بدء استخدام التدريب على محاكاة الهجوم

مقالة
04/26/2024
ينطبق على:

✅ Microsoft Defender for Office 365 Plan 2

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في المؤسسات التي لها Microsoft Defender لـ Office 365 الخطة 2 (تراخيص إضافية أو مضمنة في اشتراكات مثل Microsoft 365 E5)، يمكنك استخدام التدريب على محاكاة الهجوم في Microsoft Defender مدخل لتشغيل سيناريوهات هجوم واقعية في مؤسستك. يمكن أن تساعدك هذه الهجمات المحاكاة في تحديد المستخدمين المعرضين للخطر والعثور عليها قبل أن يؤثر الهجوم الحقيقي على خط النهاية الخاص بك.

تشرح هذه المقالة أساسيات التدريب على محاكاة الهجوم.

شاهد هذا الفيديو القصير لمعرفة المزيد حول التدريب على محاكاة الهجوم.

ملاحظة

يحل التدريب على محاكاة الهجوم محل تجربة محاكي الهجوم v1 القديمة التي كانت متوفرة في مركز التوافق & الأمان فيمحاكي هجوم إدارة >التهديداتأو https://protection.office.com/attacksimulator.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

يتطلب التدريب على محاكاة الهجوم ترخيصا Microsoft 365 E5 أو Microsoft Defender لـ Office 365 الخطة 2. لمزيد من المعلومات حول متطلبات الترخيص، راجع شروط الترخيص.
يدعم التدريب على محاكاة الهجوم علب البريد المحلية، ولكن مع انخفاض وظائف إعداد التقارير. لمزيد من المعلومات، راجع الإبلاغ عن المشكلات المتعلقة بعلب البريد المحلية.
لفتح مدخل Microsoft Defender، انتقل إلى https://security.microsoft.com. يتوفر التدريب على محاكاة الهجوم في البريد الإلكتروني والتعاون>التدريب على محاكاة الهجوم. للانتقال مباشرة إلى التدريب على محاكاة الهجوم، استخدم https://security.microsoft.com/attacksimulator.
لمزيد من المعلومات حول توفر التدريب على محاكاة الهجوم عبر اشتراكات Microsoft 365 المختلفة، راجع وصف خدمة Microsoft Defender لـ Office 365.
يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:
- Microsoft Entra الأذونات: تحتاج إلى عضوية في أحد الأدوار التالية:
  - المسؤول العام
  - مسؤول الأمان
  - مسؤولو ^*محاكاة الهجوم: الإنشاء وإدارة جميع جوانب حملات محاكاة الهجوم.
  - كاتب حمولة^* الهجوم: الإنشاء حمولات الهجوم التي يمكن للمسؤول بدءها لاحقا.
  ^*إضافة مستخدمين إلى مجموعة الأدوار هذه في البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defender غير مدعوم حاليا.
  
  حاليا، Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) غير مدعوم.
لا توجد أوامر cmdlets PowerShell المقابلة التدريب على محاكاة الهجوم.
يتم تخزين البيانات المتعلقة بمحاكاة الهجوم والتدريب مع بيانات العملاء الأخرى لخدمات Microsoft 365. لمزيد من المعلومات، راجع مواقع بيانات Microsoft 365. تتوفر التدريب على محاكاة الهجوم في المناطق التالية: APC و EUR و NAM. وتشمل البلدان داخل هذه المناطق التي تتوفر فيها التدريب على محاكاة الهجوم هي، ووحدات AUS، و BRA، و CAN، و CHE، و DEU، و FRA، و GBR، و IND، و JPN، و KOR، و LAM، و NOR، و POL، و QAT، و SGP، و SWE، و ZAF.

