攻击模拟培训部署注意事项和常见问题解答

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

攻击模拟训练允许Microsoft 365 E5或Microsoft Defender for Office 365计划 2 组织通过允许创建和管理由实际无害网络钓鱼有效负载提供支持的网络钓鱼模拟来衡量和管理社会工程风险。 与 Terranova 安全部门合作提供的超有针对性的培训有助于改进知识并改变员工行为。

有关攻击模拟训练入门的详细信息,请参阅开始使用 攻击模拟训练

虽然模拟创建和计划体验设计为自由流动且无摩擦,但企业规模的模拟需要规划。 本文有助于解决客户在自己的环境中运行模拟时看到的特定挑战。

最终用户体验问题

被 Google 安全浏览阻止的钓鱼模拟 URL

URL 信誉服务可能会将攻击模拟训练使用的一个或多个 URL 标识为不安全。 Google Chrome 中的 Google 安全浏览会阻止某些模拟钓鱼 URL,并 提前发送欺骗性网站 消息。 虽然我们与许多 URL 信誉供应商合作,始终允许我们的模拟 URL,但我们并不总是完全覆盖。

Google Chrome 中的欺骗性网站提前警告

此问题不会影响 Microsoft Edge。

在规划阶段,在网络钓鱼活动中使用该 URL 之前,请务必检查支持的 Web 浏览器中的 URL 的可用性。 如果 Google 安全浏览阻止了 URL, 请按照 Google 提供的本指南 来允许访问 URL。

有关攻击模拟训练当前使用的 URL 列表,请参阅开始使用 攻击模拟训练

网络代理解决方案和筛选器驱动程序阻止的钓鱼模拟和管理 URL

中间安全设备或筛选器可能会阻止或删除网络钓鱼模拟 URL 和管理员 URL。 例如:

  • 防火墙
  • Web 应用程序防火墙 (WAF) 解决方案
  • 第三方筛选器驱动程序 (例如内核模式筛选器)

虽然我们看到很少有客户在此层被阻止,但确实发生了这种情况。 如果遇到问题,请考虑根据需要配置以下 URL 以绕过安全设备或筛选器的扫描:

模拟消息未传递给所有目标用户

实际接收模拟电子邮件的用户数可能小于模拟所针对的用户数。 以下类型的用户作为目标验证的一部分被排除:

  • 收件人电子邮件地址无效。
  • 来宾用户。
  • Microsoft Entra ID中不再处于活动状态的用户。

如果使用通讯组或启用邮件的安全组来面向用户,则可以使用 Exchange Online PowerShell 中的 Get-DistributionGroupMember cmdlet 查看和验证通讯组成员。

训练意外分配或未分配给用户

默认情况下,训练活动中的培训阈值会阻止用户在特定间隔 (90 天) 分配相同的培训。 有关详细信息,请参阅 设置训练阈值

如果使用训练分配值“为我分配训练 (推荐) ”创建了模拟模拟自动化,我们会根据用户以前的模拟和训练结果分配训练。 若要根据特定条件分配培训,请选择“ 自己选择培训课程和模块”。

当用户答复或转发模拟消息时会发生什么情况?

如果用户答复模拟邮件或将模拟邮件转发到另一个邮箱,该邮件将被视为普通电子邮件, (包括安全链接或安全附件) 引爆。 模拟报告显示模拟消息是已答复还是已转发。 模拟电子邮件中的每个 URL 都绑定到单个用户,因此安全链接引爆由用户标识为单击。

如果使用专用安全操作 (SecOps) 邮箱,请确保在 高级传递策略 中将其标识为 SecOps,以便邮件以未筛选方式传递。

如何错开模拟消息的传递?

无论采用哪种方式,都务必使用不同的有效负载来避免用户之间的讨论和标识。

为什么模拟邮件中的图像被 Outlook 阻止?

