Share via

Aanvalssimulatie traningimplementatieoverwegingen en veelgestelde vragen

Tip

Wist u dat u de functies in Microsoft Defender XDR voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de 90-daagse proefversie van Defender voor Office 365 in de proefversieshub van Microsoft Defender Portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Training voor aanvalssimulatie stelt Microsoft 365 E5- of Microsoft Defender voor Office 365 Plan 2-organisaties in staat om social engineering-risico's te meten en te beheren door het maken en beheren van phishingsimulaties mogelijk te maken die worden mogelijk gemaakt door echte, onschadelijke phishing-nettoladingen. Hypergerichte training, geleverd in samenwerking met Terranova-beveiliging, helpt kennis te verbeteren en het gedrag van werknemers te veranderen.

Zie Aan de slag met aanvalssimulatietraining voor meer informatie over hoe u aan de slag gaat met aanvalssimulatietraining.

Hoewel de ervaring voor het maken en plannen van simulaties is ontworpen om vrij te stromen en probleemloos te zijn, vereisen simulaties op ondernemingsniveau planning. Dit artikel helpt bij het aanpakken van specifieke uitdagingen die we zien wanneer onze klanten simulaties uitvoeren in hun eigen omgevingen.

Problemen met ervaringen van eindgebruikers

Url's voor phishingsimulatie geblokkeerd door Google Safe Browsing

Een URL-reputatieservice kan een of meer van de URL's die worden gebruikt door training voor aanvalssimulatie als onveilig identificeren. Google Safe Browsing in Google Chrome blokkeert enkele van de gesimuleerde phishing-URL's met een misleidende site vooruit bericht. Hoewel we met veel leveranciers van URL-reputaties werken om onze simulatie-URL's altijd toe te staan, hebben we niet altijd volledige dekking.

Waarschuwing van de misleidende site in Google Chrome

Dit probleem is niet van invloed op Microsoft Edge.

Controleer tijdens de planningsfase de beschikbaarheid van de URL in uw ondersteunde webbrowsers voordat u de URL gebruikt in een phishingcampagne. Als de URL's worden geblokkeerd door Google Safe Browsing, volgt u deze richtlijnen van Google om toegang tot de URL's toe te staan.

Raadpleeg Aan de slag met aanvalssimulatietraining voor de lijst met URL's die momenteel worden gebruikt door training voor aanvalssimulatie.

Phishingsimulatie en beheerders-URL's geblokkeerd door netwerkproxy-oplossingen en filterstuurprogramma's

Zowel phishingsimulatie-URL's als beheerders-URL's kunnen worden geblokkeerd of verwijderd door uw tussenliggende beveiligingsapparaten of filters. Bijvoorbeeld:

  • Firewalls
  • Waf-oplossingen (Web Application Firewall)
  • Filterstuurprogramma's van derden (bijvoorbeeld kernelmodusfilters)

Hoewel we hebben gezien dat er weinig klanten in deze laag worden geblokkeerd, gebeurt dit wel. Als u problemen ondervindt, kunt u de volgende URL's configureren om het scannen door uw beveiligingsapparaten of filters zo nodig te omzeilen:

Simulatieberichten die niet aan alle doelgebruikers zijn bezorgd

Het is mogelijk dat het aantal gebruikers dat de simulatie-e-mailberichten daadwerkelijk ontvangt kleiner is dan het aantal gebruikers waarop de simulatie is gericht. De volgende typen gebruikers worden uitgesloten als onderdeel van doelvalidatie:

  • Ongeldige e-mailadressen van geadresseerde.
  • Gastgebruikers.
  • Gebruikers die niet meer actief zijn in Microsoft Entra ID.

Als u distributiegroepen of beveiligingsgroepen met e-mail gebruikt om gebruikers te targeten, kunt u de cmdlet Get-DistributionGroupMember in Exchange Online PowerShell gebruiken om leden van de distributiegroep weer te geven en te valideren.

Trainingen onverwacht toegewezen of niet toegewezen aan gebruikers

De trainingsdrempel in trainingscampagnes voorkomt dat gebruikers dezelfde trainingen aan hen toegewezen krijgen tijdens een bepaald interval (standaard 90 dagen). Zie De trainingsdrempel instellen voor meer informatie.

