Erste Schritte mit dem Angriffssimulationstraining

• Gilt für:

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Organisationen mit Microsoft Defender für Office 365 Plan 2 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten) können Sie das Training zur Angriffssimulation im Microsoft Defender-Portal verwenden, um realistische Angriffsszenarien in Ihrer Organisation auszuführen. Diese simulierten Angriffe können Ihnen helfen, anfällige Benutzer zu identifizieren und zu finden, bevor sich ein echter Angriff auf Ihr Ergebnis auswirkt.

In diesem Artikel werden die Grundlagen des Trainings zur Angriffssimulation erläutert.

Sehen Sie sich dieses kurze Video an, um mehr über das Training zur Angriffssimulation zu erfahren.

Hinweis

Das Training zur Angriffssimulation ersetzt die alte Angriffssimulator v1-Benutzeroberfläche, die im Security & Compliance Center unterBedrohungsmanagement-Angriffssimulator> oder https://protection.office.com/attacksimulatorverfügbar war.

Was sollten Sie wissen, bevor Sie beginnen?

• Für das Training für die Angriffssimulation ist eine Microsoft 365 E5- oder Microsoft Defender für Office 365 Plan 2-Lizenz erforderlich. Weitere Informationen zu Lizenzanforderungen finden Sie unter Lizenzbedingungen.

• Das Training zur Angriffssimulation unterstützt lokale Postfächer, jedoch mit eingeschränkter Berichterstellungsfunktionalität. Weitere Informationen finden Sie unter Melden von Problemen mit lokalen Postfächern.

• Navigieren Sie zum Öffnen des Microsoft Defender-Portals zu https://security.microsoft.com. Das Training zur Angriffssimulation finden Sie unter Training zurAngriffssimulation per E-Mail und Zusammenarbeit>. Um direkt zum Angriffssimulationstraining zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulator.

• Weitere Informationen zur Verfügbarkeit von Angriffssimulationstrainings in verschiedenen Microsoft 365-Abonnements finden Sie unter Microsoft Defender für Office 365-Dienstbeschreibung.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Entra-Berechtigungen: Sie benötigen die Mitgliedschaft in einer der folgenden Rollen:

    • Globaler Administrator¹
    • Sicherheitsbeauftragte
    • Angriffssimulationsadministratoren²: Erstellen und Verwalten aller Aspekte von Angriffssimulationskampagnen.
    • Angriffsnutzlast Author²: Erstellen Sie Angriffsnutzlasten, die ein Administrator später initiieren kann.

    Wichtig

    ¹ Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

    ² Das Hinzufügen von Benutzern zu dieser Rollengruppe in E-Mail & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal wird derzeit nicht unterstützt.

    Derzeit wird die rollenbasierte Zugriffssteuerung (RBAC) von Microsoft Defender XDR Unified nicht unterstützt.

• Es gibt keine entsprechenden PowerShell-Cmdlets für das Training der Angriffssimulation.

• Angriffssimulations- und Trainingsdaten werden zusammen mit anderen Kundendaten für Microsoft 365-Dienste gespeichert. Weitere Informationen finden Sie unter Microsoft 365-Datenspeicherorte. Das Training zur Angriffssimulation ist in den folgenden Regionen verfügbar: APC, EUR und NAM. Zu den Ländern in diesen Regionen, in denen Das Training zur Angriffssimulation verfügbar ist, gehören ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE und ZAF.

  Hinweis

  NOR, ZAF, ARE und DEU sind die neuesten Ergänzungen. Alle Features mit Ausnahme der gemeldeten E-Mail-Telemetrie sind in diesen Regionen verfügbar. Wir arbeiten daran, die Features zu aktivieren, und wir benachrichtigen Kunden, sobald gemeldete E-Mail-Telemetriedaten verfügbar sind.

• Ab September 2023 ist das Training zur Angriffssimulation in Microsoft 365 GCC- und GCC High-Umgebungen verfügbar, aber bestimmte erweiterte Features sind in GCC High nicht verfügbar (z. B. Nutzlastautomatisierung, empfohlene Nutzlasten, die vorhergesagte Kompromittierungsrate). Wenn Ihre Organisation über Office 365 G5 GCC oder Microsoft Defender für Office 365 (Plan 2) für Behörden verfügt, können Sie das Training zur Angriffssimulation verwenden, wie in diesem Artikel beschrieben. Das Training zur Angriffssimulation ist in DoD-Umgebungen noch nicht verfügbar.

