Megosztás a következőn keresztül:

Ismerkedés a támadásszimulációs képzéssel

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Az Office 365-höz készült Microsoft Defender 2. csomaggal rendelkező szervezetekben (bővítménylicencek vagy előfizetések, például a Microsoft 365 E5 csomag) a Microsoft Defender portál támadásszimulációs képzésével valós támadási forgatókönyveket futtathat a szervezetben. Ezek a szimulált támadások segíthetnek azonosítani és megtalálni a sebezhető felhasználókat, mielőtt egy valós támadás hatással lenne a lényegre.

Ez a cikk a támadásszimulációs képzés alapjait ismerteti.

Ebből a rövid videóból többet is megtudhat a támadásszimulációs képzésről.

Megjegyzés:

A támadásszimulációs betanítás a fenyegetéskezelési>támadásszimulátor vagy https://protection.office.com/attacksimulatora Biztonsági & Megfelelőségi központban elérhető régi Támadásszimulátor v1-felületet váltja fel.

Mit kell tudnia a kezdés előtt?

  • A támadásszimulációs képzéshez Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender 2. csomag licenc szükséges . További információ a licencelési követelményekről: Licencelési feltételek.

  • A támadásszimulációs betanítás támogatja a helyszíni postaládákat, de csökkentett jelentéskészítési funkciókkal. További információ: Helyszíni postaládákkal kapcsolatos problémák jelentése.

  • A Microsoft Defender portál megnyitásához nyissa meg a következőt https://security.microsoft.com: . A támadásszimulációs képzés az e-mail és az együttműködés>támadásszimulációs képzésében érhető el. Ha közvetlenül a Támadásszimulációs betanítást szeretné használni, használja a következőt https://security.microsoft.com/attacksimulator: .

  • A különböző Microsoft 365-előfizetések támadásszimulációs képzésének elérhetőségéről további információt az Office 365-höz készült Microsoft Defender szolgáltatás leírásában talál.

  • Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

    • Microsoft Entra-engedélyek: Tagságra van szüksége az alábbi szerepkörök egyikében:

      • Globális rendszergazda¹
      • Biztonsági rendszergazda
      • Támadásszimulációs rendszergazdák²: A támadásszimulációs kampányok minden aspektusának létrehozása és kezelése.
      • Attack Payload Author²: Támadási hasznos adatok létrehozása, amelyeket a rendszergazda később kezdeményezhet.

      Fontos

      ¹ A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

      ² A Felhasználók hozzáadása ehhez a szerepkörcsoporthoz a Microsoft Defender portál e-mail-& együttműködési engedélyeiben jelenleg nem támogatott.

      A Microsoft Defender XDR egységes szerepköralapú hozzáférés-vezérlés (RBAC) jelenleg nem támogatott.

  • Nincsenek megfelelő PowerShell-parancsmagok a támadásszimuláció betanításához.

  • A támadásszimulációval és a betanítással kapcsolatos adatok a Microsoft 365-szolgáltatások egyéb ügyféladataival együtt vannak tárolva. További információ: Microsoft 365-adathelyek. A támadásszimulációs betanítás a következő régiókban érhető el: APC, EUR és NAM. A támadásszimulációs képzés elérhető régiói közé tartoznak a következők: ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE és ZAF.

    Megjegyzés:

    NOR, ZAF, ARE és DEU a legújabb kiegészítések. Ezekben a régiókban a jelentett e-mail-telemetria kivételével minden funkció elérhető. Dolgozunk a funkciók engedélyezésén, és amint elérhetővé válik a jelentett e-mail-telemetria, értesítjük az ügyfeleket.

  • 2023 szeptemberétől a Támadásszimulációs képzés elérhető a Microsoft 365 GCC- és GCC High-környezetekben, de bizonyos speciális funkciók nem érhetők el a GCC High-ban (például hasznos adatok automatizálása, ajánlott hasznos adatok, az előrejelzett biztonsági rések aránya). Ha szervezete Office 365 G5 GCC-t vagy Office 365-höz készült Microsoft Defendert (2. csomag) használ a kormányzati verzióhoz, a jelen cikkben ismertetett támadásszimulációs képzést használhatja. A támadásszimulációs betanítás még nem érhető el DoD-környezetekben.

