Del via

Opplæring med simulert angrep og vanlige spørsmål om distribusjon

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Opplæring med simulert angrep gjør det mulig for Microsoft 365 E5 eller Microsoft Defender for Office 365 Plan 2-organisasjoner å måle og administrere sosial ingeniørrisiko ved å tillate opprettelse og administrasjon av phishing-simuleringer som drives av virkelige, harmløse phishing Payloads. Hyper-målrettet opplæring, levert i samarbeid med Terranova sikkerhet, bidrar til å forbedre kunnskap og endre ansattes atferd.

Hvis du vil ha mer informasjon om hvordan du kommer i gang med Opplæring med simulert angrep, kan du se Komme i gang med å bruke Opplæring med simulert angrep.

Selv om simuleringsskapingen og planleggingsopplevelsen er utformet for å være frittflytende og friksjonsfri, krever simuleringer i foretaksskala planlegging. Denne artikkelen bidrar til å løse spesifikke utfordringer som vi ser når kundene våre kjører simuleringer i sine egne miljøer.

Problemer med sluttbrukeropplevelser

Nettadresser for phishing-simulering blokkert av Google Safe Browsing

En omdømmetjeneste for nettadresser kan identifisere én eller flere url-adresser som brukes av Opplæring med simulert angrep som usikre. Google Safe Browsing i Google Chrome blokkerer noen av de simulerte phishing-nettadressene med et villedende nettsted i forkant av meldingen. Selv om vi jobber med mange leverandører av nettadresser til alltid å tillate våre simuleringsnettadresser, har vi ikke alltid full dekning.

Det villedende nettstedet i forkant advarsel i Google Chrome

Dette problemet påvirker ikke Microsoft Edge.

Som en del av planleggingsfasen må du kontrollere tilgjengeligheten til nettadressen i nettlesere som støttes, før du bruker nettadressen i en phishing-kampanje. Hvis nettadressene blokkeres av Google Safe Browsing, følger du denne veiledningen fra Google for å gi tilgang til nettadressene.

Se Komme i gang ved hjelp av Opplæring med simulert angrep for listen over url-adresser som for øyeblikket brukes av Opplæring med simulert angrep.

Nettadresser for phishing-simulering og administrator blokkert av nettverksproxyløsninger og filterdrivere

Både nettadresser for phishing-simulering og nettadresser for administratorer kan bli blokkert eller fjernet av dine mellomliggende sikkerhetsenheter eller filtre. Eksempel:

  • Brannmurer
  • Løsninger for brannmur for webprogram (WAF)
  • Tredjeparts filterdrivere (for eksempel filtre for kjernemodus)

Selv om vi har sett få kunder bli blokkert på dette laget, skjer det. Hvis det oppstår problemer, kan du vurdere å konfigurere følgende nettadresser til å omgå skanning av sikkerhetsenhetene eller filtrene etter behov:

Simuleringsmeldinger som ikke leveres til alle målrettede brukere

Det er mulig at antall brukere som faktisk mottar simulerings-e-postmeldingene, er mindre enn antall brukere som ble målrettet av simuleringen. Følgende typer brukere utelates som en del av målvalidering:

  • Ugyldige mottaker-e-postadresser.
  • Gjestebrukere.
  • Brukere som ikke lenger er aktive i Microsoft Entra ID.

Hvis du bruker distribusjonsgrupper eller e-postaktiverte sikkerhetsgrupper til å målrette mot brukere, kan du bruke cmdleten Get-DistributionGroupMember i Exchange Online PowerShell til å vise og validere distribusjonsgruppemedlemmer.

Opplæringer uventet tilordnet eller ikke tilordnet til brukere

Opplæringsterskelen i opplæringskampanjer hindrer brukere i å få tilordnet de samme opplæringene i løpet av et bestemt intervall (90 dager som standard). Hvis du vil ha mer informasjon, kan du se Angi terskel for opplæring.

