Sdílet prostřednictvím

Aspekty nasazení trénování simulace útoku a nejčastější dotazy

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Simulační nácvik útoku umožňuje organizacím Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2 měřit a spravovat rizika sociálního inženýrství tím, že umožňuje vytváření a správu simulací phishing, které využívají skutečné a neškodné phishingové datové části. Hyper-cílené školení, poskytované ve spolupráci se zabezpečením Terranova, pomáhá zlepšovat znalosti a měnit chování zaměstnanců.

Další informace o tom, jak začít s Simulační nácvik útoku, najdete v tématu Začínáme používat Simulační nácvik útoku.

I když je prostředí pro vytváření a plánování simulací navržené tak, aby bez běhu a bez třecích ploch, simulace na podnikovém měřítku vyžadují plánování. Tento článek pomáhá řešit konkrétní problémy, které vidíme, když naši zákazníci spouští simulace ve svých vlastních prostředích.

Problémy s prostředím koncových uživatelů

Adresy URL simulace útoků phishing blokované službou Google Safe Browsing

Služba reputace adres URL může identifikovat jednu nebo více adres URL, které Simulační nácvik útoku používají, jako nebezpečné. Bezpečné procházení Google v prohlížeči Google Chrome blokuje některé simulované adresy URL útoků phishing se zprávou o podvodném webu . I když spolupracujeme s mnoha dodavateli reputace adres URL, abychom vždy povolili adresy URL simulace, nemáme vždy úplné pokrytí.

Upozornění na podvodný web v prohlížeči Google Chrome

Tento problém nemá vliv na Microsoft Edge.

V rámci fáze plánování nezapomeňte zkontrolovat dostupnost adresy URL v podporovaných webových prohlížečích před použitím adresy URL ve phishingové kampani. Pokud jsou adresy URL blokované službou Google Safe Browsing, povolte přístup k adresám URL podle těchto pokynů od Googlu.

Seznam adres URL, které aktuálně používají Simulační nácvik útoku, najdete v tématu Začínáme používat Simulační nácvik útoku.

Simulace útoků phishing a adresy URL správců blokované řešeními síťového proxy serveru a ovladači filtru

Adresy URL simulace útoků phishing i adresy URL pro správce můžou být blokované nebo vyřazené zprostředkujícími bezpečnostními zařízeními nebo filtry. Příklady:

  • Brány firewall
  • řešení Web Application Firewall (WAF)
  • Ovladače filtrů třetích stran (například filtry v režimu jádra)

I když jsme viděli, že v této vrstvě dochází k zablokování několika zákazníků, stává se to. Pokud narazíte na problémy, zvažte konfiguraci následujících adres URL tak, aby se podle potřeby obešly kontroly bezpečnostními zařízeními nebo filtry:

Zprávy simulace se nedoručí všem cílovým uživatelům

Je možné, že počet uživatelů, kteří skutečně dostanou e-mailové zprávy simulace, je menší než počet uživatelů, na které simulace cílila. V rámci ověření cíle jsou vyloučeny následující typy uživatelů:

  • Neplatné e-mailové adresy příjemců
  • Uživatelé typu host.
  • Uživatelé, kteří už nejsou v Microsoft Entra ID aktivní.

Pokud k cílení na uživatele používáte distribuční skupiny nebo poštovní skupiny zabezpečení, můžete k zobrazení a ověření členů distribuční skupiny použít rutinu Get-DistributionGroupMember v Exchange Online PowerShellu.

Trénování neočekávaně přiřazená nebo nepřiřazená uživatelům

Prahová hodnota trénování v trénovacích kampaních zabraňuje uživatelům, aby jim během určitého intervalu přiřadili stejná školení (ve výchozím nastavení je to 90 dnů). Další informace najdete v tématu Nastavení prahové hodnoty trénování.

