攻擊模擬訓練部署考慮和常見問題
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
攻擊模擬訓練 可讓 Microsoft 365 E5 或 適用於 Office 365 的 Microsoft Defender 方案 2 組織藉由允許建立和管理真實世界、無害網路釣魚承載所提供的網路釣魚模擬,來測量和管理社交工程風險。 與 Terranova 安全性合作提供的超目標訓練,有助於改善知識並變更員工行為。
如需開始使用 攻擊模擬訓練 的詳細資訊,請參閱開始使用 攻擊模擬訓練。
雖然模擬建立和排程體驗的設計是自由流動且無摩擦,但企業規模的模擬需要規劃。 本文有助於解決客戶在自己的環境中執行模擬時所看到的特定挑戰。
用戶體驗的問題
Google 安全瀏覽封鎖網路釣魚模擬 URL
URL 信譽服務可能會將 攻擊模擬訓練 使用的一或多個URL識別為不安全。 Google Chrome 中的 Google Safe Browsing 會封鎖一些仿真的網路釣魚 URL,並預先顯示一則「 誤解」網站 訊息。 雖然我們與許多 URL 信譽廠商合作,一律允許模擬 URL,但我們不一定會有完整的涵蓋範圍。
此問題不會影響Edge Microsoft。
在規劃階段中,請務必先在支援的網頁瀏覽器中檢查 URL 的可用性,再於網路釣魚活動中使用 URL。 如果 URL 遭到 Google Safe Browsing 封鎖, 請遵循 Google 的本指引 以允許存取 URL。
如需 攻擊模擬訓練 目前使用的 URL 清單,請參閱開始使用 攻擊模擬訓練。
網路 Proxy 解決方案和篩選驅動程式封鎖網路釣魚模擬和系統管理員 URL
中繼安全性裝置或篩選器可能會封鎖或卸除網路釣魚模擬 URL 和系統管理員 URL。 例如:
- 防火牆
- Web 應用程式防火牆 (WAF) 解決方案
- 第三方篩選驅動程式 (例如核心模式篩選)
雖然我們發現此層有少數客戶遭到封鎖,但確實會發生這種情況。 如果您遇到問題,請考慮將下列 URL 設定為視需要略過安全性裝置或篩選器的掃描:
- 模擬網路釣魚 URL,如開始使用 攻擊模擬訓練 中所述。
- https://security.microsoft.com/attacksimulator
- https://security.microsoft.com/attacksimulationreport
- https://security.microsoft.com/trainingassignments
未傳遞給所有目標使用者的模擬訊息
實際收到模擬電子郵件訊息的用戶數目,可能小於仿真的目標用戶數目。 下列類型的使用者會排除為目標驗證的一部分:
- 收件者電子郵件地址無效。
- 來賓使用者。
- 不再在 Microsoft Entra ID 中作用中的使用者。
如果您使用通訊群組或擁有郵件功能的安全組以用戶為目標,您可以使用 Exchange Online PowerShell 中的 Get-DistributionGroupMember Cmdlet 來檢視和驗證通訊群組成員。
非預期指派或未指派給用戶的訓練
訓練活動中的訓練臨界值可防止用戶在預設 (90 天的特定間隔) 指派相同的訓練。 如需詳細資訊, 請參閱設定定型閾值。
如果您使用訓練指派值 [為我指派訓練] 建立模擬或模擬自動化 (建議) ,我們會根據使用者先前的模擬和訓練結果來指派訓練。 若要根據特定準則指派訓練,請 選取 [選取訓練課程和課程模組]。
當使用者回復或轉寄模擬訊息時,會發生什麼事?
如果使用者回復模擬訊息或將模擬訊息轉寄至另一個信箱,則會將郵件視為一般電子郵件訊息 (包括安全連結或安全附件) 。 模擬 報告 會顯示模擬訊息是否已回復或轉寄。 模擬電子郵件中的每個 URL 都會系結至個別使用者,因此安全連結遭到使用者識別為點按。
如果您使用 SecOps) 信箱 (專用安全性作業,請務必在 進階傳遞 原則中將它識別為 SecOps,如此訊息才會未經篩選地傳遞。
如何錯開模擬訊息的傳遞?
不論是哪一種方式,請務必使用不同的承載來避免使用者之間的討論和識別。
為什麼 Outlook 會封鎖模擬訊息中的影像?