Hvis du opprettet en simulering eller en simuleringsautomatisering med opplæringsoppgaveverdien Tilordne opplæring for meg (anbefales), tilordner vi opplæring basert på en brukers tidligere simulerings- og opplæringsresultater. Hvis du vil tilordne opplæring basert på bestemte kriterier, velger du Velg opplæringskurs og moduler selv.

Hva skjer når en bruker svarer på eller videresender en simuleringsmelding?

Hvis en bruker svarer på eller videresender en simuleringsmelding til en annen postboks, behandles meldingen som en vanlig e-postmelding (inkludert detonering av klarerte koblinger eller klarerte vedlegg). Simuleringsrapporten viser om simuleringsmeldingen ble svart på eller videresendt. Hver nettadresse i e-posten for simulering er knyttet til en enkeltbruker, slik at klarerte koblinger detonasjoner identifiseres som klikk av brukeren.

Hvis du bruker en dedikert postboks for sikkerhetsoperasjoner (SecOps), må du passe på å identifisere den som en SecOps i den avanserte leveringspolicyen , slik at meldinger leveres ufiltrert.

Hvordan kan jeg forskyve leveringen av simuleringsmeldinger?

Uansett er det viktig å bruke ulike nyttelaster for å unngå diskusjon og identifikasjon blant brukerne.

Hvorfor blokkeres bilder i simuleringsmeldinger av Outlook?

Outlook er som standard konfigurert til å blokkere automatiske nedlastinger av bilder i meldinger fra Internett. Selv om du kan konfigurere Outlook til å laste ned bilder automatisk, anbefaler vi det ikke på grunn av sikkerhetsimplikasjonene (potensiell automatisk nedlasting av skadelig kode eller nettfeil, også kjent som websignaler eller sporingspiksler).

Disse hendelsene kan oppstå når flere sikkerhetsenheter eller programmer inspiserer simuleringsmeldinger. For eksempel (men ikke begrenset til):

  • Programmer eller programtillegg i Outlook som inspiserer eller avskjærer meldingen.
  • Sikkerhetsprogrammer for e-post.
  • Endepunktsikkerhet eller antivirusprogramvare.
  • Strategibøker for sikkerhet, automatisering og respons (SOAR) som automatisk triagerer eller automatisk svarer på rapporterte meldinger.

Disse typene programmer kan se på nettinnhold for å oppdage phishing, så du må definere utelukkelser for simuleringsmeldinger i disse programmene.

EmailLinkClicked_IP og EmailLinkClicked_TimeStamp data kan gi mer informasjon om hendelsen. Hvis det for eksempel oppstod et klikk noen sekunder etter levering, og IP-adressen ikke tilhører Microsoft, firmaet ditt eller brukeren, er det sannsynlig at et tredjeparts filtreringssystem eller en annen tjeneste fanget opp meldingen.

For alle filtreringssystemer eller -tjenester som ikke er Fra Microsoft, må du tillate eller unnta følgende elementer:

  • Alle Opplæring med simulert angrep URL-adresser og tilsvarende domener. For øyeblikket sender vi ikke simuleringsmeldinger fra en statisk liste over IP-adresser.
  • Alle andre domener du bruker i egendefinerte nyttelaster.

Kan jeg legge til eksterne merker eller sikkerhetstips i simuleringsmeldinger?

Egendefinerte nyttelaster har mulighet til å legge til den eksterne koden i meldinger. Hvis du vil ha mer informasjon, kan du se Trinn 5 i Opprett nyttelaster.

Det finnes ingen innebygde alternativer for å legge til sikkerhetstips i nyttelaster, men du kan bruke følgende metoder på siden Konfigurer nyttelast i konfigurasjonsveiviseren for nyttelast::

  • Bruk en eksisterende e-postmelding som inneholder sikkerhetstipset som en mal. Lagre meldingen som HTML, og kopier informasjonen.

  • Bruk følgende eksempelkode for sikkerhetstipset for første kontakt:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

Kan jeg tilordne opplæringsmoduler uten å sette brukere gjennom en simulering?

