攻擊模擬訓練部署考慮和常見問題

提示

您知道您可以免費試用Microsoft Defender 全面偵測回應Office 365方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款

攻擊模擬訓練可讓Microsoft 365 E5或適用於 Office 365 的 Microsoft Defender方案 2 組織藉由允許建立和管理真實世界、無害網路釣魚承載所提供的網路釣魚模擬,來測量和管理社交工程風險。 與 Terranova 安全性合作提供的超目標訓練,有助於改善知識並變更員工行為。

如需開始使用攻擊模擬訓練的詳細資訊,請參閱開始使用攻擊模擬訓練

雖然模擬建立和排程體驗的設計是自由流動且無摩擦,但企業規模的模擬需要規劃。 本文有助於解決客戶在自己的環境中執行模擬時所看到的特定挑戰。

使用者體驗的問題

Google 安全流覽封鎖網路釣魚模擬 URL

URL 信譽服務可能會將攻擊模擬訓練使用的一或多個 URL 識別為不安全。 Google Chrome 中的 Google Safe Browsing 會封鎖一些模擬的網路釣魚 URL,並預先顯示一則「 誤解」網站 訊息。 雖然我們與許多 URL 信譽廠商合作,一律允許模擬 URL,但我們不一定會有完整的涵蓋範圍。

Google Chrome 中的[預先接受] 網站警告

此問題不會影響 Microsoft Edge。

在規劃階段中,請務必先在支援的網頁瀏覽器中檢查 URL 的可用性,再于網路釣魚活動中使用 URL。 如果 URL 遭到 Google Safe Browsing 封鎖, 請遵循 Google 的本指引 以允許存取 URL。

如需攻擊模擬訓練目前使用的 URL 清單,請參閱開始使用攻擊模擬訓練。

網路 Proxy 解決方案和篩選驅動程式封鎖網路釣魚模擬和系統管理員 URL

中繼安全性裝置或篩選器可能會封鎖或卸載網路釣魚模擬 URL 和系統管理員 URL。 例如:

  • 防火牆
  • Web 應用程式防火牆 (WAF) 解決方案
  • 協力廠商篩選驅動程式 (例如核心模式篩選)

雖然我們發現此層有少數客戶遭到封鎖,但確實會發生這種情況。 如果您遇到問題,請考慮將下列 URL 設定為視需要略過安全性裝置或篩選器的掃描:

未傳遞給所有目標使用者的模擬訊息

實際收到模擬電子郵件訊息的使用者數目,可能小於模擬的目標使用者數目。 下列類型的使用者會排除為目標驗證的一部分:

  • 收件者電子郵件地址無效。
  • 來賓使用者。
  • 不再使用Microsoft Entra識別碼的使用者。

如果您使用通訊群組或擁有郵件功能的安全性群組以使用者為目標,您可以使用powerShell Exchange Online中的 Get-DistributionGroupMember Cmdlet 來檢視和驗證通訊群組成員。

報告攻擊模擬訓練問題

攻擊模擬訓練報表不包含任何活動詳細資料

攻擊模擬訓練隨附豐富且可採取動作的深入解析,可讓您得知員工的威脅整備進度。 如果攻擊模擬訓練報告未填入資料,請確認您的組織中已開啟稽核記錄 (預設會開啟) 。

攻擊模擬訓練需要稽核記錄,才能擷取、記錄和讀回事件。 關閉稽核記錄會對攻擊模擬訓練產生下列後果:

  • 報告資料無法在所有報表中使用。 報表會顯示為空白。
  • 因為無法使用資料,所以會封鎖定型指派。

若要確認稽核記錄已開啟或開啟,請 參閱開啟或關閉稽核

注意事項

未將 E5 授權指派給使用者,也可能造成空的活動詳細資料。 確認至少將一個 E5 授權指派給作用中的使用者,以確保已擷取並記錄報告事件。

報告內部部署信箱的問題

攻擊模擬訓練支援內部部署信箱,但報告功能減少:

  • 關於使用者讀取、轉寄或刪除模擬電子郵件的資料不適用於內部部署信箱。
  • 報告模擬電子郵件的使用者數目不適用於內部部署信箱。

模擬報告不會立即更新

在您啟動行銷活動之後,不會立即更新詳細的模擬報告。 不用擔心;這是預期的行為。

每個模擬活動都有生命週期。 第一次建立時,模擬會處於已 排程 狀態。 模擬開始時,會轉換為進行 狀態。 完成時,模擬會轉換成已 完成 狀態。

當模擬處於已 排程 狀態時,模擬報告大多是空的。 在此階段中,模擬引擎會解析目標使用者電子郵件地址、展開通訊群組、從清單中移除來賓使用者等等:

模擬詳細資料,顯示處於已排程狀態的模擬

模擬進入進行 階段後,資訊就會開始進入報告:

模擬詳細資料,顯示處於進行中狀態的模擬

轉換為進行 狀態之後,個別模擬報告最多可能需要 30 分鐘的時間才能更新。 報表資料會繼續建置,直到模擬達到已 完成 狀態為止。 報告更新會在下列間隔發生:

  • 前 60 分鐘每隔 10 分鐘。
  • 在 60 分鐘到兩天之前,每隔 15 分鐘。
  • 兩天后每隔 30 分鐘到 7 天。
  • 七天后每隔 60 分鐘。

[ 概觀 ] 頁面上的 Widget 會提供組織一段時間內模擬型安全性狀態的快速快照集。 由於這些小工具會反映一段時間的整體安全性狀態和旅程,因此會在每個模擬活動完成後更新。

