Aan de slag met training voor aanvalssimulatie in Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft 365 Defender gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft 365 Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Van toepassing opMicrosoft Defender voor Office 365 abonnement 2

Als uw organisatie Microsoft 365 E5 of Microsoft Defender voor Office 365 Abonnement 2 heeft, dat mogelijkheden voor bedreigingsonderzoek en -respons bevat, kunt u training voor aanvalssimulatie gebruiken in de Microsoft 365 Defender portal voor het uitvoeren van realistische aanvalsscenario's in uw organisatie. Deze gesimuleerde aanvallen kunnen u helpen kwetsbare gebruikers te identificeren en te vinden voordat een echte aanval van invloed is op uw bedrijfsuitval. Lees dit artikel voor meer informatie.

Bekijk deze korte video voor meer informatie over training voor aanvalssimulatie.

Opmerking

training voor aanvalssimulatie vervangt de oude Attack Simulator v1-ervaring die beschikbaar was in de beveiliging & Compliancecentrum op Bedreigingsbeheer>Aanvalssimulator of https://protection.office.com/attacksimulator.

Wat moet u weten voordat u begint?

  • training voor aanvalssimulatie hebt een licentie voor Microsoft 365 E5 of Microsoft Defender voor Office 365 Abonnement 2 nodig.

  • Ga naar https://security.microsoft.com als je de Microsoft 365 Defender-portal wilt openen. training voor aanvalssimulatie is beschikbaar bij Email en samenwerking>training voor aanvalssimulatie. Gebruik https://security.microsoft.com/attacksimulatorom rechtstreeks naar training voor aanvalssimulatie te gaan.

  • Zie Microsoft Defender voor Office 365 servicebeschrijving voor meer informatie over de beschikbaarheid van training voor aanvalssimulatie in verschillende Microsoft 365-abonnementen.

  • U moet machtigingen hebben toegewezen in Azure Active Directory voordat u de procedures in dit artikel kunt uitvoeren. U moet met name lid zijn van een van de volgende rollen:

    • Hoofdbeheerder
    • Beveiligingsbeheerder
    • Beheerders voor aanvalssimulatie*: maak en beheer alle aspecten van aanvalssimulatiecampagnes.
    • Auteur van nettolading voor* aanvallen: maak nettoladingen voor aanvallen die een beheerder later kan initiĆ«ren.

    *Het toevoegen van gebruikers aan deze rol in de Microsoft 365 Defender-portal wordt momenteel niet ondersteund.

    Zie Machtigingen in de Microsoft 365 Defender-portal of Over beheerdersrollen voor meer informatie.

  • Er zijn geen bijbehorende PowerShell-cmdlets voor training voor aanvalssimulatie.

  • Gegevens over aanvalssimulatie en training worden samen met andere klantgegevens opgeslagen voor Microsoft 365-services. Zie Microsoft 365 gegevenslocaties voor meer informatie. Aanvalssimulatie is beschikbaar in de volgende regio's: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE en DEU.

    Opmerking

    NOCH, ZAF, ARE en DEU zijn de nieuwste toevoegingen. Alle functies behalve gerapporteerde e-mailtelemetrie zijn beschikbaar in deze regio's. We werken eraan om dit mogelijk te maken en stellen onze klanten op de hoogte zodra gerapporteerde e-mailtelemetrie beschikbaar is.

  • Vanaf 15 juni 2021 is training voor aanvalssimulatie beschikbaar in GCC. Als uw organisatie Office 365 G5 GCC of Microsoft Defender voor Office 365 (abonnement 2) voor de overheid heeft, kunt u training voor aanvalssimulatie gebruiken in de Microsoft 365 Defender portal voor het uitvoeren van realistische aanvalsscenario's in uw organisatie, zoals beschreven in dit artikel. training voor aanvalssimulatie is nog niet beschikbaar in GCC High- of DoD-omgevingen.

Opmerking

training voor aanvalssimulatie biedt E3-klanten een subset van mogelijkheden als proefversie. De proefversie bevat de mogelijkheid om een Credential Harvest-nettolading te gebruiken en de mogelijkheid om 'ISA Phishing' of 'Mass Market Phishing'-trainingservaringen te selecteren. Er zijn geen andere mogelijkheden die deel uitmaken van de E3-proefversie.

Simulaties

Phishing is een algemene term voor e-mailaanvallen die proberen gevoelige informatie te stelen in berichten die afkomstig lijken te zijn van legitieme of vertrouwde afzenders. Phishing maakt deel uit van een subset van technieken die we classificeren als social engineering.

In training voor aanvalssimulatie zijn er meerdere soorten social engineering-technieken beschikbaar:

  • Referentieoogst: een aanvaller stuurt de geadresseerde een bericht met een URL. Wanneer de geadresseerde op de URL klikt, wordt deze naar een website gebracht waarin meestal een dialoogvenster wordt weergegeven waarin de gebruiker om zijn gebruikersnaam en wachtwoord wordt gevraagd. Normaal gesproken heeft de doelpagina een thema om een bekende website te vertegenwoordigen om vertrouwen in de gebruiker op te bouwen.

  • Malwarebijlage: een aanvaller stuurt de geadresseerde een bericht met een bijlage. Wanneer de ontvanger de bijlage opent, wordt willekeurige code (bijvoorbeeld een macro) uitgevoerd op het apparaat van de gebruiker om de aanvaller te helpen aanvullende code te installeren of zichzelf verder te versleutelen.

  • Koppeling in bijlage: dit is een hybride van een referentieoogst. Een aanvaller stuurt de geadresseerde een bericht met een URL in een bijlage. Wanneer de geadresseerde de bijlage opent en op de URL klikt, wordt deze naar een website gebracht waarin meestal een dialoogvenster wordt weergegeven waarin de gebruiker om zijn gebruikersnaam en wachtwoord wordt gevraagd. Normaal gesproken heeft de doelpagina een thema om een bekende website te vertegenwoordigen om vertrouwen in de gebruiker op te bouwen.

  • Koppeling naar malware: Een aanvaller stuurt de ontvanger een bericht met een koppeling naar een bijlage op een bekende site voor het delen van bestanden (bijvoorbeeld SharePoint Online of Dropbox). Wanneer de ontvanger op de URL klikt, wordt de bijlage geopend en wordt willekeurige code (bijvoorbeeld een macro) uitgevoerd op het apparaat van de gebruiker om de aanvaller te helpen aanvullende code te installeren of zichzelf verder te versleutelen.

  • Drive-by-URL: een aanvaller stuurt de geadresseerde een bericht met een URL. Wanneer de ontvanger op de URL klikt, wordt deze naar een website geleid die achtergrondcode probeert uit te voeren. Met deze achtergrondcode wordt geprobeerd informatie over de ontvanger te verzamelen of willekeurige code op het apparaat te implementeren. Meestal is de doelwebsite een bekende website die is gecompromitteerd of een kloon van een bekende website. Bekendheid met de website helpt de gebruiker ervan te overtuigen dat de koppeling veilig is om op te klikken. Deze techniek wordt ook wel een watergataanval genoemd.

  • OAuth-toestemming verlenen: een aanvaller maakt een kwaadwillende Azure-toepassing die toegang probeert te krijgen tot gegevens. De toepassing verzendt een e-mailaanvraag die een URL bevat. Wanneer de ontvanger op de URL klikt, vraagt het mechanisme voor toestemmingsverlening van de toepassing om toegang tot de gegevens (bijvoorbeeld het Postvak IN van de gebruiker).

De URL's die door training voor aanvalssimulatie worden gebruikt, worden beschreven in de volgende lijst:

Opmerking

Controleer de beschikbaarheid van de gesimuleerde phishing-URL in uw ondersteunde webbrowsers voordat u de URL gebruikt in een phishingcampagne. Hoewel we samenwerken met veel leveranciers van URL-reputaties om deze simulatie-URL's altijd toe te staan, hebben we niet altijd volledige dekking (bijvoorbeeld Google Safe Browsing). De meeste leveranciers bieden richtlijnen waarmee u altijd specifieke URL's kunt toestaan (bijvoorbeeld https://support.google.com/chrome/a/answer/7532419).

Een simulatie maken

Zie Een phishing-aanval simuleren voor stapsgewijze instructies voor het maken en verzenden van een nieuwe simulatie.

Een nettolading maken

Zie Een aangepaste nettolading maken voor training voor aanvalssimulatie voor stapsgewijze instructies voor het maken van een nettolading voor gebruik in een simulatie.

Inzichten verkrijgen

Zie Inzichten verkrijgen via training voor aanvalssimulatie voor stapsgewijze instructies voor het verkrijgen van inzichten met rapportage.

Opmerking

Aanvalssimulator maakt gebruik van veilige koppelingen in Defender voor Office 365 om veilig klikgegevens bij te houden voor de URL in het nettoladingbericht dat wordt verzonden naar geadresseerden van een phishingcampagne, zelfs als de instelling Gebruikerskliks bijhouden in Beleid voor veilige koppelingen is uitgeschakeld.