攻撃シミュレーション トレーニングのペイロード自動化
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft 365 E5 または Microsoft Defender for Office 365 プラン 2 の攻撃シミュレーション トレーニングでは、ペイロードの自動化 (ペイロードの収集とも呼ばれます) は、実際のフィッシング攻撃から情報を収集します。organization。 フィッシング攻撃 (受信者、ソーシャル エンジニアリング手法、送信者情報など) で検索する条件を指定できます。
ペイロードの自動化は、攻撃からのメッセージとペイロードを模倣し、ペイロード名に識別子を含むカスタム ペイロードとして格納します。 その後、収集したペイロードをシミュレーションまたは自動化で使用して、対象ユーザーに無害なシミュレーションを自動的に起動できます。
ペイロードの自動化の収集方法の詳細については、この記事の最後にある 「付録 」セクションを参照してください。
攻撃シミュレーション トレーニングを開始するには、「攻撃シミュレーション トレーニングの使用を始める」を参照してください。
作成した既存のペイロード自動化を表示するには、https://security.microsoft.comでMicrosoft Defender ポータルを開き、[コラボレーションEmail &>攻撃シミュレーション トレーニング>[自動設定] タブの>に移動し、[ペイロードの自動化] を選択します。 [オートメーション] タブに直接移動し、[ペイロードの自動化] を選択するには、https://security.microsoft.com/attacksimulator?viewid=automationsを使用します。
ペイロードの自動化ごとに、次の情報が表示されます。 使用可能な列ヘッダーをクリックすると、ペイロードの自動化を並べ替えることができます。
- Automation 名
- 型: 値は Payload です。
- 収集された項目
- 最終更新日時
- 状態: 値は [準備完了] または [下書き] です。
ヒント
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- ビューから列を削除します。
- Web ブラウザーで縮小します。
ペイロードの自動化を作成する
ペイロードの自動化を作成するには、次の手順を実行します。
https://security.microsoft.com/のMicrosoft Defender ポータルで、[コラボレーションEmail &>攻撃シミュレーション トレーニング>Automations] タブ>Payload automations に移動します。 [オートメーション] タブに直接移動し、[ペイロードの自動化] を選択するには、https://security.microsoft.com/attacksimulator?viewid=automationsを使用します。
[ ペイロードの自動化 ] ページで、[
自動化の作成 ] を選択して、新しいペイロード自動化ウィザードを開始します。![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [ペイロードの自動化] タブの [シミュレーションの作成] ボタン](media/attack-sim-training-sim-automations-create.png)
注:
新しいペイロード自動化ウィザードでペイロードオートメーションに名前を付けた後、いつでも [保存して閉じる ] を選択して進行状況を保存し、後でペイロードオートメーションを構成し続けることができます。 不完全なペイロードオートメーションには、[オートメーション] タブの [ペイロードオートメーション] の [状態] 値 [下書き] があります。ペイロードの自動化を選択し、[オートメーションの編集] をクリックすると、中断した場所
選択できます。現在、GCC 環境では、データ収集の制限のため、ペイロードの収集は有効になっていません。
[ オートメーション名 ] ページで、次の設定を構成します。
- [名前]: ペイロードオートメーションの一意のわかりやすい名前を入力します。
- 説明: ペイロードの自動化に関するオプションの詳細な説明を入力します。
[Automation name]\(オートメーション名\) ページが終了したら、[次へ] を選択します。
[ 実行条件 ] ページで、自動化の実行タイミングを決定する実際のフィッシング攻撃の条件を選択します。
[
条件の追加 ] を選択し、次のいずれかの条件から選択します。- いいえ。 キャンペーンの対象となるユーザーの数: 表示されるボックスで、次の設定を構成します。
- と等しい、 より小さい、 より大きい、 より小さいか等しいか、または より大きいか等しい。
- 値を入力します。フィッシング キャンペーンの対象となるユーザーの数。
-
特定のフィッシング手法を使用したキャンペーン: 表示されるボックスで、使用可能な値のいずれかを選択します。
- 資格情報の収集
- マルウェアの添付ファイル
- 添付ファイルのリンク
- マルウェアへのリンク
- 攻略ガイド
- [特定の送信者ドメイン]: 表示されるボックスに、送信者の電子メール ドメインの値 (たとえば、contoso.com) を入力します。
- [特定の送信者名]: 表示されるボックスに送信者名の値を入力します。
- 特定の送信者メール: 表示されるボックスに、送信者のメール アドレスを入力します。
- 特定のユーザーとグループの受信者: 表示されるボックスに、ユーザーまたはグループの名前またはメール アドレスの入力を開始します。 表示されたら、それを選択します。
各条件は 1 回だけ使用できます。 複数の条件で AND ロジック (<Condition1> と <Condition2>) が使用されます。
