Dela via

Distributionsöverväganden och vanliga frågor och svar för attacksimulatorträning

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Med utbildning i attacksimulering kan Microsoft 365 E5- eller Microsoft Defender för Office 365 Plan 2-organisationer mäta och hantera sociala tekniska risker genom att skapa och hantera nätfiskesimuleringar som drivs av verkliga, ofarliga nätfiskenyttolaster. Hyperriktad utbildning, som levereras i samarbete med Terranova-säkerhet, hjälper till att förbättra kunskapen och ändra medarbetarnas beteende.

Mer information om hur du kommer igång med träning av attacksimulering finns i Komma igång med att använda attacksimuleringsträning.

Simuleringens skapande och schemaläggning är utformad för att vara fritt flödande och friktionsfri, men simuleringar i företagsskala kräver planering. Den här artikeln hjälper dig att hantera specifika utmaningar som vi ser när våra kunder kör simuleringar i sina egna miljöer.

Problem med slutanvändarupplevelser

URL:er för nätfiskesimulering som blockeras av Googles säkra surfning

En URL-ryktestjänst kan identifiera en eller flera av de URL:er som används av attacksimuleringsträningen som osäkra. Googles säkra surfning i Google Chrome blockerar några av de simulerade nätfiske-URL:erna med en bedräglig webbplats i förväg . Vi arbetar med många URL-ryktesleverantörer för att alltid tillåta våra simulerings-URL:er, men vi har inte alltid fullständig täckning.

Den bedrägliga webbplatsen i förväg varning i Google Chrome

Det här problemet påverkar inte Microsoft Edge.

Som en del av planeringsfasen bör du kontrollera tillgängligheten för URL:en i de webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Om URL:erna blockeras av Googles säkra surfning följer du den här vägledningen från Google för att tillåta åtkomst till URL:erna.

Se Kom igång med träning av attacksimulering för listan över URL:er som för närvarande används av träning i attacksimulering.

Nätfiskesimulering och administratörs-URL:er som blockeras av nätverksproxylösningar och filterdrivrutiner

Både URL:er för nätfiskesimulering och administratörs-URL:er kan blockeras eller tas bort av dina mellanliggande säkerhetsenheter eller filter. Till exempel:

  • Brandväggar
  • Waf-lösningar (Web Application Firewall)
  • Filterdrivrutiner från tredje part (till exempel filter i kernelläge)

Vi har sett få kunder blockeras på det här lagret, men det sker. Om du stöter på problem kan du överväga att konfigurera följande URL:er för att kringgå genomsökningen av dina säkerhetsenheter eller filter efter behov:

Simuleringsmeddelanden levereras inte till alla målanvändare

Det är möjligt att antalet användare som faktiskt får simuleringens e-postmeddelanden är mindre än antalet användare som var mål för simuleringen. Följande typer av användare undantas som en del av målverifieringen:

  • Ogiltiga e-postadresser för mottagare.
  • Gästanvändare.
  • Användare som inte längre är aktiva i Microsoft Entra-ID.

Om du använder distributionsgrupper eller e-postaktiverade säkerhetsgrupper för att rikta in dig på användare kan du använda cmdleten Get-DistributionGroupMember i Exchange Online PowerShell för att visa och validera medlemmar i distributionsgruppen.

Utbildningar som oväntat har tilldelats eller inte tilldelats till användare

Utbildningströskeln i utbildningskampanjer förhindrar att användarna får samma utbildningar tilldelade under ett visst intervall (90 dagar som standard). Mer information finns i Ange tröskelvärde för träning.

Om du har skapat en simulering eller en simuleringsautomatisering med utbildningstilldelningsvärdet Tilldela utbildning åt mig (rekommenderas) tilldelar vi utbildning baserat på en användares tidigare simulerings- och träningsresultat. Om du vill tilldela utbildning baserat på specifika kriterier väljer du själv Välj utbildningskurser och moduler.

Vad händer när en användare svarar på eller vidarebefordrar ett simuleringsmeddelande?

Om en användare svarar på eller vidarebefordrar ett simuleringsmeddelande till en annan postlåda behandlas meddelandet som ett normalt e-postmeddelande (inklusive detonation av säkra länkar eller säkra bifogade filer). Simuleringsrapporten visar om simuleringsmeddelandet har besvarats eller vidarebefordrats. Varje URL i simulerings-e-postmeddelandet är kopplad till en enskild användare, så säkra länkar detonationer identifieras som klick av användaren.

