Saldırı simülasyonu eğitimini kullanmaya başlama

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 2

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Office 365 için Microsoft Defender Plan 2'ye (eklenti lisansları veya Microsoft 365 E5 gibi aboneliklere dahil) sahip kuruluşlarda, Saldırı simülasyonu eğitimi Microsoft Defender portalını kullanarak kuruluşunuzda gerçekçi saldırı senaryoları çalıştırabilirsiniz. Bu sanal saldırılar, gerçek bir saldırı sonucu etkilemeden önce savunmasız kullanıcıları belirlemenize ve bulmanıza yardımcı olabilir.

Bu makalede Saldırı simülasyonu eğitimi temelleri açıklanmaktadır.

Saldırı simülasyonu eğitimi hakkında daha fazla bilgi edinmek için bu kısa videoyu izleyin.

Not

Saldırı simülasyonu eğitimi, Tehdit yönetimi> Saldırısimülatörü veya https://protection.office.com/attacksimulatorkonumundaki Güvenlik & Uyumluluk Merkezi'nde bulunan eski Saldırı Simülatörü v1 deneyiminin yerini alır.

Başlamadan önce bilmeniz gerekenler

• Saldırı simülasyonu eğitimi için Microsoft 365 E5 veya Office 365 için Microsoft Defender Plan 2 lisansı gerekir. Lisanslama gereksinimleri hakkında daha fazla bilgi için bkz . Lisanslama koşulları.

• Saldırı simülasyonu eğitimi, şirket içi posta kutularını destekler ancak raporlama işlevselliğini azaltır. Daha fazla bilgi için bkz . Şirket içi posta kutularıyla ilgili raporlama sorunları.

• Microsoft Defender portalını açmak için adresine https://security.microsoft.comgidin. Saldırı simülasyonu eğitimi Email ve işbirliğinde> kullanılabilir Saldırı simülasyonu eğitimi. Doğrudan Saldırı simülasyonu eğitimi gitmek için kullanınhttps://security.microsoft.com/attacksimulator.

• Farklı Microsoft 365 abonelikleri arasında Saldırı simülasyonu eğitimi kullanılabilirliği hakkında daha fazla bilgi için bkz. Office 365 için Microsoft Defender hizmet açıklaması.

• Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Aşağıdaki seçeneklere sahipsiniz:

  • Microsoft Entra izinleri: Aşağıdaki rollerden birinde üye olmanız gerekir:

    • Genel Yönetici
    • Güvenlik Yöneticisi
    • Saldırı Benzetimi Yöneticileri^*: Saldırı simülasyonu kampanyalarının tüm yönlerini İçerik Oluşturucu ve yönetir.
    • Saldırı Yükü Yazarı^*: Bir yöneticinin daha sonra başlatabileceği saldırı yüklerini İçerik Oluşturucu.

    ^*Microsoft Defender portalında bu rol grubuna kullanıcı ekleme Email & işbirliği izinleri şu anda desteklenmiyor.

    Şu anda Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) desteklenmemaktadır.

• Saldırı simülasyonu eğitimi için karşılık gelen PowerShell cmdlet'leri yoktur.

• Saldırı benzetimi ve eğitimle ilgili veriler, Microsoft 365 hizmetleri için diğer müşteri verileriyle birlikte depolanır. Daha fazla bilgi için bkz. Microsoft 365 veri konumları. Saldırı simülasyonu eğitimi şu bölgelerde kullanılabilir: APC, EUR ve NAM. Saldırı simülasyonu eğitimi kullanılabildiği bu bölgelerdeki ülkeler şunlardır: ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE ve ZAF.

  Not

  NOR, ZAF, ARE ve DEU en son eklemelerdir. Bildirilen e-posta telemetrisi dışındaki tüm özellikler bu bölgelerde kullanılabilir. Özellikleri etkinleştirmek için çalışıyoruz ve bildirilen e-posta telemetrisi kullanılabilir duruma gelir gelmez müşterileri bilgilendireceğiz.

• Eylül 2023 itibarıyla Saldırı simülasyonu eğitimi Microsoft 365 GCC ve GCC High ortamlarında kullanılabilir, ancak bazı gelişmiş özellikler GCC High'da kullanılamaz (örneğin, yük otomasyonu, önerilen yükler, tahmin edilen risk altındaki hız). Kuruluşunuzda Office 365 G5 GCC veya Kamu için Office 365 için Microsoft Defender (Plan 2) varsa, bu makalede açıklandığı gibi Saldırı simülasyonu eğitimi kullanabilirsiniz. Saldırı simülasyonu eğitimi henüz DoD ortamlarında kullanılamaz.

