תחילת השימוש בהדרכה להדמיית תקיפה
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.
בארגונים עם Microsoft Defender עבור Office 365 תוכנית 2 (רשיונות הרחבה או כלולים במנויים כגון Microsoft 365 E5), באפשרותך להשתמש הדרכה בהדמיית התקפה ב- Microsoft Defender כדי להפעיל תרחישי תקיפה מציאותיים בארגון שלך. התקפות מדומה אלה יכולות לעזור לך לזהות ולחפש משתמשים פגיעים לפני מתקפה אמיתית משפיעה על השורה התחתונה שלך.
מאמר זה מסביר את היסודות של הדרכה בהדמיית התקפה.
צפה בסרטון וידאו קצר זה לקבלת מידע נוסף על הדרכה בהדמיית התקפה.
הערה
הדרכה בהדמיית התקפה מחליף את החוויה הישנה של סימולטור תקיפה v1 שהיה זמין במרכז התאימות של אבטחה & סימולטור>תקיפה של ניהול איומים או https://protection.office.com/attacksimulator.
מה עליך לדעת לפני שתתחיל?
הדרכה בהדמיית התקפה דורש רשיון Microsoft 365 E5 או Microsoft Defender עבור Office 365 תוכנית 2. לקבלת מידע נוסף אודות דרישות רישוי, ראה תנאי רישוי.
הדרכה בהדמיית התקפה תומכת בתיבות דואר מקומיות, אך עם פונקציונליות דיווח מופחתת. לקבלת מידע נוסף, ראה בעיות דיווח בתיבות דואר מקומיות.
כדי לפתוח את Microsoft Defender, עבור אל https://security.microsoft.com. הדרכה בהדמיית התקפה זמין בדואר אלקטרוני ובשיתוף פעולה>הדרכה בהדמיית התקפה. כדי לעבור ישירות אל הדרכה בהדמיית התקפה, השתמש ב- https://security.microsoft.com/attacksimulator.
לקבלת מידע נוסף על הזמינות של הדרכה בהדמיית התקפה שונים של Microsoft 365, ראה Microsoft Defender עבור Office 365 השירות.
עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:
Microsoft Entra נוספות: דרושה לך חברות באחד מהתפקידים הבאים:
- מנהל מערכת כללי¹
- מנהל אבטחה
- התקפה מנהלי הדמיות²: ליצור ולנהל את כל ההיבטים של קמפיינים הדמיות התקפה.
- מחבר תוכן מנה של התקפה²: צור תוכן מנה של תקיפה שמנהל מערכת יוכל ליזום מאוחר יותר.
חשוב
¹ Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
² הוספת משתמשים לקבוצת תפקידים זו במאמר & אלקטרוני והרשאות שיתוף פעולה בפורטל Microsoft Defender אינה נתמכת כעת.
בשלב זה, Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) אינה נתמכת.
אין רכיבי cmdlet תואמים של PowerShell עבור הדרכה בהדמיית התקפה.
נתונים הקשורים להדמיית תקיפה והדרכה מאוחסנים עם נתוני לקוחות אחרים עבור שירותי Microsoft 365. לקבלת מידע נוסף, ראה מיקומי נתונים של Microsoft 365. הדרכה בהדמיית התקפה זמין באזורים הבאים: APC, EUR ו- NAM. מדינות באזורים אלה שבהן הדרכה בהדמיית התקפה זמין כוללות ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE ו- ZAF.
הערה
NOR, ZAF, ARE ו- DEU הם התוספות העדכניות ביותר. כל התכונות למעט מדידת שימוש של דואר אלקטרוני שדווח זמינות באזורים אלה. אנו פועלים כדי להפוך את התכונות לזמינות ואנו נודיע ללקוחות ברגע שמדידת השימוש בדואר אלקטרוני המדווחת תהפוך לזמינה.
הדרכה בהדמיית התקפה זמינה בסביבות GCC, GCC High ו- DoD של Microsoft 365, אך תכונות מתקדמות מסוימות אינן זמינות ב- GCC High ו- DoD (לדוגמה, אוטומציית תוכן מנה, עומסי מנה מומלצים, שיעור החזוי שנחשף לסכנה). אם לארגון שלך יש Microsoft 365 G5, Office 365 G5 או Microsoft Defender עבור Office 365 (תוכנית 2) עבור Government, באפשרותך להשתמש ב- הדרכה בהדמיית התקפה כמתואר במאמר זה.
הערה
הדרכה בהדמיית התקפה מציעה קבוצת משנה של יכולות ללקוחות E3 כניסיון. הצעת הניסיון מכילה את היכולת להשתמש במנה של קציר אישורים ואת היכולת לבחור חוויות הדרכה של 'דיוג ISA' או 'דיוג שוק המוני'. אין יכולות אחרות כחלק מהצעת הניסיון של E3.
