Aanvalssimulatie traningimplementatieoverwegingen en veelgestelde vragen
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
training voor aanvalssimulatie stelt Microsoft 365 E5- of Microsoft Defender voor Office 365 Plan 2-organisaties in staat om social engineering-risico's te meten en te beheren door het maken en beheren van phishingsimulaties mogelijk te maken die worden aangedreven door echte, onschuldige phishing Payloads. Hypergerichte training, geleverd in samenwerking met Terranova-beveiliging, helpt kennis te verbeteren en het gedrag van werknemers te veranderen.
Zie Aan de slag met training voor aanvalssimulatie voor meer informatie over hoe u aan de slag gaat met training voor aanvalssimulatie.
Hoewel de ervaring voor het maken en plannen van simulaties is ontworpen om vrij te stromen en probleemloos te zijn, vereisen simulaties op ondernemingsniveau planning. Dit artikel helpt bij het aanpakken van specifieke uitdagingen die we zien wanneer onze klanten simulaties uitvoeren in hun eigen omgevingen.
Problemen met ervaringen van eindgebruikers
Url's voor phishingsimulatie geblokkeerd door Google Safe Browsing
Een URL-reputatieservice kan een of meer url's die door training voor aanvalssimulatie worden gebruikt, als onveilig identificeren. Google Safe Browsing in Google Chrome blokkeert enkele van de gesimuleerde phishing-URL's met een misleidende site vooruit bericht. Hoewel we met veel leveranciers van URL-reputaties werken om onze simulatie-URL's altijd toe te staan, hebben we niet altijd volledige dekking.
Dit probleem is niet van invloed op Microsoft Edge.
Controleer tijdens de planningsfase de beschikbaarheid van de URL in uw ondersteunde webbrowsers voordat u de URL gebruikt in een phishingcampagne. Als de URL's worden geblokkeerd door Google Safe Browsing, volgt u deze richtlijnen van Google om toegang tot de URL's toe te staan.
Raadpleeg Aan de slag met training voor aanvalssimulatie voor de lijst met URL's die momenteel door training voor aanvalssimulatie worden gebruikt.
Phishingsimulatie en beheerders-URL's geblokkeerd door netwerkproxy-oplossingen en filterstuurprogramma's
Zowel phishingsimulatie-URL's als beheerders-URL's kunnen worden geblokkeerd of verwijderd door uw tussenliggende beveiligingsapparaten of filters. Bijvoorbeeld:
- Firewalls
- waf-oplossingen (Web Application Firewall)
- Filterstuurprogramma's van derden (bijvoorbeeld kernelmodusfilters)
Hoewel we hebben gezien dat er weinig klanten in deze laag worden geblokkeerd, gebeurt dit wel. Als u problemen ondervindt, kunt u de volgende URL's configureren om het scannen door uw beveiligingsapparaten of filters zo nodig te omzeilen:
- De gesimuleerde phishing-URL's zoals beschreven in Aan de slag met training voor aanvalssimulatie.
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
Simulatieberichten die niet aan alle doelgebruikers zijn bezorgd
Het is mogelijk dat het aantal gebruikers dat de simulatie-e-mailberichten daadwerkelijk ontvangt kleiner is dan het aantal gebruikers waarop de simulatie is gericht. De volgende typen gebruikers worden uitgesloten als onderdeel van doelvalidatie:
- Ongeldige e-mailadressen van geadresseerde.
- Gastgebruikers.
- Gebruikers die niet meer actief zijn in Microsoft Entra ID.
Als u distributiegroepen of beveiligingsgroepen met e-mail gebruikt om gebruikers te targeten, kunt u de cmdlet Get-DistributionGroupMember in Exchange Online PowerShell gebruiken om leden van de distributiegroep weer te geven en te valideren.
Trainingen onverwacht toegewezen of niet toegewezen aan gebruikers
De trainingsdrempel in trainingscampagnes voorkomt dat gebruikers dezelfde trainingen aan hen toegewezen krijgen tijdens een bepaald interval (standaard 90 dagen). Zie De trainingsdrempel instellen voor meer informatie.
Als u een simulatie of een simulatieautomatisering hebt gemaakt met de waarde voor trainingstoewijzing Training voor mij toewijzen (aanbevolen),wijzen we training toe op basis van de vorige simulatie en trainingsresultaten van een gebruiker. Als u training wilt toewijzen op basis van specifieke criteria, selecteert u Zelf trainingscursussen en modules selecteren.
