Considerações e FAQ sobre a implementação de Formação de simulações de ataques

Formação em simulação de ataques permite às organizações Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2 medir e gerir o risco de engenharia social ao permitir a criação e gestão de simulações de phishing com tecnologia do mundo real, inofensivas payloads de phishing. A formação hiper-direcionada, disponibilizada em parceria com a segurança do Terranova, ajuda a melhorar o conhecimento e a alterar o comportamento dos colaboradores.

Para obter mais informações sobre como começar a utilizar Formação em simulação de ataques, consulte Começar a utilizar Formação em simulação de ataques.

Embora a experiência de criação e agendamento da simulação tenha sido concebida para ser livre e sem atritos, as simulações à escala empresarial requerem planeamento. Este artigo ajuda a resolver desafios específicos que vemos enquanto os nossos clientes executam simulações nos seus próprios ambientes.

Problemas com experiências de utilizador final

URLs de simulação de phishing bloqueados pela Navegação Segura do Google

Um serviço de reputação de URL pode identificar um ou mais dos URLs que são utilizados por Formação em simulação de ataques como não seguros. A Navegação Segura do Google no Google Chrome bloqueia alguns dos URLs de phishing simulados com uma mensagem antecipada de site Enganador . Embora trabalhemos com muitos fornecedores de reputação de URL para permitir sempre os nossos URLs de simulação, nem sempre temos cobertura total.

Este problema não afeta o Microsoft Edge.

Como parte da fase de planeamento, certifique-se de que verifica a disponibilidade do URL nos browsers suportados antes de utilizar o URL numa campanha de phishing. Se os URLs estiverem bloqueados pela Navegação Segura do Google, siga esta documentação de orientação da Google para permitir o acesso aos URLs.

Veja Começar a utilizar Formação em simulação de ataques para obter a lista de URLs atualmente utilizados pelo Formação em simulação de ataques.

Simulação de phishing e URLs de administrador bloqueados por soluções de proxy de rede e controladores de filtro

Tanto os URLs de simulação de phishing como os URLs de administrador podem ser bloqueados ou ignorados pelos seus dispositivos ou filtros de segurança intermédios. Por exemplo:

• Firewalls
• soluções de Firewall de Aplicações Web (WAF)
• Controladores de filtro de terceiros (por exemplo, filtros de modo kernel)

Embora tenhamos visto poucos clientes serem bloqueados nesta camada, isso acontece. Se tiver problemas, considere configurar os seguintes URLs para ignorar a análise pelos seus dispositivos ou filtros de segurança, conforme necessário:

• Os URLs de phishing simulados, conforme descrito em Começar a utilizar Formação em simulação de ataques.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

Mensagens de simulação não entregues a todos os utilizadores visados

É possível que o número de utilizadores que realmente recebem as mensagens de e-mail de simulação seja inferior ao número de utilizadores visados pela simulação. Os seguintes tipos de utilizadores são excluídos como parte da validação de destino:

• Endereços de e-mail de destinatário inválidos.
• Utilizadores convidados.
• Utilizadores que já não estão ativos no Microsoft Entra ID.

Se utilizar grupos de distribuição ou grupos de segurança com capacidade de correio para utilizadores de destino, pode utilizar o cmdlet Get-DistributionGroupMember no Exchange Online PowerShell para ver e validar os membros do grupo de distribuição.

Problemas com relatórios de Formação em simulação de ataques

Formação em simulação de ataques relatórios não contêm detalhes de atividade

Formação em simulação de ataques inclui informações avançadas e acionáveis que o mantêm informado sobre o progresso da preparação de ameaças dos seus funcionários. Se Formação em simulação de ataques relatórios não estiverem preenchidos com dados, verifique se o registo de auditoria está ativado na sua organização (está ativado por predefinição).

O registo de auditoria é necessário Formação em simulação de ataques para que os eventos possam ser capturados, registados e lidos novamente. Desativar o registo de auditoria tem as seguintes consequências para Formação em simulação de ataques:

• Os dados de relatórios não estão disponíveis em todos os relatórios. Os relatórios aparecem vazios.
• As tarefas de preparação estão bloqueadas porque os dados não estão disponíveis.

Para verificar se o registo de auditoria está ativado ou para o ativar, consulte Ativar ou desativar a auditoria.

