通过

攻击模拟训练的有效负载自动化

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在 Microsoft 365 E5 或计划 2 Microsoft Defender for Office 365 攻击模拟训练中,有效负载自动化 (也称为有效负载收集) 从组织中用户报告的实际网络钓鱼攻击中收集信息。 可以指定在钓鱼攻击中查找的条件, (例如收件人、社交工程技术或发件人信息) 。

有效负载自动化模拟来自攻击的消息和有效负载,并将它们存储为自定义有效负载,并在有效负载名称中包含标识符。 然后,可以在模拟或自动化中使用收获的有效负载,自动向目标用户启动无害的模拟。

有关如何收集有效负载自动化的详细信息,请参阅本文末尾的 附录 部分。

有关攻击模拟训练的入门信息,请参阅开始使用 攻击模拟训练

若要查看创建的任何现有有效负载自动化,请在 中打开Microsoft Defender门户https://security.microsoft.com,转到Email &协作>攻击模拟训练“自动”选项卡>>然后选择“有效负载自动化”。 若要直接转到“ 自动化 ”选项卡,可在其中选择 “有效负载自动化”,请使用 https://security.microsoft.com/attacksimulator?viewid=automations

每个有效负载自动化都显示以下信息。 可以通过单击可用的列标题对有效负载自动化进行排序。

  • 自动化名称
  • 类型:值为 Payload
  • 收集的项目
  • 上次修改时间
  • 状态:值为 ReadyDraft

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

创建有效负载自动化

若要创建有效负载自动化,请执行以下步骤:

  1. 在 Microsoft Defender 门户中https://security.microsoft.com/,转到Email &协作>攻击模拟训练>“自动”选项卡>“有效负载自动化”。 若要直接转到“ 自动化 ”选项卡,可在其中选择 “有效负载自动化”,请使用 https://security.microsoft.com/attacksimulator?viewid=automations

  2. “有效负载自动化”页上,选择“创建自动化以启动新的有效负载自动化向导。

    Microsoft Defender门户中攻击模拟训练“有效负载自动化”选项卡上的“创建模拟”按钮

    注意

    在新的有效负载自动化向导中命名有效负载自动化后,可以随时选择“ 保存并关闭 ”以保存进度,并在以后继续配置有效负载自动化。 未完成的有效负载自动化在“自动化”选项卡上的“有效负载自动化”中具有“状态”值“草稿”。可以通过选择有效负载自动化并单击“编辑自动化来选择中断的位置。

    目前,由于数据收集限制,GCC 环境中未启用有效负载收集。

  3. “自动化名称 ”页上,配置以下设置:

    • 名称:输入有效负载自动化的唯一描述性名称。
    • 说明:输入有效负载自动化的可选详细说明。

    完成“ 自动化名称 ”页后,选择“ 下一步”。

  4. “运行条件 ”页上,选择确定自动化运行时间的真实网络钓鱼攻击的条件。

    选择“ 添加条件 ”,然后从以下条件之一中进行选择:

    • 不正确。 市场活动目标用户数:在显示的框中,配置以下设置:
      • 等于小于大于小于或等于大于或等于
      • 输入值:网络钓鱼活动针对的用户数。
    • 具有特定网络钓鱼技术的活动:在显示的框中,选择一个可用值:
      • Credential Harvest
      • 恶意软件附件
      • 附件中的链接
      • 指向恶意软件的链接
      • 操作指南
    • 特定发件人域:在显示的框中,输入发件人电子邮件域值 (例如,contoso.com) 。
    • 特定发件人名称:在出现的框中,输入发件人名称值。
    • 特定发件人电子邮件:在显示的框中,输入发件人电子邮件地址。
    • 特定用户和组收件人:在显示的框中,开始键入用户或组的名称或电子邮件地址。 出现时,请选择它。

    每个条件只能使用一次。 多个条件使用 AND 逻辑 (<Condition1> 和 <Condition2>) 。

    若要添加其他条件,请选择“ 添加条件”。

    若要在添加条件后删除它,请选择

    完成“ 运行条件 ”页后,选择“ 下一步”。

  5. “查看自动化 ”页上,可以查看有效负载自动化的详细信息。

    可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。

    在“ 审阅自动化 ”页上完成操作后,选择“ 提交”。

  6. “新建自动化创建 ”页上,可以使用链接打开有效负载自动化或转到 “模拟 ”页。

    完成后,选择“ 完成”。

  7. 回到“自动化”选项卡中的“有效负载自动化”,创建的负载自动化现在以“状态”“就绪”列出

打开或关闭有效负载自动化

可以使用 “状态” 值“ 就绪”打开或关闭有效负载自动化。 无法使用 “状态” 值“ 草稿”打开或关闭不完整的有效负载自动化。

若要打开有效负载自动化,请单击名称旁边的“检查”框,从列表中选择它。 选择出现的“打开操作”,然后在对话框中选择“确认”。

若要关闭有效负载自动化,请单击名称旁边的“检查”框,从列表中选择它。 选择出现的“关闭”操作,然后在对话框中选择“确认”。

修改有效负载自动化

只能使用 “状态”“草稿 ”或已关闭来修改有效负载自动化。

若要在“有效负载自动化”页上修改现有 有效负载自动化 ,请执行以下步骤之一:

  • 通过选择名称旁边的“检查”框,从列表中选择有效负载自动化。 选择出现的“编辑自动化”操作。
  • 单击行中除“检查”框以外的任意位置,从列表中选择有效负载自动化。 在打开的详细信息浮出控件中,在“常规”选项卡上,选择“名称”、“说明”或“运行条件”部分中的“编辑”。

此时会打开有效负载自动化向导,其中包含所选有效负载自动化的设置和值。 这些步骤与 创建有效负载自动化 部分中所述的步骤相同。

删除有效负载自动化

若要删除有效负载自动化,请单击“检查”框,从列表中选择有效负载自动化。 选择出现的“删除”操作,然后在对话框中选择“确认”。

查看有效负载自动化详细信息

对于“状态”值为“就绪”的有效负载自动化,请在“有效负载自动化”页中选择有效负载,方法是单击名称旁边的“检查”框以外的行中的任意位置。 打开的详细信息浮出控件包含以下信息:

  • 有效负载自动化名称和收集的项数。

  • 常规”选项卡:

    • 上次修改时间
    • 类型:值为 Payload
    • “名称”、“ 说明”和“ 运行条件 ”部分:选择 “编辑” 以打开相关页面上的有效负载自动化向导。

  • “运行历史记录 ”选项卡:此选项卡仅适用于“ 状态” 值为 “就绪”的有效负载自动化。

    显示有关使用有效负载自动化的模拟的运行历史记录的信息。

    有效负载自动化的详细信息浮出控件中的“运行历史记录”选项卡。

提示

若要查看有关其他有效负载自动化的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。

附录

有效负载自动化依赖于Defender for Office 365标识为市场活动的电子邮件:

  • 管理员将 邮件标记为网络钓鱼 不会导致有效负载收集。

  • 有效负载自动化需要访问原始有效负载,其中包括满足以下条件的用户报告消息:

    • 邮件已传递到收件箱, (假负) 。
    • 用户将邮件报告为钓鱼。
    • 报告的邮件由用户或 管理员直接从提交门户) 提交到Microsoft (,Microsoft确定邮件是钓鱼邮件。

  • 如果消息满足前面文章 (创建有效负载自动化) 中的步骤 4 中所述 的有效负载自动化 条件,则收集符合条件的有效负载。

开始使用攻击模拟培训

攻击模拟训练的模拟自动化

通过攻击模拟培训获得见解