Implementación y preguntas más frecuentes del aprendizaje de simulación de ataques

Entrenamiento de simulación de ataque permite a las organizaciones Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2 medir y administrar el riesgo de ingeniería social al permitir la creación y administración de simulaciones de suplantación de identidad (phishing) con tecnología real, cargas de phishing inofensivas. El entrenamiento hiperesparáfico, ofrecido en asociación con la seguridad de Terranova, ayuda a mejorar el conocimiento y a cambiar el comportamiento de los empleados.

Para obtener más información sobre cómo empezar a trabajar con Entrenamiento de simulación de ataque, consulte Introducción al uso de Entrenamiento de simulación de ataque.

Aunque la experiencia de creación y programación de simulaciones está diseñada para que sea de flujo libre y sin fricción, las simulaciones a escala empresarial requieren planeamiento. Este artículo ayuda a abordar desafíos específicos que vemos cuando nuestros clientes ejecutan simulaciones en sus propios entornos.

Problemas con las experiencias del usuario final

Direcciones URL de simulación de suplantación de identidad bloqueadas por la exploración segura de Google

Un servicio de reputación de direcciones URL podría identificar una o varias de las direcciones URL que usa Entrenamiento de simulación de ataque como no seguras. Google Safe Browsing en Google Chrome bloquea algunas de las direcciones URL de suplantación de identidad simuladas con un mensaje de anticipación de sitio engañoso . Aunque trabajamos con muchos proveedores de reputación de direcciones URL para permitir siempre nuestras direcciones URL de simulación, no siempre tenemos cobertura completa.

Este problema no afecta a Microsoft Edge.

Como parte de la fase de planeación, asegúrese de comprobar la disponibilidad de la dirección URL en los exploradores web admitidos antes de usar la dirección URL en una campaña de suplantación de identidad (phishing). Si Google Safe Browsing bloquea las direcciones URL, siga esta guía de Google para permitir el acceso a las direcciones URL.

Consulte Introducción al uso de Entrenamiento de simulación de ataque para obtener la lista de direcciones URL que usa actualmente Entrenamiento de simulación de ataque.

Simulación de suplantación de identidad (phishing) y direcciones URL de administración bloqueadas por soluciones de proxy de red y controladores de filtro

Tanto las direcciones URL de simulación de suplantación de identidad (phishing) como las direcciones URL de administración pueden bloquearse o quitarse mediante los filtros o dispositivos de seguridad intermedios. Por ejemplo:

• Firewalls
• soluciones de Web Application Firewall (WAF)
• Controladores de filtro de terceros (por ejemplo, filtros de modo kernel)

Aunque hemos visto que pocos clientes están bloqueados en esta capa, sí sucede. Si tiene problemas, considere la posibilidad de configurar las siguientes direcciones URL para omitir el examen por parte de los dispositivos de seguridad o filtros según sea necesario:

• Las direcciones URL de suplantación de identidad simuladas como se describe en Introducción al uso de Entrenamiento de simulación de ataque.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Mensajes de simulación que no se entregan a todos los usuarios de destino

Es posible que el número de usuarios que reciben realmente los mensajes de correo electrónico de simulación sea menor que el número de usuarios a los que se ha dirigido la simulación. Los siguientes tipos de usuarios se excluyen como parte de la validación de destino:

• Direcciones de correo electrónico de destinatario no válidas.
• Usuarios invitados.
• Usuarios que ya no están activos en Microsoft Entra id.

Si usa grupos de distribución o grupos de seguridad habilitados para correo para dirigirse a los usuarios, puede usar el cmdlet Get-DistributionGroupMember en Exchange Online PowerShell para ver y validar los miembros del grupo de distribución.

Problemas con los informes de Entrenamiento de simulación de ataque

Entrenamiento de simulación de ataque informes no contienen detalles de actividad

Entrenamiento de simulación de ataque incluye información enriquecida y procesable que le mantiene informado del progreso de preparación de amenazas de sus empleados. Si Entrenamiento de simulación de ataque informes no se rellenan con datos, compruebe que el registro de auditoría está activado en su organización (está activado de forma predeterminada).

El registro de auditoría es necesario Entrenamiento de simulación de ataque para que los eventos se puedan capturar, grabar y leer. La desactivación del registro de auditoría tiene las siguientes consecuencias para Entrenamiento de simulación de ataque:

• Los datos de informes no están disponibles en todos los informes. Los informes aparecen vacíos.
• Las asignaciones de entrenamiento están bloqueadas, ya que los datos no están disponibles.

Para comprobar que el registro de auditoría está activado o para activarlo, consulte Activar o desactivar la auditoría.

Notificar problemas con buzones locales

Entrenamiento de simulación de ataque admite buzones locales, pero con una funcionalidad de informes reducida:

• Los datos sobre si los usuarios leen, reenvía o eliminan el correo electrónico de simulación no están disponibles para los buzones locales.
• El número de usuarios que notificaron el correo electrónico de simulación no está disponible para los buzones locales.

Los informes de simulación no se actualizan inmediatamente

Los informes detallados de simulación no se actualizan inmediatamente después de iniciar una campaña. No te preocupes; se espera este comportamiento.

Cada campaña de simulación tiene un ciclo de vida. Cuando se crea por primera vez, la simulación está en estado Programado . Cuando se inicia la simulación, pasa al estado En curso . Cuando se completa, la simulación pasa al estado Completado .

Mientras una simulación está en estado Programado , los informes de simulación están principalmente vacíos. Durante esta fase, el motor de simulación está resolviendo las direcciones de correo electrónico del usuario de destino, expandiendo grupos de distribución, quitando usuarios invitados de la lista, etc.:

Una vez que la simulación entra en la fase En curso , la información comienza a entrar en la generación de informes:

Los informes de simulación individuales pueden tardar hasta 30 minutos en actualizarse después de la transición al estado En curso . Los datos del informe continúan compilando hasta que la simulación alcanza el estado Completado . Las actualizaciones de informes se producen a los intervalos siguientes:

• Cada 10 minutos durante los primeros 60 minutos.
• Cada 15 minutos después de 60 minutos hasta dos días.
• Cada 30 minutos después de dos días hasta siete días.
• Cada 60 minutos después de siete días.

Los widgets de la página Información general proporcionan una instantánea rápida de la posición de seguridad basada en simulación de su organización a lo largo del tiempo. Dado que estos widgets reflejan la posición de seguridad general y el recorrido a lo largo del tiempo, se actualizan una vez completada cada campaña de simulación.

Los mensajes notificados como suplantación de identidad (phishing) por los usuarios no aparecen en los informes de simulación

Los informes de simulación del entrenamiento del simulador de ataques proporcionan detalles sobre la actividad del usuario. Por ejemplo:

• Usuarios que han hecho clic en el vínculo del mensaje.
• Usuarios que han renunciado a sus credenciales.
• Usuarios que notificaron el mensaje como suplantación de identidad (phishing).

Si los mensajes que los usuarios notifican como suplantación de identidad no se capturan en Entrenamiento de simulación de ataque informes de simulación, puede haber una regla de flujo de correo de Exchange (también conocida como regla de transporte) que bloquee la entrega de los mensajes notificados a Microsoft. Compruebe que las reglas de flujo de correo no bloquean la entrega a las siguientes direcciones de correo electrónico:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

A los usuarios se les asigna un entrenamiento después de informar de un mensaje simulado

Si a los usuarios se les asigna un entrenamiento después de notificar un mensaje de simulación de suplantación de identidad (phishing), compruebe si su organización usa un buzón de informes para recibir mensajes notificados por el usuario en https://security.microsoft.com/securitysettings/userSubmission. El buzón de informes debe configurarse para omitir muchas comprobaciones de seguridad, como se describe en los requisitos previos del buzón de informes.

Si no configura las exclusiones necesarias para el buzón de informes personalizado, los mensajes pueden detonarse mediante vínculos seguros o protección de datos adjuntos seguros, lo que provoca asignaciones de entrenamiento.

Otras preguntas más frecuentes

P: ¿Cuál es el método recomendado para dirigirse a los usuarios para las campañas de simulación?

R: Hay varias opciones disponibles para los usuarios de destino:

• Incluya todos los usuarios (actualmente disponibles para organizaciones con menos de 40 000 usuarios).
• Elija usuarios específicos.
• Seleccione usuarios de un archivo CSV (una dirección de correo electrónico por línea).
• Microsoft Entra destino basado en grupos.

Hemos descubierto que las campañas en las que los usuarios de destino se identifican por Microsoft Entra grupos son más fáciles de administrar.

P: ¿Hay límites en el destino de los usuarios al importar desde un ARCHIVO CSV o agregar usuarios?

R: El límite para importar destinatarios desde un archivo CSV o agregar destinatarios individuales a una simulación es de 40 000.

