Támadásszimulációs képzés üzembe helyezésével kapcsolatos szempontok és GYIK
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Támadási szimulációs tréning lehetővé teszi Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender Plan 2 szervezetek számára a szociális mérnöki kockázatok mérését és kezelését azáltal, hogy lehetővé teszik a valós világra épülő adathalász szimulációk létrehozását és kezelését, ártalmatlan adathalász hasznos adatok. A Terranova biztonságával együttműködésben nyújtott, hipercélos képzés segít a tudás javításában és az alkalmazottak viselkedésének módosításában.
A Támadási szimulációs tréning használatának első lépéseiről az Ismerkedés a Támadási szimulációs tréning használatával című témakörben talál további információt.
Bár a szimuláció létrehozási és ütemezési felülete szabadon áramló és súrlódásmentes, a nagyvállalati szintű szimulációk tervezést igényelnek. Ez a cikk segítséget nyújt az ügyfelek által a saját környezetükben futtatott szimulációk során felmerülő konkrét kihívások megoldásában.
Végfelhasználói élményekkel kapcsolatos problémák
A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek
Az URL-hírnévszolgáltatás azonosíthat egy vagy több olyan URL-címet, amelyet a Támadási szimulációs tréning nem biztonságosként használ. A Google Biztonságos böngészés a Google Chrome-ban letiltja a szimulált adathalász URL-címek némelyikét egy megtévesztő webhelyre vonatkozó előre látható üzenettel. Bár számos URL-hírnévszolgáltatóval együttműködve mindig engedélyezzük a szimulációs URL-címeket, nem mindig rendelkezünk teljes lefedettséggel.
Ez a probléma nincs hatással a Microsoft Edge-re.
A tervezési fázis részeként ellenőrizze az URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. Ha a Google Biztonságos böngészés letiltja az URL-címeket, kövesse a Google ezen útmutatójának útmutatását az URL-címekhez való hozzáférés engedélyezéséhez.
A Támadási szimulációs tréning által jelenleg használt URL-címek listájáért tekintse meg a Támadási szimulációs tréning használatának első lépéseit ismertető témakört.
Adathalászati szimuláció és hálózati proxymegoldások és szűrőillesztők által blokkolt rendszergazdai URL-címek
Az adathalász szimulációs URL-címeket és a rendszergazdai URL-címeket is blokkolhatják vagy elvethetik a köztes biztonsági eszközök vagy szűrők. Például:
- Tűzfalak
- Web Application Firewall (WAF) megoldások
- Külső szűrőillesztők (például kernelmódú szűrők)
Bár néhány ügyfelet blokkoltak ezen a rétegen, mégis előfordul. Ha problémákba ütközik, fontolja meg a következő URL-címek konfigurálását, hogy a biztonsági eszközök vagy szűrők szükség szerint megkerüljék a vizsgálatot:
- A szimulált adathalász URL-címek az Első lépések a Támadási szimulációs tréning című cikkben leírtak szerint.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Nem minden megcélzott felhasználónak küldött szimulációs üzenetek
Lehetséges, hogy a szimulációs e-maileket ténylegesen megkapó felhasználók száma kisebb, mint a szimuláció által megcélzott felhasználók száma. A célérvényesítés a következő típusú felhasználókat zárja ki:
- Érvénytelen címzett e-mail-címek.
- Vendégfelhasználók.
- Azok a felhasználók, amelyek már nem aktívak Microsoft Entra azonosítóban.
Ha terjesztési csoportokat vagy levelezési biztonsági csoportokat használ a felhasználók megcélzásához, a PowerShell Exchange OnlineGet-DistributionGroupMember parancsmagját használhatja a terjesztési csoport tagjainak megtekintéséhez és ellenőrzéséhez.