Als u een simulatie of een simulatieautomatisering hebt gemaakt met de waarde voor trainingstoewijzing Training voor mij toewijzen (aanbevolen),wijzen we training toe op basis van de vorige simulatie en trainingsresultaten van een gebruiker. Als u training wilt toewijzen op basis van specifieke criteria, selecteert u Zelf trainingscursussen en modules selecteren.

Wat gebeurt er wanneer een gebruiker een simulatiebericht beantwoordt of doorstuurt?

Als een gebruiker een simulatiebericht beantwoordt of doorstuurt naar een ander postvak, wordt het bericht behandeld als een normaal e-mailbericht (inclusief ontploging door veilige koppelingen of veilige bijlagen). In het simulatierapport ziet u of het simulatiebericht is beantwoord of doorgestuurd. Elke URL in de simulatie-e-mail is gekoppeld aan een afzonderlijke gebruiker, zodat veilige koppelingen worden geïdentificeerd als klikken door de gebruiker.

Als u een Toegewezen SecOps-postvak (Security Operations) gebruikt, moet u dit als een SecOps identificeren in het geavanceerde bezorgingsbeleid , zodat berichten ongefilterd worden bezorgd.

Hoe kan ik de bezorging van simulatieberichten s stagneren?

Hoe dan ook, het is belangrijk om verschillende payloads te gebruiken om discussie en identificatie tussen gebruikers te voorkomen.

Waarom worden afbeeldingen in simulatieberichten geblokkeerd door Outlook?

Outlook is standaard geconfigureerd om automatische downloads van afbeeldingen in berichten van internet te blokkeren. Hoewel u Outlook kunt configureren om automatisch afbeeldingen te downloaden, raden we dit niet aan vanwege de gevolgen voor de beveiliging (mogelijk automatisch downloaden van schadelijke code of webfouten, ook wel webbakens of tracking pixels genoemd).

Filterservices van derden kunnen de schuld zijn. Voor niet-Microsoft-filtersystemen die u gebruikt, moet u de volgende items toestaan of uitsluiten:

  • Alle trainings-URL's voor aanvalssimulatie en de bijbehorende domeinen. Momenteel verzenden we geen simulatieberichten vanuit een statische lijst met IP-adressen.
  • Alle andere domeinen die u gebruikt in aangepaste nettoladingen.

Kan ik de externe tag of veiligheidstips toevoegen aan simulatieberichten?

Aangepaste nettoladingen hebben de optie om de externe tag toe te voegen aan berichten. Zie Stap 5 in Nettoladingen maken voor meer informatie.

Er zijn geen ingebouwde opties om veiligheidstips toe te voegen aan nettoladingen, maar u kunt de volgende methoden gebruiken op de pagina Nettolading configureren van de wizard voor het instellen van nettolading:

  • Gebruik een bestaand e-mailbericht met de veiligheidstip als sjabloon. Sla het bericht op als HTML en kopieer de gegevens.

  • Gebruik de volgende voorbeeldcode voor de veiligheidstip eerste contactpersoon:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

Kan ik trainingsmodules toewijzen zonder gebruikers door een simulatie te laten gaan?

Ja. Zie Trainingscampagnes in training voor aanvalssimulatie voor meer informatie.

Hoe kom ik erachter over simulatieberichten die niet zijn bezorgd?

Het tabblad Gebruikers voor de simulatie kan worden gefilterd op bezorging van simulatiebericht: Kan niet leveren.

Als u eigenaar bent van het afzenderdomein, wordt het niet-bezorgde simulatierapport geretourneerd in een rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd). Zie E-mailrapporten over niet-bezorging en SMTP-fouten in Exchange Online voor meer informatie over de codes in de NDR.

Problemen met trainingsrapportage voor aanvalssimulatie

Tip

Het vastleggen van simulatiegegevens begint een paar minuten nadat de simulatie is gestart en nadat gebruikers met de simulatieberichten beginnen te werken. Er is geen vaste begintijd. Gebeurtenissen worden nog steeds vastgelegd nadat de simulatie is beëindigd.

Verschillen in gegevens over gebruikersactiviteit van trainingsrapporten voor aanvalssimulatie en andere rapporten

Voor het rapporteren van gebruikersactiviteit met betrekking tot simulatieberichten raden we u aan de ingebouwde simulatierapporten te gebruiken. Rapporten uit andere bronnen (bijvoorbeeld Geavanceerde opsporing) zijn mogelijk niet nauwkeurig.

