Aanvalssimulatie traningimplementatieoverwegingen en veelgestelde vragen

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

training voor aanvalssimulatie stelt Microsoft 365 E5- of Microsoft Defender voor Office 365 Plan 2-organisaties in staat om social engineering-risico's te meten en te beheren door het maken en beheren van phishingsimulaties mogelijk te maken die worden aangedreven door echte, onschuldige phishing Payloads. Hypergerichte training, geleverd in samenwerking met Terranova-beveiliging, helpt kennis te verbeteren en het gedrag van werknemers te veranderen.

Zie Aan de slag met training voor aanvalssimulatie voor meer informatie over hoe u aan de slag gaat met training voor aanvalssimulatie.

Hoewel de ervaring voor het maken en plannen van simulaties is ontworpen om vrij te stromen en probleemloos te zijn, vereisen simulaties op ondernemingsniveau planning. Dit artikel helpt bij het aanpakken van specifieke uitdagingen die we zien wanneer onze klanten simulaties uitvoeren in hun eigen omgevingen.

Problemen met ervaringen van eindgebruikers

Url's voor phishingsimulatie geblokkeerd door Google Safe Browsing

Een URL-reputatieservice kan een of meer url's die door training voor aanvalssimulatie worden gebruikt, als onveilig identificeren. Google Safe Browsing in Google Chrome blokkeert enkele van de gesimuleerde phishing-URL's met een misleidende site vooruit bericht. Hoewel we met veel leveranciers van URL-reputaties werken om onze simulatie-URL's altijd toe te staan, hebben we niet altijd volledige dekking.

Waarschuwing van de misleidende site in Google Chrome

Dit probleem is niet van invloed op Microsoft Edge.

Controleer tijdens de planningsfase de beschikbaarheid van de URL in uw ondersteunde webbrowsers voordat u de URL gebruikt in een phishingcampagne. Als de URL's worden geblokkeerd door Google Safe Browsing, volgt u deze richtlijnen van Google om toegang tot de URL's toe te staan.

Raadpleeg Aan de slag met training voor aanvalssimulatie voor de lijst met URL's die momenteel door training voor aanvalssimulatie worden gebruikt.

Phishingsimulatie en beheerders-URL's geblokkeerd door netwerkproxy-oplossingen en filterstuurprogramma's

Zowel phishingsimulatie-URL's als beheerders-URL's kunnen worden geblokkeerd of verwijderd door uw tussenliggende beveiligingsapparaten of filters. Bijvoorbeeld:

  • Firewalls
  • waf-oplossingen (Web Application Firewall)
  • Filterstuurprogramma's van derden (bijvoorbeeld kernelmodusfilters)

Hoewel we hebben gezien dat er weinig klanten in deze laag worden geblokkeerd, gebeurt dit wel. Als u problemen ondervindt, kunt u de volgende URL's configureren om het scannen door uw beveiligingsapparaten of filters zo nodig te omzeilen:

Simulatieberichten die niet aan alle doelgebruikers zijn bezorgd

Het is mogelijk dat het aantal gebruikers dat de simulatie-e-mailberichten daadwerkelijk ontvangt kleiner is dan het aantal gebruikers waarop de simulatie is gericht. De volgende typen gebruikers worden uitgesloten als onderdeel van doelvalidatie:

  • Ongeldige e-mailadressen van geadresseerde.
  • Gastgebruikers.
  • Gebruikers die niet meer actief zijn in Microsoft Entra ID.

Als u distributiegroepen of beveiligingsgroepen met e-mail gebruikt om gebruikers te targeten, kunt u de cmdlet Get-DistributionGroupMember in Exchange Online PowerShell gebruiken om leden van de distributiegroep weer te geven en te valideren.

