Implementación y preguntas más frecuentes del aprendizaje de simulación de ataques
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Entrenamiento de simulación de ataque permite a las organizaciones Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2 medir y administrar el riesgo de ingeniería social al permitir la creación y administración de simulaciones de suplantación de identidad (phishing) con tecnología real, cargas de phishing inofensivas. El entrenamiento hiperesparáfico, ofrecido en asociación con la seguridad de Terranova, ayuda a mejorar el conocimiento y a cambiar el comportamiento de los empleados.
Para obtener más información sobre cómo empezar a trabajar con Entrenamiento de simulación de ataque, consulte Introducción al uso de Entrenamiento de simulación de ataque.
Aunque la experiencia de creación y programación de simulaciones está diseñada para que sea de flujo libre y sin fricción, las simulaciones a escala empresarial requieren planeamiento. Este artículo ayuda a abordar desafíos específicos que vemos cuando nuestros clientes ejecutan simulaciones en sus propios entornos.
Problemas con las experiencias del usuario final
Direcciones URL de simulación de suplantación de identidad bloqueadas por la exploración segura de Google
Un servicio de reputación de direcciones URL podría identificar una o varias de las direcciones URL que usa Entrenamiento de simulación de ataque como no seguras. Google Safe Browsing en Google Chrome bloquea algunas de las direcciones URL de suplantación de identidad simuladas con un mensaje de anticipación de sitio engañoso . Aunque trabajamos con muchos proveedores de reputación de direcciones URL para permitir siempre nuestras direcciones URL de simulación, no siempre tenemos cobertura completa.
Este problema no afecta a Microsoft Edge.
Como parte de la fase de planeación, asegúrese de comprobar la disponibilidad de la dirección URL en los exploradores web admitidos antes de usar la dirección URL en una campaña de suplantación de identidad (phishing). Si Google Safe Browsing bloquea las direcciones URL, siga esta guía de Google para permitir el acceso a las direcciones URL.
Consulte Introducción al uso de Entrenamiento de simulación de ataque para obtener la lista de direcciones URL que usa actualmente Entrenamiento de simulación de ataque.
Simulación de suplantación de identidad (phishing) y direcciones URL de administración bloqueadas por soluciones de proxy de red y controladores de filtro
Tanto las direcciones URL de simulación de suplantación de identidad (phishing) como las direcciones URL de administración pueden bloquearse o quitarse mediante los filtros o dispositivos de seguridad intermedios. Por ejemplo:
- Firewalls
- soluciones de Web Application Firewall (WAF)
- Controladores de filtro de terceros (por ejemplo, filtros de modo kernel)
Aunque hemos visto que pocos clientes están bloqueados en esta capa, sí sucede. Si tiene problemas, considere la posibilidad de configurar las siguientes direcciones URL para omitir el examen por parte de los dispositivos de seguridad o filtros según sea necesario:
- Las direcciones URL de suplantación de identidad simuladas como se describe en Introducción al uso de Entrenamiento de simulación de ataque.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Mensajes de simulación que no se entregan a todos los usuarios de destino
Es posible que el número de usuarios que reciben realmente los mensajes de correo electrónico de simulación sea menor que el número de usuarios a los que se ha dirigido la simulación. Los siguientes tipos de usuarios se excluyen como parte de la validación de destino:
- Direcciones de correo electrónico de destinatario no válidas.
- Usuarios invitados.
- Usuarios que ya no están activos en Microsoft Entra ID.
Si usa grupos de distribución o grupos de seguridad habilitados para correo para dirigirse a los usuarios, puede usar el cmdlet Get-DistributionGroupMember en Exchange Online PowerShell para ver y validar los miembros del grupo de distribución.
Entrenamientos asignados inesperadamente o no asignados a los usuarios
El umbral de entrenamiento de las campañas de entrenamiento impide que los usuarios tengan asignados los mismos entrenamientos durante un intervalo específico (90 días de forma predeterminada). Para obtener más información, vea Establecer el umbral de entrenamiento.
Si ha creado una simulación o una automatización de simulación con el valor de asignación de entrenamiento Asignar entrenamiento para mí (recomendado), asignamos el entrenamiento en función de los resultados de simulación y entrenamiento anteriores de un usuario. Para asignar formación en función de criterios específicos, seleccione Seleccionar cursos de formación y módulos yo mismo.
¿Qué ocurre cuando un usuario responde a un mensaje de simulación o lo reenvía?
