Začínáme s používáním trénování simulace útoku

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

V organizacích s Microsoft Defenderem pro Office 365 Plan 2 (licence pro doplňky nebo zahrnuté v předplatných, jako je Microsoft 365 E5) můžete pomocí trénování simulace útoku na portálu Microsoft Defender spouštět scénáře realistického útoku ve vaší organizaci. Tyto simulované útoky vám můžou pomoct identifikovat a najít zranitelné uživatele předtím, než skutečný útok ovlivní vaše výsledky.

Tento článek vysvětluje základy trénování simulace útoku.

Další informace o trénování simulace útoku najdete v tomto krátkém videu.

Poznámka

Trénování simulace útoku nahrazuje staré prostředí simulátoru útoku v1, které bylo k dispozici v centru zabezpečení & dodržování předpisů vsimulátoru útokupro správu> hrozeb nebo https://protection.office.com/attacksimulator.

Co potřebujete vědět, než začnete?

• Trénování simulace útoku vyžaduje licenci Microsoft 365 E5 nebo Microsoft Defender for Office 365 Plan 2 . Další informace o licenčních požadavcích najdete v tématu Licenční podmínky.

• Trénování simulace útoku podporuje místní poštovní schránky, ale s omezenými funkcemi generování sestav. Další informace najdete v tématu Hlášení problémů s místními poštovními schránkami.

• Portál Microsoft Defender otevřete tak, že přejdete na https://security.microsoft.com. Trénování simulace útoku je k dispozici v částiŠkolení simulace útokue-mailem a spolupráce>. Pokud chcete přejít přímo na trénování simulace útoku, použijte https://security.microsoft.com/attacksimulator.

• Další informace o dostupnosti školení simulace útoku napříč různými předplatnými Microsoft 365 najdete v popisu služby Microsoft Defender pro Office 365.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

  • Oprávnění Microsoft Entra: Potřebujete členství v jedné z následujících rolí:

    • Globální správce¹
    • Správce zabezpečení
    • Správci simulace útoku²: Vytvářejte a spravujte všechny aspekty kampaní simulace útoku.
    • Datová část útoku Author²: Vytvořte datové části útoku, které může správce zahájit později.

    Důležité

    ¹ Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

    ² Přidání uživatelů do této skupiny rolí v části E-mail & oprávnění ke spolupráci na portálu Microsoft Defender se v současné době nepodporuje.

    Jednotné řízení přístupu na základě role (RBAC) v programu Microsoft Defender XDR se v současné době nepodporuje.

• Neexistují žádné odpovídající rutiny PowerShellu pro trénování simulace útoku.

• Data související se simulací útoků a trénováním se ukládají s dalšími zákaznickými daty pro služby Microsoft 365. Další informace najdete v tématu Umístění dat Microsoftu 365. Trénování simulace útoku je dostupné v následujících oblastech: APC, EUR a NAM. Mezi země v těchto oblastech, kde je k dispozici trénování simulace útoku, patří ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE a ZAF.

  Poznámka

  NOR, ZAF, ARE a DEU jsou nejnovější doplňky. V těchto oblastech jsou k dispozici všechny funkce kromě hlášené telemetrie e-mailu. Pracujeme na tom, abychom tyto funkce povolili, a jakmile bude dostupná hlášená telemetrie e-mailů, upozorníme zákazníky.

• Od září 2023 je v prostředíCh Microsoft 365 GCC a GCC High k dispozici trénování simulace útoku, ale některé pokročilé funkce nejsou dostupné v prostředí GCC High (například automatizace datových částí, doporučené datové části, předpokládaná míra ohrožení zabezpečení). Pokud má vaše organizace Office 365 G5 GCC nebo Microsoft Defender pro Office 365 (Plán 2) pro státní správu, můžete použít trénování simulace útoku, jak je popsáno v tomto článku. V prostředích DoD zatím není k dispozici trénování simulace útoku.

Poznámka

Trénování simulace útoku nabízí zákazníkům E3 jako zkušební verzi podmnožinu funkcí. Nabídka zkušební verze obsahuje možnost použít datovou část Credential Harvest a možnost vybrat možnosti školení ISA Phishing nebo Mass Market Phishing. Součástí nabídky zkušební verze E3 nejsou žádné další možnosti.

Simulace

Simulace v trénování simulace útoku je celková kampaň, která uživatelům poskytuje realistické, ale neškodné phishingové zprávy. Základní prvky simulace jsou:

• Kdo dostane simulovanou phishingovou zprávu a podle jakého plánu
• Školení, které uživatelé získávají na základě jejich akce nebo nedostatku akce (pro správné i nesprávné akce) u simulované phishingové zprávy
• Datová část použitá v simulované phishingové zprávě (odkaz nebo příloha) a složení phishingové zprávy (například doručený balíček, problém s vaším účtem nebo výhra).
• Technika sociálního inženýrství , která se používá. Datové části a technika sociálního inženýrství spolu úzce souvisí.