Hinweis

Das Training zur Angriffssimulation bietet E3-Kunden eine Teilmenge der Funktionen als Testversion. Das Testangebot enthält die Möglichkeit, eine Credential Harvest-Nutzlast zu verwenden, und die Möglichkeit, die Trainingserfahrungen "ISA Phishing" oder "Massenmarkt-Phishing" auszuwählen. Es sind keine anderen Funktionen Teil des E3-Testangebots.

Simulationen

Eine Simulation im Angriffssimulationstraining ist die allgemeine Kampagne, die realistische, aber harmlose Phishing-Nachrichten an Benutzer übermittelt. Die grundlegenden Elemente einer Simulation sind:

• Wer erhält die simulierte Phishing-Nachricht und nach welchem Zeitplan?
• Schulung, die Benutzer basierend auf ihrer Aktion oder fehlenden Aktion (sowohl für richtige als auch für falsche Aktionen) für die simulierte Phishingnachricht erhalten.
• Die Nutzlast , die in der simulierten Phishing-Nachricht (ein Link oder eine Anlage) verwendet wird, und die Zusammensetzung der Phishingnachricht (z. B. Paket zugestellt, Problem mit Ihrem Konto oder Sie haben einen Preis gewonnen).
• Die verwendete Social-Engineering-Technik . Die Nutzlast und die Social Engineering-Technik sind eng miteinander verbunden.

Beim Training zur Angriffssimulation stehen mehrere Arten von Social Engineering-Techniken zur Verfügung. Mit Ausnahme von Anleitungen wurden diese Techniken aus dem MITRE ATT&CK-Framework® kuratiert. Für verschiedene Techniken stehen verschiedene Nutzlasten zur Verfügung.

Die folgenden Social Engineering-Techniken sind verfügbar:

• Credential Harvest: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL enthält. Wenn der Empfänger auf die URL klickt, wird er zu einer Website weitergeleitet, die in der Regel ein Dialogfeld anzeigt, in dem der Benutzer nach benutzername und kennwort gefragt wird. In der Regel wird die Zielseite so designt, dass sie eine bekannte Website darstellt, um Vertrauen in den Benutzer aufzubauen.

• Schadsoftwareanlage: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine Anlage enthält. Wenn der Empfänger die Anlage öffnet, wird beliebiger Code (z. B. ein Makro) auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu festigen.

• Link in Anlage: Bei dieser Technik handelt es sich um eine Hybride aus einer Anmeldeinformationsernte. Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL in einer Anlage enthält. Wenn der Empfänger die Anlage öffnet und auf die URL klickt, wird er zu einer Website weitergeleitet, die in der Regel ein Dialogfeld anzeigt, in dem der Benutzer nach benutzername und kennwort gefragt wird. In der Regel wird die Zielseite so designt, dass sie eine bekannte Website darstellt, um Vertrauen in den Benutzer aufzubauen.

• Link zu Schadsoftware: Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link zu einer Anlage auf einer bekannten Dateifreigabewebsite (z. B. SharePoint Online oder Dropbox) enthält. Wenn der Empfänger auf die URL klickt, wird die Anlage geöffnet, und beliebiger Code (z. B. ein Makro) wird auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu festigen.

• Drive-by-URL: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL enthält. Wenn der Empfänger auf die URL klickt, wird er zu einer Website weitergeleitet, die versucht, Hintergrundcode auszuführen. Dieser Hintergrundcode versucht, Informationen über den Empfänger zu sammeln oder beliebigen Code auf dessen Gerät zu installieren. In der Regel handelt es sich bei der Zielwebsite um eine bekannte Website, die kompromittiert wurde, oder um einen Klon einer bekannten Website. Vertrautheit mit der Website hilft, den Benutzer davon zu überzeugen, dass der Link sicher zu klicken ist. Diese Technik wird auch als Wasserlochangriff bezeichnet.

• OAuth-Zustimmungserteilung: Ein Angreifer erstellt eine böswillige Azure-Anwendung, die versucht, Zugriff auf Daten zu erhalten. Die Anwendung sendet eine E-Mail-Anforderung, die eine URL enthält. Wenn der Empfänger auf die URL klickt, fordert der Zustimmungserteilungsmechanismus der Anwendung den Zugriff auf die Daten (z. B. den Posteingang des Benutzers) an.

• Anleitung: Ein Lehrleitfaden, der Anweisungen für Benutzer enthält (z. B. wie Phishingnachrichten gemeldet werden).

