Prise en main de Exercice de simulation d'attaque dans Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

S’applique àMicrosoft Defender pour Office 365 plan 2

Si votre organisation a Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2, qui inclut des fonctionnalités d’investigation et de réponse aux menaces, vous pouvez utiliser Exercice de simulation d'attaque dans le Microsoft 365 Defender portail pour exécuter des scénarios d’attaque réalistes dans votre organisation. Ces attaques simulées peuvent vous aider à identifier et à trouver les utilisateurs vulnérables avant qu’une attaque réelle n’affecte votre résultat net. Pour en savoir plus, lisez cet article.

Regardez cette courte vidéo pour en savoir plus sur Exercice de simulation d'attaque.

Remarque

Exercice de simulation d'attaque remplace l’ancienne expérience du simulateur d’attaque v1 qui était disponible dans la sécurité & Centre de conformité surle simulateur d’attaquesde gestion des> menaces ou https://protection.office.com/attacksimulator.

Ce qu'il faut savoir avant de commencer

  • Exercice de simulation d'attaque réinscrire une licence Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2.

  • Pour ouvrir le Portail Microsoft 365 Defender, accédez à https://security.microsoft.com. Exercice de simulation d'attaque est disponible sur Email et collaboration>Exercice de simulation d'attaque. Pour accéder directement à Exercice de simulation d'attaque, utilisez https://security.microsoft.com/attacksimulator.

  • Pour plus d’informations sur la disponibilité des Exercice de simulation d'attaque dans différents abonnements Microsoft 365, consultez Microsoft Defender pour Office 365 description du service.

  • Vous devez disposer d’autorisations dans Azure Active Directory pour pouvoir effectuer les procédures décrites dans cet article. Plus précisément, vous devez être membre de l’un des rôles suivants :

    • Administrateur général
    • Administrateur de sécurité
    • Administrateurs *de simulation d’attaque : créez et gérez tous les aspects des campagnes de simulation d’attaque.
    • Auteur *de charge utile d’attaque : créez des charges utiles d’attaque qu’un administrateur peut lancer ultérieurement.

    *L’ajout d’utilisateurs à ce rôle dans le portail Microsoft 365 Defender n’est actuellement pas pris en charge.

    Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou À propos des rôles d’administrateur.

  • Il n’existe aucune applet de commande PowerShell correspondante pour Exercice de simulation d'attaque.

  • Les données liées à la simulation d’attaque et à l’entraînement sont stockées avec d’autres données client pour Microsoft services 365. Pour plus d’informations, consultez Microsoft 365 emplacements de données. La simulation d’attaque est disponible dans les régions suivantes : NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE et DEU.

    Remarque

    NOR, ZAF, ARE et DEU sont les derniers ajouts. Toutes les fonctionnalités, à l’exception des données de télémétrie signalées, seront disponibles dans ces régions. Nous nous efforçons de l’activer et informerons nos clients dès que les données de télémétrie des e-mails signalées seront disponibles.

  • Depuis le 15 juin 2021, Exercice de simulation d'attaque est disponible dans GCC. Si votre organisation a Office 365 G5 GCC ou Microsoft Defender pour Office 365 (Plan 2) pour le secteur public, vous pouvez utiliser Exercice de simulation d'attaque dans le Microsoft 365 Defender pour exécuter des scénarios d’attaque réalistes dans votre organisation, comme décrit dans cet article. Exercice de simulation d'attaque n’est pas encore disponible dans les environnements GCC High ou DoD.

Remarque

Exercice de simulation d'attaque offre un sous-ensemble de fonctionnalités aux clients E3 en tant qu’essai. L’offre d’essai contient la possibilité d’utiliser une charge utile de collecte des informations d’identification et la possibilité de sélectionner des expériences de formation « Hameçonnage ISA » ou « Hameçonnage de marché de masse ». Aucune autre fonctionnalité ne fait partie de l’offre d’essai E3.

Simulations

Le Hameçonnage est un terme générique qui décrit les attaques par courrier électronique tentant d’accéder à des informations sensibles par le biais de messages qui paraissent provenir d’expéditeurs légitimes ou approuvés. Le hameçonnage fait partie d’un sous-ensemble de techniques que nous classifions en tant qu’ingénierie sociale.