Wat gebeurt er wanneer een gebruiker een simulatiebericht beantwoordt of doorstuurt?
Als een gebruiker een simulatiebericht beantwoordt of doorstuurt naar een ander postvak, wordt het bericht behandeld als een normaal e-mailbericht (inclusief ontploging door veilige koppelingen of veilige bijlagen). In het simulatierapport ziet u of het simulatiebericht is beantwoord of doorgestuurd. Elke URL in de simulatie-e-mail is gekoppeld aan een afzonderlijke gebruiker, zodat veilige koppelingen worden geïdentificeerd als klikken door de gebruiker.
Als u een Toegewezen SecOps-postvak (Security Operations) gebruikt, moet u dit als een SecOps identificeren in het geavanceerde bezorgingsbeleid , zodat berichten ongefilterd worden bezorgd.
Hoe kan ik de bezorging van simulatieberichten s stagneren?
- Simulaties bieden regiobewuste levering.
- Simulatieautomatiseringen hebben een pagina met simulatieschema's waar u de levering willekeurig kunt maken en andere leveringsgegevens kunt configureren.
Hoe dan ook, het is belangrijk om verschillende payloads te gebruiken om discussie en identificatie tussen gebruikers te voorkomen.
Waarom worden afbeeldingen in simulatieberichten geblokkeerd door Outlook?
Outlook is standaard geconfigureerd om automatische downloads van afbeeldingen in berichten van internet te blokkeren. Hoewel u Outlook kunt configureren om automatisch afbeeldingen te downloaden, raden we dit niet aan vanwege de gevolgen voor de beveiliging (mogelijk automatisch downloaden van schadelijke code of webfouten, ook wel webbakens of tracking pixels genoemd).
Ik zie klikken of inbreuk-gebeurtenissen van gebruikers die erop staan dat ze niet op de koppeling in het simulatiebericht hebben geklikt OF ik zie klikken binnen een paar seconden na levering voor veel gebruikers (fout-positieven). Wat gebeurt er?
Deze gebeurtenissen kunnen optreden wanneer extra beveiligingsapparaten of toepassingen simulatieberichten inspecteren. Bijvoorbeeld (maar niet beperkt tot):
- Toepassingen of invoegtoepassingen in Outlook die het bericht inspecteren of onderscheppen.
- Email beveiligingstoepassingen.
- Eindpuntbeveiliging of antivirussoftware.
- SOAR-playbooks (Security Orchestration, Automation and Response) die automatisch berichten sorteren of erop reageren.
Deze typen toepassingen kunnen webinhoud bekijken om phishing te detecteren. Daarom moet u uitsluitingen definiëren voor simulatieberichten in deze toepassingen.
EmailLinkClicked_IP en EmailLinkClicked_TimeStamp gegevens geven mogelijk meer informatie over de gebeurtenis. Als er bijvoorbeeld een paar seconden na de levering een klik is opgetreden en het IP-adres niet van Microsoft, uw bedrijf of de gebruiker is, is het bericht waarschijnlijk onderschept door een filtersysteem van derden of een andere service.
Voor niet-Microsoft-filtersystemen of -services moet u de volgende items toestaan of uitsluiten:
- Alle training voor aanvalssimulatie URL's en de bijbehorende domeinen. Momenteel verzenden we geen simulatieberichten vanuit een statische lijst met IP-adressen.
- Alle andere domeinen die u gebruikt in aangepaste nettoladingen.
Kan ik de externe tag of veiligheidstips toevoegen aan simulatieberichten?
Aangepaste nettoladingen hebben de optie om de externe tag toe te voegen aan berichten. Zie Stap 5 in Nettoladingen maken voor meer informatie.
Er zijn geen ingebouwde opties om veiligheidstips toe te voegen aan nettoladingen, maar u kunt de volgende methoden gebruiken op de pagina Nettolading configureren van de wizard voor het instellen van nettolading:
Gebruik een bestaand e-mailbericht met de veiligheidstip als sjabloon. Sla het bericht op als HTML en kopieer de gegevens.