默认情况下,Outlook 配置为阻止来自 Internet 的邮件中的自动图像下载。 尽管你可以 将 Outlook 配置为自动下载图像,但我们不建议使用它,因为 (恶意代码或 Web bug(也称为 Web 信标或跟踪像素) )的自动下载具有安全隐患。

当其他安全设备或应用程序检查模拟消息时,可能会发生这些事件。 例如, (但不限于) :

  • Outlook 中用于检查或截获邮件的应用程序或插件。
  • Email安全应用程序。
  • 终结点安全性或防病毒软件。
  • 安全业务流程、自动化和响应 (SOAR) 自动会审或自动响应报告消息的 playbook。

这些类型的应用程序可以查看 Web 内容以检测网络钓鱼,因此你需要在这些应用程序中为模拟消息定义排除项。

EmailLinkClicked_IP和EmailLinkClicked_TimeStamp数据可能会提供有关事件的更多详细信息。 例如,如果在传递后的几秒钟内发生了单击,并且 IP 地址不属于Microsoft、你的公司或用户,则可能是第三方筛选系统或其他服务截获了该消息。

对于任何非Microsoft筛选系统或服务,需要允许或免除以下项:

  • 所有攻击模拟训练 URL 和相应的域。 目前,我们不会从静态 IP 地址列表发送模拟消息。
  • 在自定义有效负载中使用的任何其他域。

是否可以向模拟消息添加外部标记或安全提示?

自定义有效负载可以选择将外部标记添加到消息。 有关详细信息,请参阅 创建有效负载中的步骤 5。

没有内置选项可用于向有效负载添加安全提示,但可以在有效负载设置向导的 “配置有效负载 ”页上使用以下方法:

  • 使用包含安全提示的现有电子邮件作为模板。 将邮件另存为 HTML 并复制信息。

  • 对“第一个接触安全提示”使用以下示例代码:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
    mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
    paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
    0in 0in 0in 0in">
    <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
      <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
      <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
      <div>
      <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
      mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
      column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
      wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
      Aptos;color:#212121;mso-ligatures:none">You don't often get email from
      this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
      this is important</a></span></p>
      </div>
      </td>
      <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
      align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
    </tr>
    </tbody></table>
    <div>
    <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
    color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
    </div>
    

是否可以在不让用户通过模拟的情况下分配训练模块?

是。 有关详细信息,请参阅攻击模拟训练中的培训活动

如何实现了解未传递的模拟消息?

模拟的 “用户”选项卡 可按 模拟消息传递:无法传递筛选。

如果您拥有发件人域,则未送达的模拟报告将在未送达报告 (也称为 NDR 或退回邮件) 中返回。 有关 NDR 中的代码的详细信息,请参阅 Exchange Online 中的Email未送达报告和 SMTP 错误

攻击模拟训练报告的问题

提示

模拟数据记录在启动模拟后的几分钟内开始,并在用户开始与模拟消息交互后开始。 没有固定的开始时间。 模拟结束后,仍会捕获事件。

用户活动数据与攻击模拟训练报表和其他报表的差异

若要报告与模拟消息相关的用户活动,建议使用 内置模拟报告。 来自其他来源的报告 (例如 高级搜寻) 可能不准确。

模拟 URL 不由安全链接包装,被视为未包装的链接。 并非所有未包装链接的单击都会通过安全链接,因此与模拟消息相关的用户活动可能不会记录在 UrlClickEvents 日志中。

攻击模拟训练报表不包含任何活动详细信息

攻击模拟训练附带丰富的可操作见解,让你随时了解员工的威胁准备进度。 如果攻击模拟训练报表未填充数据,请验证是否在组织中启用审核日志记录, (默认启用) 。

攻击模拟训练需要审核日志记录,以便可以捕获、记录和读回事件。 关闭审核日志记录会对攻击模拟训练造成以下后果:

  • 报告数据并非在所有报表中都可用。 报表显示为空。
  • 训练作业被阻止,因为数据不可用。

若要验证审核日志记录是否已打开或打开,请参阅 打开或关闭审核

提示

未向用户分配 E5 许可证也会导致活动详细信息为空。 验证是否向活动用户分配了至少一个 E5 许可证,以确保捕获和记录报告事件。

审核用户操作和管理员操作。 在管理活动 API 中,查找 AuditLogRecordType 值 85、88 和 218。

Microsoft Defender XDR高级搜寻中的 CloudAppEvents 表中可能还会通过 Defender 门户或流式处理 API 提供某些审核信息。