Simulatie-URL's worden niet verpakt door veilige koppelingen en worden beschouwd als niet-ingepakte koppelingen. Niet alle klikken op niet-ingepakte koppelingen gaan via Veilige koppelingen, dus gebruikersactiviteit met betrekking tot simulatieberichten wordt mogelijk niet vastgelegd in de UrlClickEvents-logboeken.

Trainingsrapporten voor aanvalssimulatie bevatten geen activiteitsgegevens

Training voor aanvalssimulatie wordt geleverd met uitgebreide, bruikbare inzichten die u op de hoogte houden van de voortgang van de bedreigingsgereedheid van uw werknemers. Als trainingsrapporten voor aanvalssimulatie niet worden gevuld met gegevens, controleert u of auditlogboekregistratie is ingeschakeld in uw organisatie (dit is standaard ingeschakeld).

Auditlogboekregistratie is vereist voor training voor aanvalssimulatie, zodat gebeurtenissen kunnen worden vastgelegd, vastgelegd en teruggelezen. Het uitschakelen van auditlogboekregistratie heeft de volgende gevolgen voor training voor aanvalssimulatie:

  • Rapportagegegevens zijn niet beschikbaar in alle rapporten. De rapporten worden leeg weergegeven.
  • Trainingstoewijzingen worden geblokkeerd omdat er geen gegevens beschikbaar zijn.

Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.

Tip

Lege activiteitsdetails worden ook veroorzaakt doordat er geen E5-licenties worden toegewezen aan gebruikers. Controleer of ten minste één E5-licentie is toegewezen aan een actieve gebruiker om ervoor te zorgen dat rapportagegebeurtenissen worden vastgelegd en vastgelegd.

Gebruikersacties en beheerdersacties worden gecontroleerd. Zoek in de Beheeractiviteit-API de waarden AuditLogRecordType 85, 88 en 218.

Sommige controlegegevens zijn mogelijk ook beschikbaar in de tabel CloudAppEvents in Microsoft Defender XDR Advanced opsporing via de Defender-portal of de Streaming-API.

Problemen met on-premises postvakken melden

Training voor aanvalssimulatie ondersteunt on-premises postvakken, maar met verminderde rapportagefunctionaliteit:

  • Gegevens over het feit of gebruikers de simulatie-e-mail hebben gelezen, doorgestuurd of verwijderd, zijn niet beschikbaar voor on-premises postvakken.
  • Het aantal gebruikers dat de simulatie-e-mail heeft gerapporteerd, is niet beschikbaar voor on-premises postvakken.

Tip

Afgezien van de simulatieberichten die worden verzonden via de transportpijplijn versus directe injectie in Microsoft 365, zijn de ervaringen voor training, automatisering en inhoudsbeheer hetzelfde voor on-premises postvakken.

Simulatierapporten worden niet onmiddellijk bijgewerkt

Gedetailleerde simulatierapporten worden niet direct bijgewerkt nadat u een campagne hebt gestart. Maak je niet druk; dit gedrag wordt verwacht.

Elke simulatiecampagne heeft een levenscyclus. Wanneer de simulatie voor het eerst wordt gemaakt, heeft deze de status Gepland . Wanneer de simulatie wordt gestart, wordt deze overgezet naar de status In uitvoering . Wanneer dit is voltooid, gaat de simulatie over naar de status Voltooid .

Hoewel een simulatie de status Gepland heeft, zijn de simulatierapporten meestal leeg. Tijdens deze fase wordt met de simulatie-engine de e-mailadressen van de doelgebruiker omgezet, distributiegroepen uitgebreid, gastgebruikers uit de lijst verwijderd, enzovoort:

Simulatiedetails met de simulatie in de status Gepland

Zodra de simulatie in de fase In uitvoering is , begint de informatie in de rapportage te druppelen:

Simulatiedetails met de simulatie in de status In uitvoering

Het kan tot 30 minuten duren voordat de afzonderlijke simulatierapporten zijn bijgewerkt na de overgang naar de status In uitvoering . De rapportgegevens blijven opbouwen totdat de simulatie de status Voltooid heeft bereikt. Rapportage-updates vinden plaats met de volgende intervallen:

  • Elke 10 minuten voor de eerste 60 minuten.
  • Elke 15 minuten na 60 minuten tot twee dagen.
  • Elke 30 minuten na twee dagen tot zeven dagen.
  • Elke 60 minuten na zeven dagen.

