Dela via

Distributionsöverväganden och vanliga frågor och svar för attacksimulatorträning

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Övning av attacksimulering gör det möjligt för Microsoft 365 E5 eller Microsoft Defender för Office 365 plan 2-organisationer att mäta och hantera sociala tekniska risker genom att tillåta skapande och hantering av nätfiskesimuleringar som drivs av verkliga, ofarliga nätfiskenyttolaster. Hyperriktad utbildning, som levereras i samarbete med Terranova-säkerhet, hjälper till att förbättra kunskapen och ändra medarbetarnas beteende.

Mer information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.

Simuleringens skapande och schemaläggning är utformad för att vara fritt flödande och friktionsfri, men simuleringar i företagsskala kräver planering. Den här artikeln hjälper dig att hantera specifika utmaningar som vi ser när våra kunder kör simuleringar i sina egna miljöer.

Problem med slutanvändarupplevelser

URL:er för nätfiskesimulering som blockeras av Googles säkra surfning

En URL-ryktestjänst kan identifiera en eller flera url:er som används av Övning av attacksimulering som osäkra. Googles säkra surfning i Google Chrome blockerar några av de simulerade nätfiske-URL:erna med en bedräglig webbplats i förväg . Vi arbetar med många URL-ryktesleverantörer för att alltid tillåta våra simulerings-URL:er, men vi har inte alltid fullständig täckning.

Den bedrägliga webbplatsen i förväg varning i Google Chrome

Det här problemet påverkar inte Microsoft Edge.

Som en del av planeringsfasen bör du kontrollera tillgängligheten för URL:en i de webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Om URL:erna blockeras av Googles säkra surfning följer du den här vägledningen från Google för att tillåta åtkomst till URL:erna.

Se Kom igång med Övning av attacksimulering för listan över URL:er som för närvarande används av Övning av attacksimulering.

Nätfiskesimulering och administratörs-URL:er som blockeras av nätverksproxylösningar och filterdrivrutiner

Både URL:er för nätfiskesimulering och administratörs-URL:er kan blockeras eller tas bort av dina mellanliggande säkerhetsenheter eller filter. Till exempel:

  • Brandväggar
  • Web Application Firewall (WAF)-lösningar
  • Filterdrivrutiner från tredje part (till exempel filter i kernelläge)

Vi har sett få kunder blockeras på det här lagret, men det sker. Om du stöter på problem kan du överväga att konfigurera följande URL:er för att kringgå genomsökningen av dina säkerhetsenheter eller filter efter behov:

Simuleringsmeddelanden levereras inte till alla målanvändare

Det är möjligt att antalet användare som faktiskt får simuleringens e-postmeddelanden är mindre än antalet användare som var mål för simuleringen. Följande typer av användare undantas som en del av målverifieringen:

  • Ogiltiga e-postadresser för mottagare.
  • Gästanvändare.
  • Användare som inte längre är aktiva i Microsoft Entra ID.

Om du använder distributionsgrupper eller e-postaktiverade säkerhetsgrupper för att rikta in dig på användare kan du använda cmdleten Get-DistributionGroupMember i Exchange Online PowerShell för att visa och validera medlemmar i distributionsgruppen.

Utbildningar som oväntat har tilldelats eller inte tilldelats till användare

Utbildningströskeln i utbildningskampanjer förhindrar att användarna får samma utbildningar tilldelade under ett visst intervall (90 dagar som standard). Mer information finns i Ange tröskelvärde för träning.

Om du har skapat en simulering eller en simuleringsautomatisering med utbildningstilldelningsvärdet Tilldela utbildning åt mig (rekommenderas) tilldelar vi utbildning baserat på en användares tidigare simulerings- och träningsresultat. Om du vill tilldela utbildning baserat på specifika kriterier väljer du själv Välj utbildningskurser och moduler.

Vad händer när en användare svarar på eller vidarebefordrar ett simuleringsmeddelande?

Om en användare svarar på eller vidarebefordrar ett simuleringsmeddelande till en annan postlåda behandlas meddelandet som ett normalt e-postmeddelande (inklusive detonation av säkra länkar eller säkra bifogade filer). Simuleringsrapporten visar om simuleringsmeddelandet har besvarats eller vidarebefordrats. Varje URL i simulerings-e-postmeddelandet är kopplad till en enskild användare, så säkra länkar detonationer identifieras som klick av användaren.

Om du använder en secops-postlåda (dedikerade säkerhetsåtgärder) bör du identifiera den som en SecOps i den avancerade leveransprincipen så att meddelanden levereras ofiltrerad.

Hur kan jag sprida distributionen av simuleringsmeddelanden?

Hur som helst är det viktigt att använda olika nyttolaster för att undvika diskussion och identifiering bland användare.

Varför blockeras bilder i simuleringsmeddelanden av Outlook?

Som standard är Outlook konfigurerat för att blockera automatiska avbildningsnedladdningar i meddelanden från Internet. Även om du kan konfigurera Outlook för att automatiskt ladda ned bilder rekommenderar vi det inte på grund av säkerhetskonsekvenserna (potentiell automatisk nedladdning av skadlig kod eller webbbuggar, även kallat webbfyrar eller spårningspixlar).

Dessa händelser kan inträffa när ytterligare säkerhetsenheter eller program inspekterar simuleringsmeddelanden. Till exempel (men inte begränsat till):

  • Program eller plugin-program i Outlook som inspekterar eller fångar upp meddelandet.
  • Email säkerhetsprogram.
  • Slutpunktssäkerhet eller antivirusprogram.
  • Spelböcker för säkerhetsorkestrering, automatisering och svar (SOAR) som automatiskt sorterar eller svarar på rapporterade meddelanden.

Dessa typer av program kan titta på webbinnehåll för att identifiera nätfiske, så du måste definiera undantag för simuleringsmeddelanden i dessa program.

EmailLinkClicked_IP och EmailLinkClicked_TimeStamp data kan ge mer information om händelsen. Om till exempel ett klick inträffade några sekunder efter leveransen och IP-adressen inte tillhör Microsoft, ditt företag eller användaren, är det troligt att ett filtreringssystem från tredje part eller en annan tjänst snappade upp meddelandet.

För filtreringssystem eller tjänster som inte kommer från Microsoft måste du tillåta eller undanta följande objekt:

  • Alla Övning av attacksimulering-URL:er och motsvarande domäner. För närvarande skickar vi inte simuleringsmeddelanden från en statisk lista över IP-adresser.
  • Andra domäner som du använder i anpassade nyttolaster.

Kan jag lägga till den externa taggen eller säkerhetstipsen i simuleringsmeddelanden?

Anpassade nyttolaster har möjlighet att lägga till den externa taggen i meddelanden. Mer information finns i Steg 5 i Skapa nyttolaster.

Det finns inga inbyggda alternativ för att lägga till säkerhetstips för nyttolaster, men du kan använda följande metoder på sidan Konfigurera nyttolast i guiden konfigurera nyttolast::

  • Använd ett befintligt e-postmeddelande som innehåller säkerhetstipset som mall. Spara meddelandet som HTML och kopiera informationen.

  • Använd följande exempelkod för säkerhetstipset för första kontakten:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

Kan jag tilldela utbildningsmoduler utan att placera användarna i en simulering?

Ja. Mer information finns i Utbildningskampanjer i Övning av attacksimulering.

Hur gör jag för att få reda på om simuleringsmeddelanden som inte levererades?

Fliken Användare för simuleringen kan filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.

Om du äger avsändardomänen returneras simuleringsrapporten som inte har levererats i en rapport om utebliven leverans (kallas även NDR eller studsmeddelande). Mer information om koderna i NDR finns i Email rapporter om utebliven leverans och SMTP-fel i Exchange Online.

Problem med Övning av attacksimulering rapportering

Tips

Registreringen av simuleringsdata startar några minuter efter att simuleringen har startats och när användarna börjar interagera med simuleringsmeddelandena. Det finns ingen fast starttid. Händelser registreras fortfarande när simuleringen är slut.

Skillnader i användaraktivitetsdata från Övning av attacksimulering-rapporter och andra rapporter

För rapportering om användaraktivitet relaterad till simuleringsmeddelanden rekommenderar vi att du använder de inbyggda simuleringsrapporterna. Rapporter från andra källor (till exempel Avancerad jakt) kanske inte är korrekta.

