Эмуляция фишинговой атаки в обучении симуляции атаки

  • Статья

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Применимо кMicrosoft Defender для Office 365 план 2

В Обучение эмуляции атак в Microsoft 365 E5 или Microsoft Defender для Office 365 плане 2 симуляция — это неопасные кибератаки, выполняемые в организации. Эти симуляции проверяют политики и методики безопасности, а также обучают сотрудников повышению их осведомленности и снижению их восприимчивости к атакам. В этой статье описывается создание имитации фишинговой атаки с помощью Обучение эмуляции атак.

Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Чтобы запустить имитацию фишинговой атаки, сделайте следующее:

  1. На портале Microsoft 365 Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обучение эмуляции атак>Симуляция. Или, чтобы перейти непосредственно на вкладку Имитации, используйте https://security.microsoft.com/attacksimulator?viewid=simulations.

  2. На вкладке Имитации выберите Запустить симуляцию , чтобы запустить мастер моделирования.

    Кнопка Запуск имитации на вкладке Имитация в Обучение эмуляции атак на портале Microsoft 365 Defender

    В следующих разделах описаны шаги и параметры конфигурации для создания имитации.

    Примечание.

    В любой момент после того, как вы назовете симуляцию во время создания мастера моделирования, вы можете нажать кнопку Сохранить и закрыть , чтобы сохранить ход выполнения и продолжить позже. Неполное моделирование имеет значение СостояниеЧерновик. Вы можете выбрать место, где вы встали, выбрав имитацию и щелкнув появившееся действие Изменить имитацию.

Выбор метода социальной инженерии

На странице Выбор метода выберите доступный метод социальной инженерии, который был курирован на платформе MITRE ATT&CK®. Для разных методов доступны различные полезные данные. Доступны следующие методы социальной инженерии:

  • Сбор учетных данных. Попытки сбора учетных данных путем отправки пользователей на хорошо известный веб-сайт с полями ввода для отправки имени пользователя и пароля.
  • Вложение вредоносных программ. Добавляет вредоносное вложение в сообщение. Когда пользователь открывает вложение, выполняется произвольный код, который помогает злоумышленнику скомпрометировать устройство целевого объекта.
  • Ссылка во вложении. Тип гибридного сбора учетных данных. Злоумышленник вставляет URL-адрес во вложение электронной почты. URL-адрес во вложении использует тот же метод, что и сбор учетных данных.
  • Ссылка на вредоносную программу. Выполняет произвольный код из файла, размещенного в известной службе общего доступа к файлам. Сообщение, отправленное пользователю, содержит ссылку на этот вредоносный файл. Открытие файла помогает злоумышленнику взломать устройство целевого объекта.
  • URL-адрес диска. Вредоносный URL-адрес в сообщении переносит пользователя на знакомый веб-сайт, который автоматически запускается и (или) устанавливает код на устройстве пользователя.
  • Предоставление согласия OAuth. Вредоносный URL-адрес запрашивает у пользователей разрешения на доступ к данным для вредоносного приложение Azure.

Если щелкнуть ссылку Просмотреть сведения в описании, откроется всплывающее окно со сведениями о методе и шагах моделирования, полученных в результате этого метода.

Всплывающее окно Сведения для метода сбора учетных данных на странице Выбор метода

Завершив работу на странице Выбор метода , нажмите кнопку Далее.

Назовите и опишите имитацию

На странице Имитация имен настройте следующие параметры:

  • Имя. Введите уникальное описательное имя для имитации.
  • Описание. Введите необязательное подробное описание имитации.

Завершив работу на странице Имитация имен , нажмите кнопку Далее.

Выбор страницы полезных данных и входа

На странице Выбор полезных данных и входа необходимо выбрать существующие полезные данные или создать новые полезные данные.

Для методов социальной инженерии Credential Harvest или Link in Attachment можно также просмотреть страницу входа, которая используется в полезных данных, выбрать другую страницу входа или создать новую страницу входа для использования.

Выбор полезных данных

Для каждой полезных данных отображаются следующие сведения:

  • Имя полезных данных
  • Источник: для встроенных полезных данных значение Global. Для пользовательских полезных данных значением является Tenant.
  • Язык: язык содержимого полезных данных. Каталог полезных данных Майкрософт (глобальный) предоставляет полезные данные на более чем 29 языках, как описано в разделе Фильтр.
  • Частота щелчков: количество пользователей, щелкнувших эту полезную нагрузку.
  • Прогнозируемая скорость компрометации. Исторические данные в Microsoft 365, которые прогнозируют процент пользователей, которые будут скомпрометированы этой полезной нагрузкой (скомпрометированные пользователи или общее число пользователей, получающих полезные данные). Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.
  • Запущенное моделирование подсчитывает количество раз, когда эта полезная нагрузка использовалась в других симуляциях.

Чтобы найти полезные данные в списке, введите часть имени полезных данных в поле Поиск и нажмите клавишу ВВОД.

Если выбрать параметр , доступны следующие фильтры:

  • Источник. Доступные значения: Global, Tenant и All.

  • Сложность: вычисляется на основе количества индикаторов в полезных данных, указывающих на возможную атаку (орфографические ошибки, срочность и т. д.). Больше индикаторов проще определить как атаку и указать на более низкую сложность. Доступные значения: Высокий, Средний и Низкий.

  • Язык: доступные значения: английский, испанский, немецкий, японский, французский, португальский, голландский, итальянский, шведский, китайский (упрощенное письмо),норвежский букмол, польский, русский, финский, корейский, турецкий, венгерский, иврит, тайский, арабский, вьетнамский, словацкий , греческий, индонезийский, румынский, словенский, хорватский, каталанский или другой.