Si un usuario responde o reenvía un mensaje de simulación a otro buzón, el mensaje se trata como un mensaje de correo electrónico normal (incluida la detonación por vínculos seguros o datos adjuntos seguros). El informe Simulación muestra si el mensaje de simulación se ha respondido o reenviado. Cada dirección URL del correo electrónico de simulación está asociada a un usuario individual, por lo que el usuario identifica las detonaciones de vínculos seguros como clics.
Si usa un buzón de operaciones de seguridad dedicadas (SecOps), asegúrese de identificarlo como SecOps en la directiva de entrega avanzada para que los mensajes se entreguen sin filtrar.
¿Cómo puedo escalonar la entrega de mensajes de simulación?
- Las simulaciones ofrecen entregas compatibles con la región.
- Las automatizaciones de simulación tienen una página de programación de simulación en la que puede asignar aleatoriamente la entrega y configurar otros detalles de entrega.
En cualquier caso, es importante usar diferentes cargas útiles para evitar la discusión y la identificación entre los usuarios.
¿Por qué Outlook bloquea las imágenes de los mensajes de simulación?
De forma predeterminada, Outlook está configurado para bloquear las descargas automáticas de imágenes en los mensajes de Internet. Aunque puede configurar Outlook para descargar automáticamente imágenes, no se recomienda debido a las implicaciones de seguridad (posible descarga automática de código malintencionado o errores web, también conocidos como balizas web o píxeles de seguimiento).
Veo clics o eventos de riesgo de los usuarios que insisten en que no hicieron clic en el vínculo en el mensaje de simulación o veo clics en pocos segundos de entrega para muchos usuarios (falsos positivos). ¿Qué sucede?
Estos eventos pueden producirse cuando dispositivos de seguridad o aplicaciones adicionales inspeccionan los mensajes de simulación. Por ejemplo (pero no limitado a):
- Aplicaciones o complementos dentro de Outlook que inspeccionan o interceptan el mensaje.
- Email aplicaciones de seguridad.
- Software antivirus o de seguridad de puntos de conexión.
- Cuadernos de estrategias de orquestación, automatización y respuesta de seguridad (SOAR) que evalúan automáticamente o responden automáticamente a los mensajes notificados.
Estos tipos de aplicaciones pueden examinar el contenido web para detectar phishing, por lo que debe definir exclusiones para los mensajes de simulación en estas aplicaciones.
EmailLinkClicked_IP y EmailLinkClicked_TimeStamp datos pueden proporcionar más detalles sobre el evento. Por ejemplo, si se produjo un clic unos segundos después de la entrega y la dirección IP no pertenece a Microsoft, a su empresa o al usuario, es probable que un sistema de filtrado de terceros u otro servicio interceptó el mensaje.
Para cualquier sistema o servicio de filtrado que no sea de Microsoft, debe permitir o excluir los siguientes elementos:
- Todas las direcciones URL de Entrenamiento de simulación de ataque y los dominios correspondientes. Actualmente, no se envían mensajes de simulación desde una lista estática de direcciones IP.
- Cualquier otro dominio que use en cargas personalizadas.
¿Puedo agregar la etiqueta Externa o sugerencias de seguridad a los mensajes de simulación?
Las cargas personalizadas tienen la opción de agregar la etiqueta Externa a los mensajes. Para obtener más información, consulte el paso 5 en Creación de cargas.
No hay ninguna opción integrada para agregar sugerencias de seguridad a las cargas, pero puede usar los métodos siguientes en la página Configurar carga útil del Asistente para la configuración de carga:
Use un mensaje de correo electrónico existente que contenga la sugerencia de seguridad como plantilla. Guarde el mensaje como HTML y copie la información.
Use el código de ejemplo siguiente para la sugerencia de seguridad del primer contacto:
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
¿Puedo asignar módulos de entrenamiento sin poner a los usuarios a través de una simulación?
Sí. Para obtener más información, consulte Campañas de entrenamiento en Entrenamiento de simulación de ataque.
Cómo averiguar sobre los mensajes de simulación que no se entregaron?
La pestaña Usuarios de la simulación se puede filtrar por entrega de mensajes de simulación: no se pudo entregar.
Si es propietario del dominio remitente, el informe de simulación no entregado se devuelve en un informe de no entrega (también conocido como NDR o mensaje de devolución). Para obtener más información sobre los códigos en el NDR, consulte Email informes de no entrega y errores SMTP en Exchange Online.
