공격 시뮬레이션 교육 배포 고려 사항 및 FAQ

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

공격 시뮬레이션 훈련 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 계획 2 조직이 실제 무해한 피싱 페이로드로 구동되는 피싱 시뮬레이션을 만들고 관리할 수 있도록 하여 소셜 엔지니어링 위험을 측정하고 관리할 수 있습니다. Terranova 보안과 협력하여 제공되는 하이퍼 타겟 교육은 지식을 개선하고 직원 행동을 변경하는 데 도움이 됩니다.

공격 시뮬레이션 훈련 시작하는 방법에 대한 자세한 내용은 공격 시뮬레이션 훈련 사용을 참조하세요.

시뮬레이션 만들기 및 예약 환경은 자유롭게 흐르고 마찰이 없도록 설계되지만 엔터프라이즈 규모의 시뮬레이션에는 계획이 필요합니다. 이 문서는 고객이 자체 환경에서 시뮬레이션을 실행할 때 발생하는 특정 문제를 해결하는 데 도움이 됩니다.

최종 사용자 환경 문제

Google Safe 브라우징에 의해 차단된 피싱 시뮬레이션 URL

URL 평판 서비스는 공격 시뮬레이션 훈련 사용하는 하나 이상의 URL을 안전하지 않은 것으로 식별할 수 있습니다. Google Chrome의 Google Safe 브라우징은 미리 기만적인 사이트 메시지와 함께 시뮬레이션된 피싱 URL 중 일부를 차단합니다. 시뮬레이션 URL을 항상 허용하기 위해 많은 URL 평판 공급업체와 협력하지만 항상 전체 범위가 있는 것은 아닙니다.

구글 크롬에서 기만 사이트 앞서 경고

이 문제는 Microsoft Edge에 영향을 주지 않습니다.

계획 단계의 일부로 피싱 캠페인에서 URL을 사용하기 전에 지원되는 웹 브라우저에서 URL의 가용성을 검사 합니다. Google 안전 검색에 의해 URL이 차단된 경우 Google의 이 지침에 따라 URL에 대한 액세스를 허용합니다.

공격 시뮬레이션 훈련 현재 사용되는 URL 목록은 공격 시뮬레이션 훈련 사용 시작을 참조하세요.

네트워크 프록시 솔루션 및 필터 드라이버에 의해 차단된 피싱 시뮬레이션 및 관리 URL

중간 보안 디바이스 또는 필터에 의해 피싱 시뮬레이션 URL과 관리자 URL이 모두 차단되거나 삭제될 수 있습니다. 예를 들면

  • 방화벽
  • WAF(Web Application Firewall) 솔루션
  • 타사 필터 드라이버(예: 커널 모드 필터)

이 계층에서 차단되는 고객을 거의 보지 못했습니다. 문제가 발생하는 경우 필요에 따라 보안 디바이스 또는 필터의 검사를 무시하도록 다음 URL을 구성하는 것이 좋습니다.

시뮬레이션 메시지가 모든 대상 사용자에게 전달되지 않음

실제로 시뮬레이션 전자 메일 메시지를 받는 사용자 수가 시뮬레이션의 대상이 된 사용자 수보다 적을 수 있습니다. 다음 유형의 사용자는 대상 유효성 검사의 일부로 제외됩니다.

  • 받는 사람 전자 메일 주소가 잘못되었습니다.
  • 게스트 사용자.
  • Microsoft Entra ID에서 더 이상 활성화되지 않은 사용자입니다.

메일 그룹 또는 메일 사용 가능 보안 그룹을 사용하여 사용자를 대상으로 지정하는 경우 Exchange Online PowerShellGet-DistributionGroupMember cmdlet을 사용하여 메일 그룹 구성원을 보고 유효성을 검사할 수 있습니다.

공격 시뮬레이션 훈련 보고 관련 문제

공격 시뮬레이션 훈련 보고서에 활동 세부 정보가 포함되어 있지 않습니다.

