Kom i gang med at bruge kursus i angrebssimulering

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I organisationer med Microsoft Defender for Office 365 Plan 2 (tilføjelseslicenser eller abonnementer som Microsoft 365 E5) kan du bruge Simuleringstræning af angreb i Microsoft Defender til at køre realistiske angrebsscenarier i din organisation. Disse simulerede angreb kan hjælpe dig med at identificere og finde sårbare brugere, før et reelt angreb påvirker bundlinjen.

I denne artikel forklares de grundlæggende funktioner i Simuleringstræning af angreb.

Se denne korte video for at få mere at vide om Simuleringstræning af angreb.

Bemærk!

Simuleringstræning af angreb erstatter den gamle Attack Simulator v1-oplevelse, der var tilgængelig i Security & Compliance Center på Threat management>Attack simulator eller https://protection.office.com/attacksimulator.

Hvad har du brug for at vide, før du begynder?

• Simuleringstræning af angreb kræver en Microsoft 365 E5- eller Microsoft Defender for Office 365 Plan 2-licens. Du kan få flere oplysninger om licenskrav under Licensvilkår.

• Simuleringstræning af angreb understøtter postkasser i det lokale miljø, men med reduceret rapporteringsfunktionalitet. Du kan få flere oplysninger under Rapportering af problemer med postkasser i det lokale miljø.

• Hvis du vil åbne Microsoft Defender-portalen, skal du gå til https://security.microsoft.com. Simuleringstræning af angreb findes i Mail og samarbejde>Simuleringstræning af angreb. Hvis du vil gå direkte til Simuleringstræning af angreb, skal du bruge https://security.microsoft.com/attacksimulator.

• Du kan få flere oplysninger om tilgængeligheden af Simuleringstræning af angreb på tværs af forskellige Microsoft 365-abonnementer i Microsoft Defender for Office 365 tjenestebeskrivelse.

• Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

  • Microsoft Entra tilladelser: Du skal have medlemskab i en af følgende roller:

    • Global administrator
    • Sikkerhedsadministrator
    • Administratorer ^*af angrebssimulering: Create og administrere alle aspekter af angrebssimuleringskampagner.
    • Forfatter^* af payload til angreb: Create angrebsnyttedata, som en administrator kan starte senere.

    ^*Tilføjelse af brugere til denne rollegruppe i Mail & samarbejdstilladelser på Microsoft Defender-portalen understøttes ikke i øjeblikket.

    I øjeblikket understøttes Microsoft Defender XDR Unified-rollebaseret adgangskontrol ikke.

• Der er ingen tilsvarende PowerShell-cmdlet'er til Simuleringstræning af angreb.

• Simulering af angreb og oplæringsrelaterede data gemmes sammen med andre kundedata til Microsoft 365-tjenester. Du kan få flere oplysninger under Microsoft 365-dataplaceringer. Simuleringstræning af angreb er tilgængelig i følgende områder: APC, EUR og NAM. Lande i disse områder, hvor Simuleringstræning af angreb er tilgængelige, omfatter ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE og ZAF.

  Bemærk!

  NOR, ZAF, ARE og DEU er de seneste tilføjelser. Alle funktioner undtagen rapporteret mailtelemetri er tilgængelige i disse områder. Vi arbejder på at aktivere funktionerne, og vi giver kunderne besked, så snart den rapporterede mailtelemetri bliver tilgængelig.

• Fra og med september 2023 er Simuleringstræning af angreb tilgængelig i Microsoft 365 GCC- og GCC High-miljøer, men visse avancerede funktioner er ikke tilgængelige i GCC High (f.eks. automatisering af nyttedata, anbefalede nyttedata, den forudsagte kompromitterede sats). Hvis din organisation har Office 365 G5 GCC eller Microsoft Defender for Office 365 (Plan 2) for Government, kan du bruge Simuleringstræning af angreb som beskrevet i denne artikel. Simuleringstræning af angreb er endnu ikke tilgængelig i DoD-miljøer.

