Microsoft Teams i Övning av attacksimulering
Viktigt
För närvarande finns Microsoft Teams i Övning av attacksimulering i privat förhandsversion. Informationen i den här artikeln kan komma att ändras.
I organisationer med Microsoft Defender för Office 365 abonnemang 2 eller Microsoft Defender XDR kan administratörer nu använda Övning av attacksimulering för att leverera simulerade nätfiskemeddelanden i Microsoft Teams. Mer information om träning av attacksimulering finns i Komma igång med Övning av attacksimulering i Defender för Office 365.
Tillägget av Teams i Övning av attacksimulering påverkar följande funktioner:
Automatisering av nyttolast, slutanvändarmeddelanden, inloggningssidor och landningssidor påverkas inte av Teams i Övning av attacksimulering.
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Konfiguration av Teams-simulering
Obs!
För närvarande gäller stegen i det här avsnittet endast om din organisation har registrerats i den privata förhandsversionen av Övning av attacksimulering för Teams.
Förutom att användarrapportering för Teams-meddelanden är aktiverat enligt beskrivningen i Användarrapporterade meddelandeinställningar i Microsoft Teams måste du även konfigurera de Teams-konton som kan användas som källor för simuleringsmeddelanden i Övning av attacksimulering. Utför följande steg för att konfigurera kontona:
Identifiera eller skapa en användare som är medlem i rollerna Global administratör*, Säkerhetsadministratör eller Administratör för attacksimulering i Microsoft Entra ID. Tilldela en Licens för Microsoft 365, Office 365, Microsoft Teams Essentials, Microsoft 365 Business Basic eller en Microsoft 365 Business Standard för Microsoft Teams. Du måste känna till lösenordet.
Viktigt
* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Med hjälp av kontot från steg 1 öppnar du Microsoft Defender-portalen på https://security.microsoft.com och går till fliken Email & samarbete>Övning av attacksimulering>Inställningar. Om du vill gå direkt till fliken Inställningar använder du https://security.microsoft.com/attacksimulator?viewid=setting.
På fliken Inställningar väljer du Manager-användarkonton i avsnittet Konfiguration av Teams-simulering .
I den utfällbara menyn för Konfiguration av Teams-simulering som öppnas väljer du Generera token. Läs informationen i bekräftelsedialogrutan och välj sedan Jag godkänner.
På fliken Inställningar väljer du Manager-användarkonton i konfigurationsavsnittet för Teams-simulering igen för att öppna den utfällbara menyn Teams-simuleringskonfiguration igen. Det användarkonto som du loggades in på som nu visas i avsnittet Användarkonton som är tillgängliga för Teams nätfiske .
Om du vill ta bort en användare från listan markerar du kryssrutan bredvid visningsnamnets värde utan att klicka någon annanstans på raden. Välj åtgärden Ta bort som visas och välj sedan Ta bort i bekräftelsedialogrutan.
Om du vill förhindra att kontot används i Teams-simuleringar men behåller kontots länkade simuleringshistorik markerar du kryssrutan bredvid visningsnamnets värde utan att klicka någon annanstans på raden. Välj åtgärden Inaktivera som visas.
Ändringar i simuleringar för Microsoft Teams
Teams introducerar följande ändringar i visning och skapande av simuleringar enligt beskrivningen i Simulera en nätfiskeattack med Övning av attacksimulering i Defender för Office 365:
På fliken Simuleringar på https://security.microsoft.com/attacksimulator?viewid=simulationsvisar kolumnen Plattform värdet Teams för simuleringar som använder Teams-meddelanden.
Om du väljer Starta en simulering på fliken Simuleringar för att skapa en simulering är den första sidan i den nya simuleringsguiden Välj leveransplattform där du kan välja Microsoft Teams. När du väljer Microsoft Teams introduceras följande ändringar i resten av den nya simuleringsguiden:
På sidan Välj teknik är följande tekniker för social teknik inte tillgängliga:
- Bifogad kod för skadlig kod
- Länk i bifogad fil
- Instruktioner
På sidan Namnsimulering finns avsnittet Select sender's Microsoft Teams account (Välj avsändares Microsoft Teams-konto ) och Länken Välj användarkonto . Välj Välj användarkonto för att hitta och välj det konto som ska användas som källa för Teams-meddelandet .
Listan över användare kommer från avsnittet Konfiguration av Teams-simulering på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Konfiguration av konton beskrivs i avsnittet konfiguration av Teams-simulering tidigare i den här artikeln.
På sidan Välj nyttolast och inloggning visas inga nyttolaster som standard eftersom det inte finns några inbyggda nyttolaster för Teams. Du måste skapa en nyttolast för kombinationen av Teams och den sociala teknik som du har valt.
Skillnaderna i att skapa nyttolaster för Teams beskrivs i avsnittet Ändringar i nyttolaster för Microsoft Teams i den här artikeln.
På sidan Målanvändare skiljer sig följande inställningar för Teams:
- Som du ser på sidan undantas gästanvändare i Teams från simuleringar.