注意事項

您可以在各種報表頁面上使用 [ 出] 選項來擷取資料。

使用者回報為網路釣魚的訊息不會出現在模擬報告中

攻擊模擬器訓練中的模擬報告會提供使用者活動的詳細資料。 例如:

  • 按一下訊息中連結的使用者。
  • 放棄認證的使用者。
  • 將訊息回報為網路釣魚的使用者。

如果未在攻擊模擬訓練模擬報告中擷取使用者回報為網路釣魚的郵件,則可能會有 Exchange 郵件流程規則 (也稱為傳輸規則) 會封鎖將回報的郵件傳遞給 Microsoft。 確認任何郵件流程規則不會封鎖傳遞至下列電子郵件地址:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

使用者在報告模擬訊息之後會獲指派訓練

如果使用者在報告網路釣魚模擬訊息之後獲指派訓練,請檢查以查看您的組織是否使用報告信箱在 https://security.microsoft.com/securitysettings/userSubmission 接收使用者回報的訊息。 報告信箱必須設定為略過許多安全性檢查,如 報告信箱必要條件中所述。

如果您未設定自訂報告信箱的必要排除專案,可能會因為安全連結或安全附件保護而使訊息遭到清除,因而導致定型指派。

其他常見問題

答:有數個選項可供目標使用者使用:

  • 包含目前可供使用者少於 40,000 個) 之組織使用的所有使用者 (。
  • 選擇特定使用者。
  • 從 CSV 檔案中選取使用者, (每行) 一個電子郵件地址。
  • Microsoft Entra群組型目標。

我們發現Microsoft Entra群組識別目標使用者的活動更容易管理。

問:從 CSV 匯入或新增使用者時,目標使用者是否有任何限制?

答:從 CSV 檔案匯入收件者或將個別收件者新增至模擬的限制為 40,000。

收件者可以是個別使用者或群組。 群組可能包含數百或數千個收件者,因此不會對個別使用者的數目設定實際限制。

管理大型 CSV 檔案或新增許多個別收件者可能很麻煩。 使用Microsoft Entra群組可簡化模擬的整體管理。

問:Microsoft 是否提供其他語言的承載?

答:目前有 40 種以上的當地語系化承載可使用 29 種以上的語言:英文、西班牙文、德文、日文、法文、葡萄牙文、荷蘭文、義大利文、瑞典文、中文 (簡化) 、挪威文 Bokmål、波蘭文、俄文、芬蘭文、韓文、土耳其文、匈牙利文、希伯來文、泰文、阿拉伯文、越南文、斯洛伐克文、希臘文、印尼文、斯洛維尼亞文、克羅埃西亞文、卡達文和其他。 我們判斷現有承載對其他語言的直接或機器轉譯會導致不准確,並降低相關性。

也就是說,您可以使用自訂承載撰寫體驗,以您選擇的語言建立自己的承載。 我們也強烈建議您收集用來以特定地理位置中的使用者為目標的現有承載。 換句話說,讓攻擊者為您當地語系化內容。

問:有多少個訓練影片可供使用?

答:目前,內容庫中有超過 85 個訓練模組可供使用。

問:如何切換至管理入口網站和訓練體驗的其他語言?

答:在 Microsoft 365 或Office 365中,語言設定是每個使用者帳戶的特定且集中式。 如需如何變更語言設定的指示,請參閱 在 Microsoft 365 商務版中變更您的顯示語言和時區

組態變更可能需要 30 分鐘的時間,才能跨所有服務進行同步處理。

問:是否可以觸發測試模擬,以瞭解在啟動完整展開的行銷活動之前,其外觀?

答:可以! 在新的模擬精靈的最後一個 [ 檢閱模擬 ] 頁面上,選取 [ 傳送測試]。 此選項會將範例網路釣魚模擬訊息傳送給目前登入的使用者。 驗證收件匣中的網路釣魚訊息之後,您可以提交模擬。

[檢閱模擬] 頁面上的 [傳送測試] 按鈕

問:我是否可以將屬於不同租使用者的使用者作為相同模擬活動的一部分?

答:不能。 目前不支援跨租使用者模擬。 確認所有目標使用者都位於相同的租使用者中。 任何跨租使用者使用者或來賓使用者都會從模擬活動中排除。

問:區域感知傳遞如何運作?

答:區域感知傳遞會使用目標使用者信箱的 TimeZone 屬性和「不在之前」邏輯來判斷何時傳遞訊息。 例如,請考量下列情境:

  • 在太平洋時區上午 7:00 (UTC-8) ,系統管理員會建立並排程在同一天上午 9:00 開始行銷活動。
  • UserA 位於東部時區 (UTC-5) 。
  • UserB 也位於太平洋時區。

同一天上午 9:00,模擬訊息會傳送至 UserB。 使用區域感知傳遞時,訊息不會在同一天傳送至 UserA,因為太平洋時間上午 9:00 是東部時間下午 12:00。 相反地,訊息會在下一天的東部時間上午 9:00 傳送至 UserA。

因此,在已啟用區域感知傳遞的行銷活動初始執行時,模擬訊息可能只會傳送給特定時區中的使用者。 但是,隨著時間過去,且有更多使用者進入範圍,目標使用者就會增加。

問:Microsoft 是否會收集或儲存使用者在 Credential Harvest 模擬技術中使用的 Credential Harvest 登入頁面上輸入的任何資訊?

答:不能。 在認證收集登入頁面輸入的任何資訊,會以無訊息方式捨棄。 只會記錄 'click' 來擷取入侵事件。 Microsoft 不會收集、記錄或儲存使用者在此步驟中輸入的任何詳細資料。