공격 시뮬레이션 교육 배포 고려 사항 및 FAQ

팁

Office 365 플랜 2의 Microsoft 365 Defender 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft 365 Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록할 수 있는 사용자 및 평가판 약관에 대해 알아봅니 다.

적용 대상

• Office 365용 Microsoft Defender 플랜 2

공격 시뮬레이션 교육을 통해 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 계획 2 조직은 실제, 무기화되지 않은 피싱 페이로드로 구동되는 피싱 시뮬레이션을 만들고 관리할 수 있도록 하여 소셜 엔지니어링 위험을 측정하고 관리할 수 있습니다. Terranova 보안과 협력하여 제공되는 하이퍼 타겟 교육은 지식을 개선하고 직원 행동을 변경하는 데 도움이 됩니다.

공격 시뮬레이션 학습을 시작하는 방법에 대한 자세한 내용은 공격 시뮬레이션 학습 사용 시작을 참조하세요.

전체 시뮬레이션 생성 및 일정 환경은 자유롭게 흐르고 마찰이 없도록 설계되었지만 엔터프라이즈 규모에서 시뮬레이션을 실행하려면 종종 계획이 필요합니다. 이 문서는 고객이 자체 환경에서 시뮬레이션을 실행할 때 표시되는 특정 문제를 해결하는 데 도움이 됩니다.

최종 사용자 환경 관련 문제

Google 안전 검색으로 차단된 피싱 시뮬레이션 URL

URL 평판 서비스는 공격 시뮬레이션 학습에서 안전하지 않은 것으로 사용되는 하나 이상의 URL을 식별할 수 있습니다. Google Chrome의 Google Safe 브라우징은 기 만적인 사이트 미리 메시지와 함께 시뮬레이션된 피싱 URL 중 일부를 차단합니다. 시뮬레이션 URL을 항상 허용하기 위해 많은 URL 평판 공급업체와 협력하지만 항상 전체 범위가 있는 것은 아닙니다.

이 문제는 Microsoft Edge에 영향을 주지 않습니다.

계획 단계의 일부로 피싱 캠페인에서 URL을 사용하기 전에 지원되는 웹 브라우저에서 URL의 가용성을 확인해야 합니다. Google Safe 브라우징에 의해 URL이 차단된 경우 Google의 이 지침에 따라 URL에 대한 액세스를 허용합니다.

공격 시뮬레이션 학습에서 현재 사용되는 URL 목록에 대한 공격 시뮬레이션 학습 사용을 참조하세요 .

네트워크 프록시 솔루션 및 필터 드라이버에 의해 차단된 피싱 시뮬레이션 및 관리자 URL

중간 보안 디바이스 또는 필터에 의해 피싱 시뮬레이션 URL과 관리자 URL이 모두 차단되거나 삭제될 수 있습니다. 예시:

• 방화벽
• WAF(Web Application Firewall) 솔루션
• 타사 필터 드라이버(예: 커널 모드 필터)

이 계층에서 차단되는 고객은 거의 없지만 이런 일이 발생합니다. 문제가 발생하는 경우 필요에 따라 보안 디바이스 또는 필터에서 검사를 무시하도록 다음 URL을 구성하는 것이 좋습니다.

• 공격 시뮬레이션 학습을 사용하여 시작하기에 설명된 대로 시뮬레이션된 피싱 URL입니다.
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

시뮬레이션 메시지가 모든 대상 사용자에게 전달되지 않음

실제로 시뮬레이션 전자 메일 메시지를 받는 사용자 수가 시뮬레이션의 대상이 된 사용자 수보다 적을 수 있습니다. 대상 유효성 검사의 일부로 제외되는 사용자 유형은 다음과 같습니다.

• 받는 사람 전자 메일 주소가 잘못되었습니다.
• 게스트 사용자.
• Azure Active Directory(Azure AD)에서 더 이상 활성화되지 않은 사용자입니다.

유효한 사서함이 있는 유효한 게스트가 아닌 사용자만 시뮬레이션에 포함됩니다. 메일 그룹 또는 메일 사용 가능 보안 그룹을 사용하여 사용자를 대상으로 지정하는 경우 Exchange Online PowerShell에서 Get-DistributionGroupMember cmdlet을 사용하여 메일 그룹 구성원을 보고 유효성을 검사할 수 있습니다.

공격 시뮬레이션 학습 보고 관련 문제

공격 시뮬레이션 학습 보고서에는 활동 세부 정보가 포함되지 않습니다.

공격 시뮬레이션 교육은 직원의 위협 준비 진행 상황을 계속 알려주는 다양하고 실행 가능한 인사이트를 제공합니다. 공격 시뮬레이션 학습 보고서가 데이터로 채워지지 않으면 조직에서 감사 로그 검색이 켜져 있는지 확인합니다(기본적으로 켜져 있음).

감사 로그 검색은 이벤트를 캡처, 기록 및 다시 읽을 수 있도록 공격 시뮬레이션 학습에 필요합니다. 감사 로그 검색을 해제하면 공격 시뮬레이션 학습에 다음과 같은 결과가 발생할 수 있습니다.