Simulerings-URL:er omsluts inte av säkra länkar och betraktas som oöppnade länkar. Alla klick på oöppnade länkar går inte via Säkra länkar, så användaraktivitet relaterad till simuleringsmeddelanden kanske inte registreras i UrlClickEvents-loggarna.

Övning av attacksimulering rapporter innehåller ingen aktivitetsinformation

Övning av attacksimulering levereras med omfattande, användbara insikter som håller dig informerad om hotberedskapsförloppet för dina anställda. Om Övning av attacksimulering rapporter inte är ifyllda med data kontrollerar du att granskningsloggning är aktiverat i din organisation (det är aktiverat som standard).

Granskningsloggning krävs av Övning av attacksimulering så att händelser kan registreras, registreras och läsas tillbaka. Om du inaktiverar granskningsloggning får du följande konsekvenser för Övning av attacksimulering:

  • Rapporteringsdata är inte tillgängliga i alla rapporter. Rapporterna visas tomma.
  • Träningstilldelningar blockeras eftersom data inte är tillgängliga.

Information om hur du kontrollerar att granskningsloggning är aktiverat eller för att aktivera den finns i Aktivera eller inaktivera granskning.

Tips

Tom aktivitetsinformation orsakas också av att inga E5-licenser tilldelas till användare. Kontrollera att minst en E5-licens har tilldelats till en aktiv användare för att säkerställa att rapporteringshändelser registreras och registreras.

Användaråtgärder och administratörsåtgärder granskas. Leta efter AuditLogRecordType-värdena 85, 88 och 218 i API:et för hanteringsaktivitet.

Viss granskningsinformation kan också vara tillgänglig i tabellen CloudAppEvents i Microsoft Defender XDR Avancerad jakt via Defender-portalen eller API:et för direktuppspelning.

Rapportera problem med lokala postlådor

Övning av attacksimulering stöder lokala postlådor, men med nedsatt rapporteringsfunktion:

  • Data om huruvida användare läser, vidarebefordrar eller tar bort simuleringsmeddelandet är inte tillgängliga för lokala postlådor.
  • Antalet användare som rapporterade simuleringsmeddelandet är inte tillgängligt för lokala postlådor.

Tips

Förutom simuleringsmeddelanden som skickas via transportpipelinen jämfört med direktinmatning i Microsoft 365 är utbildnings-, automatiserings- och innehållshanteringsupplevelserna desamma för lokala postlådor.

Simuleringsrapporter uppdateras inte omedelbart

Detaljerade simuleringsrapporter uppdateras inte omedelbart efter att du har påbörjat en kampanj. Var inte orolig; det här beteendet förväntas.

Varje simuleringskampanj har en livscykel. När simuleringen först skapas är den i tillståndet Schemalagd . När simuleringen startar övergår den till tillståndet Pågår . När den är klar övergår simuleringen till tillståndet Slutfört .

Medan en simulering är i schemalagt tillstånd är simuleringsrapporterna mestadels tomma. Under det här steget löser simuleringsmotorn målanvändarens e-postadresser, expanderar distributionsgrupper, tar bort gästanvändare från listan osv.:

Simuleringsinformation som visar simuleringen i schemalagt tillstånd

När simuleringen har gått in i steget Pågår börjar informationen sippra in i rapporteringen:

Simuleringsinformation som visar simuleringen i tillståndet Pågår

Det kan ta upp till 30 minuter för de enskilda simuleringsrapporterna att uppdateras efter övergången till tillståndet Pågår . Rapportdata fortsätter att skapas tills simuleringen når tillståndet Slutfört . Rapporteringsuppdateringar sker med följande intervall:

  • Var 10:e minut under de första 60 minuterna.
  • Var 15:e minut efter 60 minuter till två dagar.
  • Var 30:e minut efter två dagar till sju dagar.
  • Var 60:e minut efter sju dagar.

Widgetar på översiktssidan ger en snabb ögonblicksbild av organisationens simuleringsbaserade säkerhetsstatus över tid. Eftersom dessa widgetar återspeglar din övergripande säkerhetsstatus och resa över tid uppdateras de när varje simuleringskampanj har slutförts.

Obs!

Du kan använda alternativet Exportera på de olika rapporteringssidorna för att extrahera data.