A Támadási szimulációs tréning jelentéskészítéssel kapcsolatos problémák
Támadási szimulációs tréning jelentések nem tartalmaznak tevékenységadatokat
Támadási szimulációs tréning gazdag, gyakorlatban hasznosítható megállapításokkal rendelkezik, amelyek folyamatosan tájékoztatják az alkalmazottak veszélyforrás-felkészültségi állapotáról. Ha Támadási szimulációs tréning jelentések nincsenek adatokkal feltöltve, ellenőrizze, hogy a naplózás be van-e kapcsolva a szervezetben (alapértelmezés szerint be van kapcsolva).
Az események rögzítéséhez, rögzítéséhez és visszaolvasásához Támadási szimulációs tréning naplózásra van szükség. A naplózás kikapcsolása a következő következményekkel jár a Támadási szimulációs tréning esetén:
- A jelentéskészítési adatok nem minden jelentésben érhetők el. A jelentések üresen jelennek meg.
- A betanítási hozzárendelések le vannak tiltva, mert az adatok nem érhetők el.
Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.
Megjegyzés
Az üres tevékenység részleteit az is okozhatja, hogy nincs hozzárendelve E5-licenc a felhasználókhoz. Ellenőrizze, hogy legalább egy E5-licenc hozzá van-e rendelve egy aktív felhasználóhoz, hogy a jelentési események rögzítve és rögzítve legyenek.
Helyszíni postaládákkal kapcsolatos jelentéskészítési problémák
Támadási szimulációs tréning támogatja a helyszíni postaládákat, de kevesebb jelentéskészítési funkcióval:
- A helyszíni postaládákban nem érhetők el azok az adatok, hogy a felhasználók olvassák, továbbítják vagy törölték-e a szimulációs e-maileket.
- Azoknak a felhasználóknak a száma, akik jelentették a szimulációs e-mailt, nem érhetők el a helyszíni postaládákban.
A szimulációs jelentések nem frissülnek azonnal
A részletes szimulációs jelentések nem frissülnek közvetlenül a kampány elindítása után. Ne aggódj; ez a viselkedés várható.
Minden szimulációs kampány rendelkezik életciklussal. Az első létrehozáskor a szimuláció Ütemezett állapotban van. Amikor a szimuláció elindul, a folyamat folyamatban állapotra vált. Ha elkészült, a szimuláció Befejezve állapotba vált.
Bár egy szimuláció ütemezett állapotban van, a szimulációs jelentések többnyire üresek. Ebben a szakaszban a szimulációs motor feloldja a célfelhasználói e-mail-címeket, kibővíti a terjesztési csoportokat, eltávolítja a vendégfelhasználókat a listából stb.:
Miután a szimuláció belépett a folyamatban lévő szakaszba, az információk elkezdenek becsúszni a jelentésbe:
Akár 30 percig is eltarthat, amíg az egyes szimulációs jelentések frissülnek a Folyamatban állapotra való áttérés után. A jelentés adatainak összeállítása addig folytatódik, amíg a szimuláció el nem éri a Befejezve állapotot. A jelentéskészítési frissítések a következő időközönként történnek:
- Az első 60 percben 10 percenként.
- 60 perc után 15 percenként két napig.
- Két nap után 30 percenként hét napig.
- Hét nap után 60 percenként.
Az Áttekintés oldalon található widgetek gyors pillanatképet nyújtanak a szervezet szimulációalapú biztonsági helyzetéről az idő múlásával. Mivel ezek a widgetek tükrözik az általános biztonsági állapotot és az idő múlásával kapcsolatos folyamatot, az egyes szimulációs kampányok befejezése után frissülnek.
Megjegyzés
Az adatok kinyeréséhez használhatja az Exportálás lehetőséget a különböző jelentésoldalakon.
A felhasználók által adathalászként jelentett üzenetek nem jelennek meg a szimulációs jelentésekben
A támadásszimulátor betanításának szimulációs jelentései részletesen ismertetik a felhasználói tevékenységeket. Például:
- Azok a felhasználók, akik az üzenetben a hivatkozásra kattintottak.
