Začínáme s používáním trénování simulace útoku

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v programu Microsoft 365 Defender for Office 365 Plan 2? Využijte 90denní zkušební verzi programu Defender for Office 365 v centru zkušebních verzí portálu Microsoft 365 Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Platí proMicrosoft Defender pro Office 365 plán 2

V organizacích s Microsoft Defender pro Office 365 Plán 2 (doplňkové licence nebo zahrnuté v předplatných, jako je Microsoft 365 E5), můžete použít Simulační nácvik útoku v Microsoft 365 Defender portál pro spouštění realistických scénářů útoku ve vaší organizaci. Tyto simulované útoky vám můžou pomoct identifikovat a najít zranitelné uživatele předtím, než skutečný útok ovlivní vaše výsledky. Další informace najdete v tomto článku.

Další informace o Simulační nácvik útoku najdete v tomto krátkém videu.

Poznámka

Simulační nácvik útoku nahrazuje staré prostředí simulátoru útoku v1, které bylo k dispozici v zabezpečení&. Centrum dodržování předpisů vsimulátoru útokuna správu> hrozeb nebo https://protection.office.com/attacksimulator.

Co potřebujete vědět, než začnete?

• Simulační nácvik útoku vyžaduje licenci Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2. Další informace o licenčních požadavcích najdete v tématu Licenční podmínky.

• Simulační nácvik útoku podporuje místní poštovní schránky, ale s omezenými funkcemi vytváření sestav. Další informace najdete v tématu Hlášení problémů s místními poštovními schránkami.

• Portál Microsoft 365 Defender otevřete tak, že přejdete na https://security.microsoft.com. Simulační nácvik útoku je k dispozici v Email a spolupráci>Simulační nácvik útoku. Pokud chcete přejít přímo na Simulační nácvik útoku, použijte https://security.microsoft.com/attacksimulator.

• Další informace o dostupnosti Simulační nácvik útoku napříč různými předplatnými Microsoft 365 najdete v popisu Microsoft Defender pro Office 365 služby.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

  • Azure AD RBAC: Potřebujete členství v jedné z následujících rolí:

    • Globální správce
    • Správce zabezpečení
    • Správci simulace útoku^*: Vytvářejte a spravujte všechny aspekty kampaní simulace útoku.
    • Autor ^*datové části útoku: Vytvořte datové části útoku, které může správce zahájit později.

    ^*Přidání uživatelů do této role v Email & spolupráci RBAC na portálu Microsoft 365 Defender se v současné době nepodporuje.

• Neexistují žádné odpovídající rutiny PowerShellu pro Simulační nácvik útoku.

• Data související se simulací útoků a trénováním se ukládají s dalšími zákaznickými daty pro služby Microsoft 365. Další informace najdete v tématu Umístění dat Microsoftu 365. Simulační nácvik útoku je k dispozici v následujících oblastech: APC, EUR a NAM a také v následujících zemích: ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, QAT, SGP, SWE a ZAF.

  Poznámka

  NOR, ZAF, ARE a DEU jsou nejnovější doplňky. V těchto oblastech budou k dispozici všechny funkce s výjimkou hlášené e-mailové telemetrie. Pracujeme na tom, abychom tyto funkce povolili, a jakmile bude dostupná hlášená telemetrie e-mailů, upozorníme naše zákazníky.

• Od června 2021 je Simulační nácvik útoku k dispozici v GCC. Pokud má vaše organizace Office 365 G5 GCC nebo Microsoft Defender pro Office 365 (Plán 2) pro státní správu, můžete použít Simulační nácvik útoku, jak je popsáno v tomto článku. Simulační nácvik útoku ještě není k dispozici v prostředích GCC High nebo DoD.

Poznámka

Simulační nácvik útoku nabízí zákazníkům E3 jako zkušební verzi podmnožinu funkcí. Nabídka zkušební verze obsahuje možnost použít datovou část Credential Harvest a možnost vybrat možnosti školení ISA Phishing nebo Mass Market Phishing. Součástí nabídky zkušební verze E3 nejsou žádné další možnosti.

Simulace

Phishing je obecný termín pro e-mailové útoky, které se pokoušejí ukrást citlivé informace ve zprávách, které se zdají být od legitimních nebo důvěryhodných odesílatelů. Phishing je součástí podmnožina technik, které klasifikujeme jako sociální inženýrství.