Pokud jste vytvořili simulaci nebo automatizaci simulace s hodnotou trénovacího přiřazení Přiřadit trénování pro mě (doporučeno), přiřadíme trénování na základě předchozí simulace a výsledků trénování uživatele. Pokud chcete přiřadit školení na základě konkrétních kritérií, vyberte Vybrat školicí kurzy a moduly já sám.

Co se stane, když uživatel odpoví na simulační zprávu nebo ji přepošlí?

Pokud uživatel odpoví na simulační zprávu nebo ji přeposílá do jiné poštovní schránky, bude se zpráva považovat za normální e-mailovou zprávu (včetně detonace bezpečnými odkazy nebo bezpečnými přílohami). Sestava simulace ukazuje, jestli byla zpráva simulace zodpovězena nebo přeposlána. Každá adresa URL v e-mailu simulace je svázaná s konkrétním uživatelem, takže detonace bezpečných odkazů jsou identifikovány jako kliknutí uživatelem.

Pokud používáte vyhrazenou poštovní schránku operací zabezpečení (SecOps), nezapomeňte ji v rozšířených zásadách doručování identifikovat jako SecOps, aby se zprávy doručovaly nefiltrované.

Jak můžu rozmíscet doručování zpráv simulace?

V každém případě je důležité použít různé datové části, abyste se vyhnuli diskuzi a identifikaci mezi uživateli.

Proč outlook blokuje obrázky v simulačních zprávách?

Ve výchozím nastavení je Outlook nakonfigurovaný tak, aby blokoval automatické stahování obrázků ve zprávách z internetu. I když outlook můžete nakonfigurovat tak, aby stahovat obrázky automaticky, nedoporučujeme to kvůli bezpečnostním důsledkům (potenciální automatické stahování škodlivého kódu nebo webových chyb, označované také jako webové signály nebo sledovací pixely).

K těmto událostem může dojít, když simulační zprávy kontrolují další bezpečnostní zařízení nebo aplikace. Například (ale mimo jiné):

  • Aplikace nebo moduly plug-in v outlooku, které kontrolují nebo zachycují zprávu.
  • Email aplikace zabezpečení.
  • Zabezpečení koncových bodů nebo antivirový software.
  • Playbooky pro orchestraci, automatizaci a odezvu zabezpečení (SOAR), které automaticky roztřídí nebo automaticky reagují na nahlášené zprávy.

Tyto typy aplikací můžou hledat webový obsah a zjišťovat phishing, takže je potřeba definovat vyloučení pro simulační zprávy v těchto aplikacích.

EmailLinkClicked_IP a EmailLinkClicked_TimeStamp data můžou obsahovat další podrobnosti o události. Pokud například několik sekund po doručení došlo ke kliknutí a IP adresa nepatří Microsoftu, vaší společnosti nebo uživateli, je pravděpodobné, že zprávu zachytil filtrovací systém třetí strany nebo jiná služba.

Pro všechny systémy filtrování nebo služby, které nejsou od společnosti Microsoft, musíte povolit nebo vyloučit následující položky:

  • Všechny adresy URL Simulační nácvik útoku a odpovídající domény. V současné době neodesíláme zprávy simulace ze statického seznamu IP adres.
  • Všechny ostatní domény, které používáte ve vlastních datových částech.

Můžu do zpráv simulace přidat externí značku nebo bezpečnostní tipy?

Vlastní datové části mají možnost přidat značku External do zpráv. Další informace najdete v kroku 5 v tématu Vytvoření datových částí.

Neexistují žádné předdefinované možnosti přidání bezpečnostních tipů k datovým částem, ale na stránce Konfigurovat datovou část průvodce nastavením datové části můžete použít následující metody:

  • Použijte existující e-mailovou zprávu, která obsahuje bezpečnostní tip jako šablonu. Uložte zprávu ve formátu HTML a zkopírujte informace.

  • Jako bezpečnostní tip pro první kontakt použijte následující vzorový kód:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

Můžu přiřadit trénovací moduly, aniž by uživatelé museli procházet simulací?

