Kom igång med Attack simuleringsträning

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I organisationer med Microsoft Defender för Office 365 Abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) kan du använda träning för attacksimulering i Microsoft Defender-portalen för att köra realistiska attackscenarier i din organisation. Dessa simulerade attacker kan hjälpa dig att identifiera och hitta sårbara användare innan en verklig attack påverkar slutresultatet.

Den här artikeln beskriver grunderna i träning av attacksimulering.

Titta på den här korta videon om du vill veta mer om träning av attacksimulering.

Obs!

Träning av attacksimulering ersätter den gamla Attack Simulator v1-upplevelsen som var tillgänglig i Security & Compliance Center i Threat Management>Attack-simulatorn eller https://protection.office.com/attacksimulator.

Vad behöver jag veta innan jag börjar?

• Träning av attacksimulering kräver en Licens för Microsoft 365 E5 eller Microsoft Defender för Office 365 Plan 2 . Mer information om licensieringskrav finns i Licensvillkor.

• Träning av attacksimulering stöder lokala postlådor, men med nedsatt rapporteringsfunktionalitet. Mer information finns i Rapportera problem med lokala postlådor.

• Öppna Microsoft Defender-portalen genom att gå till https://security.microsoft.com. Träning av attacksimulering finns på utbildning i e-post- ochsamarbetsangreppssimulering>. Om du vill gå direkt till träning för attacksimulering använder du https://security.microsoft.com/attacksimulator.

• Mer information om tillgängligheten för träning av attacksimulering i olika Microsoft 365-prenumerationer finns i Tjänstbeskrivning för Microsoft Defender för Office 365.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Entra-behörigheter: Du behöver medlemskap i någon av följande roller:

    • Global administratör 1
    • Säkerhetsadministratör
    • Administratörer för attacksimulering²: Skapa och hantera alla aspekter av attacksimuleringskampanjer.
    • Attack Payload Author²: Skapa attacknyttolaster som en administratör kan initiera senare.

    Viktigt

    ² Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

    ² Det finns för närvarande inte stöd för att lägga till användare i den här rollgruppen i E-post & samarbetsbehörigheter i Microsoft Defender-portalen .

    För närvarande stöds inte rollbaserad åtkomstkontroll (RBAC) i Microsoft Defender XDR Unified .

• Det finns inga motsvarande PowerShell-cmdletar för träning av attacksimulering.

• Attacksimulering och träningsrelaterade data lagras med andra kunddata för Microsoft 365-tjänster. Mer information finns i Microsoft 365-dataplatser. Träning av attacksimulering är tillgängligt i följande regioner: APC, EUR och NAM. Länder i dessa regioner där det finns utbildning i attacksimulering är ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE och ZAF.

  Obs!

  NOR, ZAF, ARE och DEU är de senaste tilläggen. Alla funktioner utom rapporterad e-posttelemetri är tillgängliga i dessa regioner. Vi arbetar med att aktivera funktionerna och meddelar kunderna så fort rapporterad telemetri för e-post blir tillgänglig.

• Från och med september 2023 är träning av attacksimulering tillgänglig i Microsoft 365 GCC- och GCC High-miljöer, men vissa avancerade funktioner är inte tillgängliga i GCC High (till exempel automatisering av nyttolaster, rekommenderade nyttolaster, den förväntade komprometterade hastigheten). Om din organisation har Office 365 G5 GCC eller Microsoft Defender för Office 365 (plan 2) för myndigheter kan du använda utbildning i attacksimulering enligt beskrivningen i den här artikeln. Träning av attacksimulering är ännu inte tillgängligt i DoD-miljöer.

Obs!

Utbildning i attacksimulering erbjuder en delmängd funktioner till E3-kunder som en utvärderingsversion. Utvärderingserbjudandet innehåller möjligheten att använda en nyttolast för autentiseringsuppgifter och möjligheten att välja träningsupplevelser för ISA Phishing eller Mass Market Phishing. Inga andra funktioner ingår i E3-utvärderingserbjudandet.

Simuleringar

En simulering i träning av attacksimulering är den övergripande kampanjen som levererar realistiska men ofarliga nätfiskemeddelanden till användare. De grundläggande elementen i en simulering är:

• Vem får det simulerade nätfiskemeddelandet och enligt vilket schema.
• Utbildning som användarna får baserat på deras åtgärd eller brist på åtgärd (för både korrekta och felaktiga åtgärder) för det simulerade nätfiskemeddelandet.
• Nyttolasten som används i det simulerade nätfiskemeddelandet (en länk eller en bifogad fil) och sammansättningen av nätfiskemeddelandet (till exempel paket som levereras, problem med ditt konto eller så vann du ett pris).
• Den sociala teknik som används. Nyttolasten och den sociala tekniktekniken är nära besläktade.

