Erste Schritte mit Angriffssimulationstraining in Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt fürMicrosoft Defender for Office 365 Plan 2

Wenn Ihre Organisation über Microsoft 365 E5 oder Microsoft Defender for Office 365 Plan 2 verfügt, der Funktionen zur Untersuchung und Reaktion auf Bedrohungen enthält, können Sie Angriffssimulationstraining im Microsoft 365 Defender Portal zum Ausführen realistischer Angriffsszenarien in Ihrer Organisation. Diese simulierten Angriffe können Ihnen helfen, anfällige Benutzer zu identifizieren und zu finden, bevor sich ein echter Angriff auf Ihr Ergebnis auswirkt. Weitere Informationen finden Sie in diesem Artikel.

Sehen Sie sich dieses kurze Video an, um mehr über Angriffssimulationstraining zu erfahren.

Hinweis

Angriffssimulationstraining ersetzt die alte Angriffssimulator v1-Oberfläche, die in der Sicherheit & verfügbar war. Compliance Center unter Angriffssimulator für Bedrohungsverwaltung> oderhttps://protection.office.com/attacksimulator.

Was sollten Sie wissen, bevor Sie beginnen?

  • Angriffssimulationstraining erfordert eine Microsoft 365 E5- oder Microsoft Defender for Office 365 Plan 2-Lizenz.

  • Um das Microsoft 365 Defender-Portal zu öffnen, gehen Sie zu https://security.microsoft.com. Angriffssimulationstraining finden Sie unter Email und Zusammenarbeit>Angriffssimulationstraining. Verwenden Sie https://security.microsoft.com/attacksimulator, um direkt zu Angriffssimulationstraining zu wechseln.

  • Weitere Informationen zur Verfügbarkeit von Angriffssimulationstraining in verschiedenen Microsoft 365-Abonnements finden Sie unter Microsoft Defender for Office 365 Dienstbeschreibung.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Azure AD RBAC: Sie benötigen eine Mitgliedschaft in einer der folgenden Rollen:

      • Globaler Administrator
      • Sicherheitsadministrator
      • Angriffssimulationsadministratoren*: Erstellen und verwalten Sie alle Aspekte von Angriffssimulationskampagnen.
      • Autor von *Angriffsnutzlasten: Erstellen Sie Angriffsnutzlasten, die ein Administrator später initiieren kann.

      *Das Hinzufügen von Benutzern zu dieser Rolle in Email & RBAC für die Zusammenarbeit im Microsoft 365 Defender-Portal wird derzeit nicht unterstützt.

  • Es gibt keine entsprechenden PowerShell-Cmdlets für Angriffssimulationstraining.

  • Angriffssimulations- und Trainingsdaten werden zusammen mit anderen Kundendaten für Microsoft 365-Dienste gespeichert. Weitere Informationen finden Sie unter Microsoft 365-Datenspeicherorte. Die Angriffssimulation ist in folgenden Regionen verfügbar: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE und DEU.

    Hinweis

    NOR, ZAF, ARE und DEU sind die neuesten Ergänzungen. Alle Features mit Ausnahme der gemeldeten E-Mail-Telemetrie sind in diesen Regionen verfügbar. Wir arbeiten daran, dies zu aktivieren und werden unsere Kunden benachrichtigen, sobald gemeldete E-Mail-Telemetriedaten verfügbar sind.

  • Ab dem 15. Juni 2021 ist Angriffssimulationstraining in GCC verfügbar. Wenn Ihre Organisation über Office 365 G5 GCC oder Microsoft Defender for Office 365 (Plan 2) für Government verfügt, können Sie Angriffssimulationstraining im Microsoft 365 Defender Portal zum Ausführen realistischer Angriffsszenarien in Ihrer Organisation, wie in diesem Artikel beschrieben. Angriffssimulationstraining ist in GCC High- oder DoD-Umgebungen noch nicht verfügbar.

Hinweis

Angriffssimulationstraining bietet E3-Kunden eine Teilmenge von Funktionen als Testversion. Das Testangebot enthält die Möglichkeit, eine Credential Harvest-Nutzlast zu verwenden, und die Möglichkeit, die Trainingserfahrungen "ISA Phishing" oder "Massenmarkt-Phishing" auszuwählen. Es sind keine anderen Funktionen Teil des E3-Testangebots.

Simulationen

Phishing ist ein allgemeiner Begriff für E-Mail-Angriffe, die versuchen, vertrauliche Informationen in Nachrichten zu stehlen, die scheinbar von legitimen oder vertrauenswürdigen Absendern stammen. Phishing ist Teil einer Teilmenge von Techniken, die wir als Social Engineering klassifizieren.

In Angriffssimulationstraining stehen mehrere Arten von Social Engineering-Techniken zur Verfügung:

  • Sammeln von Anmeldeinformationen: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL enthält. Wenn der Empfänger auf die URL klickt, wird er zu einer Website weitergeleitet, die in der Regel ein Dialogfeld anzeigt, in dem der Benutzer nach benutzername und kennwort gefragt wird. In der Regel wird die Zielseite so designt, dass sie eine bekannte Website darstellt, um Vertrauen in den Benutzer aufzubauen.

  • Schadsoftwareanlage: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine Anlage enthält. Wenn der Empfänger die Anlage öffnet, wird beliebiger Code (z. B. ein Makro) auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu festigen.

