Opplæring med simulert angrep og vanlige spørsmål om distribusjon

Opplæring med simulert angrep gjør det mulig for Microsoft 365 E5 eller Microsoft Defender for Office 365 Plan 2-organisasjoner å måle og administrere sosial ingeniørrisiko ved å tillate opprettelse og administrasjon av phishing-simuleringer som drives av virkelige, harmløse phishing Payloads. Hyper-målrettet opplæring, levert i samarbeid med Terranova sikkerhet, bidrar til å forbedre kunnskap og endre ansattes atferd.

Hvis du vil ha mer informasjon om hvordan du kommer i gang med Opplæring med simulert angrep, kan du se Komme i gang med å bruke Opplæring med simulert angrep.

Selv om simuleringsskapingen og planleggingsopplevelsen er utformet for å være frittflytende og friksjonsfri, krever simuleringer i foretaksskala planlegging. Denne artikkelen bidrar til å løse spesifikke utfordringer som vi ser når kundene våre kjører simuleringer i sine egne miljøer.

Problemer med sluttbrukeropplevelser

Nettadresser for phishing-simulering blokkert av Google Safe Browsing

En omdømmetjeneste for nettadresser kan identifisere én eller flere url-adresser som brukes av Opplæring med simulert angrep som usikre. Google Safe Browsing i Google Chrome blokkerer noen av de simulerte phishing-nettadressene med et villedende nettsted i forkant av meldingen. Selv om vi jobber med mange leverandører av nettadresser til alltid å tillate våre simuleringsnettadresser, har vi ikke alltid full dekning.

Dette problemet påvirker ikke Microsoft Edge.

Som en del av planleggingsfasen må du kontrollere tilgjengeligheten til nettadressen i nettlesere som støttes, før du bruker nettadressen i en phishing-kampanje. Hvis nettadressene blokkeres av Google Safe Browsing, følger du denne veiledningen fra Google for å gi tilgang til nettadressene.

Se Komme i gang ved hjelp av Opplæring med simulert angrep for listen over url-adresser som for øyeblikket brukes av Opplæring med simulert angrep.

Nettadresser for phishing-simulering og administrator blokkert av nettverksproxyløsninger og filterdrivere

Både nettadresser for phishing-simulering og nettadresser for administratorer kan bli blokkert eller fjernet av dine mellomliggende sikkerhetsenheter eller filtre. Eksempel:

• Brannmurer
• Løsninger for brannmur for webprogram (WAF)
• Tredjeparts filterdrivere (for eksempel filtre for kjernemodus)

Selv om vi har sett få kunder bli blokkert på dette laget, skjer det. Hvis det oppstår problemer, kan du vurdere å konfigurere følgende nettadresser til å omgå skanning av sikkerhetsenhetene eller filtrene etter behov:

• De simulerte nettadressene for phishing, som beskrevet i Kom i gang ved hjelp av Opplæring med simulert angrep.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Simuleringsmeldinger som ikke leveres til alle målrettede brukere

Det er mulig at antall brukere som faktisk mottar simulerings-e-postmeldingene, er mindre enn antall brukere som ble målrettet av simuleringen. Følgende typer brukere utelates som en del av målvalidering:

• Ugyldige mottaker-e-postadresser.
• Gjestebrukere.
• Brukere som ikke lenger er aktive i Microsoft Entra ID.

Hvis du bruker distribusjonsgrupper eller e-postaktiverte sikkerhetsgrupper til å målrette mot brukere, kan du bruke cmdleten Get-DistributionGroupMember i Exchange Online PowerShell til å vise og validere distribusjonsgruppemedlemmer.

Problemer med rapportering av Opplæring med simulert angrep

Opplæring med simulert angrep rapporter inneholder ingen aktivitetsdetaljer

Opplæring med simulert angrep leveres med omfattende, handlingsrettet innsikt som holder deg informert om fremdriften i trusselberedskapen til de ansatte. Hvis Opplæring med simulert angrep rapporter ikke fylles ut med data, må du kontrollere at overvåkingslogging er aktivert i organisasjonen (den er aktivert som standard).

Overvåkingslogging kreves av Opplæring med simulert angrep slik at hendelser kan registreres, registreres og leses opp. Deaktivering av overvåkingslogging har følgende konsekvenser for Opplæring med simulert angrep:

• Rapporteringsdata er ikke tilgjengelig på tvers av alle rapporter. Rapportene vises tomme.
• Opplæringsoppgaver blokkeres fordi data ikke er tilgjengelige.