Gebruik de volgende voorbeeldcode voor de veiligheidstip eerste contactpersoon:
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
Kan ik trainingsmodules toewijzen zonder gebruikers door een simulatie te laten gaan?
Ja. Zie Trainingscampagnes in training voor aanvalssimulatie voor meer informatie.
Hoe kan ik informatie over simulatieberichten die niet zijn bezorgd?
Het tabblad Gebruikers voor de simulatie kan worden gefilterd op bezorging van simulatiebericht: Kan niet leveren.
Als u eigenaar bent van het afzenderdomein, wordt het niet-bezorgde simulatierapport geretourneerd in een rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd). Zie Email rapporten over niet-bezorging en SMTP-fouten in Exchange Online voor meer informatie over de codes in de NDR.
Problemen met training voor aanvalssimulatie rapportage
Tip
Het vastleggen van simulatiegegevens begint een paar minuten nadat de simulatie is gestart en nadat gebruikers met de simulatieberichten beginnen te werken. Er is geen vaste begintijd. Gebeurtenissen worden nog steeds vastgelegd nadat de simulatie is beëindigd.
Verschillen in gebruikersactiviteitsgegevens van training voor aanvalssimulatie-rapporten en andere rapporten
Voor het rapporteren van gebruikersactiviteit met betrekking tot simulatieberichten raden we u aan de ingebouwde simulatierapporten te gebruiken. Rapporten uit andere bronnen (bijvoorbeeld Geavanceerde opsporing) zijn mogelijk niet nauwkeurig.
Simulatie-URL's worden niet verpakt door veilige koppelingen en worden beschouwd als niet-ingepakte koppelingen. Niet alle klikken op niet-ingepakte koppelingen gaan via Veilige koppelingen, dus gebruikersactiviteit met betrekking tot simulatieberichten wordt mogelijk niet vastgelegd in de UrlClickEvents-logboeken.
training voor aanvalssimulatie-rapporten bevatten geen activiteitsgegevens
training voor aanvalssimulatie wordt geleverd met uitgebreide, bruikbare inzichten die u op de hoogte houden van de voortgang van de bedreigingsgereedheid van uw werknemers. Als training voor aanvalssimulatie rapporten niet worden gevuld met gegevens, controleert u of auditlogboekregistratie is ingeschakeld in uw organisatie (dit is standaard ingeschakeld).
Auditlogboekregistratie is vereist voor training voor aanvalssimulatie, zodat gebeurtenissen kunnen worden vastgelegd, vastgelegd en teruggelezen. Het uitschakelen van auditlogboekregistratie heeft de volgende gevolgen voor training voor aanvalssimulatie:
- Rapportagegegevens zijn niet beschikbaar in alle rapporten. De rapporten worden leeg weergegeven.
- Trainingstoewijzingen worden geblokkeerd omdat er geen gegevens beschikbaar zijn.
Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.
Tip
Lege activiteitsdetails worden ook veroorzaakt doordat er geen E5-licenties worden toegewezen aan gebruikers. Controleer of ten minste één E5-licentie is toegewezen aan een actieve gebruiker om ervoor te zorgen dat rapportagegebeurtenissen worden vastgelegd en vastgelegd.
Gebruikersacties en beheerdersacties worden gecontroleerd. Zoek in de Beheeractiviteit-API de waarden AuditLogRecordType 85, 88 en 218.
Sommige controlegegevens zijn mogelijk ook beschikbaar in de tabel CloudAppEvents in Microsoft Defender XDR Geavanceerde opsporing via de Defender-portal of de Streaming-API.
Problemen met on-premises postvakken melden
training voor aanvalssimulatie ondersteunt on-premises postvakken, maar met verminderde rapportagefunctionaliteit:
- Gegevens over het feit of gebruikers de simulatie-e-mail hebben gelezen, doorgestuurd of verwijderd, zijn niet beschikbaar voor on-premises postvakken.
- Het aantal gebruikers dat de simulatie-e-mail heeft gerapporteerd, is niet beschikbaar voor on-premises postvakken.
Tip
Afgezien van de simulatieberichten die worden verzonden via de transportpijplijn versus directe injectie in Microsoft 365, zijn de ervaringen voor training, automatisering en inhoudsbeheer hetzelfde voor on-premises postvakken.
