Share via


Aan de slag met aanvalssimulatietraining

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In organisaties met Microsoft Defender voor Office 365 Abonnement 2 (invoegtoepassingslicenties of inbegrepen in abonnementen zoals Microsoft 365 E5), kunt u training voor aanvalssimulatie gebruiken in de Microsoft Defender portal voor het uitvoeren van realistische aanvalsscenario's in uw organisatie. Deze gesimuleerde aanvallen kunnen u helpen kwetsbare gebruikers te identificeren en te vinden voordat een echte aanval van invloed is op uw bedrijfsuitval.

In dit artikel worden de basisbeginselen van training voor aanvalssimulatie uitgelegd.

Bekijk deze korte video voor meer informatie over training voor aanvalssimulatie.

Opmerking

training voor aanvalssimulatie vervangt de oude Attack Simulator v1-ervaring die beschikbaar was in het Security & Compliance Center op Threat Management>Aanvalssimulator of https://protection.office.com/attacksimulator.

Wat moet u weten voordat u begint?

  • voor training voor aanvalssimulatie is een licentie voor Microsoft 365 E5 of Microsoft Defender voor Office 365 Abonnement 2 vereist. Zie Licentievoorwaarden voor meer informatie over licentievereisten.

  • training voor aanvalssimulatie ondersteunt on-premises postvakken, maar met verminderde rapportagefunctionaliteit. Zie Problemen met on-premises postvakken melden voor meer informatie.

  • Als u de Microsoft Defender-portal wilt openen, gaat u naar https://security.microsoft.com. training voor aanvalssimulatie is beschikbaar bij Email en samenwerking>training voor aanvalssimulatie. Gebruik https://security.microsoft.com/attacksimulatorom rechtstreeks naar training voor aanvalssimulatie te gaan.

  • Zie Microsoft Defender voor Office 365 servicebeschrijving voor meer informatie over de beschikbaarheid van training voor aanvalssimulatie in verschillende Microsoft 365-abonnementen.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U beschikt tevens over de volgende opties:

    • Microsoft Entra machtigingen: u hebt een van de volgende rollen nodig:

      • Globale beheerder¹
      • Beveiligingsbeheerder
      • Beheerders voor aanvalssimulatie²: Alle aspecten van aanvalssimulatiecampagnes maken en beheren.
      • Attack Payload Author²: maak nettoladingen voor aanvallen die een beheerder later kan initiëren.

      Belangrijk

      ¹ Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

      ² Het toevoegen van gebruikers aan deze rollengroep in Email & samenwerkingsmachtigingen in de Microsoft Defender-portal wordt momenteel niet ondersteund.

      Momenteel wordt Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) niet ondersteund.

  • Er zijn geen bijbehorende PowerShell-cmdlets voor training voor aanvalssimulatie.

  • Gegevens over aanvalssimulatie en training worden samen met andere klantgegevens voor Microsoft 365-services opgeslagen. Zie Microsoft 365-gegevenslocaties voor meer informatie. training voor aanvalssimulatie is beschikbaar in de volgende regio's: APC, EUR en NAM. Landen binnen deze regio's waar training voor aanvalssimulatie beschikbaar is, zijn onder andere ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE en ZAF.

    Opmerking

    NOCH, ZAF, ARE en DEU zijn de nieuwste toevoegingen. Alle functies behalve gerapporteerde e-mailtelemetrie zijn beschikbaar in deze regio's. We werken eraan om de functies in te schakelen en we stellen klanten op de hoogte zodra gerapporteerde e-mailtelemetrie beschikbaar is.

  • training voor aanvalssimulatie is beschikbaar in Microsoft 365 GCC-, GCC High- en DoD-omgevingen, maar bepaalde geavanceerde functies zijn niet beschikbaar in GCC High en DoD (bijvoorbeeld automatisering van nettoladingen, aanbevolen nettoladingen, de voorspelde gecompromitteerde snelheid). Als uw organisatie Microsoft 365 G5, Office 365 G5 of Microsoft Defender voor Office 365 (abonnement 2) voor de overheid heeft, kunt u training voor aanvalssimulatie gebruiken zoals beschreven in dit artikel.

Opmerking

training voor aanvalssimulatie biedt E3-klanten een subset van mogelijkheden als proefversie. De proefversie bevat de mogelijkheid om een Credential Harvest-nettolading te gebruiken en de mogelijkheid om 'ISA Phishing' of 'Mass Market Phishing'-trainingservaringen te selecteren. Er zijn geen andere mogelijkheden die deel uitmaken van de E3-proefversie.