Ja. Hvis du vil ha mer informasjon, kan du se Opplæringskampanjer i Opplæring med simulert angrep.

Hvordan finne ut om simuleringsmeldinger som ikke ble levert?

Brukere-fanen for simuleringen kan filtreres etter levering av simuleringsmeldinger: Klarte ikke å levere.

Hvis du eier avsenderdomenet, returneres den ikke-leverte simuleringsrapporten i en rapport om manglende levering (også kjent som en NDR- eller returmelding). Hvis du vil ha mer informasjon om kodene i NDR-en, kan du se rapporter om manglende levering av e-post og SMTP-feil i Exchange Online.

Problemer med rapportering av Opplæring med simulert angrep

Tips

Simuleringsdataregistrering starter noen minutter etter at simuleringen er lansert, og etter at brukerne begynner å samhandle med simuleringsmeldingene. Det er ikke noe fast starttidspunkt. Hendelser er fortsatt fanget etter simuleringen slutter.

Forskjeller i brukeraktivitetsdata fra Opplæring med simulert angrep rapporter og andre rapporter

For å rapportere om brukeraktivitet relatert til simuleringsmeldinger, anbefaler vi at du bruker de innebygde simuleringsrapportene. Rapporter fra andre kilder (for eksempel Avansert jakt) er kanskje ikke nøyaktige.

Simulerings-nettadresser pakkes ikke inn av Safe Links og regnes som uinnpakkede koblinger. Ikke alle klikk på ubrytte koblinger går gjennom klarerte koblinger, så brukeraktivitet relatert til simuleringsmeldinger kan ikke registreres i UrlClickEvents-loggene.

Opplæring med simulert angrep rapporter inneholder ingen aktivitetsdetaljer

Opplæring med simulert angrep leveres med omfattende, handlingsrettet innsikt som holder deg informert om fremdriften i trusselberedskapen til de ansatte. Hvis Opplæring med simulert angrep rapporter ikke fylles ut med data, må du kontrollere at overvåkingslogging er aktivert i organisasjonen (den er aktivert som standard).

Overvåkingslogging kreves av Opplæring med simulert angrep slik at hendelser kan registreres, registreres og leses opp. Deaktivering av overvåkingslogging har følgende konsekvenser for Opplæring med simulert angrep:

  • Rapporteringsdata er ikke tilgjengelig på tvers av alle rapporter. Rapportene vises tomme.
  • Opplæringsoppgaver blokkeres fordi data ikke er tilgjengelige.

Hvis du vil kontrollere at overvåkingslogging er på, eller hvis du vil slå den på, kan du se Aktivere eller deaktivere overvåking.

Tips

Tomme aktivitetsdetaljer skyldes også at ingen E5-lisenser tilordnes til brukere. Kontroller at minst én E5-lisens er tilordnet til en aktiv bruker for å sikre at rapporteringshendelser registreres og registreres.

Brukerhandlinger og administratorhandlinger overvåkes. Se etter AuditLogRecordType-verdiene 85, 88 og 218 i API-en for administrasjonsaktivitet.

Noe overvåkingsinformasjon kan også være tilgjengelig i Tabellen CloudAppEvents i Microsoft Defender XDR Avansert jakt via Defender-portalen eller streaming-API-en.

Rapporteringsproblemer med lokale postbokser

Opplæring med simulert angrep støtter lokale postbokser, men med redusert rapporteringsfunksjonalitet:

  • Data om hvorvidt brukere leser, videresender eller sletter simulerings-e-posten, er ikke tilgjengelige for lokale postbokser.
  • Antall brukere som rapporterte simulerings-e-posten, er ikke tilgjengelig for lokale postbokser.

Tips

Bortsett fra simuleringsmeldingene som sendes via transportforløpet kontra direkte injeksjon i Microsoft 365, er opplærings-, automatiserings- og innholdsbehandlingsopplevelsene de samme for lokale postbokser.

Simuleringsrapporter oppdateres ikke umiddelbart

Detaljerte simuleringsrapporter oppdateres ikke umiddelbart etter at du har lansert en kampanje. Ikke bekymre deg; denne virkemåten er forventet.

Hver simuleringskampanje har en livssyklus. Når den først ble opprettet, er simuleringen i planlagt tilstand. Når simuleringen starter, går den over til pågående tilstand. Når den er fullført, går simuleringen over til fullført tilstand.

Mens en simulering er i den planlagte tilstanden, er simuleringsrapportene for det meste tomme. I løpet av dette stadiet løser simuleringsmotoren målbruker-e-postadressene, utvider distribusjonsgrupper, fjerner gjestebrukere fra listen osv.:

Simuleringsdetaljer som viser simuleringen i den planlagte tilstanden

Når simuleringen går inn i pågående fase, begynner informasjonen å lure inn i rapporteringen:

Simuleringsdetaljer som viser simuleringen i pågående tilstand

Det kan ta opptil 30 minutter før de enkelte simuleringsrapportene oppdateres etter overgangen til pågående tilstand. Rapportdataene fortsetter å bygge til simuleringen når fullført tilstand. Rapporteringsoppdateringer skjer med følgende intervaller:

  • Hvert 10. minutt de første 60 minuttene.
  • Hvert 15. minutt etter 60 minutter til to dager.
  • Hvert 30. minutt etter to dager til sju dager.
  • Hvert 60. minutt etter sju dager.

Kontrollprogrammer på Oversikt-siden gir et raskt øyeblikksbilde av organisasjonens simuleringsbaserte sikkerhetsstilling over tid. Fordi disse kontrollprogrammene gjenspeiler din generelle sikkerhetsstilling og reise over tid, oppdateres de etter at hver simuleringskampanje er fullført.

Obs!

Du kan bruke alternativet Eksporter på de ulike rapportsidene til å trekke ut data.

Meldinger som rapporteres som phishing av brukere, vises ikke i simuleringsrapporter

Simuleringsrapporter i angrepssimulatoropplæring gir detaljer om brukeraktivitet. Eksempel:

  • Brukere som klikket på koblingen i meldingen.
  • Brukere som gav opp legitimasjonen sin.
  • Brukere som rapporterte meldingen som phishing.

Hvis meldinger som brukere rapporterte som phishing ikke fanges opp i Opplæring med simulert angrep simuleringsrapporter, kan det være en Exchange-e-postflytregel (også kjent som en transportregel) som blokkerer leveringen av de rapporterte meldingene til Microsoft. Kontroller at regler for e-postflyt ikke blokkerer levering til følgende e-postadresser:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Brukere tilordnes opplæring etter at de rapporterer en simulert melding

Hvis brukere får tilordnet opplæring etter at de har rapportert en melding om phishing-simulering, kontrollerer du om organisasjonen bruker en postboks for rapportering til å motta rapporterte meldinger fra brukeren på https://security.microsoft.com/securitysettings/userSubmission. Rapporteringspostboksen må konfigureres for å hoppe over mange sikkerhetskontroller som beskrevet i forutsetningene for rapporteringspostboksen.

Hvis du ikke konfigurerer de nødvendige utelukkelsene for den egendefinerte postboksen for rapportering, kan meldingene detoneres av beskyttelse mot klarerte koblinger eller klarerte vedlegg, noe som forårsaker opplæringstilordninger.

Andre vanlige spørsmål

Svar: Flere alternativer er tilgjengelige for målbrukere:

  • Inkluder alle brukere (for øyeblikket tilgjengelig for organisasjoner med mindre enn 40 000 brukere).
  • Velg bestemte brukere.
  • Velg brukere fra en CSV-fil (én e-postadresse per linje).
  • Microsoft Entra gruppebasert målretting. Følgende gruppetyper støttes:
    • Microsoft 365 Groups (statisk og dynamisk)
    • Distribusjonsgrupper (bare statisk)
    • E-postaktiverte sikkerhetsgrupper (bare statisk)

Vi ser at kampanjer der de målrettede brukerne identifiseres av Microsoft Entra grupper er enklere å administrere.

