Kom igång med Attack simuleringsträning

• Gäller för:

  ✅ Microsoft Defender for Office 365 plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I organisationer med Microsoft Defender för Office 365 Abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) kan du använda Övning av attacksimulering i Microsoft 365 Defender för att köra realistiska attackscenarier i din organisation. Dessa simulerade attacker kan hjälpa dig att identifiera och hitta sårbara användare innan en verklig attack påverkar slutresultatet. Läs den här artikeln om du vill veta mer.

Titta på den här korta videon om du vill veta mer om Övning av attacksimulering.

Obs!

Övning av attacksimulering ersätter den gamla Attack Simulator v1-upplevelsen som var tillgänglig i säkerhet & Compliance Center på Threat Management>Attack-simulatorn eller https://protection.office.com/attacksimulator.

Vad behöver jag veta innan jag börjar?

• Övning av attacksimulering kräver en licens för Microsoft 365 E5 eller Microsoft Defender för Office 365 plan 2. Mer information om licensieringskrav finns i Licensvillkor.

• Övning av attacksimulering stöder lokala postlådor, men med begränsade rapporteringsfunktioner. Mer information finns i Rapportera problem med lokala postlådor.

• Öppna Microsoft 365 Defender-portalen genom att gå till https://security.microsoft.com. Övning av attacksimulering finns på Email och samarbete>Övning av attacksimulering. Om du vill gå direkt till Övning av attacksimulering använder du https://security.microsoft.com/attacksimulator.

• Mer information om tillgängligheten för Övning av attacksimulering för olika Microsoft 365-prenumerationer finns i Microsoft Defender för Office 365 tjänstbeskrivning.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Azure AD RBAC: Du behöver medlemskap i någon av följande roller:

    • Global administratör
    • Säkerhetsadministratör
    • Administratörer ^*för attacksimulering: Skapa och hantera alla aspekter av attacksimuleringskampanjer.
    • Författare till ^*attacknyttolast: Skapa attacknyttolaster som en administratör kan initiera senare.

    ^*Det finns för närvarande inte stöd för att lägga till användare i den här rollen i Email & samarbets-RBAC i Microsoft 365 Defender-portalen.

• Det finns inga motsvarande PowerShell-cmdletar för Övning av attacksimulering.

• Attacksimulering och träningsrelaterade data lagras med andra kunddata för Microsoft 365-tjänster. Mer information finns i Microsoft 365-dataplatser. Övning av attacksimulering finns i följande regioner: APC, EUR och NAM. Länder i dessa regioner där Övning av attacksimulering finns tillgängliga är ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE och ZAF.

  Obs!

  NOR, ZAF, ARE och DEU är de senaste tilläggen. Alla funktioner utom rapporterad e-posttelemetri kommer att vara tillgängliga i dessa regioner. Vi arbetar för att aktivera funktionerna och kommer att meddela våra kunder så snart rapporterad e-posttelemetri blir tillgänglig.

• Från och med juni 2021 finns Övning av attacksimulering i GCC. Om din organisation har Office 365 G5 GCC eller Microsoft Defender för Office 365 (plan 2) för myndigheter kan du använda Övning av attacksimulering enligt beskrivningen i den här artikeln. Övning av attacksimulering är ännu inte tillgängligt i GCC High- eller DoD-miljöer.

Obs!

Övning av attacksimulering erbjuder en delmängd funktioner till E3-kunder som en utvärderingsversion. Utvärderingserbjudandet innehåller möjligheten att använda en nyttolast för autentiseringsuppgifter och möjligheten att välja träningsupplevelser för ISA Phishing eller Mass Market Phishing. Inga andra funktioner ingår i E3-utvärderingserbjudandet.

Simuleringar

Nätfiske är en allmän term för e-postattacker som försöker stjäla känslig information i meddelanden som verkar komma från legitima eller betrodda avsändare. Nätfiske är en del av en delmängd tekniker som vi klassificerar som social teknik.

I Övning av attacksimulering finns flera typer av tekniker för social teknik tillgängliga:

• Skörd av autentiseringsuppgifter: En angripare skickar ett meddelande till mottagaren som innehåller en URL. När mottagaren klickar på URL:en tas de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.