Om du använder en secops-postlåda (dedikerade säkerhetsåtgärder) bör du identifiera den som en SecOps i den avancerade leveransprincipen så att meddelanden levereras ofiltrerad.

Hur kan jag sprida distributionen av simuleringsmeddelanden?

Hur som helst är det viktigt att använda olika nyttolaster för att undvika diskussion och identifiering bland användare.

Varför blockeras bilder i simuleringsmeddelanden av Outlook?

Som standard är Outlook konfigurerat för att blockera automatiska avbildningsnedladdningar i meddelanden från Internet. Även om du kan konfigurera Outlook för att automatiskt ladda ned bilder rekommenderar vi det inte på grund av säkerhetskonsekvenserna (potentiell automatisk nedladdning av skadlig kod eller webbbuggar, även kallat webbfyrar eller spårningspixlar).

Filtreringstjänster från tredje part kan vara att skylla. För alla filtreringssystem som inte kommer från Microsoft som du använder måste du tillåta eller undanta följande objekt:

  • Alla TRÄNINGS-URL:er för attacksimulering och motsvarande domäner. För närvarande skickar vi inte simuleringsmeddelanden från en statisk lista över IP-adresser.
  • Andra domäner som du använder i anpassade nyttolaster.

Kan jag lägga till den externa taggen eller säkerhetstipsen i simuleringsmeddelanden?

Anpassade nyttolaster har möjlighet att lägga till den externa taggen i meddelanden. Mer information finns i Steg 5 i Skapa nyttolaster.

Det finns inga inbyggda alternativ för att lägga till säkerhetstips för nyttolaster, men du kan använda följande metoder på sidan Konfigurera nyttolast i guiden konfigurera nyttolast::

  • Använd ett befintligt e-postmeddelande som innehåller säkerhetstipset som mall. Spara meddelandet som HTML och kopiera informationen.

  • Använd följande exempelkod för säkerhetstipset för första kontakten:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

Kan jag tilldela utbildningsmoduler utan att placera användarna i en simulering?

Ja. Mer information finns i Utbildningskampanjer i Träning av attacksimulering.

Hur tar jag reda på om simuleringsmeddelanden som inte levererades?

Fliken Användare för simuleringen kan filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.

Om du äger avsändardomänen returneras simuleringsrapporten som inte har levererats i en rapport om utebliven leverans (kallas även NDR eller studsmeddelande). Mer information om koderna i NDR finns i Rapporter om utebliven e-postleverans och SMTP-fel i Exchange Online.

Problem med träningsrapportering för attacksimulering

Tips

Registreringen av simuleringsdata startar några minuter efter att simuleringen har startats och när användarna börjar interagera med simuleringsmeddelandena. Det finns ingen fast starttid. Händelser registreras fortfarande när simuleringen är slut.

Skillnader i användaraktivitetsdata från träningsrapporter för attacksimulering och andra rapporter

För rapportering om användaraktivitet relaterad till simuleringsmeddelanden rekommenderar vi att du använder de inbyggda simuleringsrapporterna. Rapporter från andra källor (till exempel Avancerad jakt) kanske inte är korrekta.

Simulerings-URL:er omsluts inte av säkra länkar och betraktas som oöppnade länkar. Alla klick på oöppnade länkar går inte via Säkra länkar, så användaraktivitet relaterad till simuleringsmeddelanden kanske inte registreras i UrlClickEvents-loggarna.

Träningsrapporter för attacksimulering innehåller ingen aktivitetsinformation

Utbildning i attacksimulering har omfattande, användbara insikter som håller dig informerad om dina anställdas framsteg när det gäller hotberedskap. Om träningsrapporter för attacksimulering inte är ifyllda med data kontrollerar du att granskningsloggning är aktiverat i din organisation (det är aktiverat som standard).

Granskningsloggning krävs av träning av attacksimulering så att händelser kan samlas in, registreras och läsas tillbaka. Om du inaktiverar granskningsloggning får du följande konsekvenser för träning i attacksimulering:

  • Rapporteringsdata är inte tillgängliga i alla rapporter. Rapporterna visas tomma.
  • Träningstilldelningar blockeras eftersom data inte är tillgängliga.

Information om hur du kontrollerar att granskningsloggning är aktiverat eller för att aktivera den finns i Aktivera eller inaktivera granskning.

Tips

Tom aktivitetsinformation orsakas också av att inga E5-licenser tilldelas till användare. Kontrollera att minst en E5-licens har tilldelats till en aktiv användare för att säkerställa att rapporteringshändelser registreras och registreras.

Användaråtgärder och administratörsåtgärder granskas. Leta efter AuditLogRecordType-värdena 85, 88 och 218 i API:et för hanteringsaktivitet.

Viss granskningsinformation kan också vara tillgänglig i tabellen CloudAppEvents i Microsoft Defender XDR Avancerad jakt via Defender-portalen eller API:et för direktuppspelning.

Rapportera problem med lokala postlådor

Träning av attacksimulering stöder lokala postlådor, men med nedsatt rapporteringsfunktion:

  • Data om huruvida användare läser, vidarebefordrar eller tar bort simuleringsmeddelandet är inte tillgängliga för lokala postlådor.
  • Antalet användare som rapporterade simuleringsmeddelandet är inte tillgängligt för lokala postlådor.

Tips

Förutom simuleringsmeddelanden som skickas via transportpipelinen jämfört med direktinmatning i Microsoft 365 är utbildnings-, automatiserings- och innehållshanteringsupplevelserna desamma för lokala postlådor.

Simuleringsrapporter uppdateras inte omedelbart

Detaljerade simuleringsrapporter uppdateras inte omedelbart efter att du har påbörjat en kampanj. Var inte orolig; det här beteendet förväntas.

Varje simuleringskampanj har en livscykel. När simuleringen först skapas är den i tillståndet Schemalagd . När simuleringen startar övergår den till tillståndet Pågår . När den är klar övergår simuleringen till tillståndet Slutfört .

Medan en simulering är i schemalagt tillstånd är simuleringsrapporterna mestadels tomma. Under det här steget löser simuleringsmotorn målanvändarens e-postadresser, expanderar distributionsgrupper, tar bort gästanvändare från listan osv.:

Simuleringsinformation som visar simuleringen i schemalagt tillstånd

När simuleringen har gått in i steget Pågår börjar informationen sippra in i rapporteringen:

Simuleringsinformation som visar simuleringen i tillståndet Pågår

Det kan ta upp till 30 minuter för de enskilda simuleringsrapporterna att uppdateras efter övergången till tillståndet Pågår . Rapportdata fortsätter att skapas tills simuleringen når tillståndet Slutfört . Rapporteringsuppdateringar sker med följande intervall:

  • Var 10:e minut under de första 60 minuterna.
  • Var 15:e minut efter 60 minuter till två dagar.
  • Var 30:e minut efter två dagar till sju dagar.
  • Var 60:e minut efter sju dagar.

Widgetar på översiktssidan ger en snabb ögonblicksbild av organisationens simuleringsbaserade säkerhetsstatus över tid. Eftersom dessa widgetar återspeglar din övergripande säkerhetsstatus och resa över tid uppdateras de när varje simuleringskampanj har slutförts.

Obs!

Du kan använda alternativet Exportera på de olika rapporteringssidorna för att extrahera data.

Meddelanden som rapporteras som nätfiske av användare visas inte i simuleringsrapporter

Simuleringsrapporter i träning med attacksimulatorer innehåller information om användaraktivitet. Till exempel:

  • Användare som klickade på länken i meddelandet.
  • Användare som gav upp sina autentiseringsuppgifter.
  • Användare som rapporterade meddelandet som nätfiske.

Om meddelanden som användare rapporterade som nätfiske inte registreras i träningssimuleringsrapporter för attacksimulering kan det finnas en Exchange-e-postflödesregel (kallas även transportregel) som blockerar leveransen av de rapporterade meddelandena till Microsoft. Kontrollera att e-postflödesregler inte blockerar leveransen till följande e-postadresser:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Användare tilldelas utbildning när de rapporterar ett simulerat meddelande

Om användarna har tilldelats utbildning efter att de har rapporterat ett meddelande om nätfiskesimulering kontrollerar du om din organisation använder en rapporteringspostlåda för att ta emot användarrapporterade meddelanden på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostlådan måste konfigureras för att hoppa över många säkerhetskontroller enligt beskrivningen i krav för rapporteringspostlådan.

Om du inte konfigurerar de undantag som krävs för postlådan för anpassad rapportering kan meddelandena detoneras av säkra länkar eller skydd mot säkra bifogade filer, vilket orsakar träningstilldelningar.

Andra vanliga frågor och svar

S: Flera alternativ är tillgängliga för målanvändare:

  • Inkludera alla användare (för närvarande tillgängliga för organisationer med färre än 40 000 användare).
  • Välj specifika användare.
  • Välj användare från en CSV-fil (en e-postadress per rad).
  • Microsoft Entra-gruppbaserad inriktning.

