Share via

Distributionsöverväganden och vanliga frågor och svar för attacksimulatorträning

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Övning av attacksimulering gör det möjligt för Microsoft 365 E5 eller Microsoft Defender för Office 365 plan 2-organisationer att mäta och hantera sociala tekniska risker genom att tillåta skapande och hantering av nätfiskesimuleringar som drivs av verkliga, ofarliga nätfiskenyttolaster. Hyperriktad utbildning, som levereras i samarbete med Terranova-säkerhet, hjälper till att förbättra kunskapen och ändra medarbetarnas beteende.

Mer information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.

Simuleringens skapande och schemaläggning är utformad för att vara fritt flödande och friktionsfri, men simuleringar i företagsskala kräver planering. Den här artikeln hjälper dig att hantera specifika utmaningar som vi ser när våra kunder kör simuleringar i sina egna miljöer.

Problem med slutanvändarupplevelser

URL:er för nätfiskesimulering som blockeras av Googles säkra surfning

En URL-ryktestjänst kan identifiera en eller flera url:er som används av Övning av attacksimulering som osäkra. Googles säkra surfning i Google Chrome blockerar några av de simulerade nätfiske-URL:erna med en bedräglig webbplats i förväg . Vi arbetar med många URL-ryktesleverantörer för att alltid tillåta våra simulerings-URL:er, men vi har inte alltid fullständig täckning.

Den bedrägliga webbplatsen i förväg varning i Google Chrome

Det här problemet påverkar inte Microsoft Edge.

Som en del av planeringsfasen bör du kontrollera tillgängligheten för URL:en i de webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Om URL:erna blockeras av Googles säkra surfning följer du den här vägledningen från Google för att tillåta åtkomst till URL:erna.

Se Kom igång med Övning av attacksimulering för listan över URL:er som för närvarande används av Övning av attacksimulering.

Nätfiskesimulering och administratörs-URL:er som blockeras av nätverksproxylösningar och filterdrivrutiner

Både URL:er för nätfiskesimulering och administratörs-URL:er kan blockeras eller tas bort av dina mellanliggande säkerhetsenheter eller filter. Till exempel:

  • Brandväggar
  • Web Application Firewall (WAF)-lösningar
  • Filterdrivrutiner från tredje part (till exempel filter i kernelläge)

Vi har sett få kunder blockeras på det här lagret, men det sker. Om du stöter på problem kan du överväga att konfigurera följande URL:er för att kringgå genomsökningen av dina säkerhetsenheter eller filter efter behov:

Simuleringsmeddelanden levereras inte till alla målanvändare

Det är möjligt att antalet användare som faktiskt får simuleringens e-postmeddelanden är mindre än antalet användare som var mål för simuleringen. Följande typer av användare undantas som en del av målverifieringen:

  • Ogiltiga e-postadresser för mottagare.
  • Gästanvändare.
  • Användare som inte längre är aktiva i Microsoft Entra ID.

Om du använder distributionsgrupper eller e-postaktiverade säkerhetsgrupper för att rikta in dig på användare kan du använda cmdleten Get-DistributionGroupMember i Exchange Online PowerShell för att visa och validera medlemmar i distributionsgruppen.

Problem med Övning av attacksimulering rapportering

Övning av attacksimulering rapporter innehåller ingen aktivitetsinformation

Övning av attacksimulering levereras med omfattande, användbara insikter som håller dig informerad om hotberedskapsförloppet för dina anställda. Om Övning av attacksimulering rapporter inte är ifyllda med data kontrollerar du att granskningsloggning är aktiverat i din organisation (det är aktiverat som standard).

Granskningsloggning krävs av Övning av attacksimulering så att händelser kan registreras, registreras och läsas tillbaka. Om du inaktiverar granskningsloggning får du följande konsekvenser för Övning av attacksimulering:

  • Rapporteringsdata är inte tillgängliga i alla rapporter. Rapporterna visas tomma.
  • Träningstilldelningar blockeras eftersom data inte är tillgängliga.

Information om hur du kontrollerar att granskningsloggning är aktiverat eller för att aktivera den finns i Aktivera eller inaktivera granskning.

Obs!

Tom aktivitetsinformation kan också orsakas av att inga E5-licenser tilldelas till användare. Kontrollera att minst en E5-licens har tilldelats till en aktiv användare för att säkerställa att rapporteringshändelser registreras och registreras.