Simulatierapporten worden niet onmiddellijk bijgewerkt
Gedetailleerde simulatierapporten worden niet direct bijgewerkt nadat u een campagne hebt gestart. Maak je niet druk; dit gedrag wordt verwacht.
Elke simulatiecampagne heeft een levenscyclus. Wanneer de simulatie voor het eerst wordt gemaakt, heeft deze de status Gepland . Wanneer de simulatie wordt gestart, wordt deze overgezet naar de status In uitvoering . Wanneer dit is voltooid, gaat de simulatie over naar de status Voltooid .
Hoewel een simulatie de status Gepland heeft, zijn de simulatierapporten meestal leeg. Tijdens deze fase wordt met de simulatie-engine de e-mailadressen van de doelgebruiker omgezet, distributiegroepen uitgebreid, gastgebruikers uit de lijst verwijderd, enzovoort:
Zodra de simulatie in de fase In uitvoering is , begint de informatie in de rapportage te druppelen:
Het kan tot 30 minuten duren voordat de afzonderlijke simulatierapporten zijn bijgewerkt na de overgang naar de status In uitvoering . De rapportgegevens blijven opbouwen totdat de simulatie de status Voltooid heeft bereikt. Rapportage-updates vinden plaats met de volgende intervallen:
- Elke 10 minuten voor de eerste 60 minuten.
- Elke 15 minuten na 60 minuten tot twee dagen.
- Elke 30 minuten na twee dagen tot zeven dagen.
- Elke 60 minuten na zeven dagen.
Widgets op de pagina Overzicht bieden een snelle momentopname van de op simulatie gebaseerde beveiligingspostuur van uw organisatie in de loop van de tijd. Omdat deze widgets uw algehele beveiligingspostuur en -reis in de loop van de tijd weerspiegelen, worden ze bijgewerkt nadat elke simulatiecampagne is voltooid.
Opmerking
U kunt de optie Exporteren op de verschillende rapportpagina's gebruiken om gegevens te extraheren.
Berichten die zijn gerapporteerd als phishing door gebruikers, worden niet weergegeven in simulatierapporten
Simulatierapporten in aanvalssimulatortraining bieden details over gebruikersactiviteit. Bijvoorbeeld:
- Gebruikers die op de koppeling in het bericht hebben geklikt.
- Gebruikers die hun referenties hebben opgegeven.
- Gebruikers die het bericht als phishing hebben gerapporteerd.
Als berichten die gebruikers als phishing hebben gerapporteerd, niet worden vastgelegd in training voor aanvalssimulatie simulatierapporten, is er mogelijk een Exchange-e-mailstroomregel (ook wel bekend als een transportregel) die de levering van de gerapporteerde berichten aan Microsoft blokkeert. Controleer of eventuele e-mailstroomregels de bezorging van de volgende e-mailadressen niet blokkeren:
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
Gebruikers krijgen training toegewezen nadat ze een gesimuleerd bericht hebben rapporteren
Als aan gebruikers training is toegewezen nadat ze een phishingsimulatiebericht hebben gerapporteerd, controleert u of uw organisatie een rapportagepostvak gebruikt om door de gebruiker gerapporteerde berichten te ontvangen op https://security.microsoft.com/securitysettings/userSubmission. Het rapportagepostvak moet worden geconfigureerd om veel beveiligingscontroles over te slaan, zoals beschreven in de vereisten voor het rapportagepostvak.
Als u de vereiste uitsluitingen voor het aangepaste rapportagepostvak niet configureert, worden de berichten mogelijk ontplofd door veilige koppelingen of beveiliging van veilige bijlagen, waardoor trainingstoewijzingen worden veroorzaakt.
Andere veelgestelde vragen
V: Wat is de aanbevolen methode om gebruikers te targeten voor simulatiecampagnes?
A: Er zijn verschillende opties beschikbaar voor doelgebruikers:
- Alle gebruikers opnemen (momenteel beschikbaar voor organisaties met minder dan 40.000 gebruikers).
- Kies specifieke gebruikers.
- Selecteer gebruikers uit een CSV-bestand (één e-mailadres per regel).
- Microsoft Entra op groep gebaseerde targeting. De volgende groepstypen worden ondersteund:
- Microsoft 365 Groepen (statisch en dynamisch)
- Distributiegroepen (alleen statisch)
- Beveiligingsgroepen met e-mail (alleen statisch)
We vinden dat campagnes waarbij de beoogde gebruikers worden geïdentificeerd door Microsoft Entra groepen gemakkelijker te beheren zijn.
