Поделиться через


Рекомендации по развертыванию обучения имитации атаки и часто задаваемые вопросы

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Обучение эмуляции атак позволяет организациям Microsoft 365 E5 или Microsoft Defender для Office 365 плана 2 измерять риски социальной инженерии и управлять ими. Обучение эмуляции атак позволяет симуляции фишинга на основе реальных, безвредных полезных данных фишинга. Обучение с гиперцелями, проводится в партнерстве с terranova security, помогает улучшить знания и изменить поведение пользователей.

Дополнительные сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Хотя создание и планирование симуляции упрощается, моделирование в масштабе предприятия требует планирования. Эта статья поможет решить конкретные проблемы, которые мы видим, когда наши клиенты выполняют симуляцию в своих собственных средах.

Проблемы с взаимодействием с пользователем

URL-адреса имитации фишинга, заблокированные Google Safe Browsing

Служба репутации URL-адресов может идентифицировать один или несколько URL-адресов, используемых Обучение эмуляции атак как небезопасные. Безопасный просмотр Google в Google Chrome блокирует некоторые имитированные фишинговые URL-адреса с обманным сайтом вперед сообщение. Хотя мы работаем со многими поставщиками репутации URL-адресов, чтобы всегда разрешать наши симуляционные URL-адреса, у нас не всегда есть полный охват.

Заранеее предупреждение о обманчивом сайте в Google Chrome

Эта проблема не влияет на Microsoft Edge.

На этапе планирования обязательно проверка доступность URL-адреса в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Если безопасный просмотр Google блокирует URL-адреса, следуйте указаниям Google, чтобы разрешить доступ к URL-адресам.

Список URL-адресов, используемых в настоящее время Обучение эмуляции атак, см. в статье Начало работы с Обучение эмуляции атак.

Имитация фишинга и URL-адреса администраторов, заблокированные решениями прокси сети и драйверами фильтрации

Промежуточные устройства безопасности или фильтры могут блокировать или удалять URL-адреса имитации фишинга и URL-адреса администраторов. Например:

  • Брандмауэры
  • решения Брандмауэр веб-приложений (WAF)
  • Драйверы фильтров сторонних производителей (например, фильтры в режиме ядра)

Хотя мы видим, что на этом уровне несколько клиентов заблокированы, это происходит. При возникновении проблем рассмотрите возможность настройки следующих URL-адресов для обхода проверки устройствами безопасности или фильтрами по мере необходимости:

  • Имитированные URL-адреса фишинга, как описано в разделе Начало работы с Обучение эмуляции атак.
  • https://security.microsoft.com/attacksimulator
  • https://security.microsoft.com/attacksimulationreport
  • https://security.microsoft.com/trainingassignments
  • http://asttrainingfdendpoint-a6fva0cjbsbbereq.b02.azurefd.net/

Симуляция сообщений, доставляемых не всем целевым пользователям

Вполне возможно, что все пользователи, нацеленные на имитацию, не получают сообщения электронной почты об имитации. Следующие типы пользователей исключаются в рамках целевой проверки:

  • Недопустимые адреса электронной почты получателей.
  • Гости.
  • Пользователи, которые больше не активны в Microsoft Entra ID.

Вы можете использовать командлет Get-DistributionGroupMember в Exchange Online PowerShell для просмотра и проверки целевых участников группы.

Учебные курсы, неожиданно назначенные или не назначенные пользователям

Пороговое значение обучения в обучающих кампаниях не позволяет пользователям назначать одни и те же учебные курсы в течение определенного интервала (по умолчанию 90 дней). Дополнительные сведения см. в разделе Установка порогового значения для обучения.

Если вы создали имитацию или автоматизацию моделирования со значением назначения обучения Назначить обучение для меня (рекомендуется), мы назначаем обучение на основе предыдущих результатов моделирования и обучения пользователя. Чтобы назначить обучение на основе определенных критериев, выберите Выбрать учебные курсы и модули самостоятельно.

Что происходит, когда пользователь отвечает на сообщение имитации или пересылает его?

