Kom i gang med å bruke Opplæring med simulert angrep

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I organisasjoner med Microsoft Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5), kan du bruke Opplæring med simulert angrep i Microsoft Defender portal for å kjøre realistiske angrepsscenarioer i organisasjonen. Disse simulerte angrepene kan hjelpe deg med å identifisere og finne sårbare brukere før et reelt angrep påvirker bunnlinjen.

Denne artikkelen forklarer det grunnleggende om Opplæring med simulert angrep.

Se denne korte videoen for å lære mer om Opplæring med simulert angrep.

Obs!

Opplæring med simulert angrep erstatter den gamle Attack Simulator v1-opplevelsen som var tilgjengelig i Security & Compliance Center ved Threat Management>Attack simulator eller https://protection.office.com/attacksimulator.

Hva må du vite før du begynner?

• Opplæring med simulert angrep krever en Microsoft 365 E5- eller Microsoft Defender for Office 365 Plan 2-lisens. Hvis du vil ha mer informasjon om lisensieringskrav, kan du se Lisensieringsvilkår.

• Opplæring med simulert angrep støtter lokale postbokser, men med redusert rapporteringsfunksjonalitet. Hvis du vil ha mer informasjon, kan du se Rapporteringsproblemer med lokale postbokser.

• Hvis du vil åpne Microsoft Defender-portalen, går du til https://security.microsoft.com. Opplæring med simulert angrep er tilgjengelig på e-post og samarbeid>Opplæring med simulert angrep. Hvis du vil gå direkte til Opplæring med simulert angrep, bruker https://security.microsoft.com/attacksimulatordu .

• Hvis du vil ha mer informasjon om tilgjengeligheten av Opplæring med simulert angrep på tvers av ulike Microsoft 365-abonnementer, kan du se Microsoft Defender for Office 365 tjenestebeskrivelse.

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Entra tillatelser: Du trenger medlemskap i én av følgende roller:

    • Global administrator¹
    • Sikkerhetsadministrator
    • Attack Simulation Administrators²: Opprett og administrer alle aspekter ved angrepssimuleringskampanjer.
    • Attack Payload Author²: Opprett nyttelaster for angrep som en administrator kan starte senere.

    Viktig

    ¹ Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

    ² Hvis du legger til brukere i denne rollegruppen i e-& samarbeidstillatelser i Microsoft Defender-portalen, støttes det for øyeblikket ikke.

    For øyeblikket støttes ikke Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC).

• Det finnes ingen tilsvarende PowerShell-cmdleter for Opplæring med simulert angrep.

• Angrepssimulering og opplæringsrelaterte data lagres sammen med andre kundedata for Microsoft 365-tjenester. Hvis du vil ha mer informasjon, kan du se Microsoft 365-dataplasseringer. Opplæring med simulert angrep er tilgjengelig i følgende områder: APC, EUR og NAM. Land innenfor disse områdene der Opplæring med simulert angrep er tilgjengelig inkluderer ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE og ZAF.

  Obs!

  ZAF, ARE og DEU er heller ikke de nyeste tilleggene. Alle funksjoner unntatt rapportert e-posttelemetri er tilgjengelige i disse områdene. Vi jobber med å aktivere funksjonene, og vi varsler kunder så snart rapportert e-posttelemetri blir tilgjengelig.

• Opplæring med simulert angrep er tilgjengelig i Microsoft 365 GCC-, GCC High- og DoD-miljøer, men enkelte avanserte funksjoner er ikke tilgjengelige i GCC High og DoD (for eksempel nyttelastautomatisering, anbefalte nyttelaster, den anslåtte kompromitterte satsen). Hvis organisasjonen har Microsoft 365 G5, Office 365 G5 eller Microsoft Defender for Office 365 (Plan 2) for Government, kan du bruke Opplæring med simulert angrep som beskrevet i denne artikkelen.

Obs!

Opplæring med simulert angrep tilbyr et delsett av funksjoner til E3-kunder som en prøveversjon. Prøvetilbudet inneholder muligheten til å bruke en credential harvest nyttelast og muligheten til å velge 'ISA Phishing' eller 'Mass Market Phishing' opplæringsopplevelser. Ingen andre funksjoner er en del av prøveversjonen av E3.