Andra inställningar som rör simuleringar är desamma för Teams-meddelanden som beskrivs i det befintliga innehållet för e-postmeddelanden.
Ändringar i nyttolaster för Microsoft Teams
Oavsett om du skapar en nyttolast på sidan Nyttolaster på fliken Innehållsbibliotek eller på sidan Välj nyttolast och inloggning i den nya simuleringsguiden introducerar Teams följande ändringar för att visa och skapa nyttolaster enligt beskrivningen i Nyttolaster i Övning av attacksimulering i Defender för Office 365:
På flikarna Globala nyttolaster och Klientnyttolaster på sidan Nyttolaster på fliken Innehållsbibliotek på https://security.microsoft.com/attacksimulator?viewid=contentlibraryvisar kolumnen Plattform värdet Teams för nyttolaster som använder Teams-meddelanden.
Om du väljer Filtrera för att filtrera listan över befintliga nyttolaster finns ett plattformsavsnitt där du kan välja Email och Teams.
Som tidigare beskrivits finns det inga inbyggda nyttolaster för Teams, så om du filtrerar efter Status>Teams på fliken Globala nyttolaster är listan tom.
Om du väljer Skapa en nyttolast på fliken Klientnyttolast för att skapa en nyttolast är den första sidan i den nya nyttolastguiden Välj typ där du kan välja Teams. När du väljer Teams introduceras följande ändringar i resten av den nya nyttolastguiden:
På sidan Välj teknik är teknikerna För bifogade filer och Länkar till skadlig kod i sociala tekniker för bifogade filer inte tillgängliga för Teams.
Sidan Konfigurera nyttolast har följande ändringar för Teams:
- Avsnitt om avsändarinformation: Den enda tillgängliga inställningen för Teams är chattavsnitt där du anger en panel för Teams-meddelandet.
- Det sista avsnittet heter inte Email meddelande, men det fungerar på samma sätt för Teams-meddelanden som för e-postmeddelanden:
- Det finns en Import Teams-meddelandeknapp för att importera en befintlig oformaterad textmeddelandefil som ska användas som utgångspunkt.
- Kontrollerna Dynamisk tagg och Nätfiskelänk är tillgängliga på fliken Text och fliken Kod är tillgänglig som med e-postmeddelanden.
Andra inställningar som rör nyttolaster är desamma för Teams-meddelanden som beskrivs i det befintliga innehållet för e-postmeddelanden.
Ändringar i simuleringsautomatiseringar för Microsoft Teams
Teams introducerar följande ändringar i visning och skapande av simuleringsautomatiseringar enligt beskrivningen i Simuleringsautomatiseringar för Övning av attacksimulering:
På sidan Simuleringsautomatiseringar på fliken Automations på https://security.microsoft.com/attacksimulator?viewid=automationsfinns även följande kolumner:
- Typ: För närvarande är det här värdet alltid social teknik.
- Plattform: Visar värdet Teams för nyttolastautomatiseringar som använder Teams-meddelanden eller Email för nyttolastautomatiseringar som använder e-postmeddelanden.
Om du väljer Skapa automatisering på sidan Simuleringsautomatisering för att skapa en simuleringsautomatisering är den första sidan i guiden för ny simuleringsautomatisering Välj leveransplattform där du kan välja Teams. När du väljer Teams introduceras följande ändringar i resten av den nya guiden för simuleringsautomatisering:
På sidan Automation-namn är följande inställningar tillgängliga för Teams i avsnittet Välj metod för att välja avsändarkonton :
- Välj manuellt: Det här värdet är markerat som standard. I avsnittet Välj avsändarens Microsoft Teams-konto väljer du Välj användarkonto för att hitta och väljer det konto som ska användas som källa för Teams-meddelandet.
- Randomisera: Välj slumpmässigt från de tillgängliga konton som ska användas som källa för Teams-meddelandet.
På sidan Välj tekniker för social teknik är tekniker för skadlig kod och länk i sociala tekniker för bifogade filer inte tillgängliga för Teams.
På sidan Välj nyttolaster och inloggning visas inga nyttolaster som standard eftersom det inte finns några inbyggda nyttolaster för Teams. Du kan behöva skapa en nyttolast för kombinationen av Teams och de tekniker för social teknik som du har valt.
Skillnaderna i att skapa nyttolaster för Teams beskrivs i avsnittet Ändringar i nyttolaster för Microsoft Teams i den här artikeln.
På sidan Målanvändare skiljer sig följande inställningar för Teams:
- Som du ser på sidan kan simuleringsautomatiseringar som använder Teams rikta sig till högst 1 000 användare.
- Om du väljer Inkludera endast specifika användare och grupper är Stad inte ett tillgängligt filter i avsnittet Filtrera användare efter kategori .
Andra inställningar som rör simuleringsautomatisering är desamma för Teams-meddelanden som beskrivs i det befintliga innehållet för e-postmeddelanden.