攻击模拟训练的模拟自动化

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 2

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在 Microsoft 365 E5 或计划 2 Microsoft Defender for Office 365 攻击模拟训练 中，通过模拟自动化，可以在组织中运行多个良性网络攻击模拟。 模拟自动化可以包含多种社交工程技术和有效负载，并且可以按自动计划启动。 创建模拟自动化类似于 创建单个模拟，但能够选择多种技术、有效负载和自动化计划。

有关攻击模拟训练的入门信息，请参阅开始使用 攻击模拟训练。

若要查看创建的任何现有模拟自动化，请在 中打开Microsoft Defender门户https://security.microsoft.com，转到Email &协作>攻击模拟训练>“自动”选项卡>，然后选择“模拟自动化”。 若要直接转到“ 自动化 ”选项卡，可在其中选择“ 模拟自动化”，请使用 https://security.microsoft.com/attacksimulator?viewid=automations。 还可以在“ 模拟 ”选项卡中查看自动模拟，其前缀 AutomatedSimulation_ ，并在 “创建者”列下提供了自动化名称。

在“自动化”选项卡中，每个模拟自动化都显示以下信息。可以通过单击可用的列标题对模拟自动化进行排序。

• 名称市场活动
• 状态： 活动、 非活动或 草稿。
• 下次启动时间
• 上次修改时间
• 创建者

创建模拟自动化

提示

有关创建说明，检查以下简短视频：https://youtu.be/QXElYtr7ZJ0。

若要创建模拟自动化，请执行以下步骤：

1. 在 Microsoft Defender 门户中https://security.microsoft.com/，转到Email &协作>攻击模拟训练>“自动”选项卡“>模拟自动化”。 或者，若要直接转到“ 自动化 ”选项卡，可在其中选择 “模拟自动化”，请使用 https://security.microsoft.com/attacksimulator?viewid=automations。

2. 在“模拟自动化”页上，选择“创建自动化”以启动新的模拟自动化向导。

   

   以下部分介绍创建模拟自动化的步骤和配置选项。

   注意

   在新的模拟自动化向导中命名模拟自动化后，可以随时选择“ 保存并关闭 ”以保存进度并稍后继续。 不完整的模拟自动化具有 “状态” 值 “草稿”。 可以通过从列表中选择模拟自动化，然后单击出现的“编辑自动化”操作，在离开的位置继续。

命名和描述模拟自动化

在 “自动化名称 ”页上，配置以下设置：

• 名称：输入模拟的唯一描述性名称。
• 说明：输入模拟的可选详细说明。

完成“ 自动化名称 ”页后，选择“ 下一步”。

选择一种或多种社交工程技术

在 “选择社会工程技术” 页上，选择一个或多个可用的社交工程技术，这些技术是从 MITRE ATT&CK® 框架中策划的。 不同的有效负载可用于不同的技术。 以下社会工程技术可用：

• 凭据获取：尝试通过将用户带到具有输入框的已知外观网站来收集凭据，以提交用户名和密码。
• 恶意软件附件：向邮件添加恶意附件。 当用户打开附件时，将运行帮助攻击者入侵目标设备的任意代码。
• 附件中的链接：一种凭据收集混合类型。 攻击者将 URL 插入电子邮件附件。 附件中的 URL 遵循与凭据收集相同的技术。
• 指向恶意软件的链接：从已知文件共享服务上托管的文件中运行一些任意代码。 发送给用户的消息包含指向此恶意文件的链接。 打开该文件可帮助攻击者入侵目标设备。
• 逐路 URL：消息中的恶意 URL 会将用户带到熟悉的网站，该网站以无提示方式运行和/或在用户的设备上安装代码。
• OAuth 同意授予：恶意 URL 要求用户授予对恶意Azure 应用程序数据的权限。

如果在说明中选择“ 查看详细信息” 链接，则会打开一个详细信息浮出控件，用于描述技术以及该技术产生的模拟步骤。

完成“ 选择社交工程技术” 页后，选择“ 下一步”。

选择有效负载和登录页

在 “选择有效负载和登录”页上 ，需要为所选的每个社交工程技术选择至少一个现有有效负载，或者可以创建新的有效负载以供使用。

对于 “附件中的凭据收获 ”或 “链接” 社交工程技术，还可以查看有效负载中使用的登录页、选择要使用的其他登录页或创建要使用的新登录页。 所选登录页将跨各种所选有效负载使用。