报告本地邮箱的问题

攻击模拟训练支持本地邮箱,但报告功能减少:

  • 有关用户是否读取、转发或删除模拟电子邮件的数据不适用于本地邮箱。
  • 报告模拟电子邮件的用户数不适用于本地邮箱。

提示

除了通过传输管道发送的模拟消息与 Microsoft 365 中的直接注入之外,本地邮箱的培训、自动化和内容管理体验是相同的。

模拟报告不会立即更新

启动市场活动后,不会立即更新详细的模拟报告。 不用担心;此行为是预期行为。

每个模拟活动都有一个生命周期。 首次创建模拟时,模拟处于 “计划” 状态。 当模拟开始时,它将转换为“ 正在进行” 状态。 完成后,模拟将转换为“ 已完成” 状态。

虽然模拟处于 “计划” 状态,但模拟报告大多为空。 在此阶段,模拟引擎将解析目标用户电子邮件地址、展开通讯组、从列表中删除来宾用户等:

显示处于“计划”状态的模拟的模拟详细信息

模拟进入“ 正在进行” 阶段后,信息将开始流入报告:

显示处于“正在进行”状态的模拟的模拟详细信息

转换到 “正在进行” 状态后,单个模拟报告最多可能需要 30 分钟才能更新。 报表数据将继续生成,直到模拟达到 “已完成” 状态。 报告更新按以下间隔发生:

  • 前 60 分钟每 10 分钟一次。
  • 60 分钟后每 15 分钟一次,直到两天。
  • 两天后至七天,每 30 分钟一次。
  • 七天后每 60 分钟一次。

“概述”页上的小组件提供组织一段时间内基于模拟的安全态势的快速快照。 由于这些小组件反映了一段时间内的总体安全状况和旅程,因此,在完成每个模拟活动后,它们会更新。

注意

可以在各种报表页上使用 “导出 ”选项来提取数据。

模拟报告中未显示用户报告为网络钓鱼的邮件

攻击模拟器训练中的模拟报告提供有关用户活动的详细信息。 例如:

  • 单击邮件中链接的用户。
  • 放弃凭据的用户。
  • 将邮件报告为钓鱼的用户。

如果在攻击模拟训练模拟报告中未捕获用户报告为钓鱼的邮件,则可能有一个 Exchange 邮件流规则 (也称为传输规则) 阻止将报告的邮件传递到Microsoft。 验证任何邮件流规则是否未阻止传递到以下电子邮件地址:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

在用户报告模拟消息后,系统会为用户分配培训

如果用户在报告钓鱼模拟邮件后被分配了培训,检查查看你的组织是否在 处使用报告邮箱接收用户报告的邮件https://security.microsoft.com/securitysettings/userSubmission。 报告邮箱需要配置为跳过许多安全检查,如 报告邮箱先决条件中所述。

如果未为自定义报告邮箱配置所需的排除项,则安全链接或安全附件保护可能会引爆邮件,这会导致训练分配。

其他常见问题解答

答:目标用户可以使用多个选项:

  • 包括) 用户数少于 40,000 个的组织当前可用的所有用户 (。
  • 选择特定用户。
  • 从 CSV 文件 (每行) 一个电子邮件地址选择用户。
  • Microsoft Entra基于组的目标。 支持以下组类型:
    • Microsoft 365 组 (静态和动态)
    • 通讯组仅 (静态)
    • 已启用邮件的安全组仅 (静态)

我们发现,目标用户由Microsoft Entra组标识的活动更易于管理。

问:有多少个培训模块?

目前,“ 培训模块 ”页上有 94 个内置训练。

问:如何将语言用于培训模块和通知等体验?