Если пользователь отвечает или пересылает сообщение имитации в другой почтовый ящик, оно обрабатывается как обычное сообщение электронной почты (включая детонацию с помощью безопасных ссылок или безопасных вложений). В отчете Имитация показано, было ли отправлено или переадресовлено сообщение имитации. Каждый URL-адрес в сообщении симуляции привязан к отдельному пользователю, поэтому детонации безопасных ссылок определяются пользователем как щелчки.

Если вы используете выделенный почтовый ящик операций безопасности (SecOps), обязательно определите его как SecOps в расширенной политике доставки , чтобы сообщения доставлялись без фильтра.

Как ошеломить доставку сообщений симуляции?

В любом случае важно использовать различные полезные данные, чтобы избежать обсуждения и идентификации пользователей.

Почему изображения в сообщениях имитации блокируются Outlook?

По умолчанию Outlook настроен для блокировки автоматической загрузки изображений в сообщениях из Интернета. Хотя вы можете настроить Outlook для автоматической загрузки изображений, мы не рекомендуем его использовать из-за последствий для безопасности (потенциальная автоматическая загрузка вредоносного кода или веб-ошибок, также известных как веб-маяки или пиксели отслеживания).

Эти события могут возникать, когда другие устройства безопасности или приложения проверяют сообщения имитации. Например (но не ограничиваясь):

  • Приложения или подключаемые модули в Outlook, которые проверяют или перехватывают сообщение.
  • Email приложений безопасности.
  • Безопасность конечных точек или антивирусное программное обеспечение.
  • Сборники схем оркестрации безопасности, автоматизации и реагирования (SOAR), которые автоматически обрабатывают сообщаемые сообщения или реагируют на них.

Эти типы приложений могут просматривать веб-содержимое для обнаружения фишинга, поэтому необходимо определить исключения для сообщений имитации в этих приложениях.

EmailLinkClicked_IP и EmailLinkClicked_TimeStamp данные могут дать дополнительные сведения о событии. Например, если через несколько секунд после доставки произошел щелчок, а IP-адрес не принадлежит корпорации Майкрософт, вашей компании или пользователю, скорее всего, сообщение перехватила система фильтрации сторонних поставщиков или другая служба.

Для любых систем или служб фильтрации сторонних производителей необходимо разрешить или исключить следующие элементы:

  • Все ОБУЧЕНИЕ ЭМУЛЯЦИИ АТАК URL-адреса и соответствующие домены. В настоящее время мы не отправляем сообщения имитации из статического списка IP-адресов.
  • Любые другие домены, используемые в пользовательских полезных данных.

Можно ли добавить внешний тег или советы по безопасности в сообщения имитации?

Вы можете настроить пользовательские полезные данные для добавления тега External в сообщения. Дополнительные сведения см. в разделе Шаг 5 статьи Создание полезных данных.

Встроенные параметры добавления советов по безопасности в полезные данные отсутствуют, но на странице Настройка полезных данных мастера настройки полезных данных можно использовать следующие методы:

  • Используйте существующее сообщение электронной почты, содержащее подсказку по безопасности в качестве шаблона. Сохраните сообщение в формате HTML и скопируйте сведения.

  • Используйте следующий пример кода для подсказки по безопасности первого контакта:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
    mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
    paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
    0in 0in 0in 0in">
    <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
      <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
      <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
      <div>
      <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
      mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
      column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
      wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
      Aptos;color:#212121;mso-ligatures:none">You don't often get email from
      this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
      this is important</a></span></p>
      </div>
      </td>
      <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
      align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
    </tr>
    </tbody></table>
    <div>
    <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
    color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
    </div>
    

Можно ли назначать обучающие модули без симуляции для пользователей?

Да. Дополнительные сведения см. в разделе Учебные кампании в Обучение эмуляции атак.

Разделы справки узнать о симуляции сообщений, которые не были доставлены?

Вкладка Пользователи для имитации фильтруется по доставке сообщений имитации: сбой доставки.

Если вы являетесь владельцем домена отправителя, отчет о невыставленных имитациях возвращается в отчете о недоставке (также известном как сообщение о недоставке или отказе). Дополнительные сведения о кодах в отчете о недоставке см. в разделе Email отчетов о недоставке и ошибках SMTP в Exchange Online.

Как сообщать о проблемах

Совет

Запись данных имитации начинается через несколько минут после запуска имитации и после того, как пользователи начнут взаимодействовать с сообщениями моделирования. Фиксированное время начала отсутствует. События по-прежнему фиксируются после завершения моделирования.

