Share via

Considerazioni e domande frequenti sulla distribuzione della formazione del Simulatore di attacchi

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Formazione con simulazione degli attacchi consente alle organizzazioni Microsoft 365 E5 o Microsoft Defender per Office 365 Piano 2 di misurare e gestire i rischi di ingegneria sociale consentendo la creazione e la gestione di simulazioni di phishing basate su payload di phishing reali e innocui. La formazione iper-mirata, fornita in collaborazione con terranova security, consente di migliorare le conoscenze e modificare il comportamento dei dipendenti.

Per altre informazioni su come iniziare a usare Formazione con simulazione degli attacchi, vedere Introduzione all'uso di Formazione con simulazione degli attacchi.

Anche se l'esperienza di creazione e pianificazione della simulazione è progettata per essere a flusso libero e senza problemi, le simulazioni su scala aziendale richiedono una pianificazione. Questo articolo illustra le problematiche specifiche riscontrate dai clienti durante l'esecuzione di simulazioni nei propri ambienti.

Problemi con le esperienze degli utenti finali

URL di simulazione di phishing bloccati da Google Safe Browsing

Un servizio di reputazione URL potrebbe identificare uno o più URL usati da Formazione con simulazione degli attacchi come non sicuri. Google Safe Browsing in Google Chrome blocca alcuni degli URL di phishing simulati con un messaggio di anticipo del sito ingannevole . Anche se collaboriamo con molti fornitori di reputazione URL per consentire sempre gli URL di simulazione, non sempre abbiamo una copertura completa.

Avviso del sito ingannevole in anticipo in Google Chrome

Questo problema non influisce su Microsoft Edge.

Come parte della fase di pianificazione, assicurarsi di controllare la disponibilità dell'URL nei Web browser supportati prima di usare l'URL in una campagna di phishing. Se gli URL sono bloccati da Google Safe Browsing, seguire queste indicazioni di Google per consentire l'accesso agli URL.

Per l'elenco degli URL attualmente usati da Formazione con simulazione degli attacchi, vedere Introduzione all'uso di Formazione con simulazione degli attacchi.

URL di amministrazione e simulazione di phishing bloccati da soluzioni proxy di rete e driver di filtro

Sia gli URL di simulazione di phishing che gli URL di amministratore potrebbero essere bloccati o eliminati dai dispositivi o dai filtri di sicurezza intermedi. Ad esempio:

  • Firewall
  • soluzioni Web application firewall (WAF)
  • Driver di filtro di terze parti (ad esempio, filtri in modalità kernel)

Anche se a questo livello sono stati bloccati pochi clienti, questo problema si verifica. Se si verificano problemi, provare a configurare gli URL seguenti per ignorare l'analisi da parte dei dispositivi di sicurezza o dei filtri in base alle esigenze:

Messaggi di simulazione non recapitati a tutti gli utenti di destinazione

È possibile che il numero di utenti che effettivamente ricevono i messaggi di posta elettronica di simulazione sia inferiore al numero di utenti interessati dalla simulazione. I tipi di utenti seguenti vengono esclusi come parte della convalida di destinazione:

  • Indirizzi di posta elettronica del destinatario non validi.
  • Utenti guest.
  • Utenti che non sono più attivi in Microsoft Entra ID.

Se si usano gruppi di distribuzione o gruppi di sicurezza abilitati alla posta elettronica per gli utenti, è possibile usare il cmdlet Get-DistributionGroupMember in Exchange Online PowerShell per visualizzare e convalidare i membri del gruppo di distribuzione.

Problemi relativi alla creazione di report Formazione con simulazione degli attacchi

Formazione con simulazione degli attacchi report non contengono dettagli attività

Formazione con simulazione degli attacchi include informazioni dettagliate dettagliate e interattive che consentono di essere informati sull'avanzamento della preparazione delle minacce dei dipendenti. Se Formazione con simulazione degli attacchi report non vengono popolati con dati, verificare che la registrazione di controllo sia attivata nell'organizzazione (è attivata per impostazione predefinita).

La registrazione di controllo è necessaria per Formazione con simulazione degli attacchi in modo che gli eventi possano essere acquisiti, registrati e letti. La disattivazione della registrazione di controllo ha le conseguenze seguenti per Formazione con simulazione degli attacchi:

  • I dati di creazione di report non sono disponibili in tutti i report. I report vengono visualizzati vuoti.
  • Le assegnazioni di training vengono bloccate perché i dati non sono disponibili.

Per verificare che la registrazione di controllo sia attivata o per attivarla, vedere Attivare o disattivare il controllo.

Nota

I dettagli delle attività vuote possono anche essere causati dall'assenza di licenze E5 assegnate agli utenti. Verificare che almeno una licenza E5 sia assegnata a un utente attivo per assicurarsi che gli eventi di segnalazione vengano acquisiti e registrati.

