Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender funkcióit Office 365 2. csomagban? Használja a 90 napos Defender for Office 365 próbaverziót a Microsoft Defender portal próbaverzióinak központjában. A Try Microsoft Defender for Office 365 című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbafeltételeket.
A Office 365 2. csomaghoz Microsoft Defender rendelkező szervezetekben (bővítménylicencek vagy előfizetések, például Microsoft 365 E5) Támadási szimulációs tréning használhatja a Microsoft Defender portálon valós támadási forgatókönyveket futtathat a szervezetben. Ezek a szimulált támadások segíthetnek azonosítani és megtalálni a sebezhető felhasználókat, mielőtt egy valós támadás hatással lenne a lényegre.
Ez a cikk a Támadási szimulációs tréning alapjait ismerteti.
Ebből a rövid videóból többet is megtudhat a Támadási szimulációs tréning.
Mit kell tudnia a kezdés előtt?
Támadási szimulációs tréning Office 365 2. csomag licencéhez Microsoft 365 E5 vagy Microsoft Defender szükséges. További információ a licencelési követelményekről: Licencelési feltételek.
Támadási szimulációs tréning támogatja a helyszíni postaládákat, de kevesebb jelentéskészítési funkcióval. További információ: Helyszíni postaládákkal kapcsolatos problémák jelentése.
A Microsoft Defender portál megnyitásához nyissa meg a következőthttps://security.microsoft.com: . Támadási szimulációs tréning a Email és az együttműködés>Támadási szimulációs tréning érhető el. Ha közvetlenül a Támadási szimulációs tréning szeretne lépni, használja a parancsothttps://security.microsoft.com/attacksimulator.
A Támadási szimulációs tréning különböző Microsoft 365-előfizetések közötti elérhetőségéről a Microsoft Defender Office 365 szolgáltatás leírásában talál.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Entra engedélyek: Tagságra van szüksége az alábbi szerepkörök egyikében:
- Globális rendszergazda¹
- Biztonsági rendszergazda
- Támadásszimulációs rendszergazda²: A támadásszimulációs kampányok minden aspektusának létrehozása és kezelése.
- Attack Payload Author³: Támadási hasznos adatok létrehozása, amelyeket a rendszergazda később kezdeményezhet.
- Biztonsági operátor és biztonsági olvasó⁴: A támadásszimulációs kampányok összes aspektusának megtekintése.
Fontos
¹ A Microsoft határozottan támogatja a minimális jogosultság elvét. Ha csak a feladataik elvégzéséhez szükséges minimális engedélyeket rendeli hozzá a fiókokhoz, az csökkenti a biztonsági kockázatokat, és erősíti a szervezet általános védelmét. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre érdemes korlátozni, vagy ha nem tud más szerepkört használni.
² A felhasználók hozzáadása ehhez a szerepkörcsoporthoz Email & együttműködési engedélyekben a Microsoft Defender portálon jelenleg nem támogatott.
³ A támadási hasznos adatok szerzőjének tagjai a következő korlátozásokkal rendelkeznek a támadásszimulációs képzésben:
- Nem hozhatnak létre és nem szerkeszthetnek szimulációkat, betanítási kampányokat, szimulációautomatizálásokat és hasznosadat-automatizálásokat.
- Nem módosíthatják a globális beállításokat.
- Nem módosíthatják a tartalmat (például az értesítéseket), de módosíthatják a hasznos adatokat.
- Nem tekinthetik meg a bérlőszimulációs jelentéseket, összesítő jelentéseket, szimulációautomatizálási rekordokat és hasznosadat-automatizálási rekordokat.
⁴ A biztonsági operátor és a biztonsági olvasó tagjai a következő korlátozásokkal rendelkeznek a támadásszimulációs képzésben:
- Nem hozhatnak létre és nem szerkeszthetnek szimulációkat, betanítási kampányokat, szimulációautomatizálásokat és hasznosadat-automatizálásokat.