Widgets op de pagina Overzicht bieden een snelle momentopname van de op simulatie gebaseerde beveiligingspostuur van uw organisatie in de loop van de tijd. Omdat deze widgets uw algehele beveiligingspostuur en -reis in de loop van de tijd weerspiegelen, worden ze bijgewerkt nadat elke simulatiecampagne is voltooid.

Opmerking

U kunt de optie Exporteren op de verschillende rapportpagina's gebruiken om gegevens te extraheren.

Berichten die zijn gerapporteerd als phishing door gebruikers, worden niet weergegeven in simulatierapporten

Simulatierapporten in aanvalssimulatortraining bieden details over gebruikersactiviteit. Bijvoorbeeld:

  • Gebruikers die op de koppeling in het bericht hebben geklikt.
  • Gebruikers die hun referenties hebben opgegeven.
  • Gebruikers die het bericht als phishing hebben gerapporteerd.

Als berichten die gebruikers als phishing hebben gerapporteerd, niet worden vastgelegd in trainingssimulatierapporten voor aanvallen, is er mogelijk een Exchange-e-mailstroomregel (ook wel een transportregel genoemd) die de levering van de gerapporteerde berichten aan Microsoft blokkeert. Controleer of eventuele e-mailstroomregels de bezorging van de volgende e-mailadressen niet blokkeren:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Gebruikers krijgen training toegewezen nadat ze een gesimuleerd bericht hebben rapporteren

Als aan gebruikers training is toegewezen nadat ze een phishingsimulatiebericht hebben gerapporteerd, controleert u of uw organisatie een rapportagepostvak gebruikt om door de gebruiker gerapporteerde berichten te ontvangen op https://security.microsoft.com/securitysettings/userSubmission. Het rapportagepostvak moet worden geconfigureerd om veel beveiligingscontroles over te slaan, zoals beschreven in de vereisten voor het rapportagepostvak.

Als u de vereiste uitsluitingen voor het aangepaste rapportagepostvak niet configureert, worden de berichten mogelijk ontplofd door veilige koppelingen of beveiliging van veilige bijlagen, waardoor trainingstoewijzingen worden veroorzaakt.

Andere veelgestelde vragen

A: Er zijn verschillende opties beschikbaar voor doelgebruikers:

  • Alle gebruikers opnemen (momenteel beschikbaar voor organisaties met minder dan 40.000 gebruikers).
  • Kies specifieke gebruikers.
  • Selecteer gebruikers uit een CSV-bestand (één e-mailadres per regel).
  • Microsoft Entra-targeting op basis van groepen.

We vinden dat campagnes waarbij de beoogde gebruikers worden geïdentificeerd door Microsoft Entra-groepen gemakkelijker te beheren zijn.

V: Hoeveel trainingsmodules zijn er?

Op dit moment zijn er 94 ingebouwde trainingen op de pagina Trainingsmodules .

V: Zijn er limieten voor het richten van gebruikers tijdens het importeren vanuit een CSV of het toevoegen van gebruikers?

A: De limiet voor het importeren van geadresseerden uit een CSV-bestand of het toevoegen van afzonderlijke geadresseerden aan een simulatie is 40.000.

Een geadresseerde kan een afzonderlijke gebruiker of een groep zijn. Een groep kan honderden of duizenden geadresseerden bevatten. De bovengrens voor het aantal gebruikers is 400.000, maar voor de beste prestaties wordt een limiet van 200.000 gebruikers aanbevolen.

Het beheren van een groot CSV-bestand of het toevoegen van veel afzonderlijke geadresseerden kan lastig zijn. Het gebruik van Microsoft Entra-groepen vereenvoudigt het algehele beheer van de simulatie.

Tip

Momenteel worden gedeelde postvakken niet ondersteund in training voor aanvalssimulatie. Simulaties moeten gericht zijn op postvakken of groepen van gebruikers die postvakken van gebruikers bevatten.

Distributiegroepen worden uitgebreid en de lijst met gebruikers wordt gegenereerd op het moment dat de simulatie- of simulatieautomatisering wordt opgeslagen.

V: Zijn de limieten voor het aantal simulaties dat kan worden geïmplementeerd tijdens een bepaald tijdsinterval?