סימולציות
הדמיה ב- הדרכה בהדמיית התקפה היא הקמפיין הכולל שמעביר הודעות דיוג מציאותיות אך לא מזיקות למשתמשים. הרכיבים הבסיסיים של הדמיה הם:
- מי מקבל את הודעת דיוג המדומה ואת לוח הזמנים.
- הדרכה שהמשתמשים מקבלים בהתבסס על הפעולה או העדר הפעולה שלהם (עבור פעולות נכונות ולא נכונות) על הודעת דיוג מדומה.
- המנה שבה נעשה שימוש בהודעת דיוג מדומה (קישור או קובץ מצורף) וההודעת דיוג (לדוגמה, חבילה נמסרה, בעיה בחשבון שלך או שזכית בפרס).
- טכניקת ההנדסה החברתית שבה נעשה שימוש. טכניקת תוכן המנה וההנדסה החברתית קשורות מאוד.
ב הדרכה בהדמיית התקפה, זמינים סוגים מרובים של טכניקות הנדסה חברתית. למעט מדריך 'כיצד לבצע', טכניקות אלה נאמצו ממסגרת MITRE ATT&CK®. עומסי מנה שונים זמינים עבור טכניקות שונות.
טכניקות ההנדסה החברתית הבאות זמינות:
קציר אישורים: תוקף שולח לנמען הודעה המכילה קישור*. כאשר הנמען לוחץ על הקישור, הוא נלקח לאתר אינטרנט המראה בדרך כלל תיבת דו-שיח שמציגה את שם המשתמש והסיסמה שלו. בדרך כלל, דף היעד משמש כערכת נושא כדי לייצג אתר אינטרנט ידוע כדי לבנות אמון במשתמש.
קובץ מצורף של תוכנה זדונית: תוקף שולח לנמען הודעה המכילה קובץ מצורף. כאשר הנמען פותח את הקובץ המצורף, קוד שרירותי (לדוגמה, מאקרו) פועל במכשיר של המשתמש כדי לעזור לתוקף להתקין קוד נוסף או להתקיף את עצמו עוד יותר.
קישור בקובץ מצורף: שיטה זו היא שיטה היברידית של קציר אישורים. תוקף שולח לנמען הודעה המכילה קישור בתוך קובץ מצורף. כאשר הנמען פותח את הקובץ המצורף ולוחץ על הקישור, הוא נלקח לאתר אינטרנט המראה בדרך כלל תיבת דו-שיח שמציגה את שם המשתמש והסיסמה שלו. בדרך כלל, דף היעד משמש כערכת נושא כדי לייצג אתר אינטרנט ידוע כדי לבנות אמון במשתמש.
קישור לתוכנות זדוניות*: תוקף שולח לנמען הודעה המכילה קישור לקובץ מצורף באתר ידוע של שיתוף קבצים (לדוגמה, SharePoint Online או Dropbox). כאשר הנמען לוחץ על הקישור, הקובץ המצורף נפתח, וקוד שרירותי (לדוגמה, מאקרו) פועל במכשיר של המשתמש כדי לעזור לתוקף להתקין קוד נוסף או לתקיף את עצמם עוד יותר.
כונן אחר כתובת URL*: תוקף שולח לנמען הודעה המכילה קישור. כאשר הנמען לוחץ על הקישור, הוא נלקח לאתר אינטרנט שמנסה להפעיל קוד רקע. קוד רקע זה מנסה לאסוף מידע אודות הנמען או לפרוס קוד שרירותי במכשיר שלו. בדרך כלל, אתר היעד הוא אתר אינטרנט ידוע שנחשף לסכנה או עותק של אתר אינטרנט מוכר. היכרות עם אתר האינטרנט מסייעת לשכנע את המשתמש שהקישור בטוח ללחיצה. טכניקה זו נקראת גם מתקפת חור מים.
הענקת הסכמה של* OAuth: תוקף יוצר יישום Azure זדוני שמחפש לקבל גישה לנתונים. היישום שולח בקשת דואר אלקטרוני המכילה קישור. כאשר הנמען לוחץ על הקישור, מנגנון הענקת ההסכמה של היישום מבקש גישה לנתונים (לדוגמה, תיבת הדואר הנכנס של המשתמש).
מדריך 'כיצד לבצע': מדריך הוראה המכיל הוראות עבור משתמשים (לדוגמה, כיצד לדווח על הודעות דיוג).
* הקישור יכול להיות כתובת URL או קוד QR.
כתובות ה- URL המשמשות את הדרכה בהדמיית התקפה מפורטות בטבלה הבאה:
הערה
בדוק את הזמינות של כתובת ה- URL של דיוג המדומה בדפדפני האינטרנט הנתמכים שלך לפני השימוש בכתובת ה- URL בקמפיין דיוג. לקבלת מידע נוסף, ראה כתובות URL של הדמיות דיוג שנחסמו על-ידי Google Safe Browsing.
