Automatizações de payload para preparação de simulação de ataques
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar o Microsoft Defender para Office 365.
Em Formação de simulação de ataques no Microsoft 365 E5 ou no Microsoft Defender para Office 365 Plano 2, as automatizações de payload (também conhecidas como recolha de payload) recolhem informações de ataques de phishing do mundo real que foram comunicados por utilizadores na sua organização. Pode especificar as condições a procurar em ataques de phishing (por exemplo, destinatários, técnica de engenharia social ou informações do remetente).
A automatização de payload imita as mensagens e payloads do ataque e armazena-as como payloads personalizados com identificadores no nome do payload. Em seguida, pode utilizar os payloads colhidos em simulações ou automatizações para iniciar automaticamente simulações inofensivas para utilizadores visados.
Para obter detalhes sobre como as automatizações de payload são recolhidas, veja a secção Apêndice no final deste artigo.
Para obter informações sobre a preparação de simulação de ataques, veja Começar a utilizar a Preparação de simulação de ataques.
Para ver as automatizações de payload existentes que criou, abra o portal do Microsoft Defender em https://security.microsoft.com, aceda a E-mail & colaboração Separador>Automatizações> depreparação> de simulação de ataques e, em seguida, selecione Automatizações de payload. Para aceder diretamente ao separador Automatizações , onde pode selecionar Automatizações de payload, utilize https://security.microsoft.com/attacksimulator?viewid=automations.
As seguintes informações são apresentadas para cada automatização de payload. Pode ordenar as automatizações de payload ao clicar num cabeçalho de coluna disponível.
- Nome da automatização
- Tipo: o valor é Payload.
- Itens recolhidos
- Última modificação
- Estado: o valor é Pronto ou Rascunho.
Dica
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Remover colunas da vista.
- Reduza o zoom no browser.
Criar automatizações de payload
Para criar uma automatização de payload, siga os seguintes passos:
No portal do Microsoft Defender em https://security.microsoft.com/, aceda a E-mail & colaboração Colaboração> emSimulação> deataques separador>Automatizações de payload. Para aceder diretamente ao separador Automatizações , onde pode selecionar Automatizações de payload, utilize https://security.microsoft.com/attacksimulator?viewid=automations.
Na página Automatizações de payload , selecione Criar automatização para iniciar o novo assistente de automatização de payload.
Observação
A qualquer momento, depois de atribuir um nome à automatização de payload durante o novo assistente de automatização de payload, pode selecionar Guardar e fechar para guardar o seu progresso e continuar a configurar a automatização do payload mais tarde. A automatização de payload incompleta tem o Valor de estado Rascunho nas automatizações de Payload no separador Automatizações . Pode retomar o ponto onde ficou ao selecionar a automatização do payload e clicar em Editar automatização.
Atualmente, a recolha de payload não está ativada em ambientes GCC devido a restrições de recolha de dados.
Na página Nome da automatização , configure as seguintes definições:
- Nome: introduza um nome exclusivo e descritivo para a automatização do payload.
- Descrição: introduza uma descrição detalhada opcional para a automatização do payload.
Quando tiver terminado na página Nome da automatização , selecione Seguinte.
Na página Condições de execução, selecione as condições do ataque de phishing real que determina quando a automatização é executada.
Selecione Adicionar condição e, em seguida, selecione uma das seguintes condições:
- Não. dos utilizadores visados na campanha: nas caixas apresentadas, configure as seguintes definições:
- Igual a, Menor que, Maior que, Menor ou igual a, ou Maior ou igual a.
- Introduza o valor: o número de utilizadores visados pela campanha de phishing.
-
Campanhas com uma técnica de phish específica: na caixa apresentada, selecione um dos valores disponíveis:
- Colheita de Credenciais
- Anexo de Software Maligno
- Ligação no Anexo
- Ligação para Software Maligno
- Guia de Procedimentos
- Domínio do remetente específico: na caixa apresentada, introduza um valor de domínio de e-mail do remetente (por exemplo, contoso.com).
- Nome do remetente específico: na caixa apresentada, introduza um valor de nome de remetente.
- E-mail específico do remetente: na caixa apresentada, introduza um endereço de e-mail do remetente.
- Destinatários específicos do utilizador e do grupo: na caixa apresentada, comece a escrever o nome ou endereço de e-mail do utilizador ou grupo. Quando for apresentado, selecione-o.
Só pode utilizar cada condição uma vez. Várias condições utilizam lógica AND (<Condição1> e <Condição2>).
Para adicionar outra condição, selecione Adicionar condição.
Para remover uma condição depois de a adicionar, selecione .
Quando tiver terminado na página Condições de execução, selecione Seguinte.
- Não. dos utilizadores visados na campanha: nas caixas apresentadas, configure as seguintes definições:
Na página Rever automatização , pode rever os detalhes da automatização do payload.
Você pode selecionar Editar em cada seção para modificar as configurações da seção. Em alternativa, pode selecionar Anterior ou a página específica no assistente.
Quando tiver terminado na página Rever automatização , selecione Submeter.
Na página Nova automatização criada , pode utilizar as ligações para ativar a automatização de payload ou aceder à página Simulações .
Quando terminar, selecione Concluído.
Novamente nas Automatizações de Payload no separador Automatizações , a automatização de payload que criou está agora listada com o valor EstadoPronto.
Ativar ou desativar automatizações de payload
Pode ativar ou desativar as automatizações de payload com o valor EstadoPronto. Não pode ativar ou desativar automatizações de payload incompletas com o Valor de estado Rascunho.
Para ativar uma automatização de payload, selecione-a na lista ao clicar na caixa de verificação junto ao nome. Selecione a ação Ativar apresentada e, em seguida, selecione Confirmar na caixa de diálogo.
Para desativar uma automatização de payload, selecione-a na lista ao clicar na caixa de verificação junto ao nome. Selecione a ação Desativar apresentada e, em seguida, selecione Confirmar na caixa de diálogo.
Modificar automatizações de payload
Só pode modificar automatizações de payload com o Valor de estado Rascunho ou que estejam desativados.
Para modificar uma automatização de payload existente na página Automatizações de payload , siga um dos seguintes passos:
- Selecione a automatização do payload na lista ao selecionar a caixa de verificação junto ao nome. Selecione a ação Editar automatização apresentada.
- Selecione a automatização do payload na lista ao clicar em qualquer parte da linha, exceto na caixa de verificação. Na lista de opções de detalhes que é aberta, no separador Geral, selecione Editar nas secções Nome, Descrição ou Condições de execução.
O assistente de automatização de payload é aberto com as definições e os valores da automatização de payload selecionada. Os passos são os mesmos descritos na secção Criar automatizações de payload .
Remover automatizações de payload
Para remover uma automatização de payload, selecione a automatização do payload na lista ao clicar na caixa de verificação. Selecione a ação Eliminar que é apresentada e, em seguida, selecione Confirmar na caixa de diálogo.
Ver detalhes da automatização do payload
Para automatizações de payload com o valor EstadoPronto, selecione o payload na página Automatizações de payload ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. A lista de opções de detalhes que é aberta contém as seguintes informações:
O nome da automatização do payload e o número de itens recolhidos.
Separador Geral :
- Última modificação
- Tipo: o valor é Payload.
- Secções Nome, Descrição e Condições de execução: selecione Editar para abrir o assistente de automatização de payload na página relacionada.
Separador Histórico de execuções: este separador está disponível apenas para automatizações de payload com o valor EstadoPronto.
Mostra informações sobre o histórico de execuções de simulações que utilizaram a automatização do payload.
Dica
Para ver detalhes sobre outras automatizações de payload sem deixar a lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
Apêndice
A automatização do payload baseia-se em mensagens de e-mail identificadas como campanhas por Defender para Office 365:
Os administradores que marcam mensagens como phishing não resultam na recolha de payload.
A automatização do payload requer acesso ao payload não processado, que pode incluir mensagens comunicadas pelo utilizador que cumprem os seguintes critérios:
- A mensagem foi entregue na Caixa de Entrada (falso negativo).
- O utilizador comunicou a mensagem como phishing.
- A mensagem comunicada foi submetida à Microsoft (diretamente pelo utilizador ou por um administrador do portal submissões) e a Microsoft determinou que a mensagem era phishing.
Os payloads elegíveis são recolhidos se as mensagens cumprirem os critérios da automatização do payload, conforme descrito anteriormente neste artigo (Passo 4 em Criar automatizações de payload).
Links relacionados
Começar a usar o Treinamento de simulação de ataque
Automatizações de simulação para Treinamento de simulação de ataque
Obter insights por meio do treinamento de simulação de Ataque