Überlegungen zur Bereitstellung von Angriffssimulationstraining und FAQ

Angriffssimulationstraining ermöglicht es Microsoft 365 E5- oder Microsoft Defender for Office 365 Plan 2-Organisationen, Social Engineering-Risiken zu messen und zu verwalten, indem sie die Erstellung und Verwaltung von Phishing-Simulationen ermöglicht, die von realen, harmlosen Phishing-Nutzlasten unterstützt werden.. Hyper-gezielte Schulungen, die in Partnerschaft mit Terranova Security bereitgestellt werden, helfen, das Wissen zu verbessern und das Verhalten der Mitarbeiter zu ändern.

Weitere Informationen zu den ersten Schritten mit Angriffssimulationstraining finden Sie unter Erste Schritte mit Angriffssimulationstraining.

Während die Simulationserstellung und -planung so konzipiert ist, dass sie frei und reibungslos ist, erfordern Simulationen auf Unternehmensebene eine Planung. Dieser Artikel hilft bei der Bewältigung spezifischer Herausforderungen, die unsere Kunden beim Ausführen von Simulationen in ihren eigenen Umgebungen sehen.

Probleme mit Endbenutzererfahrungen

Phishingsimulations-URLs, die von Google Safe Browsing blockiert werden

Ein URL-Reputationsdienst identifiziert möglicherweise eine oder mehrere der URLs, die von Angriffssimulationstraining als unsicher verwendet werden. Google Safe Browsing in Google Chrome blockiert einige der simulierten Phishing-URLs mit einer täuschenden Website-Vorabmeldung . Obwohl wir mit vielen URL-Reputationsanbietern zusammenarbeiten, um unsere Simulations-URLs immer zuzulassen, haben wir nicht immer eine vollständige Abdeckung.

Dieses Problem wirkt sich nicht auf Microsoft Edge aus.

Überprüfen Sie im Rahmen der Planungsphase unbedingt die Verfügbarkeit der URL in Ihren unterstützten Webbrowsern, bevor Sie die URL in einer Phishingkampagne verwenden. Wenn die URLs von Google Safe Browsing blockiert werden, befolgen Sie diese Anleitung von Google, um den Zugriff auf die URLs zuzulassen.

Unter Erste Schritte mit Angriffssimulationstraining finden Sie eine Liste der URLs, die derzeit von Angriffssimulationstraining verwendet werden.

Phishingsimulation und Administrator-URLs, die von Netzwerkproxylösungen und Filtertreibern blockiert werden

Sowohl URLs der Phishingsimulation als auch Administrator-URLs können von Ihren Zwischensicherheitsgeräten oder -filtern blockiert oder gelöscht werden. Beispiel:

• Firewalls
• WAF-Lösungen (Web Application Firewall)
• Filtertreiber von Drittanbietern (z. B. Kernelmodusfilter)

Wir haben zwar gesehen, dass nur wenige Kunden auf dieser Ebene blockiert wurden, aber dies geschieht. Wenn Probleme auftreten, sollten Sie die folgenden URLs konfigurieren, um die Überprüfung durch Ihre Sicherheitsgeräte oder Filter nach Bedarf zu umgehen:

• Die simulierten Phishing-URLs, wie unter Erste Schritte mit Angriffssimulationstraining beschrieben.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Simulationsnachrichten, die nicht an alle Zielbenutzer übermittelt werden

Es ist möglich, dass die Anzahl der Benutzer, die tatsächlich die Simulations-E-Mail-Nachrichten erhalten, kleiner ist als die Anzahl der Benutzer, die von der Simulation betroffen waren. Die folgenden Benutzertypen werden im Rahmen der Zielüberprüfung ausgeschlossen:

• Ungültige Empfänger-E-Mail-Adressen.
• Gastbenutzer.
• Benutzer, die nicht mehr in Microsoft Entra ID aktiv sind.

Wenn Sie Verteilergruppen oder E-Mail-aktivierte Sicherheitsgruppen als Zielbenutzer verwenden, können Sie das Cmdlet Get-DistributionGroupMember in Exchange Online PowerShell verwenden, um Verteilergruppenmitglieder anzuzeigen und zu überprüfen.