ملاحظة

NOR، ZAF، ARE و DEU هي أحدث الإضافات. تتوفر جميع الميزات باستثناء بيانات تتبع الاستخدام للبريد الإلكتروني المبلغ عنها في هذه المناطق. نحن نعمل على تمكين الميزات وسنقوم بإعلام العملاء بمجرد توفر بيانات تتبع الاستخدام للبريد الإلكتروني المبلغ عنها.
اعتبارا من سبتمبر 2023، تتوفر التدريب على محاكاة الهجوم في بيئات Microsoft 365 GCC و GCC High، ولكن بعض الميزات المتقدمة غير متوفرة في GCC High (على سبيل المثال، أتمتة الحمولة، الحمولات الموصى بها، معدل الاختراق المتوقع). إذا كان لدى مؤسستك Office 365 G5 GCC أو Microsoft Defender لـ Office 365 (الخطة 2) للحكومة، يمكنك استخدام التدريب على محاكاة الهجوم كما هو موضح في هذه المقالة. التدريب على محاكاة الهجوم غير متوفر بعد في بيئات DoD.

ملاحظة

يوفر التدريب على محاكاة الهجوم مجموعة فرعية من القدرات لعملاء E3 كإ إصدار تجريبي. يحتوي العرض التجريبي على القدرة على استخدام حمولة Credential Harvest والقدرة على تحديد تجارب التدريب "ISA Phishing" أو "Mass Market Phishing". لا توجد قدرات أخرى هي جزء من عرض الإصدار التجريبي E3.

المحاكاه

المحاكاة في التدريب على محاكاة الهجوم هي الحملة الشاملة التي تقدم رسائل تصيد احتيالي واقعية ولكنها غير ضارة للمستخدمين. العناصر الأساسية للمحاكاة هي:

من يحصل على رسالة التصيد الاحتيالي التي تمت محاكاتها وعلى أي جدول زمني.
التدريب الذي يحصل عليه المستخدمون استنادا إلى عملهم أو عدم اتخاذ إجراء (لكل من الإجراءات الصحيحة وغير الصحيحة) على رسالة التصيد الاحتيالي التي تمت محاكاتها.
الحمولة المستخدمة في رسالة التصيد الاحتيالي التي تمت محاكاتها (ارتباط أو مرفق)، وتكوين رسالة التصيد الاحتيالي (على سبيل المثال، الحزمة التي تم تسليمها أو مشكلة في حسابك أو ربحت جائزة).
تقنية الهندسة الاجتماعية المستخدمة. وتتصل الحمولة وتقنية الهندسة الاجتماعية ارتباطا وثيقا.

في التدريب على محاكاة الهجوم، تتوفر أنواع متعددة من تقنيات الهندسة الاجتماعية. باستثناء دليل الكيفية، تم تنسيق هذه التقنيات من إطار عمل MITRE ATT&CK®. تتوفر حمولات مختلفة لتقنيات مختلفة.

تتوفر تقنيات الهندسة الاجتماعية التالية:

حصاد بيانات الاعتماد: يرسل المهاجم للمستلم رسالة تحتوي على عنوان URL. عندما ينقر المستلم على عنوان URL، يتم نقله إلى موقع ويب يعرض عادة مربع حوار يطلب من المستخدم اسم المستخدم وكلمة المرور الخاصة به. عادة ما يتم تصميم صفحة الوجهة لتمثيل موقع ويب معروف من أجل بناء الثقة في المستخدم.
مرفق البرامج الضارة: يرسل المهاجم للمستلم رسالة تحتوي على مرفق. عندما يفتح المستلم المرفق، يتم تشغيل التعليمات البرمجية العشوائية (على سبيل المثال، ماكرو) على جهاز المستخدم لمساعدة المهاجم على تثبيت تعليمات برمجية إضافية أو ترسيخ نفسه بشكل أكبر.
رابط في المرفق: هذه التقنية هي هجين من حصاد بيانات الاعتماد. يرسل المهاجم للمستلم رسالة تحتوي على عنوان URL داخل مرفق. عندما يفتح المستلم المرفق ويضغط على عنوان URL، يتم نقله إلى موقع ويب يعرض عادة مربع حوار يطلب من المستخدم اسم المستخدم وكلمة المرور الخاصة به. عادة ما يتم تصميم صفحة الوجهة لتمثيل موقع ويب معروف من أجل بناء الثقة في المستخدم.
الارتباط بالبرامج الضارة: يرسل المهاجم للمستلم رسالة تحتوي على ارتباط إلى مرفق على موقع معروف لمشاركة الملفات (على سبيل المثال، SharePoint Online أو Dropbox). عندما ينقر المستلم على عنوان URL، يتم فتح المرفق، ويتم تشغيل التعليمات البرمجية العشوائية (على سبيل المثال، ماكرو) على جهاز المستخدم لمساعدة المهاجم على تثبيت تعليمات برمجية إضافية أو زيادة ترسيخ نفسه.
Drive-by-url: يرسل المهاجم للمستلم رسالة تحتوي على عنوان URL. عندما ينقر المستلم على عنوان URL، يتم نقله إلى موقع ويب يحاول تشغيل التعليمات البرمجية للخلفية. يحاول رمز الخلفية هذا جمع معلومات حول المستلم أو نشر تعليمات برمجية عشوائية على جهازه. عادة ما يكون موقع الويب الوجهة عبارة عن موقع ويب معروف تم اختراقه أو نسخة من موقع ويب معروف. يساعد الإلمام بموقع الويب على إقناع المستخدم بأن الارتباط آمن للنقر. تعرف هذه التقنية أيضا باسم هجوم ثقب السقي.
منحة موافقة OAuth: ينشئ المهاجم تطبيق Azure ضارا يسعى إلى الوصول إلى البيانات. يرسل التطبيق طلب بريد إلكتروني يحتوي على عنوان URL. عندما ينقر المستلم على عنوان URL، تطلب آلية منح الموافقة للتطبيق الوصول إلى البيانات (على سبيل المثال، علبة وارد المستخدم).
دليل إرشادي: دليل تعليمي يحتوي على إرشادات للمستخدمين (على سبيل المثال، كيفية الإبلاغ عن رسائل التصيد الاحتيالي).

يتم سرد عناوين URL التي تستخدمها التدريب على محاكاة الهجوم في الجدول التالي:


https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

ملاحظة

تحقق من توفر عنوان URL لمحاكاة التصيد الاحتيالي في مستعرضات الويب المدعومة قبل استخدام عنوان URL في حملة تصيد احتيالي. لمزيد من المعلومات، راجع عناوين URL لمحاكاة التصيد الاحتيالي المحظورة بواسطة Google Safe Browsing.

محاكاة الإنشاء

للحصول على إرشادات حول كيفية إنشاء عمليات المحاكاة وتشغيلها، راجع محاكاة هجوم التصيد الاحتيالي.

الصفحة المقصودة في المحاكاة هي المكان الذي يذهب إليه المستخدمون عند فتح الحمولة. عند إنشاء محاكاة، يمكنك تحديد الصفحة المقصودة لاستخدامها. يمكنك التحديد من الصفحات المنتقل إليها المضمنة أو الصفحات المقصودة المخصصة التي قمت بإنشائها بالفعل أو يمكنك إنشاء صفحة مقصودة جديدة لاستخدامها أثناء إنشاء المحاكاة. لإنشاء صفحات مقصودة، راجع الصفحات المقصودة في التدريب على محاكاة الهجوم.

ترسل إعلامات المستخدم النهائي في المحاكاة تذكيرات دورية للمستخدمين (على سبيل المثال، تعيين التدريب وإعلامات التذكير). يمكنك التحديد من الإعلامات المضمنة أو الإعلامات المخصصة التي قمت بإنشائها بالفعل أو يمكنك إنشاء إعلامات جديدة لاستخدامها أثناء إنشاء المحاكاة. لإنشاء إعلامات، راجع إعلامات المستخدم النهائي التدريب على محاكاة الهجوم.