V části trénování simulace útoku je k dispozici několik typů technik sociálního inženýrství. Kromě návodů byly tyto techniky kurátorovány z architektury MITRE ATT&CK®. Pro různé techniky jsou k dispozici různé datové části.

K dispozici jsou následující techniky sociálního inženýrství:

• Získávání přihlašovacích údajů: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno, které uživatele vyzve k zadání uživatelského jména a hesla. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.

• Malwarová příloha: Útočník pošle příjemci zprávu, která obsahuje přílohu. Když příjemce přílohu otevře, spustí se na zařízení uživatele libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.

• Odkaz v příloze: Tato technika je hybridem získávání přihlašovacích údajů. Útočník pošle příjemci zprávu, která obsahuje adresu URL uvnitř přílohy. Když příjemce přílohu otevře a klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno s dotazem uživatele na uživatelské jméno a heslo. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.

• Odkaz na malware: Útočník pošle příjemci zprávu, která obsahuje odkaz na přílohu na známém webu pro sdílení souborů (například SharePoint Online nebo Dropbox). Když příjemce klikne na adresu URL, otevře se příloha a na zařízení uživatele se spustí libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.

• Jednotka po adrese URL: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který se pokusí spustit kód na pozadí. Tento kód na pozadí se pokouší shromáždit informace o příjemci nebo nasadit libovolný kód na jeho zařízení. Cílovým webem je obvykle dobře známý web, který byl napaden, nebo klon známého webu. Znalost webu pomáhá uživatele přesvědčit, že na odkaz je bezpečné kliknout. Tato technika je také známá jako útok na zavlažovací díru.

• Udělení souhlasu OAuth: Útočník vytvoří škodlivou aplikaci Azure, která se snaží získat přístup k datům. Aplikace odešle e-mailovou žádost, která obsahuje adresu URL. Když příjemce klikne na adresu URL, mechanismus udělení souhlasu aplikace požádá o přístup k datům (například ke složce Doručená pošta uživatele).

• Návod: Příručka pro výuku, která obsahuje pokyny pro uživatele (například jak nahlásit phishingové zprávy).

Adresy URL používané trénováním simulace útoku jsou uvedeny v následující tabulce:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Poznámka

Před použitím adresy URL ve phishingové kampani zkontrolujte dostupnost simulované adresy URL útoků phishing ve vašich podporovaných webových prohlížečích. Další informace najdete v tématu Adresy URL simulace útoků phishing blokované službou Google Safe Browsing.

Vytváření simulací

Pokyny k vytváření a spouštění simulací najdete v tématu Simulace útoku phishing.

Cílová stránka v simulaci je místo, kam uživatelé přejdou, když otevřou datovou část. Při vytváření simulace vyberete cílovou stránku, kterou chcete použít. Můžete si vybrat z předdefinovaných cílových stránek, vlastních cílových stránek, které jste už vytvořili, nebo můžete vytvořit novou cílovou stránku, která se použije při vytváření simulace. Pokud chcete vytvořit cílové stránky, přečtěte si téma Cílové stránky v trénování simulace útoku.

Oznámení koncových uživatelů v simulaci odesílají uživatelům pravidelná připomenutí (například trénovací přiřazení a oznámení připomenutí). Můžete si vybrat z předdefinovaných oznámení, vlastních oznámení, která jste už vytvořili, nebo můžete vytvořit nová oznámení, která se použijí při vytváření simulace. Informace o vytváření oznámení najdete v tématu Oznámení koncového uživatele pro trénování simulace útoku.

Tip

Automatizace simulací poskytují následující vylepšení oproti tradičním simulacím:

• Automatizace simulace můžou zahrnovat více technik sociálního inženýrství a souvisejících datových částí (simulace obsahují jenom jednu).
• Automatizace simulace podporují možnosti automatizovaného plánování (více než jen počáteční a koncové datum v simulacích).

Další informace najdete v tématu Automatizace simulace pro trénování simulace útoku.

Náklad

I když simulace útoku obsahuje mnoho předdefinovaných datových částí pro dostupné techniky sociálního inženýrství, můžete vytvořit vlastní datové části, které budou lépe vyhovovat potřebám vaší firmy, včetně kopírování a přizpůsobení existující datové části. Datové části můžete vytvořit kdykoli před vytvořením simulace nebo během vytváření simulace. Informace o vytváření datových částí najdete v tématu Vytvoření vlastní datové části pro trénování simulace útoku.