Simuleringer

En simulering i Opplæring med simulert angrep er den generelle kampanjen som leverer realistiske, men harmløse phishing-meldinger til brukere. De grunnleggende elementene i en simulering er:

• Hvem som får den simulerte phishing-meldingen og etter hvilken tidsplan.
• Opplæring som brukere får basert på handlingen eller manglende handling (for både riktige og uriktige handlinger) på den simulerte phishing-meldingen.
• Nyttelasten som brukes i den simulerte phishing-meldingen (en kobling eller et vedlegg), og sammensetningen av phishing-meldingen (for eksempel pakke levert, problem med kontoen din, eller du har vunnet en premie).
• Den sosiale ingeniørteknikken som brukes. Nyttelast og sosial ingeniørteknikk er nært relatert.

I Opplæring med simulert angrep er flere typer sosiale teknikker tilgjengelige. Bortsett fra Veiledning, ble disse teknikkene kuratert fra MITRE ATT&CK-rammeverket®. Ulike nyttelaster er tilgjengelige for ulike teknikker.

Følgende teknikker for sosial ingeniørarbeid er tilgjengelige:

• Innhøsting av legitimasjon: En angriper sender mottakeren en melding som inneholder en kobling^*. Når mottakeren klikker på koblingen, blir vedkommende ført til et nettsted som vanligvis viser en dialogboks der brukeren blir bedt om brukernavn og passord. Målsiden er vanligvis tema for å representere et velkjent nettsted for å kunne bygge tillit til brukeren.

• Vedlegg til skadelig programvare: En angriper sender mottakeren en melding som inneholder et vedlegg. Når mottakeren åpner vedlegget, kjøres tilfeldig kode (for eksempel en makro) på brukerens enhet for å hjelpe angriperen med å installere ekstra kode eller ytterligere forankre seg selv.

• Kobling i vedlegg: Denne teknikken er en hybrid av en innhøsting av legitimasjon. En angriper sender mottakeren en melding som inneholder en kobling i et vedlegg. Når mottakeren åpner vedlegget og klikker på koblingen, blir vedkommende ført til et nettsted som vanligvis viser en dialogboks som ber brukeren om brukernavn og passord. Målsiden er vanligvis tema for å representere et velkjent nettsted for å kunne bygge tillit til brukeren.

• Kobling til skadelig programvare^*: En angriper sender mottakeren en melding som inneholder en kobling til et vedlegg på et velkjent fildelingsnettsted (for eksempel SharePoint Online eller Dropbox). Når mottakeren klikker på koblingen, åpnes vedlegget, og tilfeldig kode (for eksempel en makro) kjører på brukerens enhet for å hjelpe angriperen med å installere ekstra kode eller ytterligere entrench seg selv.

• Drive-by-url^*: En angriper sender mottakeren en melding som inneholder en kobling. Når mottakeren klikker på koblingen, blir de ført til et nettsted som prøver å kjøre bakgrunnskode. Denne bakgrunnskoden prøver å samle inn informasjon om mottakeren eller distribuere tilfeldig kode på enheten. Vanligvis er målnettstedet et velkjent nettsted som har blitt kompromittert eller en klone av et velkjent nettsted. Kjennskap til nettstedet bidrar til å overbevise brukeren om at koblingen er trygg å klikke på. Denne teknikken er også kjent som et vannhullangrep.

• OAuth Consent Grant^*: En angriper oppretter et ondsinnet Azure-program som søker å få tilgang til data. Programmet sender en e-postforespørsel som inneholder en kobling. Når mottakeren klikker på koblingen, ber samtykketildelingsmekanismen for programmet om tilgang til dataene (for eksempel brukerens innboks).

• Veiledning for fremgangsmåte: En opplæringsveiledning som inneholder instruksjoner for brukere (for eksempel hvordan du rapporterer phishing-meldinger).

^* Koblingen kan være en nettadresse eller en QR-kode.

URL-adressene som brukes av Opplæring med simulert angrep, er oppført i tabellen nedenfor:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Obs!