I utbildning i attacksimulering finns flera typer av tekniker för social teknik tillgängliga. Förutom instruktioner har dessa tekniker granskats från MITRE ATT-&CK-ramverket®. Olika nyttolaster är tillgängliga för olika tekniker.

Följande tekniker för social ingenjörskonst finns tillgängliga:

• Skörd av autentiseringsuppgifter: En angripare skickar ett meddelande till mottagaren som innehåller en URL. När mottagaren klickar på URL:en tas de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.

• Bifogad kod: En angripare skickar ett meddelande till mottagaren som innehåller en bifogad fil. När mottagaren öppnar den bifogade filen körs godtycklig kod (till exempel ett makro) på användarens enhet för att hjälpa angriparen att installera ytterligare kod eller ytterligare befästa sig själva.

• Länk i bifogad fil: Den här tekniken är en hybrid av en autentiseringsuppgiftsskörd. En angripare skickar ett meddelande till mottagaren som innehåller en URL i en bifogad fil. När mottagaren öppnar den bifogade filen och klickar på URL:en tas de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.

• Länk till skadlig kod: En angripare skickar ett meddelande till mottagaren som innehåller en länk till en bifogad fil på en välkänd fildelningswebbplats (till exempel SharePoint Online eller Dropbox). När mottagaren klickar på URL:en öppnas den bifogade filen och godtycklig kod (till exempel ett makro) körs på användarens enhet för att hjälpa angriparen att installera ytterligare kod eller ytterligare befästa sig själva.

• Drive-by-URL: En angripare skickar ett meddelande till mottagaren som innehåller en URL. När mottagaren klickar på URL:en tas de till en webbplats som försöker köra bakgrundskod. Den här bakgrundskoden försöker samla in information om mottagaren eller distribuera godtycklig kod på enheten. Vanligtvis är målwebbplatsen en välkänd webbplats som har komprometterats eller en klon av en välkänd webbplats. Kännedom om webbplatsen hjälper till att övertyga användaren om att länken är säker att klicka på. Denna teknik är också känd som en vattenhålsattack.

• Beviljande av OAuth-medgivande: En angripare skapar ett skadligt Azure-program som försöker få åtkomst till data. Programmet skickar en e-postbegäran som innehåller en URL. När mottagaren klickar på URL:en begär programmets mekanism för beviljande av medgivande åtkomst till data (till exempel användarens inkorg).

• Instruktionsguide: En undervisningsguide som innehåller instruktioner för användare (till exempel hur du rapporterar nätfiskemeddelanden).

Url:er som används av träning av attacksimulering visas i följande tabell:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Obs!

Kontrollera tillgängligheten för den simulerade nätfiske-URL:en i dina webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Mer information finns i URL:er för nätfiskesimulering som blockeras av Googles säkra surfning.

Skapa simuleringar

Anvisningar om hur du skapar och startar simuleringar finns i Simulera en nätfiskeattack.

Landningssidan i simuleringen är den plats där användarna går när de öppnar nyttolasten. När du skapar en simulering väljer du den landningssida som ska användas. Du kan välja från inbyggda landningssidor, anpassade landningssidor som du redan har skapat eller skapa en ny landningssida som du kan använda när simuleringen skapas. Information om hur du skapar landningssidor finns i Landningssidor i Träning av attacksimulering.

Slutanvändarmeddelanden i simuleringen skickar periodiska påminnelser till användare (till exempel träningstilldelning och påminnelsemeddelanden). Du kan välja från inbyggda meddelanden, anpassade meddelanden som du redan har skapat eller skapa nya meddelanden som ska användas när simuleringen skapas. Information om hur du skapar meddelanden finns i Slutanvändarmeddelanden för träning av attacksimulering.

Tips

Simuleringsautomatiseringar ger följande förbättringar jämfört med traditionella simuleringar:

• Simuleringsautomatiseringar kan innehålla flera tekniker för social teknik och relaterade nyttolaster (simuleringar innehåller bara en).
• Simuleringsautomatiseringar stöder automatiska schemaläggningsalternativ (mer än bara startdatum och slutdatum i simuleringar).

Mer information finns i Simuleringsautomatiseringar för träning av attacksimulering.

Nyttolaster

Även om attacksimulering innehåller många inbyggda nyttolaster för de tillgängliga teknikerna för social teknik kan du skapa anpassade nyttolaster för att bättre passa dina affärsbehov, inklusive kopiering och anpassning av en befintlig nyttolast. Du kan skapa nyttolaster när som helst innan du skapar simuleringen eller när du skapar simuleringen. Information om hur du skapar nyttolaster finns i Skapa en anpassad nyttolast för träning av attacksimulering.

