攻击模拟培训部署注意事项和常见问题解答

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

攻击模拟训练允许Microsoft 365 E5或Microsoft Defender for Office 365计划 2 组织通过允许创建和管理由实际无害网络钓鱼有效负载提供支持的网络钓鱼模拟来衡量和管理社会工程风险。 与 Terranova 安全部门合作提供的超有针对性的培训有助于改进知识并改变员工行为。

有关攻击模拟训练入门的详细信息,请参阅开始使用 攻击模拟训练

虽然模拟创建和计划体验设计为自由流动且无摩擦,但企业规模的模拟需要规划。 本文有助于解决客户在自己的环境中运行模拟时看到的特定挑战。

最终用户体验问题

被 Google 安全浏览阻止的钓鱼模拟 URL

URL 信誉服务可能会将攻击模拟训练使用的一个或多个 URL 标识为不安全。 Google Chrome 中的 Google 安全浏览会阻止某些模拟钓鱼 URL,并 提前发送欺骗性网站 消息。 虽然我们与许多 URL 信誉供应商合作,始终允许我们的模拟 URL,但我们并不总是完全覆盖。

Google Chrome 中的欺骗性网站提前警告

此问题不会影响 Microsoft Edge。

在规划阶段,在网络钓鱼活动中使用该 URL 之前,请务必检查支持的 Web 浏览器中的 URL 的可用性。 如果 Google 安全浏览阻止了 URL, 请按照 Google 提供的本指南 来允许访问 URL。

有关攻击模拟训练当前使用的 URL 列表,请参阅开始使用 攻击模拟训练

网络代理解决方案和筛选器驱动程序阻止的钓鱼模拟和管理 URL

中间安全设备或筛选器可能会阻止或删除网络钓鱼模拟 URL 和管理员 URL。 例如:

  • 防火墙
  • Web 应用程序防火墙 (WAF) 解决方案
  • 第三方筛选器驱动程序 (例如内核模式筛选器)

虽然我们看到很少有客户在此层被阻止,但确实发生了这种情况。 如果遇到问题,请考虑根据需要配置以下 URL 以绕过安全设备或筛选器的扫描:

模拟消息未传递给所有目标用户

实际接收模拟电子邮件的用户数可能小于模拟所针对的用户数。 以下类型的用户作为目标验证的一部分被排除:

  • 收件人电子邮件地址无效。
  • 来宾用户。
  • Microsoft Entra ID中不再处于活动状态的用户。

如果使用通讯组或启用邮件的安全组来面向用户,则可以使用 Exchange Online PowerShell 中的 Get-DistributionGroupMember cmdlet 查看和验证通讯组成员。

攻击模拟训练报告的问题

攻击模拟训练报表不包含任何活动详细信息

攻击模拟训练附带丰富的可操作见解,让你随时了解员工的威胁准备进度。 如果攻击模拟训练报表未填充数据,请验证是否在组织中启用审核日志记录, (默认启用) 。

攻击模拟训练需要审核日志记录,以便可以捕获、记录和读回事件。 关闭审核日志记录会对攻击模拟训练造成以下后果:

  • 报告数据并非在所有报表中都可用。 报表显示为空。
  • 训练作业被阻止,因为数据不可用。

若要验证审核日志记录是否已打开或打开,请参阅 打开或关闭审核

注意

未向用户分配 E5 许可证也可能导致活动详细信息为空。 验证是否向活动用户分配了至少一个 E5 许可证,以确保捕获和记录报告事件。

报告本地邮箱的问题

攻击模拟训练支持本地邮箱,但报告功能减少:

  • 有关用户是否读取、转发或删除模拟电子邮件的数据不适用于本地邮箱。
  • 报告模拟电子邮件的用户数不适用于本地邮箱。

模拟报告不会立即更新

启动市场活动后,不会立即更新详细的模拟报告。 不用担心;此行为是预期行为。

每个模拟活动都有一个生命周期。 首次创建模拟时,模拟处于 “计划” 状态。 当模拟开始时,它将转换为“ 正在进行” 状态。 完成后,模拟将转换为“ 已完成” 状态。

虽然模拟处于 “计划” 状态,但模拟报告大多为空。 在此阶段,模拟引擎将解析目标用户电子邮件地址、展开通讯组、从列表中删除来宾用户等:

显示处于“计划”状态的模拟的模拟详细信息

模拟进入“ 正在进行” 阶段后,信息将开始流入报告:

显示处于“正在进行”状态的模拟的模拟详细信息

转换到 “正在进行” 状态后,单个模拟报告最多可能需要 30 分钟才能更新。 报表数据将继续生成,直到模拟达到 “已完成” 状态。 报告更新按以下间隔发生:

  • 前 60 分钟每 10 分钟一次。
  • 60 分钟后每 15 分钟一次,直到两天。
  • 两天后至七天,每 30 分钟一次。
  • 七天后每 60 分钟一次。

“概述”页上的小组件提供组织一段时间内基于模拟的安全态势的快速快照。 由于这些小组件反映了一段时间内的总体安全状况和旅程,因此,在完成每个模拟活动后,它们会更新。