• Bifogad kod: En angripare skickar ett meddelande till mottagaren som innehåller en bifogad fil. När mottagaren öppnar den bifogade filen körs godtycklig kod (till exempel ett makro) på användarens enhet för att hjälpa angriparen att installera ytterligare kod eller ytterligare befästa sig själva.

• Länk i bifogad fil: Den här tekniken är en hybrid av en autentiseringsuppgiftsskörd. En angripare skickar ett meddelande till mottagaren som innehåller en URL i en bifogad fil. När mottagaren öppnar den bifogade filen och klickar på URL:en tas de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.

• Länk till skadlig kod: En angripare skickar ett meddelande till mottagaren som innehåller en länk till en bifogad fil på en välkänd fildelningswebbplats (till exempel SharePoint Online eller Dropbox). När mottagaren klickar på URL:en öppnas den bifogade filen och godtycklig kod (till exempel ett makro) körs på användarens enhet för att hjälpa angriparen att installera ytterligare kod eller ytterligare befästa sig själva.

• Drive-by-URL: En angripare skickar ett meddelande till mottagaren som innehåller en URL. När mottagaren klickar på URL:en tas de till en webbplats som försöker köra bakgrundskod. Den här bakgrundskoden försöker samla in information om mottagaren eller distribuera godtycklig kod på enheten. Vanligtvis är målwebbplatsen en välkänd webbplats som har komprometterats eller en klon av en välkänd webbplats. Kännedom om webbplatsen hjälper till att övertyga användaren om att länken är säker att klicka på. Denna teknik är också känd som en vattenhålsattack.

• Beviljande av OAuth-medgivande: En angripare skapar en skadlig Azure Application som försöker få åtkomst till data. Programmet skickar en e-postbegäran som innehåller en URL. När mottagaren klickar på URL:en begär programmets mekanism för beviljande av medgivande åtkomst till data (till exempel användarens inkorg).

Url:erna som används av Övning av attacksimulering beskrivs i följande tabell:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Obs!

Kontrollera tillgängligheten för den simulerade nätfiske-URL:en i dina webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Vi arbetar med många URL-ryktesleverantörer för att alltid tillåta dessa simulerings-URL:er, men vi har inte alltid fullständig täckning (till exempel Googles säkra surfning). De flesta leverantörer tillhandahåller vägledning som gör att du alltid kan tillåta specifika URL:er (till exempel https://support.google.com/chrome/a/answer/7532419).

Skapa en simulering

Stegvisa instruktioner för hur du skapar och skickar en ny simulering finns i Simulera en nätfiskeattack.

Skapa en nyttolast

Stegvisa instruktioner om hur du skapar en nyttolast för användning i en simulering finns i Skapa en anpassad nyttolast för Övning av attacksimulering.

Få insikter

Stegvisa instruktioner för hur du får insikter med rapportering finns i Få insikter genom Övning av attacksimulering.

Förväntad kompromissfrekvens

Ett av de viktigaste elementen i en nätfiskesimulering är valet av nyttolast. Om du bara spårar klickning som ett kvalitetsmått finns det ett incitament att minska klickfrekvensen genom att välja enklare att upptäcka nätfiskenyttolaster. Så småningom är det mindre troligt att användaren ändrar sitt beteende när ett verkligt nätfiskemeddelande visas.

För att bekämpa tendensen att använda nyttolaster med låg klickfrekvens och maximera utbildningsavkastningen har vi skapat en ny bit metadata för varje global nyttolast som kallas den förväntade kompromissfrekvensen (PCR).

PCR använder historiska data i Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av nyttolasten. PCR är en intelligent mekanism som bygger på information som nyttolastinnehåll, komprometteringshastigheter (aggregerade och anonymiserade) och nyttolastmetadata. PCR förutsäger en mer exakt potentiell kompromissfrekvens när nyttolasten används i en simulering. Fördelen med PCR är att förutsäga faktisk eller förutsagd klickning för en viss simulering och nyttolast.

Du kan också granska organisationens övergripande prestanda genom att mäta skillnaden mellan den förväntade kompromissfrekvensen och den faktiska kompromissfrekvensen mellan simuleringar med hjälp av rapporten Träningseffekt.

Obs!

Attacksimulatorn använder säkra länkar i Defender för Office 365 för att på ett säkert sätt spåra klickdata för URL:en i nyttolastmeddelandet som skickas till målmottagare av en nätfiskekampanj, även om inställningen Spåra användares klick i principer för säkra länkar är inaktiverad.