Problemas con los informes de Entrenamiento de simulación de ataque
Sugerencia
La grabación de datos de simulación se inicia unos minutos después de iniciar la simulación y después de que los usuarios empiecen a interactuar con los mensajes de simulación. No hay ninguna hora de inicio fija. Los eventos se siguen capturando una vez finalizada la simulación.
Diferencias en los datos de actividad del usuario de Entrenamiento de simulación de ataque informes y otros informes
Para informar sobre la actividad del usuario relacionada con los mensajes de simulación, se recomienda usar los informes de simulación integrados. Es posible que los informes de otros orígenes (por ejemplo, búsqueda avanzada) no sean precisos.
Las direcciones URL de simulación no están encapsuladas por vínculos seguros y se consideran vínculos sin encapsular. No todos los clics en vínculos no cifrados pasan por Vínculos seguros, por lo que es posible que la actividad del usuario relacionada con los mensajes de simulación no se registre en los registros UrlClickEvents.
Entrenamiento de simulación de ataque informes no contienen detalles de actividad
Entrenamiento de simulación de ataque incluye información enriquecida y procesable que le mantiene informado del progreso de preparación de amenazas de sus empleados. Si Entrenamiento de simulación de ataque informes no se rellenan con datos, compruebe que el registro de auditoría está activado en su organización (está activado de forma predeterminada).
El registro de auditoría es necesario Entrenamiento de simulación de ataque para que los eventos se puedan capturar, grabar y leer. La desactivación del registro de auditoría tiene las siguientes consecuencias para Entrenamiento de simulación de ataque:
- Los datos de informes no están disponibles en todos los informes. Los informes aparecen vacíos.
- Las asignaciones de entrenamiento están bloqueadas, ya que los datos no están disponibles.
Para comprobar que el registro de auditoría está activado o para activarlo, consulte Activar o desactivar la auditoría.
Sugerencia
Los detalles de actividad vacíos también se deben a que no se asignan licencias E5 a los usuarios. Compruebe que se asigna al menos una licencia E5 a un usuario activo para asegurarse de que los eventos de informes se capturan y registran.
Las acciones de usuario y las acciones de administrador se auditan. En la API de actividad de administración, busque los valores AuditLogRecordType 85, 88 y 218.
Es posible que también haya información de auditoría disponible en la tabla CloudAppEvents de Microsoft Defender XDR búsqueda avanzada a través del portal de Defender o la API de streaming.
Notificar problemas con buzones locales
Entrenamiento de simulación de ataque admite buzones locales, pero con una funcionalidad de informes reducida:
- Los datos sobre si los usuarios leen, reenvía o eliminan el correo electrónico de simulación no están disponibles para los buzones locales.
- El número de usuarios que notificaron el correo electrónico de simulación no está disponible para los buzones locales.
Sugerencia
Aparte de los mensajes de simulación que se envían a través de la canalización de transporte frente a la inserción directa en Microsoft 365, las experiencias de entrenamiento, automatización y administración de contenido son las mismas para los buzones locales.
Los informes de simulación no se actualizan inmediatamente
Los informes detallados de simulación no se actualizan inmediatamente después de iniciar una campaña. No te preocupes; se espera este comportamiento.
Cada campaña de simulación tiene un ciclo de vida. Cuando se crea por primera vez, la simulación está en estado Programado . Cuando se inicia la simulación, pasa al estado En curso . Cuando se completa, la simulación pasa al estado Completado .
Mientras una simulación está en estado Programado , los informes de simulación están principalmente vacíos. Durante esta fase, el motor de simulación está resolviendo las direcciones de correo electrónico del usuario de destino, expandiendo grupos de distribución, quitando usuarios invitados de la lista, etc.:
Una vez que la simulación entra en la fase En curso , la información comienza a entrar en la generación de informes:
Los informes de simulación individuales pueden tardar hasta 30 minutos en actualizarse después de la transición al estado En curso . Los datos del informe continúan compilando hasta que la simulación alcanza el estado Completado . Las actualizaciones de informes se producen a los intervalos siguientes:
- Cada 10 minutos durante los primeros 60 minutos.
- Cada 15 minutos después de 60 minutos hasta dos días.
- Cada 30 minutos después de dos días hasta siete días.
- Cada 60 minutos después de siete días.
Los widgets de la página Información general proporcionan una instantánea rápida de la posición de seguridad basada en simulación de su organización a lo largo del tiempo. Dado que estos widgets reflejan la posición de seguridad general y el recorrido a lo largo del tiempo, se actualizan una vez completada cada campaña de simulación.
Nota:
Puede usar la opción Exportar en las distintas páginas de informes para extraer datos.
Los mensajes notificados como suplantación de identidad (phishing) por los usuarios no aparecen en los informes de simulación
Los informes de simulación del entrenamiento del simulador de ataques proporcionan detalles sobre la actividad del usuario. Por ejemplo:
- Usuarios que han hecho clic en el vínculo del mensaje.
- Usuarios que han renunciado a sus credenciales.
- Usuarios que notificaron el mensaje como suplantación de identidad (phishing).
Si los mensajes que los usuarios notifican como suplantación de identidad no se capturan en Entrenamiento de simulación de ataque informes de simulación, puede haber una regla de flujo de correo de Exchange (también conocida como regla de transporte) que bloquee la entrega de los mensajes notificados a Microsoft. Compruebe que las reglas de flujo de correo no bloquean la entrega a las siguientes direcciones de correo electrónico:
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
A los usuarios se les asigna un entrenamiento después de informar de un mensaje simulado
Si a los usuarios se les asigna un entrenamiento después de notificar un mensaje de simulación de suplantación de identidad (phishing), compruebe si su organización usa un buzón de informes para recibir mensajes notificados por el usuario en https://security.microsoft.com/securitysettings/userSubmission. El buzón de informes debe configurarse para omitir muchas comprobaciones de seguridad, como se describe en los requisitos previos del buzón de informes.
Si no configura las exclusiones necesarias para el buzón de informes personalizado, los mensajes pueden detonarse mediante vínculos seguros o protección de datos adjuntos seguros, lo que provoca asignaciones de entrenamiento.
Otras preguntas más frecuentes
P: ¿Cuál es el método recomendado para dirigirse a los usuarios para las campañas de simulación?
R: Hay varias opciones disponibles para los usuarios de destino:
- Incluya todos los usuarios (actualmente disponibles para organizaciones con menos de 40 000 usuarios).
- Elija usuarios específicos.
- Seleccione usuarios de un archivo CSV (una dirección de correo electrónico por línea).
- Microsoft Entra destino basado en grupos. Se admiten los siguientes tipos de grupo:
- Grupos de Microsoft 365 (estático y dinámico)
- Grupos de distribución (solo estáticos)
- Grupos de seguridad habilitados para correo (solo estática)
Encontramos que las campañas en las que los usuarios de destino se identifican por Microsoft Entra grupos son más fáciles de administrar.
P: ¿Cuántos módulos de entrenamiento hay?
Actualmente, hay 94 entrenamientos integrados en la página Módulos de entrenamiento .
P: ¿Cómo se usan los idiomas para experiencias como módulos de entrenamiento y notificaciones?
- Módulos de entrenamiento: se usa la configuración regional del explorador. Pero una vez que el entrenamiento se ha asignado a un usuario, la selección de idioma persiste y se asignan entrenamientos futuros en ese idioma.
- Notificaciones de usuario final: se usa la configuración regional o del idioma del buzón.
- Cargas de reproducción de simulación: se usa el idioma seleccionado por el administrador durante la creación.
- Páginas de aterrizaje: se usa la configuración de idioma de la cuenta de Microsoft 365. El usuario también puede cambiar los idiomas de la lista desplegable presente en la página de aterrizaje.
P: ¿Hay límites en el destino de los usuarios al importar desde un ARCHIVO CSV o agregar usuarios?
R: El límite para importar destinatarios desde un archivo CSV o agregar destinatarios individuales a una simulación es de 40 000.
Un destinatario puede ser un usuario individual o un grupo. Un grupo puede contener cientos o miles de destinatarios. El límite superior en el número de usuarios es de 400 000, pero se recomienda un límite de 200 000 usuarios para cada simulación para obtener el mejor rendimiento.
Administrar un archivo CSV grande o agregar muchos destinatarios individuales puede ser complicado. El uso de grupos de Microsoft Entra simplifica la administración general de la simulación.
Sugerencia
Actualmente, los buzones compartidos no se admiten en Entrenamiento de simulación de ataque. Las simulaciones deben tener como destino buzones de usuario o grupos que contengan buzones de usuario.
Grupos se amplían y se genera la lista de usuarios en el momento de guardar la simulación, la automatización de simulaciones o la campaña de entrenamiento.
P: ¿Son los límites para el número de simulaciones que se pueden implementar durante un intervalo de tiempo específico?
R. No, aunque es posible que experimente lentitud si inicia muchas simulaciones paralelas. Las tasas de mensajes (incluidas las tasas de mensajes de simulación) están restringidas por los límites de velocidad de mensajes del servicio.
P: ¿Proporciona Microsoft cargas útiles en otros idiomas?
R: Actualmente, hay más de 40 cargas localizadas disponibles en más de 29 idiomas: inglés, español, alemán, japonés, francés, portugués, holandés, italiano, sueco, chino (simplificado), noruego Bokmål, polaco, ruso, finlandés, coreano, turco, húngaro, hebreo, tailandés, árabe, vietnamita, eslovaco, griego, indonesio, rumano, esloveno, croata, catalán y otros. Hemos determinado que la traducción directa o automática de las cargas existentes a otros lenguajes conduce a imprecisiones y a una menor relevancia.
Dicho esto, puede crear su propia carga en el lenguaje que prefiera mediante la experiencia de creación de carga personalizada. También se recomienda encarecidamente recopilar las cargas existentes que se usaron para dirigirse a los usuarios de una geografía específica. En otras palabras, deje que los atacantes localicen el contenido por usted.
P: ¿Cuántos vídeos de entrenamiento están disponibles?
R: Actualmente, hay más de 85 módulos de entrenamiento disponibles en la biblioteca de contenido.
P: ¿Cómo puedo cambiar a otros idiomas para mi portal de administración y experiencia de entrenamiento?
R: En Microsoft 365 o Office 365, la configuración del lenguaje es específica y centralizada para cada cuenta de usuario. Para obtener instrucciones sobre cómo cambiar la configuración de idioma, vea Cambiar el idioma de visualización y la zona horaria en Microsoft 365 para empresas.
El cambio de configuración puede tardar hasta 30 minutos en sincronizarse entre todos los servicios.
P: ¿Puedo desencadenar una simulación de prueba para comprender su aspecto antes de iniciar una campaña completa?
R: ¡Sí se puede! En la última página Revisar simulación del asistente para nueva simulación, seleccione Enviar una prueba. Esta opción envía un mensaje de simulación de suplantación de identidad (phishing) de ejemplo al usuario que ha iniciado sesión actualmente. Después de validar el mensaje de suplantación de identidad en la Bandeja de entrada, puede enviar la simulación.
Sugerencia
También puede usar Enviar una prueba desde la página Cargas. Sin embargo, si alguna vez usa la carga seleccionada en una simulación, el mensaje de prueba aparece en los informes agregados. Puede exportar los resultados o usar microsoft Graph API para filtrar los resultados.
P: ¿Puedo dirigirme a usuarios que pertenecen a un inquilino diferente como parte de la misma campaña de simulación?
R: No. Actualmente, no se admiten simulaciones entre inquilinos. Compruebe que todos los usuarios de destino están en el mismo inquilino. Los usuarios entre inquilinos o los usuarios invitados se excluyen de la campaña de simulación.
P: ¿Cómo funciona la entrega con reconocimiento de la región?
R: La entrega compatible con la región usa el atributo de zona horaria del buzón del usuario de destino para determinar cuándo entregar el mensaje. Puede haber una diferencia horaria de ± una hora en la entrega de correo electrónico en función de la zona horaria del usuario. Por ejemplo, imagine la situación siguiente:
- A las 7:00 AM en la zona horaria del Pacífico (UTC-8), un administrador crea y programa una campaña para que comience a las 9:00 a.m. del mismo día.
- UserA está en la zona horaria oriental (UTC-5).
- UserB también está en la zona horaria del Pacífico.
A las 9:00 am del mismo día, el mensaje de simulación se envía a UserB. Con la entrega compatible con la región, el mensaje no se envía a UserA el mismo día, ya que la hora del Pacífico a las 9:00 a.m. es a las 12:00 p.m. hora del Este. En su lugar, el mensaje se envía a UserA a las 9:00 a.m. hora del Este del día siguiente.
Por lo tanto, en la ejecución inicial de una campaña con la entrega compatible con la región habilitada, podría parecer que el mensaje de simulación se envió solo a los usuarios de una zona horaria específica. Sin embargo, a medida que pasa el tiempo y más usuarios entran en el ámbito, los usuarios de destino aumentan.
Si no usa la entrega compatible con la región, la campaña se inicia en función de la zona horaria del usuario que la configura.
P: ¿Recopila Microsoft o almacena información que los usuarios escriben en la página de inicio de sesión de Credential Harvest, usada en la técnica de simulación de Credential Harvest?