注意

可以在各种报表页上使用 “导出 ”选项来提取数据。

模拟报告中未显示用户报告为网络钓鱼的邮件

攻击模拟器训练中的模拟报告提供有关用户活动的详细信息。 例如:

  • 单击邮件中链接的用户。
  • 放弃凭据的用户。
  • 将邮件报告为钓鱼的用户。

如果在攻击模拟训练模拟报告中未捕获用户报告为钓鱼的邮件,则可能有一个 Exchange 邮件流规则 (也称为传输规则) 阻止向 Microsoft 传递报告的邮件。 验证任何邮件流规则是否未阻止传递到以下电子邮件地址:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

在用户报告模拟消息后,系统会为用户分配培训

如果用户在报告钓鱼模拟邮件后被分配了培训,检查查看你的组织是否在 处使用报告邮箱接收用户报告的邮件https://security.microsoft.com/securitysettings/userSubmission。 报告邮箱需要配置为跳过许多安全检查,如 报告邮箱先决条件中所述。

如果未为自定义报告邮箱配置所需的排除项,则安全链接或安全附件保护可能会引爆邮件,这会导致训练分配。

其他常见问题解答

答:目标用户可以使用多个选项:

  • 包括) 用户数少于 40,000 个的组织当前可用的所有用户 (。
  • 选择特定用户。
  • 从 CSV 文件 (每行) 一个电子邮件地址选择用户。
  • Microsoft Entra基于组的目标。

我们发现,目标用户由Microsoft Entra组标识的活动更易于管理。

问:从 CSV 导入或添加用户时,针对用户是否有任何限制?

答:从 CSV 文件导入收件人或将单个收件人添加到模拟的限制为 40,000。

收件人可以是单个用户或组。 一个组可能包含数百或数千个收件人,因此不会对单个用户的数量设置实际限制。

管理大型 CSV 文件或添加多个单独的收件人可能很麻烦。 使用Microsoft Entra组可简化模拟的整体管理。

问:Microsoft 是否以其他语言提供有效负载?

答:目前,有 40 多种本地化有效负载以 29 多种语言提供:英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰语、意大利语、瑞典文、中文 (简体) 、挪威语、挪威语、葡萄牙语、俄语、芬兰语、韩语、土耳其语、匈牙利语、希伯来语、泰语、阿拉伯语、越南语、斯洛伐克语、希腊语、印度尼西亚语、罗马尼亚语、斯洛文尼亚语、克罗地亚语、加泰罗尼亚语和其他语言。 我们已确定,将现有有效负载直接或机器翻译为其他语言会导致不准确和相关性降低。

话又说,你可以使用自定义有效负载创作体验,以所选语言创建自己的有效负载。 我们还强烈建议你获取用于针对特定地理位置的用户的现有有效负载。 换句话说,让攻击者为你本地化内容。

问:有多少培训视频可用?

答:目前,内容库中提供了超过 85 个培训模块。

问:如何切换为管理门户和培训体验使用其他语言?

答:在 Microsoft 365 或 Office 365 中,语言配置是特定于每个用户帐户且集中的。 有关如何更改语言设置的说明,请参阅 在 Microsoft 365 for Business 中更改显示语言和时区

配置更改可能需要长达 30 分钟才能跨所有服务同步。

问:是否可以在启动正式市场活动之前触发测试模拟以了解其外观?

答:可以! 在新模拟向导的最后一个 “查看 模拟”页上,选择“ 发送测试”。 此选项向当前登录的用户发送示例钓鱼模拟消息。 在收件箱中验证钓鱼邮件后,可以提交模拟。

“审阅模拟”页上的“发送测试”按钮

问:是否可以将属于不同租户的用户作为同一模拟活动的一部分?

答:否。 目前不支持跨租户模拟。 验证所有目标用户是否位于同一租户中。 任何跨租户用户或来宾用户都排除在模拟活动之外。

问:区域感知交付的工作原理是什么?

答:区域感知传递使用目标用户邮箱的 TimeZone 属性和“不是之前”逻辑来确定何时传递邮件。 例如,请考虑以下情况。

  • 在太平洋时区的 7:00 AM (UTC-8) ,管理员创建并计划活动,以在同一天上午 9:00 开始。
  • UserA 位于东部时区 (UTC-5) 。
  • UserB 也位于太平洋时区。

在同一天的上午 9:00,模拟消息将发送到 UserB。 使用区域感知传递时,消息不会在同一天发送到 UserA,因为太平洋时间上午 9:00 是东部时间中午 12:00。 相反,该消息会在下一天的东部时间上午 9:00 发送给 UserA。

因此,在启用了区域感知传递的市场活动的初始运行中,模拟消息似乎仅发送给特定时区的用户。 但是,随着时间的流逝和更多的用户进入范围,目标用户会增加。

问:Microsoft 是否会收集或存储用户在凭据收获登录页中输入的任何信息,这些信息用于凭据收获模拟技术?

答:否。 在凭据获取登录页中输入的任何信息都将被无提示丢弃。 仅记录“单击”以捕获泄露事件。 Microsoft 不会收集、记录或存储用户在此步骤中输入的任何详细信息。