Kontroller tilgjengeligheten til den simulerte nettadressen for phishing i nettlesere som støttes, før du bruker nettadressen i en phishing-kampanje. Hvis du vil ha mer informasjon, kan du se nettadresser for phishing-simulering som er blokkert av Google Safe Browsing.

Opprett simuleringer

Hvis du vil ha instruksjoner om hvordan du oppretter og starter simuleringer, kan du se Simulere et phishing-angrep.

Landingssiden i simuleringen er der brukerne går når de åpner nyttelasten. Når du oppretter en simulering, velger du målsiden du vil bruke. Du kan velge blant innebygde målsider, egendefinerte målsider som du allerede har opprettet, eller du kan opprette en ny målside som skal brukes under opprettingen av simuleringen. Hvis du vil opprette målsider, kan du se Målsider i Opplæring med simulert angrep.

Sluttbrukervarsler i simuleringen sender periodiske påminnelser til brukere (for eksempel opplæringstildeling og påminnelsesvarsler). Du kan velge blant innebygde varsler, egendefinerte varsler som du allerede har opprettet, eller du kan opprette nye varsler som skal brukes under opprettingen av simuleringen. Hvis du vil opprette varsler, kan du se sluttbrukervarsler for Opplæring med simulert angrep.

Tips

Simuleringsautomatiseringer gir følgende forbedringer i forhold til tradisjonelle simuleringer:

• Simuleringsautomatiseringer kan omfatte flere sosiale teknikker og relaterte nyttelaster (simuleringer inneholder bare én).
• Simuleringsautomatiseringer støtter automatiserte planleggingsalternativer (mer enn bare startdatoen og sluttdatoen i simuleringer).

Hvis du vil ha mer informasjon, kan du se Simuleringsautomatiseringer for Opplæring med simulert angrep.

Payloads

Selv om Opplæring med simulert angrep inneholder mange innebygde nyttelaster for de tilgjengelige teknikkene for sosial ingeniørarbeid, kan du opprette egendefinerte nyttelaster slik at de passer bedre til dine forretningsbehov, inkludert kopiering og tilpassing av en eksisterende nyttelast. Du kan opprette nyttelaster når som helst før du lager simuleringen eller under opprettelsen av simuleringen. Hvis du vil opprette nyttelaster, kan du se Opprette en egendefinert nyttelast for Opplæring med simulert angrep.

I simuleringer som bruker Credential Harvest eller Link i vedleggsteknikker for sosial ingeniørarbeid, er påloggingssider en del av nyttelasten du velger. Påloggingssiden er nettsiden der brukerne angir legitimasjonen sin. Hver gjeldende nyttelast bruker en standard påloggingsside, men du kan endre påloggingssiden som brukes. Du kan velge blant innebygde påloggingssider, egendefinerte påloggingssider som du allerede har opprettet, eller du kan opprette en ny påloggingsside som skal brukes under opprettelsen av simuleringen eller nyttelasten. Hvis du vil opprette påloggingssider, kan du se Påloggingssider i Opplæring med simulert angrep.

Den beste opplæringsopplevelsen for simulerte phishing-meldinger er å gjøre dem så nære som mulig til reelle phishing-angrep som organisasjonen kan oppleve. Hva om du kan registrere og bruke harmløse versjoner av virkelige phishing-meldinger som ble oppdaget i Microsoft 365 og bruke dem i simulerte phishing-kampanjer? Du kan, med nyttelastautomatiseringer (også kjent som nyttelasthøsting). Hvis du vil opprette automatiseringer av nyttelaster, kan du se Automatisering av nyttelast for Opplæring med simulert angrep.

Opplæring med simulert angrep støtter også bruk av QR-koder i nyttelaster. Du kan velge fra listen over innebygde QR-kodenyttelaster, eller du kan opprette egendefinerte nyttelaster for QR-kode. Hvis du vil ha mer informasjon, kan du se QR-kodenyttelaster i Opplæring med simulert angrep.

Rapporter og innsikter

Når du har laget og startet simuleringen, må du se hvordan det går. Eksempel:

• Mottok alle den?
• Hvem gjorde hva med den simulerte phishing-meldingen og nyttelasten i den (slett, rapporter, åpne nyttelasten, angi legitimasjon osv.).
• Hvem som fullførte den tilordnede opplæringen.