- Nem módosíthatják a globális beállításokat.
- Nem módosíthatják a tartalmat (például bérlői hasznos adatokat vagy értesítéseket).
- Felhasználói hatókörrel rendelkező olvasási API-kkal férhetnek hozzá az adatokhoz, írási API-kat azonban nem.
Jelenleg Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) nem támogatott.
Nincsenek megfelelő PowerShell-parancsmagok a Támadási szimulációs tréning.
A támadásszimulációval és a betanítással kapcsolatos adatok a Microsoft 365-szolgáltatások egyéb ügyféladataival együtt vannak tárolva. További információ: Microsoft 365-adathelyek. Támadási szimulációs tréning a következő régiókban érhető el: APC, EUR és NAM. Az ezekben a régiókban található országok, ahol a Támadási szimulációs tréning elérhetők: ARE, AUS, AUT, BRA, CAN, CHE, CHL, DEU, ESP, FRA, GBR, IDN, IND, ISR, ITA, JPN, KOR, LAM, MEX, MYS, NOR, NZL, POL, QAT, SGP, SWE, TWN és ZAF.
Megjegyzés:
NOR, ZAF, ARE és DEU a legújabb kiegészítések. Ezekben a régiókban a jelentett e-mail-telemetria kivételével minden funkció elérhető. Dolgozunk a funkciók engedélyezésén, és értesítjük az ügyfeleket, ha elérhetővé válnak a jelentett e-mail-telemetriai adatok.
Támadási szimulációs tréning Microsoft 365 GCC, GCC High és DoD környezetekben érhető el. Bizonyos speciális funkciók nem érhetők el a GCC High-ban és a DoD-ban (például a hasznos adatok automatizálása, az ajánlott hasznos adatok és az előrejelzett biztonsági rések aránya). Ha szervezete microsoft 365 G5, Office 365 G5 vagy Microsoft Defender Office 365 (2. csomag) kormányzati verzióval rendelkezik, a jelen cikkben ismertetett módon használhatja Támadási szimulációs tréning.
Megjegyzés:
Támadási szimulációs tréning az E3-ügyfelek számára próbaverzióként kínál képességek egy részét. A próbaverziós ajánlat magában foglalja a hitelesítő adatokra vonatkozó harvest hasznos adatok használatát, valamint az "ISA adathalászat" vagy a "Tömeges piaci adathalászat" betanítási élmény kiválasztásának lehetőségét. Az E3 próbaverziós ajánlatának nem része más képesség.
Szimulációk
A Támadási szimulációs tréning szimulációja az a teljes kampány, amely reális, de ártalmatlan adathalász üzeneteket küld a felhasználóknak. A szimuláció alapvető elemei a következők:
- Ki kapja meg a szimulált adathalász üzenetet, és milyen ütemezés szerint.
- Betanítás, amelyet a felhasználók a szimulált adathalász üzeneten végrehajtott művelet vagy művelet hiánya (helyes és helytelen műveletek esetén) alapján kapnak.
- A szimulált adathalász üzenetben (hivatkozásban vagy mellékletben) használt hasznos adat , valamint az adathalász üzenet összetétele (például kézbesített csomag, a fiókjával kapcsolatos probléma vagy nyeremény).
- A szociálmérnöki technika. A hasznos adatok és a szociálmérnöki technika szoros kapcsolatban áll egymással.
A Támadási szimulációs tréning többféle típusú társadalomtervezési technika érhető el. Az útmutató kivételével ezek a technikák a MITRE ATT&CK® keretrendszerből lettek összeválogatva. Különböző hasznos adatok érhetők el különböző technikákhoz.
A következő szociálmérnöki technikák érhetők el:
Hitelesítő adatok begyűjtése: A támadó egy hivatkozást* tartalmazó üzenetet küld a címzettnek. Amikor a címzett a hivatkozásra kattint, egy olyan webhelyre lép, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal általában úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.