Probleme mit der Angriffssimulationstraining-Berichterstellung

Angriffssimulationstraining Berichte enthalten keine Aktivitätsdetails.

Angriffssimulationstraining bietet umfassende, umsetzbare Erkenntnisse, die Sie über den Fortschritt der Bedrohungsbereitschaft Ihrer Mitarbeiter auf dem Laufenden halten. Wenn Angriffssimulationstraining Berichte nicht mit Daten aufgefüllt werden, überprüfen Sie, ob die Überwachungsprotokollierung in Ihrem organization aktiviert ist (standardmäßig aktiviert).

Die Überwachungsprotokollierung ist für Angriffssimulationstraining erforderlich, damit Ereignisse erfasst, aufgezeichnet und zurückgelesen werden können. Das Deaktivieren der Überwachungsprotokollierung hat die folgenden Auswirkungen auf Angriffssimulationstraining:

• Berichtsdaten sind nicht in allen Berichten verfügbar. Die Berichte werden leer angezeigt.
• Trainingszuweisungen werden blockiert, da keine Daten verfügbar sind.

Informationen zum Überprüfen, ob die Überwachungsprotokollierung aktiviert oder aktiviert ist, finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Melden von Problemen mit lokalen Postfächern

Angriffssimulationstraining unterstützt lokale Postfächer, aber mit eingeschränkter Berichterstellungsfunktionalität:

• Daten darüber, ob Benutzer die Simulations-E-Mail lesen, weiterleiten oder löschen, sind für lokale Postfächer nicht verfügbar.
• Die Anzahl der Benutzer, die die Simulations-E-Mail gemeldet haben, ist für lokale Postfächer nicht verfügbar.

Simulationsberichte werden nicht sofort aktualisiert

Detaillierte Simulationsberichte werden nicht sofort nach dem Start einer Kampagne aktualisiert. Keine Sorge; Dieses Verhalten wird erwartet.

Jede Simulationskampagne hat einen Lebenszyklus. Bei der ersten Erstellung befindet sich die Simulation im Zustand Geplant . Wenn die Simulation gestartet wird, wechselt sie in den Status In Bearbeitung . Nach Abschluss des Vorgangs wechselt die Simulation in den Status Abgeschlossen .

Während sich eine Simulation im Zustand Geplant befindet, sind die Simulationsberichte größtenteils leer. In dieser Phase löst das Simulationsmodul die E-Mail-Adressen des Zielbenutzers auf, erweitert Verteilergruppen, entfernt Gastbenutzer aus der Liste usw.:

Sobald die Simulation in die Phase In Bearbeitung eintritt, beginnen Informationen in die Berichterstellung einzudringen:

Es kann bis zu 30 Minuten dauern, bis die einzelnen Simulationsberichte nach dem Übergang in den Status In Bearbeitung aktualisiert werden. Die Berichtsdaten werden so lange erstellt, bis die Simulation den Status Abgeschlossen erreicht hat. Berichterstellungsupdates erfolgen in den folgenden Intervallen:

• Alle 10 Minuten für die ersten 60 Minuten.
• Alle 15 Minuten nach 60 Minuten bis zwei Tagen.
• Alle 30 Minuten nach zwei Tagen bis sieben Tagen.
• Alle 60 Minuten nach sieben Tagen.

Widgets auf der Seite Übersicht bieten eine schnelle Momentaufnahme des simulationsbasierten Sicherheitsstatus Ihrer organization im Laufe der Zeit. Da diese Widgets Ihren allgemeinen Sicherheitsstatus und Ihre Reise im Laufe der Zeit widerspiegeln, werden sie aktualisiert, nachdem jede Simulationskampagne abgeschlossen wurde.

Nachrichten, die von Benutzern als Phishing gemeldet werden, werden nicht in Simulationsberichten angezeigt

Simulationsberichte im Angriffssimulatortraining enthalten Details zur Benutzeraktivität. Beispiel:

• Benutzer, die auf den Link in der Nachricht geklickt haben.
• Benutzer, die ihre Anmeldeinformationen aufgegeben haben.
• Benutzer, die die Nachricht als Phishing gemeldet haben.