  • Добавление тегов

  • Фильтрация по теме. Доступные значения: активация учетной записи, проверка учетной записи, выставление счетов, очистка почты, полученная почта, счет, факс, финансовый отчет, входящие сообщения, счет, полученные элементы, оповещение о входе, сообщение получено, пароль, оплата, заработная плата, персонализированное предложение, карантин, Удаленная работа, Проверка сообщения, Обновление системы безопасности, Служба приостановлена, Требуется подпись, Обновление хранилища почтовых ящиков Проверка почтового ящика, Голосовая почта и другие.

  • Фильтр по торговой марке. Доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud и другие.

  • Фильтрация по отраслям. Доступные значения: банковские услуги, бизнес-услуги, потребительские услуги, образование, энергетика, строительство, консалтинг, финансовые услуги, правительство, гостеприимство, страхование, юридические, курьерские услуги, ИТ, здравоохранение, производство, розничная торговля, телекоммуникации, недвижимость, и прочее.

  • Текущее событие: доступные значения: Да или Нет.

  • Спорные. Доступные значения: Да или Нет.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать полезные данные, выбрав поле проверка рядом с именем, над списком полезных данных появится кнопка Отправить тест. Эту кнопку можно использовать для отправки копии сообщения электронной почты с полезными данными себе (вошедшего в систему пользователя) для проверки.

Если полезные данные недоступны или вы хотите создать собственные полезные данные, выберите Создать полезные данные. Действия по созданию выполняются так же, как на вкладке Обучение эмуляции атак>Выборполезных>>данных клиента. Дополнительные сведения см. в статье Создание пользовательских полезных данных для Обучение эмуляции атак.

Страница Выбор полезных данных в Обучение эмуляции атак на портале Microsoft 365 Defender

Если выбрать полезные данные, щелкнув в любом месте строки, кроме поля проверка рядом с именем, сведения о полезных данных отображаются во всплывающем элементе:

  • Вкладка Обзор (с именами "Полезные данные" в службе "Сбор учетных данных" и "Ссылка в полезных данных вложения") содержит сведения о полезных данных, включая предварительный просмотр.
  • Вкладка Страница входа доступна только для полезных данных Credential Harvest или Link in Attachment (Полезные данные вложения) и описана в подразделе Выбор страницы входа .
  • Вкладка Вложение доступна только для полезных данных "Вложение вредоносных программ", "Ссылка во вложении" и "Предоставление согласия Oauth". Эта вкладка содержит сведения о вложении, включая предварительный просмотр.
  • Вкладка Имитация запущена содержит имя имитации, частоту щелчков, скомпрометированную частоту и действие.

Вкладка Полезные данные во всплывающем меню сведений о полезных данных в Обучение эмуляции атак на портале Microsoft 365 Defender

Если в имитации не используется сбор учетных данных или ссылка во вложении полезных данных или если вы не хотите просматривать или изменять используемую страницу входа, нажмите кнопку Далее на странице Выбор полезных данных и входа , чтобы продолжить.

Чтобы выбрать страницу входа, которая используется в разделе Сбор учетных данных или Ссылка в полезных данных вложения , перейдите в подраздел Выбор страницы входа .

Выбор страницы входа

Примечание.

Вкладка "Страница входа " доступна только во всплывающем всплывающем элементе "Сбор учетных данных " или "Ссылка в полезных данных вложения".

На странице Выбор полезных данных и входа выберите полезные данные, щелкнув в любом месте строки, кроме поля проверка, чтобы открыть всплывающее окно сведений о полезных данных.

Во всплывающем элементе сведений о полезных данных на вкладке Страница входа отображается страница входа, выбранная для полезных данных.

Чтобы просмотреть полную страницу входа, используйте ссылки Страницы 1 и Страница 2 в нижней части страницы для двухстраничных страниц входа.

Вкладка страницы входа во всплывающем меню сведений о полезных данных в Обучение эмуляции атак на портале Microsoft 365 Defender

Чтобы изменить страницу входа, используемую в полезных данных, выберите Изменить страницу входа.

Во всплывающем окне Выбор входа для каждой страницы входа отображаются следующие сведения:

  • Название
  • Language
  • Источник: для встроенных страниц входа значение Global. Для пользовательских страниц входа значение — Tenant.
  • Создано: для встроенных страниц входа используется значение Майкрософт. Для пользовательских страниц входа значением является имя участника-пользователя, создавшего страницу входа.
  • Дата последнего изменения
  • Действия. Выберите Предварительный просмотр , чтобы просмотреть страницу входа.

Чтобы найти страницу входа в списке, введите часть имени страницы входа в поле Поиск и нажмите клавишу ВВОД.

Выберите Фильтр , чтобы отфильтровать страницы входа по источнику или языку.

Всплывающее окно

Чтобы создать новую страницу входа, выберите Создать. Действия по созданию выполняются так же, как и на вкладке Обучение эмуляции атак>Выбор библиотекиКонтентов>Страницы>входа в клиент. Инструкции см. в разделе Создание страниц входа.

На странице Выбор входа убедитесь, что выбрана новая страница входа, а затем нажмите кнопку Сохранить.

Вернитесь во всплывающее окно сведений о полезных данных и нажмите кнопку Закрыть.

Завершив работу на странице Выбор полезных данных и входа , нажмите кнопку Далее.

Настройка полезных данных OAuth

Примечание.

Эта страница доступна только в том случае, если вы выбрали предоставление согласия OAuth на странице Выбор метода и соответствующие полезные данные.

На странице Настройка полезных данных OAuth настройте следующие параметры:

  • Имя приложения. Введите имя полезных данных.

  • Логотип приложения: нажмите кнопку Обзор , чтобы выбрать файл .png, JPEG или .gif. Чтобы удалить файл после его выбора, нажмите кнопку Удалить.