Vi tycker att kampanjer där målanvändare identifieras av Microsoft Entra-grupper är enklare att hantera.

F: Hur många träningsmoduler finns det?

För närvarande finns det 94 inbyggda utbildningar på sidan Träningsmoduler .

F: Finns det några gränser för att rikta in sig på användare när du importerar från en CSV eller lägger till användare?

S: Gränsen för att importera mottagare från en CSV-fil eller lägga till enskilda mottagare i en simulering är 40 000.

En mottagare kan vara en enskild användare eller en grupp. En grupp kan innehålla hundratals eller tusentals mottagare. Den övre gränsen för antalet användare är 400 000, men vi rekommenderar en gräns på 200 000 användare för varje simulering för bästa prestanda.

Det kan vara besvärligt att hantera en stor CSV-fil eller lägga till många enskilda mottagare. Användning av Microsoft Entra-grupper förenklar den övergripande hanteringen av simuleringen.

Tips

För närvarande stöds inte delade postlådor i träning av attacksimulering. Simuleringar bör riktas mot användarpostlådor eller grupper som innehåller användarpostlådor.

Distributionsgrupper utökas och listan över användare genereras när simuleringen eller simuleringen sparas.

F: Är gränserna för antalet simuleringar som kan distribueras under ett visst tidsintervall?

A. Nej, även om du kan uppleva långsamhet om du startar många parallella simuleringar. Meddelandefrekvenser (inklusive simuleringsmeddelandefrekvenser) begränsas av tjänstens hastighetsbegränsningar för meddelanden.

F: Tillhandahåller Microsoft nyttolaster på andra språk?

S: För närvarande finns det över 40 lokaliserade nyttolaster tillgängliga på över 29 språk: engelska, spanska, tyska, japanska, franska, portugisiska, nederländska, italienska, svenska, kinesiska (förenklad), norska Bokmål, polska, ryska, finska, koreanska, turkiska, ungerska, hebreiska, thailändska, arabiska, vietnamesiska, slovakiska, grekiska, indonesiska, rumänska, slovenska, kroatiska, katalanska och andra. Vi har fastställt att direkt- eller maskinöversättning av befintliga nyttolaster till andra språk leder till felaktigheter och minskad relevans.

Med detta sagt kan du skapa en egen nyttolast på det språk du väljer med hjälp av den anpassade redigeringsupplevelsen för nyttolast. Vi rekommenderar också starkt att du skördar befintliga nyttolaster som användes för att rikta in dig på användare i ett visst geografiskt område. Låt med andra ord angriparna lokalisera innehållet åt dig.

F: Hur många träningsvideor är tillgängliga?

S: För närvarande finns det fler än 85 utbildningsmoduler tillgängliga i innehållsbiblioteket.

F: Hur kan jag byta till andra språk för min administratörsportal och utbildningsupplevelse?

S: I Microsoft 365 eller Office 365 är språkkonfigurationen specifik och centraliserad för varje användarkonto. Anvisningar om hur du ändrar språkinställningen finns i Ändra visningsspråk och tidszon i Microsoft 365 för företag.

Konfigurationsändringen kan ta upp till 30 minuter att synkronisera mellan alla tjänster.

F: Kan jag utlösa en testsimulering för att förstå hur det ser ut innan jag startar en fullvärdig kampanj?

S: Ja det kan du! På den senaste sidan Granska simulering i den nya simuleringsguiden väljer du Skicka ett test. Det här alternativet skickar ett exempel på ett meddelande om nätfiskesimulering till den inloggade användaren. När du har verifierat nätfiskemeddelandet i inkorgen kan du skicka simuleringen.

Knappen Skicka ett test på sidan Granska simulering

Tips

Du kan också använda Skicka ett test från sidan Nyttolaster . Men om du någonsin använder den valda nyttolasten i en simulering visas testmeddelandet i de aggregerade rapporterna. Du kan exportera resultaten eller använda Microsoft Graph API för att filtrera resultaten.

F: Kan jag rikta mig till användare som tillhör en annan klientorganisation som en del av samma simuleringskampanj?

S: Nej. För närvarande stöds inte simuleringar mellan klientorganisationer. Kontrollera att alla dina målanvändare finns i samma klientorganisation. Alla användare mellan klientorganisationer eller gästanvändare undantas från simuleringskampanjen.