Wenn Nachrichten, die Benutzer als Phishing gemeldet haben, nicht in Angriffssimulationstraining Simulationsberichten erfasst werden, gibt es möglicherweise eine Exchange-Nachrichtenflussregel (auch als Transportregel bezeichnet), die die Übermittlung der gemeldeten Nachrichten an Microsoft blockiert. Stellen Sie sicher, dass Nachrichtenflussregeln die Übermittlung an die folgenden E-Mail-Adressen nicht blockieren:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

Benutzern wird ein Training zugewiesen, nachdem sie eine simulierte Nachricht gemeldet haben

Wenn Benutzern ein Training zugewiesen wird, nachdem sie eine Phishingsimulationsnachricht gemeldet haben, überprüfen Sie, ob Ihr organization ein Berichterstellungspostfach verwendet, um von Benutzern gemeldete Nachrichten unter https://security.microsoft.com/securitysettings/userSubmissionzu empfangen. Das Berichterstellungspostfach muss so konfiguriert werden, dass es viele Sicherheitsüberprüfungen überspringt, wie in den Voraussetzungen für das Berichterstellungspostfach beschrieben.

Wenn Sie die erforderlichen Ausschlüsse für das benutzerdefinierte Berichterstellungspostfach nicht konfigurieren, werden die Nachrichten möglicherweise durch den Schutz sicherer Links oder sicherer Anlagen detoniert, was zu Trainingszuweisungen führt.

Weitere häufig gestellte Fragen

F: Welche Methode wird empfohlen, um Benutzer für Simulationskampagnen anzusprechen?

A: Für Zielbenutzer stehen mehrere Optionen zur Verfügung:

• Alle Benutzer einschließen (derzeit für Organisationen mit weniger als 40.000 Benutzern verfügbar).
• Wählen Sie bestimmte Benutzer aus.
• Wählen Sie Benutzer aus einer CSV-Datei aus (eine E-Mail-Adresse pro Zeile).
• Microsoft Entra gruppenbasierte Zielgruppenadressierung.

Wir haben festgestellt, dass Kampagnen, bei denen die Zielbenutzer von Microsoft Entra Gruppen identifiziert werden, einfacher zu verwalten sind.

F: Gibt es Einschränkungen bei der Ausrichtung auf Benutzer beim Importieren aus einer CSV-Datei oder beim Hinzufügen von Benutzern?

A: Der Grenzwert für das Importieren von Empfängern aus einer CSV-Datei oder das Hinzufügen einzelner Empfänger zu einer Simulation beträgt 40.000.

Ein Empfänger kann ein einzelner Benutzer oder eine Gruppe sein. Eine Gruppe kann Hunderte oder Tausende von Empfängern enthalten, sodass ein tatsächlicher Grenzwert für die Anzahl einzelner Benutzer nicht festgelegt wird.

Das Verwalten einer großen CSV-Datei oder das Hinzufügen vieler einzelner Empfänger kann umständlich sein. Die Verwendung von Microsoft Entra Gruppen vereinfachen die allgemeine Verwaltung der Simulation.

F: Stellt Microsoft Nutzlasten in anderen Sprachen bereit?

A: Derzeit sind mehr als 40 lokalisierte Nutzlasten in über 29 Sprachen verfügbar: Englisch, Spanisch, Deutsch, Japanisch, Französisch, Portugiesisch, Niederländisch, Italienisch, Schwedisch, Chinesisch (vereinfacht), Norwegisch Bokmål, Polnisch, Russisch, Finnisch, Koreanisch, Türkisch, Ungarisch, Hebräisch, Thai, Arabisch, Vietnamesisch, Slowakisch, Griechisch, Indonesisch, Rumänisch, Slowenisch, Kroatisch, Katalanisch und Andere. Wir haben festgestellt, dass die direkte oder maschinelle Übersetzung vorhandener Nutzlasten in andere Sprachen zu Ungenauigkeiten und geringerer Relevanz führt.