  • Выберите область приложения. Выберите одно из следующих значений:

    • Чтение пользовательских календарей
    • Чтение контактов пользователя
    • Чтение почты пользователя
    • Чтение всех сообщений чата
    • Чтение всех файлов, доступных пользователю
    • Доступ для чтения и записи к почте пользователя
    • Отправка почты от имени пользователя

По завершении работы на странице Настройка полезных данных OAuth нажмите кнопку Далее.

Целевая аудитория

На странице Целевые пользователи выберите, кто получает имитацию. Используйте следующие параметры для выбора пользователей:

  • Включить всех пользователей в организации. Список пользователей, неизменяемых, отображается в группах по 10 человек. Для прокрутки списка можно использовать кнопки Далее и Назад непосредственно под списком пользователей. Вы также можете использовать значок Поиск на странице для поиска определенных пользователей.

    Совет

    Хотя вы не можете удалить пользователей из списка на этой странице, вы можете использовать следующую страницу Исключить пользователей , чтобы исключить определенных пользователей.

  • Включение только определенных пользователей и групп. Сначала на странице Целевые пользователи не отображаются никакие пользователи или группы. Чтобы добавить пользователей или группы в имитацию, выберите один из следующих вариантов:

    • Добавление пользователей. Во всплывающем окне Добавление пользователей найдите и выберите пользователей и группы для получения имитации. Динамические группы рассылки не поддерживаются. Доступны следующие средства поиска:

      • Поиск пользователей или групп. Если щелкнуть в поле Поиск и выполнить одно из следующих действий, параметры Фильтровать пользователей по категориям во всплывающем окне Добавление пользователей будут заменены на раздел Список пользователей.

        • Введите три или более символов, а затем нажмите клавишу ВВОД. Имена пользователей или групп, содержащие эти символы, отображаются в разделе Список пользователей по имени и Email.
        • Введите менее трех символов или без символов, а затем нажмите клавишу ВВОД. Пользователи не отображаются в разделе Список пользователей , но вы можете ввести три или более символов в поле Поиска для поиска пользователей и групп.

        Количество результатов отображается в метке Выбранные пользователи (0/x).

        Примечание.

        Нажатие кнопки Добавить фильтры очищает и заменяет все результаты в разделе Список пользователейфильтровать пользователей по категориям.

        При наличии списка пользователей или групп в разделе Список пользователей выберите некоторые или все результаты, выбрав круглое поле проверка рядом со столбцом Имя. Количество выбранных результатов отображается в метке Выбранные (y/x) пользователи .

        Нажмите кнопку Добавить x пользователей , чтобы добавить выбранных пользователей или группы на страницу Целевые пользователи и вернуться на страницу Целевые пользователи .

      • Фильтрация пользователей по категориям. Используйте следующие параметры:

        • Рекомендуемые группы пользователей. Выберите из следующих значений:

        • Теги пользователей. Теги пользователей — это идентификаторы для определенных групп пользователей (например, учетных записей с приоритетом). Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365. Используйте следующие параметры:

          • Поиск. В поле Поиск по тегам пользователей можно ввести часть тега пользователя и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите Все теги пользователей
          • Выберите существующие теги пользователей. Если ссылка доступна, выберите Просмотреть все теги пользователей , чтобы просмотреть полный список доступных тегов.

        • Город: используйте следующие параметры:

          • Поиск. В поле Поиск по городу можно ввести часть значения City и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите все города
          • Выберите существующие значения City. Если ссылка доступна, выберите Просмотреть все города , чтобы просмотреть полный список доступных значений Города.

        • Страна: используйте следующие параметры:

          • Поиск. В поле Поиск по стране можно ввести часть значения Страна, а затем нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите все страны
          • Выберите существующие значения City. Если ссылка доступна, выберите Просмотреть все страны , чтобы просмотреть полный список доступных значений страны.

        • Отдел. Используйте следующие параметры:

          • Поиск. В разделе Поиск по отделу можно ввести часть значения Department и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите Все отделы
          • Выберите существующие значения Отдела. Если ссылка доступна, выберите Просмотреть все отделы , чтобы просмотреть полный список доступных значений отделов.

        • Заголовок: используйте следующие параметры:

          • Поиск. В поле Поиск по заголовку можно ввести часть значения Title и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите все заголовок
          • Выберите существующие значения заголовка. Если ссылка доступна, выберите Просмотреть все заголовки , чтобы просмотреть полный список доступных значений заголовков.

        Фильтрация пользователей на странице Целевые пользователи в Обучение эмуляции атак на портале Microsoft 365 Defender

        Для поиска пользователей и групп можно использовать некоторые или все категории поиска. При выборе нескольких категорий используется оператор AND. Все пользователи или группы должны соответствовать обоим значениям, возвращаемым в результатах (что практически невозможно при использовании значения All в нескольких категориях).

        Рядом с плиткой категории отображается количество значений, которые использовались в качестве условий поиска для определенной категории (например, "Город 50 " или "Приоритетные учетные записи 10").

        Завершив поиск по категориям, нажмите кнопку Применить(x). Предыдущие параметры Фильтровать пользователей по категориям во всплывающем окне Добавление пользователей заменяются следующими сведениями:

        • Раздел "Фильтры": отображение количества использованных значений фильтра и имен значений фильтра. Если он доступен, выберите ссылку Просмотреть все , чтобы просмотреть все значения фильтра.
        • Раздел списка пользователей : отображает пользователей или группы, которые соответствуют поисковым запросам по категориям. Количество результатов отображается в метке Выбранные пользователи (0/x).

        При наличии списка пользователей или групп в разделе Список пользователей выберите некоторые или все результаты, выбрав круглое поле проверка рядом со столбцом Имя. Количество выбранных результатов отображается в метке Выбранные (y/x) пользователи .

        Нажмите кнопку Добавить x пользователей , чтобы добавить выбранных пользователей или группы на страницу Целевые пользователи и вернуться на страницу Целевые пользователи .