Un destinatario puede ser un usuario individual o un grupo. Un grupo puede contener cientos o miles de destinatarios, por lo que no se coloca un límite real en el número de usuarios individuales.

Administrar un archivo CSV grande o agregar muchos destinatarios individuales puede ser complicado. El uso de grupos de Microsoft Entra simplifica la administración general de la simulación.

P: ¿Proporciona Microsoft cargas útiles en otros idiomas?

R: Actualmente, hay más de 40 cargas localizadas disponibles en más de 29 idiomas: inglés, español, alemán, japonés, francés, portugués, holandés, italiano, sueco, chino (simplificado), noruego Bokmål, polaco, ruso, finlandés, coreano, turco, húngaro, hebreo, tailandés, árabe, vietnamita, eslovaco, griego, indonesio, rumano, esloveno, croata, catalán y otros. Hemos determinado que la traducción directa o automática de las cargas existentes a otros lenguajes conduce a imprecisiones y a una menor relevancia.

Dicho esto, puede crear su propia carga en el lenguaje que prefiera mediante la experiencia de creación de carga personalizada. También se recomienda encarecidamente recopilar las cargas existentes que se usaron para dirigirse a los usuarios de una geografía específica. En otras palabras, deje que los atacantes localicen el contenido por usted.

P: ¿Cuántos vídeos de entrenamiento están disponibles?

R: Actualmente, hay más de 85 módulos de entrenamiento disponibles en la biblioteca de contenido.

P: ¿Cómo puedo cambiar a otros idiomas para mi portal de administración y experiencia de entrenamiento?

R: En Microsoft 365 o Office 365, la configuración del lenguaje es específica y centralizada para cada cuenta de usuario. Para obtener instrucciones sobre cómo cambiar la configuración de idioma, vea Cambiar el idioma de visualización y la zona horaria en Microsoft 365 para empresas.

El cambio de configuración puede tardar hasta 30 minutos en sincronizarse entre todos los servicios.

P: ¿Puedo desencadenar una simulación de prueba para comprender su aspecto antes de iniciar una campaña completa?

R: ¡Sí se puede! En la última página Revisar simulación del asistente para nueva simulación, seleccione Enviar una prueba. Esta opción envía un mensaje de simulación de suplantación de identidad (phishing) de ejemplo al usuario que ha iniciado sesión actualmente. Después de validar el mensaje de suplantación de identidad en la Bandeja de entrada, puede enviar la simulación.

P: ¿Puedo dirigirme a usuarios que pertenecen a un inquilino diferente como parte de la misma campaña de simulación?

R: No. Actualmente, no se admiten simulaciones entre inquilinos. Compruebe que todos los usuarios de destino están en el mismo inquilino. Los usuarios entre inquilinos o los usuarios invitados se excluyen de la campaña de simulación.

P: ¿Cómo funciona la entrega con reconocimiento de la región?

R: La entrega compatible con la región usa el atributo TimeZone del buzón de correo del usuario de destino y la lógica "no antes" para determinar cuándo entregar el mensaje. Por ejemplo, imagine la situación siguiente:

• A las 7:00 AM en la zona horaria del Pacífico (UTC-8), un administrador crea y programa una campaña para que comience a las 9:00 a.m. del mismo día.
• UserA está en la zona horaria oriental (UTC-5).
• UserB también está en la zona horaria del Pacífico.

A las 9:00 am del mismo día, el mensaje de simulación se envía a UserB. Con la entrega compatible con la región, el mensaje no se envía a UserA el mismo día, ya que la hora del Pacífico a las 9:00 a.m. es a las 12:00 p.m. hora del Este. En su lugar, el mensaje se envía a UserA a las 9:00 a.m. hora del Este del día siguiente.

Por lo tanto, en la ejecución inicial de una campaña con la entrega compatible con la región habilitada, podría parecer que el mensaje de simulación se envió solo a los usuarios de una zona horaria específica. Sin embargo, a medida que pasa el tiempo y más usuarios entran en el ámbito, los usuarios de destino aumentan.

P: ¿Recopila Microsoft o almacena información que los usuarios escriben en la página de inicio de sesión de Credential Harvest, usada en la técnica de simulación de Credential Harvest?

R: No. Cualquier información especificada en la página de inicio de sesión de la cosecha de credenciales se descarta silenciosamente. Solo se registra el "clic" para capturar el evento de riesgo. Microsoft no recopila, registra ni almacena los detalles que los usuarios escriben en este paso.