Rapportera problem med lokala postlådor

Övning av attacksimulering stöder lokala postlådor, men med nedsatt rapporteringsfunktion:

  • Data om huruvida användare läser, vidarebefordrar eller tar bort simuleringsmeddelandet är inte tillgängliga för lokala postlådor.
  • Antalet användare som rapporterade simuleringsmeddelandet är inte tillgängligt för lokala postlådor.

Simuleringsrapporter uppdateras inte omedelbart

Detaljerade simuleringsrapporter uppdateras inte omedelbart efter att du har påbörjat en kampanj. Var inte orolig; det här beteendet förväntas.

Varje simuleringskampanj har en livscykel. När simuleringen först skapas är den i tillståndet Schemalagd . När simuleringen startar övergår den till tillståndet Pågår . När den är klar övergår simuleringen till tillståndet Slutfört .

Medan en simulering är i schemalagt tillstånd är simuleringsrapporterna mestadels tomma. Under det här steget löser simuleringsmotorn målanvändarens e-postadresser, expanderar distributionsgrupper, tar bort gästanvändare från listan osv.:

Simuleringsinformation som visar simuleringen i schemalagt tillstånd

När simuleringen har gått in i steget Pågår börjar informationen sippra in i rapporteringen:

Simuleringsinformation som visar simuleringen i tillståndet Pågår

Det kan ta upp till 30 minuter för de enskilda simuleringsrapporterna att uppdateras efter övergången till tillståndet Pågår . Rapportdata fortsätter att skapas tills simuleringen når tillståndet Slutfört . Rapporteringsuppdateringar sker med följande intervall:

  • Var 10:e minut under de första 60 minuterna.
  • Var 15:e minut efter 60 minuter till två dagar.
  • Var 30:e minut efter två dagar till sju dagar.
  • Var 60:e minut efter sju dagar.

Widgetar på översiktssidan ger en snabb ögonblicksbild av organisationens simuleringsbaserade säkerhetsstatus över tid. Eftersom dessa widgetar återspeglar din övergripande säkerhetsstatus och resa över tid uppdateras de när varje simuleringskampanj har slutförts.

Obs!

Du kan använda alternativet Exportera på de olika rapporteringssidorna för att extrahera data.

Meddelanden som rapporteras som nätfiske av användare visas inte i simuleringsrapporter

Simuleringsrapporter i träning med attacksimulatorer innehåller information om användaraktivitet. Till exempel:

  • Användare som klickade på länken i meddelandet.
  • Användare som gav upp sina autentiseringsuppgifter.
  • Användare som rapporterade meddelandet som nätfiske.

Om meddelanden som användare har rapporterat som nätfiske inte registreras i Övning av attacksimulering simuleringsrapporter kan det finnas en Exchange-e-postflödesregel (kallas även transportregel) som blockerar leveransen av de rapporterade meddelandena till Microsoft. Kontrollera att e-postflödesregler inte blockerar leveransen till följande e-postadresser:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Användare tilldelas utbildning när de rapporterar ett simulerat meddelande

Om användarna har tilldelats utbildning efter att de har rapporterat ett meddelande om nätfiskesimulering kontrollerar du om din organisation använder en rapporteringspostlåda för att ta emot användarrapporterade meddelanden på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostlådan måste konfigureras för att hoppa över många säkerhetskontroller enligt beskrivningen i krav för rapporteringspostlådan.

Om du inte konfigurerar de undantag som krävs för postlådan för anpassad rapportering kan meddelandena detoneras av säkra länkar eller skydd mot säkra bifogade filer, vilket orsakar träningstilldelningar.

Andra vanliga frågor och svar

S: Flera alternativ är tillgängliga för målanvändare:

  • Inkludera alla användare (för närvarande tillgängliga för organisationer med färre än 40 000 användare).
  • Välj specifika användare.
  • Välj användare från en CSV-fil (en e-postadress per rad).
  • Microsoft Entra gruppbaserad inriktning.

Vi har upptäckt att kampanjer där målanvändare identifieras av Microsoft Entra grupper är enklare att hantera.

F: Finns det några gränser för att rikta in sig på användare när du importerar från en CSV eller lägger till användare?

S: Gränsen för att importera mottagare från en CSV-fil eller lägga till enskilda mottagare i en simulering är 40 000.

