Introduzione all'uso di Formazione con simulazione degli attacchi in Defender per Office 365

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft 365 Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Si applica aMicrosoft Defender per Office 365 piano 2

Se l'organizzazione dispone di Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2, che include le funzionalità di analisi delle minacce e risposta, è possibile usare Formazione con simulazione degli attacchi in Microsoft 365 Defender portale per eseguire scenari di attacco realistici nell'organizzazione. Questi attacchi simulati consentono di identificare e trovare utenti vulnerabili prima che un attacco reale influirà sui profitti. Leggere questo articolo per altre informazioni.

Guardare questo breve video per altre informazioni su Formazione con simulazione degli attacchi.

Nota

Formazione con simulazione degli attacchi sostituisce l'esperienza precedente del simulatore di attacco v1 disponibile in Security & Centro conformità presso ilsimulatore di attacco per la gestione> delle minacce o https://protection.office.com/attacksimulator.

Che cosa è necessario sapere prima di iniziare?

• Formazione con simulazione degli attacchi richiede una licenza Microsoft 365 E5 o Microsoft Defender per Office 365 Piano 2.

• Per aprire il portale di Microsoft 365 Defender, andare a https://security.microsoft.com. Formazione con simulazione degli attacchi è disponibile in Email e collaborazione>Formazione con simulazione degli attacchi. Per passare direttamente a Formazione con simulazione degli attacchi, usare https://security.microsoft.com/attacksimulator.

• Per altre informazioni sulla disponibilità di Formazione con simulazione degli attacchi in diverse sottoscrizioni di Microsoft 365, vedere Microsoft Defender per Office 365 descrizione del servizio.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Controllo degli accessi in base al ruolo di Azure AD: è necessaria l'appartenenza a uno dei ruoli seguenti:

    • Amministratore globale
    • Amministratore della sicurezza
    • Amministratori^* della simulazione degli attacchi: creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi.
    • Autore^* payload di attacco: creare payload di attacco che un amministratore può avviare in un secondo momento.

    ^*L'aggiunta di utenti a questo ruolo in Email & controllo degli accessi in base al ruolo di collaborazione nel portale di Microsoft 365 Defender non è attualmente supportata.

• Non sono disponibili cmdlet di PowerShell corrispondenti per Formazione con simulazione degli attacchi.

• I dati correlati alla simulazione degli attacchi e al training vengono archiviati con altri dati dei clienti per i servizi di Microsoft 365. Per altre informazioni, vedere Percorsi dei dati di Microsoft 365. La simulazione degli attacchi è disponibile nelle aree seguenti: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE e DEU.

  Nota

  NOR, ZAF, ARE e DEU sono le aggiunte più recenti. Tutte le funzionalità tranne i dati di telemetria segnalati saranno disponibili in queste aree. Stiamo lavorando per abilitare questa operazione e informeremo i clienti non appena saranno disponibili i dati di telemetria di posta elettronica segnalati.

• A partire dal 15 giugno 2021, Formazione con simulazione degli attacchi è disponibile in GCC. Se l'organizzazione ha Office 365 GCC G5 o Microsoft Defender per Office 365 (piano 2) per enti pubblici, è possibile usare Formazione con simulazione degli attacchi nel Microsoft 365 Defender per eseguire scenari di attacco realistici nell'organizzazione, come descritto in questo articolo. Formazione con simulazione degli attacchi non è ancora disponibile in ambienti GCC High o DoD.

Nota

Formazione con simulazione degli attacchi offre un subset di funzionalità ai clienti E3 come versione di valutazione. L'offerta di valutazione contiene la possibilità di usare un payload Credential Harvest e la possibilità di selezionare esperienze di training "ISA Phishing" o "Mass Market Phishing". Nessun'altra funzionalità fa parte dell'offerta di valutazione E3.

Simulazioni

Phishing è un termine generico per gli attacchi tramite posta elettronica che tentano di rubare informazioni riservate nei messaggi che sembrano provenire da mittenti legittimi o attendibili. Il phishing fa parte di un subset di tecniche classificate come ingegneria sociale.

In Formazione con simulazione degli attacchi sono disponibili diversi tipi di tecniche di ingegneria sociale:

• Raccolta delle credenziali: un utente malintenzionato invia al destinatario un messaggio che contiene un URL. Quando il destinatario fa clic sull'URL, viene indirizzato a un sito Web che in genere mostra una finestra di dialogo che richiede all'utente il nome utente e la password. In genere, la pagina di destinazione è a tema per rappresentare un sito Web noto per creare attendibilità nell'utente.

• Allegato malware: un utente malintenzionato invia al destinatario un messaggio contenente un allegato. Quando il destinatario apre l'allegato, viene eseguito codice arbitrario (ad esempio, una macro) nel dispositivo dell'utente per consentire all'utente malintenzionato di installare codice aggiuntivo o di trincearsi ulteriormente.

• Collegamento in allegato: si tratta di un ibrido di un raccolto di credenziali. Un utente malintenzionato invia al destinatario un messaggio che contiene un URL all'interno di un allegato. Quando il destinatario apre l'allegato e fa clic sull'URL, viene indirizzato a un sito Web che in genere mostra una finestra di dialogo che chiede all'utente il nome utente e la password. In genere, la pagina di destinazione è a tema per rappresentare un sito Web noto per creare attendibilità nell'utente.

• Collegamento al malware: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento a un allegato in un sito noto di condivisione file ,ad esempio SharePoint Online o Dropbox. Quando il destinatario fa clic sull'URL, l'allegato viene aperto e il codice arbitrario (ad esempio, una macro) viene eseguito nel dispositivo dell'utente per consentire all'utente malintenzionato di installare codice aggiuntivo o di trincerarsi ulteriormente.

• Drive-by-URL: un utente malintenzionato invia al destinatario un messaggio contenente un URL. Quando il destinatario fa clic sull'URL, viene indirizzato a un sito Web che tenta di eseguire il codice in background. Questo codice in background prova a raccogliere informazioni sul destinatario o distribuire codice arbitrario nel dispositivo. In genere, il sito Web di destinazione è un sito Web noto che è stato compromesso o un clone di un sito Web noto. La familiarità con il sito Web aiuta a convincere l'utente che il collegamento è sicuro da fare clic. Questa tecnica è nota anche come attacco di foro di irrigazione.

• Concessione di consenso OAuth: un utente malintenzionato crea un applicazione Azure dannoso che cerca di ottenere l'accesso ai dati. L'applicazione invia una richiesta di posta elettronica che contiene un URL. Quando il destinatario fa clic sull'URL, il meccanismo di concessione del consenso dell'applicazione richiede l'accesso ai dati , ad esempio la posta in arrivo dell'utente.

Gli URL usati da Formazione con simulazione degli attacchi sono descritti nell'elenco seguente:

• https://www.mcsharepoint.com
• https://www.attemplate.com
• https://www.doctricant.com
• https://www.mesharepoint.com
• https://www.officence.com
• https://www.officenced.com
• https://www.officences.com
• https://www.officentry.com
• https://www.officested.com
• https://www.prizegives.com
• https://www.prizemons.com
• https://www.prizewel.com
• https://www.prizewings.com
• https://www.shareholds.com
• https://www.sharepointen.com
• https://www.sharepointin.com
• https://www.sharepointle.com
• https://www.sharesbyte.com
• https://www.sharession.com
• https://www.sharestion.com
• https://www.templateau.com
• https://www.templatent.com
• https://www.templatern.com
• https://www.windocyte.com

Nota

Controllare la disponibilità dell'URL di phishing simulato nei Web browser supportati prima di usare l'URL in una campagna di phishing. Anche se collaboriamo con molti fornitori di reputazione url per consentire sempre questi URL di simulazione, non sempre abbiamo una copertura completa (ad esempio, Google Safe Browsing). La maggior parte dei fornitori fornisce indicazioni che consentono di consentire sempre URL specifici , https://support.google.com/chrome/a/answer/7532419ad esempio .

Creare una simulazione

Per istruzioni dettagliate su come creare e inviare una nuova simulazione, vedere Simulare un attacco di phishing.

Creare un payload

Per istruzioni dettagliate su come creare un payload da usare all'interno di una simulazione, vedere Creare un payload personalizzato per Formazione con simulazione degli attacchi.

Ottenere informazioni dettagliate

Per istruzioni dettagliate su come ottenere informazioni dettagliate con la creazione di report, vedere Ottenere informazioni dettagliate tramite Formazione con simulazione degli attacchi.

Velocità di compromissione stimata

Uno degli elementi più cruciali in una simulazione di phishing è la selezione del payload. Se si tiene traccia solo del click-through come metrica di qualità, c'è un incentivo a ridurre la frequenza dei clic selezionando payload di phishing più facili da individuare. Alla fine, è meno probabile che l'utente cambi il proprio comportamento quando arriva un messaggio di phishing reale.

Per contrastare la tendenza a usare payload a bassa frequenza di clic e a massimizzare i rendimenti educativi, è stato creato un nuovo frammento di metadati per ogni payload globale denominato la velocità di compromissione stimata (PCR).

PCR usa dati cronologici in Microsoft 365 che stimano la percentuale di persone che verranno compromesse dal payload. La formula è: utenti compromessi/numero totale di utenti che ricevono la simulazione. PCR è un meccanismo intelligente basato su informazioni come il contenuto del payload, le tariffe di compromissione (aggregate e anonimizzate) e i metadati del payload. PCR stima una velocità di compromissione potenziale più accurata quando il payload viene usato all'interno di una simulazione. Il vantaggio della PCR deriva dalla stima del clic effettivo rispetto a quello stimato per una simulazione e un payload specificati.

È anche possibile esaminare le prestazioni complessive dell'organizzazione misurando la differenza tra il tasso di compromissione stimato e il tasso di compromissione effettivo tra le simulazioni usando il report sull'efficacia del training.

Nota

Il simulatore di attacco usa collegamenti sicuri in Defender per Office 365 per tenere traccia in modo sicuro dei dati dei clic per l'URL nel messaggio di payload inviato ai destinatari di una campagna di phishing, anche se l'impostazione Track user clicks in Safe Links policies è disattivata.