Začínáme s používáním trénování simulace útoku

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

V organizacích s Microsoft Defender pro Office 365 Plan 2 (doplňkové licence nebo zahrnuté v předplatných, jako je Microsoft 365 E5), můžete použít Simulační nácvik útoku v Microsoft Defender portál pro spouštění realistických scénářů útoku ve vaší organizaci. Tyto simulované útoky vám můžou pomoct identifikovat a najít zranitelné uživatele předtím, než skutečný útok ovlivní vaše výsledky.

Tento článek vysvětluje základy Simulační nácvik útoku.

Další informace o Simulační nácvik útoku najdete v tomto krátkém videu.

Poznámka

Simulační nácvik útoku nahrazuje staré prostředí simulátoru útoku v1, které bylo k dispozici v Centru dodržování předpisů security & vsimulátoru útokusprávy> hrozeb nebo https://protection.office.com/attacksimulator.

Co potřebujete vědět, než začnete?

• Simulační nácvik útoku vyžaduje licenci Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2. Další informace o licenčních požadavcích najdete v tématu Licenční podmínky.

• Simulační nácvik útoku podporuje místní poštovní schránky, ale s omezenými funkcemi vytváření sestav. Další informace najdete v tématu Hlášení problémů s místními poštovními schránkami.

• Portál Microsoft Defender otevřete tak, že přejdete na https://security.microsoft.com. Simulační nácvik útoku je k dispozici v Email a spolupráci>Simulační nácvik útoku. Pokud chcete přejít přímo na Simulační nácvik útoku, použijte https://security.microsoft.com/attacksimulator.

• Další informace o dostupnosti Simulační nácvik útoku napříč různými předplatnými Microsoft 365 najdete v popisu Microsoft Defender pro Office 365 služby.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

  • Microsoft Entra oprávnění: Potřebujete členství v jedné z následujících rolí:

    • Globální správce
    • Správce zabezpečení
    • Správci simulace útoku^*: Create a spravovat všechny aspekty kampaní simulace útoku.
    • Autor ^*datové části útoku: Create datové části útoku, které může správce zahájit později.

    ^*Přidání uživatelů do této skupiny rolí v Email & oprávnění ke spolupráci na portálu Microsoft Defender se v současné době nepodporuje.

    V současné době se nepodporuje Microsoft Defender XDR sjednocené řízení přístupu na základě role (RBAC).

• Neexistují žádné odpovídající rutiny PowerShellu pro Simulační nácvik útoku.

• Data související se simulací útoků a trénováním se ukládají s dalšími zákaznickými daty pro služby Microsoft 365. Další informace najdete v tématu Umístění dat Microsoftu 365. Simulační nácvik útoku je k dispozici v následujících oblastech: APC, EUR a NAM. Mezi země v těchto oblastech, kde je k dispozici Simulační nácvik útoku, patří ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE a ZAF.

  Poznámka

  NOR, ZAF, ARE a DEU jsou nejnovější doplňky. V těchto oblastech jsou k dispozici všechny funkce kromě hlášené telemetrie e-mailu. Pracujeme na tom, abychom tyto funkce povolili, a jakmile bude dostupná hlášená telemetrie e-mailů, upozorníme zákazníky.

• Od září 2023 je Simulační nácvik útoku k dispozici v prostředíCh Microsoft 365 GCC a GCC High, ale některé pokročilé funkce nejsou v GCC High dostupné (například automatizace datových částí, doporučené datové části, předpokládaná míra ohrožení zabezpečení). Pokud má vaše organizace Office 365 G5 GCC nebo Microsoft Defender pro Office 365 (Plán 2) pro státní správu, můžete použít Simulační nácvik útoku, jak je popsáno v tomto článku. Simulační nácvik útoku ještě není k dispozici v prostředích DoD.

Poznámka

Simulační nácvik útoku nabízí zákazníkům E3 jako zkušební verzi podmnožinu funkcí. Nabídka zkušební verze obsahuje možnost použít datovou část Credential Harvest a možnost vybrat možnosti školení ISA Phishing nebo Mass Market Phishing. Součástí nabídky zkušební verze E3 nejsou žádné další možnosti.

Simulace

Simulace v Simulační nácvik útoku je celková kampaň, která uživatelům přináší realistické, ale neškodné phishingové zprávy. Základní prvky simulace jsou:

• Kdo dostane simulovanou phishingovou zprávu a podle jakého plánu
• Školení, které uživatelé získávají na základě jejich akce nebo nedostatku akce (pro správné i nesprávné akce) u simulované phishingové zprávy
• Datová část použitá v simulované phishingové zprávě (odkaz nebo příloha) a složení phishingové zprávy (například doručený balíček, problém s vaším účtem nebo výhra).
• Technika sociálního inženýrství , která se používá. Datové části a technika sociálního inženýrství spolu úzce souvisí.