选择有效负载

在 “选择有效负载和登录”页上 ，选择以下选项之一：

• 随机化：将从可用的全局和租户有效负载中随机选择有效负载。 此页上没有其他任何配置，因此选择“ 下一步 ”以继续。

• 手动选择：为每个有效负载显示以下详细信息。 选择要按该列排序的列标题：

  • 有效负载名称
  • 源：对于内置有效负载，值为 Global。 对于自定义有效负载，值为 Tenant。
  • 技术：需要在“ 选择社交工程技术 ”页上选择每个技术至少选择一个有效负载。
  • 语言：有效负载内容的语言。 Microsoft的有效负载目录 (全局) 提供 29 多种语言的有效负载。
  • 预测泄露率 (%) ：跨 Microsoft 365 的历史数据，用于预测 (用户泄露的用户/接收有效负载) 的用户总数的百分比。 有关详细信息，请参阅 预测的泄露率。

  使用“ 搜索 ”框搜索现有有效负载的名称。

  如果通过单击名称旁边的检查框以外的任何位置从列表中选择有效负载，则浮出控件中会显示有关有效负载的详细信息：

  • “概述”选项卡 (“凭据收获中的有效负载”和“附件有效负载中的链接”) 包含有关有效负载的详细信息，包括预览。
  • “ 登录页 ”选项卡仅适用于 “附件 有效负载中的凭据收获”或 “链接 ”，并在 “选择登录页” 小节中介绍。
  • “ 附件 ”选项卡仅适用于 “恶意软件附件”、“ 附件中的链接”和 “Oauth 同意授予 ”有效负载。 此选项卡包含有关附件的详细信息，包括预览。
  • “ 启动的模拟 ”选项卡包含 “模拟名称”、“ 单击率”、“ 已泄露率”和 “操作”。

  提示

  若要查看有关其他有效负载的详细信息，而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

  保持有效负载详细信息浮出控件处于打开状态，以更改登录页或创建一个新的登录页以使用，如以下小节中所述。

  或者，如果已完成有效负载详细信息浮出控件，请选择“关闭”以返回到“选择有效负载和登录”页，验证是否选择了一个或多个所需的有效负载，然后选择“下一步”继续。

  

选择登录页

注意

“ 登录页 ”选项卡仅在 “凭据收获 ”或 “附件有效负载中的链接” 的详细信息浮出控件中可用。

在“选择有效负载和登录”页上，通过单击名称旁边的“检查”框以外的任何位置，从列表中选择“凭据收获”或“附件有效负载中的链接”，打开有效负载的详细信息浮出控件。

在有效负载的详细信息浮出控件中，“ 登录页 ”选项卡显示当前为有效负载选择的登录页。

若要查看完整的登录页，请使用页面底部的第 1页和第 2 页 链接获取两页登录页。

使用以下过程之一更改有效负载中使用的登录页或创建一个新的登录页，以在浮出控件中使用：

• 更改有效负载中使用的登录页：在有效负载详细信息浮出控件的“登录页”选项卡上选择“更改登录页”。

  在打开 的“选择登录页” 浮出控件上，将显示每个登录页的以下信息：

  • 名称
  • 语言
  • 源：对于内置登录页，值为 Global。 对于自定义登录页，值为 Tenant。
  • 创建者：对于内置登录页，该值 Microsoft。 对于自定义登录页，该值是创建登录页的用户的 UPN。
  • 上次修改时间
  • 操作：选择“预览”以预览登录页。

  通过键入部分登录名，然后按 ENTER 键，使用“搜索”框在列表中查找登录页。

  选择“筛选”，按“源”或“语言”筛选登录页。

  完成 筛选器 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

  

  在“选择登录页”浮出控件上，选择要使用的登录页名称旁边的“检查”框，然后选择“保存”。 返回有效负载详细信息浮出控件的“登录页”选项卡，选择“关闭”以返回到“选择有效负载和登录”页。

