Considerações de implantação de treinamento de simulação de ataque e perguntas frequentes

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Treinamento de simulação de ataque permite que Microsoft 365 E5 ou Microsoft Defender para Office 365 organizações do Plano 2 meçam e gerenciem o risco de engenharia social permitindo a criação e o gerenciamento de simulações de phishing que são alimentadas pelo mundo real, inofensivas cargas de phishing. O treinamento hiper-direcionado, fornecido em parceria com a segurança do Terranova, ajuda a melhorar o conhecimento e a alterar o comportamento dos funcionários.

Para obter mais informações sobre como começar a usar Treinamento de simulação de ataque, consulte Introdução ao uso de Treinamento de simulação de ataque.

Embora a experiência de criação e agendamento de simulação seja projetada para ser livre e sem atritos, simulações em uma escala corporativa exigem planejamento. Este artigo ajuda a resolver desafios específicos que vemos à medida que nossos clientes executam simulações em seus próprios ambientes.

Problemas com experiências do usuário final

URLs de simulação de phishing bloqueadas pela Navegação Segura do Google

Um serviço de reputação de URL pode identificar uma ou mais URLs usadas por Treinamento de simulação de ataque como inseguras. O Google Safe Browsing no Google Chrome bloqueia algumas das URLs de phishing simuladas com uma mensagem de site enganoso à frente . Embora trabalhemos com muitos fornecedores de reputação de URL para sempre permitir nossas URLs de simulação, nem sempre temos cobertura completa.

Esse problema não afeta o Microsoft Edge.

Como parte da fase de planejamento, certifique-se de marcar a disponibilidade da URL em seus navegadores da Web com suporte antes de usar a URL em uma campanha de phishing. Se as URLs forem bloqueadas pelo Google Safe Browsing, siga esta orientação do Google para permitir o acesso às URLs.

Consulte Introdução usando Treinamento de simulação de ataque para a lista de URLs usadas atualmente pelo Treinamento de simulação de ataque.

Simulação de phishing e URLs de administrador bloqueadas por soluções de proxy de rede e drivers de filtro

As URLs de simulação de phishing e as URLs de administrador podem ser bloqueadas ou descartadas por seus dispositivos de segurança intermediários ou filtros. Por exemplo:

• Firewalls
• soluções de WAF (Firewall de Aplicativo Web)
• Drivers de filtro de terceiros (por exemplo, filtros de modo kernel)

Embora tenhamos visto poucos clientes sendo bloqueados nessa camada, isso acontece. Se você encontrar problemas, considere configurar as seguintes URLs para ignorar a verificação por seus dispositivos de segurança ou filtros, conforme necessário:

• As URLs de phishing simuladas, conforme descrito em Introdução ao uso de Treinamento de simulação de ataque.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Mensagens de simulação não entregues a todos os usuários de destino

É possível que o número de usuários que realmente recebem as mensagens de email de simulação seja menor do que o número de usuários que foram alvo da simulação. Os seguintes tipos de usuários são excluídos como parte da validação de destino:

• Endereços de email de destinatário inválidos.
• Usuários convidados.
• Usuários que não estão mais ativos no Microsoft Entra ID.

Se você usar grupos de distribuição ou grupos de segurança habilitados para email para direcionar usuários, poderá usar o cmdlet Get-DistributionGroupMember no Exchange Online PowerShell para exibir e validar os membros do grupo de distribuição.

Problemas com relatórios de Treinamento de simulação de ataque

Treinamento de simulação de ataque relatórios não contêm detalhes da atividade

Treinamento de simulação de ataque vem com informações ricas e acionáveis que o mantêm informado sobre o progresso de preparação para ameaças de seus funcionários. Se Treinamento de simulação de ataque relatórios não forem preenchidos com dados, verifique se o registro em log de auditoria está ativado em sua organização (ele está ativado por padrão).

O registro em log de auditoria é necessário por Treinamento de simulação de ataque para que os eventos possam ser capturados, gravados e lidos novamente. Desativar o registro em log de auditoria tem as seguintes consequências para Treinamento de simulação de ataque:

• Os dados de relatório não estão disponíveis em todos os relatórios. Os relatórios parecem vazios.
• As atribuições de treinamento são bloqueadas porque os dados não estão disponíveis.

Para verificar se o log de auditoria está ativado ou ativá-lo, consulte Ativar ou desativar a auditoria.