Bemærk!

Simuleringstræning af angreb tilbyder en delmængde af funktioner til E3-kunder som en prøveversion. Prøveversionen indeholder muligheden for at bruge nyttedata fra Credential Harvest og muligheden for at vælge 'ISA Phishing' eller 'Mass Market Phishing'-træningsoplevelser. Ingen andre funktioner er en del af E3-prøveversionen.

Simuleringer

En simulering i Simuleringstræning af angreb er den overordnede kampagne, der leverer realistiske, men harmløse phishing-meddelelser til brugerne. De grundlæggende elementer i en simulering er:

• Hvem får den simulerede phishing-meddelelse og efter hvilken tidsplan.
• Oplæring, som brugerne får baseret på deres handling eller manglende handling (for både korrekte og forkerte handlinger) i den simulerede phishing-meddelelse.
• Den nyttedata , der bruges i den simulerede phishing-meddelelse (et link eller en vedhæftet fil) og sammensætningen af phishing-meddelelsen (f.eks. leveret pakke, problem med din konto, eller du har vundet en præmie).
• Den anvendte teknik til social engineering . Nyttelasten og teknikken til social engineering er tæt forbundet.

I Simuleringstræning af angreb findes der flere typer socialtekniske teknikker. Med undtagelse af How-to Guide blev disse teknikker kurateret fra MITRE ATT-&CK-strukturen®. Der findes forskellige nyttedata til forskellige teknikker.

Følgende teknikker til social engineering er tilgængelige:

• Credential Harvest: En hacker sender modtageren en meddelelse, der indeholder en URL-adresse. Når modtageren klikker på URL-adressen, føres vedkommende til et websted, der typisk viser en dialogboks, hvor brugeren bliver bedt om at angive sit brugernavn og sin adgangskode. Destinationssiden er typisk tema til at repræsentere et velkendt websted for at skabe tillid til brugeren.

• Vedhæftet malware: En hacker sender modtageren en meddelelse, der indeholder en vedhæftet fil. Når modtageren åbner den vedhæftede fil, køres der vilkårlig kode (f.eks. en makro) på brugerens enhed for at hjælpe hackeren med at installere yderligere kode eller yderligere forgrene sig.

• Link i vedhæftet fil: Denne teknik er en hybrid af en høst af legitimationsoplysninger. En hacker sender modtageren en meddelelse, der indeholder en URL-adresse i en vedhæftet fil. Når modtageren åbner den vedhæftede fil og klikker på URL-adressen, føres vedkommende til et websted, der typisk viser en dialogboks, hvor brugeren bliver bedt om at angive sit brugernavn og sin adgangskode. Destinationssiden er typisk tema til at repræsentere et velkendt websted for at skabe tillid til brugeren.

• Link til malware: En hacker sender modtageren en meddelelse, der indeholder et link til en vedhæftet fil på et velkendt fildelingswebsted (f.eks. SharePoint Online eller Dropbox). Når modtageren klikker på URL-adressen, åbnes den vedhæftede fil, og der køres vilkårlig kode (f.eks. en makro) på brugerens enhed for at hjælpe hackeren med at installere yderligere kode eller yderligere forgrene sig.

• Drive-by-URL: En hacker sender modtageren en meddelelse, der indeholder en URL-adresse. Når modtageren klikker på URL-adressen, føres vedkommende til et websted, der forsøger at køre baggrundskode. Denne baggrundskode forsøger at indsamle oplysninger om modtageren eller installere vilkårlig kode på deres enhed. Destinationswebstedet er typisk et velkendt websted, der er blevet kompromitteret, eller en klon af et velkendt websted. Kendskab til hjemmesiden hjælper med at overbevise brugeren om, at linket er sikkert at klikke. Denne teknik er også kendt som et vanding hul angreb.

• OAuth Consent Grant: En hacker opretter et skadeligt Azure-program, der søger at få adgang til data. Programmet sender en mailanmodning, der indeholder en URL-adresse. Når modtageren klikker på URL-adressen, beder appens samtykketildelingsmekanisme om adgang til dataene (f.eks. brugerens indbakke).