V Simulační nácvik útoku je k dispozici několik typů technik sociálního inženýrství:

• Získávání přihlašovacích údajů: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno, které uživatele vyzve k zadání uživatelského jména a hesla. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.

• Malwarová příloha: Útočník pošle příjemci zprávu, která obsahuje přílohu. Když příjemce přílohu otevře, spustí se na zařízení uživatele libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.

• Odkaz v příloze: Tato technika je hybridem získávání přihlašovacích údajů. Útočník pošle příjemci zprávu, která obsahuje adresu URL uvnitř přílohy. Když příjemce přílohu otevře a klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno s dotazem uživatele na uživatelské jméno a heslo. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.

• Odkaz na malware: Útočník pošle příjemci zprávu, která obsahuje odkaz na přílohu na známém webu pro sdílení souborů (například SharePoint Online nebo Dropbox). Když příjemce klikne na adresu URL, otevře se příloha a na zařízení uživatele se spustí libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.

• Jednotka po adrese URL: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který se pokusí spustit kód na pozadí. Tento kód na pozadí se pokouší shromáždit informace o příjemci nebo nasadit libovolný kód na jeho zařízení. Cílovým webem je obvykle dobře známý web, který byl napaden, nebo klon známého webu. Znalost webu pomáhá uživatele přesvědčit, že na odkaz je bezpečné kliknout. Tato technika je také známá jako útok na zavlažovací díru.

• Udělení souhlasu OAuth: Útočník vytvoří škodlivý Aplikace Azure, který se snaží získat přístup k datům. Aplikace odešle e-mailovou žádost, která obsahuje adresu URL. Když příjemce klikne na adresu URL, mechanismus udělení souhlasu aplikace požádá o přístup k datům (například ke složce Doručená pošta uživatele).

Adresy URL používané Simulační nácvik útoku jsou popsány v následujícím seznamu:

• https://www.attemplate.com
• https://www.bankmenia.com
• https://www.bankmenia.de
• https://www.bankmenia.es
• https://www.bankmenia.fr
• https://www.bankmenia.it
• https://www.bankmenia.org
• https://www.banknown.de
• https://www.banknown.es
• https://www.banknown.fr
• https://www.banknown.it
• https://www.banknown.org
• https://www.browsersch.com
• https://www.browsersch.de
• https://www.browsersch.es
• https://www.browsersch.fr
• https://www.browsersch.it
• https://www.browsersch.org
• https://www.docdeliveryapp.com
• https://www.docdeliveryapp.net
• https://www.docstoreinternal.com
• https://www.docstoreinternal.net
• https://www.doctorican.de
• https://www.doctorican.es
• https://www.doctorican.fr
• https://www.doctorican.it
• https://www.doctorican.org
• https://www.doctrical.com
• https://www.doctrical.de
• https://www.doctrical.es
• https://www.doctrical.fr
• https://www.doctrical.it
• https://www.doctrical.org
• https://www.doctricant.com
• https://www.doctrings.com
• https://www.doctrings.de
• https://www.doctrings.es
• https://www.doctrings.fr
• https://www.doctrings.it
• https://www.doctrings.org
• https://www.exportants.com
• https://www.exportants.de
• https://www.exportants.es
• https://www.exportants.fr
• https://www.exportants.it
• https://www.exportants.org
• https://www.financerta.com
• https://www.financerta.de
• https://www.financerta.es
• https://www.financerta.fr
• https://www.financerta.it
• https://www.financerta.org
• https://www.financerts.com
• https://www.financerts.de
• https://www.financerts.es
• https://www.financerts.fr
• https://www.financerts.it
• https://www.financerts.org
• https://www.hardwarecheck.net
• https://www.hrsupportint.com
• https://www.mcsharepoint.com
• https://www.mesharepoint.com
• https://www.officence.com
• https://www.officenced.com
• https://www.officences.com
• https://www.officentry.com
• https://www.officested.com
• https://www.passwordle.de
• https://www.passwordle.fr
• https://www.passwordle.it
• https://www.passwordle.org
• https://www.payrolltooling.com
• https://www.payrolltooling.net
• https://www.prizeably.com
• https://www.prizeably.de
• https://www.prizeably.es
• https://www.prizeably.fr
• https://www.prizeably.it
• https://www.prizeably.org
• https://www.prizegiveaway.net
• https://www.prizegives.com
• https://www.prizemons.com
• https://www.prizesforall.com
• https://www.prizewel.com
• https://www.prizewings.com
• https://www.resetts.de
• https://www.resetts.es
• https://www.resetts.fr
• https://www.resetts.it
• https://www.resetts.org
• https://www.salarytoolint.com
• https://www.salarytoolint.net
• https://www.securembly.com
• https://www.securembly.de
• https://www.securembly.es
• https://www.securembly.fr
• https://www.securembly.it
• https://www.securembly.org
• https://www.securetta.de
• https://www.securetta.es
• https://www.securetta.fr
• https://www.securetta.it
• https://www.shareholds.com
• https://www.sharepointen.com
• https://www.sharepointin.com
• https://www.sharepointle.com
• https://www.sharesbyte.com
• https://www.sharession.com
• https://www.sharestion.com
• https://www.supportin.de
• https://www.supportin.es
• https://www.supportin.fr
• https://www.supportin.it
• https://www.supportres.de
• https://www.supportres.es
• https://www.supportres.fr
• https://www.supportres.it
• https://www.supportres.org
• https://www.techidal.com
• https://www.techidal.de
• https://www.techidal.fr
• https://www.techidal.it
• https://www.techniel.de
• https://www.techniel.es
• https://www.techniel.fr
• https://www.techniel.it
• https://www.templateau.com
• https://www.templatent.com
• https://www.templatern.com
• https://www.windocyte.com