Simulaties

Een simulatie in training voor aanvalssimulatie is de algehele campagne die realistische, maar onschuldige phishingberichten aan gebruikers levert. De basiselementen van een simulatie zijn:

  • Wie het gesimuleerde phishingbericht krijgt en volgens welk schema.
  • Training die gebruikers krijgen op basis van hun actie of gebrek aan actie (voor zowel juiste als onjuiste acties) op het gesimuleerde phishingbericht.
  • De nettolading die wordt gebruikt in het gesimuleerde phishingbericht (een koppeling of bijlage) en de samenstelling van het phishingbericht (bijvoorbeeld pakket geleverd, probleem met uw account of u hebt een prijs gewonnen).
  • De social engineering techniek die wordt gebruikt. De payload en social engineering techniek zijn nauw verwant.

In training voor aanvalssimulatie zijn er meerdere soorten social engineering technieken beschikbaar. Met uitzondering van instructiegids zijn deze technieken samengesteld vanuit het MITRE ATT&CK-framework®. Er zijn verschillende nettoladingen beschikbaar voor verschillende technieken.

De volgende social engineering technieken zijn beschikbaar:

  • Credential Harvest: een aanvaller stuurt de ontvanger een bericht met een koppeling*. Wanneer de geadresseerde op de koppeling klikt, wordt deze naar een website gebracht waarin meestal een dialoogvenster wordt weergegeven waarin de gebruiker om zijn gebruikersnaam en wachtwoord wordt gevraagd. Normaal gesproken heeft de doelpagina een thema om een bekende website te vertegenwoordigen om vertrouwen in de gebruiker op te bouwen.

  • Malware-bijlage: een aanvaller stuurt de ontvanger een bericht met een bijlage. Wanneer de ontvanger de bijlage opent, wordt willekeurige code (bijvoorbeeld een macro) uitgevoerd op het apparaat van de gebruiker om de aanvaller te helpen aanvullende code te installeren of zichzelf verder te versleutelen.

  • Koppeling in bijlage: Deze techniek is een hybride van een referentieoogst. Een aanvaller stuurt de geadresseerde een bericht met een koppeling in een bijlage. Wanneer de geadresseerde de bijlage opent en op de koppeling klikt, wordt deze naar een website gebracht waarin meestal een dialoogvenster wordt weergegeven waarin de gebruiker om zijn gebruikersnaam en wachtwoord wordt gevraagd. Normaal gesproken heeft de doelpagina een thema om een bekende website te vertegenwoordigen om vertrouwen in de gebruiker op te bouwen.

  • Koppeling met malware*: een aanvaller stuurt de ontvanger een bericht met een koppeling naar een bijlage op een bekende site voor het delen van bestanden (bijvoorbeeld SharePoint Online of Dropbox). Wanneer de ontvanger op de koppeling klikt, wordt de bijlage geopend en wordt willekeurige code (bijvoorbeeld een macro) uitgevoerd op het apparaat van de gebruiker om de aanvaller te helpen aanvullende code te installeren of zichzelf verder te versleutelen.

  • Drive-by-url*: een aanvaller stuurt de geadresseerde een bericht met een koppeling. Wanneer de ontvanger op de koppeling klikt, wordt deze naar een website geleid die probeert achtergrondcode uit te voeren. Met deze achtergrondcode wordt geprobeerd informatie over de ontvanger te verzamelen of willekeurige code op het apparaat te implementeren. Meestal is de doelwebsite een bekende website die is gecompromitteerd of een kloon van een bekende website. Bekendheid met de website helpt de gebruiker ervan te overtuigen dat de koppeling veilig is om te klikken. Deze techniek wordt ook wel een watergataanval genoemd.

  • OAuth-toestemming verlenen*: een aanvaller maakt een kwaadwillende Azure-toepassing die toegang probeert te krijgen tot gegevens. De toepassing verzendt een e-mailaanvraag die een koppeling bevat. Wanneer de ontvanger op de koppeling klikt, vraagt het mechanisme voor toestemmingsverlening van de toepassing om toegang tot de gegevens (bijvoorbeeld het Postvak IN van de gebruiker).

  • Instructiegids: een leerhandleiding met instructies voor gebruikers (bijvoorbeeld hoe u phishingberichten kunt rapporteren).