De tilgjengelige rapportene og innsiktene for Opplæring med simulert angrep er beskrevet i innsikt og rapporter for Opplæring med simulert angrep.

Forventet kompromissrate

Du må ofte skreddersy en simulert phishing-kampanje for bestemte målgrupper. Hvis phishing-meldingen er for nær perfekt, vil nesten alle bli lurt av den. Hvis det er for mistenkelig, vil ingen bli lurt av det. Og phishing-meldingene som enkelte brukere anser som vanskelige å identifisere, anses som enkle å identifisere av andre brukere. Så hvordan finner du en balanse?

Den spådde kompromissraten (PCR) indikerer den potensielle effektiviteten når nyttelasten brukes i en simulering. PCR bruker intelligente historiske data på tvers av Microsoft 365 til å forutsi prosentandelen av personer som vil bli kompromittert av nyttelasten. Eksempel:

• Nyttelastinnhold.
• Aggregerte og anonymiserte kompromissrater fra andre simuleringer.
• Metadata for nyttelast.

MED PCR kan du sammenligne prognosene kontra faktiske klikk gjennom-satser for phishing-simuleringer. Du kan også bruke disse dataene til å se hvordan organisasjonen yter sammenlignet med prognoseresultater.

PCR-informasjon for en nyttelast er tilgjengelig uansett hvor du viser og velger nyttelaster, og i følgende rapporter og innsikter:

• Innvirkning på virkemåte på kort med risikosats
• Treningseffekt-fanen for Angrepssimulering-rapporten

Tips

Angrepssimulatoren bruker klarerte koblinger i Defender for Office 365 til å spore klikkdata for nettadressen i nyttelastmeldingen som sendes til målrettede mottakere av en phishing-kampanje, selv om innstillingen Spor bruker klikker i policyer for klarerte koblinger er deaktivert.

Opplæring uten triks

Tradisjonelle phishing-simuleringer presenterer brukere med mistenkelige meldinger og følgende mål:

• Få brukere til å rapportere meldingen som mistenkelig.
• Gi opplæring når brukere klikker på eller starter den simulerte skadelige nyttelasten og gir opp legitimasjonen.

Men noen ganger vil du ikke vente på at brukerne skal utføre riktige eller uriktige handlinger før du gir dem opplæring. Opplæring med simulert angrep har følgende funksjoner for å hoppe over ventetiden og gå rett til opplæring:

• Opplæringskampanjer: En opplæringskampanje er en opplæringsoppgave for de målrettede brukerne. Du kan tilordne opplæring direkte uten å sette brukere gjennom testen av en simulering. Opplæringskampanjer gjør det enkelt å gjennomføre læringsøkter som månedlig opplæring for bevissthet rundt cybersikkerhet. Hvis du vil ha mer informasjon, kan du se Opplæringskampanjer i Opplæring med simulert angrep.

  Tips

  Opplæringsmoduler brukes i opplæringskampanjer, men du kan også bruke opplæringsmoduler når du tilordner opplæring i vanlige simuleringer.

• Veiledninger i simuleringer: Simuleringer basert på How-to Guide social engineering teknikk forsøker ikke å teste brukere. En Veiledning for fremgangsmåte er en lett læringsopplevelse som brukere kan se direkte i innboksen. Følgende innebygde nyttelaster for Veiledning er for eksempel tilgjengelige, og du kan opprette din egen (inkludert kopiering og tilpassing av en eksisterende nyttelast):

  • Opplæringsveiledning: Slik rapporterer du phishing-meldinger
  • Opplæringsveiledning: Slik gjenkjenner og rapporterer du QR phishing-meldinger

Tips

Opplæring med simulert angrep gir følgende innebygde opplæringsalternativer for QR-kodebaserte angrep:

• Opplæringsmoduler:
  • Skadelige digitale QR-koder
  • Ondsinnede utskrevne QR-koder
• Veiledninger i simuleringer: Undervisningsveiledning: Slik gjenkjenner og rapporterer du QR phishing-meldinger