Ano. Další informace najdete v tématu Školicí kampaně v Simulační nácvik útoku.

Návody zjistit informace o nedoručovaných simulačních zprávách?

Karta Uživatelé pro simulaci je filtrovatelná podle doručení zprávy simulace: Doručení se nezdařilo.

Pokud vlastníte doménu odesílatele, nedoručená simulační sestava se vrátí v oznámení o nedoručení (označované také jako zpráva o nedoručení nebo nedoručení). Další informace o kódech v oznámení o nedoručení najdete v tématu Email oznámení o nedoručení a chybách PROTOKOLU SMTP v Exchange Online.

Problémy s vytvářením sestav Simulační nácvik útoku

Tip

Záznam simulačních dat se spustí několik minut po spuštění simulace a poté, co uživatelé začnou se zprávami simulace pracovat. Neexistuje žádný pevný čas zahájení. Události se zachytávají i po skončení simulace.

Rozdíly v datech o aktivitách uživatelů ze sestav Simulační nácvik útoku a dalších sestav

Pro hlášení aktivit uživatelů souvisejících se simulačními zprávami doporučujeme použít integrované sestavy simulací. Sestavy z jiných zdrojů (například rozšířené proaktivní vyhledávání) nemusí být přesné.

Adresy URL simulace nejsou zabalené bezpečnými odkazy a považují se za nezabalené odkazy. Ne všechna kliknutí na nezabalené odkazy procházejí bezpečnými odkazy, takže aktivity uživatelů související se zprávami simulace nemusí být zaznamenány do protokolů UrlClickEvents.

Simulační nácvik útoku sestavy neobsahují žádné podrobnosti o aktivitách.

Simulační nácvik útoku přináší bohaté užitečné přehledy, které vás informují o průběhu připravenosti vašich zaměstnanců na hrozby. Pokud Simulační nácvik útoku sestavy nejsou naplněné daty, ověřte, že je protokolování auditu ve vaší organizaci zapnuté (ve výchozím nastavení je zapnuté).

Protokolování auditu vyžaduje Simulační nácvik útoku, aby bylo možné zaznamenávat, zaznamenávat a číst události. Vypnutí protokolování auditu má pro Simulační nácvik útoku následující důsledky:

  • Data generování sestav nejsou dostupná ve všech sestavách. Sestavy se zdají být prázdné.
  • Trénovací přiřazení jsou blokovaná, protože data nejsou k dispozici.

Pokud chcete ověřit, jestli je protokolování auditu zapnuté nebo jestli ho chcete zapnout, přečtěte si téma Zapnutí nebo vypnutí auditování.

Tip

Prázdné podrobnosti o aktivitě jsou také způsobeny tím, že se uživatelům nepřiřazují žádné licence E5. Ověřte, že aktivnímu uživateli je přiřazena alespoň jedna licence E5, abyste měli jistotu, že se zachytávají a zaznamenávají události sestav.

Akce uživatelů a akce správce se auditují. V rozhraní API aktivity správy vyhledejte hodnoty AuditLogRecordType 85, 88 a 218.

Některé informace o auditování můžou být dostupné také v tabulce CloudAppEvents v Microsoft Defender XDR Rozšířené proaktivní vyhledávání prostřednictvím portálu Defender nebo rozhraní API pro streamování.

Hlášení problémů s místními poštovními schránkami

Simulační nácvik útoku podporuje místní poštovní schránky, ale s omezenými funkcemi vytváření sestav:

  • Data o tom, jestli uživatelé přečetli, přeposílali nebo odstranili simulační e-maily, nejsou pro místní poštovní schránky k dispozici.
  • Počet uživatelů, kteří nahlásili simulační e-mail, není pro místní poštovní schránky k dispozici.

Tip

Kromě zpráv simulace odesílaných prostřednictvím přenosového kanálu a přímé injektáže v Microsoftu 365 jsou prostředí pro trénování, automatizaci a správu obsahu stejné pro místní poštovní schránky.