Spørsmål: Hvor mange opplæringsmoduler finnes det?

Det finnes for øyeblikket 94 innebygde opplæringer på siden For opplæringsmoduler .

Spørsmål: Hvordan brukes språk for opplevelser som opplæringsmoduler og varsler?

  • Opplæringsmoduler: Innstillinger for nasjonal innstilling i nettleseren brukes. Men når opplæringen er tilordnet til en bruker, beholdes språkvalget, og fremtidige opplæringer tilordnes på dette språket.
  • Sluttbrukervarsler: Innstillingene for nasjonal innstilling/språk for postboks brukes.
  • Simuleringslekelaster: Språket som velges av administratoren under opprettingen, brukes.
  • Målsider: Språkinnstillingene for Microsoft 365-kontoen brukes. Brukeren kan også endre språk fra rullegardinlisten som finnes på målsiden.

Spørsmål: Er det noen grenser for å målrette mot brukere mens du importerer fra en CSV eller legger til brukere?

Svar: Grensen for å importere mottakere fra en CSV-fil eller legge til individuelle mottakere i en simulering er 40 000.

En mottaker kan være en individuell bruker eller en gruppe. En gruppe kan inneholde hundrevis eller tusenvis av mottakere. Den øvre grensen for antall brukere er 400 000, men vi anbefaler en grense på 200 000 brukere for hver simulering for best ytelse.

Det kan være tungvint å behandle en stor CSV-fil eller legge til mange enkeltmottakere. Bruk av Microsoft Entra grupper forenkler den generelle styringen av simuleringen.

Tips

Delte postbokser støttes for øyeblikket ikke i Opplæring med simulert angrep. Simuleringer bør målrette mot brukerpostbokser eller grupper som inneholder brukerpostbokser.

Grupper utvides og listen over brukere genereres på tidspunktet for å redde simulerings-, simuleringsautomatiserings- eller opplæringskampanjen.

Spørsmål: Er grensene for antall simuleringer som kan distribueres i løpet av et bestemt tidsintervall?

En. Nei, selv om du kan oppleve treghet hvis du lanserer mange parallelle simuleringer. Meldingsfrekvenser (inkludert simuleringsmeldingsfrekvenser) begrenses av tjenestens begrensninger for meldingsfrekvensen.

Spørsmål: Tilbyr Microsoft nyttelaster på andre språk?

Svar: Foreløpig er det 40 + lokaliserte nyttelaster tilgjengelig på 29 + språk: engelsk, spansk, tysk, japansk, fransk, portugisisk, nederlandsk, italiensk, svensk, kinesisk (forenklet), norsk Bokmål, polsk, russisk, finsk, koreansk, tyrkisk, ungarsk, hebraisk, thai, arabisk, vietnamesisk, slovakisk, gresk, indonesisk, rumensk, slovensk, kroatisk, katalansk og annet. Vi har fastslått at direkte eller maskinoversettelse av eksisterende nyttelaster til andre språk fører til unøyaktigheter og redusert relevans.

Når det er sagt, kan du lage din egen nyttelast på språket du ønsker ved hjelp av den egendefinerte nyttelastredigeringsopplevelsen. Vi anbefaler også på det sterkeste at du høster eksisterende nyttelaster som ble brukt til å målrette mot brukere i en bestemt geografi. La med andre ord angriperne lokalisere innholdet for deg.

Spørsmål: Hvor mange opplæringsvideoer er tilgjengelige?

Svar: Det finnes for øyeblikket mer enn 85 opplæringsmoduler i innholdsbiblioteket.

Spørsmål: Hvordan kan jeg bytte til andre språk for administrasjonsportalen og opplæringsopplevelsen?