- Azok a felhasználók, akik lemondtak a hitelesítő adataikról.
- Azok a felhasználók, akik adathalászként jelentették az üzenetet.
Ha a felhasználók által adathalászként jelentett üzeneteket nem rögzítik Támadási szimulációs tréning szimulációs jelentésekben, előfordulhat, hogy egy Exchange-alapú levélforgalmi szabály (más néven átviteli szabály) blokkolja a jelentett üzenetek Kézbesítését a Microsoftnak. Ellenőrizze, hogy az e-mail-forgalomra vonatkozó szabályok nem blokkolják-e a kézbesítést a következő e-mail-címekre:
- junk@office365.microsoft.com
- abuse@messaging.microsoft.com
- phish@office365.microsoft.com
- not_junk@office365.microsoft.com
A felhasználókhoz a szimulált üzenet jelentése után betanítást rendelnek
Ha a felhasználók betanítást kapnak az adathalász szimulációs üzenet bejelentése után, ellenőrizze, hogy a szervezete használ-e jelentési postaládát a felhasználó által jelentett üzenetek fogadásához a címen https://security.microsoft.com/securitysettings/userSubmission. A jelentési postaládát úgy kell konfigurálni, hogy kihagyjon számos biztonsági ellenőrzést a jelentési postaláda előfeltételeiben leírtak szerint.
Ha nem konfigurálja az egyéni jelentéskészítési postaládához szükséges kizárásokat, az üzeneteket a Biztonságos hivatkozások vagy a Biztonságos mellékletek védelem robbanthatja fel, ami betanítási hozzárendeléseket okoz.
Egyéb gyakori kérdések
K: Mi az ajánlott módszer a felhasználók szimulációs kampányokhoz való megcélzásához?
A: Számos lehetőség áll rendelkezésre a célfelhasználók számára:
- Az összes felhasználó belefoglalása (jelenleg a 40 000-nél kevesebb felhasználóval rendelkező szervezetek számára érhető el).
- Válassza ki az adott felhasználókat.
- Válasszon ki felhasználókat egy CSV-fájlból (soronként egy e-mail-cím).
- Microsoft Entra csoportalapú célzást.
Azt észleltük, hogy könnyebben kezelhetők azok a kampányok, amelyekben a megcélzott felhasználókat Microsoft Entra csoportok azonosítják.
K: Vannak korlátozások a felhasználók megcélzására a CSV-ből való importálás vagy a felhasználók hozzáadása során?
V: A címzettek CSV-fájlból való importálásának vagy az egyes címzettek szimulációhoz való hozzáadásának korlátja 40 000.
A címzett lehet egyéni felhasználó vagy csoport. Egy csoport több száz vagy több ezer címzettet tartalmazhat, így a tényleges korlát nem vonatkozik az egyes felhasználók számára.
A nagy MÉRETŰ CSV-fájlok kezelése vagy sok egyéni címzett hozzáadása nehézkes lehet. A Microsoft Entra csoportok használata leegyszerűsíti a szimuláció általános kezelését.
K: A Microsoft más nyelveken is biztosít hasznos adatokat?
V: Jelenleg több mint 40 honosított hasznos adat érhető el 29+ nyelven: angol, spanyol, német, japán, francia, portugál, holland, olasz, svéd, kínai (egyszerűsített), norvég Bokmål, lengyel, orosz, finn, koreai, török, magyar, héber, thai, arab, vietnami, szlovák, görög, indonéz, román, szlovén, horvát, katalán és egyéb. Megállapítottuk, hogy a meglévő hasznos adatok más nyelvekre történő közvetlen vagy gépi fordítása pontatlanságokhoz és csökkent relevanciához vezet.