Sestavy simulace se neaktualizují okamžitě.

Podrobné sestavy simulace se neaktualizují hned po spuštění kampaně. Neboj; toto chování je očekávané.

Každá simulační kampaň má životní cyklus. Při prvním vytvoření je simulace v naplánovaném stavu. Při spuštění simulace přejde do stavu Probíhá . Po dokončení simulace přejde do stavu Dokončeno .

I když je simulace v naplánovaném stavu, jsou sestavy simulace většinou prázdné. Během této fáze simulační modul překládá e-mailové adresy cílových uživatelů, rozšiřuje distribuční skupiny, odebírá ze seznamu uživatele typu host atd.:

Podrobnosti simulace zobrazující simulaci v naplánovaném stavu

Jakmile simulace přejde do fáze Probíhá , začnou se informace stéci do sestav:

Podrobnosti simulace zobrazující simulaci ve stavu Probíhá

Aktualizace jednotlivých sestav simulace po přechodu do stavu Probíhá může trvat až 30 minut. Data sestavy se budou dál sestavovat, dokud simulace nedosáhne stavu Dokončeno . K aktualizacím sestav dochází v následujících intervalech:

  • Prvních 60 minut každých 10 minut.
  • Každých 15 minut po 60 minutách do dvou dnů.
  • Každých 30 minut po dvou dnech až do sedmi dnů.
  • Každých 60 minut po sedmi dnech.

Widgety na stránce Přehled poskytují rychlý snímek stavu zabezpečení založeného na simulacích vaší organizace v průběhu času. Vzhledem k tomu, že tyto widgety odrážejí celkový stav zabezpečení a cestu v průběhu času, aktualizují se po dokončení každé simulační kampaně.

Poznámka

K extrahování dat můžete použít možnost Exportovat na různých stránkách sestav.

Zprávy nahlášené uživateli jako phishing se nezobrazují v sestavách simulace

Sestavy simulace v trénování simulátoru útoku poskytují podrobnosti o aktivitě uživatele. Příklady:

  • Uživatelé, kteří klikli na odkaz ve zprávě.
  • Uživatelé, kteří se vzdali svých přihlašovacích údajů.
  • Uživatelé, kteří zprávu nahlásili jako phishing.

Pokud zprávy, které uživatelé nahlásili jako phishing, nejsou zachyceny v Simulační nácvik útoku sestavách simulace, může existovat pravidlo toku pošty Exchange (označované také jako pravidlo přenosu), které blokuje doručení nahlášených zpráv do Microsoftu. Ověřte, že žádná pravidla toku pošty neblokují doručování na následující e-mailové adresy:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Uživatelům se po nahlášení simulované zprávy přiřadí trénování.

Pokud je uživatelům přiřazeno školení poté, co nahlásí zprávu simulace útoku phishing, zkontrolujte, jestli vaše organizace používá poštovní schránku hlášení k přijímání zpráv nahlášených uživateli na adrese https://security.microsoft.com/securitysettings/userSubmission. Poštovní schránka sestav musí být nakonfigurovaná tak, aby přeskakovala mnoho kontrol zabezpečení, jak je popsáno v požadavcích na poštovní schránku sestav.

Pokud nenakonfigurujete požadovaná vyloučení pro vlastní poštovní schránku hlášení, můžou být zprávy odpálené bezpečnými odkazy nebo ochranou bezpečných příloh, což způsobí přiřazení trénování.

Další nejčastější dotazy

O: Cílovým uživatelům je k dispozici několik možností:

  • Zahrnout všechny uživatele (aktuálně dostupné pro organizace s méně než 40 000 uživateli).
  • Zvolte konkrétní uživatele.
  • Vyberte uživatele ze souboru CSV (jedna e-mailová adresa na řádek).
  • Microsoft Entra cílení na základě skupin. Podporují se následující typy skupin:
    • Skupiny Microsoft 365 (statické a dynamické)
    • Distribuční skupiny (pouze statické)
    • Skupiny zabezpečení s podporou pošty (jenom statické)

Zjistili jsme, že se snadněji spravují kampaně, kde cílové uživatele identifikují skupiny Microsoft Entra.