Svar: I Microsoft 365 eller Office 365 er språkkonfigurasjonen spesifikk og sentralisert for hver brukerkonto. Hvis du vil ha instruksjoner om hvordan du endrer språkinnstillingen, kan du se Endre skjermspråk og tidssone i Microsoft 365 for Business.

Konfigurasjonsendringen kan ta opptil 30 minutter å synkronisere på tvers av alle tjenester.

Spørsmål: Kan jeg utløse en testsimulering for å forstå hvordan det ser ut før jeg lanserer en fullverdig kampanje?

Svar: Ja du kan! Velg Send en test på den siste siden for gjennomgangssimulering i den nye simuleringsveiviseren. Dette alternativet sender en phishing-simuleringsmelding til den påloggede brukeren. Når du har validert phishing-meldingen i innboksen, kan du sende inn simuleringen.

Send en test-knappen på gjennomgangssimuleringssiden

Tips

Du kan også bruke Send en test fra Payloads-siden . Men hvis du noen gang bruker den valgte nyttelasten i en simulering, vises testmeldingen i de aggregerte rapportene. Du kan eksportere resultatene eller bruke Microsoft Graph-API-en til å filtrere resultatene.

Spørsmål: Kan jeg målrette mot brukere som tilhører en annen leier som en del av den samme simuleringskampanjen?

Sv.: Nei. For øyeblikket støttes ikke simuleringer på tvers av tenanter. Kontroller at alle de målrettede brukerne er i samme leier. Alle brukere på tvers av leiere eller gjestebrukere utelukkes fra simuleringskampanjen.

Spørsmål: Hvordan fungerer områdeavhengig levering?

Svar: Områdeavhengig levering bruker tidssoneattributtet til den målrettede brukerens postboks til å bestemme når meldingen skal leveres. Det kan være en tidsforskjell på ± én time i e-postleveringen basert på brukerens tidssone. Vurder for eksempel følgende scenario:

  • Klokken 07:00 i tidssonen Stillehavskysten (UTC-8) oppretter og planlegger en administrator at en kampanje skal starte kl. 09:00 samme dag.
  • UserA er i den østlige tidssonen (UTC-5).
  • UserB er også i tidssonen Stillehavskysten.

Klokken 09.00 samme dag sendes simuleringsmeldingen til UserB. Med områdeavhengig levering sendes ikke meldingen til UserA samme dag, fordi 09:00 Stillehavskysten er 12:00 Østkysten. I stedet sendes meldingen til UserA klokken 09:00 østlig tid dagen etter.

Så på den første kjøringen av en kampanje med regionbevisst levering aktivert, kan det se ut til at simuleringsmeldingen bare ble sendt til brukere i en bestemt tidssone. Men etter hvert som tiden går og flere brukere kommer inn i omfanget, øker de målrettede brukerne.

Hvis du ikke bruker områdeavhengig levering, starter kampanjen basert på tidssonen til brukeren som konfigurerer den.

Spørsmål: Samler Microsoft inn eller lagrer informasjon som brukere angir på påloggingssiden Credential Harvest, som brukes i simuleringsteknikken Credential Harvest?

Sv.: Nei. All informasjon som angis på påloggingssiden for innhøsting av legitimasjon, forkastes stille. Bare klikk registreres for å registrere kompromisshendelsen. Microsoft samler ikke inn, logger eller lagrer detaljer som brukerne angir i dette trinnet.

Spørsmål: Hvor lenge beholdes simuleringsinformasjonen? Kan jeg slette simuleringsdata?