Comunicar problemas com caixas de correio no local

Formação em simulação de ataques suporta caixas de correio no local, mas com funcionalidades de relatórios reduzidas:

• Os dados sobre se os utilizadores leem, reencaminham ou eliminam o e-mail de simulação não estão disponíveis para caixas de correio no local.
• O número de utilizadores que reportaram o e-mail de simulação não está disponível para caixas de correio no local.

Os relatórios de simulação não são atualizados imediatamente

Os relatórios de simulação detalhados não são atualizados imediatamente após iniciar uma campanha. Não se preocupe; este comportamento é esperado.

Cada campanha de simulação tem um ciclo de vida. Quando criada pela primeira vez, a simulação está no estado Agendado . Quando a simulação é iniciada, passa para o estado Em curso . Quando concluída, a simulação transita para o estado Concluído .

Enquanto uma simulação está no estado Agendado , os relatórios de simulação estão praticamente vazios. Durante esta fase, o motor de simulação está a resolver os endereços de e-mail do utilizador de destino, a expandir grupos de distribuição, a remover utilizadores convidados da lista, etc.:

Assim que a simulação entrar na fase Em curso , as informações começam a escorrer para os relatórios:

Pode demorar até 30 minutos para que os relatórios de simulação individuais atualizem após a transição para o estado Em curso . Os dados do relatório continuam a ser compilados até que a simulação atinja o estado Concluído . As atualizações de relatórios ocorrem nos seguintes intervalos:

• A cada 10 minutos durante os primeiros 60 minutos.
• A cada 15 minutos após 60 minutos até dois dias.
• A cada 30 minutos após dois dias até sete dias.
• A cada 60 minutos após sete dias.

Os widgets na página Descrição geral fornecem um instantâneo rápido da postura de segurança baseada em simulação da sua organização ao longo do tempo. Uma vez que estes widgets refletem a sua postura de segurança geral e o seu percurso ao longo do tempo, estes são atualizados após a conclusão de cada campanha de simulação.

As mensagens comunicadas como phishing por utilizadores não aparecem em relatórios de simulação

Os relatórios de simulação na preparação do simulador de ataques fornecem detalhes sobre a atividade do utilizador. Por exemplo:

• Utilizadores que clicaram na ligação na mensagem.
• Utilizadores que desistiram das credenciais.
• Utilizadores que comunicaram a mensagem como phishing.

Se as mensagens comunicadas pelos utilizadores como phishing não forem capturadas em relatórios de simulação Formação em simulação de ataques, poderá existir uma regra de fluxo de correio do Exchange (também conhecida como regra de transporte) que está a bloquear a entrega das mensagens comunicadas à Microsoft. Verifique se as regras de fluxo de correio não estão a bloquear a entrega nos seguintes endereços de e-mail:

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

É atribuída formação aos utilizadores depois de reportarem uma mensagem simulada

Se for atribuída formação aos utilizadores depois de reportarem uma mensagem de simulação de phishing, verifique se a sua organização utiliza uma caixa de correio de relatórios para receber mensagens comunicadas pelo utilizador em https://security.microsoft.com/securitysettings/userSubmission. A caixa de correio de relatórios tem de ser configurada para ignorar muitas verificações de segurança, conforme descrito nos pré-requisitos da caixa de correio de relatórios.

Se não configurar as exclusões necessárias para a caixa de correio de relatórios personalizada, as mensagens poderão ser detonadas pela proteção Ligações Seguras ou Anexos Seguros, o que causa atribuições de preparação.

Outras perguntas mais frequentes

P: Qual é o método recomendado para direcionar os utilizadores para campanhas de simulação?

R: Estão disponíveis várias opções para utilizadores de destino:

• Inclua todos os utilizadores (atualmente disponíveis para organizações com menos de 40 000 utilizadores).
• Escolha utilizadores específicos.
• Selecione utilizadores a partir de um ficheiro CSV (um endereço de e-mail por linha).
• Microsoft Entra filtragem baseada em grupos.

Descobrimos que as campanhas em que os utilizadores visados são identificados por grupos Microsoft Entra são mais fáceis de gerir.

P: Existem limites na filtragem de utilizadores ao importar a partir de um CSV ou ao adicionar utilizadores?

R: O limite para importar destinatários de um ficheiro CSV ou adicionar destinatários individuais a uma simulação é de 40 000.

