Поделиться через

Начало использования обучения симуляции атаки

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях с Microsoft Defender для Office 365 (план 2) (лицензии на надстройки или подписки, такие как Microsoft 365 E5), вы можете использовать обучение имитации атак на портале Microsoft Defender для выполнения реалистичных сценариев атак в организации. Эти имитированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака повлияет на вашу прибыль.

В этой статье описаны основы обучения симуляции атак.

Просмотрите это короткое видео, чтобы узнать больше о обучении симуляции атак.

Примечание.

Обучение имитации атак заменяет старый интерфейс симулятора атак версии 1, который был доступен в Центре соответствия требованиям безопасности & всимуляторе атакуправления угрозами> или https://protection.office.com/attacksimulator.

Что нужно знать перед началом работы

  • Для обучения имитации атак требуется лицензия Microsoft 365 E5 или Microsoft Defender для Office 365 (план 2 ). Дополнительные сведения о требованиях к лицензированию см. в разделе Условия лицензирования.

  • Обучение имитации атак поддерживает локальные почтовые ящики, но с ограниченной функциональностью создания отчетов. Дополнительные сведения см. в статье Создание отчетов о проблемах с локальными почтовыми ящиками.

  • Чтобы открыть портал Microsoft Defender, перейдите по адресу https://security.microsoft.com. Обучение имитации атак доступно в разделеОбучение симуляции атакпо электронной почте и совместной работе>. Чтобы перейти непосредственно к обучению имитации атак, используйте https://security.microsoft.com/attacksimulator.

  • Дополнительные сведения о доступности обучения имитации атак в разных подписках Microsoft 365 см. в разделе Описание службы Microsoft Defender для Office 365.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Разрешения Microsoft Entra. Вам требуется членство в одной из следующих ролей:

      • Глобальный администратор¹
      • Администратор безопасности
      • Администраторы имитации атак 2: создание и управление всеми аспектами кампаний моделирования атак.
      • Автор полезных данных для атаки. Создание полезных данных атаки, которые администратор может инициировать позже.

      Важно!

      ¹ Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

      2 Добавление пользователей в эту группу ролей в разделе Электронная почта & разрешения на совместную работу на портале Microsoft Defender в настоящее время не поддерживаются.

      В настоящее время единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR не поддерживается.

  • Для обучения симуляции атак соответствующие командлеты PowerShell отсутствуют.

  • Данные, связанные с имитацией атак и обучением, хранятся вместе с другими данными клиентов для служб Microsoft 365. Дополнительные сведения см. в разделе Расположения данных Microsoft 365. Обучение имитации атак доступно в следующих регионах: APC, EUR и NAM. Страны в этих регионах, где доступно обучение имитации атак, включают ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE и ZAF.

    Примечание.

    NOR, ZAF, ARE и DEU являются последними дополнениями. В этих регионах доступны все функции, кроме телеметрии сообщаемой электронной почты. Мы работаем над включением этих функций и будем уведомлять клиентов, как только станет доступной телеметрия электронной почты.

  • С сентября 2023 г. обучение имитации атак доступно в средах Microsoft 365 GCC и GCC High, но некоторые расширенные функции недоступны в GCC High (например, автоматизация полезных данных, рекомендуемые полезные нагрузки, прогнозируемая скомпрометированная скорость). Если в вашей организации есть Office 365 G5 GCC или Microsoft Defender для Office 365 (план 2) для государственных организаций, можно использовать обучение имитации атак, как описано в этой статье. Обучение имитации атак пока недоступно в средах DoD.

Примечание.

Обучение имитации атак предоставляет клиентам E3 подмножество возможностей в качестве пробной версии. Пробное предложение содержит возможность использовать полезные данные Credential Harvest и возможность выбрать опыт обучения "Фишинг ISA" или "Массовый фишинг на рынке". Никакие другие возможности не являются частью пробного предложения E3.

Моделирования

Симуляция в обучении имитации атак — это общая кампания, которая предоставляет пользователям реалистичные, но безвредные фишинговые сообщения. Основные элементы моделирования:

  • Кто получает имитированное фишинговое сообщение и по какому расписанию.
  • Обучение, которое пользователи получают на основе их действия или отсутствия действий (как для правильных, так и для неправильных действий) в имитации фишингового сообщения.
  • Полезные данные, используемые в имитации фишингового сообщения (ссылка или вложение), а также состав фишингового сообщения (например, доставленный пакет, проблема с вашей учетной записью или вы выиграли приз).
  • Используемый метод социальной инженерии . Полезные нагрузки и метод социальной инженерии тесно связаны.