V simulacích, které používají techniky sociálního inženýrství pro získávání přihlašovacích údajů nebo Odkaz v příloze , jsou přihlašovací stránky součástí datové části, kterou vyberete. Přihlašovací stránka je webová stránka, na které uživatelé zadávají své přihlašovací údaje. Každá příslušná datová část používá výchozí přihlašovací stránku, ale použitou přihlašovací stránku můžete změnit. Můžete si vybrat z předdefinovaných přihlašovacích stránek, vlastních přihlašovacích stránek, které jste už vytvořili, nebo můžete vytvořit novou přihlašovací stránku, která se použije při vytváření simulace nebo datové části. Pokud chcete vytvořit přihlašovací stránky, přečtěte si téma Přihlašovací stránky v trénování simulace útoku.

Nejlepším prostředím pro trénování simulovaných phishingových zpráv je, aby se co nejvíce přiblížily skutečným útokům phishing, ke kterým může vaše organizace docházet. Co když byste mohli zachytit a používat neškodné verze skutečných phishingových zpráv, které byly zjištěny v Microsoftu 365, a používat je v simulovaných phishingových kampaních? Můžete použít automatizaci datové části (označovanou také jako sběr datové části). Pokud chcete vytvořit automatizace datových částí, přečtěte si téma Automatizace datových částí pro trénování simulace útoku.

Sestavy a přehledy

Po vytvoření a spuštění simulace potřebujete zjistit, jak funguje. Příklady:

• Dostali ho všichni?
• Kdo udělal co se simulovanou phishingovou zprávou a datovou částí v ní (odstranění, nahlášení, otevření datové části, zadání přihlašovacích údajů atd.)
• Kdo dokončil přiřazené školení.

Dostupné sestavy a přehledy pro trénování simulace útoku jsou popsané v tématu Přehledy a sestavy pro trénování simulace útoku.

Predikovaná míra ohrožení zabezpečení

Simulovanou phishingovou kampaň často potřebujete přizpůsobit konkrétním cílovým skupinám. Pokud je phishingová zpráva příliš blízko k dokonalosti, téměř všichni se tím zmást. Pokud je to příliš podezřelé, nikdo se tím nenechá zmást. A phishingové zprávy, které někteří uživatelé považují za obtížné identifikovat, považují ostatní uživatelé za snadno identifikovatelné. Jak tedy dosáhnout rovnováhy?

Predikovaná míra ohrožení zabezpečení (PCR) označuje potenciální účinnost při použití datové části v simulaci. PCR používá inteligentní historická data v Microsoftu 365 k predikci procenta lidí, kteří budou ohroženi datovou částí. Příklady:

• Obsah datové části.
• Agregovaná a anonymizovaná míra ohrožení zabezpečení z jiných simulací
• Metadata datové části.

PCR umožňuje porovnat predikované a skutečné míry proklikání u vašich simulací útoků phishing. Tato data můžete také použít k zobrazení výkonu vaší organizace v porovnání s predikovanými výsledky.

Informace PCR pro datovou část jsou k dispozici všude, kde datové části zobrazíte a vyberete, a v následujících sestavách a přehledech:

• Dopad chování na kartu sazby ohrožení zabezpečení
• Karta efektivity trénování pro sestavu simulace útoku

Tip

Simulátor útoku používá bezpečné odkazy v Defenderu pro Office 365 k zabezpečenému sledování dat kliknutí na adresu URL ve zprávě datové části, která se odešle cílovým příjemcům phishingové kampaně, i když je nastavení Sledovat kliknutí uživatele v zásadách bezpečných odkazů vypnuté.

Trénování bez triků

Tradiční simulace phishingu představují uživatelům podezřelé zprávy a následující cíle:

• Nařiďte uživatele, aby zprávu nahlásili jako podezřelou.
• Po kliknutí na simulovanou datovou část se škodlivými uživateli nebo spuštění této datové části poskytněte školení a zajistěte, aby se vzdali svých přihlašovacích údajů.

Někdy ale nechcete čekat, až uživatelé přijmou správné nebo nesprávné akce, než jim poskytnete školení. Trénování simulace útoku poskytuje následující funkce pro přeskočení čekání a přechod přímo k trénování:

• Školicí kampaně: Trénovací kampaň je pouze trénovací zadání pro cílové uživatele. Trénování můžete přiřazovat přímo, aniž byste museli uživatele testovat simulaci. Školicí kampaně usnadňují vedení výukových relací, jako jsou měsíční školení pro zvyšování povědomí o kybernetické bezpečnosti. Další informace najdete v tématu trénování kampaní v části trénování simulace útoku.

• Návody v simulacích: Simulace založené na technice sociálního inženýrství s návodem se nepokoušejte testovat uživatele. Návod je jednoduché výukové prostředí, které si uživatelé můžou zobrazit přímo ve složce Doručená pošta. K dispozici jsou například následující předdefinované datové části s postupy a můžete si vytvořit vlastní (včetně kopírování a přizpůsobení existující datové části):

  • Průvodce výukou: Jak nahlásit phishingové zprávy
  • Průvodce výukou: Jak rozpoznat a nahlásit phishingové zprávy QR