    • Импорт. В открывшемся диалоговом окне укажите CSV-файл, содержащий один адрес электронной почты на строку.

      После того как вы найдете CSV-файл, пользователи импортируются и отображаются на странице Целевые пользователи .

    На странице main Целевые пользователи можно найти выбранных пользователей в поле Поиск. Вы также можете выбрать Удалить , а затем Подтвердить в диалоговом окне подтверждения, чтобы удалить определенных пользователей.

    Чтобы добавить больше пользователей и групп, выберите Добавить пользователей или Импорт на странице Целевые пользователи и повторите предыдущие шаги.

По завершении на странице Целевые пользователи нажмите кнопку Далее.

Исключить пользователей

На странице Исключить пользователей можно выбрать Исключить некоторых целевых пользователей из этого моделирования , чтобы исключить пользователей, которые в противном случае были бы включены на основе предыдущих выбранных пользователей на странице Целевые пользователи .

Методы поиска и выбора пользователей те же, что описаны в предыдущем разделе в разделе Включение только определенных пользователей и групп.

Завершив работу на странице Исключить пользователей , нажмите кнопку Далее.

Назначение обучения

На странице Назначение обучения можно назначить учебные курсы для имитации. Рекомендуется назначать обучение для каждой имитации, так как сотрудники, проходящие обучение, менее подвержены подобным атакам.

Используйте следующие параметры на странице, чтобы назначить учебные курсы в рамках моделирования:

  • Выберите предпочтительный контент для обучения. Выберите один из следующих параметров в раскрывающемся списке:

    • Учебный опыт Майкрософт (рекомендуется): это значение по умолчанию, которое имеет следующие связанные параметры для настройки на странице:

      • Выберите один из приведенных ниже вариантов.
        • Назначение обучения для меня (рекомендуется): это значение по умолчанию. Мы назначаем обучение на основе предыдущего моделирования и результатов обучения пользователя.
        • Выберите учебные курсы и модули самостоятельно. Если вы выберете это значение, следующим шагом мастера будет задание обучения , где можно найти и выбрать учебные курсы. Эти шаги описаны в подразделе Назначение обучения .
      • Дата выполнения. Выберите одно из следующих значений:
        • Через 30 дней после завершения моделирования. Это значение по умолчанию.
        • Через 15 дней после завершения моделирования
        • 7 дней после завершения моделирования

    • Перенаправление на пользовательский URL-адрес. Это значение имеет следующие связанные параметры для настройки на странице:

      • URL-адрес пользовательского обучения (обязательно)
      • Пользовательское имя обучения (обязательно)
      • Описание пользовательского обучения
      • Пользовательская длительность обучения (в минутах): значение по умолчанию равно 0, что означает, что для обучения не указана длительность.
      • Дата выполнения. Выберите одно из следующих значений:
        • Через 30 дней после завершения моделирования. Это значение по умолчанию.
        • Через 15 дней после завершения моделирования
        • 7 дней после завершения моделирования

    • Без обучения. Если выбрать это значение, единственным вариантом на странице будет кнопка Далее .

Завершив работу на странице Назначение обучения , нажмите кнопку Далее.

Задание на обучение

Примечание.

Эта страница доступна, только если вы выбрали Выбрать учебные курсы и модули самостоятельно на странице Назначить обучение .

На странице Назначение обучения выберите учебные курсы, которые нужно добавить в симуляцию, щелкнув Добавить учебные курсы.

Во всплывающем окне Добавление обучения используйте следующие вкладки, чтобы выбрать учебные курсы для включения в симуляцию:

  • Вкладка "Рекомендуемые". Отображает рекомендуемые встроенные учебные курсы на основе конфигурации моделирования. Это те же учебные курсы, которые были бы назначены, если бы вы выбрали назначить обучение для меня (рекомендуется) на предыдущей странице.
  • Вкладка Все учебные курсы. Отображает все доступные встроенные учебные курсы.

Возможность добавления рекомендуемого обучения на странице Назначения обучения в Обучение эмуляции атак на портале Microsoft 365 Defender

На любой вкладке для каждого обучения отображаются следующие сведения:

  • Имя обучения
  • Источник: значение Global.
  • Длительность (мин)
  • Предварительный просмотр: нажмите кнопку Предварительный просмотр , чтобы просмотреть обучение.

На любой вкладке можно найти учебные материалы с помощью поля Поиска. Введите часть имени обучения и нажмите клавишу ВВОД.

На любой вкладке выберите один или несколько учебных занятий, щелкнув в пустой области рядом со столбцом Имя обучения . Когда вы закончите, нажмите Добавить.

На странице Назначения обучения выбранные учебные курсы теперь перечислены. Для каждого обучения отображаются следующие сведения:

  • Имя обучения
  • Source
  • Длительность (мин)
  • Назначение: для каждого обучения необходимо выбрать, кто проходит обучение, выбрав из следующих значений:
    • Все пользователи.
    • Одно или оба значения полезных данных Clicked или Скомпрометированы.
  • Удалить: выберите Удалить , чтобы удалить обучение из имитации.

Страница назначения обучения в Обучение эмуляции атак на портале Microsoft 365 Defender

Страница назначения обучения в Обучение эмуляции атак на портале Microsoft 365 Defender

Завершив работу на странице Задание обучения , нажмите кнопку Далее.

Выбор целевой страницы

На целевой странице Выбор фишинга вы настраиваете веб-страницу, на которую отправляются пользователи, если они открывают полезные данные в имитации.

Выберите один из приведенных ниже вариантов.

  • Использовать целевые страницы из библиотеки. Доступны следующие параметры:

    • Индикаторы полезных данных. Выберите Добавить индикаторы полезных данных в электронную почту , чтобы помочь пользователям узнать, как выявлять фишинговые сообщения.
      • Этот параметр недоступен, если на странице Выбор метода социальной инженерии выбран параметр Вложение вредоносных программ или Ссылка на вредоносные программы.
      • Для целевых страниц, создаваемых на вкладке Целевые страницы клиента , этот параметр имеет смысл только в том случае, если в содержимом целевой страницы используется динамический тегВставка полезных данных , как описано в подразделе Создание целевой страницы .
    • Отображение промежуточной страницы перед целевой страницей. Этот параметр доступен только в том случае, если на странице Выбор метода социальной инженерии выбран URL-адрес диска. Вы можете отобразить наложение, которое возникает для атак по URL-адресу диска. Чтобы скрыть наложение и перейти непосредственно на целевую страницу, не выбирайте этот параметр.

    Оставшаяся часть целевой страницы Выбор фишинга содержит две вкладки, где вы выбираете целевую страницу для использования:

    • Вкладка Глобальные целевые страницы : содержит встроенные целевые страницы. При выборе встроенной целевой страницы для использования, выбрав поле проверка рядом с именем, появится раздел Изменить макет со следующими параметрами:

      • Добавить логотип. Выберите Обзор изображения логотипа , чтобы найти и выбрать файл .png, JPEG или .gif. Размер логотипа должен быть не более 210 x 70, чтобы избежать искажений. Чтобы удалить логотип, выберите Удалить загруженное изображение логотипа.
      • Выберите язык по умолчанию: этот параметр является обязательным. Выберите одно из следующих значений: китайский (упрощенное письмо),китайский (традиционное письмо),английский, французский, немецкий, итальянский, японский, корейский, португальский, русский, испанский и голландский.

    • Вкладка целевых страниц клиента : содержит все созданные вами пользовательские целевые страницы. Чтобы создать целевую страницу, выберите Создать. Действия по созданию выполняются так же, как на вкладке библиотеки Обучение эмуляции атак>Content Целевые >страницы целевых страниц клиентов>. Инструкции см. в разделе Целевые страницы в Обучение эмуляции атак.

    На обеих вкладках для каждой целевой страницы отображаются следующие сведения:

    • Название
    • Язык. Если целевая страница содержит несколько переводов, первые два языка отображаются напрямую. Чтобы просмотреть остальные языки, наведите указатель мыши на значок числа (например, +10).
    • Язык по умолчанию
    • Состояние
    • Связанное моделирование

    Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию единственными доступными столбцами, которые не выбраны, являются Источник и Создано.

    Чтобы найти целевую страницу в списке, введите часть имени целевой страницы в поле Поиск и нажмите клавишу ВВОД.

    Выберите Фильтр , чтобы отфильтровать целевые страницы по языку.

    При выборе целевой страницы, щелкнув имя, откроется всплывающее окно со сведениями о целевой странице:

    • На вкладке Предварительный просмотр отображается, как выглядит целевая страница для пользователей.
    • На вкладке Сведения отображаются свойства целевой страницы.

    По завершении во всплывающем окне сведений о целевой странице нажмите кнопку Закрыть.

    На странице Выбор целевой страницы фишинга выберите целевую страницу для использования, выбрав поле проверка рядом со столбцом Имя.

  • Использовать пользовательский URL-адрес. Этот параметр недоступен, если на странице Выбор метода выбрано вложение вредоносных программ или Ссылка на вредоносные программы.

    При выборе параметра Использовать настраиваемый URL-адрес необходимо добавить URL-адрес в появившемся поле Введите URL-адрес настраиваемой целевой страницы . Другие параметры не доступны на целевой странице Выбора фишинга .

Завершив работу на целевой странице Выбор фишинга , нажмите кнопку Далее.

Выбор уведомлений конечных пользователей

На странице Выбор уведомления конечного пользователя выберите один из следующих вариантов уведомлений:

  • Не доставляйте уведомления. Другие параметры конфигурации на странице недоступны. Пользователи не будут получать уведомления о назначении обучения, уведомления о напоминаниях об обучении или уведомления о положительном подкреплении из имитации.

  • Уведомление Майкрософт по умолчанию (рекомендуется): уведомления, которые будут получать пользователи, отображаются на странице:

    • Уведомление о положительном подкреплении Майкрософт по умолчанию
    • Уведомление Майкрософт о назначении обучения по умолчанию
    • Уведомление о напоминании об обучении майкрософт по умолчанию

    Выберите язык по умолчанию для использования в разделе Выбор языка по умолчанию. Доступные значения: китайский (упрощенное письмо),китайский (традиционное письмо),английский, французский, немецкий, итальянский, японский, корейский, португальский, румынский, русский, испанский или голландский.

    Для каждого уведомления доступны следующие сведения:

    • Уведомления: имя уведомления.

    • Язык. Если уведомление содержит несколько переводов, первые два языка отображаются напрямую. Чтобы просмотреть остальные языки, наведите указатель мыши на значок числа (например, +10).

    • Тип: одно из следующих значений:

      • Уведомление о положительном подкреплении
      • Уведомление о назначении обучения
      • Уведомление с напоминанием об обучении

    • Параметры доставки. Прежде чем продолжить, необходимо настроить следующие параметры доставки:

      • Для уведомления Майкрософт о положительном подкреплении по умолчанию выберите Не доставлять, Доставить после окончания кампании или Доставить во время кампании.
      • Для уведомления о напоминании об обучении майкрософт по умолчанию выберите Два раза в неделю или Еженедельно.