• 创建用于有效负载的新登录页：在有效负载详细信息浮出控件的“登录页”选项卡上选择“更改登录页”。

  在打开 的“选择登录页 ”浮出控件上，选择“ 新建”。

  创建步骤与攻击模拟训练>“内容库”选项卡“>登录页>”“租户登录页”选项卡相同。有关说明，请参阅创建登录页。

  返回“选择登录页”浮出控件，选择要使用的登录页名称旁边的“检查”框，然后选择“保存”。 返回有效负载详细信息浮出控件的“登录页”选项卡，选择“关闭”以返回到“选择有效负载和登录”页。

在 “选择有效负载和登录”页上 ，验证已选择你配置和/或要使用的有效负载。

完成 “选择有效负载和登录”页 后，选择“ 下一步”。

配置 OAuth 有效负载

注意

仅当在“选择社交工程技术”页上选择了“OAuth 同意授予”和相应的有效负载时，此页面才可用。

在 “配置 OAuth 有效负载” 页上，配置以下设置：

• 应用名称：输入有效负载的名称。
• 应用徽标：选择“ 浏览 ”以选择要使用的 .png、.jpeg或 .gif 文件。 若要在选择文件后将其删除，请选择“ 删除”。
• 选择应用范围：选择以下值之一：
  • 读取用户日历
  • 读取用户联系人
  • 读取用户邮件
  • 读取所有聊天消息
  • 读取用户可以访问的所有文件
  • 对用户邮件的读写权限
  • 以用户身份发送邮件

完成“ 配置 OAuth 有效负载 ”页后，选择“ 下一步”。

目标用户

在 “目标用户 ”页上，选择接收模拟的用户。 使用以下选项选择用户：

• 包括组织中的所有用户： 包括组织中的所有用户：不可修改的用户列表以 10 组显示。 可以使用用户列表下方的 “下一步 ”和“ 上一个” 来滚动浏览列表。 还可以使用页面上的搜索来查找特定用户。

• 仅包括特定用户和组：首先， “目标 用户”页上未显示任何用户或组。 若要将用户或组添加到模拟，请选择以下选项之一：

  • 添加用户：在打开的 “添加用户” 浮出控件中，找到并选择要接收模拟的用户和组。 支持以下组类型：

    • Microsoft 365 组 (静态和动态)
    • 通讯组仅 (静态)
    • 已启用邮件的安全组仅 (静态)

    以下搜索工具可用：

    • 搜索用户或组：如果单击“搜索”框并执行以下操作之一，则“添加用户”浮出控件上的“按类别筛选用户”选项将替换为“用户列表”部分：

      • 键入三个或多个字符，然后按 Enter 键。 包含这些字符的任何用户或组名称都按名称和Email显示在“用户列表”部分中。
      • 键入少于三个字符或无字符，然后按 Enter 键。 “ 用户列表 ”部分未显示任何用户，但你可以在“ 搜索 ”框中键入三个或更多字符来搜索用户和组。

      结果数显示在 “选定 (0/x) 用户 ”标签中。

      注意

      选择“ 添加筛选器 ”将清除“ 用户列表 ”部分的所有结果，并将结果替换为 “按类别筛选用户”。

      如果“用户列表”部分中有用户或组的列表，请通过选择“名称”列旁边的“检查”框来选择部分或全部结果。 所选结果数显示在 “选定 (y/x) 用户 ”标签中。

      选择“ 添加 x 个用户 ”，在“目标用户”页上添加所选 用户 或组，并返回到 “目标用户 ”页。

    • 按类别筛选用户：使用以下选项：

      • 建议的用户组：从以下值中进行选择：

        • 所有建议的用户组：与选择 过去三个月内模拟未针对的用户 和 重复犯罪者的结果相同。
        • 过去三个月中模拟未针对的用户
        • 重复罪犯：有关详细信息，请参阅 配置重复罪犯阈值。

      • 用户标记：用户标记是特定用户组的标识符， (例如优先级帐户) 。 有关详细信息，请参阅 Microsoft Defender for Office 365 中的用户标记。 使用以下选项：

        • 搜索：在“按用户标记搜索”中，可以键入部分用户标记名称，然后按 Enter。 可以选择部分或全部结果。
        • 选择 “所有用户标记”
        • 选择现有用户标记。 如果链接可用，请选择“ 查看所有用户标记 ”以查看可用标记的完整列表。