Die URLs, die vom Angriffssimulationstraining verwendet werden, sind in der folgenden Tabelle aufgeführt:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Hinweis

Überprüfen Sie die Verfügbarkeit der simulierten Phishing-URL in Ihren unterstützten Webbrowsern, bevor Sie die URL in einer Phishingkampagne verwenden. Weitere Informationen finden Sie unter Phishingsimulations-URLs, die von Google Safe Browsing blockiert werden.

Erstellen von Simulationen

Anweisungen zum Erstellen und Starten von Simulationen finden Sie unter Simulieren eines Phishingangriffs.

Die Landing Page in der Simulation ist der Ort, an den Benutzer gehen, wenn sie die Nutzlast öffnen. Wenn Sie eine Simulation erstellen, wählen Sie die zu verwendende Landing Page aus. Sie können zwischen integrierten Landing Pages und benutzerdefinierten Zielseiten auswählen, die Sie bereits erstellt haben, oder Sie können eine neue Landing Page erstellen, die sie während der Erstellung der Simulation verwenden soll. Informationen zum Erstellen von Zielseiten finden Sie unter Landing Pages in Angriffssimulationstraining.

Endbenutzerbenachrichtigungen in der Simulation senden regelmäßige Erinnerungen an Benutzer (z. B. Trainingszuweisungen und Erinnerungsbenachrichtigungen). Sie können zwischen integrierten Benachrichtigungen und benutzerdefinierten Benachrichtigungen auswählen, die Sie bereits erstellt haben, oder Sie können neue Benachrichtigungen erstellen, die während der Erstellung der Simulation verwendet werden sollen. Informationen zum Erstellen von Benachrichtigungen finden Sie unter Endbenutzerbenachrichtigungen für das Training zur Angriffssimulation.

Tipp

Simulationsautomatisierungen bieten die folgenden Verbesserungen gegenüber herkömmlichen Simulationen:

• Simulationsautomatisierungen können mehrere Social Engineering-Techniken und zugehörige Nutzlasten enthalten (Simulationen enthalten nur eine).
• Simulationsautomatisierungen unterstützen automatisierte Planungsoptionen (mehr als nur das Start- und Enddatum in Simulationen).

Weitere Informationen finden Sie unter Simulationsautomatisierungen für angriffssimulationstrainings.

Nutzlasten

Obwohl die Angriffssimulation viele integrierte Nutzlasten für die verfügbaren Social Engineering-Techniken enthält, können Sie benutzerdefinierte Nutzlasten erstellen, um Ihre Geschäftlichen Anforderungen besser zu erfüllen, einschließlich des Kopierens und Anpassens einer vorhandenen Nutzlast. Sie können Nutzlasten jederzeit erstellen, bevor Sie die Simulation erstellen oder während der Erstellung der Simulation. Informationen zum Erstellen von Nutzlasten finden Sie unter Erstellen einer benutzerdefinierten Nutzlast für das Training der Angriffssimulation.

In Simulationen, die Credential Harvest oder Link in Attachment Social Engineering-Techniken verwenden, sind Anmeldeseiten Teil der von Ihnen ausgewählten Nutzlast. Die Anmeldeseite ist die Webseite, auf der Benutzer ihre Anmeldeinformationen eingeben. Jede anwendbare Nutzlast verwendet eine Standardanmeldungsseite, aber Sie können die verwendete Anmeldeseite ändern. Sie können zwischen integrierten Anmeldeseiten und benutzerdefinierten Anmeldeseiten auswählen, die Sie bereits erstellt haben, oder Sie können eine neue Anmeldeseite erstellen, die während der Erstellung der Simulation oder der Nutzlast verwendet werden soll. Informationen zum Erstellen von Anmeldeseiten finden Sie unter Anmeldeseiten im Training zur Angriffssimulation.

Die beste Trainingserfahrung für simulierte Phishingnachrichten besteht darin, sie so nah wie möglich an echte Phishingangriffe zu bringen, die in Ihrer Organisation auftreten könnten. Was wäre, wenn Sie harmlose Versionen von echten Phishing-Nachrichten erfassen und verwenden könnten, die in Microsoft 365 erkannt wurden, und sie in simulierten Phishingkampagnen verwenden könnten? Dies ist mit Nutzlastautomatisierungen möglich (auch als Nutzlasternte bezeichnet). Informationen zum Erstellen von Nutzlastautomatisierungen finden Sie unter Nutzlastautomatisierungen für das Training der Angriffssimulation.