根據預設,Outlook 會設定為封鎖從因特網訊息自動下載影像。 雖然您可以 將 Outlook 設定為自動下載影像,但我們不建議這麼做,因為安全性影響 (可能自動下載惡意代碼或 Web Bug,也稱為 Web 指稱或追蹤圖元) 。
我在模擬訊息中看到來自使用者的點擊或入侵事件,或我在傳遞幾秒內看到許多用戶的點擊 (誤判) 。 What's going on?
當其他安全性裝置或應用程式檢查模擬訊息時,可能會發生這些事件。 例如 (但不限於) :
- Outlook 中檢查或攔截訊息的應用程式或外掛程式。
- Email安全性應用程式。
- 端點安全性或防病毒軟體。
- 安全性協調流程、自動化和回應 (SOAR) 腳本,這些腳本會自動分級或自動回應報告的訊息。
這些類型的應用程式可以查看 Web 內容來偵測網路釣魚,因此您需要在這些應用程式中定義模擬訊息的排除專案。
EmailLinkClicked_IP和EmailLinkClicked_TimeStamp數據可能會提供事件的詳細數據。 例如,如果在傳遞後幾秒鐘按兩下,且IP位址不屬於Microsoft、您的公司或使用者,則可能是第三方篩選系統或其他服務攔截了訊息。
對於任何非Microsoft篩選系統或服務,您必須允許或豁免下列專案:
- 所有 攻擊模擬訓練 URL 和對應的網域。 目前,我們不會從靜態IP位址清單傳送模擬訊息。
- 您在自訂承載中使用的任何其他網域。
我可以將外部標籤或安全提示新增至模擬訊息嗎?
自定義承載可以選擇將外部標籤新增至訊息。 如需詳細資訊,請參閱 建立承載中的步驟 5。
沒有內建選項可將安全秘訣新增至承載,但您可以在承載設定精靈的 [設定 承載 ] 頁面上使用下列方法::
使用包含安全性提示的現有電子郵件訊息作為範本。 將訊息儲存為 HTML 並複製資訊。
針對第一個連絡人安全提示使用下列範例程式代碼:
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical: paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt: 0in 0in 0in 0in"> <tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes"> <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td> <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121"> <div> <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family: wf_segoe-ui_normal;mso-fareast-font-family:"Times New Roman";mso-bidi-font-family: Aptos;color:#212121;mso-ligatures:none">You don't often get email from this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why this is important</a></span></p> </div> </td> <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt; align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td> </tr> </tbody></table> <div> <p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:"Georgia",serif; color:black;mso-ansi-language:DA">Insert payload content here,</span></p> </div>
我可以指派訓練模組,而不讓使用者完成模擬嗎?
是。 如需詳細資訊,請參閱 攻擊模擬訓練 中的訓練活動。
如何? 瞭解未傳遞的模擬訊息嗎?
仿真的 [使用者] 索引 標籤 可依 模擬訊息傳遞進行篩選:無法傳遞。
如果您擁有發件者網域,未傳遞的模擬報表會在非傳遞報表中傳回, (也稱為 NDR 或退回的訊息) 。 如需 NDR 中程式代碼的詳細資訊,請參閱在 Exchange Online 中 Email 未傳遞報告和 SMTP 錯誤。
報告 攻擊模擬訓練 問題
提示
模擬數據錄製會在模擬啟動后幾分鐘開始,並在用戶開始與模擬訊息互動之後啟動。 沒有固定的開始時間。 模擬結束后,仍會擷取事件。
來自 攻擊模擬訓練 報表和其他報表的用戶活動數據差異
若要報告與模擬訊息相關的用戶活動,建議使用 內建的模擬報告。 其他來源的報告 (例如, 進階搜捕) 可能不正確。
