Formazione sulla simulazione degli attacchi di Microsoft Teams

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Importante

Attualmente, il training di Microsoft Teams in simulazione degli attacchi è disponibile in anteprima privata. Le informazioni contenute in questo articolo sono soggette a modifiche.

Nelle organizzazioni con Microsoft Defender per Office 365 Piano 2 o Microsoft Defender XDR, gli amministratori possono ora usare il training di simulazione degli attacchi per distribuire messaggi di phishing simulati in Microsoft Teams. Per altre informazioni sul training della simulazione degli attacchi, vedere Introduzione all'uso del training della simulazione degli attacchi in Defender per Office 365.

L'aggiunta di Teams nel training di simulazione degli attacchi influisce sulle funzionalità seguenti:

• Simulazioni
• Payload
• Automazioni di simulazione

Le automazioni del payload, le notifiche degli utenti finali, le pagine di accesso e le pagine di destinazione non sono interessate dal training di Teams nella simulazione degli attacchi.

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Configurazione della simulazione di Teams

Nota

Attualmente, i passaggi descritti in questa sezione si applicano solo se l'organizzazione è registrata nel training di simulazione dell'anteprima privata degli attacchi per Teams.

Oltre a attivare la creazione di report utente per i messaggi di Teams come descritto in Impostazioni dei messaggi segnalati dall'utente in Microsoft Teams, è anche necessario configurare gli account di Teams che possono essere usati come origini per i messaggi di simulazione nel training di simulazione degli attacchi. Per configurare gli account, seguire questa procedura:

1. Identificare o creare un utente membro dei ruoli Amministratore^* globale, Amministratore della sicurezza o Amministratore della simulazione degli attacchi in Microsoft Entra ID. Assegnare una licenza di Microsoft 365, Office 365, Microsoft Teams Essentials, Microsoft 365 Business Basic o Microsoft 365 Business Standard per Microsoft Teams. È necessario conoscere la password.

   Importante

   ^* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

2. Usando l'account del passaggio 1, aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com e passare alla schedaImpostazioni ditraining> per la simulazione degli attacchi tramite posta elettronica & collaborazione>. In alternativa, per passare direttamente alla scheda Impostazioni, usare https://security.microsoft.com/attacksimulator?viewid=setting.

3. Nella scheda Impostazioni selezionare Account utente manager nella sezione Configurazione della simulazione di Teams .

4. Nel riquadro a comparsa della configurazione di simulazione di Teams visualizzato selezionare Genera token. Leggere le informazioni nella finestra di dialogo di conferma e quindi selezionare Accetto.

5. Nella scheda Impostazioni selezionare di nuovo Account utente di Manager nella sezione Configurazione di simulazione di Teams per riaprire il riquadro a comparsa configurazione della simulazione di Teams . L'account utente che è stato connesso come ora viene visualizzato nella sezione Account utente disponibili per il phishing di Teams .

Per rimuovere un utente dall'elenco, selezionare la casella di controllo accanto al valore del nome visualizzato senza fare clic in un altro punto della riga. Selezionare l'azione Elimina visualizzata e quindi selezionare Elimina nella finestra di dialogo di conferma.

Per evitare che l'account venga usato nelle simulazioni di Teams, ma mantenere la cronologia delle simulazioni collegate per l'account, selezionare la casella di controllo accanto al valore del nome visualizzato senza fare clic in un altro punto della riga. Selezionare l'azione Disattiva visualizzata.

Modifiche nelle simulazioni per Microsoft Teams

Teams introduce le modifiche seguenti alla visualizzazione e alla creazione di simulazioni, come descritto in Simulare un attacco di phishing con il training della simulazione degli attacchi in Defender per Office 365:

• Nella scheda Simulazioni in https://security.microsoft.com/attacksimulator?viewid=simulationsla colonna Piattaforma mostra il valore Teams per le simulazioni che usano i messaggi di Teams.

• Se si seleziona Avvia una simulazione nella scheda Simulazioni per creare una simulazione, la prima pagina della nuova procedura guidata di simulazione è Selezionare la piattaforma di recapito in cui è possibile selezionare Microsoft Teams. La selezione di Microsoft Teams introduce le modifiche seguenti al resto della nuova procedura guidata di simulazione:

  • Nella pagina Selezione tecnica le tecniche di social engineering seguenti non sono disponibili:

    • Allegato malware
    • Collegamento in allegato.
    • Guida pratica

  • Nella pagina Simulazione dei nomi sono presenti una sezione Seleziona account Microsoft Teams del mittente e un collegamento Seleziona account utente . Selezionare Seleziona account utente per trovare e selezionare l'account da usare come origine per il messaggio di Teams.

    L'elenco degli utenti proviene dalla sezione configurazione della simulazione di Teams nella scheda Impostazioni del training di simulazione degli attacchi all'indirizzo https://security.microsoft.com/attacksimulator?viewid=setting. La configurazione degli account è descritta nella sezione Configurazione della simulazione di Teams più indietro in questo articolo.

  • Nella pagina Selezione payload e accesso non sono elencati payload per impostazione predefinita perché non sono presenti payload predefiniti per Teams. È necessario creare un payload per la combinazione di Teams e la tecnica di social engineering selezionata.

    Le differenze nella creazione di payload per Teams sono descritte nella sezione Modifiche ai payload per Microsoft Teams in questo articolo.