Observação

Detalhes vazios da atividade também podem ser causados por nenhuma licença E5 sendo atribuída aos usuários. Verifique se pelo menos uma licença E5 é atribuída a um usuário ativo para garantir que os eventos de relatório sejam capturados e gravados.

Relatar problemas com caixas de correio locais

Treinamento de simulação de ataque dá suporte a caixas de correio locais, mas com funcionalidade de relatório reduzida:

• Os dados sobre se os usuários leram, encaminham ou excluíram o email de simulação não estão disponíveis para caixas de correio locais.
• O número de usuários que relataram o email de simulação não está disponível para caixas de correio locais.

Os relatórios de simulação não são atualizados imediatamente

Relatórios de simulação detalhados não são atualizados imediatamente após você iniciar uma campanha. Não se preocupe; esse comportamento é esperado.

Cada campanha de simulação tem um ciclo de vida. Quando criada pela primeira vez, a simulação está no estado Agendado . Quando a simulação é iniciada, ela faz a transição para o estado Em andamento . Quando concluída, a simulação faz a transição para o estado concluído .

Enquanto uma simulação está no estado agendado , os relatórios de simulação estão em sua maioria vazios. Durante esse estágio, o mecanismo de simulação está resolvendo os endereços de email do usuário de destino, expandindo grupos de distribuição, removendo usuários convidados da lista, etc.:

Depois que a simulação entra no estágio Em andamento , as informações começam a escorrer para o relatório:

Pode levar até 30 minutos para que os relatórios de simulação individuais se atualizem após a transição para o estado em andamento . Os dados do relatório continuam a ser compilados até que a simulação atinja o estado concluído . As atualizações de relatório ocorrem nos seguintes intervalos:

• A cada 10 minutos nos primeiros 60 minutos.
• A cada 15 minutos após 60 minutos até dois dias.
• A cada 30 minutos após dois dias até sete dias.
• A cada 60 minutos após sete dias.

Os widgets na página Visão geral fornecem uma instantâneo rápida da postura de segurança baseada em simulação da sua organização ao longo do tempo. Como esses widgets refletem sua postura de segurança geral e jornada ao longo do tempo, eles são atualizados após a conclusão de cada campanha de simulação.

Observação

Você pode usar a opção Exportar nas várias páginas de relatório para extrair dados.

Mensagens relatadas como phishing por usuários não estão aparecendo em relatórios de simulação

Relatórios de simulação no treinamento do simulador de ataque fornecem detalhes sobre a atividade do usuário. Por exemplo:

• Usuários que clicaram no link na mensagem.
• Usuários que desistiram de suas credenciais.
• Usuários que relataram a mensagem como phishing.

Se as mensagens que os usuários relataram como phishing não forem capturadas em relatórios de simulação Treinamento de simulação de ataque, poderá haver uma regra de fluxo de email do Exchange (também conhecida como regra de transporte) que está bloqueando a entrega das mensagens relatadas para a Microsoft. Verifique se as regras de fluxo de email não estão bloqueando a entrega para os seguintes endereços de email:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

Os usuários recebem treinamento após relatarem uma mensagem simulada

Se os usuários receberem treinamento após relatarem uma mensagem de simulação de phishing, marcar para ver se sua organização usa uma caixa de correio de relatório para receber mensagens relatadas pelo usuário no https://security.microsoft.com/securitysettings/userSubmission. A caixa de correio de relatório precisa ser configurada para ignorar muitas verificações de segurança, conforme descrito nos pré-requisitos da caixa de correio de relatório.

Se você não configurar as exclusões necessárias para a caixa de correio de relatório personalizada, as mensagens poderão ser detonadas por Links Seguros ou proteção de Anexos Seguros, o que causa atribuições de treinamento.

Outras perguntas frequentes

P: Qual é o método recomendado para direcionar usuários para campanhas de simulação?

R: Várias opções estão disponíveis para usuários de destino:

• Inclua todos os usuários (atualmente disponíveis para organizações com menos de 40.000 usuários).
• Escolha usuários específicos.
• Selecione usuários em um arquivo CSV (um endereço de email por linha).
• Microsoft Entra direcionamento baseado em grupo.

Descobrimos que as campanhas em que os usuários-alvo são identificados por grupos de Microsoft Entra são mais fáceis de gerenciar.

