Automatisations de charge utile pour Exercice de simulation d’attaque
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans Exercice de simulation d’attaque dans Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2, les automatisations de charge utile (également appelées collecte de charge utile) collectent des informations à partir d’attaques par hameçonnage réelles signalées par les utilisateurs de votre organization. Vous pouvez spécifier les conditions à rechercher dans les attaques par hameçonnage (par exemple, les destinataires, la technique d’ingénierie sociale ou les informations de l’expéditeur).
L’automatisation de la charge utile imite les messages et les charges utiles de l’attaque et les stocke en tant que charges utiles personnalisées avec des identificateurs dans le nom de la charge utile. Vous pouvez ensuite utiliser les charges utiles collectées dans des simulations ou des automatisations pour lancer automatiquement des simulations inoffensives pour les utilisateurs ciblés.
Pour plus d’informations sur la façon dont les automatisations de charge utile sont collectées, consultez la section Annexe à la fin de cet article.
Pour obtenir des informations sur la prise en main de Exercice de simulation d’attaque, consultez Prise en main de Exercice de simulation d’attaque.
Pour afficher les automatisations de charge utile existantes que vous avez créées, ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet> Collaboration >Exercice de simulation d’attaque>Automations, puis sélectionnez Automatisations de charge utile. Pour accéder directement à l’onglet Automatisations où vous pouvez sélectionner Automatisations de charge utile, utilisez https://security.microsoft.com/attacksimulator?viewid=automations.
Les informations suivantes sont affichées pour chaque automatisation de charge utile. Vous pouvez trier les automatisations de charge utile en cliquant sur un en-tête de colonne disponible.
- Nom de l’automatisation
- Type : la valeur est Payload.
- Éléments collectés
- Dernière modification
- État : la valeur est Prêt ou Brouillon.
Conseil
Pour afficher toutes les colonnes, vous devrez probablement effectuer une ou plusieurs des étapes suivantes :
- Faites défiler horizontalement dans votre navigateur web.
- Réduisez la largeur des colonnes appropriées.
- Supprimez les colonnes de la vue.
- Zoom arrière dans votre navigateur web.
Créer des automatisations de charge utile
Pour créer une automatisation de charge utile, procédez comme suit :
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com/, accédez à Email &'onglet> Collaboration >Exercice de simulation d’attaque>Automations Automations de charge utile. Pour accéder directement à l’onglet Automatisations où vous pouvez sélectionner Automatisations de charge utile, utilisez https://security.microsoft.com/attacksimulator?viewid=automations.
Dans la page Automatisations de charge utile , sélectionnez Créer une automatisation pour démarrer le nouvel Assistant Automatisation de charge utile.
Remarque
À tout moment, après avoir nommé l’automatisation de charge utile pendant l’Assistant Nouvelle automatisation de charge utile, vous pouvez sélectionner Enregistrer et fermer pour enregistrer votre progression et continuer à configurer l’automatisation de la charge utile ultérieurement. L’automatisation de charge utile incomplète a la valeur ÉtatBrouillon dans Automatisations de charge utile sous l’onglet Automatisations. Vous pouvez reprendre là où vous vous êtes arrêté en sélectionnant l’automatisation de la charge utile et en cliquant sur Modifier l’automatisation.
Actuellement, la collecte de charge utile n’est pas activée dans les environnements GCC en raison des restrictions de collecte de données.
Dans la page Nom Automation , configurez les paramètres suivants :
- Nom : entrez un nom unique et descriptif pour l’automatisation de la charge utile.
- Description : entrez une description détaillée facultative pour l’automatisation de la charge utile.
Lorsque vous avez terminé d’accéder à la page nom Automation , sélectionnez Suivant.
Dans la page Conditions d’exécution , sélectionnez les conditions de l’attaque par hameçonnage réelle qui déterminent quand l’automatisation s’exécute.
Sélectionnez Ajouter une condition , puis sélectionnez l’une des conditions suivantes :
- Non. des utilisateurs ciblés dans la campagne: Dans les zones qui s’affichent, configurez les paramètres suivants :
- Égal à, Inférieur à, Supérieur à, Inférieur ou égal à ou Supérieur ou égal à.
- Entrez la valeur : nombre d’utilisateurs ciblés par la campagne de hameçonnage.
-
Campagnes avec une technique de hameçonnage spécifique : dans la zone qui s’affiche, sélectionnez l’une des valeurs disponibles :
- Collecte des informations d’identification
- Pièce jointe aux programmes malveillants
- Lien dans la pièce jointe
- Lien vers un programme malveillant
- Guide pratique
- Domaine de l’expéditeur spécifique : dans la zone qui s’affiche, entrez une valeur de domaine d’e-mail de l’expéditeur (par exemple, contoso.com).
- Nom de l’expéditeur spécifique : dans la zone qui s’affiche, entrez une valeur de nom d’expéditeur.
- Adresse e-mail de l’expéditeur spécifique : dans la zone qui s’affiche, entrez une adresse e-mail de l’expéditeur.
- Utilisateurs et destinataires de groupe spécifiques : dans la zone qui s’affiche, commencez à taper le nom ou l’adresse e-mail de l’utilisateur ou du groupe. Lorsqu’elle s’affiche, sélectionnez-la.