Dans Exercice de simulation d'attaque, plusieurs types de techniques d’ingénierie sociale sont disponibles :

  • Collecte des informations d’identification : un attaquant envoie au destinataire un message contenant une URL. Lorsque le destinataire clique sur l’URL, il est dirigé vers un site web qui affiche généralement une boîte de dialogue qui demande à l’utilisateur son nom d’utilisateur et son mot de passe. En règle générale, la page de destination a un thème pour représenter un site web connu afin de créer une confiance dans l’utilisateur.

  • Pièce jointe au programme malveillant : un attaquant envoie au destinataire un message contenant une pièce jointe. Lorsque le destinataire ouvre la pièce jointe, du code arbitraire (par exemple, une macro) est exécuté sur l’appareil de l’utilisateur pour aider l’attaquant à installer du code supplémentaire ou à s’ancrer davantage.

  • Lien en pièce jointe : il s’agit d’un hybride d’une collecte d’informations d’identification. Un attaquant envoie au destinataire un message contenant une URL à l’intérieur d’une pièce jointe. Lorsque le destinataire ouvre la pièce jointe et clique sur l’URL, il est dirigé vers un site web qui affiche généralement une boîte de dialogue qui demande à l’utilisateur son nom d’utilisateur et son mot de passe. En règle générale, la page de destination a un thème pour représenter un site web connu afin de créer une confiance dans l’utilisateur.

  • Lien vers un programme malveillant : un attaquant envoie au destinataire un message contenant un lien vers une pièce jointe sur un site de partage de fichiers connu (par exemple, SharePoint Online ou Dropbox). Lorsque le destinataire clique sur l’URL, la pièce jointe s’ouvre et du code arbitraire (par exemple, une macro) est exécuté sur l’appareil de l’utilisateur pour aider l’attaquant à installer du code supplémentaire ou à s’installer davantage.

  • Lecteur par URL : un attaquant envoie au destinataire un message contenant une URL. Lorsque le destinataire clique sur l’URL, il est dirigé vers un site web qui tente d’exécuter du code d’arrière-plan. Ce code d’arrière-plan tente de collecter des informations sur le destinataire ou de déployer du code arbitraire sur son appareil. En règle générale, le site web de destination est un site web connu qui a été compromis ou un clone d’un site web bien connu. La connaissance du site web permet de convaincre l’utilisateur que le lien peut être cliqué en toute sécurité. Cette technique est également connue sous le nom d’attaque de trou d’arrosage.

  • Octroi de consentement OAuth : un attaquant crée un Azure Application malveillant qui cherche à accéder aux données. L’application envoie une demande par e-mail contenant une URL. Lorsque le destinataire clique sur l’URL, le mécanisme d’octroi de consentement de l’application demande l’accès aux données (par exemple, la boîte de réception de l’utilisateur).

Les URL utilisées par Exercice de simulation d'attaque sont décrites dans la liste suivante :

Remarque

Vérifiez la disponibilité de l’URL de hameçonnage simulé dans vos navigateurs web pris en charge avant d’utiliser l’URL dans une campagne de hameçonnage. Bien que nous travaillons avec de nombreux fournisseurs de réputation d’URL pour toujours autoriser ces URL de simulation, nous n’avons pas toujours une couverture complète (par exemple, Google Safe Browsing). La plupart des fournisseurs fournissent des conseils qui vous permettent de toujours autoriser des URL spécifiques (par exemple, https://support.google.com/chrome/a/answer/7532419).

Créer une simulation

Pour obtenir des instructions pas à pas sur la création et l’envoi d’une nouvelle simulation, consultez Simuler une attaque par hameçonnage.

Créer une charge utile

Pour obtenir des instructions pas à pas sur la création d’une charge utile à utiliser dans une simulation, consultez Créer une charge utile personnalisée pour Exercice de simulation d'attaque.

Obtention d’insights

Pour obtenir des instructions pas à pas sur la façon d’obtenir des insights avec la création de rapports, consultez Obtenir des insights via Exercice de simulation d'attaque.

Remarque

Le simulateur d’attaque utilise des liens fiables dans Defender pour Office 365 pour suivre en toute sécurité les données de clic de l’URL dans le message de charge utile envoyé aux destinataires ciblés d’une campagne de hameçonnage, même si le paramètre Suivre les clics de l’utilisateur dans les stratégies Liens fiables est désactivé.