Различия в данных о действиях пользователей из отчетов Обучение эмуляции атак и других отчетов

Для создания отчетов об активности пользователей, связанной с симуляционными сообщениями, рекомендуется использовать встроенные отчеты об имитации. Отчеты из других источников (например, Расширенная охота) могут быть не точными.

Безопасные ссылки не обтекают URL-адреса имитации, поэтому URL-адреса считаются незавернутыми ссылками. Не все щелчки по незакраченным ссылкам проходят через безопасные ссылки, поэтому действия пользователей, связанные с симуляцией сообщений, могут не записываться в журналы UrlClickEvents.

Обучение эмуляции атак отчеты не содержат сведений о действиях

Обучение эмуляции атак содержит подробные аналитические сведения, которые позволяют информировать пользователей о готовности пользователей к угрозам. Если Обучение эмуляции атак отчеты не заполнены данными, убедитесь, что ведение журнала аудита в вашей организации включено (по умолчанию включено).

Обучение эмуляции атак требуется ведение журнала аудита для записи, записи и считывания событий. Отключение ведения журнала аудита имеет следующие последствия для Обучение эмуляции атак.

  • Данные отчетов доступны не во всех отчетах. Отчеты кажутся пустыми.
  • Учебные задания блокируются, так как данные недоступны.

Чтобы убедиться, что ведение журнала аудита включено или включить его, см. статью Включение и отключение аудита.

Совет

Пользователи, не имеющие Microsoft 365 E5 назначенных лицензий, также приводят к пустым сведениям о действиях. Чтобы убедиться, что события отчетов записываются и записываются, убедитесь, что активному пользователю назначена по крайней мере одна лицензия E5.

Выполняется аудит действий пользователей и действий администратора. В API действий управления найдите значения AuditLogRecordType 85, 88 и 218.

Некоторые сведения об аудите также могут быть доступны в таблице CloudAppEvents в Microsoft Defender XDR расширенной охоты через портал Defender или API потоковой передачи.

Отчеты о проблемах с локальными почтовыми ящиками

Обучение эмуляции атак поддерживает локальные почтовые ящики, но с ограниченной функциональностью отчетов:

  • Данные о том, считывают ли пользователи, перенаправляли или удаляют симуляционное сообщение электронной почты, недоступны для локальных почтовых ящиков.
  • Количество пользователей, которые сообщили об имитации электронной почты, недоступно для локальных почтовых ящиков.

Совет

Сообщения моделирования отправляются через конвейер транспорта в локальные почтовые ящики. В противном случае возможности обучения, автоматизации и управления содержимым одинаковы для локальных почтовых ящиков.

Отчеты об имитации обновляются не сразу

Подробные отчеты об имитации не обновляются сразу после запуска кампании. Не переживай; это поведение ожидается.

У каждой кампании имитации есть жизненный цикл. При первом создании имитация находится в запланированном состоянии. При запуске имитации она переходит в состояние Выполняется . По завершении имитация переходит в состояние Завершено .

В то время как имитация находится в запланированном состоянии, отчеты по моделированию в основном пусты. На этом этапе подсистема моделирования разрешает адреса электронной почты целевого пользователя, расширяет группы рассылки, удаляет гостей из списка и т. д.:

Сведения о симуляции, показывающие симуляцию в запланированном состоянии

После того как имитация перейдет на стадию Выполняется , информация начинает поступать в отчеты:

Сведения о симуляции, показывающие симуляцию в состоянии Выполняется

Обновление отдельных отчетов об имитации может занять до 30 минут после перехода в состояние Выполняется . Данные отчета продолжают создаваться до тех пор, пока имитация не достигнет состояния Завершено . Обновления отчетов происходят со следующими интервалами:

  • Каждые 10 минут в течение первых 60 минут.
  • Каждые 15 минут после 60 минут до двух дней.
  • Каждые 30 минут после двух дней до семи дней.
  • Каждые 60 минут через семь дней.

Мини-приложения на странице Обзор позволяют быстро snapshot состояния безопасности на основе имитации организации с течением времени. Так как эти мини-приложения отражают общее состояние безопасности и путь с течением времени, они обновляются после завершения каждой кампании моделирования.