Megjegyzés:

A támadásszimulációs képzés az E3-ügyfelek számára próbaverzióként kínál képességek egy részét. A próbaverziós ajánlat magában foglalja a hitelesítő adatokra vonatkozó harvest hasznos adatok használatát, valamint az "ISA adathalászat" vagy a "Tömeges piaci adathalászat" betanítási élmény kiválasztásának lehetőségét. Az E3 próbaverziós ajánlatának nem része más képesség.

Szimulációk

A támadásszimulációs képzés szimulációja az a teljes kampány, amely reális, de ártalmatlan adathalász üzeneteket küld a felhasználóknak. A szimuláció alapvető elemei a következők:

  • Ki kapja meg a szimulált adathalász üzenetet, és milyen ütemezés szerint.
  • Betanítás, amelyet a felhasználók a szimulált adathalász üzeneten végrehajtott művelet vagy művelet hiánya (helyes és helytelen műveletek esetén) alapján kapnak.
  • A szimulált adathalász üzenetben (hivatkozásban vagy mellékletben) használt hasznos adat , valamint az adathalász üzenet összetétele (például csomag kézbesítve, a fiókjával kapcsolatos probléma vagy egy nyeremény elnyerése).
  • A használt szociálmérnöki technika . A hasznos adatok és a szociálmérnöki technika szoros kapcsolatban áll egymással.

A támadásszimulációs képzésben többféle típusú szociális mérnöki technika érhető el. Az útmutató kivételével ezek a technikák a MITRE ATT&CK® keretrendszerből lettek összeválogatva. Különböző hasznos adatok érhetők el különböző technikákhoz.

A következő szociálmérnöki technikák érhetők el:

  • Hitelesítő adatok begyűjtése: A támadó egy URL-címet tartalmazó üzenetet küld a címzettnek. Amikor a címzett az URL-címre kattint, a rendszer egy olyan webhelyre irányítja, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal általában úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.

  • Kártevőmelléklet: A támadó egy mellékletet tartalmazó üzenetet küld a címzettnek. Amikor a címzett megnyitja a mellékletet, a rendszer tetszőleges kódot (például makrót) futtat a felhasználó eszközén, hogy segítsen a támadónak további kódot telepíteni, vagy tovább elzárni magát.

  • Hivatkozás a mellékletben: Ez a technika a hitelesítő adatok begyűjtésének hibridje. A támadó olyan üzenetet küld a címzettnek, amely egy mellékleten belüli URL-címet tartalmaz. Amikor a címzett megnyitja a mellékletet, és az URL-címre kattint, egy olyan webhelyre kerül, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal általában úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.

  • Kártevőre mutató hivatkozás: A támadó olyan üzenetet küld a címzettnek, amely egy jól ismert fájlmegosztási webhelyen (például SharePoint Online vagy Dropbox) található mellékletre mutató hivatkozást tartalmaz. Amikor a címzett az URL-címre kattint, megnyílik a melléklet, és tetszőleges kódot (például makrót) futtat a felhasználó eszközén, hogy a támadó további kódot telepítsen, vagy további támadásokat végezhessenek.

  • Meghajtó url-címe: A támadó egy URL-címet tartalmazó üzenetet küld a címzettnek. Amikor a címzett az URL-címre kattint, a rendszer egy olyan webhelyre irányítja, amely háttérkódot próbál futtatni. Ez a háttérkód információkat próbál gyűjteni a címzettről, vagy tetszőleges kódot helyez üzembe az eszközén. A célwebhely általában egy jól ismert webhely, amelyet feltörtek, vagy egy jól ismert webhely klónja. A webhely ismerete segít meggyőzni a felhasználót arról, hogy a hivatkozásra biztonságosan kattinthat. Ezt a technikát öntözési lyuk támadásnak is nevezik.

  • OAuth hozzájárulás megadása: A támadó egy rosszindulatú Azure-alkalmazást hoz létre, amely az adatokhoz való hozzáférésre törekszik. Az alkalmazás egy URL-címet tartalmazó e-mail-kérelmet küld. Amikor a címzett az URL-címre kattint, az alkalmazás hozzájárulás-engedélyezési mechanizmusa hozzáférést kér az adatokhoz (például a felhasználó Beérkezett üzenetek mappájához).