• 보고 데이터는 모든 보고서에서 사용할 수 없습니다. 보고서가 비어 있는 것으로 표시됩니다.
• 데이터를 사용할 수 없으므로 학습 할당이 차단됩니다.

감사 로그 검색을 켜려면 감사 로그 검색 설정 또는 해제를 참조하세요.

참고

사용자에게 할당되는 E5 라이선스가 없어 빈 활동 세부 정보도 발생할 수 있습니다. 보고 이벤트가 캡처되고 기록되는지 확인하기 위해 활성 사용자에게 하나 이상의 E5 라이선스가 할당되었는지 확인합니다.

시뮬레이션 보고서는 즉시 업데이트되지 않습니다.

캠페인을 실행한 직후에 자세한 시뮬레이션 보고서는 업데이트되지 않습니다. 걱정하지 마세요. 이 동작이 필요합니다.

모든 시뮬레이션 캠페인에는 수명 주기가 있습니다. 처음 만들 때 시뮬레이션은 예약된 상태입니다. 시뮬레이션이 시작되면 진행 중 상태로 전환됩니다. 완료되면 시뮬레이션이 완료됨 상태로 전환됩니다.

시뮬레이션이 예약된 상태에 있는 동안 시뮬레이션 보고서는 대부분 비어 있습니다. 이 단계에서 시뮬레이션 엔진은 대상 사용자 이메일 주소를 해결하고, 배포 그룹을 확장하고, 목록에서 게스트 사용자를 제거하는 등의 작업을 수행합니다.

시뮬레이션이 진행 중 단계로 들어가면 보고에 정보가 흘러들어오기 시작하는 것을 알 수 있습니다.

진행 중 상태로 전환한 후 개별 시뮬레이션 보고서가 업데이트되려면 최대 30분이 걸릴 수 있습니다. 시뮬레이션이 완료된 상태에 도달할 때까지 보고서 데이터는 계속 빌드 됩니다 . 보고 업데이트는 다음 간격으로 발생합니다.

• 처음 60분 동안 10분마다.
• 60분 후 2일까지 15분마다.
• 2일 후 7일까지 30분마다.
• 7일 후 60분마다.

개요 페이지의 위젯은 시간이 지남에 따라 조직의 시뮬레이션 기반 보안 태세에 대한 빠른 스냅샷을 제공합니다. 이러한 위젯은 시간이 지남에 따라 전반적인 보안 상태와 여정을 반영하기 때문에 각 시뮬레이션 캠페인이 완료된 후에 업데이트됩니다.

참고

다양한 보고 페이지에서 내보내기 옵션을 사용하여 데이터를 추출할 수 있습니다.

사용자가 피싱으로 보고한 메시지가 시뮬레이션 보고서에 표시되지 않음

공격 시뮬레이터 학습의 시뮬레이션 보고서는 사용자 활동에 대한 세부 정보를 제공합니다. 예시:

• 메시지의 링크를 클릭한 사용자입니다.
• 자격 증명을 포기한 사용자입니다.
• 메시지를 피싱으로 보고한 사용자입니다.

사용자가 피싱으로 보고한 메시지가 공격 시뮬레이션 학습 시뮬레이션 보고서에서 캡처되지 않는 경우 Microsoft에 보고된 메시지 배달을 차단하는 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)이 있을 수 있습니다. 메일 흐름 규칙이 다음 전자 메일 주소로의 배달을 차단하지 않는지 확인합니다.

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• junk@office365.microsoft.com 않음_

시뮬레이션된 메시지를 보고한 후 사용자에게 학습이 할당됩니다.

피싱 시뮬레이션 메시지를 보고한 후 사용자에게 학습이 할당된 경우 조직에 사용자 제출 정책에 구성된 사용자 지정 사서함 이 있는지 확인합니다. 사용자 지정 사서함 을 구성할 때 이 사서함은 사용자 지정 사서함 필수 구성 요소에 따라 안전한 링크 및 안전한 첨부 파일 정책에서 제외해야 합니다.

조직에 사용자 지정 사서함 이 구성되어 있고 필요한 제외를 설정하지 않은 경우 이러한 메시지가 폭발하여 학습 할당이 발생할 수 있습니다.

기타 질문과 대답

Q: 시뮬레이션 캠페인을 위해 사용자를 대상으로 하는 권장되는 방법은 무엇인가요?

A: 대상 사용자가 사용할 수 있는 몇 가지 옵션은 다음과 같습니다.

• 모든 사용자(현재 사용자가 40,000명 미만인 조직에서 사용 가능)를 포함합니다.
• 특정 사용자를 선택합니다.
• CSV 파일에서 사용자를 선택합니다(줄당 하나의 이메일 주소).
• 그룹 기반 대상 지정을 Azure AD.

대상 사용자를 Azure AD 그룹으로 식별하는 캠페인은 일반적으로 관리가 더 쉽습니다.

Q: CSV에서 가져오거나 사용자를 추가하는 동안 사용자를 대상으로 지정하는 데 제한이 있나요?

A: CSV 파일에서 받는 사람을 가져오거나 개별 받는 사람을 시뮬레이션에 추가하는 제한은 40,000입니다.

받는 사람은 개별 사용자 또는 그룹일 수 있습니다. 그룹에는 수백 또는 수천 명의 받는 사람이 포함될 수 있으므로 실제 제한은 개별 사용자 수에 포함되지 않습니다.

큰 CSV 파일을 관리하거나 많은 개별 받는 사람을 추가하는 것은 번거로울 수 있습니다. Azure AD 그룹을 사용하면 시뮬레이션의 전반적인 관리가 간소화됩니다.

Q: Microsoft는 다른 언어로 페이로드를 제공하나요?

A: 현재 10개 이상의 언어로 사용할 수 있는 40개 이상의 지역화된 페이로드가 있습니다. 중국어(간체), 중국어(번체), 영어, 프랑스어, 독일어, 이탈리아어, 일본어, 한국어, 포르투갈어, 러시아어, 스페인어 및 네덜란드어입니다. 기존 페이로드를 다른 언어로 직접 또는 기계로 변환하면 부정확하고 관련성이 감소합니다.

즉, 사용자 지정 페이로드 작성 환경을 사용하여 원하는 언어로 고유한 페이로드를 만들 수 있습니다. 또한 특정 지역의 사용자를 대상으로 하는 데 사용된 기존 페이로드를 수집할 것을 강력히 권장합니다. 즉, 공격자가 콘텐츠를 지역화하도록 합니다.

Q: 관리 포털 및 교육 환경을 위해 다른 언어로 전환하려면 어떻게 해야 하나요?

A: Microsoft 365 또는 Office 365 언어 구성은 각 사용자 계정에 대해 특정하고 중앙 집중화됩니다. 언어 설정을 변경하는 방법에 대한 지침은 비즈니스용 Microsoft 365에서 표시 언어 및 표준 시간대 변경을 참조하세요.

구성 변경은 모든 서비스에서 동기화하는 데 최대 30분이 걸릴 수 있습니다.

Q: 본격적인 캠페인을 시작하기 전에 테스트 시뮬레이션을 트리거하여 모양을 파악할 수 있나요?

A: 네, 할 수 있습니다! 마법사의 마지막 검토 시뮬레이션 페이지에서 새 시뮬레이션을 만들려면 테스트를 보내는 옵션이 있습니다. 이 옵션은 현재 로그인한 사용자에게 샘플 피싱 시뮬레이션 메시지를 보냅니다. 받은 편지함에서 피싱 메시지의 유효성을 검사한 후 시뮬레이션을 제출할 수 있습니다.

Q: 동일한 시뮬레이션 캠페인의 일부로 다른 테넌트에 속한 사용자를 대상으로 지정할 수 있나요?

대답: 아니요. 현재 테넌트 간 시뮬레이션은 지원되지 않습니다. 모든 대상 사용자가 동일한 테넌트에 있는지 확인합니다. 테넌트 간 사용자 또는 게스트 사용자는 시뮬레이션 캠페인에서 제외됩니다.

Q: 지역 인식 배달은 어떻게 작동하나요?

A: 지역 인식 배달은 대상 사용자 사서함의 TimeZone 특성과 '이전이 아님' 논리를 사용하여 메시지를 배달할 시기를 결정합니다. 예를 들어 다음 시나리오를 고려해 보세요.

• 태평양 표준 시간대(UTC-8)의 오전 7:00에 관리자는 같은 날 오전 9시에 캠페인을 만들고 예약합니다.
• UserA는 동부 표준 시간대(UTC-5)에 있습니다.
• UserB는 태평양 표준 시간대에도 있습니다.

같은 날 오전 9:00에 시뮬레이션 메시지가 UserB로 전송됩니다. 지역 인식 배달에서는 태평양 표준시 오전 9:00이 동부 시간으로 오후 12:00이므로 같은 날 UserA에 메시지가 전송되지 않습니다. 대신, 메시지는 다음 날 오전 9:00 동부 시간으로 UserA로 전송됩니다.

따라서 지역 인식 배달을 사용하도록 설정된 캠페인의 초기 실행 시 시뮬레이션 메시지가 특정 표준 시간대의 사용자에게만 전송된 것처럼 보일 수 있습니다. 그러나 시간이 지남에 따라 더 많은 사용자가 범위에 들어오면 대상 사용자가 증가합니다.

Q: Microsoft는 자격 증명 수확 시뮬레이션 기술에 사용되는 자격 증명 수확 로그인 페이지에서 사용자가 입력하는 정보를 수집하거나 저장하나요?

대답: 아니요. 자격 증명 수집 로그인 페이지에 입력된 모든 정보는 자동으로 삭제됩니다. 손상 이벤트를 캡처하기 위해 'click'만 기록됩니다. Microsoft는 이 단계에서 사용자가 입력하는 세부 정보를 수집, 기록 또는 저장하지 않습니다.