Примечание.

Для извлечения данных можно использовать параметр Экспорт на различных страницах отчетов.

Сообщения, сообщаемые пользователями как фишинговые, не отображаются в отчетах об имитации

Отчеты об имитации в обучении симулятора атак содержат подробные сведения об активности пользователей. Например:

  • Пользователи, щелкнувшие ссылку в сообщении.
  • Пользователи, которые отказались от своих учетных данных.
  • Пользователи, которые сообщили сообщение как фишинговое.

Если сообщения, о которых пользователи сообщили как о фишинге, не фиксируются в отчетах Обучение эмуляции атак имитации, может быть правило потока обработки почты Exchange (также известное как правило транспорта), которое блокирует доставку сообщений в Корпорацию Майкрософт. Убедитесь, что правила потока обработки почты не блокируют доставку на следующие адреса электронной почты:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Пользователям назначается обучение после отправки имитированного сообщения

Если пользователям назначено обучение после того, как они сообщают о фишинговом симуляции сообщения, проверка, чтобы узнать, использует ли ваша организация почтовый ящик отчетов для получения сообщений, сообщаемых пользователем по адресу https://security.microsoft.com/securitysettings/userSubmission. Почтовый ящик отчетов должен быть настроен для пропуска многих проверок безопасности, как описано в разделе Предварительные требования к почтовому ящику отчетов.

Безопасные ссылки или защита от безопасных вложений могут взорвать сообщения, если вы не настроите необходимые исключения для настраиваемого почтового ящика отчетов. Взорвутые сообщения приводят к учебным заданиям.

Другие часто задаваемые вопросы

О. Для целевых пользователей доступно несколько вариантов:

  • Включите всех пользователей (в настоящее время доступны организациям с менее чем 40 000 пользователей).
  • Выберите определенных пользователей.
  • Выберите пользователей из CSV-файла (один адрес электронной почты на строку).
  • Используйте группы Microsoft Entra. Поддерживаются следующие типы групп:
    • Группы Microsoft 365 (статические и динамические)
    • Группы рассылки (только статические)
    • Группы безопасности с поддержкой почты (только статические)

Мы обнаружили, что кампании, назначенные Microsoft Entra группам, проще управлять.

Вопрос. Сколько учебных модулей существует?

В настоящее время на странице Учебные модули есть 94 встроенных обучения.

Вопрос. Как языки используются для таких интерфейсов, как учебные модули и уведомления?

  • Учебные модули. Используются параметры языкового стандарта браузера. Но после назначения обучения пользователю выбор языка сохраняется, и будущие учебные курсы назначаются на этом языке.
  • Уведомления конечных пользователей: используются языковые и языковые параметры почтового ящика.
  • Полезные данные моделирования. Используется язык, выбранный администратором во время создания.
  • Целевые страницы: используются параметры языка учетной записи Microsoft 365. Пользователь также может изменять языки на целевой странице.

Вопрос. Существуют ли какие-либо ограничения в выборе пользователей при импорте из CSV-файла или добавлении пользователей?

О. Ограничение для импорта получателей из CSV-файла или добавления отдельных получателей в имитацию составляет 40 000.

Получателем может быть отдельный пользователь или группа. Группа может содержать сотни или тысячи получателей. Верхний предел числа пользователей составляет 400 000 пользователей, но мы рекомендуем ограничить 200 000 пользователей для каждой имитации для достижения максимальной производительности.

Управление большим CSV-файлом или добавление нескольких отдельных получателей может быть трудоемким. Использование Microsoft Entra групп упрощает общее управление имитацией.

Совет

В настоящее время общие почтовые ящики не поддерживаются в Обучение эмуляции атак. Моделирование должно быть ориентировано на почтовые ящики пользователей или группы, содержащие почтовые ящики пользователей.

Группы расширяются, а список пользователей создается во время сохранения имитации, автоматизации моделирования или учебной кампании.

Вопрос. Существуют ли ограничения на количество симуляций, которые могут быть развернуты в течение определенного интервала времени?

О. Нет, хотя при запуске большого количества параллельных симуляций может возникнуть медленная скорость. Ограничения скорости сообщений службы также ограничивают частоту сообщений имитации.