Meddelanden som rapporteras som nätfiske av användare visas inte i simuleringsrapporter

Simuleringsrapporter i träning med attacksimulatorer innehåller information om användaraktivitet. Till exempel:

  • Användare som klickade på länken i meddelandet.
  • Användare som gav upp sina autentiseringsuppgifter.
  • Användare som rapporterade meddelandet som nätfiske.

Om meddelanden som användare har rapporterat som nätfiske inte registreras i Övning av attacksimulering simuleringsrapporter kan det finnas en Exchange-e-postflödesregel (kallas även transportregel) som blockerar leveransen av de rapporterade meddelandena till Microsoft. Kontrollera att e-postflödesregler inte blockerar leveransen till följande e-postadresser:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Användare tilldelas utbildning när de rapporterar ett simulerat meddelande

Om användarna har tilldelats utbildning efter att de har rapporterat ett meddelande om nätfiskesimulering kontrollerar du om din organisation använder en rapporteringspostlåda för att ta emot användarrapporterade meddelanden på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostlådan måste konfigureras för att hoppa över många säkerhetskontroller enligt beskrivningen i krav för rapporteringspostlådan.

Om du inte konfigurerar de undantag som krävs för postlådan för anpassad rapportering kan meddelandena detoneras av säkra länkar eller skydd mot säkra bifogade filer, vilket orsakar träningstilldelningar.

Andra vanliga frågor och svar

S: Flera alternativ är tillgängliga för målanvändare:

  • Inkludera alla användare (för närvarande tillgängliga för organisationer med färre än 40 000 användare).
  • Välj specifika användare.
  • Välj användare från en CSV-fil (en e-postadress per rad).
  • Microsoft Entra gruppbaserad inriktning. Följande grupptyper stöds:
    • Microsoft 365-grupper (statisk och dynamisk)
    • Distributionsgrupper (endast statiska)
    • E-postaktiverade säkerhetsgrupper (endast statiska)

Vi tycker att kampanjer där målanvändare identifieras av Microsoft Entra grupper är enklare att hantera.

F: Hur många träningsmoduler finns det?

För närvarande finns det 94 inbyggda utbildningar på sidan Träningsmoduler .

F: Hur används språk för upplevelser som träningsmoduler och meddelanden?

  • Träningsmoduler: Inställningarna för webbläsarens nationella inställningar används. Men när utbildningen har tilldelats till en användare bevaras språkvalet och framtida utbildningar tilldelas på det språket.
  • Slutanvändarmeddelanden: Inställningar för språkinställningar för postlådan används.
  • Simuleringsspellaster: Det språk som valts av administratören under skapandet används.
  • Landningssidor: Språkinställningarna för Microsoft 365-konto används. Användaren kan också ändra språk från listrutan som finns på landningssidan.

F: Finns det några gränser för att rikta in sig på användare när du importerar från en CSV eller lägger till användare?

S: Gränsen för att importera mottagare från en CSV-fil eller lägga till enskilda mottagare i en simulering är 40 000.

En mottagare kan vara en enskild användare eller en grupp. En grupp kan innehålla hundratals eller tusentals mottagare. Den övre gränsen för antalet användare är 400 000, men vi rekommenderar en gräns på 200 000 användare för varje simulering för bästa prestanda.

Det kan vara besvärligt att hantera en stor CSV-fil eller lägga till många enskilda mottagare. Att använda Microsoft Entra grupper förenklar den övergripande hanteringen av simuleringen.

Tips

För närvarande stöds inte delade postlådor i Övning av attacksimulering. Simuleringar bör riktas mot användarpostlådor eller grupper som innehåller användarpostlådor.

Grupper utökas och listan över användare genereras när simuleringen, simuleringsautomatiseringen eller utbildningskampanjen sparas.

F: Är gränserna för antalet simuleringar som kan distribueras under ett visst tidsintervall?

A. Nej, även om du kan uppleva långsamhet om du startar många parallella simuleringar. Meddelandefrekvenser (inklusive simuleringsmeddelandefrekvenser) begränsas av tjänstens hastighetsbegränsningar för meddelanden.

F: Tillhandahåller Microsoft nyttolaster på andra språk?