Not

Saldırı simülasyonu eğitimi, E3 müşterilerine deneme olarak bir özellik alt kümesi sunar. Deneme teklifi, Kimlik Bilgisi Toplama yükünü kullanma ve 'ISA Kimlik Avı' veya 'Kitle Market Kimlik Avı' eğitim deneyimlerini seçme özelliğini içerir. E3 deneme teklifinin parçası başka hiçbir özellik yoktur.

Simülasyon

Saldırı simülasyonu eğitimi simülasyonu, kullanıcılara gerçekçi ancak zararsız kimlik avı iletileri sunan genel bir kampanyadır. Simülasyonun temel öğeleri şunlardır:

• Kimlik avı simülasyonu iletisini kim ve hangi zamanlamaya göre alır?
• Kullanıcıların sanal kimlik avı iletisindeki eylemlerini veya eylem eksikliğini (hem doğru hem de yanlış eylemler için) temel alarak aldıkları eğitim.
• Kimlik avı simülasyonu iletisinde kullanılan yük (bağlantı veya ek) ve kimlik avı iletisinin bileşimi (örneğin, paket teslim edildi, hesabınızla ilgili sorun veya ödül kazandınız).
• Kullanılan sosyal mühendislik tekniği . Yük ve sosyal mühendislik tekniği yakından ilgilidir.

Saldırı simülasyonu eğitimi'da birden çok sosyal mühendislik tekniği mevcuttur. Nasıl Yapılır Kılavuzu dışında, bu teknikler MITRE ATT&CK® çerçevesinden seçilmiştir. Farklı teknikler için farklı yükler kullanılabilir.

Aşağıdaki sosyal mühendislik teknikleri mevcuttur:

• Kimlik Bilgisi Toplama: Saldırgan, alıcıya URL içeren bir ileti gönderir. Alıcı URL'ye tıkladığında, genellikle kullanıcıdan kullanıcı adını ve parolasını isteyen bir iletişim kutusu gösteren bir web sitesine yönlendirilir. Genellikle hedef sayfa, kullanıcıya güven oluşturmak için iyi bilinen bir web sitesini temsil edecek şekilde temalıdır.

• Kötü Amaçlı Yazılım Eki: Saldırgan, alıcıya ek içeren bir ileti gönderir. Alıcı eki açtığında, saldırganın ek kod yüklemesine veya kendini daha fazla geliştirmesine yardımcı olmak için kullanıcının cihazında rastgele kod (örneğin, bir makro) çalıştırılır.

• Ekteki Bağlantı: Bu teknik, kimlik bilgisi toplamasının karmasıdır. Saldırgan, alıcıya ekin içinde URL içeren bir ileti gönderir. Alıcı eki açıp URL'ye tıkladığında, genellikle kullanıcıdan kullanıcı adını ve parolasını isteyen bir iletişim kutusu gösteren bir web sitesine yönlendirilir. Genellikle hedef sayfa, kullanıcıya güven oluşturmak için iyi bilinen bir web sitesini temsil edecek şekilde temalıdır.

• Kötü Amaçlı Yazılım Bağlantısı: Saldırgan, alıcıya iyi bilinen bir dosya paylaşım sitesindeki (örneğin, SharePoint Online veya Dropbox) ekin bağlantısını içeren bir ileti gönderir. Alıcı URL'ye tıkladığında ek açılır ve saldırganın ek kod yüklemesine veya kendini daha fazla geliştirmesine yardımcı olmak için kullanıcının cihazında rastgele kod (örneğin, bir makro) çalıştırılır.

• Url'ye göre sürücü: Saldırgan, alıcıya URL içeren bir ileti gönderir. Alıcı URL'ye tıkladığında arka plan kodunu çalıştırmaya çalışan bir web sitesine yönlendirilir. Bu arka plan kodu, alıcı hakkında bilgi toplamaya veya cihazında rastgele kod dağıtmaya çalışır. Genellikle, hedef web sitesi gizliliği ihlal edilmiş iyi bilinen bir web sitesi veya iyi bilinen bir web sitesinin kopyasıdır. Web sitesi hakkında bilgi sahibi olmak, kullanıcıyı bağlantının tıklandığında güvenli olduğuna ikna etmeye yardımcı olur. Bu teknik bir sulama deliği saldırısı olarak da bilinir.

• OAuth Onayı Verme: Saldırgan, verilere erişim elde etmek isteyen kötü amaçlı bir Azure Uygulaması oluşturur. Uygulama, URL içeren bir e-posta isteği gönderir. Alıcı URL'ye tıkladığında, uygulamanın onay verme mekanizması verilere (örneğin, kullanıcının Gelen Kutusu) erişim ister.