Problemen met training voor aanvalssimulatie rapportage

training voor aanvalssimulatie-rapporten bevatten geen activiteitsgegevens

training voor aanvalssimulatie wordt geleverd met uitgebreide, bruikbare inzichten die u op de hoogte houden van de voortgang van de bedreigingsgereedheid van uw werknemers. Als training voor aanvalssimulatie rapporten niet worden gevuld met gegevens, controleert u of auditlogboekregistratie is ingeschakeld in uw organisatie (dit is standaard ingeschakeld).

Auditlogboekregistratie is vereist voor training voor aanvalssimulatie, zodat gebeurtenissen kunnen worden vastgelegd, vastgelegd en teruggelezen. Het uitschakelen van auditlogboekregistratie heeft de volgende gevolgen voor training voor aanvalssimulatie:

  • Rapportagegegevens zijn niet beschikbaar in alle rapporten. De rapporten worden leeg weergegeven.
  • Trainingstoewijzingen worden geblokkeerd omdat er geen gegevens beschikbaar zijn.

Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.

Opmerking

Lege activiteitsgegevens kunnen ook worden veroorzaakt doordat er geen E5-licenties worden toegewezen aan gebruikers. Controleer of ten minste één E5-licentie is toegewezen aan een actieve gebruiker om ervoor te zorgen dat rapportagegebeurtenissen worden vastgelegd en vastgelegd.

Problemen met on-premises postvakken melden

training voor aanvalssimulatie ondersteunt on-premises postvakken, maar met verminderde rapportagefunctionaliteit:

  • Gegevens over het feit of gebruikers de simulatie-e-mail hebben gelezen, doorgestuurd of verwijderd, zijn niet beschikbaar voor on-premises postvakken.
  • Het aantal gebruikers dat de simulatie-e-mail heeft gerapporteerd, is niet beschikbaar voor on-premises postvakken.

Simulatierapporten worden niet onmiddellijk bijgewerkt

Gedetailleerde simulatierapporten worden niet direct bijgewerkt nadat u een campagne hebt gestart. Maak je niet druk; dit gedrag wordt verwacht.

Elke simulatiecampagne heeft een levenscyclus. Wanneer de simulatie voor het eerst wordt gemaakt, heeft deze de status Gepland . Wanneer de simulatie wordt gestart, wordt deze overgezet naar de status In uitvoering . Wanneer dit is voltooid, gaat de simulatie over naar de status Voltooid .

Hoewel een simulatie de status Gepland heeft, zijn de simulatierapporten meestal leeg. Tijdens deze fase wordt met de simulatie-engine de e-mailadressen van de doelgebruiker omgezet, distributiegroepen uitgebreid, gastgebruikers uit de lijst verwijderd, enzovoort:

Simulatiedetails met de simulatie in de status Gepland

Zodra de simulatie in de fase In uitvoering is , begint de informatie in de rapportage te druppelen:

Simulatiedetails met de simulatie in de status In uitvoering

Het kan tot 30 minuten duren voordat de afzonderlijke simulatierapporten zijn bijgewerkt na de overgang naar de status In uitvoering . De rapportgegevens blijven opbouwen totdat de simulatie de status Voltooid heeft bereikt. Rapportage-updates vinden plaats met de volgende intervallen:

  • Elke 10 minuten voor de eerste 60 minuten.
  • Elke 15 minuten na 60 minuten tot twee dagen.
  • Elke 30 minuten na twee dagen tot zeven dagen.
  • Elke 60 minuten na zeven dagen.

Widgets op de pagina Overzicht bieden een snelle momentopname van de op simulatie gebaseerde beveiligingspostuur van uw organisatie in de loop van de tijd. Omdat deze widgets uw algehele beveiligingspostuur en -reis in de loop van de tijd weerspiegelen, worden ze bijgewerkt nadat elke simulatiecampagne is voltooid.

Opmerking

U kunt de optie Exporteren op de verschillende rapportpagina's gebruiken om gegevens te extraheren.