Poznámka

Před použitím adresy URL ve phishingové kampani zkontrolujte dostupnost simulované adresy URL útoků phishing ve vašich podporovaných webových prohlížečích. I když spolupracujeme s mnoha dodavateli reputace adres URL, abychom tyto adresy URL simulace vždy povolili, nemáme vždy úplné pokrytí (například Google Safe Browsing). Většina dodavatelů poskytuje pokyny, které vám umožní vždy povolit konkrétní adresy URL (například https://support.google.com/chrome/a/answer/7532419).

Vytvoření simulace

Podrobné pokyny k vytvoření a odeslání nové simulace najdete v tématu Simulace útoku phishing.

Vytvoření datové části

Podrobné pokyny k vytvoření datové části pro použití v simulaci najdete v tématu Vytvoření vlastní datové části pro Simulační nácvik útoku.

Získání přehledů

Podrobné pokyny k získání přehledů pomocí generování sestav najdete v tématu Získání přehledů prostřednictvím Simulační nácvik útoku.

Predikovaná míra ohrožení zabezpečení

Jedním z nejdůležitějších prvků simulace útoku phishing je výběr datové části. Pokud jako metriku kvality sledujete jenom proklikání, je potřeba snížit míru kliknutí výběrem jednodušších datových částí útoků phishing. Nakonec je méně pravděpodobné, že uživatel změní své chování, když přijde skutečná phishingová zpráva.

Abychom bojovali proti tendenci používat datové části s nízkou mírou kliknutí a maximalizovali výnosy ze vzdělávání, vytvořili jsme pro každou globální datovou část novou metadatu označovanou jako predikovaná míra ohrožení zabezpečení (PCR).

PCR používá historická data v Microsoftu 365, která předpovídá procento lidí, kteří budou ohroženi datovou částí. PCR je inteligentní mechanismus, který je založený na informacích, jako je obsah datové části, míra ohrožení zabezpečení (agregovaná a anonymizovaná) a metadata datové části. PCR předpovídá přesnější míru potenciálního ohrožení při použití datové části v rámci simulace. Výhodou PCR je predikce skutečného vs. předpokládaného proklikání pro danou simulaci a datovou část.

Pomocí sestavy efektivity trénování můžete také zkontrolovat celkový výkon vaší organizace tak, že změříte rozdíl mezi predikovanou mírou ohrožení zabezpečení a skutečnou mírou ohrožení napříč simulacemi.

Poznámka

Simulátor útoku používá bezpečné odkazy v Defender pro Office 365 k bezpečnému sledování dat kliknutí na adresu URL ve zprávě datové části, která se odesílá cílovým příjemcům phishingové kampaně, i když je nastavení Sledovat kliknutí uživatelů v zásadách bezpečných odkazů vypnuté.