  • Nella pagina Utenti di destinazione le impostazioni seguenti sono diverse per Teams:

    • Come indicato nella pagina, gli utenti guest di Teams sono esclusi dalle simulazioni.

Altre impostazioni correlate alle simulazioni sono le stesse per i messaggi di Teams, come descritto nel contenuto esistente per i messaggi di posta elettronica.

Modifiche nei payload per Microsoft Teams

Indipendentemente dal fatto che si crei un payload nella pagina Payload della scheda Raccolta contenuto o nella pagina Selezione payload e accesso nella nuova procedura guidata di simulazione, Teams introduce le modifiche seguenti alla visualizzazione e alla creazione di payload, come descritto in Payload in Formazione sulla simulazione di attacchi in Defender per Office 365:

• Nella scheda Payload globali e payload tenant nella pagina Payload della scheda Raccolta contenuto in https://security.microsoft.com/attacksimulator?viewid=contentlibrary, la colonna Piattaforma mostra il valore Teams per i payload che usano i messaggi di Teams.

  Se si seleziona Filtra per filtrare l'elenco dei payload esistenti, è disponibile una sezione Piattaforma in cui è possibile selezionare Posta elettronica e Teams.

  Come descritto in precedenza, non sono presenti payload predefiniti per Teams, quindi se si filtra in base aTeam di stato> nella scheda Payload globali, l'elenco sarà vuoto.

• Se si seleziona Crea un payload nella scheda Payload tenant per creare un payload, la prima pagina della creazione guidata del nuovo payload è Seleziona tipo in cui è possibile selezionare Teams. Selezionando Teams vengono introdotte le modifiche seguenti al resto della procedura guidata per il nuovo payload:

  • Nella pagina Select technique (Seleziona tecnica ) le tecniche di social engineering Malware Attachment e Link in Attachment non sono disponibili per Teams.

  • La pagina Configura payload presenta le modifiche seguenti per Teams:

    • Sezione Dettagli mittente : l'unica impostazione disponibile per Teams è l'argomento Chat in cui si immette un riquadro per il messaggio di Teams.
    • L'ultima sezione non è denominata Messaggio di posta elettronica, ma funziona allo stesso modo per i messaggi di Teams come per i messaggi di posta elettronica:
      • È disponibile un pulsante Importa messaggio di Teams per importare un file di messaggi di testo normale esistente da usare come punto di partenza.
      • I controlli tag dinamici e collegamento phishing sono disponibili nella scheda Testo e la scheda Codice è disponibile come con i messaggi di posta elettronica.

Altre impostazioni relative ai payload sono le stesse per i messaggi di Teams descritte nel contenuto esistente per i messaggi di posta elettronica.

Modifiche nelle automazioni di simulazione per Microsoft Teams

Teams introduce le modifiche seguenti alla visualizzazione e alla creazione di automazioni di simulazione, come descritto in Automazioni di simulazione per il training della simulazione degli attacchi:

• Nella pagina Automazioni di simulazione della scheda Automazioni in https://security.microsoft.com/attacksimulator?viewid=automationssono disponibili anche le colonne seguenti:

  • Tipo: attualmente questo valore è sempre Progettazione sociale.
  • Piattaforma: mostra il valore Teams per le automazioni del payload che usano i messaggi di Teams o La posta elettronica per le automazioni del payload che usano i messaggi di posta elettronica.

• Se si seleziona Crea automazione nella pagina Automazioni di simulazione per creare un'automazione di simulazione, la prima pagina della nuova procedura guidata di automazione della simulazione è Selezionare la piattaforma di recapito in cui è possibile selezionare Teams. La selezione di Teams introduce le modifiche seguenti al resto della nuova procedura guidata di automazione della simulazione:

  • Nella pagina Nome automazione sono disponibili le impostazioni seguenti per Teams nella sezione Seleziona metodo per la scelta degli account del mittente :

    • Selezione manuale: questo valore è selezionato per impostazione predefinita. Nella sezione Selezionare l'account Microsoft Teams del mittente selezionare l'account utente Seleziona per trovare e selezionare l'account da usare come origine per il messaggio di Teams.
    • Casuale: selezionare in modo casuale tra gli account disponibili da usare come origine per il messaggio di Teams.

  • Nella pagina Select social engineering techniques (Seleziona tecniche di ingegneria sociale ) le tecniche di social engineering Malware Attachment and Link in Attachment non sono disponibili per Teams.

  • Nella pagina Selezione payload e account di accesso non sono elencati payload per impostazione predefinita perché non sono presenti payload predefiniti per Teams. Potrebbe essere necessario creare un payload per la combinazione di Teams e le tecniche di social engineering selezionate.

    Le differenze nella creazione di payload per Teams sono descritte nella sezione Modifiche ai payload per Microsoft Teams in questo articolo.

  • Nella pagina Utenti di destinazione le impostazioni seguenti sono diverse per Teams:

    • Come indicato nella pagina, le automazioni di simulazione che usano Teams possono essere destinate a un massimo di 1000 utenti.
    • se si seleziona Includi solo utenti e gruppi specifici, City non è un filtro disponibile nella sezione Filtra utenti per categoria .

Altre impostazioni relative alle automazioni di simulazione sono le stesse per i messaggi di Teams descritte nel contenuto esistente per i messaggi di posta elettronica.