Otázka: Kolik trénovacích modulů existuje?

V současné době je na stránce Školicí moduly k dispozici 94 předdefinovaných školení.

Otázka: Jak se používají jazyky pro prostředí, jako jsou trénovací moduly a oznámení?

  • Trénovací moduly: Používají se nastavení národního prostředí prohlížeče. Jakmile je ale trénování přiřazeno uživateli, výběr jazyka zůstane zachován a budoucí školení se přiřadí v daném jazyce.
  • Oznámení koncového uživatele: Používá se národní prostředí nebo jazykové nastavení poštovní schránky.
  • Playloads simulace: Použije se jazyk vybraný správcem při vytváření.
  • Cílové stránky: Používají se jazykové nastavení účtu Microsoft 365. Uživatel může také změnit jazyky z rozevíracího seznamu na cílové stránce.

Otázka: Existují nějaká omezení cílení na uživatele při importu ze souboru CSV nebo přidávání uživatelů?

O: Limit pro import příjemců ze souboru CSV nebo přidání jednotlivých příjemců do simulace je 40 000.

Příjemcem může být jednotlivý uživatel nebo skupina. Skupina může obsahovat stovky nebo tisíce příjemců. Horní limit počtu uživatelů je 400 000, ale pro každou simulaci doporučujeme použít limit 200 000 uživatelů pro zajištění nejlepšího výkonu.

Správa velkého souboru CSV nebo přidání mnoha jednotlivých příjemců může být těžkopádná. Používání Microsoft Entra skupin zjednodušuje celkovou správu simulace.

Tip

V současné době nejsou sdílené poštovní schránky podporovány v Simulační nácvik útoku. Simulace by měly cílit na poštovní schránky uživatelů nebo skupiny obsahující poštovní schránky uživatelů.

Skupiny se rozbalí a v době uložení simulace, automatizace simulace nebo trénovací kampaně se vygeneruje seznam uživatelů.

Otázka: Jsou limity počtu simulací, které je možné nasadit během určitého časového intervalu?

A. Ne, i když při spouštění mnoha paralelních simulací může docházet k pomalosti. Frekvence zpráv (včetně četnosti zpráv simulace) jsou omezené limity četnosti zpráv služby.

Otázka: Poskytuje Microsoft datové části v jiných jazycích?

O: V současné době je k dispozici více než 40 lokalizovaných datových částí ve více než 29 jazycích: angličtina, španělština, japonština, francouzština, portugalština, holandština, italština, švédština, čínština (zjednodušená), norština Bokmål, polština, ruština, finština, korejština, turečtina, maďarština, hebrejština, thajština, arabština, vietnamština, slovenština, řečtina, indonéština, rumunština, slovinština, chorvatština, katalánština a další. Zjistili jsme, že přímý nebo strojový překlad stávajících datových částí do jiných jazyků vede k nepřesnostem a snížení relevance.

Přesto můžete vytvořit vlastní datovou část v jazyce, který si zvolíte, pomocí vlastního prostředí pro vytváření datových částí. Důrazně také doporučujeme, abyste oshromí stávající datové části, které byly použity k cílení na uživatele v konkrétní geografické oblasti. Jinými slovy, nechte útočníky lokalizovat obsah za vás.

Otázka: Kolik školicích videí je k dispozici?

O: V současné době je v knihovně obsahu k dispozici více než 85 školicích modulů.

Otázka: Jak můžu přepnout na jiné jazyky pro portál pro správu a školení?