S: För närvarande finns det över 40 lokaliserade nyttolaster tillgängliga på över 29 språk: engelska, spanska, tyska, japanska, franska, portugisiska, nederländska, italienska, svenska, kinesiska (förenklad), norska Bokmål, polska, ryska, finska, koreanska, turkiska, ungerska, hebreiska, thailändska, arabiska, vietnamesiska, slovakiska, grekiska, indonesiska, rumänska, slovenska, kroatiska, katalanska och andra. Vi har fastställt att direkt- eller maskinöversättning av befintliga nyttolaster till andra språk leder till felaktigheter och minskad relevans.

Med detta sagt kan du skapa en egen nyttolast på det språk du väljer med hjälp av den anpassade redigeringsupplevelsen för nyttolast. Vi rekommenderar också starkt att du skördar befintliga nyttolaster som användes för att rikta in dig på användare i ett visst geografiskt område. Låt med andra ord angriparna lokalisera innehållet åt dig.

F: Hur många träningsvideor är tillgängliga?

S: För närvarande finns det fler än 85 utbildningsmoduler tillgängliga i innehållsbiblioteket.

F: Hur kan jag byta till andra språk för min administratörsportal och utbildningsupplevelse?

S: I Microsoft 365 eller Office 365 är språkkonfigurationen specifik och centraliserad för varje användarkonto. Anvisningar om hur du ändrar språkinställningen finns i Ändra visningsspråk och tidszon i Microsoft 365 för företag.

Konfigurationsändringen kan ta upp till 30 minuter att synkronisera mellan alla tjänster.

F: Kan jag utlösa en testsimulering för att förstå hur det ser ut innan jag startar en fullvärdig kampanj?

S: Ja det kan du! På den senaste sidan Granska simulering i den nya simuleringsguiden väljer du Skicka ett test. Det här alternativet skickar ett exempel på ett meddelande om nätfiskesimulering till den inloggade användaren. När du har verifierat nätfiskemeddelandet i inkorgen kan du skicka simuleringen.

Knappen Skicka ett test på sidan Granska simulering

Tips

Du kan också använda Skicka ett test från sidan Nyttolaster . Men om du någonsin använder den valda nyttolasten i en simulering visas testmeddelandet i de aggregerade rapporterna. Du kan exportera resultaten eller använda Microsoft Graph API för att filtrera resultaten.

F: Kan jag rikta mig till användare som tillhör en annan klientorganisation som en del av samma simuleringskampanj?

S: Nej. För närvarande stöds inte simuleringar mellan klientorganisationer. Kontrollera att alla dina målanvändare finns i samma klientorganisation. Alla användare mellan klientorganisationer eller gästanvändare undantas från simuleringskampanjen.

F: Hur fungerar regionmedveten leverans?

S: Regionmedveten leverans använder tidszonsattributet för målanvändarens postlåda för att avgöra när meddelandet ska levereras. Det kan finnas en tidsskillnad på ± en timme i e-postleveransen baserat på användarens tidszon. Tänk dig exempelvis följande situation:

  • Kl. 07:00 i Tidszon i Stilla havet (UTC-8) skapar och schemalägger en administratör en kampanj som startar kl. 09:00 samma dag.
  • UserA finns i den östra tidszonen (UTC-5).
  • UserB finns också i tidszonen Pacific.

Kl. 09:00 samma dag skickas simuleringsmeddelandet till UserB. Med regionmedveten leverans skickas meddelandet inte till UserA samma dag eftersom 09:00 Pacific-tid är 12:00 östlig tid. I stället skickas meddelandet till UserA kl. 09:00 östlig tid följande dag.

På den första körningen av en kampanj med regionmedveten leverans aktiverad kan det därför verka som om simuleringsmeddelandet bara skickades till användare i en specifik tidszon. Men när tiden går och fler användare kommer in i omfånget ökar de målinriktade användarna.

Om du inte använder regionmedveten leverans startar kampanjen baserat på tidszonen för den användare som konfigurerar den.

F: Samlar Microsoft in eller lagrar någon information som användarna anger på inloggningssidan för autentiseringsuppgifter, som används i simuleringstekniken för autentiseringsuppgiftsskörd?

S: Nej. All information som anges på inloggningssidan för autentiseringsuppgifter tas bort tyst. Endast "klicka" registreras för att fånga kompromisshändelsen. Microsoft samlar inte in, loggar eller lagrar någon information som användarna anger i det här steget.