V: Hoeveel trainingsmodules zijn er?
Op dit moment zijn er 94 ingebouwde trainingen op de pagina Trainingsmodules .
V: Hoe worden talen gebruikt voor ervaringen zoals trainingsmodules en meldingen?
- Trainingsmodules: De landinstellingen van de browser worden gebruikt. Maar zodra de training is toegewezen aan een gebruiker, blijft de taalselectie behouden en worden toekomstige trainingen in die taal toegewezen.
- Meldingen van eindgebruikers: de landinstellingen/taalinstellingen van het postvak worden gebruikt.
- Simulatieplayloads: De taal die door de beheerder is geselecteerd tijdens het maken wordt gebruikt.
- Landingspagina's: De taalinstellingen van het Microsoft 365-account worden gebruikt. De gebruiker kan ook talen wijzigen in de vervolgkeuzelijst die aanwezig is op de landingspagina.
V: Zijn er limieten voor het richten van gebruikers tijdens het importeren vanuit een CSV of het toevoegen van gebruikers?
A: De limiet voor het importeren van geadresseerden uit een CSV-bestand of het toevoegen van afzonderlijke geadresseerden aan een simulatie is 40.000.
Een geadresseerde kan een afzonderlijke gebruiker of een groep zijn. Een groep kan honderden of duizenden geadresseerden bevatten. De bovengrens voor het aantal gebruikers is 400.000, maar voor de beste prestaties wordt een limiet van 200.000 gebruikers aanbevolen.
Het beheren van een groot CSV-bestand of het toevoegen van veel afzonderlijke geadresseerden kan lastig zijn. Het gebruik van Microsoft Entra groepen vereenvoudigt het algehele beheer van de simulatie.
Tip
Gedeelde postvakken worden momenteel niet ondersteund in training voor aanvalssimulatie. Simulaties moeten gericht zijn op postvakken of groepen van gebruikers die postvakken van gebruikers bevatten.
Groepen worden uitgebreid en de lijst met gebruikers wordt gegenereerd op het moment dat de simulatie, simulatieautomatisering of trainingscampagne wordt opgeslagen.
V: Zijn de limieten voor het aantal simulaties dat kan worden geïmplementeerd tijdens een bepaald tijdsinterval?
A. Nee, hoewel u mogelijk traag bent als u veel parallelle simulaties start. Berichtsnelheden (inclusief simulatieberichtsnelheden) worden beperkt door de berichtsnelheidslimieten van de service.
V: Biedt Microsoft payloads in andere talen?
A: Momenteel zijn er meer dan 40 gelokaliseerde nettoladingen beschikbaar in meer dan 29 talen: Engels, Spaans, Duits, Japans, Frans, Portugees, Nederlands, Italiaans, Zweeds, Chinees (vereenvoudigd), Noors Bokmål, Pools, Russisch, Fins, Koreaans, Turks, Hongaars, Hebreeuws, Thai, Arabisch, Vietnamees, Slowaaks, Grieks, Indonesisch, Roemeens, Sloveens, Kroatisch, Catalaans en Overig. We hebben vastgesteld dat directe of automatische vertaling van bestaande nettoladingen naar andere talen leidt tot onnauwkeurigheden en verminderde relevantie.
Dat gezegd hebbende, kunt u uw eigen nettolading maken in de taal van uw keuze met behulp van de aangepaste ontwerpervaring voor payloads. We raden u ook ten zeerste aan om bestaande nettoladingen te verzamelen die zijn gebruikt om gebruikers in een specifieke geografie te targeten. Met andere woorden, laat de aanvallers de inhoud voor u lokaliseren.
V: Hoeveel trainingsvideo's zijn er beschikbaar?
A: Momenteel zijn er meer dan 85 trainingsmodules beschikbaar in de inhoudsbibliotheek.
V: Hoe kan ik overschakelen naar andere talen voor mijn beheerportal en trainingservaring?
A: In Microsoft 365 of Office 365 is de taalconfiguratie specifiek en gecentraliseerd voor elk gebruikersaccount. Zie Uw weergavetaal en tijdzone wijzigen in Microsoft 365 voor Bedrijven voor instructies over het wijzigen van uw taalinstelling.