模擬 URL 不會由安全鏈接包裝,而且會被視為未包裝的連結。 並非所有按下未包裝的鏈接都會通過安全連結,因此與模擬訊息相關的用戶活動可能不會記錄在 UrlClickEvents 記錄中。
攻擊模擬訓練報表不包含任何活動詳細數據
攻擊模擬訓練 提供豐富且可採取動作的深入解析,可讓您得知員工的威脅整備進度。 如果 攻擊模擬訓練 報表未填入數據,請確認您的組織中已開啟稽核記錄, (預設會開啟) 。
攻擊模擬訓練 需要稽核記錄,才能擷取、記錄和讀回事件。 關閉稽核記錄會對 攻擊模擬訓練 產生下列後果:
- 報告數據無法在所有報表中使用。 報表會顯示為空白。
- 因為無法使用數據,所以會封鎖定型指派。
若要確認稽核記錄已開啟或開啟,請 參閱開啟或關閉稽核。
提示
空的活動詳細數據也是因為未將 E5 授權指派給使用者所造成。 確認至少將一個 E5 授權指派給作用中的使用者,以確保已擷取並記錄報告事件。
系統會稽核使用者動作和系統管理員動作。 在管理活動 API 中,尋找 AuditLogRecordType 值 85、88 和 218。
透過 Defender 入口網站或串流 API Microsoft Defender 全面偵測回應 進階搜捕中,CloudAppEvents 數據表中可能也會提供某些稽核資訊。
報告內部部署信箱的問題
攻擊模擬訓練 支援內部部署信箱,但報告功能減少:
- 關於使用者讀取、轉寄或刪除模擬電子郵件的數據不適用於內部部署信箱。
- 報告模擬電子郵件的用戶數目不適用於內部部署信箱。
提示
除了透過傳輸管線傳送的模擬訊息與Microsoft 365 中的直接插入,內部部署信箱的訓練、自動化和內容管理體驗都相同。
模擬報告不會立即更新
在您啟動營銷活動之後,不會立即更新詳細的模擬報告。 不用擔心;這是預期的行為。
每個模擬活動都有生命週期。 第一次建立時,模擬會處於已 排程 狀態。 模擬開始時,會轉換為進行 中 狀態。 完成時,模擬會轉換成已 完成 狀態。
當模擬處於已 排程 狀態時,模擬報告大多是空的。 在此階段中,模擬引擎會解析目標使用者電子郵件地址、展開通訊群組、從清單中移除來賓使用者等等:
模擬進入進行 中 階段后,資訊就會開始進入報告:
轉換為進行 中 狀態之後,個別模擬報告最多可能需要 30 分鐘的時間才能更新。 報表數據會繼續建置,直到模擬達到已 完成 狀態為止。 報告更新會在下列間隔發生:
- 前 60 分鐘每隔 10 分鐘。
- 在 60 分鐘到兩天之前,每隔 15 分鐘。
- 兩天后每隔 30 分鐘到 7 天。
- 七天后每隔 60 分鐘。
[ 概觀 ] 頁面上的 Widget 會提供組織一段時間內模擬型安全性狀態的快速快照集。 由於這些小工具會反映一段時間的整體安全性狀態和旅程,因此會在每個模擬活動完成後更新。
注意事項
您可以在各種報表頁面上使用 [ 匯 出] 選項來擷取數據。
用戶回報為網路釣魚的訊息不會出現在模擬報告中
攻擊模擬器訓練中的模擬報告會提供用戶活動的詳細數據。 例如:
- 按兩下訊息中連結的使用者。
- 放棄認證的使用者。
- 將訊息回報為網路釣魚的使用者。
如果未在 攻擊模擬訓練 模擬報告中擷取使用者回報為網路釣魚的郵件,則可能會有 Exchange 郵件流程規則 (也稱為傳輸規則) ,其會封鎖將報告的郵件傳遞至Microsoft。 確認任何郵件流程規則不會封鎖傳遞至下列電子郵件位址:
junk@office365.microsoft.com
abuse@messaging.microsoft.com
phish@office365.microsoft.com
not_junk@office365.microsoft.com
用戶在報告模擬訊息之後會獲指派訓練
如果使用者在報告網路釣魚模擬訊息之後獲指派訓練,請檢查以查看您的組織是否使用報告信箱在 https://security.microsoft.com/securitysettings/userSubmission接收用戶回報的訊息。 報告信箱必須設定為略過許多安全性檢查,如 報告信箱必要條件中所述。
如果您未設定自定義報告信箱的必要排除專案,可能會因為安全連結或安全附件保護而使訊息遭到清除,因而導致定型指派。
其他常見問題
問:建議以模擬活動用戶為目標的方法為何?
答:有數個選項可供目標使用者使用:
- 包含目前可供使用者少於 40,000 個) 之組織使用的所有使用者 (。
- 選擇特定使用者。
- 從 CSV 檔案中選取使用者, (每行) 一個電子郵件位址。
- Microsoft Entra 群組型目標。 支援下列群組型態:
- Microsoft 365 群組 (靜態和動態)
- 僅 (靜態) 的通訊群組
- 啟用郵件功能的安全組僅 (靜態)
我們發現透過 Microsoft Entra 群組識別目標用戶的活動更容易管理。
問:有多少個訓練課程模組?
目前在 [訓練 模組 ] 頁面上有94個內建訓練。
問:語言如何用於訓練課程模組和通知等體驗?