Ennek ellenére létrehozhatja saját hasznos adatait a választott nyelven az egyéni hasznosadat-létrehozási felület használatával. Azt is javasoljuk, hogy gyűjtse be azokat a meglévő hasznos adatokat, amelyeket egy adott földrajzi helyen lévő felhasználók megcélzására használtak. Más szóval hagyja, hogy a támadók honosítják a tartalmat.
K: Hány oktatóvideó érhető el?
A: Jelenleg több mint 85 képzési modul érhető el a tartalomtárban.
K: Hogyan válthatok más nyelvekre a felügyeleti portálon és a betanítási felületen?
A: A Microsoft 365-ben vagy Office 365 a nyelvi konfiguráció minden felhasználói fiókhoz egyedi és központosított. A nyelvi beállítások módosításáról a Megjelenítési nyelv és időzóna módosítása a Microsoft 365 Vállalati verzióban című témakörben olvashat.
A konfigurációmódosítás akár 30 percet is igénybe vehet az összes szolgáltatás közötti szinkronizáláshoz.
K: Elindíthatok egy tesztszimulációt, hogy megértsem, hogyan néz ki, mielőtt elindítanék egy teljes körű kampányt?
Válasz: Igen, tudod! Az új szimulációs varázsló utolsó Szimuláció áttekintése lapján válassza a Teszt küldése lehetőséget. Ez a beállítás adathalász szimulációs mintaüzenetet küld az aktuálisan bejelentkezett felhasználónak. Miután ellenőrizte az adathalász üzenetet a Beérkezett üzenetek mappában, elküldheti a szimulációt.
K: Megcélozhatom azokat a felhasználókat, amelyek ugyanazon szimulációs kampány részeként egy másik bérlőhöz tartoznak?
V: Nem. A bérlők közötti szimulációk jelenleg nem támogatottak. Ellenőrizze, hogy az összes megcélzott felhasználó ugyanabban a bérlőben van-e. A bérlők közötti felhasználók és vendégfelhasználók ki vannak zárva a szimulációs kampányból.
K: Hogyan működik a régiótudatos kézbesítés?
A: A régióérzékeny kézbesítés a megcélzott felhasználó postaládájának TimeZone attribútumát és a "nem előtte" logikát használja annak meghatározásához, hogy mikor kell kézbesíteni az üzenetet. Vegyük például a következő forgatókönyvet:
- A csendes-óceáni időzónában (UTC-8) 7:00-kor egy rendszergazda létrehoz és ütemez egy kampányt, amely ugyanazon a napon 9:00-kor kezdődik.
- A UserA a keleti időzónában van (UTC-5).
- A UserB a csendes-óceáni időzónában is található.
Ugyanezen a napon 9:00-kor a rendszer elküldi a szimulációs üzenetet a UserB-nek. Régióbarát kézbesítés esetén az üzenetet a rendszer nem küldi el a UserA-nak ugyanazon a napon, mert a csendes-óceáni idő 9:00 keleti idő szerint 12:00. Ehelyett a rendszer a következő napon keleti idő szerint 9:00-kor küldi el az üzenetet a UserA-nak.
Így egy régióérzékeny kézbesítést engedélyező kampány első futtatásakor úgy tűnhet, hogy a szimulációs üzenetet csak egy adott időzónában lévő felhasználók kapják meg. Ahogy azonban az idő múlásával egyre több felhasználó kerül a hatókörbe, a megcélzott felhasználók száma nő.
K: Gyűjt vagy tárol a Microsoft olyan adatokat, amelyeket a felhasználók a Hitelesítő adatok betakarítása bejelentkezési oldalon a Hitelesítő adatok begyűjtése szimulációs technikában használnak?
V: Nem. A hitelesítő adatok begyűjtése bejelentkezési oldalon megadott adatokat a rendszer csendesen elveti. A biztonsági sérülési esemény rögzítéséhez csak a "kattintás" lesz rögzítve. A Microsoft nem gyűjti, naplózza és nem tárolja az ebben a lépésben megadott adatokat.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: