Considérations et forum aux questions sur le déploiement de la formation de simulation d’attaque
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Exercice de simulation d’attaque permet aux organisations Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2 de mesurer et de gérer les risques liés à l’ingénierie sociale en autorisant la création et la gestion de simulations d’hameçonnage alimentées par des simulations d’hameçonnage réelles et inoffensives charges utiles d’hameçonnage. La formation hyper-ciblée, fournie en partenariat avec la sécurité Terranova, permet d’améliorer les connaissances et de modifier le comportement des employés.
Pour plus d’informations sur la prise en main de Exercice de simulation d’attaque, consultez Prise en main de Exercice de simulation d’attaque.
Bien que l’expérience de création et de planification de simulation soit conçue pour être fluide et fluide, les simulations à l’échelle de l’entreprise nécessitent une planification. Cet article vous aide à résoudre les défis spécifiques que nous voyons lorsque nos clients exécutent des simulations dans leurs propres environnements.
Problèmes liés aux expériences des utilisateurs finaux
URL de simulation d’hameçonnage bloquées par la navigation sécurisée Google
Un service de réputation d’URL peut identifier une ou plusieurs URL utilisées par Exercice de simulation d’attaque comme non sécurisées. Google Safe Browsing dans Google Chrome bloque certaines DES URL d’hameçonnage simulées avec un message d’avance de site trompeur . Bien que nous travaillons avec de nombreux fournisseurs de réputation d’URL pour toujours autoriser nos URL de simulation, nous n’avons pas toujours une couverture complète.
Ce problème n’affecte pas Microsoft Edge.
Dans le cadre de la phase de planification, veillez à case activée la disponibilité de l’URL dans vos navigateurs web pris en charge avant d’utiliser l’URL dans une campagne de hameçonnage. Si les URL sont bloquées par la navigation sécurisée Google, suivez ces instructions de Google pour autoriser l’accès aux URL.
Reportez-vous à Prise en main de Exercice de simulation d’attaque pour obtenir la liste des URL actuellement utilisées par Exercice de simulation d’attaque.
Url d’administration et de simulation d’hameçonnage bloquées par les solutions de proxy réseau et les pilotes de filtre
Les URL de simulation de hameçonnage et les URL d’administration peuvent être bloquées ou supprimées par vos filtres ou appareils de sécurité intermédiaires. Par exemple :
- Pare-feu
- solutions Web Application Firewall (WAF)
- Pilotes de filtre tiers (par exemple, filtres en mode noyau)
Bien que nous ayons vu peu de clients être bloqués au niveau de cette couche, cela se produit. Si vous rencontrez des problèmes, envisagez de configurer les URL suivantes pour contourner l’analyse par vos appareils de sécurité ou filtres en fonction des besoins :
- URL d’hameçonnage simulées décrites dans Prise en main de Exercice de simulation d’attaque.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Messages de simulation non remis à tous les utilisateurs ciblés
Il est possible que le nombre d’utilisateurs qui reçoivent réellement les messages électroniques de simulation soit inférieur au nombre d’utilisateurs ciblés par la simulation. Les types d’utilisateurs suivants sont exclus dans le cadre de la validation cible :
- Adresses e-mail des destinataires non valides.
- Utilisateurs invités.
- Utilisateurs qui ne sont plus actifs dans Microsoft Entra ID.
Si vous utilisez des groupes de distribution ou des groupes de sécurité à extension messagerie pour cibler des utilisateurs, vous pouvez utiliser l’applet de commande Get-DistributionGroupMember dans Exchange Online PowerShell pour afficher et valider les membres du groupe de distribution.
Formations attribuées de manière inattendue ou non attribuées aux utilisateurs
Le seuil d’entraînement dans les campagnes de formation empêche les utilisateurs de recevoir les mêmes formations pendant un intervalle spécifique (90 jours par défaut). Pour plus d’informations, consultez Définir le seuil d’entraînement.
Si vous avez créé une simulation ou une automatisation de simulation avec la valeur d’affectation d’entraînement Assigner une formation pour moi (Recommandé), nous affectons l’entraînement en fonction des résultats de simulation et d’entraînement précédents d’un utilisateur. Pour attribuer une formation en fonction de critères spécifiques, sélectionnez Sélectionner des cours de formation et des modules moi-même.
Que se passe-t-il lorsqu’un utilisateur répond ou transfère un message de simulation ?
Si un utilisateur répond à un message de simulation ou le transfère à une autre boîte aux lettres, le message est traité comme un message électronique normal (y compris la détonation par des liens fiables ou des pièces jointes fiables). Le rapport simulation indique si le message de simulation a été répondu ou transféré. Chaque URL de l’e-mail de simulation étant liée à un utilisateur individuel, les détonations de liens fiables sont identifiées comme des clics par l’utilisateur.
Si vous utilisez une boîte aux lettres d’opérations de sécurité (SecOps) dédiée, veillez à l’identifier en tant que SecOps dans la stratégie de remise avancée afin que les messages ne soient pas filtrés.
Comment puis-je échelonner la remise des messages de simulation ?
- Les simulations offrent une livraison prenant en charge les régions.
- Les automatisations de simulation disposent d’une page de planification de simulation dans laquelle vous pouvez aléatoirement la livraison et configurer d’autres détails de remise.
Dans les deux cas, il est important d’utiliser différentes charges utiles pour éviter toute discussion et identification entre les utilisateurs.
Pourquoi les images dans les messages de simulation sont-elles bloquées par Outlook ?
Par défaut, Outlook est configuré pour bloquer les téléchargements automatiques d’images dans les messages à partir d’Internet. Bien que vous puissiez configurer Outlook pour télécharger automatiquement des images, nous vous déconseillons de le faire en raison des implications en matière de sécurité (téléchargement automatique potentiel de code malveillant ou de bogues web, également appelés balises web ou pixels de suivi).
Je vois des clics ou des événements de compromission d’utilisateurs qui insistent pour ne pas avoir cliqué sur le lien dans le message de simulation OU je vois des clics quelques secondes après la remise pour de nombreux utilisateurs (faux positifs). Que se passe-t-il ?
Ces événements peuvent se produire lorsque des applications ou des appareils de sécurité supplémentaires inspectent des messages de simulation. Par exemple (mais sans s’y limiter) :
- Applications ou plug-ins dans Outlook qui inspectent ou interceptent le message.
- Email applications de sécurité.
- Sécurité du point de terminaison ou logiciel antivirus.
- Playbooks SOAR (Security Orchestration, Automation and Response) qui trient automatiquement ou répondent automatiquement aux messages signalés.
Ces types d’applications peuvent examiner le contenu web pour détecter l’hameçonnage. Vous devez donc définir des exclusions pour les messages de simulation dans ces applications.
EmailLinkClicked_IP et les données EmailLinkClicked_TimeStamp peuvent fournir plus de détails sur l’événement. Par exemple, si un clic s’est produit quelques secondes après la remise et que l’adresse IP n’appartient pas à Microsoft, à votre entreprise ou à l’utilisateur, il est probable qu’un système de filtrage tiers ou un autre service ait intercepté le message.
Pour tous les systèmes ou services de filtrage non-Microsoft, vous devez autoriser ou exempter les éléments suivants :
- Toutes les URL Exercice de simulation d’attaque et les domaines correspondants. Actuellement, nous n’envoyons pas de messages de simulation à partir d’une liste statique d’adresses IP.
- Tous les autres domaines que vous utilisez dans des charges utiles personnalisées.
Puis-je ajouter l’étiquette externe ou des conseils de sécurité aux messages de simulation ?
Les charges utiles personnalisées ont la possibilité d’ajouter la balise Externe aux messages. Pour plus d’informations, consultez Étape 5 dans Créer des charges utiles.
Il n’existe aucune option intégrée pour ajouter des conseils de sécurité aux charges utiles, mais vous pouvez utiliser les méthodes suivantes dans la page Configurer la charge utile de l’Assistant Configuration de la charge utile :
Utilisez un e-mail existant qui contient le conseil de sécurité comme modèle. Enregistrez le message au format HTML et copiez les informations.
Utilisez l’exemple de code suivant pour le conseil de sécurité premier contact :
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
Puis-je attribuer des modules de formation sans faire passer les utilisateurs par une simulation ?
Oui. Pour plus d’informations, consultez Campagnes de formation dans Exercice de simulation d’attaque.
Comment faire découvrir les messages de simulation qui n’ont pas été remis ?
L’onglet Utilisateurs de la simulation est filtrable par message de simulation : Échec de remise.
Si vous êtes propriétaire du domaine de l’expéditeur, le rapport de simulation non remis est retourné dans un rapport de non-remise (également appelé notification d’échec de remise ou message de rebond). Pour plus d’informations sur les codes dans la remise, consultez Email les rapports d’échec de remise et les erreurs SMTP dans Exchange Online.
Problèmes liés aux rapports Exercice de simulation d’attaque
Conseil
L’enregistrement des données de simulation démarre quelques minutes après le lancement de la simulation et après que les utilisateurs commencent à interagir avec les messages de simulation. Il n’y a pas d’heure de début fixe. Les événements sont toujours capturés une fois la simulation terminée.
Différences dans les données d’activité utilisateur des rapports Exercice de simulation d’attaque et d’autres rapports
Pour créer des rapports sur l’activité utilisateur liée aux messages de simulation, nous vous recommandons d’utiliser les rapports de simulation intégrés. Les rapports provenant d’autres sources (par exemple, repérage avancé) peuvent ne pas être exacts.
Les URL de simulation ne sont pas encapsulées par des liens fiables et sont considérées comme des liens non capturés. Tous les clics sur les liens non enregistrés ne passent pas par des liens fiables, de sorte que l’activité utilisateur liée aux messages de simulation peut ne pas être enregistrée dans les journaux UrlClickEvents.
Exercice de simulation d’attaque rapports ne contiennent aucun détail d’activité
Exercice de simulation d’attaque est fourni avec des informations riches et exploitables qui vous tiennent informé de la progression de la préparation aux menaces de vos employés. Si Exercice de simulation d’attaque rapports ne sont pas remplis avec des données, vérifiez que la journalisation d’audit est activée dans votre organization (elle est activée par défaut).
La journalisation d’audit est requise par Exercice de simulation d’attaque afin que les événements puissent être capturés, enregistrés et lus. La désactivation de la journalisation d’audit a les conséquences suivantes pour Exercice de simulation d’attaque :
- Les données de création de rapports ne sont pas disponibles dans tous les rapports. Les rapports apparaissent vides.
- Les affectations d’entraînement sont bloquées, car les données ne sont pas disponibles.
Pour vérifier que la journalisation d’audit est activée ou pour l’activer, consultez Activer ou désactiver l’audit.
Conseil
Les détails d’activité vides sont également causés par l’absence de licenceS E5 attribuées aux utilisateurs. Vérifiez qu’au moins une licence E5 est attribuée à un utilisateur actif pour vous assurer que les événements de création de rapports sont capturés et enregistrés.
Les actions utilisateur et les actions d’administrateur sont auditées. Dans l’API Activité de gestion, recherchez les valeurs AuditLogRecordType 85, 88 et 218.
Certaines informations d’audit peuvent également être disponibles dans la table CloudAppEvents dans Microsoft Defender XDR repérage avancé via le portail Defender ou l’API de streaming.
Signalement de problèmes liés aux boîtes aux lettres locales
Exercice de simulation d’attaque prend en charge les boîtes aux lettres locales, mais avec des fonctionnalités de création de rapports réduites :
- Les données indiquant si les utilisateurs ont lu, transféré ou supprimé l’e-mail de simulation ne sont pas disponibles pour les boîtes aux lettres locales.
- Le nombre d’utilisateurs qui ont signalé l’e-mail de simulation n’est pas disponible pour les boîtes aux lettres locales.
Conseil
Outre les messages de simulation envoyés via le pipeline de transport et l’injection directe dans Microsoft 365, les expériences de formation, d’automatisation et de gestion de contenu sont les mêmes pour les boîtes aux lettres locales.
Les rapports de simulation ne sont pas mis à jour immédiatement
Les rapports de simulation détaillés ne sont pas mis à jour immédiatement après le lancement d’une campagne. Ne vous inquiétez pas; ce comportement est attendu.
Chaque campagne de simulation a un cycle de vie. Une fois créée, la simulation est dans l’état Planifié . Lorsque la simulation démarre, elle passe à l’état En cours . Une fois terminée, la simulation passe à l’état Terminé .
Lorsqu’une simulation est à l’état Planifié, les rapports de simulation sont pour la plupart vides . Au cours de cette étape, le moteur de simulation résout les adresses e-mail des utilisateurs cibles, développe des groupes de distribution, supprime les utilisateurs invités de la liste, etc. :
Une fois que la simulation passe à l’étape En cours , les informations commencent à ruisseler dans les rapports :
La mise à jour des rapports de simulation individuels peut prendre jusqu’à 30 minutes après la transition à l’état En cours . Les données du rapport continuent de générer jusqu’à ce que la simulation atteigne l’état Terminé . Les mises à jour de rapports se produisent aux intervalles suivants :
- Toutes les 10 minutes pendant les 60 premières minutes.
- Toutes les 15 minutes après 60 minutes jusqu’à deux jours.
- Toutes les 30 minutes après deux jours jusqu’à sept jours.
- Toutes les 60 minutes après sept jours.
Les widgets de la page Vue d’ensemble fournissent un instantané rapide de la posture de sécurité basée sur la simulation de votre organization au fil du temps. Étant donné que ces widgets reflètent votre posture de sécurité globale et votre parcours au fil du temps, ils sont mis à jour une fois chaque campagne de simulation terminée.
Remarque
Vous pouvez utiliser l’option Exporter sur les différentes pages de création de rapports pour extraire des données.
Les messages signalés comme hameçonnage par les utilisateurs n’apparaissent pas dans les rapports de simulation
Les rapports de simulation de la formation sur le simulateur d’attaque fournissent des détails sur l’activité des utilisateurs. Par exemple :
- Utilisateurs qui ont cliqué sur le lien dans le message.
- Utilisateurs qui ont abandonné leurs informations d’identification.
- Utilisateurs qui ont signalé le message comme hameçonnage.
Si les messages signalés par les utilisateurs comme hameçonnage ne sont pas capturés dans Exercice de simulation d’attaque rapports de simulation, il peut y avoir une règle de flux de messagerie Exchange (également appelée règle de transport) qui bloque la remise des messages signalés à Microsoft. Vérifiez que les règles de flux de courrier ne bloquent pas la remise aux adresses e-mail suivantes :
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
L’entraînement est attribué aux utilisateurs une fois qu’ils signalent un message simulé
Si une formation est attribuée aux utilisateurs après avoir signalé un message de simulation de hameçonnage, case activée pour voir si votre organization utilise une boîte aux lettres de création de rapports pour recevoir les messages signalés par l’utilisateur à l’adresse https://security.microsoft.com/securitysettings/userSubmission. La boîte aux lettres de création de rapports doit être configurée pour ignorer de nombreuses vérifications de sécurité, comme décrit dans les prérequis de la boîte aux lettres de création de rapports.
Si vous ne configurez pas les exclusions requises pour la boîte aux lettres de création de rapports personnalisée, les messages peuvent être détonés par les liens fiables ou la protection des pièces jointes fiables, ce qui entraîne des affectations d’entraînement.
Autres questions fréquentes (FAQ)
Q : Quelle est la méthode recommandée pour cibler les utilisateurs pour les campagnes de simulation ?
R : Plusieurs options sont disponibles pour les utilisateurs cibles :
- Inclure tous les utilisateurs (actuellement disponibles pour les organisations de moins de 40 000 utilisateurs).
- Choisissez des utilisateurs spécifiques.
- Sélectionnez des utilisateurs à partir d’un fichier CSV (une adresse e-mail par ligne).
- Microsoft Entra le ciblage basé sur les groupes. Les types de groupes suivants sont pris en charge :
- Groupes Microsoft 365 (statique et dynamique)
- Groupes de distribution (statiques uniquement)
- Groupes de sécurité à extension messagerie (statiques uniquement)
Nous constatons que les campagnes où les utilisateurs ciblés sont identifiés par Microsoft Entra groupes sont plus faciles à gérer.
Q : Combien y a-t-il de modules de formation ?
Actuellement, il existe 94 formations intégrées sur la page Modules de formation .
Q : Comment les langages sont-ils utilisés pour les expériences telles que les modules d’entraînement et les notifications ?
- Modules de formation : les paramètres régionaux du navigateur sont utilisés. Mais une fois que l’entraînement a été attribué à un utilisateur, la sélection de la langue est conservée et les formations futures sont affectées dans cette langue.
- Notifications de l’utilisateur final : les paramètres régionaux/linguistiques de la boîte aux lettres sont utilisés.
- Chargements de simulation : la langue sélectionnée par l’administrateur lors de la création est utilisée.
- Pages d’accueil : les paramètres de langue du compte Microsoft 365 sont utilisés. L’utilisateur peut également modifier la langue à partir de la liste déroulante présente dans la page d’accueil.
Q : Existe-t-il des limites dans le ciblage des utilisateurs lors de l’importation à partir d’un fichier CSV ou de l’ajout d’utilisateurs ?
R : La limite pour l’importation de destinataires à partir d’un fichier CSV ou l’ajout de destinataires individuels à une simulation est de 40 000.
Un destinataire peut être un utilisateur individuel ou un groupe. Un groupe peut contenir des centaines ou des milliers de destinataires. La limite supérieure du nombre d’utilisateurs est de 400 000, mais nous recommandons une limite de 200 000 utilisateurs pour chaque simulation pour de meilleures performances.
La gestion d’un fichier CSV volumineux ou l’ajout de nombreux destinataires individuels peuvent être fastidieux. L’utilisation de groupes Microsoft Entra simplifie la gestion globale de la simulation.
Conseil
Actuellement, les boîtes aux lettres partagées ne sont pas prises en charge dans Exercice de simulation d’attaque. Les simulations doivent cibler les boîtes aux lettres utilisateur ou les groupes contenant des boîtes aux lettres utilisateur.
Groupes sont développées et la liste des utilisateurs est générée au moment de l’enregistrement de la simulation, de l’automatisation de la simulation ou de la campagne de formation.
Q : Le nombre de simulations pouvant être déployées pendant un intervalle de temps spécifique est-il limité ?
A. Non, même si vous pouvez rencontrer une lenteur si vous lancez de nombreuses simulations parallèles. Les taux de messages (y compris les taux de messages de simulation) sont limités par les limites de débit de messages du service.
Q : Microsoft fournit-il des charges utiles dans d’autres langues ?
R : Actuellement, plus de 40 charges utiles localisées sont disponibles dans plus de 29 langues : anglais, espagnol, allemand, japonais, français, portugais, néerlandais, italien, suédois, chinois (simplifié), norvégien Bokmål, polonais, russe, finnois, coréen, turc, hongrois, hébreu, thaï, arabe, vietnamien, slovaque, grec, indonésien, roumain, slovène, croate, catalan et autres. Nous avons déterminé que la traduction directe ou automatique de charges utiles existantes vers d’autres langues entraîne des inexactitudes et une diminution de la pertinence.
Cela dit, vous pouvez créer votre propre charge utile dans le langage de votre choix à l’aide de l’expérience de création de charge utile personnalisée. Nous vous recommandons également vivement de collecter les charges utiles existantes qui ont été utilisées pour cibler des utilisateurs dans une zone géographique spécifique. En d’autres termes, laissez les attaquants localiser le contenu pour vous.
Q : Combien de vidéos de formation sont disponibles ?
R : Actuellement, plus de 85 modules de formation sont disponibles dans la bibliothèque de contenu.
Q : Comment puis-je basculer vers d’autres langues pour mon portail d’administration et mon expérience de formation ?
R : Dans Microsoft 365 ou Office 365, la configuration de la langue est spécifique et centralisée pour chaque compte d’utilisateur. Pour obtenir des instructions sur la modification de votre paramètre de langue, consultez Modifier votre langue d’affichage et votre fuseau horaire dans Microsoft 365 entreprise.
La synchronisation de la modification de la configuration peut prendre jusqu’à 30 minutes entre tous les services.
Q : Puis-je déclencher une simulation de test pour comprendre à quoi elle ressemble avant de lancer une campagne à part entière ?
R : Oui, vous pouvez ! Dans la dernière page Vérifier la simulation de l’Assistant Nouvelle simulation, sélectionnez Envoyer un test. Cette option envoie un exemple de message de simulation d’hameçonnage à l’utilisateur actuellement connecté. Après avoir validé le message d’hameçonnage dans votre boîte de réception, vous pouvez envoyer la simulation.
Conseil
Vous pouvez également utiliser Envoyer un test à partir de la page Charges utiles . Toutefois, si vous utilisez la charge utile sélectionnée dans une simulation, le message de test apparaît dans les rapports d’agrégation. Vous pouvez exporter les résultats ou utiliser le API Graph Microsoft pour filtrer les résultats.
Q : Puis-je cibler des utilisateurs appartenant à un autre locataire dans le cadre de la même campagne de simulation ?
R : Non. Actuellement, les simulations interlocataires ne sont pas prises en charge. Vérifiez que tous vos utilisateurs ciblés se trouvent dans le même locataire. Tous les utilisateurs interlocataires ou utilisateurs invités sont exclus de la campagne de simulation.
Q : Comment fonctionne la livraison prenant en charge les régions ?
R : La remise prenant en charge la région utilise l’attribut de fuseau horaire de la boîte aux lettres de l’utilisateur ciblé pour déterminer quand remettre le message. Il peut y avoir une différence de temps de ± une heure dans la remise de l’e-mail en fonction du fuseau horaire de l’utilisateur. Par exemple, envisagez le scénario suivant :
- À 7h00 dans le fuseau horaire Du Pacifique (UTC-8), un administrateur crée et planifie une campagne pour commencer à 9h00 le même jour.
- UserA se trouve dans le fuseau horaire Est (UTC-5).
- UserB se trouve également dans le fuseau horaire Pacifique.
À 9h00 le même jour, le message de simulation est envoyé à UserB. Avec une remise prenant en charge la région, le message n’est pas envoyé à UserA le même jour, car 9:00 heure du Pacifique est 12:00 PM (heure de l’Est). Au lieu de cela, le message est envoyé à UserA à 9h00 (heure de l’Est) le jour suivant.
Par conséquent, lors de l’exécution initiale d’une campagne avec une distribution prenant en charge la région activée, il peut apparaître que le message de simulation a été envoyé uniquement aux utilisateurs d’un fuseau horaire spécifique. Mais, à mesure que le temps passe et que de plus en plus d’utilisateurs entrent dans l’étendue, les utilisateurs ciblés augmentent.
Si vous n’utilisez pas la livraison prenant en charge la région, la campagne démarre en fonction du fuseau horaire de l’utilisateur qui la configure.
Q : Microsoft collecte-t-il ou stocke-t-il des informations que les utilisateurs entrent dans la page de connexion Credential Harvest, utilisée dans la technique de simulation Credential Harvest ?
R : Non. Toutes les informations entrées dans la page de connexion de collecte des informations d’identification sont ignorées en mode silencieux. Seul le « clic » est enregistré pour capturer l’événement de compromission. Microsoft ne collecte, n’enregistre ni ne stocke les détails que les utilisateurs entrent à cette étape.
Q : Combien de temps les informations de simulation sont-elles conservées ? Puis-je supprimer des données de simulation ?
R : Consultez le tableau suivant :
Type de données | Rétention |
---|---|
Métadonnées de simulation | 18 mois, sauf si la simulation est supprimée plus tôt par un administrateur. |
Automatisation de la simulation | 18 mois, sauf si l’automatisation de la simulation est supprimée plus tôt par un administrateur. |
Automatisation de la charge utile | 18 mois, sauf si l’automatisation de la charge utile est supprimée plus tôt par un administrateur. |
Activité de l’utilisateur dans les métadonnées de simulation | 18 mois, sauf si la simulation est supprimée plus tôt par un administrateur. |
Charges utiles globales | Conservé, sauf s’il est supprimé par Microsoft. |
Charges utiles de locataire | 18 mois, sauf si la charge utile archivée est supprimée plus tôt par un administrateur. |
Activité de l’utilisateur dans les métadonnées d’entraînement | 18 mois, sauf si la simulation est supprimée plus tôt par un administrateur. |
MDO charges utiles recommandées | 6 mois. |
Notifications globales aux utilisateurs finaux | Conservé, sauf s’il est supprimé par Microsoft. |
Notifications de l’utilisateur final du locataire | 18 mois, sauf si la notification est supprimée plus tôt par un administrateur. |
Pages de connexion globales | Conservé, sauf s’il est supprimé par Microsoft. |
Pages de connexion du locataire | 18 mois, sauf si la page de connexion est supprimée plus tôt par un administrateur. |
Pages d’accueil globales | Conservé, sauf suppression par Microsoft |
Pages d’accueil du locataire | 18 mois, sauf si la page d’accueil est supprimée plus tôt par un administrateur. |
Si l’intégralité du locataire est supprimée, les données d’apprentissage de simulation d’attaque sont supprimées après 90 jours.
Pour plus d’informations, consultez Informations sur la conservation des données pour Microsoft Defender pour Office 365.
Q : Puis-je créer, afficher et gérer des simulations à l’aide d’une API ?
R : Oui. Les scénarios de lecture et d’écriture sont pris en charge à l’aide de microsoft API Graph :
-
AttackSimulation.Read.All
:- Lire les métadonnées de simulation
- Lire l’activité utilisateur
- Lire les données d’apprentissage
- Lire les récidivistes
-
AttackSimulation.ReadWrite.All
: exécutez des simulations à l’aide des charges utiles, notifications et pages de connexion spécifiées.
Pour plus d’informations, consultez Vue d’ensemble de l’API Répertorier les simulations et rapportspour la formation à la simulation d’attaque dans le cadre de Microsoft Defender pour Office 365.
Q : Puis-je supprimer des charges utiles personnalisées ?
R : Oui. Tout d’abord, vous archivez la charge utile, puis vous supprimez la charge utile archivée. Pour obtenir des instructions, consultez Archiver les charges utiles.
Q : Puis-je modifier les charges utiles intégrées ?
R : Pas directement. Vous pouvez copier la charge utile intégrée, puis modifier la copie. Pour obtenir des instructions, consultez Copier des charges utiles.
Q : J’essaie d’exécuter une simulation de code QR, mais l’analyse du code QR me montre « ping réussi » au lieu de la page d’accueil ?
R : Lorsque vous insérez un code QR dans l’éditeur de charge utile, il correspond à l’URL de hameçonnage de base que vous avez sélectionnée dans la section > Lien de hameçonnageSélectionner une URL. Le code QR est inséré dans l’e-mail sous forme d’image. Si vous passez de l’onglet Texte à l’onglet Code , vous voyez l’image insérée au format Base64. Le début de l’image contient <div id="QRcode"...>
. Veillez à vérifier que la charge utile terminée contient <div id="QRcode"...>
avant de l’utiliser dans une simulation.
Lors de la création de la simulation, si vous analysez le code QR ou que vous utilisez Envoyer un test pour examiner la charge utile, le code QR pointe vers l’URL de hameçonnage de base que vous avez sélectionnée.
Lorsque la charge utile est utilisée dans une simulation, le service remplace le code QR par un code QR généré dynamiquement pour suivre les métriques de clic et de compromission. La taille, la position et la forme du code QR correspondent aux options de configuration que vous avez configurées dans la charge utile. L’analyse du code QR pendant une simulation réelle vous permet d’accéder à la page d’accueil configurée.
Q : J’essaie de créer une charge utile au format HTML, mais l’éditeur de charge utile semble supprimer certains contenus de ma conception ?
R : Actuellement, les balises HTML suivantes ne sont pas prises en charge dans l’éditeur de charge utile : applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
.