P: Há algum limite na segmentação de usuários durante a importação de um CSV ou na adição de usuários?

R: O limite para importar destinatários de um arquivo CSV ou adicionar destinatários individuais a uma simulação é de 40.000.

Um destinatário pode ser um usuário individual ou um grupo. Um grupo pode conter centenas ou milhares de destinatários, portanto, um limite real não é colocado no número de usuários individuais.

Gerenciar um arquivo CSV grande ou adicionar muitos destinatários individuais pode ser complicado. O uso de grupos Microsoft Entra simplifica o gerenciamento geral da simulação.

P: A Microsoft fornece cargas em outros idiomas?

R: Atualmente, há mais de 40 cargas localizadas disponíveis em mais de 29 idiomas: inglês, espanhol, alemão, japonês, francês, português, holandês, italiano, sueco, chinês (simplificado), norueguês Bokmål, polonês, russo, finlandês, coreano, turco, húngaro, hebraico, tailandês, árabe, vietnamita, eslovaco, grego, indonésio, romeno, esloveno, croata, catalão e outros. Determinamos que a conversão direta ou automática de cargas existentes para outros idiomas leva a imprecisões e diminuição da relevância.

Dito isso, você pode criar sua própria carga no idioma de sua escolha usando a experiência de criação de carga personalizada. Também recomendamos que você colete cargas existentes que foram usadas para direcionar usuários em uma geografia específica. Em outras palavras, deixe que os invasores localizem o conteúdo para você.

P: Quantos vídeos de treinamento estão disponíveis?

R: Atualmente, há mais de 85 módulos de treinamento disponíveis na biblioteca de conteúdo.

P: Como posso alternar para outras linguagens para meu portal de administração e experiência de treinamento?

R: No Microsoft 365 ou Office 365, a configuração de idioma é específica e centralizada para cada conta de usuário. Para obter instruções sobre como alterar sua configuração de idioma, consulte Alterar sua linguagem de exibição e fuso horário no Microsoft 365 for Business.

A alteração de configuração pode levar até 30 minutos para ser sincronizada em todos os serviços.

P: Posso disparar uma simulação de teste para entender como é antes de iniciar uma campanha completa?

R: Sim, você pode! Na última página Revisar Simulação no novo assistente de simulação, selecione Enviar um teste. Essa opção envia uma mensagem de simulação de phishing de exemplo para o usuário conectado no momento. Depois de validar a mensagem de phishing na caixa de entrada, você poderá enviar a simulação.

P: Posso direcionar usuários que pertencem a um locatário diferente como parte da mesma campanha de simulação?

R: Não. Atualmente, não há suporte para simulações entre locatários. Verifique se todos os usuários de destino estão no mesmo locatário. Todos os usuários ou usuários convidados entre locatários são excluídos da campanha de simulação.

P: Como funciona a entrega com reconhecimento de região?

R: A entrega com reconhecimento de região usa o atributo TimeZone da caixa de correio do usuário de destino e a lógica "não antes" para determinar quando entregar a mensagem. Por exemplo, considere o seguinte cenário:

• Às 7h no fuso horário do Pacífico (UTC-8), um administrador cria e agenda uma campanha para começar às 9h do mesmo dia.
• UserA está no fuso horário oriental (UTC-5).
• O UserB também está no fuso horário do Pacífico.

Às 9h do mesmo dia, a mensagem de simulação é enviada ao UserB. Com a entrega com reconhecimento de região, a mensagem não é enviada ao UserA no mesmo dia, pois às 9h, hora do Pacífico, é às 12:00, hora do Leste. Em vez disso, a mensagem é enviada ao UserA às 9:00 hora do Leste no dia seguinte.

Portanto, na execução inicial de uma campanha com a entrega de reconhecimento de região habilitada, pode parecer que a mensagem de simulação foi enviada apenas para usuários em um fuso horário específico. Mas, à medida que o tempo passa e mais usuários entram no escopo, os usuários direcionados aumentam.

P: A Microsoft coleta ou armazena informações que os usuários inserem na página de entrada da Colheita de Credenciais, usada na técnica de simulação de Colheita de Credenciais?

R: Não. Todas as informações inseridas na página de entrada da colheita de credencial são descartadas silenciosamente. Somente o 'clique' é gravado para capturar o evento de compromisso. A Microsoft não coleta, registra ou armazena detalhes que os usuários inserem nesta etapa.