      • 城市：使用以下选项：

        • 搜索：在“按城市搜索”中，可以键入“城市”值的一部分，然后按 Enter。 可以选择部分或全部结果。
        • 选择“所有城市”
        • 选择现有的“城市”值。 如果链接可用，请选择“ 查看所有城市 ”，以查看可用城市值的完整列表。

      • 国家/地区：使用以下选项：

        • 搜索：在 “按国家/地区搜索”中，可以键入部分“国家/地区”值，然后按 Enter。 可以选择部分或全部结果。
        • 选择 “所有国家/地区”
        • 选择现有的“城市”值。 如果链接可用，请选择“ 查看所有国家/地区 ”，以查看可用国家/地区值的完整列表。

      • 部门：使用以下选项：

        • 搜索：在“按部门搜索”中，可以键入部分“部门”值，然后按 Enter。 可以选择部分或全部结果。
        • 选择“所有部门”
        • 选择现有的“部门”值。 如果链接可用，请选择“ 查看所有部门 ”以查看可用部门值的完整列表。

      • 标题：使用以下选项：

        • 搜索：在“按标题搜索”中，可以键入部分“标题”值，然后按 Enter。 可以选择部分或全部结果。
        • 全选标题
        • 选择现有 Title 值。 如果链接可用，请选择“ 查看所有游戏 ”以查看可用游戏值的完整列表。

      

      可以使用部分或全部搜索类别来查找用户和组。 如果选择多个类别，则使用 AND 运算符。 任何用户或组都必须匹配这两个值才能在结果中返回 (如果在多个类别中使用值 All) ，则几乎是不可能的。

      特定类别用作搜索条件的值数显示在类别磁贴旁边， (例如 “城市 50 ”或 “优先级帐户 10) ”。

      完成按类别搜索后，选择“ 应用 (x) ”按钮。 “添加用户”浮出控件上以前的“按类别筛选用户”选项将替换为以下信息：

      • 筛选器 部分：显示使用了多少个筛选器值以及筛选器值的名称。 如果可用，请选择“ 查看所有” 链接，查看所有筛选器值
      • 用户列表 部分：显示与类别搜索匹配的用户或组。 结果数显示在 “选定 (0/x) 用户 ”标签中。

      如果“用户列表”部分中有用户或组的列表，请通过选择“名称”列旁边的“检查”框来选择部分或全部结果。 所选结果数显示在 “选定 (y/x) 用户 ”标签中。

      选择“ 添加 x 个用户 ”按钮，在“目标用户”页上添加所选 用户 或组，并返回到 “目标用户 ”页。

  • 导入：在打开的对话框中，指定每行包含一个电子邮件地址的 CSV 文件。

    找到选择的 CSV 文件后，用户将被导入并显示在 “目标用户 ”页上。

  在“main目标用户”页上，可以使用“搜索”框查找所选用户。 还可以选择“删除”，然后在确认对话框中选择“确认”以删除特定用户。

  若要添加更多用户和组，请在“目标用户”页上选择“添加用户”或“导入”，并重复上述步骤。

在“ 目标用户 ”页上完成操作后，选择“ 下一步”。

分配训练

在 “分配训练 ”页上，可以为模拟分配训练。 建议为每个模拟分配培训，因为经过培训的员工不太容易受到类似攻击。

在模拟过程中，使用页面上的以下选项分配训练：

• “首选项” 部分：在 “选择训练内容首选项”中，在下拉列表中选择以下选项之一：

  • Microsoft训练体验 (建议) ：这是默认值。 此值具有以下在页面上配置的关联选项：

    • 选择以下值之一：
      • 为我分配训练 (建议) ：这是默认值。 我们根据用户以前的模拟和训练结果分配训练。
      • 自行选择培训课程和模块：如果选择此值，向导中的下一步是 “训练作业 ”，可在其中找到并选择“培训”。 训练作业小节介绍了这些步骤。
    • 截止日期 部分：在 “选择训练截止日期”中，选择以下值之一：
      • 模拟结束后 30 天 (这是默认值)
      • 模拟结束后 15 天
      • 模拟结束后 7 天

  • 重定向到自定义 URL：此值具有以下要在页面上配置的关联选项：

    • 需要自定义训练 URL ()
    • 自定义训练名称 (必需)
    • 自定义训练说明
    • 自定义训练持续时间 (分钟) ：默认值为 0，这意味着训练没有指定的持续时间。
    • 截止日期 部分：在 “选择训练截止日期”中，选择以下值之一：
      • 模拟结束后 30 天 (这是默认值)
      • 模拟结束后 15 天
      • 模拟结束后 7 天

  • 无训练：如果选择此值，页面上的唯一选项是 “下一步”。

完成“ 分配培训 ”页后，选择“ 下一步”。

培训作业

注意

仅当在“分配培训”页上选择了“选择培训课程和模块”时，此页面才可用。

在“训练作业”页上，通过选择“添加训练”选择要添加到模拟的训练。

在打开的 “添加训练 ”浮出控件中，使用以下选项卡选择要包括在模拟中的训练：

• “建议 ”选项卡：显示基于模拟配置的建议内置训练。 这些训练与上一页上选择“ 为我分配培训” (“推荐) ”时分配的训练相同。
• “所有训练”选项卡：显示所有可用的内置训练。

在任一选项卡上，每个训练都显示以下信息：

• 训练名称
• 源：值为 Global。
• 持续时间 (分钟)
• 预览：选择 “预览 ”以查看训练。

在任一选项卡上，都可以使用“ 搜索 ”框查找训练。 键入部分训练名称，然后按 Enter 键。

在任一选项卡上，通过选择训练名称旁边的“检查”框来选择一个或多个训练。 若要选择所有训练，请选择“训练名称”列标题中的“检查”框。 完成后，选择“添加”。

返回到 “训练作业 ”页，现在会列出所选训练。 每个训练都显示以下信息：

• 训练名称
• Source
• 持续时间 (分钟)
• 分配给：对于每个训练，通过从以下值中进行选择来选择获取训练的人员：
  • 所有用户
  • 一个或两个值 单击的有效负载 或 已泄露。
• 删除：选择“删除”以从模拟中删除训练。

完成“ 训练作业 ”页后，选择“ 下一步”。

选择登陆页

在 “选择网络钓鱼登陆页”页上 ，配置用户在模拟中打开有效负载时将访问的网页。

选择下列选项之一：

• 使用库中的登陆页面：以下选项可用：

  • 有效负载指示器 部分：选择 “将有效负载指示器添加到电子邮件 ”，以帮助用户了解如何识别钓鱼电子邮件。
    • 如果在“选择一种或多种技术”页上选择了“恶意软件附件”或“链接到恶意软件”，则此设置不可用。
    • 对于在“租户登陆页”选项卡上创建的登陆页，仅当在登陆页内容中使用名为“插入有效负载内容”的动态标记时，此设置才有意义，如创建登陆页子节中所述。
  • 在登陆页面之前显示间隙页面：仅当在“选择一个或多个技术”页上选择了“驾驶 URL”时，此设置才可用。 可以显示针对逐路 URL 攻击出现的覆盖。 若要隐藏覆盖层并直接转到登陆页，请不要选择此选项。

  “选择网络钓鱼登陆页”页的其余部分有两个选项卡，可在其中选择要使用的登陆页：

  • “全局登陆页 ”选项卡：包含内置登陆页。 通过选择名称旁边的检查框来选择要使用的内置登陆页面时，将显示包含以下选项的“编辑布局”部分：

    • 添加徽标：选择“ 浏览徽标图像 ”以查找并选择 .png、.jpeg或 .gif 文件。 徽标大小应最大为 210 x 70，以避免扭曲。 若要删除徽标，请选择“ 删除上传的徽标图像”。
    • 选择默认语言：此设置是必需的。 选择以下值之一： 中文 (简体) 、 中文 (繁体、台湾) 、 荷兰语、 英语、 西班牙语、 法语、 德语、 意大利语、 日语、 韩语、葡萄牙语或 俄语。

  • 租户登陆页 选项卡：包含创建的任何自定义登陆页。 若要创建新的登陆页，请选择“ 新建”。 创建步骤与攻击模拟训练>“内容库”选项卡“>网络钓鱼登陆页>”“租户登陆页”选项卡相同。有关说明，请参阅创建登陆页。

  在两个选项卡上，每个登陆页面都显示以下信息。 可以通过单击可用的列标题对登陆页进行排序。 选择“自定义列”以更改显示的列。 默认列标有星号 () ^* ：

  • 名字^*
  • 语言^*：如果登陆页包含多个翻译，则前两种语言将直接显示。 若要查看其余语言，请将鼠标悬停在数字图标 (例如 +10) 。
  • Source
  • 默认语言^*
  • 地位^*
  • 链接模拟^*
  • 创建者
  • 创建时间^*
  • 修改者^*
  • 上次修改时间^*

  若要在列表中查找登陆页，请在“搜索”框中键入登陆页名称的一部分，然后按 Enter 键。

  选择“筛选”，按语言筛选登陆页面。

  选择登陆页后，如果单击行中的任何位置，将打开详细信息浮出控件，其中显示有关登陆页的详细信息：

  • “ 预览 ”选项卡向用户显示登陆页面的外观。
  • “ 详细信息 ”选项卡显示登陆页的属性。

  提示

  若要在不离开详细信息浮出控件的情况下查看有关其他登陆页面的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

  完成登陆页详细信息浮出控件后，选择“ 关闭”。

  在“选择网络钓鱼登陆页”页上，通过选择“名称”列旁边的“检查”框来选择要使用的登陆页。

• 使用自定义 URL：如果在“选择社交工程技术”页上选择了“恶意软件附件”或“链接到恶意软件”，则此设置不可用。

  如果选择“ 使用自定义 URL”，则需要在显示的“ 输入自定义登陆页 URL ”框中添加 URL。 “选择网络钓鱼登陆”页上没有其他可用选项。

在 “选择网络钓鱼登陆页”页上 完成操作后，选择“ 下一步”。

选择最终用户通知

在 “选择最终用户通知” 页上，从以下通知选项中进行选择：

• 不传递通知：页面上没有其他配置选项可用。 用户不会收到来自模拟 的培训分配通知、 培训提醒通知 或 积极强化通知 。 在警告对话框中选择“ 继续 ”。

• Microsoft默认通知 (建议) ：用户收到的通知显示在页面上：

  • Microsoft默认的正强化通知
  • Microsoft默认训练分配通知
  • Microsoft默认训练提醒通知

  在“选择默认语言”中选择要使用的 默认语言。 可用值包括： 简体中文 () 、 中文 (繁体、台湾) 、 英语、 法语、 德语、 意大利语、 日语、 韩语、 葡萄牙语、 俄语、 西班牙语、 荷兰语、 波兰文、 阿拉伯语、 芬兰语、 希腊语、 匈牙利语、 印度尼西亚语、 挪威语、 罗马尼亚语、 斯洛伐克语、 瑞典语、 泰国语、 土耳其语、 越南语、 加泰罗尼亚语、 克罗地亚语或 斯洛文尼亚语。

  对于每个通知，都提供以下信息：

  • 通知：通知的名称。

  • 语言：如果通知包含多个翻译，则直接显示前两种语言。 若要查看其余语言，请将鼠标悬停在数字图标 (例如 +10) 。

  • 类型：以下值之一：

    • 正强化通知
    • 训练作业通知
    • 培训提醒通知

  • 传递首选项：需要配置以下传递首选项，然后才能继续：

    • 对于 Microsoft默认的正面强化通知，请选择 “不交付”、“ 活动结束后交付”或 “在市场活动期间交付”。
    • 对于 Microsoft默认训练提醒通知，请选择“ 每周两次 ”或“ 每周”。

  • 操作：如果选择“查看”，将打开“审阅”通知页，其中包含以下信息：

    • “预览 ”选项卡：在用户看到通知消息时查看通知消息。
      • 若要查看不同语言的邮件，请使用 “选择语言 ”框。
      • 使用 “选择要预览的有效负载” 框选择包含多个有效负载的模拟的通知消息。
    • “详细信息 ”选项卡：查看有关通知的详细信息：
      • 通知说明
      • 源：对于内置通知，值为 Global。 对于自定义通知，值为 Tenant。
      • 通知类型：基于最初选择的通知的以下类型之一：
        • 正强化通知
        • 训练作业通知
        • 培训提醒通知
      • 修改者
      • 上次修改时间

    完成 “审阅通知 ”页后，选择“ 关闭 ”以返回到 “选择最终用户通知 ”页。

• 自定义的最终用户通知：页面上没有其他可用的配置选项。 选择“ 下一步”时，需要选择 训练作业通知、 培训提醒通知， (可以选择) “积极强化”通知 ，以用于模拟，如接下来的三个小节中所述。

在 “选择最终用户通知” 页上完成操作后，选择“ 下一步”。

选择训练分配通知

注意

只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时，此页面才可用。

“ 训练作业通知 ”页显示以下通知及其配置的语言：

• Microsoft默认训练分配通知
• Microsoft默认的仅限市场活动培训分配通知
• 之前创建的任何自定义训练分配通知。

这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供：

• 在 处的“ 全局通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供了内置训练分配通知;source=global。
• 自定义培训分配通知位于 的“ 租户通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供;source=tenant。

有关详细信息，请参阅攻击模拟训练的最终用户通知。

请按照以下步骤之一操作：

• 选择要使用的现有通知：

  • 若要在列表中搜索现有通知，请在“搜索”框中键入部分通知名称，然后按 Enter 键。

  • 通过单击检查框以外的任意位置选择通知时，将打开一个详细信息浮出控件，其中显示有关通知的详细信息：

    • “ 预览 ”选项卡显示通知对用户的外观。
    • “ 详细信息 ”选项卡显示通知的属性。

    完成通知详细信息浮出控件后，选择“ 关闭”。

  在“培训分配通知”页上，通过选择名称旁边的“检查”框来选择要使用的通知。

• 创建要使用的新通知：选择“ 新建”。 创建步骤与 创建最终用户通知相同。

  注意

  在新通知向导的 “定义详细信息 ”页上，请务必为通知类型选择 “训练分配通知 ”值。

  创建完通知后，返回到 “培训分配通知 ”页，新通知现在显示在列表中供你选择

完成“ 培训作业通知 ”页后，选择“ 下一步”。

选择培训提醒通知

注意

只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时，此页面才可用。

“ 培训提醒通知 ”页显示以下通知及其配置的语言：

• Microsoft默认训练提醒通知
• Microsoft默认培训仅限市场活动培训提醒通知
• 之前创建的任何自定义训练提醒通知。

这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供：

• 在 处的“ 全局通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供了内置培训提醒通知;source=global。
• 自定义培训提醒通知位于 的 “租户通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供;source=tenant。

有关详细信息，请参阅攻击模拟训练的最终用户通知。

在 “设置提醒通知的频率”中，选择“ 每周 (默认值) 或 每周两次，然后执行以下步骤之一：

• 选择要使用的现有通知：

  • 若要在列表中搜索现有通知，请在“搜索”框中键入部分通知名称，然后按 Enter 键。

  • 通过单击检查框以外的任意位置选择通知时，将打开一个详细信息浮出控件，其中显示有关通知的详细信息：

    • “ 预览 ”选项卡显示通知对用户的外观。
    • “ 详细信息 ”选项卡显示通知的属性。

    完成通知详细信息浮出控件后，选择“ 关闭”。

  在“培训提醒通知”页上，通过选择名称旁边的检查框来选择要使用的通知。

• 创建要使用的新通知：选择“ 新建”。 创建步骤与 创建最终用户通知相同。

  注意

  在新通知向导的 “定义详细信息 ”页上，请务必为通知类型选择 “训练提醒 通知”值。

  完成通知创建后，将返回到 “培训提醒通知 ”页，新通知现在显示在列表中选择。

在 “培训提醒通知 ”页上完成操作后，选择“ 下一步”。

选择肯定的强化通知

注意

只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时，此页面才可用。

在 “传递首选项 ”部分中，有以下选项用于正面强化通知：

• 不要使用正面强化通知：选择“ 不传递”。 页面上没有其他任何配置，因此在选择“下一步”时转到模拟计划页。

• 使用现有的正强化通知：选择剩余值之一：

  • 在用户报告网络钓鱼和市场活动结束后传递
  • 在用户报告网络钓鱼后立即交付。

  页面上会显示以下通知及其配置的语言：

  • Microsoft默认的正强化通知
  • 之前创建的任何自定义正强化通知。

  这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供：

  • 在 处的“ 全局通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供了内置的正强化通知;source=global。
  • 自定义正强化通知位于 的 “租户通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供;source=tenant。