Hvis du vil kontrollere at overvåkingslogging er på, eller hvis du vil slå den på, kan du se Aktivere eller deaktivere overvåking.

Rapporteringsproblemer med lokale postbokser

Opplæring med simulert angrep støtter lokale postbokser, men med redusert rapporteringsfunksjonalitet:

• Data om hvorvidt brukere leser, videresender eller sletter simulerings-e-posten, er ikke tilgjengelige for lokale postbokser.
• Antall brukere som rapporterte simulerings-e-posten, er ikke tilgjengelig for lokale postbokser.

Simuleringsrapporter oppdateres ikke umiddelbart

Detaljerte simuleringsrapporter oppdateres ikke umiddelbart etter at du har lansert en kampanje. Ikke bekymre deg; denne virkemåten er forventet.

Hver simuleringskampanje har en livssyklus. Når den først ble opprettet, er simuleringen i planlagt tilstand. Når simuleringen starter, går den over til pågående tilstand. Når den er fullført, går simuleringen over til fullført tilstand.

Mens en simulering er i den planlagte tilstanden, er simuleringsrapportene for det meste tomme. I løpet av dette stadiet løser simuleringsmotoren målbruker-e-postadressene, utvider distribusjonsgrupper, fjerner gjestebrukere fra listen osv.:

Når simuleringen går inn i pågående fase, begynner informasjonen å lure inn i rapporteringen:

Det kan ta opptil 30 minutter før de enkelte simuleringsrapportene oppdateres etter overgangen til pågående tilstand. Rapportdataene fortsetter å bygge til simuleringen når fullført tilstand. Rapporteringsoppdateringer skjer med følgende intervaller:

• Hvert 10. minutt de første 60 minuttene.
• Hvert 15. minutt etter 60 minutter til to dager.
• Hvert 30. minutt etter to dager til sju dager.
• Hvert 60. minutt etter sju dager.

Kontrollprogrammer på Oversikt-siden gir et raskt øyeblikksbilde av organisasjonens simuleringsbaserte sikkerhetsstilling over tid. Fordi disse kontrollprogrammene gjenspeiler din generelle sikkerhetsstilling og reise over tid, oppdateres de etter at hver simuleringskampanje er fullført.

Meldinger som rapporteres som phishing av brukere, vises ikke i simuleringsrapporter

Simuleringsrapporter i angrepssimulatoropplæring gir detaljer om brukeraktivitet. Eksempel:

• Brukere som klikket på koblingen i meldingen.
• Brukere som gav opp legitimasjonen sin.
• Brukere som rapporterte meldingen som phishing.

Hvis meldinger som brukere rapporterte som phishing ikke fanges opp i Opplæring med simulert angrep simuleringsrapporter, kan det være en Exchange-e-postflytregel (også kjent som en transportregel) som blokkerer leveringen av de rapporterte meldingene til Microsoft. Kontroller at regler for e-postflyt ikke blokkerer levering til følgende e-postadresser:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

Brukere tilordnes opplæring etter at de rapporterer en simulert melding

Hvis brukere får tilordnet opplæring etter at de har rapportert en melding om phishing-simulering, kontrollerer du om organisasjonen bruker en postboks for rapportering til å motta rapporterte meldinger fra brukeren på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostboksen må konfigureres for å hoppe over mange sikkerhetskontroller som beskrevet i forutsetningene for rapporteringspostboksen.

Hvis du ikke konfigurerer de nødvendige utelukkelsene for den egendefinerte postboksen for rapportering, kan meldingene detoneres av beskyttelse mot klarerte koblinger eller klarerte vedlegg, noe som forårsaker opplæringstilordninger.

Andre vanlige spørsmål

Spørsmål: Hva er den anbefalte metoden for å målrette mot brukere for simuleringskampanjer?

Svar: Flere alternativer er tilgjengelige for målbrukere:

• Inkluder alle brukere (for øyeblikket tilgjengelig for organisasjoner med mindre enn 40 000 brukere).
• Velg bestemte brukere.
• Velg brukere fra en CSV-fil (én e-postadresse per linje).
• Microsoft Entra gruppebasert målretting.

Vi har funnet ut at kampanjer der de målrettede brukerne identifiseres av Microsoft Entra grupper er enklere å administrere.

Spørsmål: Er det noen grenser for å målrette mot brukere mens du importerer fra en CSV eller legger til brukere?

Svar: Grensen for å importere mottakere fra en CSV-fil eller legge til individuelle mottakere i en simulering er 40 000.