יצירת הדמיות
לקבלת הוראות ליצירה והפעלה של הדמיות, ראה הדמיה של מתקפת דיוג.
דף הנחיתה בסימולציה הוא המקום שאליו משתמשים הולכים כשהם פותחים את תוכן המנה. בעת יצירת הדמיה, עליך לבחור את דף היעד שבו יש להשתמש. באפשרותך לבחור מתוך דפי יעד מוכללים, דפי נחיתה מותאמים אישית שכבר יצרת, או ליצור דף יעד חדש לשימוש במהלך יצירת הסימולציה. כדי ליצור דפי יעד, ראה דפי נחיתה הדרכה בהדמיית התקפה.
הודעות משתמשי קצה בהדמייה שולחות למשתמשים תזכורות תקופתיות (לדוגמה, הודעות על הקצאות הדרכה ותזכורות). באפשרותך לבחור מתוך הודעות מוכללות, הודעות מותאמות אישית שכבר יצרת, או ליצור הודעות חדשות לשימוש במהלך יצירת הסימולציה. כדי ליצור הודעות, ראה הודעות למשתמשי קצה עבור הדרכה בהדמיית התקפה.
עצה
אוטומציות הדמיות מספקות את השיפורים הבאים על פני הדמיות מסורתיות:
- אוטומציות הדמיה יכולות לכלול טכניקות הנדסה חברתית מרובות ועומסי מנה קשורים (הדמיות מכילות רק אחד).
- אוטומציות הדמיות תומכות באפשרויות תזמון אוטומטיות (יותר מתאריך ההתחלה ותאריך הסיום בסימולציות בלבד).
לקבלת מידע נוסף, ראה אוטומציות הדמיות הדרכה בהדמיית התקפה.
תוכן מנה
למרות הדרכה בהדמיית התקפה מכילה תוכן מנה מוכללים רבים עבור שיטות ההנדסה החברתית הזמינות, באפשרותך ליצור תוכן מנה מותאם אישית כך שיתאים יותר לצרכים העסקיים שלך, כולל העתקה והתאמה אישית של תוכן מנה קיים. באפשרותך ליצור תוכן מנה בכל עת לפני שתיצור את הסימולציה או במהלך יצירת הסימולציה. כדי ליצור תוכן מנה, ראה יצירת תוכן מנה מותאם אישית עבור הדרכה בהדמיית התקפה.
בסימולציות המשתמשות בקציר אישורים או בקישור בטכניקות של הנדסה חברתית של קבצים מצורפים, דפי הכניסה הם חלק מתוכן המנה שאתה בוחר. דף הכניסה הוא דף האינטרנט שבו המשתמשים מזזנים את האישורים שלהם. כל תוכן מנה ישים משתמש בדף כניסה המהווה ברירת מחדל, אך באפשרותך לשנות את דף הכניסה שנמצא בשימוש. באפשרותך לבחור מתוך דפי כניסה מוכללים, דפי כניסה מותאמים אישית שכבר יצרת, או ליצור דף כניסה חדש לשימוש במהלך יצירת הסימולציה או תוכן המנה. כדי ליצור דפי כניסה, ראה דפי כניסה ב- הדרכה בהדמיית התקפה.
חוויית ההדרכה הטובה ביותר עבור הודעות דיוג מדומה היא להפוך אותן קרוב ככל האפשר לתקיפות דיוג אמיתיות שהארגון שלך עשוי להיתקל בהן. מה אם יכולת ללכוד ולהשתמש בגירסאות בלתי מזיקות של הודעות דיוג מהעולם האמיתי שזוהו ב- Microsoft 365 ולהשתמש בהן בקמפיינים דיוג מדומה? באפשרותך, בעזרת אוטומציות של תוכן מנה (המכונה גם קצירת תוכן מנה). כדי ליצור אוטומציות של תוכן מנה, ראה אוטומציות של תוכן מנה עבור הדרכה בהדמיית התקפה.
הדרכה בהדמיית התקפה גם תומך בשימוש בקודי QR בהטעינה. באפשרותך לבחור מתוך הרשימה של עומסי מנה מוכללים של קוד QR, או ליצור תוכן תוכן מותאם אישית של קוד QR. לקבלת מידע נוסף, ראה עומסי מנה של קוד QR הדרכה בהדמיית התקפה.
דוחות ותובנות
לאחר שתיצור ותשק את הסימולציה, עליך לראות איך זה הולך. לדוגמה:
- האם כולם מקבלים אותו?
- מי עשה מה להזנת דיוג המדומה ולמטען המנה בתוכה (מחק, דווח, פתח את המנה, הזן אישורים וכו').
