Começar a usar o Treinamento de simulação de ataque

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Em organizações com Microsoft Defender para Office 365 Plano 2 (licenças de complemento ou incluídas em assinaturas como Microsoft 365 E5), você pode usar Treinamento de simulação de ataque no Microsoft Defender portal para executar cenários de ataque realistas em sua organização. Esses ataques simulados podem ajudá-lo a identificar e encontrar usuários vulneráveis antes que um ataque real impacte seu resultado final.

Este artigo explica os conceitos básicos do Treinamento de simulação de ataque.

Assista a este pequeno vídeo para saber mais sobre Treinamento de simulação de ataque.

Observação

Treinamento de simulação de ataque substitui a experiência antiga do Simulador de Ataque v1 que estava disponível na Central de Conformidade de Segurança & nosimulador de ataque de gerenciamento> de ameaças ou https://protection.office.com/attacksimulator.

Do que você precisa saber para começar?

• Treinamento de simulação de ataque requer uma licença do Plano 2 Microsoft 365 E5 ou Microsoft Defender para Office 365. Para obter mais informações sobre os requisitos de licenciamento, consulte Termos de licenciamento.

• Treinamento de simulação de ataque dá suporte a caixas de correio locais, mas com funcionalidade de relatório reduzida. Para obter mais informações, confira Relatar problemas com caixas de correio locais.

• Para abrir o portal Microsoft Defender, acesse https://security.microsoft.com. Treinamento de simulação de ataque está disponível em Email e colaboração>Treinamento de simulação de ataque. Para ir diretamente para Treinamento de simulação de ataque, use https://security.microsoft.com/attacksimulator.

• Para obter mais informações sobre a disponibilidade de Treinamento de simulação de ataque em diferentes assinaturas do Microsoft 365, consulte Microsoft Defender para Office 365 descrição do serviço.

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Entra permissões: você precisa de associação em uma das seguintes funções:

    • Administrador Global
    • Administrador de segurança
    • Administradores de^* simulação de ataque: Create e gerencia todos os aspectos das campanhas de simulação de ataque.
    • Autor^* de Carga de Ataque: Create cargas de ataque que um administrador pode iniciar mais tarde.

    ^*A adição de usuários a esse grupo de funções em Email & permissões de colaboração no portal Microsoft Defender não tem suporte no momento.

    Atualmente, não há suporte para Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada).

• Não há cmdlets do PowerShell correspondentes para Treinamento de simulação de ataque.

• Dados relacionados à simulação de ataque e treinamento são armazenados com outros dados do cliente para serviços do Microsoft 365. Para obter mais informações, confira Locais de dados do Microsoft 365. Treinamento de simulação de ataque está disponível nas seguintes regiões: APC, EUR e NAM. Os países nessas regiões onde Treinamento de simulação de ataque está disponível incluem ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE e ZAF.

  Observação

  NOR, ZAF, ARE e DEU são as adições mais recentes. Todos os recursos, exceto a telemetria de email relatada, estão disponíveis nessas regiões. Estamos trabalhando para habilitar os recursos e notificaremos os clientes assim que a telemetria de email relatada estiver disponível.

• A partir de setembro de 2023, Treinamento de simulação de ataque está disponível nos ambientes Microsoft 365 GCC e GCC High, mas certos recursos avançados não estão disponíveis no GCC High (por exemplo, automação de carga, cargas recomendadas, a taxa de comprometimento prevista). Se sua organização tiver Office 365 G5 GCC ou Microsoft Defender para Office 365 (Plano 2) para Governo, você poderá usar Treinamento de simulação de ataque conforme descrito neste artigo. Treinamento de simulação de ataque ainda não está disponível em ambientes do DoD.

Observação

Treinamento de simulação de ataque oferece um subconjunto de recursos para clientes E3 como uma avaliação. A oferta de avaliação contém a capacidade de usar uma carga de Colheita de Credenciais e a capacidade de selecionar experiências de treinamento 'ISA Phishing' ou 'Mass Market Phishing'. Nenhuma outra funcionalidade faz parte da oferta de avaliação do E3.

Simulações

Uma simulação no Treinamento de simulação de ataque é a campanha geral que fornece mensagens de phishing realistas, mas inofensivas aos usuários. Os elementos básicos de uma simulação são:

• Quem recebe a mensagem de phishing simulada e em qual agendamento.
• Treinamento que os usuários recebem com base em sua ação ou falta de ação (para ações corretas e incorretas) na mensagem de phishing simulada.
• A carga usada na mensagem de phishing simulada (um link ou um anexo) e a composição da mensagem de phishing (por exemplo, pacote entregue, problema com sua conta ou você ganhou um prêmio).
• A técnica de engenharia social usada. A carga e a técnica de engenharia social estão intimamente relacionadas.

Em Treinamento de simulação de ataque, vários tipos de técnicas de engenharia social estão disponíveis. Com exceção do Guia de Instruções, essas técnicas foram curadas da estrutura do MITRE ATT&CK®. Cargas diferentes estão disponíveis para técnicas diferentes.

As seguintes técnicas de engenharia social estão disponíveis:

• Colheita de credenciais: um invasor envia ao destinatário uma mensagem que contém uma URL. Quando o destinatário clica na URL, ele é levado para um site que normalmente mostra uma caixa de diálogo que pede ao usuário seu nome de usuário e senha. Normalmente, a página de destino é temática para representar um site conhecido para criar confiança no usuário.

• Anexo de malware: um invasor envia ao destinatário uma mensagem que contém um anexo. Quando o destinatário abre o anexo, o código arbitrário (por exemplo, uma macro) é executado no dispositivo do usuário para ajudar o invasor a instalar código adicional ou se entrincheirar ainda mais.

• Link no Anexo: essa técnica é um híbrido de uma colheita de credencial. Um invasor envia ao destinatário uma mensagem que contém uma URL dentro de um anexo. Quando o destinatário abre o anexo e clica na URL, ele é levado para um site que normalmente mostra uma caixa de diálogo que pede ao usuário seu nome de usuário e senha. Normalmente, a página de destino é temática para representar um site conhecido para criar confiança no usuário.

• Link para Malware: um invasor envia ao destinatário uma mensagem que contém um link para um anexo em um site de compartilhamento de arquivos bem conhecido (por exemplo, SharePoint Online ou Dropbox). Quando o destinatário clica na URL, o anexo é aberto e o código arbitrário (por exemplo, uma macro) é executado no dispositivo do usuário para ajudar o invasor a instalar código adicional ou se entrincheirar ainda mais.

• Drive-by-url: um invasor envia ao destinatário uma mensagem que contém uma URL. Quando o destinatário clica na URL, ele é levado para um site que tenta executar o código em segundo plano. Esse código em segundo plano tenta coletar informações sobre o destinatário ou implantar código arbitrário em seu dispositivo. Normalmente, o site de destino é um site conhecido que foi comprometido ou um clone de um site conhecido. A familiaridade com o site ajuda a convencer o usuário de que o link é seguro para clicar. Essa técnica também é conhecida como um ataque de buraco de água.

• Concessão de Consentimento OAuth: um invasor cria uma Aplicativo Azure mal-intencionada que busca obter acesso aos dados. O aplicativo envia uma solicitação de email que contém uma URL. Quando o destinatário clica na URL, o mecanismo de concessão de consentimento do aplicativo pede acesso aos dados (por exemplo, a caixa de entrada do usuário).

• Guia de instruções: um guia de ensino que contém instruções para usuários (por exemplo, como relatar mensagens de phishing).

As URLs usadas pelo Treinamento de simulação de ataque estão listadas na tabela a seguir:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Observação

Verifique a disponibilidade da URL de phishing simulada em seus navegadores da Web com suporte antes de usar a URL em uma campanha de phishing. Para obter mais informações, confira URLs de simulação de phishing bloqueadas pela Navegação Segura do Google.

simulações de Create

Para obter instruções sobre como criar e iniciar simulações, consulte Simular um ataque de phishing.

A página de destino na simulação é para onde os usuários vão quando abrem a carga. Ao criar uma simulação, selecione a página de destino a ser usada. Você pode selecionar entre páginas de destino internas, páginas de destino personalizadas que você já criou ou pode criar uma nova página de destino a ser usada durante a criação da simulação. Para criar páginas de destino, consulte Páginas de destino no Treinamento de simulação de ataque.

As notificações do usuário final na simulação enviam lembretes periódicos aos usuários (por exemplo, atribuição de treinamento e notificações de lembrete). Você pode selecionar entre notificações internas, notificações personalizadas que já criou ou criar novas notificações a serem usadas durante a criação da simulação. Para criar notificações, consulte notificações do usuário final para Treinamento de simulação de ataque.

Dica

As automações de simulação fornecem as seguintes melhorias em relação às simulações tradicionais:

• As automações de simulação podem incluir várias técnicas de engenharia social e cargas relacionadas (simulações contêm apenas uma).
• As automações de simulação dão suporte a opções de agendamento automatizado (mais do que apenas a data de início e a data de término em simulações).

Para obter mais informações, consulte Automações de simulação para Treinamento de simulação de ataque.

Payloads

Embora a simulação de ataque contenha muitas cargas internas para as técnicas de engenharia social disponíveis, você pode criar cargas personalizadas para atender melhor às suas necessidades de negócios, incluindo copiar e personalizar uma carga existente. Você pode criar cargas a qualquer momento antes de criar a simulação ou durante a criação da simulação. Para criar cargas, consulte Create uma carga personalizada para Treinamento de simulação de ataque.

Em simulações que usam o Credential Harvest ou o Link em Técnicas de engenharia social do Anexo, as páginas de logon fazem parte da carga selecionada. A página de logon é a página da Web em que os usuários inserem suas credenciais. Cada carga aplicável usa uma página de logon padrão, mas você pode alterar a página de logon usada. Você pode selecionar entre páginas de logon internas, páginas de logon personalizadas que você já criou ou pode criar uma nova página de logon a ser usada durante a criação da simulação ou do conteúdo. Para criar páginas de logon, consulte Páginas de logon em Treinamento de simulação de ataque.

A melhor experiência de treinamento para mensagens de phishing simuladas é torná-las o mais próximo possível de ataques de phishing reais que sua organização pode experimentar. E se você pudesse capturar e usar versões inofensivas de mensagens de phishing do mundo real detectadas no Microsoft 365 e usá-las em campanhas simuladas de phishing? Você pode, com automações de carga (também conhecidas como coleta de carga). Para criar automações de carga, consulte Automações de carga para Treinamento de simulação de ataque.

Relatórios e insights

Depois de criar e iniciar a simulação, você precisa ver como ela está indo. Por exemplo:

• Todos receberam?
• Quem fez o que para a mensagem de phishing simulada e a carga dentro dela (excluir, relatar, abrir a carga, inserir credenciais etc.).
• Quem concluiu o treinamento atribuído.

Os relatórios e insights disponíveis para Treinamento de simulação de ataque são descritos em Insights e relatórios para Treinamento de simulação de ataque.

Taxa de comprometimento prevista

Geralmente, você precisa adaptar uma campanha de phishing simulada para públicos específicos. Se a mensagem de phishing estiver muito perto de ser perfeita, quase todos serão enganados por ela. Se for muito suspeito, não será enganado por ele. E as mensagens de phishing que alguns usuários consideram difíceis de identificar são consideradas fáceis de identificar por outros usuários. Então, como você atinge um equilíbrio?

A PCR (taxa de comprometimento prevista) indica a eficácia potencial quando a carga é usada em uma simulação. O PCR usa dados históricos inteligentes no Microsoft 365 para prever o percentual de pessoas que serão comprometidas pela carga. Por exemplo:

• Conteúdo de carga.
• Taxas de compromisso agregadas e anonimizadas de outras simulações.
• Metadados de carga.

O PCR permite que você compare as taxas previstas versus reais de clique nas suas simulações de phishing. Você também pode usar esses dados para ver como sua organização se sai em comparação com os resultados previstos.

As informações de PCR para uma carga estão disponíveis onde quer que você exiba e selecione cargas, e nos seguintes relatórios e insights:

• Impacto de comportamento no cartão de taxa de comprometimento
• Guia de eficácia de treinamento para o relatório de simulação de ataque

Dica

O Simulador de Ataque usa links seguros em Defender para Office 365 para acompanhar com segurança os dados de clique da URL na mensagem de carga enviada aos destinatários de destino de uma campanha de phishing, mesmo que o usuário de Rastreamento clique em definir as políticas de Links Seguros.

Treinamento sem truques

Simulações de phishing tradicionais apresentam aos usuários mensagens suspeitas e as seguintes metas:

• Faça com que os usuários denunciem a mensagem como suspeita.
• Forneça treinamento depois que os usuários clicarem ou iniciarem a carga mal-intencionada simulada e desistirem de suas credenciais.

Mas, às vezes, você não quer esperar que os usuários tomem ações corretas ou incorretas antes de dar treinamento a eles. Treinamento de simulação de ataque fornece os seguintes recursos para ignorar a espera e ir direto para o treinamento:

• Campanhas de treinamento: uma campanha de treinamento é uma atribuição somente de treinamento para os usuários-alvo. Você pode atribuir diretamente o treinamento sem colocar os usuários no teste de uma simulação. As campanhas de treinamento facilitam a realização de sessões de aprendizado, como treinamento mensal de conscientização sobre segurança cibernética. Para obter mais informações, consulte Campanhas de treinamento no Treinamento de simulação de ataque.

• Guias de instruções em simulações: simulações baseadas na técnica de engenharia social How-to Guide não tentam testar usuários. Um guia de instruções é uma experiência de aprendizado leve que os usuários podem exibir diretamente em sua caixa de entrada. Por exemplo, os seguintes conteúdos internos do Guia de Instruções estão disponíveis e você pode criar seus próprios ( incluindo copiar e personalizar uma carga existente):

  • Guia de ensino: como relatar mensagens de phishing
  • Guia de Ensino: como reconhecer e relatar mensagens de phishing de QR