В обучении моделированию атак доступны несколько типов методов социальной инженерии. За исключением практического руководства, эти методы были курированы на основе платформы MITRE ATT&CK®. Для разных методов доступны различные полезные данные.

Доступны следующие методы социальной инженерии:

  • Сбор учетных данных. Злоумышленник отправляет получателю сообщение, содержащее URL-адрес. Когда получатель щелкает URL-адрес, он перейдет на веб-сайт, где обычно отображается диалоговое окно с запросом имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.

  • Вложение вредоносных программ. Злоумышленник отправляет получателю сообщение, содержащее вложение. Когда получатель открывает вложение, на устройстве пользователя выполняется произвольный код (например, макрос), чтобы помочь злоумышленнику установить дополнительный код или дополнительно закрепиться.

  • Ссылка во вложении. Этот метод является гибридом сбора учетных данных. Злоумышленник отправляет получателю сообщение, содержащее URL-адрес внутри вложения. Когда получатель открывает вложение и щелкает URL-адрес, он перейдет на веб-сайт, где обычно отображается диалоговое окно с запросом имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.

  • Ссылка на вредоносную программу. Злоумышленник отправляет получателю сообщение, содержащее ссылку на вложение на известном сайте общего доступа к файлам (например, SharePoint Online или Dropbox). Когда получатель щелкает URL-адрес, открывается вложение и на устройстве пользователя выполняется произвольный код (например, макрос), чтобы помочь злоумышленнику установить дополнительный код или дополнительно закрепиться.

  • Диск по URL-адресу: злоумышленник отправляет получателю сообщение, содержащее URL-адрес. Когда получатель щелкает URL-адрес, он переходит на веб-сайт, который пытается запустить фоновый код. Этот код пытается собрать сведения о получателе или развернуть произвольный код на устройстве получателя. Как правило, целевой веб-сайт является хорошо известным веб-сайтом, который был скомпрометирован или клоном известного веб-сайта. Знакомство с веб-сайтом помогает убедить пользователя в том, что ссылка безопасна для щелчка. Этот метод также известен как атака на отверстие для полива.

  • Предоставление согласия OAuth. Злоумышленник создает вредоносное приложение Azure, которое пытается получить доступ к данным. Приложение отправляет запрос по электронной почте, содержащий URL-адрес. Когда получатель щелкает URL-адрес, механизм предоставления согласия приложения запрашивает доступ к данным (например, к папке "Входящие" пользователя).

  • Практическое руководство. Учебное руководство, содержащее инструкции для пользователей (например, как сообщать о фишинговых сообщениях).

URL-адреса, используемые для обучения имитации атак, перечислены в следующей таблице:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Примечание.

Проверьте доступность имитированного URL-адреса фишинга в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Дополнительные сведения см. в разделе URL-адреса имитации фишинга, заблокированные Google Safe Browsing.

Создание симуляции

Инструкции по созданию и запуску симуляции см. в статье Имитация фишинговой атаки.

Целевая страница в моделировании — это место, куда пользователи переходят при открытии полезных данных. При создании имитации вы выбираете целевую страницу для использования. Вы можете выбрать один из встроенных целевых страниц, пользовательские целевые страницы, которые вы уже создали, или создать новую целевую страницу для использования во время создания моделирования. Сведения о создании целевых страниц см. в разделе Целевые страницы в обучении симуляции атак.

Уведомления конечных пользователей в имитации отправляют пользователям периодические напоминания (например, уведомления о назначениях обучения и напоминаниях). Вы можете выбрать один из встроенных уведомлений, пользовательские уведомления, которые вы уже создали, или вы можете создать новые уведомления для использования во время создания моделирования. Сведения о создании уведомлений см. в разделе Уведомления конечных пользователей для обучения симуляции атак.

Совет

Автоматизация моделирования обеспечивает следующие улучшения по сравнению с традиционными симуляциями:

  • Автоматизация моделирования может включать несколько методов социальной инженерии и связанных полезных данных (имитации содержат только один).
  • Автоматизация моделирования поддерживает параметры автоматического планирования (больше, чем просто дата начала и окончания в симуляции).

Дополнительные сведения см. в разделе Моделирование автоматизации для обучения имитации атак.

Полезная нагрузка

Хотя имитация атак содержит множество встроенных полезных данных для доступных методов социальной инженерии, вы можете создавать пользовательские полезные данные в соответствии с потребностями бизнеса, включая копирование и настройку существующих полезных данных. Полезные данные можно создавать в любое время перед созданием имитации или во время создания имитации. Сведения о создании полезных данных см. в статье Создание пользовательских полезных данных для обучения симуляции атак.