Het kan tot 30 minuten duren voordat de configuratiewijziging in alle services is gesynchroniseerd.
V: Kan ik een testsimulatie activeren om te begrijpen hoe het eruitziet voordat ik een volledige campagne start?
A: Ja, dat kan! Selecteer op de laatste pagina Simulatie controleren in de nieuwe simulatiewizard de optie Een test verzenden. Met deze optie wordt een voorbeeld van een phishingsimulatiebericht verzonden naar de momenteel aangemelde gebruiker. Nadat u het phishingbericht in uw Postvak IN hebt gevalideerd, kunt u de simulatie verzenden.
Tip
U kunt ook Een test verzenden gebruiken vanaf de pagina Nettoladingen . Maar als u ooit de geselecteerde nettolading in een simulatie gebruikt, wordt het testbericht weergegeven in de samengevoegde rapporten. U kunt de resultaten exporteren of de Microsoft Graph API gebruiken om de resultaten te filteren.
V: Kan ik me richten op gebruikers die deel uitmaken van een andere tenant als onderdeel van dezelfde simulatiecampagne?
A: Nee. Op dit moment worden simulaties tussen tenants niet ondersteund. Controleer of al uw doelgebruikers zich in dezelfde tenant bevinden. Alle gebruikers tussen tenants of gastgebruikers worden uitgesloten van de simulatiecampagne.
V: Hoe werkt regiobewuste levering?
A: Regiobewuste bezorging maakt gebruik van het tijdzonekenmerk van het postvak van de doelgebruiker om te bepalen wanneer het bericht moet worden bezorgd. Er kan een tijdsverschil zijn van ± één uur in de e-mailbezorging op basis van de tijdzone van de gebruiker. Kijk eens naar het volgende scenario:
- Om 7:00 uur in de Tijdzone van de Stille Oceaan (UTC-8) maakt en plant een beheerder een campagne die op dezelfde dag om 9:00 uur begint.
- UserA bevindt zich in de oostelijke tijdzone (UTC-5).
- UserB bevindt zich ook in de tijdzone Pacific.
Om 9:00 uur op dezelfde dag wordt het simulatiebericht verzonden naar UserB. Met regiobewuste bezorging wordt het bericht niet op dezelfde dag naar GebruikerA verzonden, omdat 9:00 uur Pacific Time 12:00 uur Eastern Time is. In plaats daarvan wordt het bericht op de volgende dag om 9:00 uur Oostelijke tijd verzonden naar GebruikerA.
Bij de eerste uitvoering van een campagne waarvoor regiobewuste bezorging is ingeschakeld, kan het er dus op lijken dat het simulatiebericht alleen is verzonden naar gebruikers in een specifieke tijdzone. Maar naarmate de tijd verstrijkt en er meer gebruikers binnen het bereik komen, nemen de beoogde gebruikers toe.
Als u geen regiobewuste bezorging gebruikt, wordt de campagne gestart op basis van de tijdzone van de gebruiker die deze instelt.
V: Verzamelt of slaat Microsoft informatie op die gebruikers invoeren op de aanmeldingspagina van Credential Harvest, die wordt gebruikt in de simulatietechniek van Credential Harvest?
A: Nee. Alle informatie die is ingevoerd op de aanmeldingspagina voor het verzamelen van referenties, wordt op de achtergrond verwijderd. Alleen de 'klik' wordt vastgelegd om de inbreuk-gebeurtenis vast te leggen. Microsoft verzamelt, logt of slaat geen gegevens op die gebruikers bij deze stap invoeren.
V: Hoe lang wordt simulatiegegevens bewaard? Kan ik simulatiegegevens verwijderen?