Berichte und Erkenntnisse

Nachdem Sie die Simulation erstellt und gestartet haben, müssen Sie sehen, wie sie funktioniert. Beispiel:

• Hat es jeder erhalten?
• Wer hat was mit der simulierten Phishing-Nachricht und der darin enthaltenen Nutzlast gemacht (Löschen, Melden, Öffnen der Nutzlast, Eingeben von Anmeldeinformationen usw.).
• Wer die zugewiesene Schulung abgeschlossen hat.

Die verfügbaren Berichte und Erkenntnisse für das Angriffssimulationstraining werden unter Erkenntnisse und Berichte für das Training der Angriffssimulation beschrieben.

Vorhergesagte Kompromittierungsrate

Häufig müssen Sie eine simulierte Phishingkampagne für bestimmte Zielgruppen anpassen. Wenn die Phishing-Nachricht zu nah an perfekt ist, wird fast jeder davon täuschen. Wenn es zu verdächtig ist, wird es nicht täuschen. Und die Phishing-Nachrichten, die einige Benutzer für schwierig zu identifizieren halten, werden von anderen Benutzern als leicht zu identifizieren angesehen. Wie können Sie also ein Gleichgewicht schaffen?

Die vorhergesagte Kompromittierungsrate (Predicted Compromise Rate, PCR) gibt die potenzielle Effektivität an, wenn die Nutzlast in einer Simulation verwendet wird. PCR verwendet intelligente Verlaufsdaten in Microsoft 365, um den Prozentsatz der Personen vorherzusagen, die von der Nutzlast kompromittiert werden. Beispiel:

• Nutzlastinhalt.
• Aggregierte und anonymisierte Kompromittierungsraten aus anderen Simulationen.
• Nutzlastmetadaten.

PcR ermöglicht es Ihnen, die vorhergesagten und tatsächlichen Klickraten für Ihre Phishing-Simulationen zu vergleichen. Sie können diese Daten auch verwenden, um zu sehen, wie ihre Organisation im Vergleich zu vorhergesagten Ergebnissen abschneidet.

PCR-Informationen für eine Nutzlast sind überall dort verfügbar, wo Sie Nutzlasten anzeigen und auswählen, sowie in den folgenden Berichten und Erkenntnissen:

• Auswirkungen des Verhaltens auf die Karte mit der Kompromittierungsrate
• Registerkarte "Trainingseffizienz" für den Angriffssimulationsbericht

Tipp

Der Angriffssimulator verwendet sichere Links in Defender für Office 365, um Klickdaten für die URL in der Nutzlastnachricht, die an zielorientierte Empfänger einer Phishingkampagne gesendet wird, sicher nachzuverfolgen, auch wenn die Einstellung Benutzerklicks nachverfolgen in Richtlinien für sichere Links deaktiviert ist.

Training ohne Tricks

Herkömmliche Phishingsimulationen zeigen Benutzern verdächtige Nachrichten und die folgenden Ziele an:

• Bringen Sie Benutzer dazu, die Nachricht als verdächtig zu melden.
• Bieten Sie Schulungen an, nachdem Benutzer auf die simulierte schädliche Nutzlast geklickt oder gestartet und ihre Anmeldeinformationen übergeben haben.

Manchmal möchten Sie jedoch nicht warten, bis Benutzer richtige oder falsche Aktionen ausführen, bevor Sie sie trainieren. Das Training für die Angriffssimulation bietet die folgenden Features, um das Warten zu überspringen und direkt zum Training zu wechseln:

• Trainingskampagnen: Eine Trainingskampagne ist eine reine Trainingszuweisung für die Zielbenutzer. Sie können das Training direkt zuweisen, ohne Benutzer durch den Test einer Simulation zu führen. Schulungskampagnen erleichtern die Durchführung von Lernsitzungen wie monatlichen Schulungen zur Cybersicherheit. Weitere Informationen finden Sie unter Trainingskampagnen in Angriffssimulationstraining.

• Anleitungen in Simulationen: Simulationen, die auf der Anleitungsanleitung für Social Engineering basieren, versuchen nicht, Benutzer zu testen. Eine Anleitung ist eine einfache Lernumgebung, die Benutzer direkt in ihrem Posteingang anzeigen können. Beispielsweise sind die folgenden integrierten Anleitungsnutzlasten verfügbar, und Sie können ihre eigenen erstellen (einschließlich kopieren und anpassen einer vorhandenen Nutzlast):

  • Lehrleitfaden: Melden von Phishing-Nachrichten
  • Lehrleitfaden: Erkennen und Melden von QR-Phishing-Nachrichten