В симуляциях, использующих методы социальной инженерии credential Harvest или Link in Attachment , страницы входа являются частью выбранной полезной нагрузки. Страница входа — это веб-страница, на которой пользователи вводят свои учетные данные. Для каждой применимой полезной нагрузки используется страница входа по умолчанию, но вы можете изменить используемую страницу входа. Вы можете выбрать один из встроенных страниц входа, пользовательские страницы входа, которые вы уже создали, или создать новую страницу входа для использования во время создания имитации или полезных данных. Сведения о создании страниц входа см . в разделе Страницы входа в обучение симуляции атак.

Лучший способ обучения имитации фишинговых сообщений заключается в том, чтобы сделать их как можно ближе к реальным фишинговым атакам, которые могут возникнуть в вашей организации. Что делать, если вы сможете захватить и использовать безвредные версии реальных фишинговых сообщений, обнаруженных в Microsoft 365, и использовать их в имитации фишинговых кампаний? Вы можете использовать автоматизацию полезных данных (также известную как сбор полезных данных). Сведения о создании автоматизации полезных данных см. в статье Автоматизация полезных данных для обучения симуляции атак.

Отчеты и аналитические сведения

После создания и запуска имитации необходимо увидеть, как она будет выполняться. Например:

  • Все получили его?
  • Кто что сделал с имитацией фишингового сообщения и полезными данными в нем (удаление, отчет, открытие полезных данных, ввод учетных данных и т. д.).
  • Кто завершил назначенное обучение.

Доступные отчеты и аналитические сведения для обучения имитации атак описаны в разделе Аналитика и отчеты для обучения симуляции атак.

Прогнозируемая скорость компрометации

Часто требуется адаптировать имитацию фишинговой кампании для конкретных аудиторий. Если фишинговое сообщение слишком близко к идеальному, почти все будут обмануть его. Если это слишком подозрительно, никто не будет обманут его. Кроме того, фишинговые сообщения, которые некоторые пользователи считают трудным для идентификации, считаются простыми для идентификации другими пользователями. Так как же вы научились балансировать?

Прогнозируемая скорость компрометации (ПЦР) указывает на потенциальную эффективность при использовании полезных данных в имитации. PCR использует интеллектуальные исторические данные в Microsoft 365 для прогнозирования процента людей, которые будут скомпрометированы полезными данными. Например:

  • Полезные данные.
  • Агрегированные и анонимные показатели компрометации из других симуляций.
  • Метаданные полезных данных.

PCR позволяет сравнить прогнозируемые и фактические показатели кликов для симуляции фишинга. Вы также можете использовать эти данные, чтобы увидеть, как ваша организация работает по сравнению с прогнозируемыми результатами.

Сведения pcR для полезных данных доступны везде, где вы просматриваете и выбираете полезные данные, а также в следующих отчетах и аналитических сведениях:

Совет

Симулятор атак использует безопасные ссылки в Defender для Office 365 для безопасного отслеживания данных щелчков по URL-адресу в полезных сообщениях, отправляемых целевым получателям фишинговой кампании, даже если параметр Отслеживать щелчки пользователей в политиках безопасных ссылок отключен.

Обучение без уловок

Традиционные имитации фишинга представляют пользователям подозрительные сообщения и следующие цели:

  • Заставить пользователей сообщать о сообщении как подозрительном.
  • Проводите обучение после того, как пользователи нажмет или запустят имитацию вредоносных полезных данных и отдадут свои учетные данные.

Но иногда вам не нужно ждать, пока пользователи не предпримят правильные или неправильные действия, прежде чем давать им обучение. Обучение имитации атак предоставляет следующие функции, чтобы пропустить ожидание и перейти непосредственно к обучению:

  • Кампании по обучению. Кампания обучения — это только обучающее задание для целевых пользователей. Вы можете напрямую назначить обучение, не подвергая пользователей проверке имитации. Учебные кампании упрощают проведение учебных занятий, таких как ежемесячный тренинг по повышению осведомленности о кибербезопасности. Дополнительные сведения см. в разделе Обучающие кампании в обучении имитации атак.

  • Практические руководства по симуляции. Симуляции, основанные на практическом руководстве по социальной инженерии, не пытаются тестировать пользователей. Практическое руководство — это упрощенный интерфейс обучения, который пользователи могут просматривать непосредственно в папке "Входящие". Например, доступны следующие встроенные полезные данные руководства, и вы можете создать собственные (включая копирование и настройку существующих полезных данных):

    • Руководство по обучению. Как сообщить о фишинговых сообщениях
    • Руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR-кода