Um destinatário pode ser um utilizador individual ou um grupo. Um grupo pode conter centenas ou milhares de destinatários, pelo que não é colocado um limite real no número de utilizadores individuais.

Gerir um ficheiro CSV grande ou adicionar muitos destinatários individuais pode ser complicado. A utilização de grupos Microsoft Entra simplifica a gestão geral da simulação.

P: A Microsoft fornece payloads noutros idiomas?

R: Atualmente, existem mais de 40 payloads localizados disponíveis em mais de 29 idiomas: inglês, espanhol, alemão, japonês, francês, português, neerlandês, italiano, sueco, chinês (simplificado), norueguês Bokmål, polaco, russo, finlandês, coreano, turco, húngaro, hebraico, tailandês, árabe, vietnamita, eslovaco, grego, indonésio, romeno, esloveno, croata, catalão, e outro. Determinámos que a tradução direta ou automática de payloads existentes para outros idiomas leva a imprecisões e diminuição da relevância.

Dito isto, pode criar o seu próprio payload no idioma à sua escolha com a experiência de criação de payload personalizada. Também recomendamos vivamente que recolha payloads existentes que foram utilizados para direcionar os utilizadores numa geografia específica. Por outras palavras, permita que os atacantes localizem o conteúdo por si.

P: Quantos vídeos de formação estão disponíveis?

R: Atualmente, existem mais de 85 módulos de preparação disponíveis na biblioteca de conteúdos.

P: Como posso mudar para outros idiomas para o meu portal de administração e experiência de formação?

R: No Microsoft 365 ou Office 365, a configuração do idioma é específica e centralizada para cada conta de utilizador. Para obter instruções sobre como alterar a definição de idioma, consulte Alterar o idioma de apresentação e o fuso horário no Microsoft 365 para Empresas.

A alteração de configuração pode demorar até 30 minutos a ser sincronizada em todos os serviços.

P: Posso acionar uma simulação de teste para compreender o seu aspeto antes de lançar uma campanha completa?

R: Sim, pode! Na última página Simulação de Revisão no assistente de simulação novo, selecione Enviar um teste. Esta opção envia uma mensagem de simulação de phishing de exemplo para o utilizador com sessão iniciada atualmente. Depois de validar a mensagem de phishing na sua Caixa de Entrada, pode submeter a simulação.

P: Posso direcionar os utilizadores que pertencem a um inquilino diferente como parte da mesma campanha de simulação?

R: Não. Atualmente, as simulações entre inquilinos não são suportadas. Verifique se todos os utilizadores visados estão no mesmo inquilino. Todos os utilizadores entre inquilinos ou utilizadores convidados são excluídos da campanha de simulação.

P: Como funciona a entrega com suporte para a região?

R: A entrega com deteção de região utiliza o atributo TimeZone da caixa de correio do utilizador visado e a lógica "não antes" para determinar quando entregar a mensagem. Por exemplo, considere o seguinte cenário:

• Às 7:00 no fuso horário do Pacífico (UTC-8), um administrador cria e agenda uma campanha para começar às 9:00 do mesmo dia.
• O UserA está no fuso horário oriental (UTC-5).
• O UserB também está no fuso horário do Pacífico.

Às 9:00 do mesmo dia, a mensagem de simulação é enviada para o UtilizadorB. Com a entrega com suporte para a região, a mensagem não é enviada para o UserA no mesmo dia, porque as 09:00 hora do Pacífico são 12:00 Hora do Leste. Em vez disso, a mensagem é enviada para UserA às 9:00 hora de Leste no dia seguinte.

Assim, na execução inicial de uma campanha com a entrega com suporte para região ativada, poderá parecer que a mensagem de simulação foi enviada apenas aos utilizadores num fuso horário específico. No entanto, à medida que o tempo passa e mais utilizadores entram em âmbito, os utilizadores visados aumentam.

P: A Microsoft recolhe ou armazena alguma informação que os utilizadores introduzam na página de início de sessão de Colheita de Credenciais, utilizada na técnica de simulação Colheita de Credenciais?

R: Não. Todas as informações introduzidas na página de início de sessão de recolha de credenciais são rejeitadas silenciosamente. Apenas o "clique" é registado para capturar o evento de compromisso. A Microsoft não recolhe, regista nem armazena quaisquer detalhes que os utilizadores introduzam neste passo.