O: V Microsoftu 365 nebo Office 365 je konfigurace jazyka specifická a centralizovaná pro každý uživatelský účet. Pokyny ke změně nastavení jazyka najdete v článku Změna jazyka zobrazení a časového pásma v Microsoftu 365 pro firmy.

Synchronizace změny konfigurace napříč všemi službami může trvat až 30 minut.

Otázka: Můžu před spuštěním plnohodnotné kampaně aktivovat testovací simulaci, abych pochopil, jak vypadá?

Odpověď: Ano, můžete! Na poslední stránce Zkontrolovat simulaci v průvodci novou simulací vyberte Odeslat test. Tato možnost odešle aktuálně přihlášeným uživatelům ukázkovou simulační zprávu útoku phishing. Po ověření phishingové zprávy ve složce Doručená pošta můžete simulaci odeslat.

Tlačítko Odeslat test na stránce Zkontrolovat simulaci

Tip

Můžete také použít možnost Odeslat test ze stránky Datové části . Pokud ale někdy použijete vybranou datovou část v simulaci, zobrazí se testovací zpráva v agregovaných sestavách. Výsledky můžete exportovat nebo můžete použít Microsoft Graph API k filtrování výsledků.

Otázka: Můžu v rámci stejné simulační kampaně cílit na uživatele, kteří patří do jiného tenanta?

Odpověď: Ne. V současné době se simulace mezi tenanty nepodporují. Ověřte, že všichni vaši cíloví uživatelé jsou ve stejném tenantovi. Všichni uživatelé mezi tenanty nebo uživatelé typu host jsou vyloučeni z kampaně simulace.

Otázka: Jak funguje doručování s informacemi o oblastech?

O: Doručování pracující s oblastmi používá atribut časového pásma poštovní schránky cílového uživatele k určení, kdy se má zpráva doručit. V doručení e-mailu může být časový rozdíl ± jednu hodinu v závislosti na časovém pásmu uživatele. Představte si například následující scénář:

  • V 7:00 v časovém pásmu Tichomoří (UTC-8) správce vytvoří a naplánuje kampaň, která má začít ve stejný den v 9:00.
  • UserA je ve východním časovém pásmu (UTC-5).
  • Uživatel B je také v tichomořském časovém pásmu.

V 9:00 ve stejný den se odešle zpráva simulace uživateli UserB. Při doručování s informacemi o oblastech se zpráva neodesílají uživateli A ve stejný den, protože 9:00 tichomořského času je 12:00 východního času. Místo toho se zpráva odešle uživateli A následující den v 9:00 východního času.

Takže při počátečním spuštění kampaně s povoleným doručováním podle oblastí se může zdát, že zpráva simulace byla odeslána pouze uživatelům v určitém časovém pásmu. Ale jak čas uplyne a do oboru se dostane více uživatelů, cílových uživatelů se zvyšuje.

Pokud nepoužíváte doručování s informacemi o oblastech, spustí se kampaň na základě časového pásma uživatele, který ji nastavuje.

Otázka: Shromažďuje microsoft nějaké informace, které uživatelé zadávají na přihlašovací stránce Credential Harvest a které se používají v simulaci credential Harvest?

Odpověď: Ne. Všechny informace zadané na přihlašovací stránce pro získávání přihlašovacích údajů se tiše zahodí. Zaznamenává se pouze "kliknutí", aby se zachytála událost ohrožení zabezpečení. Microsoft neshromažďuje, protokoluje ani neukládá žádné podrobnosti, které uživatelé zadávají v tomto kroku.

Otázka: Jak dlouho se uchovávají informace o simulaci? Můžu odstranit data simulace?