    • Действия. Если выбрать Вид, откроется страница уведомления о проверке со следующими сведениями:

      • Вкладка "Предварительный просмотр": просмотрите сообщение с уведомлением, когда оно будет отображаться пользователями.
        • Чтобы просмотреть сообщение на разных языках, используйте поле Выбрать язык .
        • Используйте поле Выбор полезных данных для предварительного просмотра , чтобы выбрать сообщение уведомления для имитаций, содержащих несколько полезных данных.
      • Вкладка "Сведения": просмотр сведений об уведомлении:
        • Описание уведомления
        • Источник: для встроенных уведомлений значение Global. Для пользовательских уведомлений значение — Tenant.
        • Тип уведомления: один из следующих типов на основе первоначально выбранного уведомления:
          • Уведомление о положительном подкреплении
          • Уведомление о назначении обучения
          • Уведомление с напоминанием об обучении
        • Изменено
        • Дата последнего изменения

      Завершив работу на странице Уведомления о проверке , нажмите кнопку Закрыть , чтобы вернуться на страницу Выберите уведомление пользователя .

  • Настраиваемые уведомления конечных пользователей. Другие параметры конфигурации не доступны на странице. При нажатии кнопки Далее необходимо выбрать уведомление о назначении обучения, уведомление напоминание об обучении и (при необходимости) уведомление о положительном подкреплении для имитации, как описано в следующих трех подразделах.

Завершив работу на странице Выберите уведомление конечного пользователя , нажмите кнопку Далее.

Выбор уведомления о назначении обучения

Примечание.

Эта страница доступна только в том случае, если вы выбрали Настраиваемые уведомления конечного пользователя на странице Выбор уведомлений конечного пользователя .

На странице Уведомления о назначении обучения отображаются следующие уведомления и настроенные языки:

  • Уведомление Майкрософт о назначении обучения по умолчанию
  • Уведомление о назначении только для обучения кампании майкрософт по умолчанию
  • Все настраиваемые уведомления о назначении обучения, созданные ранее.

Эти уведомления также доступны на вкладке >библиотеки Обучение эмуляции атак>ContentДля конечных пользователей:

Дополнительные сведения см. в разделе Уведомления конечных пользователей для Обучение эмуляции атак.

Выполните одно из следующих действий:

  • Выберите существующее уведомление для использования:

    • Чтобы найти существующее уведомление в списке, введите часть имени уведомления в поле Поиск и нажмите клавишу ВВОД.

    • При выборе уведомления, щелкнув в любом месте строки, кроме поля проверка, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения об уведомлении:

      • На вкладке Предварительный просмотр отображается, как выглядит уведомление для пользователей.
      • На вкладке Сведения отображаются свойства уведомления.

      Завершив работу во всплывающем окне сведений о уведомлениях, нажмите кнопку Закрыть.

    На странице Уведомления о назначении обучения выберите уведомление для использования, выбрав поле проверка рядом с именем.

  • Создайте новое уведомление для использования: выберите Создать. Действия по созданию идентичны созданию уведомлений конечных пользователей.

    Примечание.

    На странице Определение сведений мастера нового уведомления обязательно выберите значение Уведомление о назначении обучения для типа уведомления.

    Когда вы закончите создание уведомления, вы вернеесь на страницу уведомления о назначении обучения , где новое уведомление теперь отображается в списке для выбора.

Завершив работу на странице уведомления о назначении обучения , нажмите кнопку Далее.

Выберите уведомление с напоминанием об обучении

Примечание.

Эта страница доступна только в том случае, если вы выбрали Настраиваемые уведомления конечного пользователя на странице Выбор уведомлений конечного пользователя .

На странице уведомления с напоминанием об обучении отображаются следующие уведомления и настроенные для их языков:

  • Уведомление о напоминании об обучении майкрософт по умолчанию
  • Уведомление о напоминании об обучении только для кампании майкрософт по умолчанию
  • Все ранее созданные уведомления о напоминаниях о пользовательском обучении.

Эти уведомления также доступны на вкладке >библиотеки Обучение эмуляции атак>ContentДля конечных пользователей:

Дополнительные сведения см. в разделе Уведомления конечных пользователей для Обучение эмуляции атак.

В разделе Настройка частоты для уведомлений с напоминанием выберите Еженедельно или Дважды в неделю, а затем выполните одно из следующих действий.

  • Выберите существующее уведомление для использования:

    • Чтобы найти существующее уведомление в списке, введите часть имени уведомления в поле Поиск и нажмите клавишу ВВОД.

    • При выборе уведомления, щелкнув в любом месте строки, кроме поля проверка, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения об уведомлении:

      • На вкладке Предварительный просмотр отображается, как выглядит уведомление для пользователей.
      • На вкладке Сведения отображаются свойства уведомления.

      Завершив работу во всплывающем окне сведений о уведомлениях, нажмите кнопку Закрыть.

    На странице Уведомления о напоминании об обучении выберите уведомление для использования, выбрав поле проверка рядом с именем.

  • Создайте новое уведомление для использования: выберите Создать. Действия по созданию идентичны созданию уведомлений конечных пользователей.

    Примечание.

    На странице Определение сведений нового мастера уведомлений обязательно выберите значение Уведомление обучающего напоминания для типа уведомления.

    Завершив создание уведомления, вы вернеесь на страницу уведомления с напоминанием об обучении , где новое уведомление теперь отображается в списке для выбора.

По завершении работы на странице уведомления о напоминании об обучении нажмите кнопку Далее.

Выбор положительного уведомления о подкреплении

Примечание.

Эта страница доступна только в том случае, если вы выбрали Настраиваемые уведомления конечного пользователя на странице Выбор уведомлений конечного пользователя .

У вас есть следующие варианты положительных уведомлений о подкреплении.

  • Не используйте положительные уведомления о подкреплении. Выберите Не доставлять в разделе Параметры доставки .

    На странице больше ничего не нужно настроить, поэтому при нажатии кнопки Далее вы перейдете на страницу Сведений о запуске.

  • Используйте существующее положительное уведомление о подкреплении. Выберите Доставить после того, как пользователь сообщит о фишинге и окончании кампании или Доставить сразу после того, как пользователь сообщит о фишинге в разделе Параметры доставки .