공격 시뮬레이션 훈련 직원의 위협 준비 진행 상황을 계속 알려주는 다양하고 실행 가능한 인사이트를 제공합니다. 공격 시뮬레이션 훈련 보고서가 데이터로 채워지지 않으면 감사 로깅이 organization 설정되어 있는지 확인합니다(기본적으로 켜져 있음).

이벤트를 캡처, 기록 및 다시 읽을 수 있도록 공격 시뮬레이션 훈련 감사 로깅이 필요합니다. 감사 로깅을 해제하면 공격 시뮬레이션 훈련 다음과 같은 결과가 발생할 수 있습니다.

  • 보고 데이터는 모든 보고서에서 사용할 수 없습니다. 보고서가 비어 있는 것처럼 보입니다.
  • 데이터를 사용할 수 없으므로 학습 할당이 차단됩니다.

감사 로깅이 켜져 있는지 확인하거나 켜려면 감사 켜기 또는 끄기를 참조하세요.

참고

사용자에게 할당된 E5 라이선스가 없어 빈 활동 세부 정보도 발생할 수 있습니다. 보고 이벤트가 캡처되고 기록되는지 확인하기 위해 활성 사용자에게 하나 이상의 E5 라이선스가 할당되었는지 확인합니다.

온-프레미스 사서함 관련 문제 보고

공격 시뮬레이션 훈련 온-프레미스 사서함을 지원하지만 보고 기능이 감소합니다.

  • 사용자가 시뮬레이션 전자 메일을 읽거나 전달하거나 삭제했는지에 대한 데이터는 온-프레미스 사서함에 사용할 수 없습니다.
  • 시뮬레이션 전자 메일을 보고한 사용자 수는 온-프레미스 사서함에 사용할 수 없습니다.

시뮬레이션 보고서는 즉시 업데이트되지 않습니다.

자세한 시뮬레이션 보고서는 캠페인을 시작하는 즉시 업데이트되지 않습니다. 걱정 마세요; 이 동작이 필요합니다.

모든 시뮬레이션 캠페인에는 수명 주기가 있습니다. 처음 만들면 시뮬레이션이 예약됨 상태입니다. 시뮬레이션이 시작되면 진행 중 상태로 전환됩니다. 완료되면 시뮬레이션이 완료됨 상태로 전환됩니다.

시뮬레이션이 예약된 상태인 동안 시뮬레이션 보고서는 대부분 비어 있습니다. 이 단계에서 시뮬레이션 엔진은 대상 사용자 이메일 주소를 해결하고, 배포 그룹을 확장하고, 목록에서 게스트 사용자를 제거하는 등의 작업을 수행합니다.

예약된 상태의 시뮬레이션을 보여 주는 시뮬레이션 세부 정보

시뮬레이션이 진행 중 단계에 들어가면 정보가 보고로 흘러들어갑니다.

진행 중 상태의 시뮬레이션을 보여 주는 시뮬레이션 세부 정보

개별 시뮬레이션 보고서가 진행 중 상태로 전환된 후 업데이트하는 데 최대 30분이 걸릴 수 있습니다. 시뮬레이션이 완료 됨 상태에 도달할 때까지 보고서 데이터는 계속 빌드됩니다. 보고 업데이트는 다음 간격으로 발생합니다.

  • 처음 60분 동안 10분마다.
  • 60분 후 15분마다 2일까지.
  • 2일 후 30분마다 7일까지.
  • 7일 후 60분마다.

개요 페이지의 위젯은 시간이 지남에 따라 organization 시뮬레이션 기반 보안 태세의 빠른 스냅샷 제공합니다. 이러한 위젯은 시간이 지남에 따라 전반적인 보안 태세와 여정을 반영하므로 각 시뮬레이션 캠페인이 완료된 후에 업데이트됩니다.

참고

다양한 보고 페이지에서 내보내기 옵션을 사용하여 데이터를 추출할 수 있습니다.