A. Nee, hoewel u mogelijk traag bent als u veel parallelle simulaties start. Berichtsnelheden (inclusief simulatieberichtsnelheden) worden beperkt door de berichtsnelheidslimieten van de service.

V: Biedt Microsoft payloads in andere talen?

A: Momenteel zijn er meer dan 40 gelokaliseerde nettoladingen beschikbaar in meer dan 29 talen: Engels, Spaans, Duits, Japans, Frans, Portugees, Nederlands, Italiaans, Zweeds, Chinees (vereenvoudigd), Noors Bokmål, Pools, Russisch, Fins, Koreaans, Turks, Hongaars, Hebreeuws, Thai, Arabisch, Vietnamees, Slowaaks, Grieks, Indonesisch, Roemeens, Sloveens, Kroatisch, Catalaans en Overig. We hebben vastgesteld dat directe of automatische vertaling van bestaande nettoladingen naar andere talen leidt tot onnauwkeurigheden en verminderde relevantie.

Dat gezegd hebbende, kunt u uw eigen nettolading maken in de taal van uw keuze met behulp van de aangepaste ontwerpervaring voor payloads. We raden u ook ten zeerste aan om bestaande nettoladingen te verzamelen die zijn gebruikt om gebruikers in een specifieke geografie te targeten. Met andere woorden, laat de aanvallers de inhoud voor u lokaliseren.

V: Hoeveel trainingsvideo's zijn er beschikbaar?

A: Momenteel zijn er meer dan 85 trainingsmodules beschikbaar in de inhoudsbibliotheek.

V: Hoe kan ik overschakelen naar andere talen voor mijn beheerportal en trainingservaring?

A: In Microsoft 365 of Office 365 is de taalconfiguratie specifiek en gecentraliseerd voor elk gebruikersaccount. Zie Uw weergavetaal en tijdzone wijzigen in Microsoft 365 voor Bedrijven voor instructies over het wijzigen van uw taalinstelling.

Het kan tot 30 minuten duren voordat de configuratiewijziging in alle services is gesynchroniseerd.

V: Kan ik een testsimulatie activeren om te begrijpen hoe het eruitziet voordat ik een volledige campagne start?

A: Ja, dat kan! Selecteer op de laatste pagina Simulatie controleren in de nieuwe simulatiewizard de optie Een test verzenden. Met deze optie wordt een voorbeeld van een phishingsimulatiebericht verzonden naar de momenteel aangemelde gebruiker. Nadat u het phishingbericht in uw Postvak IN hebt gevalideerd, kunt u de simulatie verzenden.

De knop Een test verzenden op de pagina Simulatie controleren

Tip

U kunt ook Een test verzenden gebruiken vanaf de pagina Nettoladingen . Maar als u ooit de geselecteerde nettolading in een simulatie gebruikt, wordt het testbericht weergegeven in de samengevoegde rapporten. U kunt de resultaten exporteren of de Microsoft Graph API gebruiken om de resultaten te filteren.

V: Kan ik me richten op gebruikers die deel uitmaken van een andere tenant als onderdeel van dezelfde simulatiecampagne?

A: Nee. Op dit moment worden simulaties tussen tenants niet ondersteund. Controleer of al uw doelgebruikers zich in dezelfde tenant bevinden. Alle gebruikers tussen tenants of gastgebruikers worden uitgesloten van de simulatiecampagne.

V: Hoe werkt regiobewuste levering?

A: Regiobewuste bezorging maakt gebruik van het tijdzonekenmerk van het postvak van de doelgebruiker om te bepalen wanneer het bericht moet worden bezorgd. Er kan een tijdsverschil zijn van ± één uur in de e-mailbezorging op basis van de tijdzone van de gebruiker. Kijk eens naar het volgende scenario:

  • Om 7:00 uur in de Tijdzone van de Stille Oceaan (UTC-8) maakt en plant een beheerder een campagne die op dezelfde dag om 9:00 uur begint.
  • UserA bevindt zich in de oostelijke tijdzone (UTC-5).
  • UserB bevindt zich ook in de tijdzone Pacific.

Om 9:00 uur op dezelfde dag wordt het simulatiebericht verzonden naar UserB. Met regiobewuste bezorging wordt het bericht niet op dezelfde dag naar GebruikerA verzonden, omdat 9:00 uur Pacific Time 12:00 uur Eastern Time is. In plaats daarvan wordt het bericht op de volgende dag om 9:00 uur Oostelijke tijd verzonden naar GebruikerA.