تلميح

توفر أتمتة المحاكاة التحسينات التالية على عمليات المحاكاة التقليدية:

يمكن أن تتضمن أتمتة المحاكاة تقنيات هندسة اجتماعية متعددة حمولات ذات صلة (تحتوي المحاكاة على واحد فقط).
تدعم أتمتة المحاكاة خيارات الجدولة التلقائية (أكثر من مجرد تاريخ البدء وتاريخ الانتهاء في عمليات المحاكاة).

لمزيد من المعلومات، راجع أتمتة المحاكاة التدريب على محاكاة الهجوم.

الحمولات

على الرغم من أن محاكاة الهجوم تحتوي على العديد من الحمولات المضمنة لتقنيات الهندسة الاجتماعية المتوفرة، يمكنك إنشاء حمولات مخصصة لتناسب احتياجات عملك بشكل أفضل، بما في ذلك نسخ حمولة موجودة وتخصيصها. يمكنك إنشاء حمولات في أي وقت قبل إنشاء المحاكاة أو أثناء إنشاء المحاكاة. لإنشاء حمولات، راجع الإنشاء حمولة مخصصة التدريب على محاكاة الهجوم.

في المحاكاة التي تستخدم Credential Harvest أو Link في تقنيات الهندسة الاجتماعية المرفقة، تعد صفحات تسجيل الدخول جزءا من البيانات الأساسية التي تحددها. صفحة تسجيل الدخول هي صفحة الويب حيث يقوم المستخدمون بإدخال بيانات الاعتماد الخاصة بهم. تستخدم كل حمولة قابلة للتطبيق صفحة تسجيل دخول افتراضية، ولكن يمكنك تغيير صفحة تسجيل الدخول المستخدمة. يمكنك التحديد من صفحات تسجيل الدخول المضمنة أو صفحات تسجيل الدخول المخصصة التي قمت بإنشائها بالفعل أو يمكنك إنشاء صفحة تسجيل دخول جديدة لاستخدامها أثناء إنشاء المحاكاة أو الحمولة. لإنشاء صفحات تسجيل الدخول، راجع صفحات تسجيل الدخول في التدريب على محاكاة الهجوم.

أفضل تجربة تدريب لرسائل التصيد الاحتيالي المحاكاة هي جعلها أقرب ما يمكن إلى هجمات التصيد الاحتيالي الحقيقية التي قد تواجهها مؤسستك. ماذا لو كان بإمكانك التقاط واستخدام إصدارات غير ضارة من رسائل التصيد الاحتيالي في العالم الحقيقي التي تم اكتشافها في Microsoft 365 واستخدامها في حملات التصيد الاحتيالي المحاكاة؟ يمكنك، مع أتمتة الحمولة (المعروفة أيضا باسم جمع الحمولة). لإنشاء أتمتة البيانات الأساسية، راجع أتمتة الحمولة التدريب على محاكاة الهجوم.

التقارير والرؤى

بعد إنشاء المحاكاة وتشغيلها، تحتاج إلى معرفة كيفية سيرها. على سبيل المثال:

هل تلقى الجميع ذلك؟
من فعل ما لرسالة التصيد الاحتيالي التي تمت محاكاتها والحمولة داخلها (حذف، تقرير، فتح الحمولة، إدخال بيانات الاعتماد، وما إلى ذلك).
من أكمل التدريب المعين.

يتم وصف التقارير والرؤى المتوفرة التدريب على محاكاة الهجوم في نتائج التحليلات والتقارير التدريب على محاكاة الهجوم.

