택한 기본 피싱 URL을 가리킵니다.
페이로드가 시뮬레이션에 사용되는 경우 서비스는 QR 코드를 동적으로 생성된 QR 코드로 대체하여 클릭 및 손상 메트릭을 추적합니다. QR 코드의 크기, 위치 및 모양은 페이로드에서 구성한 구성 옵션과 일치합니다. 실제 시뮬레이션 중에 QR 코드를 검사하면 구성된 방문 페이지로 이동합니다.
Q: HTML로 페이로드를 만들려고 하지만 페이로드 편집기가 디자인에서 특정 콘텐츠를 제거하는 것 같습니다.
A: 현재 페이로드 편집 applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title기에서는 다음 HTML 태그가 지원되지 않습니다.