Berichten die zijn gerapporteerd als phishing door gebruikers, worden niet weergegeven in simulatierapporten

Simulatierapporten in aanvalssimulatortraining bieden details over gebruikersactiviteit. Bijvoorbeeld:

  • Gebruikers die op de koppeling in het bericht hebben geklikt.
  • Gebruikers die hun referenties hebben opgegeven.
  • Gebruikers die het bericht als phishing hebben gerapporteerd.

Als berichten die gebruikers als phishing hebben gerapporteerd, niet worden vastgelegd in training voor aanvalssimulatie simulatierapporten, is er mogelijk een Exchange-e-mailstroomregel (ook wel bekend als een transportregel) die de levering van de gerapporteerde berichten aan Microsoft blokkeert. Controleer of eventuele e-mailstroomregels de bezorging van de volgende e-mailadressen niet blokkeren:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Gebruikers krijgen training toegewezen nadat ze een gesimuleerd bericht hebben rapporteren

Als aan gebruikers training is toegewezen nadat ze een phishingsimulatiebericht hebben gerapporteerd, controleert u of uw organisatie een rapportagepostvak gebruikt om door de gebruiker gerapporteerde berichten te ontvangen op https://security.microsoft.com/securitysettings/userSubmission. Het rapportagepostvak moet worden geconfigureerd om veel beveiligingscontroles over te slaan, zoals beschreven in de vereisten voor het rapportagepostvak.

Als u de vereiste uitsluitingen voor het aangepaste rapportagepostvak niet configureert, worden de berichten mogelijk ontplofd door veilige koppelingen of beveiliging van veilige bijlagen, waardoor trainingstoewijzingen worden veroorzaakt.

Andere veelgestelde vragen

A: Er zijn verschillende opties beschikbaar voor doelgebruikers:

  • Alle gebruikers opnemen (momenteel beschikbaar voor organisaties met minder dan 40.000 gebruikers).
  • Kies specifieke gebruikers.
  • Selecteer gebruikers uit een CSV-bestand (één e-mailadres per regel).
  • Microsoft Entra op groep gebaseerde targeting.

We hebben vastgesteld dat campagnes waarbij de beoogde gebruikers worden geïdentificeerd door Microsoft Entra groepen gemakkelijker te beheren zijn.

V: Zijn er limieten voor het richten van gebruikers tijdens het importeren vanuit een CSV of het toevoegen van gebruikers?

A: De limiet voor het importeren van geadresseerden uit een CSV-bestand of het toevoegen van afzonderlijke geadresseerden aan een simulatie is 40.000.

Een geadresseerde kan een afzonderlijke gebruiker of een groep zijn. Een groep kan honderden of duizenden geadresseerden bevatten, zodat er geen werkelijke limiet wordt ingesteld voor het aantal afzonderlijke gebruikers.

Het beheren van een groot CSV-bestand of het toevoegen van veel afzonderlijke geadresseerden kan lastig zijn. Het gebruik van Microsoft Entra groepen vereenvoudigt het algehele beheer van de simulatie.

V: Biedt Microsoft payloads in andere talen?

A: Momenteel zijn er meer dan 40 gelokaliseerde nettoladingen beschikbaar in meer dan 29 talen: Engels, Spaans, Duits, Japans, Frans, Portugees, Nederlands, Italiaans, Zweeds, Chinees (vereenvoudigd), Noors Bokmål, Pools, Russisch, Fins, Koreaans, Turks, Hongaars, Hebreeuws, Thai, Arabisch, Vietnamees, Slowaaks, Grieks, Indonesisch, Roemeens, Sloveens, Kroatisch, Catalaans en Overig. We hebben vastgesteld dat directe of automatische vertaling van bestaande nettoladingen naar andere talen leidt tot onnauwkeurigheden en verminderde relevantie.