I simuleringar som använder tekniker för skörd av autentiseringsuppgifter eller länk i sociala tekniker för bifogade filer är inloggningssidor en del av nyttolasten som du väljer. Inloggningssidan är den webbsida där användarna anger sina autentiseringsuppgifter. Varje tillämplig nyttolast använder en standardinloggningssida, men du kan ändra inloggningssidan som används. Du kan välja från inbyggda inloggningssidor, anpassade inloggningssidor som du redan har skapat eller skapa en ny inloggningssida som du kan använda när simuleringen skapas eller nyttolasten skapas. Information om hur du skapar inloggningssidor finns i Inloggningssidor i Träning av attacksimulering.

Den bästa utbildningsupplevelsen för simulerade nätfiskemeddelanden är att göra dem så nära verkliga nätfiskeattacker som din organisation kan uppleva. Vad händer om du kan samla in och använda ofarliga versioner av verkliga nätfiskemeddelanden som har identifierats i Microsoft 365 och använda dem i simulerade nätfiskekampanjer? Du kan med nyttolastautomatiseringar (kallas även nyttolastskörd). Information om hur du skapar nyttolastautomatiseringar finns i Payload automations for Attack simulation training (Nyttolastautomatiseringar för träning av attacksimulering).

Rapporter och insikter

När du har skapat och starta simuleringen måste du se hur det går. Till exempel:

• Fick alla det?
• Vem har gjort vad med det simulerade nätfiskemeddelandet och nyttolasten i det (ta bort, rapportera, öppna nyttolasten, ange autentiseringsuppgifter osv.).
• Vem som slutförde den tilldelade utbildningen.

Tillgängliga rapporter och insikter för träning av attacksimulering beskrivs i Insikter och rapporter för träning av attacksimulering.

Förväntad kompromissfrekvens

Du behöver ofta skräddarsy en simulerad nätfiskekampanj för specifika målgrupper. Om nätfiskemeddelandet är för nära perfekt kommer nästan alla att luras av det. Om det är för misstänkt, kommer ingen att luras av det. Och de nätfiskemeddelanden som vissa användare anser vara svåra att identifiera anses vara lätta att identifiera av andra användare. Så hur gör man för att hitta en balans?

Den förväntade kompromissfrekvensen (PCR) anger den potentiella effektiviteten när nyttolasten används i en simulering. PCR använder intelligenta historiska data i Microsoft 365 för att förutsäga procentandelen personer som kommer att komprometteras av nyttolasten. Till exempel:

• Nyttolastinnehåll.
• Aggregerade och anonymiserade kompromissfrekvenser från andra simuleringar.
• Nyttolastmetadata.

Med PCR kan du jämföra de förutsagda och faktiska klickfrekvenserna för dina nätfiskesimuleringar. Du kan också använda dessa data för att se hur din organisation presterar jämfört med förutsagda resultat.

PCR-information för en nyttolast är tillgänglig oavsett var du visar och väljer nyttolaster, och i följande rapporter och insikter:

• Beteendepåverkan på kortet för intrångsfrekvens
• Fliken Träningseffekt för rapporten om attacksimulering

Tips

Attacksimulatorn använder säkra länkar i Defender för Office 365 för att på ett säkert sätt spåra klickdata för URL:en i nyttolastmeddelandet som skickas till målmottagare av en nätfiskekampanj, även om inställningen Spåra användares klick i principer för säkra länkar är inaktiverad.

Träning utan trick

Traditionella nätfiskesimuleringar presenterar användare med misstänkta meddelanden och följande mål:

• Få användarna att rapportera meddelandet som misstänkt.
• Tillhandahåll utbildning när användarna klickar på eller startar den simulerade skadliga nyttolasten och ger upp sina autentiseringsuppgifter.

Men ibland vill du inte vänta på att användarna ska vidta korrekta eller felaktiga åtgärder innan du ger dem utbildning. Träning av attacksimulering innehåller följande funktioner för att hoppa över väntan och gå direkt till träning:

• Utbildningskampanjer: En utbildningskampanj är ett utbildningsuppdrag för målanvändare. Du kan tilldela utbildning direkt utan att sätta användarna i test av en simulering. Utbildningskampanjer gör det enkelt att genomföra utbildningssessioner som månatlig utbildning om cybersäkerhetsmedvetenhet. Mer information finns i Utbildningskampanjer i Träning av attacksimulering.

• Instruktioner i simuleringar: Simuleringar som baseras på instruktioner för social teknik försöker inte testa användare. En instruktioner-guide är en enkel inlärningsupplevelse som användarna kan visa direkt i inkorgen. Följande inbyggda instruktionsguidenyttolaster är till exempel tillgängliga och du kan skapa egna (inklusive kopiering och anpassning av en befintlig nyttolast):

  • Undervisningsguide: Så här rapporterar du nätfiskemeddelanden
  • Undervisningsguide: Så här identifierar och rapporterar du QR-nätfiskemeddelanden