معدل التسوية المتوقع

غالبا ما تحتاج إلى تخصيص حملة محاكاة للتصيد الاحتيالي لجماهير معينة. إذا كانت رسالة التصيد الاحتيالي قريبة جدا من الكمال، فسيتم خداع الجميع تقريبا بها. إذا كان مريبا جدا، فلن ينخدع به. وتعتبر رسائل التصيد الاحتيالي التي يعتبر بعض المستخدمين صعوبة في التعرف عليها سهلة التعرف عليها من قبل مستخدمين آخرين. إذا كيف يمكنك تحقيق التوازن؟

يشير معدل الاختراق المتوقع (PCR) إلى الفعالية المحتملة عند استخدام الحمولة في المحاكاة. يستخدم PCR بيانات تاريخية ذكية عبر Microsoft 365 للتنبؤ بنسبة الأشخاص الذين سيتم اختراقهم بواسطة الحمولة. على سبيل المثال:

محتوى الحمولة.
معدلات التسوية المجمعة وغير المعرفة من عمليات المحاكاة الأخرى.
بيانات تعريف الحمولة.

يسمح لك PCR بمقارنة معدلات النقر المتوقعة مقابل الفعلية لمحاكاة التصيد الاحتيالي. يمكنك أيضا استخدام هذه البيانات لمعرفة كيفية أداء مؤسستك مقارنة بالنتائج المتوقعة.

تتوفر معلومات PCR لحمولة أينما قمت بعرض البيانات الأساسية وتحديدها، وفي التقارير والرؤى التالية:

تلميح

يستخدم "محاكي الهجوم" الارتباطات الآمنة في Defender لـ Office 365 لتتبع بيانات النقر بأمان لعنون URL في رسالة الحمولة التي يتم إرسالها إلى المستلمين المستهدفين لحملة تصيد احتيالي، حتى إذا تم إيقاف تشغيل إعداد تعقب نقرات المستخدم في نهج الارتباطات الآمنة.

التدريب بدون حيل

تقدم عمليات محاكاة التصيد الاحتيالي التقليدية للمستخدمين رسائل مشبوهة والأهداف التالية:

الحصول على المستخدمين للإبلاغ عن الرسالة على أنها مريبة.
توفير التدريب بعد النقر على المستخدمين أو تشغيل الحمولة الضارة المحاكاة والتخلي عن بيانات الاعتماد الخاصة بهم.

ولكن، في بعض الأحيان لا تريد الانتظار حتى يتخذ المستخدمون إجراءات صحيحة أو غير صحيحة قبل أن تمنحهم التدريب. يوفر التدريب على محاكاة الهجوم الميزات التالية لتخطي الانتظار والانتقال مباشرة إلى التدريب:

الحملات التدريبية: الحملة التدريبية هي مهمة تدريبية فقط للمستخدمين المستهدفين. يمكنك تعيين التدريب مباشرة دون وضع المستخدمين من خلال اختبار المحاكاة. تسهل الحملات التدريبية إجراء جلسات تعليمية مثل التدريب الشهري على التوعية بالأمان عبر الإنترنت. لمزيد من المعلومات، راجع حملات التدريب في التدريب على محاكاة الهجوم.
إرشادات إرشادية في المحاكاة: لا تحاول عمليات المحاكاة المستندة إلى تقنية الهندسة الاجتماعية الإرشادية اختبار المستخدمين. دليل الكيفية هو تجربة تعلم خفيفة الوزن يمكن للمستخدمين عرضها مباشرة في علبة الوارد الخاصة بهم. على سبيل المثال، تتوفر حمولات دليل الكيفية المضمنة التالية، ويمكنك إنشاء حمولتك الخاصة (بما في ذلك نسخ حمولة موجودة وتخصيصها):
- دليل التدريس: كيفية الإبلاغ عن رسائل التصيد الاحتيالي
- دليل التدريس: كيفية التعرف على رسائل التصيد الاحتيالي ل QR والإبلاغ بها

بدء استخدام التدريب على محاكاة الهجوم

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

المحاكاه

محاكاة الإنشاء

الحمولات

التقارير والرؤى

معدل التسوية المتوقع

التدريب بدون حيل

الملاحظات

الملاحظات

الموارد الإضافية