攻击模拟训练中的Microsoft Teams
重要
目前,攻击模拟训练中的Microsoft Teams 以个人预览版提供。 本文中的信息可能会更改。
在具有 Microsoft Defender for Office 365 计划 2 或 Microsoft Defender XDR 的组织中,管理员现在可以使用攻击模拟培训在 Microsoft Teams 中传送模拟钓鱼邮件。 有关攻击模拟训练的详细信息,请参阅开始使用 Defender for Office 365 中的攻击模拟训练。
在攻击模拟训练中添加 Teams 会影响以下功能:
攻击模拟训练中的 Teams 不会影响有效负载自动化、最终用户通知、登录页和登陆页面。
提示
你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。
Teams 模拟配置
注意
目前,仅当组织注册了 Teams 攻击模拟训练的专用预览版时,本部分中的步骤才适用。
除了按照 Microsoft Teams 中的用户报告消息设置中所述打开 Teams 消息的用户报告外,还需要配置可用作攻击模拟训练中模拟消息源的 Teams 帐户。 若要配置帐户,请执行以下步骤:
在 Entra ID 中标识或创建用户,该用户是 全局管理员*、 安全管理员或 攻击模拟管理员 角色的成员,Microsoft Entra ID。 为 Microsoft Teams 分配Microsoft 365、Office 365、Microsoft Teams Essentials、Microsoft 365 Business Basic 或 Microsoft 365 Business Standard 许可证。 需要知道密码。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
使用步骤 1 中的帐户,打开 Microsoft Defender 门户, https://security.microsoft.com 然后转到 “电子邮件 & 协作>攻击模拟训练>设置 ”选项卡。或者,若要直接转到 “设置” 选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=setting。
在“设置”选项卡上的“Teams 模拟配置”部分选择“管理器用户帐户”。
在打开的 Teams 模拟配置 浮出控件中,选择“ 生成令牌”。 阅读确认对话框中的信息,然后选择“ 我同意”。
返回“设置”选项卡,再次选择“Teams 模拟配置”部分中的“管理器用户帐户”,以重新打开 Teams 模拟配置浮出控件。 你登录的用户帐户现在显示在 可用于 Teams 网络钓鱼的用户帐户 部分中。
若要从列表中删除用户,请选中显示名称值旁边的复选框,而无需单击行中的其他位置。 选择出现的“删除”操作,然后在确认对话框中选择“删除”。
若要防止帐户在 Teams 模拟中使用,但保留帐户的链接模拟历史记录,请选中显示名称值旁边的复选框,而不单击行中的其他任何位置。 选择显示的停用操作。
Microsoft Teams 的模拟更改
Teams 在查看和创建模拟方面引入了以下更改,如 在 Defender for Office 365 中使用攻击模拟训练模拟网络钓鱼攻击中所述:
在 的“ 模拟 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=simulations, “平台 ”列显示使用 Teams 消息的模拟的 Teams 值。
如果在“模拟”选项卡上选择“
启动模拟”以创建模拟,则新模拟向导的第一页是“选择交付平台”,你可以在其中选择Microsoft Teams。 选择 “Microsoft Teams ”将引入对新模拟向导的其余部分的以下更改:
在 “选择技术” 页上,以下社交工程技术不可用:
- 恶意软件附件
- 附件中的链接
- 操作指南
在 “名称模拟 ”页上,存在 “选择发件人的Microsoft Teams 帐户 ”部分和 “选择用户帐户” 链接。 选择 “选择用户帐户 ”以查找并选择用作 Teams 消息源的帐户。
用户列表来自 处https://security.microsoft.com/attacksimulator?viewid=setting攻击模拟训练的“设置”选项卡上的 Teams 模拟配置部分。 本文前面的 Teams 模拟配置 部分介绍了如何配置帐户。