F: Hur fungerar regionmedveten leverans?

S: Regionmedveten leverans använder tidszonsattributet för målanvändarens postlåda för att avgöra när meddelandet ska levereras. Det kan finnas en tidsskillnad på ± en timme i e-postleveransen baserat på användarens tidszon. Tänk dig exempelvis följande situation:

  • Kl. 07:00 i Tidszon i Stilla havet (UTC-8) skapar och schemalägger en administratör en kampanj som startar kl. 09:00 samma dag.
  • UserA finns i den östra tidszonen (UTC-5).
  • UserB finns också i tidszonen Pacific.

Kl. 09:00 samma dag skickas simuleringsmeddelandet till UserB. Med regionmedveten leverans skickas meddelandet inte till UserA samma dag eftersom 09:00 Pacific-tid är 12:00 östlig tid. I stället skickas meddelandet till UserA kl. 09:00 östlig tid följande dag.

På den första körningen av en kampanj med regionmedveten leverans aktiverad kan det därför verka som om simuleringsmeddelandet bara skickades till användare i en specifik tidszon. Men när tiden går och fler användare kommer in i omfånget ökar de målinriktade användarna.

Om du inte använder regionmedveten leverans startar kampanjen baserat på tidszonen för den användare som konfigurerar den.

F: Samlar Microsoft in eller lagrar någon information som användarna anger på inloggningssidan för autentiseringsuppgifter, som används i simuleringstekniken för autentiseringsuppgiftsskörd?

S: Nej. All information som anges på inloggningssidan för autentiseringsuppgifter tas bort tyst. Endast "klicka" registreras för att fånga kompromisshändelsen. Microsoft samlar inte in, loggar eller lagrar någon information som användarna anger i det här steget.

F: Hur länge behålls simuleringsinformation? Kan jag ta bort simuleringsdata?

S: Se följande tabell:

Datatyp Kvarhållning
Simuleringsmetadata 18 månader om inte simuleringen tas bort tidigare av en administratör.
Simuleringsautomatisering 18 månader om inte simuleringsautomationen tas bort tidigare av en administratör.
Automatisering av nyttolast 18 månader om inte nyttolastautomatiseringen tas bort tidigare av en administratör.
Användaraktivitet i simuleringsmetadata 18 månader om inte simuleringen tas bort tidigare av en administratör.
Globala nyttolaster Sparad om den inte tas bort av Microsoft.
Klientnyttolaster 18 månader om inte den arkiverade nyttolasten tas bort tidigare av en administratör.
Användaraktivitet i träningsmetadata 18 månader om inte simuleringen tas bort tidigare av en administratör.
Rekommenderade MDO-nyttolaster 6 månader.
Globala slutanvändarmeddelanden Sparad om den inte tas bort av Microsoft.
Slutanvändarmeddelanden för klientorganisation 18 månader om inte meddelandet tas bort tidigare av en administratör.
Globala inloggningssidor Sparad om den inte tas bort av Microsoft.
Inloggningssidor för klientorganisation 18 månader om inte inloggningssidan tas bort tidigare av en administratör.
Globala landningssidor Sparad om den inte tas bort av Microsoft
Målsidor för klientorganisation 18 månader om inte landningssidan tas bort tidigare av en administratör.

Om hela klientorganisationen tas bort tas träningsdata för attacksimulering bort efter 90 dagar.

Mer information finns i Information om datakvarhållning för Microsoft Defender för Office 365.

F: Kan jag skapa, visa och hantera simuleringar med hjälp av ett API?

S: Ja. Läs- och skrivscenarier stöds med hjälp av Microsoft Graph API:

  • AttackSimulation.Read.All:
    • Läsa simuleringsmetadata
    • Läs användaraktivitet
    • Läsa träningsdata
    • Läsa återfallsförbrytare
  • AttackSimulation.ReadWrite.All: Kör simuleringar med angivna nyttolaster, meddelanden och inloggningssidor.

Mer information finns i Lista simuleringar och rapporter API-översikt för träning av attacksimulering som en del av Microsoft Defender för Office 365.

F: Kan jag ta bort anpassade nyttolaster?

S: Ja. Först arkiverar du nyttolasten och sedan tar du bort den arkiverade nyttolasten. Anvisningar finns i Arkivera nyttolaster.

F: Kan jag ändra de inbyggda nyttolasten?

S: Inte direkt. Du kan kopiera nyttolasten och sedan ändra kopian. Anvisningar finns i Kopiera nyttolaster.