Поделиться через


Начало использования обучения симуляции атаки

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях с Microsoft Defender для Office 365 плана 2 (лицензии на надстройки или подписки, такие как Microsoft 365 E5), вы можете использовать Обучение эмуляции атак в Microsoft Defender портал для выполнения реалистичных сценариев атак в вашей организации. Эти имитированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака повлияет на вашу прибыль.

В этой статье рассматриваются основы Обучение эмуляции атак.

Просмотрите это короткое видео, чтобы узнать больше о Обучение эмуляции атак.

Примечание.

Обучение эмуляции атак заменяет старый интерфейс симулятора атак версии 1, доступный в Центре соответствия требованиям безопасности & всимуляторе атакуправления угрозами> или https://protection.office.com/attacksimulator.

Что нужно знать перед началом работы

  • Обучение эмуляции атак требуется лицензия Microsoft 365 E5 или Microsoft Defender для Office 365 плана 2. Дополнительные сведения о требованиях к лицензированию см. в разделе Условия лицензирования.

  • Обучение эмуляции атак поддерживает локальные почтовые ящики, но с ограниченными функциями создания отчетов. Дополнительные сведения см. в статье Создание отчетов о проблемах с локальными почтовыми ящиками.

  • Чтобы открыть портал Microsoft Defender, перейдите на страницу https://security.microsoft.com. Обучение эмуляции атак доступны на странице Email и совместной работы>Обучение эмуляции атак. Чтобы перейти непосредственно к Обучение эмуляции атак, используйте .https://security.microsoft.com/attacksimulator

  • Дополнительные сведения о доступности Обучение эмуляции атак в разных подписках Microsoft 365 см. в разделе описание службы Microsoft Defender для Office 365.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Entra разрешения: вам нужно членство в одной из следующих ролей:

      • Глобальный администратор¹
      • Администратор безопасности
      • Администраторы имитации атак 2: создание и управление всеми аспектами кампаний моделирования атак.
      • Автор полезных данных для атаки. Создание полезных данных атаки, которые администратор может инициировать позже.

      Важно!

      ¹ Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

      2 Добавление пользователей в эту группу ролей в Email & разрешения на совместную работу на портале Microsoft Defender в настоящее время не поддерживаются.

      В настоящее время Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) не поддерживается.

  • Для Обучение эмуляции атак нет соответствующих командлетов PowerShell.

  • Данные, связанные с имитацией атак и обучением, хранятся вместе с другими данными клиентов для служб Microsoft 365. Дополнительные сведения см. в разделе Расположения данных Microsoft 365. Обучение эмуляции атак доступны в следующих регионах: APC, EUR и NAM. Страны в этих регионах, где доступно Обучение эмуляции атак, включают ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE, TWN и ZAF.

    Примечание.

    NOR, ZAF, ARE и DEU являются последними дополнениями. В этих регионах доступны все функции, кроме телеметрии сообщаемой электронной почты. Мы работаем над включением этих функций и будем уведомлять клиентов, как только станет доступной телеметрия электронной почты.

  • Обучение эмуляции атак доступна в средах Microsoft 365 GCC GCC, GCC High и DoD, но некоторые расширенные функции недоступны в GCC High и DoD (например, автоматизация полезных данных, рекомендуемые полезные данные, прогнозируемая скомпрометированная скорость). Если в вашей организации используется Microsoft 365 G5, Office 365 G5 или Microsoft Defender для Office 365 (план 2) для государственных организаций, можно использовать Обучение эмуляции атак, как описано в этой статье.

Примечание.

Обучение эмуляции атак предоставляет клиентам E3 подмножество возможностей в качестве пробной версии. Пробное предложение содержит возможность использовать полезные данные Credential Harvest и возможность выбрать опыт обучения "Фишинг ISA" или "Массовый фишинг на рынке". Никакие другие возможности не являются частью пробного предложения E3.

Моделирования

Имитация в Обучение эмуляции атак — это общая кампания, которая предоставляет пользователям реалистичные, но безвредные фишинговые сообщения. Основные элементы моделирования:

  • Кто получает имитированное фишинговое сообщение и по какому расписанию.
  • Обучение, которое пользователи получают на основе их действия или отсутствия действий (как для правильных, так и для неправильных действий) в имитации фишингового сообщения.
  • Полезные данные, используемые в имитации фишингового сообщения (ссылка или вложение), а также состав фишингового сообщения (например, доставленный пакет, проблема с вашей учетной записью или вы выиграли приз).
  • Используемый метод социальной инженерии . Полезные нагрузки и метод социальной инженерии тесно связаны.

В Обучение эмуляции атак доступно несколько типов методов социальной инженерии. За исключением практического руководства, эти методы были курированы на основе платформы MITRE ATT&CK®. Для разных методов доступны различные полезные данные.

Доступны следующие методы социальной инженерии:

  • Сбор учетных данных. Злоумышленник отправляет получателю сообщение, содержащее ссылку*. Когда получатель щелкает ссылку, он перейдет на веб-сайт, где обычно отображается диалоговое окно с запросом у пользователя имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.

  • Вложение вредоносных программ. Злоумышленник отправляет получателю сообщение, содержащее вложение. Когда получатель открывает вложение, на устройстве пользователя выполняется произвольный код (например, макрос), чтобы помочь злоумышленнику установить дополнительный код или дополнительно закрепиться.

  • Ссылка во вложении. Этот метод является гибридом сбора учетных данных. Злоумышленник отправляет получателю сообщение, содержащее ссылку внутри вложения. Когда получатель открывает вложение и щелкает ссылку, он перейдет на веб-сайт, где обычно отображается диалоговое окно с запросом имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.

  • Ссылка на вредоносную программу*. Злоумышленник отправляет получателю сообщение, содержащее ссылку на вложение на известном сайте общего доступа к файлам (например, SharePoint Online или Dropbox). Когда получатель щелкает ссылку, открывается вложение и на устройстве пользователя запускается произвольный код (например, макрос), чтобы помочь злоумышленнику установить дополнительный код или дополнительно закрепиться.

  • Диск по URL-адресу*: злоумышленник отправляет получателю сообщение, содержащее ссылку. Когда получатель щелкает ссылку, он переходит на веб-сайт, который пытается запустить фоновый код. Этот код пытается собрать сведения о получателе или развернуть произвольный код на устройстве получателя. Как правило, целевой веб-сайт является хорошо известным веб-сайтом, который был скомпрометирован или клоном известного веб-сайта. Знакомство с веб-сайтом помогает убедить пользователя в том, что ссылка безопасна для щелчка. Этот метод также известен как атака на отверстие для полива.

  • Предоставление *согласия OAuth. Злоумышленник создает вредоносный приложение Azure, который пытается получить доступ к данным. Приложение отправляет запрос по электронной почте, содержащий ссылку. Когда получатель щелкает ссылку, механизм предоставления согласия приложения запрашивает доступ к данным (например, к папке "Входящие" пользователя).

  • Практическое руководство. Учебное руководство, содержащее инструкции для пользователей (например, как сообщать о фишинговых сообщениях).

* Ссылка может быть URL-адресом или QR-кодом.

URL-адреса, используемые Обучение эмуляции атак, перечислены в следующей таблице:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Примечание.

Проверьте доступность имитированного URL-адреса фишинга в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Дополнительные сведения см. в разделе URL-адреса имитации фишинга, заблокированные Google Safe Browsing.

Создание симуляции

Инструкции по созданию и запуску симуляции см. в статье Имитация фишинговой атаки.

Целевая страница в моделировании — это место, куда пользователи переходят при открытии полезных данных. При создании имитации вы выбираете целевую страницу для использования. Вы можете выбрать один из встроенных целевых страниц, пользовательские целевые страницы, которые вы уже создали, или создать новую целевую страницу для использования во время создания моделирования. Сведения о создании целевых страниц см. в разделе Целевые страницы в Обучение эмуляции атак.

Уведомления конечных пользователей в имитации отправляют пользователям периодические напоминания (например, уведомления о назначениях обучения и напоминаниях). Вы можете выбрать один из встроенных уведомлений, пользовательские уведомления, которые вы уже создали, или вы можете создать новые уведомления для использования во время создания моделирования. Сведения о создании уведомлений см. в статье Уведомления конечных пользователей для Обучение эмуляции атак.

Совет

Автоматизация моделирования обеспечивает следующие улучшения по сравнению с традиционными симуляциями:

  • Автоматизация моделирования может включать несколько методов социальной инженерии и связанных полезных данных (имитации содержат только один).
  • Автоматизация моделирования поддерживает параметры автоматического планирования (больше, чем просто дата начала и окончания в симуляции).

Дополнительные сведения см. в разделе Автоматизация моделирования для Обучение эмуляции атак.

Полезная нагрузка

Хотя Обучение эмуляции атак содержит множество встроенных полезных данных для доступных методов социальной инженерии, вы можете создавать пользовательские полезные данные в соответствии с потребностями бизнеса, включая копирование и настройку существующих полезных данных. Полезные данные можно создавать в любое время перед созданием имитации или во время создания имитации. Сведения о создании полезных данных см. в статье Создание пользовательских полезных данных для Обучение эмуляции атак.

В симуляциях, использующих методы социальной инженерии credential Harvest или Link in Attachment , страницы входа являются частью выбранной полезной нагрузки. Страница входа — это веб-страница, на которой пользователи вводят свои учетные данные. Для каждой применимой полезной нагрузки используется страница входа по умолчанию, но вы можете изменить используемую страницу входа. Вы можете выбрать один из встроенных страниц входа, пользовательские страницы входа, которые вы уже создали, или создать новую страницу входа для использования во время создания имитации или полезных данных. Сведения о создании страниц входа см. в разделе Страницы входа в Обучение эмуляции атак.

Лучший способ обучения имитации фишинговых сообщений заключается в том, чтобы сделать их как можно ближе к реальным фишинговым атакам, которые могут возникнуть в вашей организации. Что делать, если вы сможете захватить и использовать безвредные версии реальных фишинговых сообщений, обнаруженных в Microsoft 365, и использовать их в имитации фишинговых кампаний? Вы можете использовать автоматизацию полезных данных (также известную как сбор полезных данных). Сведения о создании автоматизации полезных данных см. в статье Автоматизация полезных данных для Обучение эмуляции атак.

Обучение эмуляции атак также поддерживает использование QR-кодов в полезных данных. Вы можете выбрать из списка встроенных полезных данных QR-кода или создать пользовательские полезные данные QR-кода. Дополнительные сведения см. в разделе Полезные данные QR-кода в Обучение эмуляции атак.

Отчеты и аналитические сведения

После создания и запуска имитации необходимо увидеть, как она будет выполняться. Например:

  • Все получили его?
  • Кто что сделал с имитацией фишингового сообщения и полезными данными в нем (удаление, отчет, открытие полезных данных, ввод учетных данных и т. д.).
  • Кто завершил назначенное обучение.

Доступные отчеты и аналитические сведения для Обучение эмуляции атак описаны в разделе Аналитика и отчеты для Обучение эмуляции атак.

Прогнозируемая скорость компрометации

Часто требуется адаптировать имитацию фишинговой кампании для конкретных аудиторий. Если фишинговое сообщение слишком близко к идеальному, почти все будут обмануть его. Если это слишком подозрительно, никто не будет обманут его. Кроме того, фишинговые сообщения, которые некоторые пользователи считают трудным для идентификации, считаются простыми для идентификации другими пользователями. Так как же вы научились балансировать?

Прогнозируемая скорость компрометации (ПЦР) указывает на потенциальную эффективность при использовании полезных данных в имитации. PCR использует интеллектуальные исторические данные в Microsoft 365 для прогнозирования процента людей, которые будут скомпрометированы полезными данными. Например:

  • Полезные данные.
  • Агрегированные и анонимные показатели компрометации из других симуляций.
  • Метаданные полезных данных.

PCR позволяет сравнить прогнозируемые и фактические показатели кликов для симуляции фишинга. Вы также можете использовать эти данные, чтобы увидеть, как ваша организация работает по сравнению с прогнозируемыми результатами.

Сведения pcR для полезных данных доступны везде, где вы просматриваете и выбираете полезные данные, а также в следующих отчетах и аналитических сведениях:

Совет

Симулятор атак использует безопасные ссылки в Defender для Office 365 для безопасного отслеживания данных о щелчках по URL-адресу в сообщении полезных данных, которое отправляется целевым получателям фишинговой кампании, даже если параметр Отслеживать щелчки пользователей в политиках безопасных ссылок отключен.

Обучение без уловок

Традиционные имитации фишинга представляют пользователям подозрительные сообщения и следующие цели:

  • Заставить пользователей сообщать о сообщении как подозрительном.
  • Проводите обучение после того, как пользователи нажмет или запустят имитацию вредоносных полезных данных и отдадут свои учетные данные.

Но иногда вам не нужно ждать, пока пользователи не предпримят правильные или неправильные действия, прежде чем давать им обучение. Обучение эмуляции атак предоставляет следующие функции, чтобы пропустить ожидание и перейти непосредственно к обучению:

  • Кампании по обучению. Кампания обучения — это только обучающее задание для целевых пользователей. Вы можете напрямую назначить обучение, не подвергая пользователей проверке имитации. Учебные кампании упрощают проведение учебных занятий, таких как ежемесячный тренинг по повышению осведомленности о кибербезопасности. Дополнительные сведения см. в разделе Учебные кампании в Обучение эмуляции атак.

    Совет

    Обучающие модули используются в кампаниях по обучению, но вы также можете использовать модули обучения при назначении обучения в регулярных симуляциях.

  • Практические руководства по симуляции. Симуляции, основанные на практическом руководстве по социальной инженерии, не пытаются тестировать пользователей. Практическое руководство — это упрощенный интерфейс обучения, который пользователи могут просматривать непосредственно в папке "Входящие". Например, доступны следующие встроенные полезные данные руководства, и вы можете создать собственные (включая копирование и настройку существующих полезных данных):

    • Руководство по обучению. Как сообщить о фишинговых сообщениях
    • Руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR-кода

Совет

Обучение эмуляции атак предоставляет следующие встроенные варианты обучения атак на основе QR-кода:

  • Учебные модули:
    • Вредоносные цифровые QR-коды
    • Вредоносные печатные QR-коды
  • Практические руководства по симуляции: руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR