开始在Defender for Office 365中使用攻击模拟训练

提示

是否知道可以在 Microsoft 365 Defender 中免费试用Office 365计划 2 中的功能? 在Microsoft 365 Defender门户试用中心使用为期 90 天的Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

适用于Microsoft Defender for Office 365计划 2

如果组织Microsoft 365 E5或Microsoft Defender for Office 365计划 2(包括威胁调查和响应功能),则可以在Microsoft 365 Defender中使用攻击模拟训练 在组织中运行实际攻击方案的门户。 这些模拟攻击可以帮助你在实际攻击影响你的底线之前识别和查找易受攻击的用户。 阅读本文以了解详细信息。

观看此简短视频,了解有关攻击模拟训练的详细信息。

备注

攻击模拟训练替换在 威胁管理 > 攻击模拟器 或安全&合规中心提供的旧攻击模拟器 https://protection.office.com/attacksimulatorv1 体验。

开始前,有必要了解什么?

  • 若要打开 Microsoft 365 Defender 门户,请转到 https://security.microsoft.com。 攻击模拟训练可用于 Email和协作 > 攻击模拟训练。 若要直接转到攻击模拟训练,请使用https://security.microsoft.com/attacksimulator

  • 有关不同 Microsoft 365 订阅中攻击模拟训练可用性的详细信息,请参阅Microsoft Defender for Office 365服务说明

  • 需要在 Azure Active Directory 中分配权限,然后才能执行本文中的过程。 具体而言,需要成为以下角色之一的成员:

    • 全局管理员
    • 安全管理员
    • 攻击模拟管理员*:创建和管理攻击模拟活动的各个方面。
    • 攻击有效负载作者*:创建管理员稍后可以启动的攻击有效负载。

    *当前不支持在 Microsoft 365 Defender 门户中将用户添加到此角色。

    有关详细信息,请参阅Microsoft 365 Defender门户关于管理员角色的权限。

  • 攻击模拟训练没有相应的 PowerShell cmdlet。

  • 攻击模拟和训练相关数据与 Microsoft 365 服务的其他客户数据一起存储。 有关详细信息,请参阅 Microsoft 365 数据位置。 攻击模拟在以下区域中可用:NAM、APC、EUR、IND、CAN、AUS、FRA、GBR、JPN、KOR、BRA、LAM、CHE、NOR、ZAF、IS 和 DEU。

    备注

    NOR、ZAF、ARE 和 DEU 是最新的新增功能。 除了报告的电子邮件遥测之外,所有功能都可在这些区域中使用。 我们正在努力启用此功能,并在报告的电子邮件遥测数据可用后立即通知客户。

  • 自 2021 年 6 月 15 日起,GCC 中提供了攻击模拟训练。 如果你的组织已Office 365 G5 GCC 或Microsoft Defender for Office 365 (计划 2) ,则可以使用Microsoft 365 Defender门户中的攻击模拟训练在组织中运行实际的攻击方案,如本文所述。 攻击模拟训练在 GCC High 或 DoD 环境中尚不可用。

备注

攻击模拟训练为 E3 客户提供一部分功能作为试用版。 试用版产品/服务包含使用凭据收获有效负载的功能,以及选择“ISA 网络钓鱼”或“大众市场钓鱼”培训体验的能力。 没有其他功能是 E3 试用版产品/服务的一部分。

模拟

网络钓鱼 是电子邮件攻击的一个通用术语,这些攻击试图窃取看似来自合法或受信任发件人的消息中的敏感信息。 网络钓鱼 是我们分类为 社会工程 的一部分技术的一部分。

在攻击模拟训练中,提供了多种类型的社会工程技术:

  • 凭据收获:攻击者向收件人发送包含 URL 的消息。 当收件人单击 URL 时,他们将转到通常显示一个对话框的网站,该对话框向用户询问其用户名和密码。 通常,目标页面以表示已知网站为主题,以便在用户中建立信任。

  • 恶意软件附件:攻击者向收件人发送包含附件的消息。 例如,当收件人打开附件时,任意代码 (在用户设备上运行宏) ,以帮助攻击者安装其他代码或进一步巩固自身。

  • 附件中的链接:这是凭据收获的混合形式。 攻击者向收件人发送一条包含附件内 URL 的消息。 当收件人打开附件并单击 URL 时,它们会转到通常显示一个对话框的网站,该对话框向用户询问其用户名和密码。 通常,目标页面以表示已知网站为主题,以便在用户中建立信任。

  • 指向恶意软件的链接:攻击者向收件人发送一条消息,其中包含一个指向已知文件共享网站上附件的链接, (例如 SharePoint Online 或 Dropbox) 。 当收件人单击 URL 时,附件将打开,任意代码 (例如,在用户设备上运行宏) ,以帮助攻击者安装其他代码或进一步巩固自身。

  • 逐 URL:攻击者向收件人发送包含 URL 的消息。 当收件人单击该 URL 时,它们将转到尝试运行后台代码的网站。 此后台代码尝试收集有关收件人的信息,或在其设备上部署任意代码。 通常,目标网站是已泄露的知名网站或已知网站的克隆。 熟悉网站有助于让用户相信链接可以安全单击。 这种技术也称为 浇水孔攻击

  • OAuth 许可授予:攻击者创建恶意Azure 应用程序,以寻求访问数据。 应用程序发送包含 URL 的电子邮件请求。 当收件人单击 URL 时,应用程序的同意授予机制会请求访问数据 (例如,用户的收件箱) 。

以下列表中介绍了攻击模拟训练使用的 URL:

备注

在网络钓鱼活动中使用 URL 之前,请检查受支持的 Web 浏览器中模拟网络钓鱼 URL 的可用性。 虽然我们与许多 URL 信誉供应商合作,始终允许这些模拟 URL,但我们并不总是具有完整的覆盖范围 (例如,Google Safe Browsing) 。 大多数供应商提供指导,使你可以始终允许特定 URL (例如 https://support.google.com/chrome/a/answer/7532419 ,) 。

创建模拟

有关如何创建和发送新模拟的分步说明,请参阅 模拟钓鱼攻击

创建有效负载

有关如何创建在模拟中使用的有效负载的分步说明,请参阅为攻击模拟训练创建自定义有效负载

获取见解

有关如何通过报告获取见解的分步说明,请参阅通过攻击模拟训练获取见解

备注

攻击模拟器使用Defender for Office 365中的安全链接安全地跟踪发送给网络钓鱼活动的目标收件人的有效负载消息中 URL 的单击数据,即使 “跟踪”用户单击 安全链接策略中的设置已关闭。