• Vejledning: En undervisningsvejledning, der indeholder instruktioner til brugerne (f.eks. hvordan phishing-meddelelser rapporteres).

De URL-adresser, der bruges af Simuleringstræning af angreb, er angivet i følgende tabel:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Bemærk!

Kontrollér tilgængeligheden af den simulerede PHISHING-URL-adresse i dine understøttede webbrowsere, før du bruger URL-adressen i en phishing-kampagne. Du kan få flere oplysninger under URL-adresser til phishingsimulering, der er blokeret af Google Sikker browsing.

Create simuleringer

Du kan finde oplysninger om, hvordan du opretter og starter simuleringer, under Simuler et phishing-angreb.

Landingssiden i simuleringen er det tidspunkt, hvor brugerne går hen, når de åbner nyttedataene. Når du opretter en simulering, vælger du den landingsside, der skal bruges. Du kan vælge mellem indbyggede landingssider, brugerdefinerede landingssider, som du allerede har oprettet, eller du kan oprette en ny landingsside, der skal bruges under oprettelsen af simuleringen. Hvis du vil oprette landingssider, skal du se Landingssider i Simuleringstræning af angreb.

Slutbrugermeddelelser i simuleringen sender periodiske påmindelser til brugerne (f.eks. meddelelser om oplæring og påmindelser). Du kan vælge mellem indbyggede meddelelser, brugerdefinerede meddelelser, som du allerede har oprettet, eller du kan oprette nye meddelelser, der skal bruges under oprettelsen af simuleringen. Hvis du vil oprette meddelelser, skal du se Slutbrugermeddelelser for at få Simuleringstræning af angreb.

Tip

Simuleringsautomatiseringer giver følgende forbedringer i forhold til traditionelle simuleringer:

• Simuleringsautomatiseringer kan omfatte flere socialtekniske teknikker og relaterede nyttedata (simuleringer indeholder kun én).
• Simuleringsautomatiseringer understøtter automatiserede planlægningsindstillinger (mere end blot startdato og slutdato i simuleringer).

Du kan få flere oplysninger under Automatiseringer af simulering for Simuleringstræning af angreb.

Nyttelast

Selvom simulering af angreb indeholder mange indbyggede nyttedata til de tilgængelige teknikker til social engineering, kan du oprette brugerdefinerede nyttedata, der passer bedre til din virksomheds behov, herunder kopiering og tilpasning af en eksisterende nyttedata. Du kan når som helst oprette nyttedata, før du opretter simuleringen eller under oprettelsen af simuleringen. Hvis du vil oprette nyttedata, skal du se Create en brugerdefineret nyttedata til Simuleringstræning af angreb.

I simuleringer, der bruger Credential Harvest eller Link i teknikker til social engineering af vedhæftede filer , er logonsider en del af den nyttedata, du vælger. Logonsiden er den webside, hvor brugerne angiver deres legitimationsoplysninger. Hver relevant nyttedata bruger en standardlogonside, men du kan ændre den logonside, der bruges. Du kan vælge mellem indbyggede logonsider, brugerdefinerede logonsider, som du allerede har oprettet, eller du kan oprette en ny logonside, der skal bruges under oprettelsen af simuleringen eller nyttedataene. Hvis du vil oprette logonsider, skal du se Logonsider i Simuleringstræning af angreb.

Den bedste træningsoplevelse for simulerede phishing-meddelelser er at gøre dem så tæt som muligt på reelle phishing-angreb, som din organisation kan opleve. Hvad nu, hvis du kan registrere og bruge uskadelige versioner af phishing-meddelelser fra den virkelige verden, som blev registreret i Microsoft 365, og bruge dem i simulerede phishing-kampagner? Det kan du med automatiseringer af nyttedata (også kaldet høst af nyttedata). Hvis du vil oprette automatiseringer af nyttedata, skal du se Nyttedataautomatiseringer for Simuleringstræning af angreb.