* De koppeling kan een URL of een QR-code zijn.

De URL's die door training voor aanvalssimulatie worden gebruikt, worden weergegeven in de volgende tabel:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Opmerking

Controleer de beschikbaarheid van de gesimuleerde phishing-URL in uw ondersteunde webbrowsers voordat u de URL gebruikt in een phishingcampagne. Zie PHISHING-simulatie-URL's geblokkeerd door Google Safe Browsing voor meer informatie.

Simulaties maken

Zie Een phishing-aanval simuleren voor instructies voor het maken en starten van simulaties.

De landingspagina in de simulatie is waar gebruikers naartoe gaan wanneer ze de nettolading openen. Wanneer u een simulatie maakt, selecteert u de landingspagina die u wilt gebruiken. U kunt kiezen uit ingebouwde landingspagina's, aangepaste landingspagina's die u al hebt gemaakt of u kunt een nieuwe landingspagina maken om te gebruiken tijdens het maken van de simulatie. Zie Landingspagina's in training voor aanvalssimulatie om landingspagina's te maken.

Meldingen van eindgebruikers in de simulatie verzenden periodieke herinneringen naar gebruikers (bijvoorbeeld trainingstoewijzings- en herinneringsmeldingen). U kunt kiezen uit ingebouwde meldingen, aangepaste meldingen die u al hebt gemaakt, of u kunt nieuwe meldingen maken om te gebruiken tijdens het maken van de simulatie. Zie Meldingen van eindgebruikers voor training voor aanvalssimulatie als u meldingen wilt maken.

Tip

Simulatieautomatiseringen bieden de volgende verbeteringen ten opzichte van traditionele simulaties:

  • Simulatieautomatiseringen kunnen meerdere social engineering-technieken en gerelateerde nettoladingen omvatten (simulaties bevatten er slechts één).
  • Simulatieautomatiseringen ondersteunen geautomatiseerde planningsopties (meer dan alleen de begin- en einddatum in simulaties).

Zie Simulatieautomatiseringen voor training voor aanvalssimulatie voor meer informatie.

Payloads

Hoewel training voor aanvalssimulatie veel ingebouwde nettoladingen bevat voor de beschikbare social engineering-technieken, kunt u aangepaste nettoladingen maken die beter aansluiten bij de behoeften van uw bedrijf, inclusief het kopiëren en aanpassen van een bestaande nettolading. U kunt op elk gewenst moment nettoladingen maken voordat u de simulatie maakt of tijdens het maken van de simulatie. Zie Een aangepaste nettolading maken voor training voor aanvalssimulatie als u nettoladingen wilt maken.

In simulaties die gebruikmaken van Credential Harvest of Link in Attachment social engineering-technieken, maken aanmeldingspagina's deel uit van de nettolading die u selecteert. De aanmeldingspagina is de webpagina waarop gebruikers hun referenties invoeren. Elke toepasselijke nettolading gebruikt een standaardaanmeldingspagina, maar u kunt de gebruikte aanmeldingspagina wijzigen. U kunt kiezen uit ingebouwde aanmeldingspagina's, aangepaste aanmeldingspagina's die u al hebt gemaakt, of u kunt een nieuwe aanmeldingspagina maken om te gebruiken tijdens het maken van de simulatie of de nettolading. Zie Aanmeldingspagina's in training voor aanvalssimulatie om aanmeldingspagina's te maken.

De beste trainingservaring voor gesimuleerde phishingberichten is om ze zo dicht mogelijk bij echte phishingaanvallen te maken die uw organisatie kan ervaren. Wat als u onschadelijke versies van echte phishingberichten die zijn gedetecteerd in Microsoft 365 kunt vastleggen en gebruiken en deze kunt gebruiken in gesimuleerde phishingcampagnes? Dat kan met payloadautomatiseringen (ook wel het verzamelen van nettoladingen genoemd). Zie Payloadautomatiseringen voor training voor aanvalssimulatie als u payloadautomatiseringen wilt maken.

training voor aanvalssimulatie ondersteunt ook het gebruik van QR-codes in nettoladingen. U kunt kiezen uit de lijst met ingebouwde QR-codepayloads of u kunt aangepaste NETTOLADINGen voor QR-code maken. Zie NETTOLADINGEN VAN QR-code in training voor aanvalssimulatie voor meer informatie.

Rapporten en inzichten

Nadat u de simulatie hebt gemaakt en gestart, moet u zien hoe deze gaat. Bijvoorbeeld:

  • Heeft iedereen het ontvangen?
  • Wie heeft wat gedaan met het gesimuleerde phishingbericht en de nettolading daarin (verwijderen, rapporteren, de nettolading openen, referenties invoeren, enzovoort).
  • Wie de toegewezen training heeft voltooid.

De beschikbare rapporten en inzichten voor training voor aanvalssimulatie worden beschreven in Inzichten en rapporten voor training voor aanvalssimulatie.

Voorspelde inbreuksnelheid

Vaak moet u een gesimuleerde phishingcampagne aanpassen voor specifieke doelgroepen. Als het phishingbericht te dicht bij perfect is, wordt bijna iedereen er door voor de gek gehouden. Als het te verdacht is, wordt nee er door voor de gek gehouden. En de phishingberichten die sommige gebruikers moeilijk te herkennen vinden, worden door andere gebruikers als gemakkelijk te identificeren beschouwd. Hoe vind je een evenwicht?

De voorspelde inbreuksnelheid (PCR) geeft de potentiële effectiviteit aan wanneer de nettolading wordt gebruikt in een simulatie. PCR gebruikt intelligente historische gegevens in Microsoft 365 om het percentage mensen te voorspellen dat wordt aangetast door de nettolading. Bijvoorbeeld:

  • Inhoud van nettolading.
  • Geaggregeerde en geanonimiseerde inbreukpercentages van andere simulaties.
  • Metagegevens van nettolading.

Met PCR kunt u de voorspelde versus werkelijke klikfrequenties voor uw phishingsimulaties vergelijken. U kunt deze gegevens ook gebruiken om te zien hoe uw organisatie presteert in vergelijking met voorspelde resultaten.

PCR-informatie voor een nettolading is overal beschikbaar waar u nettoladingen bekijkt en selecteert, en in de volgende rapporten en inzichten:

Tip

Aanvalssimulator maakt gebruik van veilige koppelingen in Defender voor Office 365 om veilig klikgegevens bij te houden voor de URL in het nettoladingbericht dat wordt verzonden naar geadresseerden van een phishingcampagne, zelfs als de instelling Gebruikerskliks bijhouden in Beleid voor veilige koppelingen is uitgeschakeld.

Training zonder trucs

Traditionele phishingsimulaties bieden gebruikers verdachte berichten en de volgende doelen:

  • Zorg ervoor dat gebruikers het bericht als verdacht melden.
  • Geef training nadat gebruikers op de gesimuleerde schadelijke nettolading hebben geklikt of deze hebben gestart en hun referenties hebben opgegeven.

Maar soms wilt u niet wachten tot gebruikers de juiste of onjuiste acties uitvoeren voordat u ze training geeft. training voor aanvalssimulatie biedt de volgende functies om de wachttijd over te slaan en direct naar de training te gaan:

  • Trainingscampagnes: Een trainingscampagne is een trainingsopdracht voor de beoogde gebruikers. U kunt training rechtstreeks toewijzen zonder gebruikers door de test van een simulatie te laten gaan. Trainingscampagnes maken het eenvoudig om leersessies uit te voeren, zoals maandelijkse training voor cyberbeveiligingsbewustzijn. Zie Trainingscampagnes in training voor aanvalssimulatie voor meer informatie.

    Tip

    Trainingsmodules worden gebruikt in trainingscampagnes, maar u kunt ook trainingsmodules gebruiken wanneer u training in reguliere simulaties toewijst .

  • Instructies voor simulaties: simulaties op basis van de how-to-guide social engineering-techniek proberen geen gebruikers te testen. Een instructiegids is een lichtgewicht leerervaring die gebruikers rechtstreeks in hun Postvak IN kunnen bekijken. De volgende ingebouwde payloads voor instructies zijn bijvoorbeeld beschikbaar en u kunt er zelf een maken (inclusief het kopiëren en aanpassen van een bestaande nettolading):

    • Leerhandleiding: Phishingberichten rapporteren
    • Onderwijshandleiding: QR-phishingberichten herkennen en rapporteren

Tip

training voor aanvalssimulatie biedt de volgende ingebouwde trainingsopties voor aanvallen op basis van QR-code:

  • Trainingsmodules:
    • Schadelijke digitale QR-codes
    • Schadelijke afgedrukte QR-codes
  • Instructies voor simulaties: Leergids: QR-phishingberichten herkennen en rapporteren