Вопрос. Предоставляет ли корпорация Майкрософт полезные данные на других языках?

О. В настоящее время существует более 40 локализованных полезных данных, доступных на более чем 29 языках: английский, испанский, немецкий, японский, французский, португальский, голландский, итальянский, шведский, китайский (упрощенное письмо), норвежский букмол, польский, русский, финский, корейский, турецкий, венгерский, иврит, тайский, арабский, вьетнамский, словацкий, греческий, индонезийский, румынский, словенский, хорватский, каталанский и другие. Мы определили, что прямой или машинный перевод существующих полезных данных на другие языки приводит к неточностям и снижению релевантности.

При этом вы можете создать собственные полезные данные на выбранном языке с помощью пользовательского интерфейса разработки полезных данных. Мы также настоятельно рекомендуем собирать существующие полезные данные, которые использовались для целевых пользователей в определенном географическом регионе. Другими словами, позвольте злоумышленникам локализовать содержимое за вас.

Вопрос. Сколько учебных видео доступно?

О. В настоящее время в библиотеке содержимого доступно более 85 учебных модулей.

Вопрос. Как перейти на другие языки для моего портала администрирования и обучения?

О. В Microsoft 365 или Office 365 языковая конфигурация является определенной и централизованной для каждой учетной записи пользователя. Инструкции по изменению языковых параметров см. в статье Изменение языка интерфейса и часового пояса в Microsoft 365 для бизнеса.

Для синхронизации между всеми службами может потребоваться до 30 минут.

Вопрос. Можно ли запустить тестовую симуляцию, чтобы понять, как она выглядит перед запуском реальной кампании?

Ответ: Да. На последней странице Проверка имитации в мастере создания симуляции выберите Отправить тест. Этот параметр отправляет пример сообщения имитации фишинга пользователю, вошедшего в систему. После проверки фишингового сообщения в папке "Входящие" можно отправить имитацию.

Кнопка

Совет

Вы также можете использовать команду Отправить тест на странице Полезные данные . Но если вы когда-нибудь используете выбранные полезные данные в имитации, в статистических отчетах появится тестовое сообщение. Вы можете экспортировать результаты или использовать API Graph Майкрософт для фильтрации результатов.

Вопрос. Можно ли ориентироваться на пользователей, принадлежащих к другой организации, в рамках той же кампании моделирования?

О: Нет. В настоящее время моделирование между организациями не поддерживается. Убедитесь, что все целевые пользователи находятся в одной организации. Все пользователи или гости между организациями исключаются из кампании моделирования.

Вопрос. Как работает доставка с учетом региона?

О. Доставка с учетом региона использует атрибут часового пояса почтового ящика целевого пользователя, чтобы определить, когда доставить сообщение. Может быть разница во времени в ± один час доставки электронной почты в зависимости от часового пояса пользователя. Рассмотрим, например, описанный ниже сценарий.

  • В 7:00 в часовом поясе Тихоокеанского региона (UTC-8) администратор создает и планирует начать кампанию в 9:00 в тот же день.
  • Пользователь А находится в восточном часовом поясе (UTC-5).
  • Пользователь UserB также находится в тихоокеанском часовом поясе.

В 9:00 в тот же день сообщение имитации отправляется в UserB. При доставке с учетом региона сообщение не отправляется в UserA в тот же день, так как 9:00 по тихоокеанскому времени — 12:00 по восточному времени. Вместо этого сообщение отправляется в UserA в 9:00 по восточному времени на следующий день.

Таким образом, при первоначальном запуске кампании с включенной доставкой с учетом региона может показаться, что сообщение имитации было отправлено только пользователям в определенном часовом поясе. Но, по мере того как проходит время и все больше пользователей приходят в область, целевые пользователи увеличиваются.

Если вы не используете доставку с учетом региона, кампания начинается в зависимости от часового пояса пользователя, который ее настраивает.

Вопрос. Собирает или хранит ли корпорация Майкрософт какие-либо сведения, которые пользователи вводит на странице входа Credential Harvest, используемые в методе моделирования Credential Harvest?

О: Нет. Все сведения, введенные на странице входа в сбор учетных данных, удаляются автоматически. Записывается только щелчок для записи события компрометации. Корпорация Майкрософт не собирает, не регистрирует и не сохраняет сведения, которые пользователи вводит на этом шаге.

Вопрос. Как долго хранятся сведения об имитации? Можно ли удалить данные моделирования?

О. См. следующую таблицу:

Тип данных Хранение
Метаданные имитации 18 месяцев, если администратор не удаляет симуляцию первым.
Автоматизация моделирования 18 месяцев, если администратор сначала не удаляет автоматизацию моделирования.
Автоматизация полезных данных 18 месяцев, если администратор сначала не удаляет автоматизацию полезных данных.
Действия пользователя в метаданных имитации 18 месяцев, если администратор не удаляет симуляцию первым.
Глобальные полезные данные Сохраняется, если не удалена корпорацией Майкрософт.
Полезные данные клиента 18 месяцев, если администратор сначала не удалит архивные полезные данные.
Действия пользователя в метаданных обучения 18 месяцев, если администратор не удаляет симуляцию первым.
MDO рекомендуемых полезных данных 6 месяцев.
Глобальные уведомления конечных пользователей Сохраняется, если не удалена корпорацией Майкрософт.
Уведомления конечных пользователей клиента 18 месяцев, если администратор сначала не удалит уведомление.
Глобальные страницы входа Сохраняется, если не удалена корпорацией Майкрософт.
Страницы входа клиента 18 месяцев, если администратор сначала не удаляет страницу входа.
Глобальные целевые страницы Сохраняется, если не удалена корпорацией Майкрософт
Целевые страницы клиента 18 месяцев, если администратор сначала не удалит целевую страницу.

Если весь клиент удаляется, данные обучения имитации атак удаляются через 90 дней.

Дополнительные сведения см. в разделе Сведения о хранении данных для Microsoft Defender для Office 365.

Вопрос. Можно ли создавать и просматривать симуляции, а также управлять ими с помощью API?

Ответ: Да. Сценарии чтения и записи поддерживаются с помощью API Graph Майкрософт:

  • AttackSimulation.Read.All:
    • Чтение метаданных имитации
    • Чтение действий пользователей
    • Чтение обучающих данных
    • Чтение повторных правонарушителей
  • AttackSimulation.ReadWrite.All: выполните симуляции, используя указанные полезные данные, уведомления и страницы входа.

Дополнительные сведения см. в статье Общие сведения о симуляции списков и API отчетов для обучения симуляции атак в рамках Microsoft Defender для Office 365.

Вопрос. Можно ли удалить пользовательские полезные данные?

Ответ: Да. Сначала нужно заархивировать полезные данные, а затем удалить архивированные полезные данные. Инструкции см. в разделе полезные данные Архив.

Вопрос. Можно ли изменить встроенные полезные данные?

О. Не напрямую. Вы можете скопировать встроенные полезные данные, а затем изменить копию. Инструкции см. в разделе Копирование полезных данных.

Вопрос. Я пытаюсь запустить симуляцию QR-кода, но сканирование QR-кода показывает мне "успешно проверить связь" вместо целевой страницы?

О. При вставке QR-кода в редактор полезных данных он сопоставляется с базовым URL-адресом фишинга, выбранным в разделе >Ссылка на фишинг. QR-код вставляется в сообщение электронной почты в виде изображения. При переключении с вкладки Текст на вкладку Код вы увидите вставленное изображение в формате Base64. В начале изображения содержится <div id="QRcode"...>. Убедитесь, что готовые полезные <div id="QRcode"...> данные содержатся, прежде чем использовать их в имитации.

Если во время создания имитации вы сканируете QR-код или используете команду Отправить тест для просмотра полезных данных, QR-код указывает на выбранный базовый URL-адрес фишинга.

Когда полезные данные используются в имитации, служба заменяет QR-код динамически создаваемым QR-кодом для отслеживания метрик щелчка и компрометации. Размер, положение и форма QR-кода соответствуют параметрам конфигурации, настроенным в полезных данных. При сканировании QR-кода во время фактической симуляции вы перейдете на настроенную целевую страницу.

Вопрос. Я пытаюсь создать полезные данные в HTML, но редактор полезных данных, кажется, удаляет определенное содержимое из моего проекта?

О. В настоящее время в редакторе полезных данных не поддерживаются следующие HTML-теги: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title.