Dat gezegd hebbende, kunt u uw eigen nettolading maken in de taal van uw keuze met behulp van de aangepaste ontwerpervaring voor payloads. We raden u ook ten zeerste aan om bestaande nettoladingen te verzamelen die zijn gebruikt om gebruikers in een specifieke geografie te targeten. Met andere woorden, laat de aanvallers de inhoud voor u lokaliseren.

V: Hoeveel trainingsvideo's zijn er beschikbaar?

A: Momenteel zijn er meer dan 85 trainingsmodules beschikbaar in de inhoudsbibliotheek.

V: Hoe kan ik overschakelen naar andere talen voor mijn beheerportal en trainingservaring?

A: In Microsoft 365 of Office 365 is de taalconfiguratie specifiek en gecentraliseerd voor elk gebruikersaccount. Zie Uw weergavetaal en tijdzone wijzigen in Microsoft 365 voor Bedrijven voor instructies over het wijzigen van uw taalinstelling.

Het kan tot 30 minuten duren voordat de configuratiewijziging in alle services is gesynchroniseerd.

V: Kan ik een testsimulatie activeren om te begrijpen hoe het eruitziet voordat ik een volledige campagne start?

A: Ja, dat kan! Selecteer op de laatste pagina Simulatie controleren in de nieuwe simulatiewizard de optie Een test verzenden. Met deze optie wordt een voorbeeld van een phishingsimulatiebericht verzonden naar de momenteel aangemelde gebruiker. Nadat u het phishingbericht in uw Postvak IN hebt gevalideerd, kunt u de simulatie verzenden.

De knop Een test verzenden op de pagina Simulatie controleren

V: Kan ik me richten op gebruikers die deel uitmaken van een andere tenant als onderdeel van dezelfde simulatiecampagne?

A: Nee. Op dit moment worden simulaties tussen tenants niet ondersteund. Controleer of al uw doelgebruikers zich in dezelfde tenant bevinden. Alle gebruikers tussen tenants of gastgebruikers worden uitgesloten van de simulatiecampagne.

V: Hoe werkt regiobewuste levering?

A: Regiobewuste bezorging maakt gebruik van het kenmerk Tijdzone van het postvak van de doelgebruiker en de logica 'niet voor' om te bepalen wanneer het bericht moet worden afgeleverd. Kijk eens naar het volgende scenario:

  • Om 7:00 uur in de Tijdzone van de Stille Oceaan (UTC-8) maakt en plant een beheerder een campagne die op dezelfde dag om 9:00 uur begint.
  • UserA bevindt zich in de oostelijke tijdzone (UTC-5).
  • UserB bevindt zich ook in de tijdzone Pacific.

Om 9:00 uur op dezelfde dag wordt het simulatiebericht verzonden naar UserB. Met regiobewuste bezorging wordt het bericht niet op dezelfde dag naar GebruikerA verzonden, omdat 9:00 uur Pacific Time 12:00 uur Eastern Time is. In plaats daarvan wordt het bericht op de volgende dag om 9:00 uur Oostelijke tijd verzonden naar GebruikerA.

Bij de eerste uitvoering van een campagne waarvoor regiobewuste bezorging is ingeschakeld, kan het er dus op lijken dat het simulatiebericht alleen is verzonden naar gebruikers in een specifieke tijdzone. Maar naarmate de tijd verstrijkt en er meer gebruikers binnen het bereik komen, nemen de beoogde gebruikers toe.

V: Verzamelt of slaat Microsoft informatie op die gebruikers invoeren op de aanmeldingspagina van Credential Harvest, die wordt gebruikt in de simulatietechniek van Credential Harvest?

A: Nee. Alle informatie die is ingevoerd op de aanmeldingspagina voor het verzamelen van referenties, wordt op de achtergrond verwijderd. Alleen de 'klik' wordt vastgelegd om de inbreuk-gebeurtenis vast te leggen. Microsoft verzamelt, logt of slaat geen gegevens op die gebruikers bij deze stap invoeren.