F: Hur länge behålls simuleringsinformation? Kan jag ta bort simuleringsdata?

S: Se följande tabell:

Datatyp Kvarhållning
Simuleringsmetadata 18 månader om inte simuleringen tas bort tidigare av en administratör.
Simuleringsautomatisering 18 månader om inte simuleringsautomationen tas bort tidigare av en administratör.
Automatisering av nyttolast 18 månader om inte nyttolastautomatiseringen tas bort tidigare av en administratör.
Användaraktivitet i simuleringsmetadata 18 månader om inte simuleringen tas bort tidigare av en administratör.
Globala nyttolaster Sparad om den inte tas bort av Microsoft.
Klientnyttolaster 18 månader om inte den arkiverade nyttolasten tas bort tidigare av en administratör.
Användaraktivitet i träningsmetadata 18 månader om inte simuleringen tas bort tidigare av en administratör.
MDO rekommenderade nyttolaster 6 månader.
Globala slutanvändarmeddelanden Sparad om den inte tas bort av Microsoft.
Slutanvändarmeddelanden för klientorganisation 18 månader om inte meddelandet tas bort tidigare av en administratör.
Globala inloggningssidor Sparad om den inte tas bort av Microsoft.
Inloggningssidor för klientorganisation 18 månader om inte inloggningssidan tas bort tidigare av en administratör.
Globala landningssidor Sparad om den inte tas bort av Microsoft
Målsidor för klientorganisation 18 månader om inte landningssidan tas bort tidigare av en administratör.

Om hela klientorganisationen tas bort tas träningsdata för attacksimulering bort efter 90 dagar.

Mer information finns i Information om datakvarhållning för Microsoft Defender för Office 365.

F: Kan jag skapa, visa och hantera simuleringar med hjälp av ett API?

S: Ja. Läs- och skrivscenarier stöds med hjälp av Microsoft Graph API:

  • AttackSimulation.Read.All:
    • Läsa simuleringsmetadata
    • Läs användaraktivitet
    • Läsa träningsdata
    • Läsa återfallsförbrytare
  • AttackSimulation.ReadWrite.All: Kör simuleringar med angivna nyttolaster, meddelanden och inloggningssidor.

Mer information finns i Lista simuleringar och api-översikt över rapporter för träning av attacksimulering som en del av Microsoft Defender för Office 365.

F: Kan jag ta bort anpassade nyttolaster?

S: Ja. Först arkiverar du nyttolasten och sedan tar du bort den arkiverade nyttolasten. Anvisningar finns i Arkivera nyttolaster.

F: Kan jag ändra de inbyggda nyttolasten?

S: Inte direkt. Du kan kopiera den inbyggda nyttolasten och sedan ändra kopian. Anvisningar finns i Kopiera nyttolaster.

F: Jag försöker köra en QR-kodsimulering, men genom att skanna QR-koden visas "ping lyckad" i stället för landningssidan?

S: När du infogar en QR-kod i nyttolastredigeraren mappas den till den grundläggande nätfiske-URL som du valde i avsnittet >NätfiskelänkVälj URL. QR-koden infogas i e-postmeddelandet som en bild. Om du växlar från fliken Text till fliken Kod visas den infogade bilden i Base64-format. Början av bilden innehåller <div id="QRcode"...>. Kontrollera att den färdiga nyttolasten innehåller <div id="QRcode"...> innan du använder den i en simulering.

Om du genomsöker QR-koden eller använder Skicka ett test för att granska nyttolasten när simuleringen skapas pekar QR-koden på den grundläggande nätfiske-URL som du har valt.

När nyttolasten används i en simulering ersätter tjänsten QR-koden med en dynamiskt genererad QR-kod för att spåra klick- och kompromissmått. QR-kodens storlek, position och form matchar konfigurationsalternativen som du konfigurerade i nyttolasten. Genom att skanna QR-koden under en faktisk simulering kommer du till den konfigurerade landningssidan.

F: Jag försöker skapa en nyttolast i HTML, men nyttolastredigeraren verkar ta bort visst innehåll från min design?

S: För närvarande stöds inte följande HTML-taggar i nyttolastredigeraren: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.