사용자가 피싱으로 보고한 메시지가 시뮬레이션 보고서에 표시되지 않음

공격 시뮬레이터 학습의 시뮬레이션 보고서는 사용자 활동에 대한 세부 정보를 제공합니다. 예를 들면

  • 메시지의 링크를 클릭한 사용자입니다.
  • 자격 증명을 포기한 사용자입니다.
  • 메시지를 피싱으로 보고한 사용자입니다.

사용자가 피싱으로 보고한 메시지가 공격 시뮬레이션 훈련 시뮬레이션 보고서에 캡처되지 않는 경우 Microsoft에 보고된 메시지 배달을 차단하는 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)이 있을 수 있습니다. 메일 흐름 규칙이 다음 전자 메일 주소로 배달을 차단하지 않는지 확인합니다.

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

시뮬레이션된 메시지를 보고한 후 사용자에게 학습이 할당됩니다.

피싱 시뮬레이션 메시지를 보고한 후 사용자에게 학습이 할당된 경우 검사 organization 보고 사서함을 사용하여 에서 https://security.microsoft.com/securitysettings/userSubmission사용자가 보고한 메시지를 수신하는지 확인합니다. 보고 사서함 필수 구성 요소에 설명된 대로 많은 보안 검사를 건너뛰도록 보고 사서함을 구성해야 합니다.

사용자 지정 보고 사서함에 필요한 제외를 구성하지 않으면 안전한 링크 또는 안전한 첨부 파일 보호로 인해 메시지가 폭발하여 학습 할당이 발생할 수 있습니다.

기타 질문과 대답

A: 대상 사용자가 사용할 수 있는 몇 가지 옵션은 다음과 같습니다.

  • 모든 사용자(현재 사용자가 40,000명 미만인 조직에서 사용 가능)를 포함합니다.
  • 특정 사용자를 선택합니다.
  • CSV 파일에서 사용자를 선택합니다(줄당 하나의 이메일 주소).
  • 그룹 기반 대상 지정을 Microsoft Entra.

대상 사용자를 Microsoft Entra 그룹으로 식별하는 캠페인을 보다 쉽게 관리할 수 있습니다.

Q: CSV에서 가져오거나 사용자를 추가하는 동안 사용자를 대상으로 지정하는 데 제한이 있나요?

A: CSV 파일에서 받는 사람을 가져오거나 시뮬레이션에 개별 받는 사람을 추가하는 제한은 40,000입니다.

받는 사람은 개별 사용자 또는 그룹일 수 있습니다. 그룹에는 수백 또는 수천 명의 받는 사람이 포함될 수 있으므로 실제 제한은 개별 사용자 수에 배치되지 않습니다.

큰 CSV 파일을 관리하거나 많은 개별 받는 사람을 추가하는 것은 번거로울 수 있습니다. Microsoft Entra 그룹을 사용하면 시뮬레이션의 전반적인 관리가 간소화됩니다.

Q: Microsoft는 다른 언어로 페이로드를 제공하나요?

A: 현재 영어, 스페인어, 독일어, 일본어, 프랑스어, 포르투갈어, 네덜란드어, 이탈리아어, 스웨덴어, 중국어(간체), 노르웨이어 Bokmål, 폴란드어, 러시아어, 핀란드어, 한국어, 터키어, 헝가리어, 히브리어, 태국어, 아랍어, 베트남어, 슬로바키아어, 그리스어, 인도네시아어, 루마니아어, 슬로베니아어, 크로아티아어, 카탈로니아어 등 29개 이상의 언어로 제공되는 40개 이상의 지역화된 페이로드가 있습니다. 기존 페이로드를 다른 언어로 직접 또는 기계 변환하면 부정확하고 관련성이 감소한다고 결정했습니다.