Vous ne pouvez utiliser chaque condition qu’une seule fois. Plusieurs conditions utilisent la logique AND (<Condition1> et <Condition2>).
Pour ajouter une autre condition, sélectionnez Ajouter une condition.
Pour supprimer une condition après l’avoir ajoutée, sélectionnez .
Lorsque vous avez terminé sur la page Conditions d’exécution , sélectionnez Suivant.
- Non. des utilisateurs ciblés dans la campagne: Dans les zones qui s’affichent, configurez les paramètres suivants :
Dans la page Vérifier l’automatisation , vous pouvez passer en revue les détails de l’automatisation de votre charge utile.
Vous pouvez sélectionner Modifier dans chaque section pour modifier les paramètres de la section. Vous pouvez également sélectionner Précédent ou la page spécifique dans l’Assistant.
Lorsque vous avez terminé d’accéder à la page Passer en revue l’automatisation , sélectionnez Envoyer.
Dans la page Nouvelle automatisation créée , vous pouvez utiliser les liens pour activer l’automatisation de la charge utile ou accéder à la page Simulations .
Lorsque vous avez terminé, sélectionnez Terminé.
De retour sur Automatisations de charge utile sous l’onglet Automatisations , l’automatisation de charge utile que vous avez créée est désormais répertoriée avec la valeur ÉtatPrêt.
Activer ou désactiver les automatisations de charge utile
Vous pouvez activer ou désactiver les automatisations de charge utile avec la valeur ÉtatPrêt. Vous ne pouvez pas activer ou désactiver les automatisations de charge utile incomplètes avec la valeur ÉtatBrouillon.
Pour activer une automatisation de charge utile, sélectionnez-la dans la liste en cliquant sur la zone case activée en regard du nom. Sélectionnez l’action Activer qui s’affiche, puis sélectionnez Confirmer dans la boîte de dialogue.
Pour désactiver l’automatisation d’une charge utile, sélectionnez-la dans la liste en cliquant sur la zone case activée en regard du nom. Sélectionnez l’action Désactiver qui s’affiche, puis sélectionnez Confirmer dans la boîte de dialogue.
Modifier les automatisations de charge utile
Vous pouvez uniquement modifier les automatisations de charge utile avec la valeur État Brouillon ou qui sont désactivées.
Pour modifier une automatisation de charge utile existante dans la page Automatisations de charge utile, effectuez l’une des étapes suivantes :
- Sélectionnez l’automatisation de la charge utile dans la liste en sélectionnant la zone case activée en regard du nom. Sélectionnez l’action Modifier l’automatisation qui s’affiche.
- Sélectionnez l’automatisation de la charge utile dans la liste en cliquant n’importe où dans la ligne, à l’exception de la zone case activée. Dans le menu volant de détails qui s’ouvre, sous l’onglet Général , sélectionnez Modifier dans les sections Nom, Description ou Conditions d’exécution .
L’Assistant Automatisation de charge utile s’ouvre avec les paramètres et les valeurs de l’automatisation de charge utile sélectionnée. Les étapes sont les mêmes que celles décrites dans la section Créer des automatisations de charge utile .
Supprimer les automatisations de charge utile
Pour supprimer une automatisation de charge utile, sélectionnez l’automatisation de charge utile dans la liste en cliquant sur la zone case activée. Sélectionnez l’action Supprimer qui s’affiche, puis sélectionnez Confirmer dans la boîte de dialogue.
Afficher les détails de l’automatisation de la charge utile
Pour les automatisations de charge utile avec la valeur ÉtatPrêt, sélectionnez la charge utile dans la page Automatisations de charge utile en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom. Le menu volant de détails qui s’ouvre contient les informations suivantes :
Nom de l’automatisation de la charge utile et nombre d’éléments collectés.
Onglet Général:
- Dernière modification
- Type : la valeur est Payload.
- Sections Nom, Description et Conditions d’exécution : sélectionnez Modifier pour ouvrir l’Assistant Automatisation de la charge utile sur la page associée.
Onglet Historique des exécutions : cet onglet est disponible uniquement pour les automatisations de charge utile avec la valeur ÉtatPrêt.
Affiche des informations sur l’historique des exécutions des simulations qui ont utilisé l’automatisation de la charge utile.
Conseil
Pour afficher des détails sur les autres automatisations de charge utile sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Annexe
L’automatisation de la charge utile s’appuie sur les messages électroniques identifiés comme des campagnes par Defender for Office 365 :
Les administrateurs qui marquent les messages comme hameçonnage n’entraînent pas la collecte de charge utile.
L’automatisation de la charge utile nécessite l’accès à la charge utile brute, qui peut inclure des messages signalés par l’utilisateur qui répondent aux critères suivants :
- Le message a été remis à la boîte de réception (faux négatif).
- L’utilisateur a signalé le message comme hameçonnage.
- Le message signalé a été envoyé à Microsoft (directement par l’utilisateur ou par un administrateur à partir du portail soumissions), et Microsoft a déterminé qu’il s’agissait d’un hameçonnage.
Les charges utiles éligibles sont collectées si les messages répondent aux critères de l’automatisation de charge utile, comme décrit plus haut dans cet article (Étape 4 dans Créer des automatisations de charge utile).
Liens associés
Commencer à utiliser la formation à la simulation d’attaque
Automatisations de simulation pour Exercice de simulation d’attaque