Kártevőmelléklet: A támadó egy mellékletet tartalmazó üzenetet küld a címzettnek. Amikor a címzett megnyitja a mellékletet, tetszőleges kód (például egy makró) fut a felhasználó eszközén, hogy segítsen a támadónak további kódot telepíteni, vagy tovább elzárni magát.
Hivatkozás a mellékletben: Ez a technika a hitelesítő adatok begyűjtésének hibridje. A támadó olyan üzenetet küld a címzettnek, amely egy mellékleten belüli hivatkozást tartalmaz. Amikor a címzett megnyitja a mellékletet, és a hivatkozásra kattint, egy olyan webhelyre lép, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal általában úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.
Kártevőre* mutató hivatkozás: A támadó olyan üzenetet küld a címzettnek, amely egy jól ismert fájlmegosztási webhelyen (például SharePoint vagy Dropbox) található mellékletre mutató hivatkozást tartalmaz. Amikor a címzett a hivatkozásra kattint, megnyílik a melléklet, és tetszőleges kód (például makró) fut a felhasználó eszközén, hogy segítsen a támadónak más kódot telepíteni, vagy tovább elzárni magát.
Meghajtó url-címe*: A támadó egy hivatkozást tartalmazó üzenetet küld a címzettnek. Amikor a címzett a hivatkozásra kattint, egy olyan webhelyre lép, amely háttérkódot próbál futtatni. Ez a háttérkód információkat próbál gyűjteni a címzettről, vagy tetszőleges kódot helyez üzembe az eszközén. A célwebhely általában egy jól ismert webhely, amelyet feltörtek, vagy egy jól ismert webhely klónja. A webhely ismerete segít meggyőzni a felhasználót arról, hogy a hivatkozásra biztonságosan kattinthat. Ezt a technikát öntözési lyuk támadásnak is nevezik.
OAuth hozzájárulás megadása*: A támadó kártékony Azure-alkalmazás hoz létre, amely az adatokhoz való hozzáférésre törekszik. Az alkalmazás egy hivatkozást tartalmazó e-mail-kérelmet küld. Amikor a címzett a hivatkozásra kattint, az alkalmazás hozzájárulás-engedélyezési mechanizmusa hozzáférést kér az adatokhoz (például a felhasználó Beérkezett üzenetek mappájához).
Útmutató: Oktatói útmutató, amely útmutatást tartalmaz a felhasználók számára (például az adathalász üzenetek jelentéséhez).
* A hivatkozás lehet URL-cím vagy QR-kód.
A Támadási szimulációs tréning által használt URL-címek az alábbi táblázatban találhatók:
https://www.attemplate.com |
https://www.exportants.it |
https://www.resetts.it |
https://www.bankmenia.com |
https://www.exportants.org |
https://www.resetts.org |
https://www.bankmenia.de |
https://www.financerta.com |
https://www.salarytoolint.com |
https://www.bankmenia.es |
https://www.financerta.de |
https://www.salarytoolint.net |
https://www.bankmenia.fr |
https://www.financerta.es |
https://www.securembly.com |
https://www.bankmenia.it |
https://www.financerta.fr |
https://www.securembly.de |
https://www.bankmenia.org |
https://www.financerta.it |
https://www.securembly.es |
https://www.banknown.de |
https://www.financerta.org |
https://www.securembly.fr |
https://www.banknown.es |
https://www.financerts.com |
https://www.securembly.it |
https://www.banknown.fr |
https://www.financerts.de |
https://www.securembly.org |
https://www.banknown.it |
https://www.financerts.es |
https://www.securetta.de |
https://www.banknown.org |
https://www.financerts.fr |
https://www.securetta.es |
https://www.browsersch.com |
https://www.financerts.it |
https://www.securetta.fr |
https://www.browsersch.de |
https://www.financerts.org |
https://www.securetta.it |
https://www.browsersch.es |
https://www.hardwarecheck.net |
https://www.shareholds.com |
https://www.browsersch.fr |