別の条件を追加するには、[条件の追加]
選択します。追加後に条件を削除するには、[
] を選択します。[ 実行条件 ] ページが完了したら、[ 次へ] を選択します。
- いいえ。 キャンペーンの対象となるユーザーの数: 表示されるボックスで、次の設定を構成します。
[ 自動化の確認 ] ページで、ペイロードの自動化の詳細を確認できます。
各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[ 自動化の確認 ] ページが完了したら、[送信] を選択 します。
[ 新しい自動化が作成されました ] ページで、リンクを使用してペイロードの自動化を有効にするか、[ シミュレーション ] ページに移動できます。
完了したら、[完了] を選択 します。
[オートメーション] タブの [ペイロードの自動化] に戻ると、作成したペイロードオートメーションが [状態] 値 [準備完了] と一覧表示されます。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [ペイロードの自動化] タブの [シミュレーションの作成] ボタン](media/attack-sim-training-sim-automations-create.png#lightbox)
ペイロードの自動化をオンまたはオフにする
[状態] 値 [準備完了] を使用して、ペイロードの自動化をオンまたはオフにすることができます。 ステータス値 Draft を使用して、不完全なペイロードオートメーションをオンまたはオフにすることはできません。
ペイロードの自動化を有効にするには、名前の横にある [チェック] ボックスをクリックして、一覧から選択します。 表示される
[オンにする] アクションを選択し、ダイアログで [確認] を選択します。
ペイロードの自動化をオフにするには、名前の横にある [チェック] ボックスをクリックして、一覧から選択します。 表示される[無効にする] アクションを選択し、ダイアログで [確認] を選択します。
ペイロードの自動化を変更する
ペイロードの自動化は、[ 状態] 値 [下書き ] または [オフ] でのみ変更できます。
[ペイロードの自動化] ページで既存の ペイロードオートメーションを 変更するには、次のいずれかの手順を実行します。
- 名前の横にある [チェック] ボックスを選択して、一覧からペイロードの自動化を選択します。 表示される [ Edit automation]\(オートメーションの編集\) アクションを選択します。
- [チェック] ボックス以外の行内の任意の場所をクリックして、一覧からペイロードの自動化を選択します。 開いた詳細ポップアップの [全般] タブで、[名前]、[説明]、または [実行条件] セクションで [編集] を選択します。
ペイロード自動化ウィザードが開き、選択したペイロード自動化の設定と値が表示されます。 手順は、「 ペイロードオートメーションの作成 」セクションで説明した手順と同じです。
ペイロードの自動化を削除する
ペイロードオートメーションを削除するには、[チェック] ボックスをクリックして、一覧からペイロードオートメーションを選択します。 表示される [ 削除 ] アクションを選択し、ダイアログで [ 確認 ] を選択します。
ペイロードの自動化の詳細を表示する
[状態] 値が [準備完了] のペイロードオートメーションの場合は、名前の横にある [チェック] ボックス以外の行内の任意の場所をクリックして、[ペイロードの自動化] ページからペイロードを選択します。 開く詳細ポップアップには、次の情報が含まれています。
ペイロード自動化名と収集された項目の数。
[全般] タブ:
- 最終更新日時
- 型: 値は Payload です。
- [名前]、[ 説明]、[ 実行条件 ] セクション: [ 編集] を 選択して、関連ページでペイロード自動化ウィザードを開きます。
[実行履歴 ] タブ: このタブは、[ 状態] 値が [準備完了] のペイロードオートメーションでのみ使用できます。
ペイロードオートメーションを使用したシミュレーションの実行履歴に関する情報を表示します。
![ペイロードオートメーションの詳細ポップアップの [実行履歴] タブ。](media/attack-sim-training-payload-automations-details-run-history.png)
![ペイロードオートメーションの詳細ポップアップの [実行履歴] タブ。](media/attack-sim-training-payload-automations-details-run-history.png#lightbox)
ヒント
詳細ポップアップを残さずに他のペイロード自動化の詳細を表示するには、ポップアップの上部にある 
Previous 項目 と 次の項目 を使用します。
付録
ペイロードの自動化は、Defender for Office 365によってキャンペーンとして識別される電子メール メッセージに依存します。
管理者が メッセージをフィッシングとしてマーク しても、ペイロードの収集は行われません。
ペイロードの自動化には、次の条件を満たすユーザーから報告されたメッセージを含めることができる、生のペイロードへのアクセスが必要です。
- メッセージが受信トレイに配信されました (false negative)。
- ユーザーは、メッセージをフィッシングとして報告しました。
- 報告されたメッセージは Microsoft に送信され (ユーザーまたは 申請ポータルの管理者によって直接)、Microsoft はメッセージがフィッシングであると判断しました。
対象となるペイロードは、この記事で前述したように、メッセージがペイロード自動化の条件を満たしている場合に収集されます (「 ペイロード自動化の作成」の手順 4)。