- 訓練模組:使用瀏覽器地區設定。 但是,一旦將訓練指派給使用者,語言選取專案就會持續存在,並以該語言指派未來的訓練。
- 使用者通知:使用信箱地區設定/語言設定。
- 模擬播放:使用系統管理員在建立期間選取的語言。
- 登陸頁面:使用 Microsoft 365 帳戶語言設定。 使用者也可以從登陸頁面中的下拉式清單變更語言。
問:從 CSV 匯入或新增使用者時,目標使用者是否有任何限制?
答:從 CSV 檔案匯入收件者或將個別收件者新增至仿真的限製為 40,000。
收件者可以是個別使用者或群組。 群組可能包含數百或數千個收件者。 用戶數目的上限是 400,000,但我們建議針對每個模擬限制 200,000 個使用者,以獲得最佳效能。
管理大型 CSV 檔案或新增許多個別收件者可能很麻煩。 使用 Microsoft Entra 群組可簡化仿真的整體管理。
提示
目前,攻擊模擬訓練 不支持共用信箱。 模擬應該以使用者信箱或包含使用者信箱的群組為目標。
群組 會展開,並在儲存模擬、模擬自動化或訓練活動時產生用戶清單。
問:在特定時間間隔內可以部署的模擬數目限制嗎?
答: 否,雖然如果您啟動許多平行模擬,可能會遇到緩慢的情況。 訊息速率 (包括模擬訊息速率) 受 限於服務的訊息速率限制。
問:Microsoft是否提供其他語言的承載?
答:目前有 40 種以上的當地語系化承載可使用 29 種以上的語言:英文、西班牙文、德文、日文、法文、葡萄牙文、荷蘭文、義大利文、瑞典文、中文 (簡化) 、挪威文 Bokmål、波蘭文、俄文、芬蘭文、韓文、土耳其文、匈牙利文、希伯來文、泰文、阿拉伯文、越南文、斯洛伐克文、希臘文、印尼文、斯洛維尼亞文、克羅埃西亞文、卡達文和其他。 我們判斷現有承載對其他語言的直接或機器轉譯會導致不準確,並降低相關性。
也就是說,您可以使用自定義承載撰寫體驗,以您選擇的語言建立自己的承載。 我們也強烈建議您收集用來以特定地理位置中的用戶為目標的現有承載。 換句話說,讓攻擊者為您本地化內容。
問:有多少個訓練影片可供使用?
答:目前,內容庫中有超過85個訓練模組可供使用。
問:如何切換至管理入口網站和訓練體驗的其他語言?
答:在 Microsoft 365 或 Office 365 中,語言組態對於每個用戶帳戶都是特定且集中的。 如需如何變更語言設定的指示,請參閱 在商務用 Microsoft 365 中變更您的顯示語言和時區。
組態變更可能需要 30 分鐘的時間,才能跨所有服務進行同步處理。
問:是否可以觸發測試模擬,以了解在啟動完整展開的營銷活動之前,其外觀?
答:可以! 在新的模擬精靈的最後一個 [ 檢閱模擬 ] 頁面上,選取 [ 傳送測試]。 此選項會將範例網路釣魚模擬訊息傳送給目前登入的使用者。 驗證收件匣中的網路釣魚訊息之後,您可以提交模擬。
提示
您也可以使用 [從承載] 頁面傳送測試。 但是,如果您曾經在模擬中使用選取的承載,測試訊息會出現在匯總報告中。 您可以匯出結果,或使用Microsoft 圖形 API 來篩選結果。
問:我是否可以將屬於不同租用戶的用戶作為相同模擬活動的一部分?
答:不能。 目前不支援跨租用戶模擬。 確認所有目標用戶都位於相同的租使用者中。 任何跨租用戶使用者或來賓用戶都會從模擬活動中排除。
問:區域感知傳遞如何運作?
答:區域感知傳遞會使用目標使用者信箱的時區屬性來判斷何時傳遞郵件。 根據使用者的時區,電子郵件傳遞中可能會有±一小時的時差。 例如,請考量下列情境:
- 在太平洋時區上午 7:00 (UTC-8) ,系統管理員會建立並排程在同一天上午 9:00 開始營銷活動。
- UserA 位於東部時區 (UTC-5) 。
- UserB 也位於太平洋時區。
同一天上午 9:00,模擬訊息會傳送至 UserB。 使用區域感知傳遞時,訊息不會在同一天傳送至UserA,因為太平洋時間上午9:00是東部時間下午12:00。 相反地,訊息會在下一天的東部時間上午 9:00 傳送至 UserA。
因此,在已啟用區域感知傳遞的行銷活動初始執行時,模擬訊息可能只會傳送給特定時區中的使用者。 但是,隨著時間過去,且有更多用戶進入範圍,目標使用者就會增加。
如果您未使用區域感知傳遞,活動會根據設定活動的使用者時區開始。
問:Microsoft收集或儲存使用者在 Credential Harvest 模擬技術中使用的 [認證收集登入] 頁面上輸入的任何資訊嗎?