https://www.hrsupportint.com |
https://www.sharepointen.com |
https://www.browsersch.it |
https://www.mcsharepoint.com |
https://www.sharepointin.com |
https://www.browsersch.org |
https://www.mesharepoint.com |
https://www.sharepointle.com |
https://www.docdeliveryapp.com |
https://www.officence.com |
https://www.sharesbyte.com |
https://www.docdeliveryapp.net |
https://www.officenced.com |
https://www.sharession.com |
https://www.docstoreinternal.com |
https://www.officences.com |
https://www.sharestion.com |
https://www.docstoreinternal.net |
https://www.officentry.com |
https://www.supportin.de |
https://www.doctorican.de |
https://www.officested.com |
https://www.supportin.es |
https://www.doctorican.es |
https://www.passwordle.de |
https://www.supportin.fr |
https://www.doctorican.fr |
https://www.passwordle.fr |
https://www.supportin.it |
https://www.doctorican.it |
https://www.passwordle.it |
https://www.supportres.de |
https://www.doctorican.org |
https://www.passwordle.org |
https://www.supportres.es |
https://www.doctrical.com |
https://www.payrolltooling.com |
https://www.supportres.fr |
https://www.doctrical.de |
https://www.payrolltooling.net |
https://www.supportres.it |
https://www.doctrical.es |
https://www.prizeably.com |
https://www.supportres.org |
https://www.doctrical.fr |
https://www.prizeably.de |
https://www.techidal.com |
https://www.doctrical.it |
https://www.prizeably.es |
https://www.techidal.de |
https://www.doctrical.org |
https://www.prizeably.fr |
https://www.techidal.fr |
https://www.doctricant.com |
https://www.prizeably.it |
https://www.techidal.it |
https://www.doctrings.com |
https://www.prizeably.org |
https://www.techniel.de |
https://www.doctrings.de |
https://www.prizegiveaway.net |
https://www.techniel.es |
https://www.doctrings.es |
https://www.prizegives.com |
https://www.techniel.fr |
https://www.doctrings.fr |
https://www.prizemons.com |
https://www.techniel.it |
https://www.doctrings.it |
https://www.prizesforall.com |
https://www.templateau.com |
https://www.doctrings.org |
https://www.prizewel.com |
https://www.templatent.com |
https://www.exportants.com |
https://www.prizewings.com |
https://www.templatern.com |
https://www.exportants.de |
https://www.resetts.de |
https://www.windocyte.com |
https://www.exportants.es |
https://www.resetts.es |
|
https://www.exportants.fr |
https://www.resetts.fr |
Megjegyzés:
Ellenőrizze a szimulált adathalász URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. További információ: A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek.
Szimulációk létrehozása
A szimulációk létrehozásával és elindításával kapcsolatos utasításokért lásd: Adathalászati támadás szimulálása.
A szimuláció kezdőlapja az a hely, ahol a felhasználók megnyitják a hasznos adatokat. Szimuláció létrehozásakor kiválaszthatja a használni kívánt kezdőlapot. Választhat a beépített kezdőlapok és a már létrehozott egyéni kezdőlapok közül, vagy létrehozhat egy új kezdőlapot, amelyet a szimuláció létrehozásakor használhat. Kezdőlapok létrehozásához lásd: Kezdőlapok Támadási szimulációs tréning.
A szimuláció végfelhasználói értesítései rendszeres emlékeztetőket küldenek a felhasználóknak (például betanítási hozzárendelés és emlékeztető értesítések). Választhat a beépített értesítések, a már létrehozott egyéni értesítések közül, vagy létrehozhat új értesítéseket, amelyeket a szimuláció létrehozásakor használhat. Értesítések létrehozásához lásd: Végfelhasználói értesítések Támadási szimulációs tréning.