A: Zie de volgende tabel:
Gegevenstype: | Retentie |
---|---|
Simulatiemetagegevens | 18 maanden, tenzij de simulatie eerder wordt verwijderd door een beheerder. |
Simulatieautomatisering | 18 maanden, tenzij de simulatieautomatisering eerder wordt verwijderd door een beheerder. |
Automatisering van nettoladingen | 18 maanden, tenzij de payload-automatisering eerder wordt verwijderd door een beheerder. |
Gebruikersactiviteit in simulatiemetagegevens | 18 maanden, tenzij de simulatie eerder wordt verwijderd door een beheerder. |
Globale nettoladingen | Behouden, tenzij verwijderd door Microsoft. |
Tenantpayloads | 18 maanden, tenzij de gearchiveerde nettolading eerder wordt verwijderd door een beheerder. |
Gebruikersactiviteit in trainingsmetagegevens | 18 maanden, tenzij de simulatie eerder wordt verwijderd door een beheerder. |
aanbevolen nettoladingen MDO | 6 maanden. |
Algemene meldingen van eindgebruikers | Behouden, tenzij verwijderd door Microsoft. |
Meldingen van eindgebruikers van tenants | 18 maanden, tenzij de melding eerder wordt verwijderd door een beheerder. |
Algemene aanmeldingspagina's | Behouden, tenzij verwijderd door Microsoft. |
Aanmeldingspagina's voor tenants | 18 maanden, tenzij de aanmeldingspagina eerder wordt verwijderd door een beheerder. |
Algemene landingspagina's | Behouden, tenzij verwijderd door Microsoft |
Landingspagina's van tenants | 18 maanden, tenzij de landingspagina eerder wordt verwijderd door een beheerder. |
Als de hele tenant wordt verwijderd, worden trainingsgegevens voor aanvalssimulatie na 90 dagen verwijderd.
Zie Gegevensretentiegegevens voor Microsoft Defender voor Office 365 voor meer informatie.
V: Kan ik simulaties maken, weergeven en beheren met behulp van een API?
A: Ja. Lees- en schrijfscenario's worden ondersteund met behulp van de Microsoft Graph API:
-
AttackSimulation.Read.All
:- Simulatiemetagegevens lezen
- Gebruikersactiviteit lezen
- Trainingsgegevens lezen
- Recidivers lezen
-
AttackSimulation.ReadWrite.All
: Voer simulaties uit met behulp van de opgegeven nettoladingen, meldingen en aanmeldingspagina's.
Zie Overzicht van simulaties en rapporten van API's voor training voor aanvalssimulatie als onderdeel van Microsoft Defender voor Office 365 voor meer informatie.
V: Kan ik aangepaste nettoladingen verwijderen?
A: Ja. Eerst archiveert u de nettolading en vervolgens verwijdert u de gearchiveerde nettolading. Zie Nettoladingen archiveren voor instructies.
V: Kan ik de ingebouwde nettoladingen wijzigen?
A: Niet rechtstreeks. U kunt de ingebouwde nettolading kopiëren en vervolgens de kopie wijzigen. Zie Payloads kopiëren voor instructies.
V: Ik probeer een QR-codesimulatie uit te voeren, maar als ik de QR-code scan, zie ik 'pingen geslaagd' in plaats van de landingspagina?
A: Wanneer u een QR-code invoegt in de nettoladingeditor, wordt deze toegewezen aan de basis phishing-URL die u hebt geselecteerd in de sectie >PhishingkoppelingURL selecteren. De QR-code wordt als afbeelding ingevoegd in het e-mailbericht. Als u overschakelt van het tabblad Tekst naar het tabblad Code , ziet u de ingevoegde afbeelding in Base64-indeling. Het begin van de afbeelding bevat <div id="QRcode"...>
. Controleer of de voltooide nettolading bevat <div id="QRcode"...>
voordat u deze in een simulatie gebruikt.
Als u tijdens het maken van de simulatie de QR-code scant of Een test verzenden gebruikt om de nettolading te controleren, verwijst de QR-code naar de basis phishing-URL die u hebt geselecteerd.
Wanneer de nettolading wordt gebruikt in een simulatie, vervangt de service de QR-code door een dynamisch gegenereerde QR-code om metrische gegevens over klikken en inbreuk bij te houden. De grootte, positie en vorm van de QR-code komen overeen met de configuratieopties die u hebt geconfigureerd in de nettolading. Als u de QR-code scant tijdens een daadwerkelijke simulatie, gaat u naar de geconfigureerde landingspagina.
V: Ik probeer een nettolading te maken in HTML, maar de nettoladingeditor lijkt bepaalde inhoud uit mijn ontwerp te verwijderen?
A: Momenteel worden de volgende HTML-tags niet ondersteund in de payload-editor: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
.