Támadásszimulációs képzés üzembe helyezésével kapcsolatos szempontok és GYIK

Támadási szimulációs tréning lehetővé teszi Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender Plan 2 szervezetek számára a szociális mérnöki kockázatok mérését és kezelését azáltal, hogy lehetővé teszik a valós világra épülő adathalász szimulációk létrehozását és kezelését, ártalmatlan adathalász hasznos adatok. A Terranova biztonságával együttműködésben nyújtott, hipercélos képzés segít a tudás javításában és az alkalmazottak viselkedésének módosításában.

A Támadási szimulációs tréning használatának első lépéseiről az Ismerkedés a Támadási szimulációs tréning használatával című témakörben talál további információt.

Bár a szimuláció létrehozási és ütemezési felülete szabadon áramló és súrlódásmentes, a nagyvállalati szintű szimulációk tervezést igényelnek. Ez a cikk segítséget nyújt az ügyfelek által a saját környezetükben futtatott szimulációk során felmerülő konkrét kihívások megoldásában.

Végfelhasználói élményekkel kapcsolatos problémák

A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek

Az URL-hírnévszolgáltatás azonosíthat egy vagy több olyan URL-címet, amelyet a Támadási szimulációs tréning nem biztonságosként használ. A Google Biztonságos böngészés a Google Chrome-ban letiltja a szimulált adathalász URL-címek némelyikét egy megtévesztő webhelyre vonatkozó előre látható üzenettel. Bár számos URL-hírnévszolgáltatóval együttműködve mindig engedélyezzük a szimulációs URL-címeket, nem mindig rendelkezünk teljes lefedettséggel.

Ez a probléma nincs hatással a Microsoft Edge-re.

A tervezési fázis részeként ellenőrizze az URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. Ha a Google Biztonságos böngészés letiltja az URL-címeket, kövesse a Google ezen útmutatójának útmutatását az URL-címekhez való hozzáférés engedélyezéséhez.

A Támadási szimulációs tréning által jelenleg használt URL-címek listájáért tekintse meg a Támadási szimulációs tréning használatának első lépéseit ismertető témakört.

Adathalászati szimuláció és hálózati proxymegoldások és szűrőillesztők által blokkolt rendszergazdai URL-címek

Az adathalász szimulációs URL-címeket és a rendszergazdai URL-címeket is blokkolhatják vagy elvethetik a köztes biztonsági eszközök vagy szűrők. Például:

• Tűzfalak
• Web Application Firewall (WAF) megoldások
• Külső szűrőillesztők (például kernelmódú szűrők)

Bár néhány ügyfelet blokkoltak ezen a rétegen, mégis előfordul. Ha problémákba ütközik, fontolja meg a következő URL-címek konfigurálását, hogy a biztonsági eszközök vagy szűrők szükség szerint megkerüljék a vizsgálatot:

• A szimulált adathalász URL-címek az Első lépések a Támadási szimulációs tréning című cikkben leírtak szerint.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Nem minden megcélzott felhasználónak küldött szimulációs üzenetek

Lehetséges, hogy a szimulációs e-maileket ténylegesen megkapó felhasználók száma kisebb, mint a szimuláció által megcélzott felhasználók száma. A célérvényesítés a következő típusú felhasználókat zárja ki:

• Érvénytelen címzett e-mail-címek.
• Vendégfelhasználók.
• Azok a felhasználók, amelyek már nem aktívak Microsoft Entra azonosítóban.

Ha terjesztési csoportokat vagy levelezési biztonsági csoportokat használ a felhasználók megcélzásához, a PowerShell Exchange OnlineGet-DistributionGroupMember parancsmagját használhatja a terjesztési csoport tagjainak megtekintéséhez és ellenőrzéséhez.

A Támadási szimulációs tréning jelentéskészítéssel kapcsolatos problémák

Támadási szimulációs tréning jelentések nem tartalmaznak tevékenységadatokat

Támadási szimulációs tréning gazdag, gyakorlatban hasznosítható megállapításokkal rendelkezik, amelyek folyamatosan tájékoztatják az alkalmazottak veszélyforrás-felkészültségi állapotáról. Ha Támadási szimulációs tréning jelentések nincsenek adatokkal feltöltve, ellenőrizze, hogy a naplózás be van-e kapcsolva a szervezetben (alapértelmezés szerint be van kapcsolva).

Az események rögzítéséhez, rögzítéséhez és visszaolvasásához Támadási szimulációs tréning naplózásra van szükség. A naplózás kikapcsolása a következő következményekkel jár a Támadási szimulációs tréning esetén:

• A jelentéskészítési adatok nem minden jelentésben érhetők el. A jelentések üresen jelennek meg.
• A betanítási hozzárendelések le vannak tiltva, mert az adatok nem érhetők el.

Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.