O: Podívejte se na následující tabulku:

Datový typ Udržování
Metadata simulace 18 měsíců, pokud správce simulaci dříve nesmaže.
Automatizace simulace 18 měsíců, pokud správce automatizaci simulace dříve nesmaže.
Automatizace datové části 18 měsíců, pokud správce dříve nesmažou automatizaci datové části.
Aktivita uživatele v metadatech simulace 18 měsíců, pokud správce simulaci dříve nesmaže.
Globální datové části Trvalé, dokud je společnost Microsoft nesmaže.
Datové části tenanta 18 měsíců, pokud správce archivovanou datovou část dříve nesmaže.
Aktivita uživatelů v trénovacích metadatech 18 měsíců, pokud správce simulaci dříve nesmaže.
MDO doporučené datové části 6 měsíců.
Globální oznámení koncovým uživatelům Trvalé, dokud je společnost Microsoft nesmaže.
Oznámení koncového uživatele tenanta 18 měsíců, pokud správce oznámení dříve nesmaže.
Globální přihlašovací stránky Trvalé, dokud je společnost Microsoft nesmaže.
Přihlašovací stránky tenanta 18 měsíců, pokud správce přihlašovací stránku dříve nesmaže.
Globální cílové stránky Trvalé, pokud ji microsoft nesmaže
Cílové stránky tenanta 18 měsíců, pokud nebude cílová stránka odstraněna správcem dříve.

Pokud se odstraní celý tenant, po 90 dnech se odstraní trénovací data simulace útoku.

Další informace najdete v tématu Informace o uchovávání dat pro Microsoft Defender pro Office 365.

Otázka: Můžu vytvářet, zobrazovat a spravovat simulace pomocí rozhraní API?

Odpověď: Ano. Scénáře čtení a zápisu se podporují pomocí microsoft Graph API:

  • AttackSimulation.Read.All:
    • Čtení metadat simulace
    • Čtení aktivity uživatele
    • Čtení trénovacích dat
    • Přečtěte si opakování pachatelů.
  • AttackSimulation.ReadWrite.All: Spusťte simulace pomocí zadaných datových částí, oznámení a přihlašovacích stránek.

Další informace najdete v tématu Přehled výpisu simulací a přehledu rozhraní API sestav pro trénování simulace útoku v rámci Microsoft Defender pro Office 365.

Otázka: Můžu odstranit vlastní datové části?

Odpověď: Ano. Nejprve datovou část archivujete a pak archivovanou datovou část odstraníte. Pokyny najdete v tématu Archivace datových částí.

Otázka: Můžu upravit předdefinované datové části?

O: Ne přímo. Předdefinované datové části můžete zkopírovat a pak kopii upravit. Pokyny najdete v tématu Kopírování datových částí.

Otázka: Pokouším se spustit simulaci kódu QR, ale naskenováním kódu QR se místo cílové stránky zobrazí příkaz ping úspěšný?

O: Když do editoru datové části vložíte kód QR, mapuje se na základní adresu URL útoku phishing, kterou jste vybrali v části >Odkaz phishing– Vybrat adresu URL. Kód QR se vloží do e-mailové zprávy jako obrázek. Pokud přepnete z karty Text na kartu Kód , zobrazí se vložený obrázek ve formátu Base64. Začátek obrázku obsahuje <div id="QRcode"...>. Před použitím v simulaci nezapomeňte ověřit, že dokončená datová část obsahuje <div id="QRcode"...> .

Pokud během vytváření simulace naskenujete kód QR nebo použijete příkaz Odeslat test ke kontrole datové části, kód QR odkazuje na vybranou základní adresu URL útoku phishing.

Když se datová část použije v simulaci, služba nahradí kód QR dynamicky vygenerovaným kódem QR, aby sledovala metriky kliknutí a ohrožení zabezpečení. Velikost, umístění a tvar kódu QR odpovídají možnostem konfigurace, které jste nakonfigurovali v datové části. Skenováním kódu QR během skutečné simulace přejdete na nakonfigurovanou cílovou stránku.

Otázka: Pokouším se vytvořit datovou část ve formátu HTML, ale editor datové části zřejmě z mého návrhu odebere určitý obsah?

O: V současné době nejsou v editoru datové části podporovány následující značky HTML: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.