En mottaker kan være en individuell bruker eller en gruppe. En gruppe kan inneholde hundrevis eller tusenvis av mottakere, slik at en faktisk grense ikke er plassert på antall individuelle brukere.

Det kan være tungvint å behandle en stor CSV-fil eller legge til mange enkeltmottakere. Bruk av Microsoft Entra grupper forenkler den generelle styringen av simuleringen.

Spørsmål: Tilbyr Microsoft nyttelaster på andre språk?

Svar: Foreløpig er det 40 + lokaliserte nyttelaster tilgjengelig på 29 + språk: engelsk, spansk, tysk, japansk, fransk, portugisisk, nederlandsk, italiensk, svensk, kinesisk (forenklet), norsk Bokmål, polsk, russisk, finsk, koreansk, tyrkisk, ungarsk, hebraisk, thai, arabisk, vietnamesisk, slovakisk, gresk, indonesisk, rumensk, slovensk, kroatisk, katalansk og annet. Vi har fastslått at direkte eller maskinoversettelse av eksisterende nyttelaster til andre språk fører til unøyaktigheter og redusert relevans.

Når det er sagt, kan du lage din egen nyttelast på språket du ønsker ved hjelp av den egendefinerte nyttelastredigeringsopplevelsen. Vi anbefaler også på det sterkeste at du høster eksisterende nyttelaster som ble brukt til å målrette mot brukere i en bestemt geografi. La med andre ord angriperne lokalisere innholdet for deg.

Spørsmål: Hvor mange opplæringsvideoer er tilgjengelige?

Svar: Det finnes for øyeblikket mer enn 85 opplæringsmoduler i innholdsbiblioteket.

Spørsmål: Hvordan kan jeg bytte til andre språk for administrasjonsportalen og opplæringsopplevelsen?

Svar: I Microsoft 365 eller Office 365 er språkkonfigurasjonen spesifikk og sentralisert for hver brukerkonto. Hvis du vil ha instruksjoner om hvordan du endrer språkinnstillingen, kan du se Endre skjermspråk og tidssone i Microsoft 365 for Business.

Konfigurasjonsendringen kan ta opptil 30 minutter å synkronisere på tvers av alle tjenester.

Spørsmål: Kan jeg utløse en testsimulering for å forstå hvordan det ser ut før jeg lanserer en fullverdig kampanje?

Svar: Ja du kan! Velg Send en test på den siste siden for gjennomgangssimulering i den nye simuleringsveiviseren. Dette alternativet sender en phishing-simuleringsmelding til den påloggede brukeren. Når du har validert phishing-meldingen i innboksen, kan du sende inn simuleringen.

Spørsmål: Kan jeg målrette mot brukere som tilhører en annen leier som en del av den samme simuleringskampanjen?

Sv.: Nei. For øyeblikket støttes ikke simuleringer på tvers av tenanter. Kontroller at alle de målrettede brukerne er i samme leier. Alle brukere på tvers av leiere eller gjestebrukere utelukkes fra simuleringskampanjen.

Spørsmål: Hvordan fungerer områdeavhengig levering?

Svar: Områdeavhengig levering bruker TimeZone-attributtet for den målrettede brukerens postboks og «ikke før»-logikk til å bestemme når meldingen skal leveres. Vurder for eksempel følgende scenario:

• Klokken 07:00 i tidssonen Stillehavskysten (UTC-8) oppretter og planlegger en administrator at en kampanje skal starte kl. 09:00 samme dag.
• UserA er i den østlige tidssonen (UTC-5).
• UserB er også i tidssonen Stillehavskysten.

Klokken 09.00 samme dag sendes simuleringsmeldingen til UserB. Med områdeavhengig levering sendes ikke meldingen til UserA samme dag, fordi 09:00 Stillehavskysten er 12:00 Østkysten. I stedet sendes meldingen til UserA klokken 09:00 østlig tid dagen etter.

Så på den første kjøringen av en kampanje med regionbevisst levering aktivert, kan det se ut til at simuleringsmeldingen bare ble sendt til brukere i en bestemt tidssone. Men etter hvert som tiden går og flere brukere kommer inn i omfanget, øker de målrettede brukerne.

Spørsmål: Samler Microsoft inn eller lagrer informasjon som brukere angir på påloggingssiden Credential Harvest, som brukes i simuleringsteknikken Credential Harvest?

Sv.: Nei. All informasjon som angis på påloggingssiden for innhøsting av legitimasjon, forkastes stille. Bare klikk registreres for å registrere kompromisshendelsen. Microsoft samler ikke inn, logger eller lagrer detaljer som brukerne angir i dette trinnet.