즉, 사용자 지정 페이로드 작성 환경을 사용하여 원하는 언어로 고유한 페이로드를 만들 수 있습니다. 또한 특정 지역의 사용자를 대상으로 하는 데 사용된 기존 페이로드를 수확하는 것이 좋습니다. 즉, 공격자가 콘텐츠를 지역화하도록 합니다.

Q: 사용할 수 있는 교육 비디오는 몇 개입니까?

A: 현재 콘텐츠 라이브러리에는 85개 이상의 학습 모듈이 있습니다.

Q: 관리 포털 및 교육 환경을 위해 다른 언어로 전환하려면 어떻게 해야 하나요?

A: Microsoft 365 또는 Office 365 언어 구성은 각 사용자 계정에 대해 특정하고 중앙 집중화됩니다. 언어 설정을 변경하는 방법에 대한 지침은 비즈니스용 Microsoft 365에서 표시 언어 및 표준 시간대 변경을 참조하세요.

구성 변경은 모든 서비스에서 동기화하는 데 최대 30분이 걸릴 수 있습니다.

Q: 본격적인 캠페인을 시작하기 전에 테스트 시뮬레이션을 트리거하여 모양을 파악할 수 있나요?

A: 네, 할 수 있습니다! 새 시뮬레이션 마법사의 마지막 시뮬레이션 검토 페이지에서 테스트 보내기를 선택합니다. 이 옵션은 현재 로그인한 사용자에게 샘플 피싱 시뮬레이션 메시지를 보냅니다. 받은 편지함에서 피싱 메시지의 유효성을 검사한 후 시뮬레이션을 제출할 수 있습니다.

시뮬레이션 검토 페이지의 테스트 보내기 단추

Q: 동일한 시뮬레이션 캠페인의 일부로 다른 테넌트에서 속한 사용자를 대상으로 지정할 수 있나요?

대답: 아니요. 현재 테넌트 간 시뮬레이션은 지원되지 않습니다. 모든 대상 사용자가 동일한 테넌트인지 확인합니다. 테넌트 간 사용자 또는 게스트 사용자는 시뮬레이션 캠페인에서 제외됩니다.

Q: 지역 인식 배달은 어떻게 작동하나요?

A: 지역 인식 배달은 대상 사용자 사서함의 TimeZone 특성과 '이전이 아님' 논리를 사용하여 메시지를 배달할 시기를 결정합니다. 예를 들어 다음과 같은 경우를 생각해볼 수 있습니다.

  • 태평양 표준 시간대(UTC-8)의 오전 7:00에 관리자는 같은 날 오전 9시에 시작하는 캠페인을 만들고 예약합니다.
  • UserA는 동부 표준 시간대(UTC-5)에 있습니다.
  • UserB는 태평양 표준 시간대에도 있습니다.

같은 날 오전 9:00에 시뮬레이션 메시지가 UserB로 전송됩니다. 지역 인식 배달을 사용하면 태평양 표준시 오전 9:00이 동부 표준시인 12:00이므로 같은 날 UserA로 메시지가 전송되지 않습니다. 대신 메시지는 다음 날 오전 9시 동부 시간으로 UserA로 전송됩니다.

따라서 지역 인식 배달을 사용하도록 설정된 캠페인의 초기 실행 시 시뮬레이션 메시지가 특정 표준 시간대의 사용자에게만 전송된 것처럼 보일 수 있습니다. 그러나 시간이 지남에 따라 더 많은 사용자가 scope 들어오면 대상 사용자가 증가합니다.

Q: Microsoft는 자격 증명 수확 시뮬레이션 기술에 사용되는 자격 증명 수확 로그인 페이지에서 사용자가 입력하는 정보를 수집하거나 저장하나요?

대답: 아니요. 자격 증명 수집 로그인 페이지에 입력된 모든 정보는 자동으로 삭제됩니다. 손상 이벤트를 캡처하기 위해 '클릭'만 기록됩니다. Microsoft는 이 단계에서 사용자가 입력하는 세부 정보를 수집, 로그 또는 저장하지 않습니다.