Saldırı simülasyonu eğitimi dağıtımıyla ilgili dikkat edilmesi gerekenler ve SSS

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 2

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Saldırı simülasyonu eğitimi, Microsoft 365 E5 veya Office 365 için Microsoft Defender Plan 2 kuruluşlarının gerçek hayattan ve zararsız kimlik avından güç alan kimlik avı simülasyonlarının oluşturulmasına ve yönetilmesine olanak tanıyarak sosyal mühendislik riskini ölçmesine ve yönetmesine olanak tanır Yük. Terranova güvenliğiyle ortaklaşa sunulan hiper hedefli eğitim, bilginin geliştirilmesine ve çalışan davranışının değiştirilmesine yardımcı olur.

Saldırı simülasyonu eğitimi kullanmaya başlama hakkında daha fazla bilgi için bkz. Saldırı simülasyonu eğitimi kullanmaya başlama.

Simülasyon oluşturma ve zamanlama deneyimi serbest akışlı ve sorunsuz olacak şekilde tasarlanırken, kurumsal ölçekte simülasyonlar planlama gerektirir. Bu makale, müşterilerimiz simülasyonları kendi ortamlarında çalıştırırken gördüğümüz belirli zorlukların giderilmesine yardımcı olur.

Son kullanıcı deneyimleriyle ilgili sorunlar

Google Güvenli Gözatma tarafından engellenen kimlik avı simülasyonu URL'leri

URL saygınlığı hizmeti, Saldırı simülasyonu eğitimi tarafından güvenli olmayan url'ler olarak kullanılan bir veya daha fazla URL'yi tanımlayabilir. Google Chrome'da Google Güvenli Gözatma, yanıltıcı bir site ileri iletisiyle sanal kimlik avı URL'lerinden bazılarını engeller. Simülasyon URL'lerimize her zaman izin vermek için birçok URL saygınlığı satıcısıyla çalışsak da, her zaman tam kapsamlı bir kapsamımız yoktur.

Bu sorun Microsoft Edge'i etkilemez.

Planlama aşamasının bir parçası olarak, URL'yi bir kimlik avı kampanyasında kullanmadan önce desteklenen web tarayıcılarınızda URL'nin kullanılabilirliğini denetlemeyi unutmayın. URL'ler Google Güvenli Gözatma tarafından engelleniyorsa, URL'lere erişime izin vermek için Google'ın bu yönergelerini izleyin .

şu anda Saldırı simülasyonu eğitimi tarafından kullanılan URL'lerin listesi için Saldırı simülasyonu eğitimi kullanmaya başlama bölümüne bakın.

Ağ ara sunucusu çözümleri ve filtre sürücüleri tarafından engellenen kimlik avı simülasyonu ve yönetici URL'leri

Hem kimlik avı simülasyonu URL'leri hem de yönetici URL'leri, ara güvenlik cihazlarınız veya filtreleriniz tarafından engellenebilir veya bırakılabilir. Örneğin:

• Güvenlik duvar -ları
• Web Uygulaması Güvenlik Duvarı (WAF) çözümleri
• Üçüncü taraf filtre sürücüleri (örneğin, çekirdek modu filtreleri)

Bu katmanda birkaç müşterinin engellendiğini gördük ancak bu gerçekleşir. Sorunlarla karşılaşırsanız, güvenlik cihazlarınız veya filtreleriniz tarafından taramayı atlamak için aşağıdaki URL'leri gerektiği gibi yapılandırmayı göz önünde bulundurun:

• Saldırı simülasyonu eğitimi kullanmaya başlama bölümünde açıklandığı gibi sanal kimlik avı URL'leri.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Simülasyon iletileri tüm hedeflenen kullanıcılara teslim edilmedi

Simülasyon e-posta iletilerini gerçekten alan kullanıcı sayısının simülasyon tarafından hedeflenen kullanıcı sayısından az olması mümkündür. Aşağıdaki kullanıcı türleri, hedef doğrulamanın bir parçası olarak dışlanır:

• Geçersiz alıcı e-posta adresleri.
• Konuk kullanıcılar.
• artık Microsoft Entra ID etkin olmayan kullanıcılar.