  • Link in Anlage: Dies ist eine Hybride aus einer Anmeldeinformationsernte. Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL in einer Anlage enthält. Wenn der Empfänger die Anlage öffnet und auf die URL klickt, wird er zu einer Website weitergeleitet, die in der Regel ein Dialogfeld anzeigt, in dem der Benutzer nach benutzername und kennwort gefragt wird. In der Regel wird die Zielseite so designt, dass sie eine bekannte Website darstellt, um Vertrauen in den Benutzer aufzubauen.

  • Link zu Schadsoftware: Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link zu einer Anlage auf einer bekannten Dateifreigabewebsite (z. B. SharePoint Online oder Dropbox) enthält. Wenn der Empfänger auf die URL klickt, wird die Anlage geöffnet, und beliebiger Code (z. B. ein Makro) wird auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu festigen.

  • Drive-by-URL: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL enthält. Wenn der Empfänger auf die URL klickt, wird er zu einer Website weitergeleitet, die versucht, Hintergrundcode auszuführen. Dieser Hintergrundcode versucht, Informationen über den Empfänger zu sammeln oder beliebigen Code auf dessen Gerät zu installieren. In der Regel handelt es sich bei der Zielwebsite um eine bekannte Website, die kompromittiert wurde, oder um einen Klon einer bekannten Website. Vertrautheit mit der Website hilft, den Benutzer davon zu überzeugen, dass der Link sicher zu klicken ist. Diese Technik wird auch als Wasserlochangriff bezeichnet.

  • OAuth-Zustimmungserteilung: Ein Angreifer erstellt eine böswillige Azure-Anwendung, die versucht, Zugriff auf Daten zu erhalten. Die Anwendung sendet eine E-Mail-Anforderung, die eine URL enthält. Wenn der Empfänger auf die URL klickt, fordert der Zustimmungserteilungsmechanismus der Anwendung den Zugriff auf die Daten (z. B. den Posteingang des Benutzers) an.

Die URLs, die von Angriffssimulationstraining verwendet werden, werden in der folgenden Liste beschrieben:

Hinweis

Überprüfen Sie die Verfügbarkeit der simulierten Phishing-URL in Ihren unterstützten Webbrowsern, bevor Sie die URL in einer Phishingkampagne verwenden. Obwohl wir mit vielen URL-Reputationsanbietern zusammenarbeiten, um diese Simulations-URLs immer zuzulassen, haben wir nicht immer eine vollständige Abdeckung (z. B. Google Safe Browsing). Die meisten Anbieter bieten Anleitungen, mit denen Sie bestimmte URLs immer zulassen können (z. B https://support.google.com/chrome/a/answer/7532419. ).

Erstellen einer Simulation

Schritt-für-Schritt-Anweisungen zum Erstellen und Senden einer neuen Simulation finden Sie unter Simulieren eines Phishingangriffs.

Erstellen einer Nutzlast

Schritt-für-Schritt-Anweisungen zum Erstellen einer Nutzlast für die Verwendung innerhalb einer Simulation finden Sie unter Erstellen einer benutzerdefinierten Nutzlast für Angriffssimulationstraining.

Gewinnen von Erkenntnissen

Schritt-für-Schritt-Anweisungen zum Gewinnen von Erkenntnissen mit der Berichterstellung finden Sie unter Gewinnen von Erkenntnissen durch Angriffssimulationstraining.

Vorhergesagte Kompromittierungsrate

Eines der wichtigsten Elemente in einer Phishing-Simulation ist die Nutzlastauswahl. Wenn Sie nur das Durchklicken als Qualitätsmetrik nachverfolgen, gibt es einen Anreiz, die Klickrate zu verringern, indem Sie einfacher zu erkennende Phishing-Nutzlasten auswählen. Schließlich ist es weniger wahrscheinlich, dass der Benutzer sein Verhalten ändert, wenn eine echte Phishing-Nachricht kommt.

Um die Tendenz zu bekämpfen, Nutzdaten mit niedriger Klickrate zu verwenden und die Ergebnisse von Bildungseinrichtungen zu maximieren, haben wir für jede globale Nutzlast einen neuen Teil von Metadaten erstellt, die als Vorhersage der Kompromittierungsrate (Predicted Compromise Rate, PCR) bezeichnet werden.

PCR verwendet Verlaufsdaten in Microsoft 365, die den Prozentsatz der Personen vorhersagt, die von der Nutzlast kompromittiert werden. Die Formel lautet: Kompromittierte Benutzer /Gesamtzahl der Benutzer, die die Simulation erhalten. PCR ist ein intelligenter Mechanismus, der auf Informationen wie Nutzlastinhalten, Kompromittierungsraten (aggregiert und anonymisiert) und Nutzlastmetadaten basiert. PCR sagt eine genauere potenzielle Kompromittierungsrate voraus, wenn die Nutzlast innerhalb einer Simulation verwendet wird. Der Vorteil von PCR besteht aus der Vorhersage des tatsächlichen und des vorhergesagten Durchklickens für eine bestimmte Simulation und Nutzlast.

Sie können auch die Gesamtleistung Ihrer Organisation überprüfen, indem Sie den Unterschied zwischen der vorhergesagten Kompromittierungsrate und der tatsächlichen Kompromittierungsrate zwischen Simulationen mithilfe des Berichts zur Trainingswirksamkeit messen.

Hinweis

Der Angriffssimulator verwendet sichere Links in Defender for Office 365, um Klickdaten für die URL in der Nutzlastnachricht, die an zielorientierte Empfänger einer Phishingkampagne gesendet wird, sicher nachzuverfolgen, auch wenn die Einstellung Benutzerklicks nachverfolgen in Richtlinien für sichere Links deaktiviert ist.