  • 培训模块:使用浏览器区域设置。 但是,将训练分配给用户后,将保留语言选择,并用该语言分配未来的训练。
  • 最终用户通知:使用邮箱区域设置/语言设置。
  • 模拟播放量:使用管理员在创建期间选择的语言。
  • 登陆页:使用Microsoft 365 帐户语言设置。 用户还可以从登陆页中的下拉列表中更改语言。

问:从 CSV 导入或添加用户时,针对用户是否有任何限制?

答:从 CSV 文件导入收件人或将单个收件人添加到模拟的限制为 40,000。

收件人可以是单个用户或组。 一个组可能包含数百或数千个收件人。 用户数的上限为 400,000,但我们建议每次模拟的用户数限制为 200,000 个,以便获得最佳性能。

管理大型 CSV 文件或添加多个单独的收件人可能很麻烦。 使用Microsoft Entra组可简化模拟的整体管理。

提示

目前,攻击模拟训练不支持共享邮箱。 模拟应面向包含用户邮箱的用户邮箱或组。

组将展开,并在保存模拟、模拟自动化或培训活动时生成用户列表。

问:在特定时间间隔内可部署的模拟数量是否受到限制?

A. 否,不过,如果启动许多并行模拟,可能会遇到速度缓慢。 消息速率 (包括模拟消息速率) 受 服务的消息速率限制的约束。

问:Microsoft是否以其他语言提供有效负载?

答:目前,有 40 多种本地化有效负载以 29 多种语言提供:英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰语、意大利语、瑞典文、中文 (简体) 、挪威语、挪威语、葡萄牙语、俄语、芬兰语、韩语、土耳其语、匈牙利语、希伯来语、泰语、阿拉伯语、越南语、斯洛伐克语、希腊语、印度尼西亚语、罗马尼亚语、斯洛文尼亚语、克罗地亚语、加泰罗尼亚语和其他语言。 我们已确定,将现有有效负载直接或机器翻译为其他语言会导致不准确和相关性降低。

话又说,你可以使用自定义有效负载创作体验,以所选语言创建自己的有效负载。 我们还强烈建议你获取用于针对特定地理位置的用户的现有有效负载。 换句话说,让攻击者为你本地化内容。

问:有多少培训视频可用?

答:目前,内容库中提供了超过 85 个培训模块。

问:如何切换为管理门户和培训体验使用其他语言?

答:在 Microsoft 365 或 Office 365 中,每个用户帐户的语言配置都是特定的且集中的。 有关如何更改语言设置的说明,请参阅 在 Microsoft 365 for Business 中更改显示语言和时区

配置更改可能需要长达 30 分钟才能跨所有服务同步。

问:是否可以在启动正式市场活动之前触发测试模拟以了解其外观?

答:可以! 在新模拟向导的最后一个 “查看 模拟”页上,选择“ 发送测试”。 此选项向当前登录的用户发送示例钓鱼模拟消息。 在收件箱中验证钓鱼邮件后,可以提交模拟。

“审阅模拟”页上的“发送测试”按钮

提示

还可以使用“有效负载”页中的“发送测试”。 但是,如果在模拟中使用了所选有效负载,则测试消息会显示在聚合报告中。 可以导出结果或使用Microsoft图形 API来筛选结果。

问:是否可以将属于不同租户的用户作为同一模拟活动的一部分?

答:否。 目前不支持跨租户模拟。 验证所有目标用户是否位于同一租户中。 任何跨租户用户或来宾用户都排除在模拟活动之外。

问:区域感知交付的工作原理是什么?

答:区域感知传递使用目标用户邮箱的时区属性来确定何时传递邮件。 根据用户的时区,电子邮件传递中可能存在±一小时的时差。 例如,请考虑以下情况。

  • 在太平洋时区的 7:00 AM (UTC-8) ,管理员创建并计划活动,以在同一天上午 9:00 开始。
  • UserA 位于东部时区 (UTC-5) 。
  • UserB 也位于太平洋时区。

在同一天的上午 9:00,模拟消息将发送到 UserB。 使用区域感知传递时,消息不会在同一天发送到 UserA,因为太平洋时间上午 9:00 是东部时间中午 12:00。 相反,该消息会在下一天的东部时间上午 9:00 发送给 UserA。

因此,在启用了区域感知传递的市场活动的初始运行中,模拟消息似乎仅发送给特定时区的用户。 但是,随着时间的流逝和更多的用户进入范围,目标用户会增加。

如果不使用区域感知传递,市场活动会根据设置它的用户的时区启动。

问:Microsoft是否收集或存储用户在凭据收获登录页中输入的任何信息,这些信息用于凭据收获模拟技术?