  • Útmutató: Oktatói útmutató, amely útmutatást tartalmaz a felhasználók számára (például az adathalász üzenetek jelentéséhez).

A támadásszimulációs betanítás által használt URL-címek az alábbi táblázatban találhatók:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Megjegyzés:

Ellenőrizze a szimulált adathalász URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. További információ: A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek.

Szimulációk létrehozása

A szimulációk létrehozásával és elindításával kapcsolatos utasításokért lásd: Adathalászati támadás szimulálása.

A szimuláció kezdőlapja az a hely, ahol a felhasználók megnyitják a hasznos adatokat. Szimuláció létrehozásakor kiválaszthatja a használni kívánt kezdőlapot. Választhat a beépített kezdőlapok és a már létrehozott egyéni kezdőlapok közül, vagy létrehozhat egy új kezdőlapot, amelyet a szimuláció létrehozásakor használhat. Kezdőlapok létrehozásához lásd: Kezdőlapok a támadásszimulációs betanításban.

A szimuláció végfelhasználói értesítései rendszeres emlékeztetőket küldenek a felhasználóknak (például betanítási hozzárendelés és emlékeztető értesítések). Választhat a beépített értesítések, a már létrehozott egyéni értesítések közül, vagy létrehozhat új értesítéseket, amelyeket a szimuláció létrehozásakor használhat. Értesítések létrehozásához lásd: Végfelhasználói értesítések a támadásszimulációs betanításhoz.

Tipp

A szimulációautomatizálás a következő fejlesztéseket biztosítja a hagyományos szimulációkkal szemben:

  • A szimulációautomatizálás több szociálmérnöki technikát és a kapcsolódó hasznos adatokat is tartalmazhat (a szimulációk csak egyet tartalmaznak).
  • A szimulációautomatizálások támogatják az automatikus ütemezési lehetőségeket (a szimulációkban nem csak a kezdő és a záró dátumot).

További információ: Szimulációautomatizálás támadásszimulációs betanításhoz.

Hasznos adatok

Bár a támadásszimuláció számos beépített hasznos adatot tartalmaz az elérhető szociális mérnöki technikákhoz, egyéni hasznos adatokat hozhat létre, hogy jobban megfeleljen az üzleti igényeinek, beleértve a meglévő hasznos adatok másolását és testreszabását. A hasznos adatokat bármikor létrehozhatja a szimuláció létrehozása előtt vagy a szimuláció létrehozása során. Hasznos adatok létrehozásához lásd: Egyéni hasznos adatok létrehozása támadásszimulációs betanításhoz.

A hitelesítő adatok begyűjtését vagy a csatolást a melléklet társadalomtervezési technikáiban használó szimulációkban a bejelentkezési oldalak a kiválasztott hasznos adatok részét képezik. A bejelentkezési oldal az a weblap, amelyen a felhasználók megadhatók a hitelesítő adataik. Minden vonatkozó hasznos adat egy alapértelmezett bejelentkezési oldalt használ, de a használt bejelentkezési oldal módosítható. Választhat a beépített bejelentkezési lapok, a már létrehozott egyéni bejelentkezési lapok közül, vagy létrehozhat egy új bejelentkezési oldalt, amelyet a szimuláció vagy a hasznos adatok létrehozásakor használhat. Bejelentkezési oldalak létrehozásához lásd: Bejelentkezési oldalak a támadásszimulációs képzésben.

A szimulált adathalász üzenetek legjobb betanítása az, ha a lehető legközelebb állnak a szervezet által tapasztalt valódi adathalász támadásokhoz. Mi a teendő, ha a Microsoft 365-ben észlelt valós adathalász üzenetek ártalmatlan verzióit rögzítheti és használhatja szimulált adathalász kampányokban? Hasznosadat-automatizálással (más néven hasznosadat-betakarítással) is megteheti. Hasznosadat-automatizálások létrehozásához lásd: Hasznosadat-automatizálások támadásszimulációs betanításhoz.

Jelentések és megállapítások

A szimuláció létrehozása és elindítása után látnia kell a működését. Például:

  • Mindenki megkapta?
  • Ki mit tett a szimulált adathalász üzenet és a benne lévő hasznos adatokkal (törlés, jelentés, a hasznos adatok megnyitása, hitelesítő adatok megadása stb.).
  • Ki végezte el a hozzárendelt képzést.

A támadásszimulációs betanításhoz rendelkezésre álló jelentéseket és elemzéseket az Elemzések és a Támadásszimulációs betanítás jelentéseiben ismertetjük.

Előrejelzett biztonsági rések aránya

Gyakran kell testre szabnia egy szimulált adathalász kampányt adott célközönségek számára. Ha az adathalászati üzenet túl közel áll a tökéletességhez, szinte mindenkit megtéveszt. Ha túl gyanús, nem fog becsapni. Az egyes felhasználók által nehezen azonosítható adathalász üzeneteket pedig más felhasználók könnyen azonosíthatónak tekintik. Szóval, hogy tudsz egyensúlyt teremteni?

Az előrejelzett kompromisszumos arány (PCR) a hasznos adatok szimulációban való használata esetén potenciális hatékonyságot jelez. A PCR intelligens előzményadatokat használ a Microsoft 365-ben annak előrejelzésére, hogy a hasznos adatok hány százalékát fogják veszélyeztetni. Például:

  • Hasznos adattartalom.
  • Más szimulációk összesített és anonimizált kompromisszumos arányai.
  • Hasznos adat metaadatai.

A PCR lehetővé teszi az adathalász szimulációk előrejelzett és tényleges kattintási sebességének összehasonlítását. Ezeket az adatokat arra is felhasználhatja, hogy lássa, hogyan teljesít a szervezete az előrejelzett eredményekhez képest.

A hasznos adatok PCR-információi mindenhol elérhetők, ahol megtekinti és kiválasztja a hasznos adatokat, valamint az alábbi jelentésekben és megállapításokban:

Tipp

A támadásszimulátor biztonságos hivatkozásokat használ az Office 365-höz készült Defenderben az adathalászati kampány címzettjeinek küldött hasznosadat-üzenetben található URL-cím kattintási adatainak biztonságos nyomon követésére, még akkor is, ha a Biztonságos hivatkozások házirendek felhasználókattintásainak követése beállítás ki van kapcsolva.

Betanítás trükkök nélkül

A hagyományos adathalász szimulációk gyanús üzeneteket és a következő célokat jelenítik meg a felhasználók számára:

  • Kérje meg a felhasználókat, hogy jelentsenek gyanús üzenetet.
  • Biztosítson képzést, miután a felhasználók rákattintanak vagy elindítják a szimulált rosszindulatú hasznos adatokat, és feladják hitelesítő adataikat.

Előfordulhat azonban, hogy nem szeretné megvárni, hogy a felhasználók helyes vagy helytelen műveleteket hajtsanak végre, mielőtt betanítást adna nekik. A támadásszimulációs betanítás a következő funkciókat biztosítja a várakozás kihagyásához és a betanításhoz:

  • Képzési kampányok: A betanítási kampányok csak betanítási hozzárendelések a megcélzott felhasználók számára. Közvetlenül is hozzárendelhet betanítást anélkül, hogy a felhasználókat egy szimuláció tesztje során átvenné. A képzési kampányok megkönnyítik az olyan tanulási munkamenetek elvégzését, mint a havi kiberbiztonsági tudatossági képzés. További információ: Kampányok betanítása támadásszimulációs képzésben.

  • Útmutatók szimulációkban: A közösségi mérnöki útmutatón alapuló szimulációk nem próbálják tesztelni a felhasználókat. Az útmutató egy egyszerű tanulási folyamat, amelyet a felhasználók közvetlenül a Beérkezett üzenetek mappájukban tekinthetnek meg. Például az alábbi beépített útmutató hasznos adatai érhetők el, és létrehozhatja saját adatait (beleértve a meglévő hasznos adatok másolását és testreszabását):

    • Oktatói útmutató: Adathalász üzenetek jelentése
    • Oktatási útmutató: QR adathalász üzenetek felismerése és jelentése