R: No. Cualquier información especificada en la página de inicio de sesión de la cosecha de credenciales se descarta silenciosamente. Solo se registra el "clic" para capturar el evento de riesgo. Microsoft no recopila, registra ni almacena los detalles que los usuarios escriben en este paso.
P: ¿Cuánto tiempo se conserva la información de simulación? ¿Puedo eliminar datos de simulación?
R: Consulte la tabla siguiente:
Tipo de datos | Retención |
---|---|
Metadatos de simulación | 18 meses a menos que un administrador elimine antes la simulación. |
Automatización de simulación | 18 meses a menos que un administrador elimine antes la automatización de la simulación. |
Automatización de carga útil | 18 meses a menos que un administrador elimine antes la automatización de la carga útil. |
Actividad del usuario en metadatos de simulación | 18 meses a menos que un administrador elimine antes la simulación. |
Cargas globales | Persistente a menos que Microsoft las elimine. |
Cargas de inquilino | 18 meses a menos que un administrador elimine antes la carga archivada. |
Actividad del usuario en los metadatos de entrenamiento | 18 meses a menos que un administrador elimine antes la simulación. |
MDO cargas recomendadas | 6 meses. |
Notificaciones globales del usuario final | Persistente a menos que Microsoft las elimine. |
Notificaciones del usuario final del inquilino | 18 meses a menos que un administrador elimine antes la notificación. |
Páginas de inicio de sesión globales | Persistente a menos que Microsoft las elimine. |
Páginas de inicio de sesión de inquilino | 18 meses a menos que un administrador elimine antes la página de inicio de sesión. |
Páginas de aterrizaje globales | Persistente a menos que Microsoft lo elimine |
Páginas de aterrizaje del inquilino | 18 meses a menos que un administrador elimine antes la página de aterrizaje. |
Si se elimina todo el inquilino, los datos de entrenamiento de simulación de ataques se eliminan después de 90 días.
Para obtener más información, consulte Información de retención de datos para Microsoft Defender para Office 365.
P: ¿Puedo crear, ver y administrar simulaciones mediante una API?
R: Sí. Los escenarios de lectura y escritura se admiten mediante microsoft Graph API:
-
AttackSimulation.Read.All
:- Leer metadatos de simulación
- Leer actividad de usuario
- Leer datos de entrenamiento
- Leer delincuentes reincidentes
-
AttackSimulation.ReadWrite.All
: ejecute simulaciones con las cargas, notificaciones y páginas de inicio de sesión especificados.
Para obtener más información, consulte Enumeración de simulaciones e información general de la API de informes para el entrenamiento de simulación de ataques como parte de Microsoft Defender para Office 365.
P: ¿Puedo eliminar cargas personalizadas?
R: Sí. En primer lugar, archive la carga y, a continuación, elimine la carga archivada. Para obtener instrucciones, consulte Carga de archivo.
P: ¿Puedo modificar las cargas integradas?
R: No directamente. Puede copiar la carga integrada y, a continuación, modificar la copia. Para obtener instrucciones, consulte Copia de cargas.
P: Estoy intentando ejecutar una simulación de código QR, pero el escaneo del código QR me muestra "ping successful" en lugar de la página de aterrizaje?
R: Al insertar un código QR en el editor de carga, se asigna a la dirección URL de suplantación de identidad base que seleccionó en la sección >Vínculo de suplantación de identidad (Phishing)Seleccionar dirección URL. El código QR se inserta en el mensaje de correo electrónico como una imagen. Si cambia de la pestaña Texto a la pestaña Código , verá la imagen insertada en formato Base64. El principio de la imagen contiene <div id="QRcode"...>
. Asegúrese de comprobar que la carga finalizada contiene <div id="QRcode"...>
antes de usarla en una simulación.
Durante la creación de la simulación, si examina el código QR o usa Enviar una prueba para revisar la carga, el código QR apunta a la dirección URL de phishing base que seleccionó.
Cuando se usa la carga útil en una simulación, el servicio reemplaza el código QR por un código QR generado dinámicamente para realizar un seguimiento de las métricas de clic y peligro. El tamaño, la posición y la forma del código QR coinciden con las opciones de configuración que configuró en la carga. El examen del código QR durante una simulación real le lleva a la página de aterrizaje configurada.
P: Estoy intentando crear una carga en HTML, pero el editor de carga parece quitar cierto contenido de mi diseño?
R: Actualmente, no se admiten las siguientes etiquetas HTML en el editor de carga: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
.