Segnalazione di problemi con le cassette postali locali

Formazione con simulazione degli attacchi supporta le cassette postali locali, ma con funzionalità di creazione di report ridotte:

  • I dati che indicano se gli utenti leggono, inoltrano o eliminano il messaggio di posta elettronica di simulazione non sono disponibili per le cassette postali locali.
  • Il numero di utenti che hanno segnalato il messaggio di posta elettronica di simulazione non è disponibile per le cassette postali locali.

I report di simulazione non vengono aggiornati immediatamente

I report di simulazione dettagliati non vengono aggiornati immediatamente dopo l'avvio di una campagna. Non preoccuparti; questo comportamento è previsto.

Ogni campagna di simulazione ha un ciclo di vita. Quando viene creata per la prima volta, la simulazione è nello stato Pianificato . All'avvio della simulazione, passa allo stato In corso . Al termine, la simulazione passa allo stato Completato .

Mentre una simulazione è nello stato Pianificato , i report di simulazione sono per lo più vuoti. Durante questa fase, il motore di simulazione sta risolvendo gli indirizzi di posta elettronica degli utenti di destinazione, espandendo i gruppi di distribuzione, rimuovendo gli utenti guest dall'elenco e così via:

Dettagli della simulazione che mostrano la simulazione nello stato Pianificato

Una volta che la simulazione entra nella fase In corso , le informazioni iniziano a entrare nel report:

Dettagli della simulazione che mostrano la simulazione nello stato In corso

L'aggiornamento dei singoli report di simulazione dopo la transizione allo stato In corso può richiedere fino a 30 minuti. I dati del report continuano a essere compilati fino a quando la simulazione non raggiunge lo stato Completato . Gli aggiornamenti per la creazione di report vengono eseguiti a intervalli seguenti:

  • Ogni 10 minuti per i primi 60 minuti.
  • Ogni 15 minuti dopo 60 minuti fino a due giorni.
  • Ogni 30 minuti dopo due giorni fino a sette giorni.
  • Ogni 60 minuti dopo sette giorni.

I widget nella pagina Panoramica offrono uno snapshot rapido del comportamento di sicurezza basato sulla simulazione dell'organizzazione nel corso del tempo. Poiché questi widget riflettono il comportamento di sicurezza complessivo e il percorso nel tempo, vengono aggiornati dopo il completamento di ogni campagna di simulazione.

Nota

È possibile usare l'opzione Esporta nelle varie pagine di report per estrarre i dati.

I messaggi segnalati come phishing dagli utenti non vengono visualizzati nei report di simulazione

I report di simulazione nel training del simulatore di attacco forniscono dettagli sull'attività dell'utente. Ad esempio:

  • Utenti che hanno fatto clic sul collegamento nel messaggio.
  • Utenti che hanno rinunciato alle credenziali.
  • Utenti che hanno segnalato il messaggio come phishing.

Se i messaggi segnalati dagli utenti come phishing non vengono acquisiti nei report di simulazione Formazione con simulazione degli attacchi, potrebbe essere presente una regola del flusso di posta di Exchange (nota anche come regola di trasporto) che blocca il recapito dei messaggi segnalati a Microsoft. Verificare che le regole del flusso di posta non blocchino il recapito agli indirizzi di posta elettronica seguenti:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

Agli utenti viene assegnato il training dopo aver segnalato un messaggio simulato

Se agli utenti viene assegnato il training dopo aver segnalato un messaggio di simulazione di phishing, verificare se l'organizzazione usa una cassetta postale di report per ricevere i messaggi segnalati dall'utente all'indirizzo https://security.microsoft.com/securitysettings/userSubmission. La cassetta postale di report deve essere configurata per ignorare molti controlli di sicurezza, come descritto nei prerequisiti della cassetta postale di report.

Se non si configurano le esclusioni necessarie per la cassetta postale di report personalizzata, i messaggi potrebbero essere esplosi da collegamenti sicuri o protezione degli allegati sicuri, che causa assegnazioni di training.

Altre domande frequenti

R: Sono disponibili diverse opzioni per gli utenti di destinazione:

  • Includere tutti gli utenti (attualmente disponibili per le organizzazioni con meno di 40.000 utenti).
  • Scegliere utenti specifici.
  • Selezionare gli utenti da un file CSV (un indirizzo di posta elettronica per riga).
  • Microsoft Entra targeting basato su gruppo.

È stato rilevato che le campagne in cui gli utenti di destinazione sono identificati dai gruppi di Microsoft Entra sono più facili da gestire.

D: Sono previsti limiti per la destinazione degli utenti durante l'importazione da un csv o l'aggiunta di utenti?