Tipp
A szimulációautomatizálás a következő fejlesztéseket biztosítja a hagyományos szimulációkkal szemben:
- A szimulációautomatizálás több szociálmérnöki technikát és a kapcsolódó hasznos adatokat is tartalmazhat (a szimulációk csak egyet tartalmaznak).
- A szimulációautomatizálások támogatják az automatikus ütemezési lehetőségeket (a szimulációkban nem csak a kezdő és a záró dátumot).
További információ: Szimulációautomatizálások Támadási szimulációs tréning.
Ha meg szeretné nézni, hogy mely részlegek sebezhetőbbek az adathalász szimulációkkal szemben, hozzon létre azonos szimulációkat vagy szimulációautomatizálásokat részlegek szerint, majd az elérhető jelentésekkel hasonlítsa össze az eredményeket.
Hasznos adatok
Bár a Támadási szimulációs tréning számos beépített hasznosadatot tartalmaz az elérhető szociális mérnöki technikákhoz, egyéni hasznos adatokat hozhat létre, hogy jobban megfeleljen az üzleti igényeinek, beleértve a meglévő hasznos adatok másolását és testreszabását. A hasznos adatokat bármikor létrehozhatja a szimuláció létrehozása előtt vagy a szimuláció létrehozása során. Hasznos adatok létrehozásához lásd: Egyéni hasznos adatok létrehozása Támadási szimulációs tréning.
A hitelesítő adatok begyűjtését vagy a csatolást a melléklet társadalomtervezési technikáiban használó szimulációkban a bejelentkezési oldalak a kiválasztott hasznos adatok részét képezik. A bejelentkezési oldal az a weblap, amelyen a felhasználók megadhatók a hitelesítő adataik. Minden vonatkozó hasznos adat egy alapértelmezett bejelentkezési oldalt használ, de a használt bejelentkezési oldal módosítható. Választhat a beépített bejelentkezési lapok, a már létrehozott egyéni bejelentkezési lapok közül, vagy létrehozhat egy új bejelentkezési oldalt, amelyet a szimuláció vagy a hasznos adatok létrehozásakor használhat. A bejelentkezési lapok létrehozásáról a Bejelentkezési lapok a Támadási szimulációs tréning-ban című témakörben olvashat.
A szimulált adathalász üzenetek legjobb betanítása az, ha a lehető legközelebb állnak a szervezet által tapasztalt valódi adathalász támadásokhoz. Mi a teendő, ha a Microsoft 365-ben észlelt valós adathalász üzenetek ártalmatlan verzióit rögzítheti és használhatja szimulált adathalász kampányokban? Hasznosadat-automatizálással (más néven hasznosadat-betakarítással) is megteheti. Hasznosadat-automatizálások létrehozásához lásd: Hasznos adatok automatizálása Támadási szimulációs tréning.
Támadási szimulációs tréning QR-kódokat is támogat a hasznos adatokban. Választhat a beépített QR-kód hasznos adatainak listájából, vagy létrehozhat egyéni QR-kód hasznos adatokat. További információ: QR-kód hasznos adatai Támadási szimulációs tréning.
Jelentések és megállapítások
A szimuláció létrehozása és elindítása után látnia kell a működését. Például:
- Mindenki megkapta?
- Ki mit tett a szimulált adathalász üzenet és a benne lévő hasznos adatokkal (törlés, jelentés, a hasznos adatok megnyitása, hitelesítő adatok megadása stb.).
- Ki végezte el a hozzárendelt képzést.
A Támadási szimulációs tréning elérhető jelentéseit és elemzéseit a Jelentések Támadási szimulációs tréning című cikkben ismertetjük.
Előrejelzett biztonsági rések aránya
Gyakran kell testre szabnia egy szimulált adathalász kampányt adott célközönségek számára. Ha az adathalászati üzenet túl közel áll a tökéletességhez, szinte mindenkit megtéveszt. Ha túl gyanús, nem tévesszen meg. Az egyes felhasználók által nehezen azonosítható adathalász üzeneteket pedig más felhasználók könnyen azonosíthatónak tekintik. Szóval, hogy tudsz egyensúlyt teremteni?