Abgesehen davon können Sie ihre eigenen Nutzlasten in der Sprache Ihrer Wahl erstellen, indem Sie die benutzerdefinierte Nutzlasterstellung verwenden. Es wird auch dringend empfohlen, vorhandene Nutzlasten zu sammeln, die verwendet wurden, um Benutzer in einer bestimmten Geografischen Region als Ziel zu verwenden. Mit anderen Worten, lassen Sie die Angreifer den Inhalt für Sie lokalisieren.

F: Wie viele Schulungsvideos sind verfügbar?

A: Derzeit sind in der Inhaltsbibliothek mehr als 85 Trainingsmodule verfügbar.

F: Wie kann ich für meine Verwaltungsportal- und Schulungserfahrung zu anderen Sprachen wechseln?

A: In Microsoft 365 oder Office 365 ist die Sprachkonfiguration für jedes Benutzerkonto spezifisch und zentralisiert. Anweisungen zum Ändern der Spracheinstellung finden Sie unter Ändern der Anzeigesprache und Zeitzone in Microsoft 365 Business.

Die Synchronisierung der Konfigurationsänderung für alle Dienste kann bis zu 30 Minuten dauern.

F: Kann ich eine Testsimulation auslösen, um zu verstehen, wie sie vor dem Starten einer vollwertigen Kampagne aussieht?

A: Ja, das können Sie! Wählen Sie auf der letzten Seite Simulation überprüfen im Assistenten für neue Simulation die Option Test senden aus. Diese Option sendet eine Beispiel-Phishingsimulationsnachricht an den aktuell angemeldeten Benutzer. Nachdem Sie die Phishingnachricht in Ihrem Posteingang überprüft haben, können Sie die Simulation übermitteln.

F: Kann ich benutzer, die zu einem anderen Mandanten gehören, als Teil derselben Simulationskampagne ansprechen?

A: Nein. Mandantenübergreifende Simulationen werden derzeit nicht unterstützt. Vergewissern Sie sich, dass sich alle Zielbenutzer im selben Mandanten befinden. Mandantenübergreifende Benutzer oder Gastbenutzer werden von der Simulationskampagne ausgeschlossen.

F: Wie funktioniert die regionsbezogene Zustellung?

A: Die regionsbezogene Übermittlung verwendet das TimeZone-Attribut des Postfachs des Zielbenutzers und die Logik "not before", um zu bestimmen, wann die Nachricht übermittelt werden soll. Stellen Sie sich beispielsweise das folgende Szenario vor.

• Um 7:00 Uhr in der Pazifischen Zeitzone (UTC-8) erstellt und plant ein Administrator eine Kampagne, die am selben Tag um 9:00 Uhr beginnt.
• UserA befindet sich in der Östlichen Zeitzone (UTC-5).
• UserB befindet sich auch in der Pazifischen Zeitzone.

Um 9:00 Uhr am selben Tag wird die Simulationsnachricht an UserB gesendet. Bei regionsbezogener Zustellung wird die Nachricht nicht am selben Tag an UserA gesendet, da 9:00 Uhr Pazifische Zeit 12:00 Uhr Ostzeit ist. Stattdessen wird die Nachricht am folgenden Tag um 9:00 Uhr Eastern Time an UserA gesendet.

Daher kann es bei der ersten Ausführung einer Kampagne mit aktivierter regionsbezogener Übermittlung den Anschein haben, dass die Simulationsnachricht nur an Benutzer in einer bestimmten Zeitzone gesendet wurde. Aber wenn die Zeit vergeht und mehr Benutzer in den Bereich kommen, nehmen die Zielbenutzer zu.

F: Sammelt oder speichert Microsoft Informationen, die Benutzer auf der Anmeldeinformations-Ernte-Anmeldeseite eingeben, die in der Credential Harvest-Simulationsmethode verwendet wird?

A: Nein. Alle Informationen, die auf der Anmeldeseite für die Anmeldeinformationslese eingegeben werden, werden automatisch verworfen. Es wird nur der "Klick" aufgezeichnet, um das Kompromittierungsereignis zu erfassen. Microsoft sammelt, protokolliert oder speichert keine Details, die Benutzer in diesem Schritt eingeben.