Wprowadzenie do szkolenia z symulacji ataku

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach z planem Ochrona usługi Office 365 w usłudze Microsoft Defender 2 (licencjami dodatków lub subskrypcjami, takimi jak Microsoft 365 E5), możesz użyć Szkolenie z symulacji ataków w Microsoft Defender portal do uruchamiania realistycznych scenariuszy ataków w organizacji. Te symulowane ataki mogą pomóc w zidentyfikowaniu i znalezieniu narażonych użytkowników, zanim rzeczywisty atak wpłynie na wyniki finansowe.

W tym artykule wyjaśniono podstawy Szkolenie z symulacji ataków.

Obejrzyj ten krótki film wideo, aby dowiedzieć się więcej o Szkolenie z symulacji ataków.

Uwaga

Szkolenie z symulacji ataków zastępuje stare środowisko symulatora ataków w wersji 1, które było dostępne w Centrum zgodności & zabezpieczeń wsymulatorze atakówzarządzania zagrożeniami> lub https://protection.office.com/attacksimulator.

Co należy wiedzieć przed rozpoczęciem?

• Szkolenie z symulacji ataków wymaga licencji Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2. Aby uzyskać więcej informacji na temat wymagań licencyjnych, zobacz Postanowienia licencyjne.

• Szkolenie z symulacji ataków obsługuje lokalne skrzynki pocztowe, ale z ograniczoną funkcjonalnością raportowania. Aby uzyskać więcej informacji, zobacz Raportowanie problemów z lokalnymi skrzynkami pocztowymi.

• Aby otworzyć portal Microsoft Defender, przejdź do strony https://security.microsoft.com. Szkolenie z symulacji ataków jest dostępna w Email i współpracy>Szkolenie z symulacji ataków. Aby przejść bezpośrednio do Szkolenie z symulacji ataków, użyj polecenia https://security.microsoft.com/attacksimulator.

• Aby uzyskać więcej informacji na temat dostępności Szkolenie z symulacji ataków w różnych subskrypcjach platformy Microsoft 365, zobacz opis usługi Ochrona usługi Office 365 w usłudze Microsoft Defender.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Dostępne są następujące opcje:

  • uprawnienia Microsoft Entra: potrzebne jest członkostwo w jednej z następujących ról:

    • Administrator globalny
    • Administrator zabezpieczeń
    • Administratorzy symulacji ataków^*: Twórca i zarządzać wszystkimi aspektami kampanii symulacji ataków.
    • Autor ^*ładunku ataku: Twórca ładunki ataku, które administrator może zainicjować później.

    ^*Dodawanie użytkowników do tej grupy ról w Email & uprawnienia do współpracy w portalu Microsoft Defender jest obecnie nieobsługiwany.

    Obecnie Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) nie jest obsługiwana.

• Brak odpowiednich poleceń cmdlet programu PowerShell dla Szkolenie z symulacji ataków.

• Dane dotyczące symulacji ataków i trenowania są przechowywane z innymi danymi klientów dla usług platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Lokalizacje danych platformy Microsoft 365. Szkolenie z symulacji ataków jest dostępna w następujących regionach: APC, EUR i NAM. Kraje w tych regionach, w których jest dostępna Szkolenie z symulacji ataków, to ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE i ZAF.

  Uwaga

  NOR, ZAF, ARE i DEU są najnowszymi dodatkami. Wszystkie funkcje z wyjątkiem zgłoszonych danych telemetrycznych poczty e-mail są dostępne w tych regionach. Pracujemy nad włączeniem funkcji i powiadomimy klientów, gdy tylko będą dostępne zgłoszone dane telemetryczne poczty e-mail.

• Od września 2023 r. Szkolenie z symulacji ataków jest dostępna w środowiskach Microsoft 365 GCC i GCC High, ale niektóre zaawansowane funkcje nie są dostępne w GCC High (na przykład automatyzacja ładunków, zalecane ładunki, przewidywana szybkość naruszenia zabezpieczeń). Jeśli Twoja organizacja ma Office 365 G5 GCC lub Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 2) dla instytucji rządowych, możesz użyć Szkolenie z symulacji ataków zgodnie z opisem w tym artykule. Szkolenie z symulacji ataków nie jest jeszcze dostępna w środowiskach DoD.

Uwaga

Szkolenie z symulacji ataków oferuje klientom E3 podzestaw możliwości w ramach wersji próbnej. Oferta wersji próbnej zawiera możliwość korzystania z ładunku Credential Harvest oraz możliwość wybierania środowisk szkoleniowych "ISA Phishing" lub "Mass Market Phishing". Żadne inne możliwości nie są częścią oferty wersji próbnej E3.

Symulacje

Symulacja w Szkolenie z symulacji ataków to ogólna kampania, która dostarcza użytkownikom realistyczne, ale nieszkodliwe wiadomości wyłudzające informacje. Podstawowe elementy symulacji to:

• Kto otrzymuje symulowaną wiadomość wyłudzającą informacje i w jakim harmonogramie.
• Trenowanie, które użytkownicy uzyskują na podstawie akcji lub braku akcji (zarówno w przypadku prawidłowych, jak i niepoprawnych akcji) w symulowanym komunikacie wyłudzania informacji.
• Ładunek używany w symulowanej wiadomości wyłudzającej informacje (link lub załącznik) oraz skład wiadomości wyłudzającej informacje (na przykład dostarczona paczka, problem z kontem lub wygrana nagrody).
• Używana technika inżynierii społecznej . Ładunek i technika inżynierii społecznej są ściśle ze sobą powiązane.

W Szkolenie z symulacji ataków dostępnych jest wiele rodzajów technik inżynierii społecznej. Z wyjątkiem przewodnika z instrukcjami, techniki te zostały wyselekcjonowane w ramach programu MITRE ATT&CK®. Różne ładunki są dostępne dla różnych technik.

Dostępne są następujące techniki inżynierii społecznej:

• Zbieranie poświadczeń: osoba atakująca wysyła adresatowi wiadomość zawierającą adres URL. Gdy adresat kliknie adres URL, zostanie przekierowany do witryny internetowej, w której zwykle jest wyświetlane okno dialogowe z monitem o podanie nazwy użytkownika i hasła. Zazwyczaj strona docelowa ma tematykę reprezentującą dobrze znaną witrynę internetową w celu budowania zaufania do użytkownika.

• Załącznik złośliwego oprogramowania: osoba atakująca wysyła adresatowi wiadomość zawierającą załącznik. Gdy odbiorca otworzy załącznik, dowolny kod (na przykład makro) jest uruchamiany na urządzeniu użytkownika, aby ułatwić atakującemu zainstalowanie dodatkowego kodu lub dalsze umocnienie się.

• Link w załączniku: ta technika jest hybrydą zbioru poświadczeń. Osoba atakująca wysyła adresatowi wiadomość zawierającą adres URL wewnątrz załącznika. Gdy adresat otworzy załącznik i kliknie adres URL, zostanie on przekierowany do witryny internetowej, w której zwykle jest wyświetlane okno dialogowe z monitem o podanie nazwy użytkownika i hasła. Zazwyczaj strona docelowa ma tematykę reprezentującą dobrze znaną witrynę internetową w celu budowania zaufania do użytkownika.

• Link do złośliwego oprogramowania: osoba atakująca wysyła adresatowi wiadomość zawierającą link do załącznika w dobrze znanej witrynie do udostępniania plików (na przykład SharePoint Online lub Dropbox). Gdy adresat kliknie adres URL, zostanie otwarty załącznik i dowolny kod (na przykład makro) zostanie uruchomiony na urządzeniu użytkownika, aby ułatwić atakującemu zainstalowanie dodatkowego kodu lub dalsze umocnienie się.

• Drive-by-url: osoba atakująca wysyła adresatowi wiadomość zawierającą adres URL. Gdy adresat kliknie adres URL, zostanie przekierowany do witryny internetowej, która próbuje uruchomić kod w tle. Ten kod w tle próbuje zebrać informacje o adresacie lub wdrożyć dowolny kod na urządzeniu. Zazwyczaj docelowa witryna internetowa jest dobrze znaną witryną internetową, która została naruszona lub klonem dobrze znanej witryny internetowej. Znajomość witryny internetowej pomaga przekonać użytkownika, że kliknięcie linku jest bezpieczne. Ta technika jest również znana jako atak podlewania dziury.

• Udzielanie zgody OAuth: osoba atakująca tworzy złośliwy aplikacja systemu Azure, który ma na celu uzyskanie dostępu do danych. Aplikacja wysyła żądanie e-mail zawierające adres URL. Gdy adresat kliknie adres URL, mechanizm udzielania zgody aplikacji prosi o dostęp do danych (na przykład skrzynki odbiorczej użytkownika).

• Przewodnik po instrukcjach: przewodnik dydaktyczny zawierający instrukcje dla użytkowników (na przykład jak zgłaszać wiadomości wyłudzające informacje).

Adresy URL używane przez Szkolenie z symulacji ataków są wymienione w poniższej tabeli:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Uwaga

Przed użyciem adresu URL w kampanii wyłudzania informacji sprawdź dostępność symulowanego adresu URL wyłudzania informacji w obsługiwanych przeglądarkach internetowych. Aby uzyskać więcej informacji, zobacz Adresy URL symulacji wyłudzania informacji zablokowane przez bezpieczne przeglądanie google.

symulacje Twórca

Aby uzyskać instrukcje dotyczące tworzenia i uruchamiania symulacji, zobacz Symulowanie ataku wyłudzania informacji.

Strona docelowa symulacji to miejsce, w którym użytkownicy przechodzą po otwarciu ładunku. Podczas tworzenia symulacji wybierasz stronę docelową do użycia. Możesz wybrać wbudowane strony docelowe, niestandardowe strony docelowe, które zostały już utworzone, lub utworzyć nową stronę docelową do użycia podczas tworzenia symulacji. Aby utworzyć strony docelowe, zobacz Strony docelowe w Szkolenie z symulacji ataków.

Powiadomienia użytkowników końcowych w symulacji wysyłają okresowe przypomnienia do użytkowników (na przykład powiadomienia o przypisaniu szkolenia i przypomnieniu). Możesz wybrać spośród wbudowanych powiadomień, niestandardowych powiadomień, które zostały już utworzone, lub utworzyć nowe powiadomienia do użycia podczas tworzenia symulacji. Aby utworzyć powiadomienia, zobacz Powiadomienia użytkowników końcowych dotyczące Szkolenie z symulacji ataków.

Porada

Automatyzacje symulacji zapewniają następujące ulepszenia w stosunku do tradycyjnych symulacji:

• Automatyzacje symulacji mogą obejmować wiele technik inżynierii społecznej i powiązanych ładunków (symulacje zawierają tylko jedną).
• Automatyzacje symulacji obsługują opcje automatycznego planowania (nie tylko datę rozpoczęcia i datę zakończenia w symulacjach).

Aby uzyskać więcej informacji, zobacz Automatyzacje symulacji dla Szkolenie z symulacji ataków.

Ładunki

Chociaż symulacja ataków zawiera wiele wbudowanych ładunków dostępnych technik inżynierii społecznej, można tworzyć niestandardowe ładunki, aby lepiej odpowiadać potrzebom biznesowym, w tym kopiowanie i dostosowywanie istniejącego ładunku. Ładunki można tworzyć w dowolnym momencie przed utworzeniem symulacji lub podczas tworzenia symulacji. Aby utworzyć ładunki, zobacz Twórca niestandardowy ładunek dla Szkolenie z symulacji ataków.

W symulacjach korzystających z zbioru poświadczeń lub linku w technikach inżynierii społecznej załączników strony logowania są częścią wybranego ładunku. Strona logowania to strona internetowa, na której użytkownicy wprowadzają swoje poświadczenia. Każdy odpowiedni ładunek używa domyślnej strony logowania, ale możesz zmienić używaną stronę logowania. Możesz wybrać wbudowane strony logowania, niestandardowe strony logowania, które zostały już utworzone, lub utworzyć nową stronę logowania, która będzie używana podczas tworzenia symulacji lub ładunku. Aby utworzyć strony logowania, zobacz Strony logowania w Szkolenie z symulacji ataków.

Najlepszym środowiskiem szkoleniowym dla symulowanych komunikatów wyłudzających informacje jest zapewnienie im jak największej liczby rzeczywistych ataków wyłudzających informacje, które mogą wystąpić w organizacji. Co zrobić, jeśli można przechwycić i użyć nieszkodliwych wersji rzeczywistych wiadomości wyłudzających informacje, które zostały wykryte na platformie Microsoft 365 i używać ich w symulowanych kampaniach wyłudzania informacji? Możesz korzystać z automatyzacji ładunków (znanej również jako zbieranie ładunków). Aby utworzyć automatyzacje ładunków, zobacz Automatyzacje ładunków dla Szkolenie z symulacji ataków.

Raporty i szczegółowe informacje

Po utworzeniu i uruchomieniu symulacji musisz zobaczyć, jak to się dzieje. Przykład:

• Czy wszyscy go otrzymali?
• Kto zrobił co z symulowanym komunikatem wyłudzania informacji i ładunkiem w nim (usuń, zgłoś, otwórz ładunek, wprowadź poświadczenia itp.).
• Kto ukończył przypisane szkolenie.

Dostępne raporty i szczegółowe informacje dotyczące Szkolenie z symulacji ataków są opisane w artykule Szczegółowe informacje i raporty dotyczące Szkolenie z symulacji ataków.

Przewidywana szybkość kompromisu

Często trzeba dostosować symulowaną kampanię wyłudzania informacji dla określonych odbiorców. Jeśli wiadomość wyłudzająca informacje jest zbyt bliska doskonałości, prawie wszyscy zostaną przez nią oszukani. Jeśli jest to zbyt podejrzane, nie będzie nabrać na to. Ponadto komunikaty wyłudzające informacje, które niektórzy użytkownicy uważają za trudne do zidentyfikowania, są uważane za łatwe do zidentyfikowania przez innych użytkowników. Więc jak znaleźć równowagę?

Przewidywana szybkość naruszenia zabezpieczeń (PCR) wskazuje potencjalną skuteczność, gdy ładunek jest używany w symulacji. Usługa PCR używa inteligentnych danych historycznych na platformie Microsoft 365, aby przewidzieć odsetek osób, które zostaną naruszone przez ładunek. Przykład:

• Ładunek zawartości.
• Zagregowane i anonimowe wskaźniki naruszenia zabezpieczeń z innych symulacji.
• Metadane ładunku.

Funkcja PCR umożliwia porównanie przewidywanych i rzeczywistych wskaźników klikania symulacji wyłudzania informacji. Możesz również użyć tych danych, aby zobaczyć, jak działa twoja organizacja w porównaniu z przewidywanymi wynikami.

Informacje pcr dla ładunku są dostępne wszędzie tam, gdzie wyświetlasz i wybierasz ładunki oraz w następujących raportach i szczegółowych informacjach:

• Wpływ zachowania na kartę szybkości naruszenia zabezpieczeń
• Karta Skuteczność trenowania dla raportu symulacji ataków

Porada

Symulator ataków używa bezpiecznych linków w Ochrona usługi Office 365 w usłudze Defender, aby bezpiecznie śledzić dane kliknięć adresu URL w komunikacie ładunku wysyłanym do docelowych adresatów kampanii wyłudzania informacji, nawet jeśli ustawienie Śledzenie kliknięć użytkownika w zasadach bezpiecznych linków jest wyłączone.

Trenowanie bez sztuczek

Tradycyjne symulacje wyłudzania informacji przedstawiają użytkownikom podejrzane komunikaty i następujące cele:

• Pobierz użytkowników do zgłaszania komunikatu jako podejrzanego.
• Zapewnij szkolenie po kliknięciu lub uruchomieniu symulowanego złośliwego ładunku przez użytkowników i rezygnacji z poświadczeń.

Jednak czasami nie chcesz czekać, aż użytkownicy podejmą poprawne lub niepoprawne działania przed rozpoczęciem szkolenia. Szkolenie z symulacji ataków udostępnia następujące funkcje, aby pominąć oczekiwanie i przejść bezpośrednio do szkolenia:

• Kampanie szkoleniowe: Kampania szkoleniowa to przypisanie tylko do szkoleń dla docelowych użytkowników. Trenowanie można przypisać bezpośrednio bez testowania symulacji przez użytkowników. Kampanie szkoleniowe ułatwiają prowadzenie sesji szkoleniowych, takich jak comiesięczne szkolenia z zakresu świadomości cyberbezpieczeństwa. Aby uzyskać więcej informacji, zobacz Training campaigns in Szkolenie z symulacji ataków (Kampanie szkoleniowe w Szkolenie z symulacji ataków).

• Przewodniki z instrukcjami w symulacjach: symulacje oparte na technice inżynierii społecznej przewodnika po instrukcjach nie próbują testować użytkowników. Przewodnik z instrukcjami to uproszczone środowisko szkoleniowe, które użytkownicy mogą wyświetlać bezpośrednio w skrzynce odbiorczej. Na przykład dostępne są następujące wbudowane ładunki przewodnika po instrukcjach i możesz utworzyć własne (w tym kopiowanie i dostosowywanie istniejącego ładunku):

  • Przewodnik dydaktyczny: Jak zgłaszać wiadomości wyłudzające informacje
  • Przewodnik dydaktyczny: Jak rozpoznawać i zgłaszać wiadomości wyłudzające informacje O PYTANIU