Kullanıcıları hedeflemek için dağıtım grupları veya posta etkin güvenlik grupları kullanıyorsanız, dağıtım grubu üyelerini görüntülemek ve doğrulamak için Exchange Online PowerShell'deGet-DistributionGroupMember cmdlet'ini kullanabilirsiniz.

Saldırı simülasyonu eğitimi raporlamayla ilgili sorunlar

Saldırı simülasyonu eğitimi raporları herhangi bir etkinlik ayrıntısı içermez

Saldırı simülasyonu eğitimi, çalışanlarınızın tehdit hazırlığı ilerleme durumu hakkında sizi bilgilendiren zengin ve eyleme dönüştürülebilir içgörülerle birlikte gelir. Saldırı simülasyonu eğitimi raporlar verilerle doldurulmazsa, kuruluşunuzda denetim günlüğünün açık olduğunu doğrulayın (varsayılan olarak açıktır).

Olayların yakalanabilmesi, kaydedilebilmesi ve okunabilmesi için denetim günlüğü Saldırı simülasyonu eğitimi gereklidir. Denetim günlüğünün kapatılması, Saldırı simülasyonu eğitimi için aşağıdaki sonuçlara neden olur:

• Raporlama verileri tüm raporlarda kullanılamaz. Raporlar boş görünür.
• Veriler kullanılamadığından eğitim atamaları engellenir.

Denetim günlüğünün açık olduğunu doğrulamak veya etkinleştirmek için bkz. Denetimi açma veya kapatma.

Not

Boş etkinlik ayrıntıları, kullanıcılara E5 lisansı atanmadığından da kaynaklanabilir. Raporlama olaylarının yakalanıp kaydedildiğinden emin olmak için etkin bir kullanıcıya en az bir E5 lisansı atandığını doğrulayın.

Şirket içi posta kutularıyla ilgili raporlama sorunları

Saldırı simülasyonu eğitimi, şirket içi posta kutularını destekler ancak raporlama işlevselliğini azaltır:

• Kullanıcıların simülasyon e-postasını okuyup okumadığına, ilettiğine veya silip silmediğine ilişkin veriler şirket içi posta kutuları için kullanılamaz.
• Simülasyon e-postasını bildiren kullanıcıların sayısı şirket içi posta kutuları için kullanılamaz.

Simülasyon raporları hemen güncelleştirilmez

Ayrıntılı simülasyon raporları, kampanya başlatıldıktan hemen sonra güncelleştirilmez. Merak etme; bu davranış beklenir.

Her simülasyon kampanyasının bir yaşam döngüsü vardır. İlk oluşturulduğunda simülasyon Zamanlanmış durumunda olur. Simülasyon başlatıldığında Devam ediyor durumuna geçiş yapılır . Tamamlandığında, simülasyon Tamamlandı durumuna geçiş yapılır.

Bir simülasyon Zamanlanmış durumundayken simülasyon raporları çoğunlukla boş olur. Bu aşamada simülasyon altyapısı hedef kullanıcı e-posta adreslerini çözümleme, dağıtım gruplarını genişletme, konuk kullanıcıları listeden kaldırma gibi işlemleri tamamlar:

Simülasyon Devam Ediyor aşamasına girdikten sonra bilgiler raporlamaya doğru sürüklenmeye başlar:

Devam ediyor durumuna geçiş sonrasında tek tek simülasyon raporlarının güncelleştirilmiş olması 30 dakika kadar sürebilir. Simülasyon Tamamlandı durumuna ulaşana kadar rapor verileri dermeye devam eder. Raporlama güncelleştirmeleri aşağıdaki aralıklarla gerçekleşir:

• İlk 60 dakika boyunca her 10 dakikada bir.
• İki güne kadar 60 dakika sonra 15 dakikada bir.
• 7 güne kadar iki günden sonra 30 dakikada bir.
• Yedi günden sonra 60 dakikada bir.

Genel Bakış sayfasındaki pencere öğeleri, kuruluşunuzun simülasyon tabanlı güvenlik duruşunun zaman içinde hızlı bir anlık görüntüsünü sağlar. Bu pencere öğeleri genel güvenlik duruşunuzu ve zaman içindeki yolculuğunuzu yansıttığı için her simülasyon kampanyası tamamlandıktan sonra güncelleştirilir.

Not

Verileri ayıklamak için çeşitli raporlama sayfalarında Dışarı Aktar seçeneğini kullanabilirsiniz.

Kullanıcılar tarafından kimlik avı olarak bildirilen iletiler simülasyon raporlarında görünmüyor

Saldırı simülatörü eğitimindeki simülasyon raporları, kullanıcı etkinliğiyle ilgili ayrıntıları sağlar. Örneğin:

• İletideki bağlantıya tıklayan kullanıcılar.
• Kimlik bilgilerini veren kullanıcılar.
• İletiyi kimlik avı olarak bildiren kullanıcılar.

Kullanıcıların kimlik avı olarak bildirdiği iletiler Saldırı simülasyonu eğitimi simülasyon raporlarında yakalanmazsa, bildirilen iletilerin Microsoft'a teslimini engelleyen bir Exchange posta akışı kuralı (aktarım kuralı olarak da bilinir) olabilir. Posta akışı kurallarının aşağıdaki e-posta adreslerine teslimi engellemediğini doğrulayın:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

Kullanıcılara simülasyon iletisi raporladıktan sonra eğitim atanır

Kullanıcılara kimlik avı simülasyonu iletisi bildirdikten sonra eğitim atanırsa, kuruluşunuzun konumunda kullanıcı tarafından bildirilen iletileri https://security.microsoft.com/securitysettings/userSubmissionalmak için bir raporlama posta kutusu kullanıp kullanmadıklarını denetleyin. Raporlama posta kutusu önkoşullarında açıklandığı gibi, raporlama posta kutusunun birçok güvenlik denetimini atlanacak şekilde yapılandırılması gerekir.

Özel raporlama posta kutusu için gerekli dışlamaları yapılandırmazsanız, iletiler Güvenli Bağlantılar veya Güvenli Ekler koruması tarafından patlatılabilir ve bu da eğitim atamalarına neden olur.

Sık sorulan diğer sorular

S: Simülasyon kampanyaları için kullanıcıları hedeflemek için önerilen yöntem nedir?

Y: Hedef kullanıcılar için çeşitli seçenekler mevcuttur:

• Tüm kullanıcıları dahil edin (şu anda 40.000'den az kullanıcısı olan kuruluşlar tarafından kullanılabilir).
• Belirli kullanıcıları seçin.
• Csv dosyasından kullanıcıları seçin (satır başına bir e-posta adresi).
• Grup tabanlı hedeflemeyi Microsoft Entra.

Hedeflenen kullanıcıların Microsoft Entra grupları tarafından tanımlandığı kampanyaların daha kolay yönetildiğini tespit ettik.

S: CSV'den içeri aktarma veya kullanıcı ekleme sırasında kullanıcıları hedefleme konusunda herhangi bir sınır var mı?

Y: Alıcıları CSV dosyasından içeri aktarma veya simülasyona tek tek alıcı ekleme sınırı 40.000'dir.

Alıcı tek bir kullanıcı veya grup olabilir. Bir grup yüzlerce veya binlerce alıcı içerebilir, bu nedenle tek tek kullanıcı sayısına gerçek bir sınır uygulanmaz.

Büyük bir CSV dosyasını yönetmek veya çok sayıda alıcı eklemek zahmetli olabilir. Microsoft Entra gruplarının kullanılması simülasyonun genel yönetimini basitleştirir.

S: Microsoft başka dillerde yük sağlar mı?

Y: Şu anda 29'dan fazla dilde 40'dan fazla yerelleştirilmiş yük mevcuttur: İngilizce, İspanyolca, Almanca, Japonca, Fransızca, Portekizce, Felemenkçe, İtalyanca, İsveççe, Çince (Basitleştirilmiş), Norveççe Bokmål, Lehçe, Rusça, Fince, Korece, Türkçe, Macarca, İbranice, Tayca, Arapça, Vietnamca, Slovakça, Yunanca, Endonezya dili, Rumence, Slovence, Hırvat, Katalanca ve Diğer. Mevcut yüklerin diğer dillere doğrudan veya makine çevirisi yapmasının yanlışlıklara ve ilgi düzeyinin azalmasına yol açtığını belirledik.