- מי השלים את ההדרכה שהוקצתה.
הדוחות והתובנות הזמינים עבור הדרכה בהדמיית התקפה תובנות ודוחות עבור הדרכה בהדמיית התקפה.
שיעור פשרה חזוי
לעתים קרובות עליך להתאים קמפיין דיוג מדומה עבור קהלים ספציפיים. אם הודעת דיוג קרובה מדי לשלמות, היא תהטעות את כולם כמעט. אם זה חשוד מדי, זה לא יתהטעות. כמו כן, הודעות דיוג שמשתמשים מסוימים מחשיבים כקשות לזיהוי נחשבות לקלות לזיהוי על-ידי משתמשים אחרים. אז איך אתה עושה איזון?
שיעור הסכנה החזוי (PCR) מציין את היעילות הפוטנציאלית כאשר מטען המנה נמצא בשימוש בסימולציה. PCR משתמש בנתונים היסטוריים חכמים ברחבי Microsoft 365 כדי לחזות את אחוז האנשים שנחשף לסכנה על-ידי תוכן המנה. לדוגמה:
- תוכן תוכן תוכן של תוכן תוכן מנה.
- תעריפי סכנה מצטברים ו אנונימיים של הדמיות אחרות.
- מטה-נתונים של תוכן מנה.
PCR מאפשר לך להשוות בין התעריפים החזויים לעומת לחץ בפועל באמצעות תעריפי הדמיות דיוג. באפשרותך גם להשתמש בנתונים אלה כדי לראות את הביצועים של הארגון שלך בהשוואה לתוצאות החזויות.
מידע PCR עבור תוכן מנה זמין בכל מקום שבו אתה בוחר והצגת תוכן, ובדוחות ובתובנות הבאים:
עצה
Attack Simulator משתמש בקישורים בטוחים ב- Defender עבור Office 365 כדי לעקוב באופן מאובטח אחר נתוני לחיצה עבור כתובת ה- URL בהודעה של תוכן המנה שנשלחת לנמענים ייעודיים של קמפיין דיוג, גם אם ההגדרה עקוב אחר לחיצות משתמש במדיניות קישורים בטוחים מבוטלת.
הדרכה ללא טריקים
הדמיות דיוג מסורתיות מציגות למשתמשים הודעות חשודות ואת היעדים הבאים:
- מנע מהמשתמשים לדווח על ההודעה כחשודה.
- ספק הדרכה לאחר שהמשתמשים לחצו או מפעילים את תוכן המנה הזדון המדומה ותן להם את האישורים שלהם.
עם זאת, לעתים אינך מעוניין להמתין עד שמשתמשים יבצעו פעולות נכונות או שגויות לפני שתעניק להם הדרכה. הדרכה בהדמיית התקפה מספקת את התכונות הבאות כדי לדלג על ההמתנה ולבצע הדרכה ישירות:
קמפיינים להדרכה: קמפיין הדרכה הוא מטלה להדרכה בלבד עבור המשתמשים הייעדיים. באפשרותך להקצות הדרכה ישירות מבלי להציב משתמשים במבחן הסימולציה. קמפיינים להדרכה מקלים עליך לנהל הפעלות למידה, כגון הדרכה חודשית למודעות לאבטחת סייבר. לקבלת מידע נוסף, ראה קמפיינים להדרכה ב- הדרכה בהדמיית התקפה.
עצה
מודולי הדרכה משמשים בקמפיינים של הדרכה, אך ניתן גם להשתמש במודולי הדרכה בעת הקצאת הדרכה בסימולציות רגילות.
מדריכי 'כיצד לבצע' בסימולציות: הדמיות המבוססות על טכניקת מדריך ' כיצד לבצע' בהנדסה חברתית אינן ניסיונות לבדוק משתמשים. מדריך 'כיצד לבצע' הוא חוויית למידה קלה שהמשתמשים יכולים להציג ישירות בתיבת הדואר הנכנס שלהם. לדוגמה, תוכן המנה המוכלל הבא של מדריך 'כיצד לבצע' זמין, ובאפשרותך ליצור תוכן משלך (כולל העתקה והתאמה אישית של תוכן מנה קיים):
- מדריך הוראה: כיצד לדווח על הודעות דיוג
- מדריך הוראה: כיצד לזהות ולדווח על הודעות דיוג QR
עצה
הדרכה בהדמיית התקפה מספק את אפשרויות ההדרכה המוכללות הבאות עבור תקיפות מבוססות קוד QR:
- מודולי הדרכה:
- קודי QR דיגיטליים זדוניים
- קודי QR מודפסים זדוניים
- מדריכי 'כיצד לבצע' בסימולציות: מדריך לימוד: כיצד לזהות ולדווח על הודעות דיוג QR