Helyszíni postaládákkal kapcsolatos jelentéskészítési problémák

Támadási szimulációs tréning támogatja a helyszíni postaládákat, de kevesebb jelentéskészítési funkcióval:

• A helyszíni postaládákban nem érhetők el azok az adatok, hogy a felhasználók olvassák, továbbítják vagy törölték-e a szimulációs e-maileket.
• Azoknak a felhasználóknak a száma, akik jelentették a szimulációs e-mailt, nem érhetők el a helyszíni postaládákban.

A szimulációs jelentések nem frissülnek azonnal

A részletes szimulációs jelentések nem frissülnek közvetlenül a kampány elindítása után. Ne aggódj; ez a viselkedés várható.

Minden szimulációs kampány rendelkezik életciklussal. Az első létrehozáskor a szimuláció Ütemezett állapotban van. Amikor a szimuláció elindul, a folyamat folyamatban állapotra vált. Ha elkészült, a szimuláció Befejezve állapotba vált.

Bár egy szimuláció ütemezett állapotban van, a szimulációs jelentések többnyire üresek. Ebben a szakaszban a szimulációs motor feloldja a célfelhasználói e-mail-címeket, kibővíti a terjesztési csoportokat, eltávolítja a vendégfelhasználókat a listából stb.:

Miután a szimuláció belépett a folyamatban lévő szakaszba, az információk elkezdenek becsúszni a jelentésbe:

Akár 30 percig is eltarthat, amíg az egyes szimulációs jelentések frissülnek a Folyamatban állapotra való áttérés után. A jelentés adatainak összeállítása addig folytatódik, amíg a szimuláció el nem éri a Befejezve állapotot. A jelentéskészítési frissítések a következő időközönként történnek:

• Az első 60 percben 10 percenként.
• 60 perc után 15 percenként két napig.
• Két nap után 30 percenként hét napig.
• Hét nap után 60 percenként.

Az Áttekintés oldalon található widgetek gyors pillanatképet nyújtanak a szervezet szimulációalapú biztonsági helyzetéről az idő múlásával. Mivel ezek a widgetek tükrözik az általános biztonsági állapotot és az idő múlásával kapcsolatos folyamatot, az egyes szimulációs kampányok befejezése után frissülnek.

A felhasználók által adathalászként jelentett üzenetek nem jelennek meg a szimulációs jelentésekben

A támadásszimulátor betanításának szimulációs jelentései részletesen ismertetik a felhasználói tevékenységeket. Például:

• Azok a felhasználók, akik az üzenetben a hivatkozásra kattintottak.
• Azok a felhasználók, akik lemondtak a hitelesítő adataikról.
• Azok a felhasználók, akik adathalászként jelentették az üzenetet.

Ha a felhasználók által adathalászként jelentett üzeneteket nem rögzítik Támadási szimulációs tréning szimulációs jelentésekben, előfordulhat, hogy egy Exchange-alapú levélforgalmi szabály (más néven átviteli szabály) blokkolja a jelentett üzenetek Kézbesítését a Microsoftnak. Ellenőrizze, hogy az e-mail-forgalomra vonatkozó szabályok nem blokkolják-e a kézbesítést a következő e-mail-címekre:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

A felhasználókhoz a szimulált üzenet jelentése után betanítást rendelnek

Ha a felhasználók betanítást kapnak az adathalász szimulációs üzenet bejelentése után, ellenőrizze, hogy a szervezete használ-e jelentési postaládát a felhasználó által jelentett üzenetek fogadásához a címen https://security.microsoft.com/securitysettings/userSubmission. A jelentési postaládát úgy kell konfigurálni, hogy kihagyjon számos biztonsági ellenőrzést a jelentési postaláda előfeltételeiben leírtak szerint.

Ha nem konfigurálja az egyéni jelentéskészítési postaládához szükséges kizárásokat, az üzeneteket a Biztonságos hivatkozások vagy a Biztonságos mellékletek védelem robbanthatja fel, ami betanítási hozzárendeléseket okoz.

Egyéb gyakori kérdések

K: Mi az ajánlott módszer a felhasználók szimulációs kampányokhoz való megcélzásához?

A: Számos lehetőség áll rendelkezésre a célfelhasználók számára:

• Az összes felhasználó belefoglalása (jelenleg a 40 000-nél kevesebb felhasználóval rendelkező szervezetek számára érhető el).
• Válassza ki az adott felhasználókat.
• Válasszon ki felhasználókat egy CSV-fájlból (soronként egy e-mail-cím).
• Microsoft Entra csoportalapú célzást.

Azt észleltük, hogy könnyebben kezelhetők azok a kampányok, amelyekben a megcélzott felhasználókat Microsoft Entra csoportok azonosítják.

K: Vannak korlátozások a felhasználók megcélzására a CSV-ből való importálás vagy a felhasználók hozzáadása során?

V: A címzettek CSV-fájlból való importálásának vagy az egyes címzettek szimulációhoz való hozzáadásának korlátja 40 000.

A címzett lehet egyéni felhasználó vagy csoport. Egy csoport több száz vagy több ezer címzettet tartalmazhat, így a tényleges korlát nem vonatkozik az egyes felhasználók számára.