Bunun yanı sıra, özel yük yazma deneyimini kullanarak istediğiniz dilde kendi yükünüzü oluşturabilirsiniz. Ayrıca belirli bir coğrafyadaki kullanıcıları hedeflemek için kullanılan mevcut yükleri toplamanızı kesinlikle öneririz. Başka bir deyişle, saldırganların içeriği sizin için yerelleştirmesine izin verin.

S: Kaç eğitim videosu kullanılabilir?

Y: Şu anda içerik kitaplığında 85'ten fazla eğitim modülü mevcuttur.

S: Yönetici portalım ve eğitim deneyimim için diğer dillere nasıl geçiş yapabilirim?

Y: Microsoft 365 veya Office 365 dil yapılandırması her kullanıcı hesabı için özel ve merkezidir. Dil ayarınızı değiştirme yönergeleri için bkz. İş için Microsoft 365'te görüntüleme dilinizi ve saat diliminizi değiştirme.

Yapılandırma değişikliğinin tüm hizmetler arasında eşitlenmesi 30 dakika kadar sürebilir.

S: Tam kapsamlı bir kampanya başlatmadan önce nasıl göründüğünü anlamak için bir test simülasyonu tetikleyebilir miyim?

Y: Evet yapabilirsiniz! Yeni simülasyon sihirbazının son Simülasyonu Gözden Geçir sayfasında Test gönder'i seçin. Bu seçenek, oturum açmış olan kullanıcıya örnek bir kimlik avı benzetimi iletisi gönderir. Gelen Kutunuzda kimlik avı iletisini doğruladıktan sonra simülasyonu gönderebilirsiniz.

S: Aynı simülasyon kampanyasının bir parçası olarak farklı bir kiracıya ait kullanıcıları hedefleyebilir miyim?

C: Hayır. Şu anda kiracılar arası simülasyonlar desteklenmemektedir. Hedeflenen tüm kullanıcılarınızın aynı kiracıda olduğunu doğrulayın. Tüm kiracılar arası kullanıcılar veya konuk kullanıcılar simülasyon kampanyasının dışında tutulur.

S: Bölge tanımalı teslim nasıl çalışır?

Y: Bölge algılamalı teslim, iletinin ne zaman teslim edileceğini belirlemek için hedeflenen kullanıcının posta kutusunun TimeZone özniteliğini ve 'önce değil' mantığını kullanır. Örneğin, şu senaryoyu inceleyin:

• Pasifik saat diliminde (UTC-8) saat 07:00'de bir yönetici bir kampanya oluşturur ve aynı gün saat 09:00'da başlayacak şekilde zamanlar.
• UserA, Doğu saat diliminde (UTC-5) yer alır.
• UserB aynı zamanda Pasifik saat dilimindedir.

Aynı gün saat 09:00'da simülasyon iletisi UserB'ye gönderilir. Bölgeye duyarlı teslimde, 09:00 Pasifik saati Doğu saatiyle 23:00 olduğundan ileti aynı gün UserA'ya gönderilmez. Bunun yerine, ileti bir sonraki gün Doğu saatiyle 09:00'da UserA'ya gönderilir.

Bu nedenle, bölgeye duyarlı teslimin etkinleştirildiği bir kampanyanın ilk çalıştırmasında simülasyon iletisinin yalnızca belirli bir saat dilimindeki kullanıcılara gönderildiği görünebilir. Ancak zaman geçtikçe ve daha fazla kullanıcı kapsama girdikçe hedeflenen kullanıcılar artar.

S: Microsoft, kullanıcıların Kimlik Bilgisi Toplama benzetimi tekniğinde kullanılan Kimlik Bilgisi Toplama oturum açma sayfasında girdiği bilgileri toplar veya depolar mı?

C: Hayır. Kimlik bilgisi toplama oturum açma sayfasına girilen tüm bilgiler sessizce atılır. Güvenliği aşma olayını yakalamak için yalnızca 'tıklama' kaydedilir. Microsoft bu adımda kullanıcıların girdiği ayrıntıları toplamaz, günlüğe kaydetmez veya depolamaz.