Svar: Se følgende tabell:

Datatype Oppbevaring
Simuleringsmetadata 18 måneder med mindre simuleringen slettes tidligere av en administrator.
Automatisering av simulering 18 måneder med mindre simuleringsautomatisering slettes tidligere av en administrator.
Automatisering av nyttelast 18 måneder med mindre nyttelastautomatisering slettes tidligere av en administrator.
Brukeraktivitet i simuleringsmetadata 18 måneder med mindre simuleringen slettes tidligere av en administrator.
Globale nyttelaster Vedvarer med mindre microsoft sletter det.
Nyttelaster for leier 18 måneder med mindre den arkiverte nyttelasten slettes tidligere av en administrator.
Brukeraktivitet i opplæringsmetadata 18 måneder med mindre simuleringen slettes tidligere av en administrator.
MDO anbefalte nyttelaster 6 måneder.
Globale sluttbrukervarsler Vedvarer med mindre microsoft sletter det.
Varsler for sluttbruker for leier 18 måneder med mindre varselet slettes tidligere av en administrator.
Globale påloggingssider Vedvarer med mindre microsoft sletter det.
Påloggingssider for leier 18 måneder med mindre påloggingssiden slettes tidligere av en administrator.
Globale målsider Vedvarer med mindre microsoft sletter
Målsider for leier 18 måneder med mindre målsiden slettes tidligere av en administrator.

Hvis hele leieren slettes, slettes opplæringsdata for angrepssimulering etter 90 dager.

Hvis du vil ha mer informasjon, kan du se Informasjon om dataoppbevaring for Microsoft Defender for Office 365.

Spørsmål: Kan jeg opprette, vise og administrere simuleringer ved hjelp av en API?

Sv.: Ja. Lese- og skrivescenarioer støttes ved hjelp av Microsoft Graph-API-en:

  • AttackSimulation.Read.All:
    • Les simuleringsmetadata
    • Les brukeraktivitet
    • Les opplæringsdata
    • Les gjentatte lovbrytere
  • AttackSimulation.ReadWrite.All: Kjør simuleringer ved hjelp av de angitte nyttelastene, varslene og påloggingssidene.

Hvis du vil ha mer informasjon, kan du se Listesimuleringer og Rapporter API-oversikt for angrepssimuleringstrening som en del av Microsoft Defender for Office 365.

Spørsmål: Kan jeg slette egendefinerte nyttelaster?

Sv.: Ja. Først arkiverer du nyttelasten, og deretter sletter du den arkiverte nyttelasten. Hvis du vil ha instruksjoner, kan du se Arkivnyttelaster.

Spørsmål: Kan jeg endre de innebygde nyttelastene?

Sv.: Ikke direkte. Du kan kopiere den innebygde nyttelasten og deretter endre kopien. Hvis du vil ha instruksjoner, kan du se Kopier nyttelaster.

Spørsmål: Jeg prøver å kjøre en QR-kodesimulering, men skanning av QR-koden viser meg "ping vellykket" i stedet for landingssiden?

Sv.: Når du setter inn en QR-kode i redigeringsprogrammet for nyttelast, tilordnes den den grunnleggende nettadressen for phishing som du valgte i Phishing-koblingsdelen>Velg URL-adresse. QR-koden settes inn i e-postmeldingen som et bilde. Hvis du bytter fra Tekst-fanen til Kode-fanen , ser du bildet som er satt inn i Base64-format. Begynnelsen av bildet inneholder <div id="QRcode"...>. Sørg for å bekrefte at den ferdige nyttelasten inneholder <div id="QRcode"...> før du bruker den i en simulering.

Hvis du skanner QR-koden under oppretting av simulering, eller du bruker Send en test til å se gjennom nyttelasten, peker QR-koden til den grunnleggende nettadressen for phishing som du valgte.

Når nyttelasten brukes i en simulering, erstatter tjenesten QR-koden med en dynamisk generert QR-kode for å spore klikk- og kompromissmåledata. Størrelsen, plasseringen og formen på QR-koden samsvarer med konfigurasjonsalternativene du konfigurerte i nyttelasten. Skanning av QR-koden under en faktisk simulering tar deg til den konfigurerte landingssiden.

Spørsmål: Jeg prøver å opprette en nyttelast i HTML, men redigeringsprogrammet for nyttelast ser ut til å fjerne bestemt innhold fra utformingen min?

Svar: For øyeblikket støttes ikke følgende HTML-koder i redigeringsprogrammet for nyttelast: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.