答:否。 在凭据获取登录页中输入的任何信息都将被无提示丢弃。 仅记录“单击”以捕获泄露事件。 Microsoft不会收集、记录或存储用户在此步骤中输入的任何详细信息。

问:模拟信息将保留多长时间? 是否可以删除模拟数据?

答:请参阅下表:

数据类型 保留
模拟元数据 除非 管理员更早删除模拟,否则为 18 个月。
模拟自动化 除非 管理员更早删除模拟自动化,否则为 18 个月。
有效负载自动化 除非 管理员更早删除有效负载自动化,否则为 18 个月。
模拟元数据中的用户活动 除非 管理员更早删除模拟,否则为 18 个月。
全局有效负载 除非Microsoft删除,否则保留。
租户有效负载 18 个月,除非 管理员更早删除存档的有效负载
训练元数据中的用户活动 除非 管理员更早删除模拟,否则为 18 个月。
MDO建议的有效负载 6 个月。
全局最终用户通知 除非Microsoft删除,否则保留。
租户最终用户通知 除非 管理员更早删除通知,否则为 18 个月。
全局登录页 除非Microsoft删除,否则保留。
租户登录页 18 个月,除非 管理员更早删除登录页
全局登陆页 除非Microsoft删除,否则保留
租户登陆页 18 个月,除非 管理员更早删除了登陆页面

如果删除整个租户,攻击模拟训练数据将在 90 天后删除。

有关详细信息,请参阅Microsoft Defender for Office 365的数据保留信息

问:是否可以使用 API 创建、查看和管理模拟?

答:可以。 使用Microsoft图形 API支持读取和写入方案:

  • AttackSimulation.Read.All:
    • 读取模拟元数据
    • 读取用户活动
    • 读取训练数据
    • 读取重复罪犯
  • AttackSimulation.ReadWrite.All:使用指定的有效负载、通知和登录页运行模拟。

有关详细信息,请参阅列出模拟报告 API 概述,作为Microsoft Defender for Office 365的一部分进行攻击模拟训练

问:是否可以删除自定义有效负载?

答:可以。 首先存档有效负载,然后删除存档的有效负载。 有关说明,请参阅 存档有效负载

问:是否可以修改内置有效负载?

答:不是直接的。 可以复制内置有效负载,然后修改副本。 有关说明,请参阅 复制有效负载

问:我尝试运行 QR 码模拟,但扫描 QR 码显示“ping 成功”,而不是登陆页面?

答:在有效负载编辑器中插入 QR 码时,它会映射到你在“网络钓鱼”链接部分“选择 URL”中选择>的基本钓鱼 URL。 QR 码作为图像插入电子邮件中。 如果从“ 文本 ”选项卡切换到“ 代码 ”选项卡,将看到 Base64 格式的插入图像。 图像的开头包含 <div id="QRcode"...>。 在模拟中使用它之前,请确保验证完成的有效负载是否包含 <div id="QRcode"...>

在模拟创建期间,如果扫描 QR 码或使用 “发送测试 ”查看有效负载,则 QR 码指向所选的基本钓鱼 URL。

在模拟中使用有效负载时,服务会将 QR 码替换为动态生成的 QR 码,以跟踪点击和入侵指标。 QR 码的大小、位置和形状与在有效负载中配置的配置选项匹配。 在实际模拟期间扫描 QR 码会转到配置的登陆页面。

问:我尝试在 HTML 中创建有效负载,但有效负载编辑器似乎删除了我的设计中的某些内容?

答:有效负载编辑器目前不支持以下 HTML 标记: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title