Rapporter og indsigter

Når du har oprettet og startet simuleringen, skal du se, hvordan det går. Det kan f.eks. være:

• Har alle modtaget den?
• Hvem har gjort hvad med den simulerede phishing-meddelelse og nyttedataene i den (slet, rapport, åbn nyttedataene, angiv legitimationsoplysninger osv.).
• Hvem har gennemført den tildelte træning.

De tilgængelige rapporter og indsigter for Simuleringstræning af angreb er beskrevet i Indsigter og rapporter for Simuleringstræning af angreb.

Forudsagt kompromisrate

Du skal ofte skræddersy en simuleret phishing-kampagne til bestemte målgrupper. Hvis phishing-meddelelsen er for tæt på perfekt, vil næsten alle blive narret af det. Hvis det er for mistænksomt, vil ingen blive narret af det. Og de phishing-meddelelser, som nogle brugere anser for svære at identificere, anses for at være lette at identificere af andre brugere. Så hvordan kan du finde en balance?

PcR (forudsagt kompromisrate) angiver den potentielle effektivitet, når nyttedataene bruges i en simulering. PCR bruger intelligente historiske data på tværs af Microsoft 365 til at forudsige procentdelen af personer, der kompromitteres af nyttedataene. Det kan f.eks. være:

• Nyttedataindhold.
• Aggregerede og anonymiserede kompromitterende satser fra andre simuleringer.
• Metadata for nyttedata.

PCR giver dig mulighed for at sammenligne de forudsagte i forhold til de faktiske klikfrekvenser for dine phishing-simuleringer. Du kan også bruge disse data til at se, hvordan din organisation klarer sig sammenlignet med forudsagte resultater.

PCR-oplysninger om en nyttedata er tilgængelige, uanset hvor du får vist og vælger nyttedata, og i følgende rapporter og indsigter:

• Adfærdspåvirkning på kortet med kompromitteret hastighed
• Fanen Oplæringseffektivitet for rapporten over simulering af angreb

Tip

Angrebssimulator bruger Sikre links i Defender for Office 365 til sikkert at spore klikdata for URL-adressen i den nyttedatameddelelse, der sendes til målrettede modtagere af en phishing-kampagne, også selvom indstillingen Spor bruger klik i politikker for sikre links er slået fra.

Oplæring uden tricks

Traditionelle phishing-simuleringer præsenterer brugere med mistænkelige meddelelser og følgende mål:

• Få brugerne til at rapportere meddelelsen som mistænkelig.
• Giv oplæring, når brugerne klikker på eller starter den simulerede skadelige nyttedata og opgiver deres legitimationsoplysninger.

Men nogle gange vil du ikke vente på, at brugerne foretager korrekte eller forkerte handlinger, før du giver dem oplæring. Simuleringstræning af angreb indeholder følgende funktioner til at springe ventetiden over og gå direkte til oplæring:

• Oplæringskampagner: En træningskampagne er en opgave, der kun er beregnet til oplæring af de målrettede brugere. Du kan tildele oplæring direkte uden at sætte brugerne gennem test af en simulering. Uddannelseskampagner gør det nemt at gennemføre læringssessioner som månedlig træning af cybersikkerhedsbevidsthed. Du kan få flere oplysninger under Oplæringskampagner i Simuleringstræning af angreb.

• Vejledninger i simuleringer: Simuleringer, der er baseret på How-to Guide social engineering-teknikken , forsøger ikke at teste brugere. En Vejledning til vejledning er en let læringsoplevelse, som brugerne kan få vist direkte i deres indbakke. Følgende indbyggede Vejledning-nyttedata er f.eks. tilgængelige, og du kan oprette dine egne (herunder kopiere og tilpasse en eksisterende nyttedata):

  • Undervisningsvejledning: Sådan rapporterer du phishing-meddelelser
  • Undervisningsvejledning: Sådan genkender og rapporterer du QR-phishing-meddelelser