• Nasıl Yapılır Kılavuzu: Kullanıcılar için yönergeler içeren bir eğitim kılavuzu (örneğin, kimlik avı iletilerini bildirme).

Saldırı simülasyonu eğitimi tarafından kullanılan URL'ler aşağıdaki tabloda listelenmiştir:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Not

Url'yi bir kimlik avı kampanyasında kullanmadan önce desteklenen web tarayıcılarınızda sanal kimlik avı URL'sinin kullanılabilirliğini denetleyin. Daha fazla bilgi için bkz . Google Güvenli Gözatma tarafından engellenen kimlik avı benzetimi URL'leri.

İçerik Oluşturucu simülasyonları

Simülasyon oluşturma ve başlatma yönergeleri için bkz. Kimlik avı saldırısı simülasyonu.

Simülasyondaki giriş sayfası , kullanıcıların yükü açtıklarında gittiği yerdir. Simülasyon oluşturduğunuzda, kullanılacak giriş sayfasını seçersiniz. Yerleşik giriş sayfaları, önceden oluşturduğunuz özel giriş sayfaları arasından seçim yapabilir veya simülasyon oluşturma sırasında kullanmak üzere yeni bir giriş sayfası oluşturabilirsiniz. Giriş sayfaları oluşturmak için bkz. Saldırı simülasyonu eğitimi giriş sayfaları.

Simülasyondaki son kullanıcı bildirimleri kullanıcılara düzenli anımsatıcılar gönderir (örneğin, eğitim ataması ve anımsatıcı bildirimleri). Yerleşik bildirimler, önceden oluşturduğunuz özel bildirimler arasından seçim yapabilir veya simülasyon oluşturma sırasında kullanmak üzere yeni bildirimler oluşturabilirsiniz. Bildirim oluşturmak için bkz. Saldırı simülasyonu eğitimi için son kullanıcı bildirimleri.

İpucu

Simülasyon otomasyonları, geleneksel simülasyonlar üzerinde aşağıdaki iyileştirmeleri sağlar:

• Simülasyon otomasyonları birden çok sosyal mühendislik tekniğini ve ilgili yükleri içerebilir (simülasyonlar yalnızca bir tane içerir).
• Simülasyon otomasyonları otomatik zamanlama seçeneklerini destekler (simülasyonlarda yalnızca başlangıç tarihi ve bitiş tarihinden fazlası).

Daha fazla bilgi için bkz. Saldırı simülasyonu eğitimi için simülasyon otomasyonları.

Yük

Saldırı simülasyonu kullanılabilir sosyal mühendislik teknikleri için birçok yerleşik yük içerse de, mevcut yükü kopyalama ve özelleştirme dahil olmak üzere iş gereksinimlerinize daha uygun özel yükler oluşturabilirsiniz. Simülasyonu oluşturmadan önce veya simülasyonun oluşturulması sırasında istediğiniz zaman yük oluşturabilirsiniz. Yük oluşturmak için bkz. Saldırı simülasyonu eğitimi için özel bir yük İçerik Oluşturucu.

Ek sosyal mühendislik tekniklerindeKimlik Bilgisi Toplama veya Bağlantı kullanan simülasyonlarda, oturum açma sayfaları seçtiğiniz yükün bir parçasıdır. Oturum açma sayfası, kullanıcıların kimlik bilgilerini girdiği web sayfasıdır. Her geçerli yük varsayılan bir oturum açma sayfası kullanır, ancak kullanılan oturum açma sayfasını değiştirebilirsiniz. Yerleşik oturum açma sayfalarından, önceden oluşturduğunuz özel oturum açma sayfalarından seçim yapabilir veya simülasyon veya yük oluşturma sırasında kullanmak üzere yeni bir oturum açma sayfası oluşturabilirsiniz. Oturum açma sayfaları oluşturmak için bkz. Saldırı simülasyonu eğitimi oturum açma sayfaları.

Kimlik avı iletilerinin simülasyonu için en iyi eğitim deneyimi, bunları kuruluşunuzun karşılaşabileceği gerçek kimlik avı saldırılarına mümkün olduğunca yakın hale getirmektir. Microsoft 365'te algılanan gerçek dünya kimlik avı iletilerinin zararsız sürümlerini yakalayıp kullanabilir ve bunları sanal kimlik avı kampanyalarında kullanabilirseniz ne olur? Yük otomasyonlarıyla (yüktoplama olarak da bilinir) yapabilirsiniz. Yük otomasyonları oluşturmak için bkz. Saldırı simülasyonu eğitimi için yük otomasyonları.

Raporlar ve içgörüler

Simülasyonu oluşturup başlattıktan sonra nasıl gittiğini görmeniz gerekir. Örneğin:

• Herkes aldı mı?
• Kimlik avı simülasyonu iletisine ve içindeki yüke kim ne yaptı (sil, raporla, yükü aç, kimlik bilgilerini gir vb.).
• Atanan eğitimi tamamlayan kişi.

Saldırı simülasyonu eğitimi için kullanılabilir raporlar ve içgörüler, Saldırı simülasyonu eğitimi için içgörüler ve raporlar bölümünde açıklanmıştır.

Tahmin edilen risk oranı

Genellikle belirli hedef kitleler için sanal kimlik avı kampanyasını uyarlamanız gerekir. Kimlik avı iletisi mükemmele çok yakınsa, hemen hemen herkes tarafından kandırılır. Eğer çok kuşkuluysa, kimse kandırılamaz. Ayrıca, bazı kullanıcıların tanımlamakta zorlandığını düşündüğü kimlik avı iletilerinin diğer kullanıcılar tarafından tanımlanması kolay kabul edilir. Peki sen nasıl dengedesin?

Tahmin edilen risk oranı (PCR), yük simülasyonda kullanıldığında olası etkinliği gösterir. PCR, yük tarafından tehlikeye atılacak kişilerin yüzdesini tahmin etmek için Microsoft 365 genelinde akıllı geçmiş verileri kullanır. Örneğin:

• İçerik yükle.
• Diğer simülasyonlardan toplanan ve anonimleştirilmiş risk oranları.
• Yük meta verileri.

PCR, kimlik avı simülasyonlarınız için tahmin edilen ve gerçek tıklama oranlarını karşılaştırmanıza olanak tanır. Kuruluşunuzun tahmin edilen sonuçlarla karşılaştırıldığında nasıl performans sergilediğini görmek için de bu verileri kullanabilirsiniz.

Yük için PCR bilgileri, yükleri görüntüleyip seçtiğiniz her yerde ve aşağıdaki raporlarda ve içgörülerde kullanılabilir:

• Risk oranı kartı üzerindeki davranış etkisi
• Saldırı benzetimi raporu için eğitim etkinliği sekmesi

İpucu

Saldırı Simülatörü, Güvenli Bağlantılar ilkelerindeki Kullanıcı tıklamalarını izle ayarı kapalı olsa bile, bir kimlik avı kampanyasının hedeflenen alıcılarına gönderilen yük iletisindeki URL'ye ait tıklama verilerini güvenli bir şekilde izlemek için Office 365 için Defender'de Güvenli Bağlantılar'ı kullanır.

Püf noktaları olmadan eğitim

Geleneksel kimlik avı simülasyonları, kullanıcılara şüpheli iletiler ve aşağıdaki hedefleri sunar:

• Kullanıcıların iletiyi şüpheli olarak bildirmesini sağlayın.
• Kullanıcılar sanal kötü amaçlı yüke tıklayıp başlattıktan ve kimlik bilgilerini verdikten sonra eğitim sağlayın.

Ancak bazen kullanıcıların eğitim vermeden önce doğru veya yanlış eylemler gerçekleştirmesini beklemek istemezsiniz. Saldırı simülasyonu eğitimi beklemeyi atlamak ve doğrudan eğitime gitmek için aşağıdaki özellikleri sağlar:

• Eğitim kampanyaları: Eğitim kampanyası, hedeflenen kullanıcılar için yalnızca eğitim amaçlı bir ödevdir. Kullanıcıları benzetimi test etmeden doğrudan eğitim atayabilirsiniz. Eğitim kampanyaları, aylık siber güvenlik farkındalığı eğitimi gibi öğrenme oturumları yürütmeyi kolaylaştırır. Daha fazla bilgi için bkz. Saldırı simülasyonu eğitimi'de eğitim kampanyaları.

• Simülasyonlarda Nasıl Yapılır Kılavuzları: Nasıl Yapılır Kılavuzu sosyal mühendislik tekniğine dayalı simülasyonlar kullanıcıları test etmeye çalışmaz. Nasıl yapılır kılavuzu, kullanıcıların doğrudan Gelen Kutuları'nda görüntüleyebileceği basit bir öğrenme deneyimidir. Örneğin, aşağıdaki yerleşik Nasıl Yapılır Kılavuzu yükleri kullanılabilir ve kendi yükünüzü oluşturabilirsiniz ( mevcut yükü kopyalama ve özelleştirme dahil):

  • Öğretim kılavuzu: Kimlik avı iletilerini bildirme
  • Öğretim Kılavuzu: QR kimlik avı iletilerini tanıma ve bildirme