R: Il limite per l'importazione di destinatari da un file CSV o l'aggiunta di singoli destinatari a una simulazione è 40.000.

Un destinatario può essere un singolo utente o un gruppo. Un gruppo può contenere centinaia o migliaia di destinatari, pertanto non viene applicato un limite effettivo al numero di singoli utenti.

La gestione di un file CSV di grandi dimensioni o l'aggiunta di molti singoli destinatari può risultare complessa. L'uso di Microsoft Entra gruppi semplifica la gestione complessiva della simulazione.

D: Microsoft fornisce payload in altre lingue?

R: Attualmente sono disponibili oltre 40 payload localizzati in oltre 29 lingue: inglese, spagnolo, tedesco, giapponese, francese, portoghese, olandese, italiano, svedese, cinese (semplificato), norvegese Bokmål, polacco, russo, finlandese, coreano, turco, ungherese, ebraico, tailandese, arabo, vietnamita, slovacco, greco, indonesiano, rumeno, sloveno, croato, catalano e altro. È stato stabilito che la traduzione diretta o automatica dei payload esistenti in altre lingue causa imprecisioni e riduzione della rilevanza.

Detto questo, è possibile creare il proprio payload nel linguaggio preferito usando l'esperienza di creazione del payload personalizzata. È anche consigliabile raccogliere i payload esistenti usati per indirizzare gli utenti in un'area geografica specifica. In altre parole, consentire agli utenti malintenzionati di localizzare il contenuto.

D: Quanti video di training sono disponibili?

R: Attualmente sono disponibili più di 85 moduli di training nella raccolta contenuto.

D: Come è possibile passare ad altre lingue per il portale di amministrazione e l'esperienza di formazione?

R: In Microsoft 365 o Office 365, la configurazione della lingua è specifica e centralizzata per ogni account utente. Per istruzioni su come modificare l'impostazione della lingua, vedere Modificare la lingua di visualizzazione e il fuso orario in Microsoft 365 for Business.

La sincronizzazione della modifica della configurazione potrebbe richiedere fino a 30 minuti per tutti i servizi.

D: È possibile attivare una simulazione di test per comprendere l'aspetto prima di avviare una campagna completa?

R: Sì, puoi! Nell'ultima pagina Rivedi simulazione della nuova simulazione guidata selezionare Invia un test. Questa opzione invia un messaggio di simulazione di phishing di esempio all'utente attualmente connesso. Dopo aver convalidato il messaggio di phishing nella posta in arrivo, è possibile inviare la simulazione.

Pulsante Invia un test nella pagina Verifica simulazione

D: È possibile scegliere come destinazione gli utenti che appartengono a un tenant diverso nell'ambito della stessa campagna di simulazione?

R. No. Attualmente, le simulazioni tra tenant non sono supportate. Verificare che tutti gli utenti di destinazione si trovino nello stesso tenant. Tutti gli utenti cross-tenant o guest sono esclusi dalla campagna di simulazione.

D: Come funziona il recapito in grado di riconoscere l'area?

R: Il recapito in grado di riconoscere l'area usa l'attributo TimeZone della cassetta postale dell'utente di destinazione e la logica "non prima" per determinare quando recapitare il messaggio. Si consideri, ad esempio, lo scenario seguente:

  • Alle 7:00 nel fuso orario del Pacifico (UTC-8), un amministratore crea e pianifica una campagna per iniziare alle 9:00 dello stesso giorno.
  • UserA si trova nel fuso orario orientale (UTC-5).
  • UserB si trova anche nel fuso orario del Pacifico.

Alle 9:00 dello stesso giorno, il messaggio di simulazione viene inviato a UserB. Con il recapito in grado di riconoscere l'area, il messaggio non viene inviato all'UtenteA nello stesso giorno, perché le 9:00 ora del Pacifico sono le 12:00 ora orientale. Il messaggio viene invece inviato a UserA alle 9:00 ora orientale del giorno seguente.

Quindi, all'esecuzione iniziale di una campagna con il recapito con riconoscimento dell'area abilitato, potrebbe sembrare che il messaggio di simulazione sia stato inviato solo agli utenti in un fuso orario specifico. Tuttavia, man mano che il tempo passa e un numero maggiore di utenti entra nell'ambito, gli utenti di destinazione aumentano.

D: Microsoft raccoglie o archivia le informazioni immesse dagli utenti nella pagina di accesso Credential Harvest, usata nella tecnica di simulazione Credential Harvest?

R. No. Tutte le informazioni immesse nella pagina di accesso alla raccolta delle credenziali vengono ignorate in modo invisibile all'utente. Viene registrato solo il "clic" per acquisire l'evento di compromissione. Microsoft non raccoglie, registra o archivia i dettagli immessi dall'utente in questo passaggio.