V Simulační nácvik útoku je k dispozici několik typů technik sociálního inženýrství. Kromě návodů byly tyto techniky kurátorovány z architektury MITRE ATT&CK®. Pro různé techniky jsou k dispozici různé datové části.

K dispozici jsou následující techniky sociálního inženýrství:

• Získávání přihlašovacích údajů: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno, které uživatele vyzve k zadání uživatelského jména a hesla. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.

• Malwarová příloha: Útočník pošle příjemci zprávu, která obsahuje přílohu. Když příjemce přílohu otevře, spustí se na zařízení uživatele libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.

• Odkaz v příloze: Tato technika je hybridem získávání přihlašovacích údajů. Útočník pošle příjemci zprávu, která obsahuje adresu URL uvnitř přílohy. Když příjemce přílohu otevře a klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno s dotazem uživatele na uživatelské jméno a heslo. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.

• Odkaz na malware: Útočník pošle příjemci zprávu, která obsahuje odkaz na přílohu na známém webu pro sdílení souborů (například SharePoint Online nebo Dropbox). Když příjemce klikne na adresu URL, otevře se příloha a na zařízení uživatele se spustí libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.

• Jednotka po adrese URL: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který se pokusí spustit kód na pozadí. Tento kód na pozadí se pokouší shromáždit informace o příjemci nebo nasadit libovolný kód na jeho zařízení. Cílovým webem je obvykle dobře známý web, který byl napaden, nebo klon známého webu. Znalost webu pomáhá uživatele přesvědčit, že na odkaz je bezpečné kliknout. Tato technika je také známá jako útok na zavlažovací díru.

• Udělení souhlasu OAuth: Útočník vytvoří škodlivý Aplikace Azure, který se snaží získat přístup k datům. Aplikace odešle e-mailovou žádost, která obsahuje adresu URL. Když příjemce klikne na adresu URL, mechanismus udělení souhlasu aplikace požádá o přístup k datům (například ke složce Doručená pošta uživatele).

• Návod: Příručka pro výuku, která obsahuje pokyny pro uživatele (například jak nahlásit phishingové zprávy).

Adresy URL používané Simulační nácvik útoku jsou uvedeny v následující tabulce:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Poznámka

Před použitím adresy URL ve phishingové kampani zkontrolujte dostupnost simulované adresy URL útoků phishing ve vašich podporovaných webových prohlížečích. Další informace najdete v tématu Adresy URL simulace útoků phishing blokované službou Google Safe Browsing.

simulace Create

Pokyny k vytváření a spouštění simulací najdete v tématu Simulace útoku phishing.

Cílová stránka v simulaci je místo, kam uživatelé přejdou, když otevřou datovou část. Při vytváření simulace vyberete cílovou stránku, kterou chcete použít. Můžete si vybrat z předdefinovaných cílových stránek, vlastních cílových stránek, které jste už vytvořili, nebo můžete vytvořit novou cílovou stránku, která se použije při vytváření simulace. Pokud chcete vytvořit cílové stránky, přečtěte si téma Cílové stránky v Simulační nácvik útoku.

Oznámení koncových uživatelů v simulaci odesílají uživatelům pravidelná připomenutí (například trénovací přiřazení a oznámení připomenutí). Můžete si vybrat z předdefinovaných oznámení, vlastních oznámení, která jste už vytvořili, nebo můžete vytvořit nová oznámení, která se použijí při vytváření simulace. Informace o vytváření oznámení najdete v tématu Oznámení koncového uživatele pro Simulační nácvik útoku.

Tip

Automatizace simulací poskytují následující vylepšení oproti tradičním simulacím:

• Automatizace simulace můžou zahrnovat více technik sociálního inženýrství a souvisejících datových částí (simulace obsahují jenom jednu).
• Automatizace simulace podporují možnosti automatizovaného plánování (více než jen počáteční a koncové datum v simulacích).

Další informace najdete v tématu Automatizace simulace pro Simulační nácvik útoku.

Náklad

I když simulace útoku obsahuje mnoho předdefinovaných datových částí pro dostupné techniky sociálního inženýrství, můžete vytvořit vlastní datové části, které budou lépe vyhovovat potřebám vaší firmy, včetně kopírování a přizpůsobení existující datové části. Datové části můžete vytvořit kdykoli před vytvořením simulace nebo během vytváření simulace. Informace o vytváření datových částí najdete v tématu Create vlastní datové části pro Simulační nácvik útoku.