Az előrejelzett kompromisszumos arány (PCR) a hasznos adatok szimulációban való használata esetén potenciális hatékonyságot jelez. A PCR intelligens előzményadatokat használ a Microsoft 365-ben annak előrejelzésére, hogy a hasznos adatok hány százalékát fogják veszélyeztetni. Például:
- Hasznos adattartalom.
- Más szimulációk összesített és anonimizált kompromisszumos arányai.
- Hasznos adat metaadatai.
A PCR lehetővé teszi az adathalász szimulációk előrejelzett és tényleges kattintási sebességének összehasonlítását. Ezeket az adatokat arra is felhasználhatja, hogy lássa, hogyan teljesít a szervezete az előrejelzett eredményekhez képest.
A hasznos adatok PCR-információi mindenhol elérhetők, ahol megtekinti és kiválasztja a hasznos adatokat, valamint az alábbi jelentésekben és megállapításokban:
- A viselkedés hatása a biztonsági sérülési ráta kártyájára
- A támadásszimulációs jelentés betanítási hatékonysági lapja
Tipp
A támadásszimulátor biztonságos hivatkozásokat használ a Defender for Office 365-ben az adathalászati kampány címzettjeinek küldött hasznosadat-üzenetben található URL-cím kattintási adatainak biztonságos nyomon követésére, még akkor is, ha a Felhasználó nyomon követése kattintások beállítás ki van kapcsolva a Biztonságos hivatkozások házirendekben.
Betanítás trükkök nélkül
A hagyományos adathalász szimulációk gyanús üzeneteket és a következő célokat jelenítik meg a felhasználók számára:
- Kérje meg a felhasználókat, hogy jelentsenek gyanús üzenetet.
- Biztosítson képzést, miután a felhasználók rákattintanak vagy elindítják a szimulált rosszindulatú hasznos adatokat, és feladják hitelesítő adataikat.
Előfordulhat azonban, hogy nem szeretné megvárni, hogy a felhasználók helyes vagy helytelen műveleteket hajtsanak végre, mielőtt betanítást adna nekik. Támadási szimulációs tréning a következő funkciókat biztosítja a várakozás kihagyásához, és egyenesen a betanításhoz:
Képzési kampányok: A betanítási kampányok csak betanítási hozzárendelések a megcélzott felhasználók számára. Közvetlenül is hozzárendelhet betanítást anélkül, hogy a felhasználókat egy szimuláció tesztje során átvenné. A képzési kampányok megkönnyítik az olyan tanulási munkamenetek elvégzését, mint a havi kiberbiztonsági tudatossági képzés. További információ: Kampányok betanítása Támadási szimulációs tréning.
Tipp
A betanítási modulok a Betanítási kampányokban használatosak, de a betanítási modulokat a normál szimulációkban való betanításhoz is használhatja.
Útmutatók szimulációkban: A közösségi mérnöki útmutatón alapuló szimulációk nem próbálják tesztelni a felhasználókat. Az útmutató egy egyszerű tanulási folyamat, amelyet a felhasználók közvetlenül a Beérkezett üzenetek mappájukban tekinthetnek meg. Például az alábbi beépített útmutató hasznos adatai érhetők el, és létrehozhatja saját adatait (beleértve a meglévő hasznos adatok másolását és testreszabását):
- Oktatói útmutató: Adathalász üzenetek jelentése
- Oktatási útmutató: QR adathalász üzenetek felismerése és jelentése
Tipp
Támadási szimulációs tréning a következő beépített betanítási lehetőségeket biztosítja a QR-kódalapú támadásokhoz:
- Képzési modulok:
- Rosszindulatú digitális QR-kódok
- Rosszindulatú nyomtatott QR-kódok
- Útmutatók szimulációkban: Oktatói útmutató: QR adathalász üzenetek felismerése és jelentése