答:不能。 在認證收集登入頁面輸入的任何資訊,會以無訊息方式捨棄。 只會記錄 『click』 來擷取入侵事件。 Microsoft不會收集、記錄或儲存使用者在此步驟中輸入的任何詳細數據。
問:模擬資訊會保留多久? 我可以刪除模擬數據嗎?
答:請參閱下表:
資料類型 | 保留 |
---|---|
模擬元數據 | 除非系統 管理員更快刪除模擬,否則為18個月。 |
模擬自動化 | 除非系統 管理員更快刪除模擬自動化,否則為18個月。 |
承載自動化 | 除非系統 管理員更快刪除承載自動化,否則為18個月。 |
模擬元數據中的用戶活動 | 除非系統 管理員更快刪除模擬,否則為18個月。 |
全域承載 | 除非Microsoft刪除,否則會保存。 |
租用戶承載 | 除非系統 管理員更快刪除封存的承載,否則為18個月。 |
定型元數據中的用戶活動 | 除非系統 管理員更快刪除模擬,否則為18個月。 |
MDO 建議的承載 | 6 個月。 |
全域使用者通知 | 除非Microsoft刪除,否則會保存。 |
租用戶使用者通知 | 除非 系統管理員更快刪除通知,否則為18個月。 |
全域登入頁面 | 除非Microsoft刪除,否則會保存。 |
租使用者登入頁面 | 除非系統 管理員更快刪除登入頁面,否則為18個月。 |
全域登陸頁面 | 除非Microsoft刪除,否則會保存 |
租使用者登陸頁面 | 除非系統 管理員更快刪除登陸頁面,否則為18個月。 |
如果刪除整個租用戶,攻擊模擬訓練數據會在 90 天后刪除。
如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 的數據保留資訊。
問:我可以使用 API 來建立、檢視和管理模擬嗎?
答:可以。 使用下Microsoft 圖形 API 支援讀取和寫入案例:
-
AttackSimulation.Read.All
:- 讀取模擬元數據
- 讀取用戶活動
- 讀取定型數據
- 讀取重複的語法
-
AttackSimulation.ReadWrite.All
:使用指定的承載、通知和登入頁面來執行模擬。
如需詳細資訊,請參閱列出模擬和報告 API 概觀,以在 適用於 Office 365 的 Microsoft Defender 中進行攻擊模擬訓練。
問:我可以刪除自定義承載嗎?
答:可以。 首先封存承載,然後刪除封存的承載。 如需指示,請參閱 封存承載。
問:我可以修改內建承載嗎?
答:不是直接。 您可以複製內建承載,然後修改複本。 如需指示,請參閱 複製承載。
問:我嘗試執行 QR 程式代碼模擬,但掃描 QR 代碼會顯示「Ping 成功」,而不是登陸頁面?
答:當您在承載編輯器中插入 QR 代碼時,它會對應至您在 [網络釣魚連結] 區段 > [選取 URL] 中選取的基底網络釣魚 URL。 QR 代碼會以影像方式插入電子郵件訊息中。 如果您從 [ 文字 ] 索引標籤切換至 [ 程序代碼] 索引 標籤,您會看到以Base64格式插入的影像。 影像的開頭包含 <div id="QRcode"...>
。 在模擬中使用完成的承載之前,請務必先確認其包含 <div id="QRcode"...>
。
在模擬建立期間,如果您掃描 QR 代碼,或使用 傳送測試 來檢閱承載,QR 代碼會指向您選取的基底網路釣魚 URL。
在模擬中使用承載時,服務會以動態產生的 QR 代碼取代 QR 代碼,以追蹤點擊和入侵計量。 QR 代碼的大小、位置和形狀符合您在承載中設定的組態選項。 在實際模擬期間掃描 QR 代碼會帶您前往設定的登陸頁面。
問:我嘗試以 HTML 建立承載,但承載編輯器似乎要從我的設計中移除某些內容?
答:目前承載編輯器不支援下列 HTML 標籤: applet, base, basefont, command, embed, frame, frameset, iframe, keygen, link, meta, noframes, noscript, param, script, object, title
。