A nagy MÉRETŰ CSV-fájlok kezelése vagy sok egyéni címzett hozzáadása nehézkes lehet. A Microsoft Entra csoportok használata leegyszerűsíti a szimuláció általános kezelését.

K: A Microsoft más nyelveken is biztosít hasznos adatokat?

V: Jelenleg több mint 40 honosított hasznos adat érhető el 29+ nyelven: angol, spanyol, német, japán, francia, portugál, holland, olasz, svéd, kínai (egyszerűsített), norvég Bokmål, lengyel, orosz, finn, koreai, török, magyar, héber, thai, arab, vietnami, szlovák, görög, indonéz, román, szlovén, horvát, katalán és egyéb. Megállapítottuk, hogy a meglévő hasznos adatok más nyelvekre történő közvetlen vagy gépi fordítása pontatlanságokhoz és csökkent relevanciához vezet.

Ennek ellenére létrehozhatja saját hasznos adatait a választott nyelven az egyéni hasznosadat-létrehozási felület használatával. Azt is javasoljuk, hogy gyűjtse be azokat a meglévő hasznos adatokat, amelyeket egy adott földrajzi helyen lévő felhasználók megcélzására használtak. Más szóval hagyja, hogy a támadók honosítják a tartalmat.

K: Hány oktatóvideó érhető el?

A: Jelenleg több mint 85 képzési modul érhető el a tartalomtárban.

K: Hogyan válthatok más nyelvekre a felügyeleti portálon és a betanítási felületen?

A: A Microsoft 365-ben vagy Office 365 a nyelvi konfiguráció minden felhasználói fiókhoz egyedi és központosított. A nyelvi beállítások módosításáról a Megjelenítési nyelv és időzóna módosítása a Microsoft 365 Vállalati verzióban című témakörben olvashat.

A konfigurációmódosítás akár 30 percet is igénybe vehet az összes szolgáltatás közötti szinkronizáláshoz.

K: Elindíthatok egy tesztszimulációt, hogy megértsem, hogyan néz ki, mielőtt elindítanék egy teljes körű kampányt?

Válasz: Igen, tudod! Az új szimulációs varázsló utolsó Szimuláció áttekintése lapján válassza a Teszt küldése lehetőséget. Ez a beállítás adathalász szimulációs mintaüzenetet küld az aktuálisan bejelentkezett felhasználónak. Miután ellenőrizte az adathalász üzenetet a Beérkezett üzenetek mappában, elküldheti a szimulációt.

K: Megcélozhatom azokat a felhasználókat, amelyek ugyanazon szimulációs kampány részeként egy másik bérlőhöz tartoznak?

V: Nem. A bérlők közötti szimulációk jelenleg nem támogatottak. Ellenőrizze, hogy az összes megcélzott felhasználó ugyanabban a bérlőben van-e. A bérlők közötti felhasználók és vendégfelhasználók ki vannak zárva a szimulációs kampányból.

K: Hogyan működik a régiótudatos kézbesítés?

A: A régióérzékeny kézbesítés a megcélzott felhasználó postaládájának TimeZone attribútumát és a "nem előtte" logikát használja annak meghatározásához, hogy mikor kell kézbesíteni az üzenetet. Vegyük például a következő forgatókönyvet:

• A csendes-óceáni időzónában (UTC-8) 7:00-kor egy rendszergazda létrehoz és ütemez egy kampányt, amely ugyanazon a napon 9:00-kor kezdődik.
• A UserA a keleti időzónában van (UTC-5).
• A UserB a csendes-óceáni időzónában is található.

Ugyanezen a napon 9:00-kor a rendszer elküldi a szimulációs üzenetet a UserB-nek. Régióbarát kézbesítés esetén az üzenetet a rendszer nem küldi el a UserA-nak ugyanazon a napon, mert a csendes-óceáni idő 9:00 keleti idő szerint 12:00. Ehelyett a rendszer a következő napon keleti idő szerint 9:00-kor küldi el az üzenetet a UserA-nak.

Így egy régióérzékeny kézbesítést engedélyező kampány első futtatásakor úgy tűnhet, hogy a szimulációs üzenetet csak egy adott időzónában lévő felhasználók kapják meg. Ahogy azonban az idő múlásával egyre több felhasználó kerül a hatókörbe, a megcélzott felhasználók száma nő.

K: Gyűjt vagy tárol a Microsoft olyan adatokat, amelyeket a felhasználók a Hitelesítő adatok betakarítása bejelentkezési oldalon a Hitelesítő adatok begyűjtése szimulációs technikában használnak?

V: Nem. A hitelesítő adatok begyűjtése bejelentkezési oldalon megadott adatokat a rendszer csendesen elveti. A biztonsági sérülési esemény rögzítéséhez csak a "kattintás" lesz rögzítve. A Microsoft nem gyűjti, naplózza és nem tárolja az ebben a lépésben megadott adatokat.