Bij de eerste uitvoering van een campagne waarvoor regiobewuste bezorging is ingeschakeld, kan het er dus op lijken dat het simulatiebericht alleen is verzonden naar gebruikers in een specifieke tijdzone. Maar naarmate de tijd verstrijkt en er meer gebruikers binnen het bereik komen, nemen de beoogde gebruikers toe.

Als u geen regiobewuste bezorging gebruikt, wordt de campagne gestart op basis van de tijdzone van de gebruiker die deze instelt.

V: Verzamelt of slaat Microsoft informatie op die gebruikers invoeren op de aanmeldingspagina van Credential Harvest, die wordt gebruikt in de simulatietechniek van Credential Harvest?

A: Nee. Alle informatie die is ingevoerd op de aanmeldingspagina voor het verzamelen van referenties, wordt op de achtergrond verwijderd. Alleen de 'klik' wordt vastgelegd om de inbreuk-gebeurtenis vast te leggen. Microsoft verzamelt, logt of slaat geen gegevens op die gebruikers bij deze stap invoeren.

V: Hoe lang wordt simulatiegegevens bewaard? Kan ik simulatiegegevens verwijderen?

A: Zie de volgende tabel:

Gegevenstype: Retentie
Simulatiemetagegevens 18 maanden, tenzij de simulatie eerder wordt verwijderd door een beheerder.
Simulatieautomatisering 18 maanden, tenzij de simulatieautomatisering eerder wordt verwijderd door een beheerder.
Automatisering van nettoladingen 18 maanden, tenzij de payload-automatisering eerder wordt verwijderd door een beheerder.
Gebruikersactiviteit in simulatiemetagegevens 18 maanden, tenzij de simulatie eerder wordt verwijderd door een beheerder.
Globale nettoladingen Behouden, tenzij verwijderd door Microsoft.
Tenantpayloads 18 maanden, tenzij de gearchiveerde nettolading eerder wordt verwijderd door een beheerder.
Gebruikersactiviteit in trainingsmetagegevens 18 maanden, tenzij de simulatie eerder wordt verwijderd door een beheerder.
Aanbevolen nettoladingen voor MDO 6 maanden.
Algemene meldingen van eindgebruikers Behouden, tenzij verwijderd door Microsoft.
Meldingen van eindgebruikers van tenants 18 maanden, tenzij de melding eerder wordt verwijderd door een beheerder.
Algemene aanmeldingspagina's Behouden, tenzij verwijderd door Microsoft.
Aanmeldingspagina's voor tenants 18 maanden, tenzij de aanmeldingspagina eerder wordt verwijderd door een beheerder.
Algemene landingspagina's Behouden, tenzij verwijderd door Microsoft
Landingspagina's van tenants 18 maanden, tenzij de landingspagina eerder wordt verwijderd door een beheerder.

Als de hele tenant wordt verwijderd, worden trainingsgegevens voor aanvalssimulatie na 90 dagen verwijderd.

Zie Gegevensretentiegegevens voor Microsoft Defender voor Office 365 voor meer informatie.

V: Kan ik simulaties maken, weergeven en beheren met behulp van een API?

A: Ja. Lees- en schrijfscenario's worden ondersteund met behulp van de Microsoft Graph API:

  • AttackSimulation.Read.All:
    • Simulatiemetagegevens lezen
    • Gebruikersactiviteit lezen
    • Trainingsgegevens lezen
    • Recidivers lezen
  • AttackSimulation.ReadWrite.All: Voer simulaties uit met behulp van de opgegeven nettoladingen, meldingen en aanmeldingspagina's.

Zie Simulaties weergeven en API-overzicht rapporten voor training voor aanvalssimulatie als onderdeel van Microsoft Defender voor Office 365 voor meer informatie.

V: Kan ik aangepaste nettoladingen verwijderen?

A: Ja. Eerst archiveert u de nettolading en vervolgens verwijdert u de gearchiveerde nettolading. Zie Nettoladingen archiveren voor instructies.

V: Kan ik de ingebouwde nettoladingen wijzigen?

A: Niet rechtstreeks. U kunt de nettolading kopiëren en vervolgens de kopie wijzigen. Zie Payloads kopiëren voor instructies.