    На странице отображаются следующие уведомления и настроенные языки:

    • Уведомление о положительном подкреплении Майкрософт по умолчанию
    • Все созданные ранее настраиваемые уведомления о положительном подкреплении.

    Эти уведомления также доступны на вкладке >библиотеки Обучение эмуляции атак>ContentДля конечных пользователей:

    Дополнительные сведения см. в разделе Уведомления конечных пользователей для Обучение эмуляции атак.

    Чтобы найти существующее уведомление в списке, введите часть имени уведомления в поле Поиск и нажмите клавишу ВВОД.

    При выборе уведомления, щелкнув в любом месте строки, кроме поля проверка, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения об уведомлении:

    • На вкладке Предварительный просмотр отображается, как выглядит уведомление для пользователей.
    • На вкладке Сведения отображаются свойства уведомления.

    Завершив работу во всплывающем окне сведений о уведомлениях, нажмите кнопку Закрыть.

    На странице Уведомление о положительном подкреплении выберите существующее уведомление для использования, щелкнув поле проверка рядом с именем.

  • Создайте новое положительное уведомление о подкреплении для использования: выберите Создать. Действия по созданию идентичны созданию уведомлений конечных пользователей.

    Примечание.

    На странице Определение сведений нового мастера уведомлений обязательно выберите значение Положительное уведомление с подкреплением для типа уведомления.

    Когда вы закончите создание уведомления, вы вернеесь на страницу Положительное уведомление с подкреплением , где новое уведомление теперь отображается в списке для выбора.

Завершив работу на странице Уведомления о положительном подкреплении , нажмите кнопку Далее.

Настройка сведений о запуске имитации

На странице Сведений о запуске вы выбираете время начала и завершения моделирования. Мы прекратим запись взаимодействия с этой имитацией после указанной даты окончания.

Выберите одно из следующих значений:

  • Запустите эту симуляцию, как только я закончит

  • Запланируйте запуск этой имитации позже. Это значение имеет следующие связанные параметры для настройки:

    • Выбор даты запуска
    • Выберите час запуска
    • Выберите минуту запуска
    • Выберите формат времени: выберите AM или PM.

Значение по умолчанию для параметра Настройка количества дней после завершения моделирования — 2 дня, что также является минимальным значением. Максимальное значение — 30 дней.

Если выбрать Включить доставку часового пояса с учетом региона, то имитированные сообщения о атаках будут доставлены пользователям в рабочее время в регионе.

Завершив работу на странице Сведений о запуске , нажмите кнопку Далее.

Просмотр сведений об имитации

На странице Проверка имитации можно просмотреть сведения о симуляции.

Нажмите кнопку Отправить тест , чтобы отправить копию сообщения электронной почты с полезными данными себе (вошедший в систему пользователь) для проверки.

Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере, чтобы изменить параметры.

Завершив работу на странице Проверка имитации , нажмите кнопку Отправить.

Страница

На странице Запуск симуляции запланирован, по ссылкам можно перейти к обзору Обучение эмуляции атак или просмотреть все полезные данные.

Завершив запуск симуляции, нажмите кнопку Готово.

Вернитесь на вкладку Симуляции и отобразится созданная вами симуляция. Значение Состояние зависит от выбранного вами ранее на шаге Настройка сведений о запуске имитации :

  • Выполняется, если вы выбрали Запустить эту симуляцию сразу после завершения.
  • Запланировано, если выбран параметр Запланировать запуск этой имитации позже.

Просмотр симуляции

На вкладке Имитации в Обучение эмуляции атак отображаются все созданные вами симуляции.

По умолчанию для каждой имитации* отображаются следующие сведения:

  • Имя имитации
  • Тип
  • Платформа
  • Дата запуска
  • Дата завершения
  • Фактическая скорость компрометации (%): процент пользователей, которые были скомпрометированы симуляцией (скомпрометированные пользователи / общее число пользователей, которые получили имитацию).
  • Прогнозируемая скорость компрометации (%): исторические данные в Microsoft 365, которые прогнозируют процент пользователей, которые будут скомпрометированы этой полезной нагрузкой (скомпрометированные пользователи или общее число пользователей, получающих полезные данные). Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.
  • Метод. Метод социальной инженерии , используемый в симуляции.
  • Состояние: одно из следующих значений:
    • Draft
    • Scheduled
    • Выполняется
    • Выполнено
    • Не удалось выполнить
    • Canceled
    • Исключены
  • (элемент управления "Действия "). Выполните действия по моделированию. Доступные действия зависят от значения состояния имитации, как описано в разделах процедур. Этот элемент управления всегда отображается в конце строки.

Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

* Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшение масштаба в веб-браузере.

Используйте поле Поиск для поиска имени существующей имитации.

Выберите Фильтр , чтобы отфильтровать симуляции по методу или состоянию (все значения состояния , кроме исключенных).

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Чтобы увидеть симуляции, которые были исключены из отчетов (значение СостояниеИсключен), используйте переключатель Показать исключенные симуляции на вкладке Симуляции .

Просмотр сведений о симуляции

Чтобы просмотреть сведения о моделировании, используйте один из следующих методов на вкладке Имитации :

  • Выберите имитацию, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
  • Выберите имитацию, щелкнув (Действия) в конце строки, а затем выберите Просмотреть отчет.

В заголовке открывающейся страницы сведений отображается имя имитации и другие сведения (например, состояние, метод социальной инженерии и состояние доставки).

Вы можете выбрать Просмотр временная шкала действий, чтобы просмотреть сведения о дате и времени моделирования (запланированное моделирование, моделирование запущено, симуляция завершена и даты окончания обучения).

Остальная часть страницы сведений содержит следующие вкладки:

  • Вкладка "Отчет". Описание того, что находится на этой вкладке, см. в разделе Отчет о симуляции атак.

  • Вкладка "Пользователи ": отображает следующие сведения для всех целевых пользователей в имитации:

    • Название
    • Скомпрометированы
    • Сообщили
    • Состояние обучения
    • Другие действия
    • Скомпрометировано
    • Сообщается о
    • Сбой доставки
    • Username

    Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. Доступны следующие дополнительные столбцы:

    • Дни без работы
    • Чтение сообщения
    • Пересылаемое сообщение
    • Сообщение удалено
    • Ответ на сообщение
    • Department
    • Company
    • Должность
    • Office
    • City
    • Страна
    • Сотрудник

    Чтобы изменить список пользователей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

    Если выбрать фильтр, будут доступны следующие фильтры:

    • Скомпрометировано: выберите Да или Нет.
    • Сообщение. Выберите Да или Нет.
    • Симуляция доставки сообщений. Выберите Доставлено или Не удалось доставить.
    • Другие действия: *Выберите одно или несколько из следующих значений: Ответ на сообщение, Пересылаемое сообщение и Удаленные сообщения.
    • Состояние обучения: выберите Завершено, Выполняется, Не запущено или Не назначено.
    • Назначенные учебные курсы. Выберите одно или несколько из следующих значений: фишинг на массовом рынке, сообщение отчета, веб-фишинг, анатомия атаки с фишингом.

    Чтобы найти пользователя в списке, введите часть имени в поле Поиск и нажмите клавишу ВВОД.

  • Вкладка "Сведения": содержит сведения о моделировании в следующих разделах:

    • Раздел описания :
      • Платформа доставки
      • Тип
      • Целевая страница
      • Способ
      • Сведения о запуске
      • Страница входа в полезные данные &
      • Целевые пользователи. Включите исключенных пользователей или группы.
    • Раздел сведений об обучении :
      • Имя обучения
      • Назначить
      • Действия. Выберите Вид , чтобы просмотреть обучение.
    • Раздел уведомлений:
      • Имя уведомления
      • Тип уведомления
      • Частота доставки
      • Действия: выберите Вид , чтобы просмотреть уведомление.

Принятие мер по симуляции

Все действия с существующими симуляциями начинаются на вкладке Имитации. Чтобы получить доступ к ней, откройте портал Microsoft 365 Defender по адресу https://security.microsoft.com, перейдите на вкладку Email & совместная работа>Обучение эмуляции атак>Симуляция. Или, чтобы перейти непосредственно на вкладку Имитации, используйте https://security.microsoft.com/attacksimulator?viewid=simulations.

Совет

Чтобы просмотреть элемент управления ⋮ (Действия), необходимый для работы с симуляциями на вкладке Имитации , скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшение масштаба в веб-браузере.

Отмена симуляции

Симуляции можно отменить со значением Состояние выполняется или Запланировано.

Чтобы отменить имитацию на вкладке Имитация, выберите симуляцию , щелкнув (Действия) в конце строки, выберите Отмена имитации, а затем в диалоговом окне подтверждения выберите Подтвердить .

После отмены моделирования значение Состояние изменится на Отменено.

Удаление симуляции

Вы не можете удалить симуляции со значением СостояниеВыполняется.

Чтобы удалить имитацию на вкладке Имитация , выберите имитацию, щелкнув (Действия) в конце строки, а затем выберите Отмена имитации, а затем в диалоговом окне подтверждения выберите Подтвердить .

После удаления имитации она больше не отображается на вкладке Имитация .

Исключение завершенных симуляций из отчетов

Действие Исключить доступно только для моделирования со значением СостояниеКонкурирующий.

Чтобы удалить имитацию на вкладке Имитация , выберите имитацию, щелкнув (Действия) в конце строки, выберите Исключить, а затем в диалоговом окне подтверждения выберите Подтвердить .

После исключения завершенного моделирования из отчетов значение Состояние изменится на Исключено, и моделирование больше не отображается на вкладке Имитации , когда переключатель Показать исключенные симуляции отключен .

Чтобы просмотреть завершенные симуляции, которые были исключены из отчетов, используйте один из следующих методов:

  • На вкладке Имитации установите переключатель Показать исключенные симуляции в значение . Отображаются только исключенные симуляции.
  • На вкладке Параметры выберите https://security.microsoft.com/attacksimulator?viewid=settingссылку Просмотреть все в разделе Имитации, исключенные из отчетов . В результате вы перейдете на вкладку Имитации, где параметр Показать исключенные симуляции переключается в . Исключенная имитация отображается в списке со всеми остальными симуляциями. Найдите его с помощью значения Состояния . Дополнительные сведения см. в разделе Просмотр симуляции, исключенных из отчетов.

Включение завершенных симуляций в отчеты

По умолчанию все завершенные симуляции включаются в отчеты. Имитация исключается из отчетов только в том случае, если вы исключили ее, как описано в предыдущем разделе.

Действие Включить доступно только для моделирования со значением Состояние исключены, которые отображаются на вкладке Имитации только в том случае, если параметр Показать исключенные симуляции включен в .

Чтобы включить завершенный сеанс в отчет после исключения, выполните следующие действия.

  1. На вкладке Имитации установите для переключателя Показать исключенные симуляции значение в значение .
  2. Выберите имитацию, щелкнув (Действия) в конце строки, а затем выберите Исключить.

После включения исключенного моделирования значение Состояние изменится на Завершено. Переключите переключатель Показать исключенные симуляции , чтобы увидеть симуляцию.

Просмотр отчетов о симуляции

Для симуляции со значением Состояние выполняется или Завершено можно просмотреть отчет для моделирования с помощью любого из следующих методов на вкладке Имитация:

  • Выберите имитацию, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
  • Выберите имитацию, щелкнув (Действия) в конце строки, а затем выберите Просмотреть отчет.

Откроется страница отчета для имитации, содержащая следующие сведения:

  • Вкладка "Отчет ": отображение следующих сведений Влияние моделирования