在 “选择有效负载和登录”页上,默认情况下不会列出任何有效负载,因为 Teams 没有内置有效负载。 你需要为 Teams 和所选的社会工程技术的组合创建有效负载。
本文的 Microsoft Teams 有效负载更改 部分介绍了为 Teams 创建有效负载时的差异。
在 “目标用户 ”页上,Teams 的以下设置有所不同:
- 如页面上所述,Teams 中的来宾用户被排除在模拟之外。
与模拟相关的其他设置与 Teams 邮件相关的设置与电子邮件的现有内容中所述相同。
Microsoft Teams 的有效负载更改
无论是在“内容库”选项卡的“有效负载”页还是在新模拟向导中的“选择有效负载和登录”页上创建有效负载,Teams 都会按照 Defender for Office 365 攻击模拟训练中的有效负载中所述,引入以下对查看和创建有效负载的更改:
在“内容库”选项卡的“有效负载”页上的“全局有效负载”和“租户有效负载”选项卡上,“平台”https://security.microsoft.com/attacksimulator?viewid=contentlibrary列显示使用 Teams 消息的有效负载的 Teams 值。
如果选择“筛选”
以筛选现有有效负载的列表,则会提供“平台”部分,可在其中选择“电子邮件和 Teams”。
如前所述,Teams 没有内置有效负载,因此,如果在“全局有效负载”选项卡上按“状态>团队”进行筛选,列表将为空。
如果在“租户有效负载”选项卡上选择“
创建有效负载”以创建有效负载,则新有效负载向导的第一页是“选择类型”,可在其中选择 Teams。 选择 Teams 会对新有效负载向导的其余部分进行以下更改:
在 “选择技术” 页上, “恶意软件附件 ”和 “附件中的链接” 社交工程技术不适用于 Teams。
“ 配置有效负载 ”页对 Teams 进行了以下更改:
- 发件人详细信息 部分:Teams 的唯一可用设置是 “聊天主题 ”,可在其中为 Teams 消息输入磁贴。
- 最后一部分未命名为 “电子邮件”,但它在 Teams 邮件中的工作方式与电子邮件功能相同:
- 有一个 导入 Teams 消息 按钮,用于导入要用作起点的现有纯文本消息文件。
- “文本”选项卡上提供了“动态标记”和“网络钓鱼”链接控件,“代码”选项卡与电子邮件一样可用。
Teams 邮件与有效负载相关的其他设置与电子邮件的现有内容中所述相同。
Microsoft Teams 的模拟自动化更改
Teams 在查看和创建模拟自动化方面引入了以下更改,如 针对攻击模拟训练的模拟自动化中所述:
在 的“自动化”选项卡的“模拟自动化”https://security.microsoft.com/attacksimulator?viewid=automations页上,还提供了以下列:
- 类型:目前,此值始终是 社会工程。
- 平台:显示 使用 Teams 消息的有效负载自动化的 Teams 值,对于使用电子邮件的有效负载自动化,显示“ 电子邮件 ”的值。
如果在“模拟自动化”页上选择“
创建自动化”以创建模拟自动化,则新模拟自动化向导的第一页是“选择交付平台”,你可以在其中选择 Teams。 选择 Teams 会将以下更改引入到新模拟自动化向导的其余部分:
在 “自动化名称 ”页上,在 “选择发件人帐户的选择方法” 部分中,Teams 可以使用以下设置:
- 手动选择:此值默认处于选中状态。 在 “选择发件人Microsoft Teams 帐户 ”部分中,选择 “选择要 查找的用户帐户”,然后选择用作 Teams 消息源的帐户。
- 随机化:从可用帐户中随机选择用作 Teams 消息源的帐户。
在 “选择社交工程技术” 页上, “恶意软件附件 ”和 “附件”中的“链接 ”社交工程技术不适用于 Teams。
在 “选择有效负载和登录”页上 ,默认情况下不会列出任何有效负载,因为 Teams 没有内置有效负载。 可能需要为 Teams 和所选的社交工程技术的组合创建有效负载。
本文的 Microsoft Teams 有效负载更改 部分介绍了为 Teams 创建有效负载时的差异。
在 “目标用户 ”页上,Teams 的以下设置有所不同:
- 如页面上所述,使用 Teams 的模拟自动化最多可以面向 1000 个用户。
- 如果选择“ 仅包括特定用户和组”,则 “城市 不是 按类别筛选用户 ”部分中的可用筛选器。
Teams 邮件与模拟自动化相关的其他设置与电子邮件的现有内容中所述相同。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