V simulacích, které používají techniky sociálního inženýrství pro získávání přihlašovacích údajů nebo Odkaz v příloze , jsou přihlašovací stránky součástí datové části, kterou vyberete. Přihlašovací stránka je webová stránka, na které uživatelé zadávají své přihlašovací údaje. Každá příslušná datová část používá výchozí přihlašovací stránku, ale použitou přihlašovací stránku můžete změnit. Můžete si vybrat z předdefinovaných přihlašovacích stránek, vlastních přihlašovacích stránek, které jste už vytvořili, nebo můžete vytvořit novou přihlašovací stránku, která se použije při vytváření simulace nebo datové části. Pokud chcete vytvořit přihlašovací stránky, přečtěte si téma Přihlašovací stránky v Simulační nácvik útoku.

Nejlepším prostředím pro trénování simulovaných phishingových zpráv je, aby se co nejvíce přiblížily skutečným útokům phishing, ke kterým může vaše organizace docházet. Co když byste mohli zachytit a používat neškodné verze skutečných phishingových zpráv, které byly zjištěny v Microsoftu 365, a používat je v simulovaných phishingových kampaních? Můžete použít automatizaci datové části (označovanou také jako sběr datové části). Pokud chcete vytvořit automatizace datových částí, přečtěte si téma Automatizace datových částí pro Simulační nácvik útoku.

Sestavy a přehledy

Po vytvoření a spuštění simulace potřebujete zjistit, jak funguje. Příklady:

• Dostali ho všichni?
• Kdo udělal co se simulovanou phishingovou zprávou a datovou částí v ní (odstranění, nahlášení, otevření datové části, zadání přihlašovacích údajů atd.)
• Kdo dokončil přiřazené školení.

Dostupné sestavy a přehledy pro Simulační nácvik útoku jsou popsané v tématu Přehledy a sestavy pro Simulační nácvik útoku.

Predikovaná míra ohrožení zabezpečení

Simulovanou phishingovou kampaň často potřebujete přizpůsobit konkrétním cílovým skupinám. Pokud je phishingová zpráva příliš blízko k dokonalosti, téměř všichni se tím zmást. Pokud je to příliš podezřelé, nikdo se tím nenechá zmást. A phishingové zprávy, které někteří uživatelé považují za obtížné identifikovat, považují ostatní uživatelé za snadno identifikovatelné. Jak tedy dosáhnout rovnováhy?

Predikovaná míra ohrožení zabezpečení (PCR) označuje potenciální účinnost při použití datové části v simulaci. PCR používá inteligentní historická data v Microsoftu 365 k predikci procenta lidí, kteří budou ohroženi datovou částí. Příklady:

• Obsah datové části.
• Agregovaná a anonymizovaná míra ohrožení zabezpečení z jiných simulací
• Metadata datové části.

PCR umožňuje porovnat predikované a skutečné míry proklikání u vašich simulací útoků phishing. Tato data můžete také použít k zobrazení výkonu vaší organizace v porovnání s predikovanými výsledky.

Informace PCR pro datovou část jsou k dispozici všude, kde datové části zobrazíte a vyberete, a v následujících sestavách a přehledech:

• Dopad chování na kartu sazby ohrožení zabezpečení
• Karta efektivity trénování pro sestavu simulace útoku

Tip

Simulátor útoku používá bezpečné odkazy v Defender pro Office 365 k bezpečnému sledování dat kliknutí na adresu URL ve zprávě datové části, která se odesílá cílovým příjemcům phishingové kampaně, i když je nastavení Sledovat kliknutí uživatelů v zásadách bezpečných odkazů vypnuté.

Trénování bez triků

Tradiční simulace phishingu představují uživatelům podezřelé zprávy a následující cíle:

• Nařiďte uživatele, aby zprávu nahlásili jako podezřelou.
• Po kliknutí na simulovanou datovou část se škodlivými uživateli nebo spuštění této datové části poskytněte školení a zajistěte, aby se vzdali svých přihlašovacích údajů.

Někdy ale nechcete čekat, až uživatelé přijmou správné nebo nesprávné akce, než jim poskytnete školení. Simulační nácvik útoku poskytuje následující funkce pro přeskočení čekání a přechod přímo na trénování:

• Školicí kampaně: Trénovací kampaň je pouze trénovací zadání pro cílové uživatele. Trénování můžete přiřazovat přímo, aniž byste museli uživatele testovat simulaci. Školicí kampaně usnadňují vedení výukových relací, jako jsou měsíční školení pro zvyšování povědomí o kybernetické bezpečnosti. Další informace najdete v tématu Školicí kampaně v Simulační nácvik útoku.

• Návody v simulacích: Simulace založené na technice sociálního inženýrství s návodem se nepokoušejte testovat uživatele. Návod je jednoduché výukové prostředí, které si uživatelé můžou zobrazit přímo ve složce Doručená pošta. K dispozici jsou například následující předdefinované datové části s postupy a můžete si vytvořit vlastní (včetně kopírování a přizpůsobení existující datové části):

  • Průvodce výukou: Jak nahlásit phishingové zprávy
  • Průvodce výukou: Jak rozpoznat a nahlásit phishingové zprávy QR