En mottagare kan vara en enskild användare eller en grupp. En grupp kan innehålla hundratals eller tusentals mottagare, så det finns ingen faktisk gräns för antalet enskilda användare.

Det kan vara besvärligt att hantera en stor CSV-fil eller lägga till många enskilda mottagare. Att använda Microsoft Entra grupper förenklar den övergripande hanteringen av simuleringen.

F: Tillhandahåller Microsoft nyttolaster på andra språk?

S: För närvarande finns det över 40 lokaliserade nyttolaster tillgängliga på över 29 språk: engelska, spanska, tyska, japanska, franska, portugisiska, nederländska, italienska, svenska, kinesiska (förenklad), norska Bokmål, polska, ryska, finska, koreanska, turkiska, ungerska, hebreiska, thailändska, arabiska, vietnamesiska, slovakiska, grekiska, indonesiska, rumänska, slovenska, kroatiska, katalanska och andra. Vi har fastställt att direkt- eller maskinöversättning av befintliga nyttolaster till andra språk leder till felaktigheter och minskad relevans.

Med detta sagt kan du skapa en egen nyttolast på det språk du väljer med hjälp av den anpassade redigeringsupplevelsen för nyttolast. Vi rekommenderar också starkt att du skördar befintliga nyttolaster som användes för att rikta in dig på användare i ett visst geografiskt område. Låt med andra ord angriparna lokalisera innehållet åt dig.

F: Hur många träningsvideor är tillgängliga?

S: För närvarande finns det fler än 85 utbildningsmoduler tillgängliga i innehållsbiblioteket.

F: Hur kan jag byta till andra språk för min administratörsportal och utbildningsupplevelse?

S: I Microsoft 365 eller Office 365 är språkkonfigurationen specifik och centraliserad för varje användarkonto. Anvisningar om hur du ändrar språkinställningen finns i Ändra visningsspråk och tidszon i Microsoft 365 för företag.

Konfigurationsändringen kan ta upp till 30 minuter att synkronisera mellan alla tjänster.

F: Kan jag utlösa en testsimulering för att förstå hur det ser ut innan jag startar en fullvärdig kampanj?

S: Ja det kan du! På den senaste sidan Granska simulering i den nya simuleringsguiden väljer du Skicka ett test. Det här alternativet skickar ett exempel på ett meddelande om nätfiskesimulering till den inloggade användaren. När du har verifierat nätfiskemeddelandet i inkorgen kan du skicka simuleringen.

Knappen Skicka ett test på sidan Granska simulering

F: Kan jag rikta mig till användare som tillhör en annan klientorganisation som en del av samma simuleringskampanj?

S: Nej. För närvarande stöds inte simuleringar mellan klientorganisationer. Kontrollera att alla dina målanvändare finns i samma klientorganisation. Alla användare mellan klientorganisationer eller gästanvändare undantas från simuleringskampanjen.

F: Hur fungerar regionmedveten leverans?

S: Regionmedveten leverans använder attributet TimeZone för målanvändarens postlåda och logiken "inte före" för att avgöra när meddelandet ska levereras. Tänk dig exempelvis följande situation:

  • Kl. 07:00 i Tidszon i Stilla havet (UTC-8) skapar och schemalägger en administratör en kampanj som startar kl. 09:00 samma dag.
  • UserA finns i den östra tidszonen (UTC-5).
  • UserB finns också i tidszonen Pacific.

Kl. 09:00 samma dag skickas simuleringsmeddelandet till UserB. Med regionmedveten leverans skickas meddelandet inte till UserA samma dag eftersom 09:00 Pacific-tid är 12:00 östlig tid. I stället skickas meddelandet till UserA kl. 09:00 östlig tid följande dag.

På den första körningen av en kampanj med regionmedveten leverans aktiverad kan det därför verka som om simuleringsmeddelandet bara skickades till användare i en specifik tidszon. Men när tiden går och fler användare kommer in i omfånget ökar de målinriktade användarna.

F: Samlar Microsoft in eller lagrar någon information som användarna anger på inloggningssidan för autentiseringsuppgifter, som används i simuleringstekniken för autentiseringsuppgiftsskörd?

S: Nej. All information som anges på inloggningssidan för autentiseringsuppgifter tas bort tyst. Endast "klicka" registreras för att fånga kompromisshändelsen. Microsoft samlar inte in, loggar eller lagrar någon information som användarna anger i det här steget.