  有关详细信息，请参阅攻击模拟训练的最终用户通知。

  若要在列表中搜索现有通知，请在“搜索”框中键入部分通知名称，然后按 Enter 键。

  通过单击检查框以外的任意位置选择通知时，将打开一个详细信息浮出控件，其中显示有关通知的详细信息：

  • “ 预览 ”选项卡显示通知对用户的外观。
  • “ 详细信息 ”选项卡显示通知的属性。

  完成通知详细信息浮出控件后，选择“ 关闭”。

  在“积极强化通知”页上，通过选择名称旁边的“检查”框，选择要使用的现有通知。

• 创建要使用的新正强化通知：选择“ 新建”。 创建步骤与 创建最终用户通知相同。

  注意

  在新通知向导的“ 定义详细信息 ”页上，请务必为通知类型选择“ 正强化通知 ”值。

  创建完通知后，返回到 “积极强化通知 ”页，新通知现在显示在列表中选择。

完成“ 积极强化通知 ”页后，选择“ 下一步”。

模拟计划

在 “模拟计划 ”页上，选择以下值之一：

• 随机化：仍需要在下一页上选择计划，但模拟将在计划内随机启动。
• 已修复：模拟将根据所选计划在给定日期启动。

完成后，请选择“下一步”。

计划详细信息

在“ 计划详细信息 ”页上看到的内容取决于为上一页上的模拟计划选择了 “随机化 ”还是“ 固定 ”。

• 随机 模拟计划：以下设置可用：

  • “自动化开始 ”部分：使用 “选择希望自动化从其开始的日期 ”选择模拟的开始日期。 可以选择任何未来一年日期。

  • 自动化范围 部分：配置以下设置：

    • 选择允许模拟开始的星期几：选择一周中的一天或多天。
    • 输入在开始和结束日期之间可以启动的最大模拟数：输入一个介于 1 到 10 之间的值。 此数字还将确定要使用的有效负载数。 如果选择的有效负载比模拟更多，例如，10 个模拟的 12 个有效负载，则将使用 12 个有效负载中的任何 10 个。 如果选择的有效负载少于模拟（例如，5 个有效负载用于 8 个模拟），则某些有效负载将重复以涵盖所有模拟，除非在启动详细信息中选择了在自动化中跨模拟使用唯一有效负载。
    • 随机化一天中可以发送模拟电子邮件进行传递的时间：选择“ 随机发送时间” 以随机化发送时间。 这将在 12 小时内错开电子邮件传递。

  • 自动化结束 部分：使用 “选择自动化结束日期 ”选择模拟的结束日期。 可以选择任何未来日期，最长为一年。

    提示

    一天中只启动一个模拟，因此我们建议选择至少要运行模拟的天数。

• 修复 了模拟计划：以下设置可用：

  • “自动化开始 ”部分：使用 “选择要从其开始模拟的日期 ”选择模拟的开始日期。 可以选择任何未来日期，最长为一年。

  • “自动化重复周期 ”部分：配置以下设置：

    • 选择是希望模拟每周还是每月启动：选择 每周 (默认) 或 每月。
    • 输入自动化运行之间的间隔：输入介于 1 到 99 之间的值。 例如，如果要每周运行模拟，请输入 1。 如果要运行备用周，请输入 2，依此依此。 同样，如果要每季度运行一次模拟，请输入 3。
    • 选择要从以下日期开始模拟的星期几：对于每周模拟，请选择模拟开始的星期几。
    • 输入希望模拟从开始的月份日期：对于每月模拟，请输入模拟开始的月份中的某一天。 输入一个介于 1 到 31 的值。

  • 自动化结束 部分：选择以下值之一：

    • 使用 “选择希望自动化结束的日期 ”选择模拟的结束日期。
    • 使用 输入结束前要运行的模拟的出现次数 ，输入一个介于 1 到 10 之间的值。

完成“ 计划详细信息 ”页后，选择“ 下一步”。

启动详细信息

在 “启动详细信息 ”页上，为自动化配置以下其他设置：

• 在自动化部分内跨模拟使用唯一有效负载 ：默认情况下，未选择 唯一有效负载 。 请确保已为要运行的模拟数量选择了足够的有效负载。 如果有效负载比要运行的模拟少，则只有一小部分用户会成为目标， (按模拟数) 的有效负载数之比进行计算。

• 在每个模拟运行部分中面向所有选定的用户 ：默认情况下，目标用户划分为不同的模拟。 如果选择此选项，则所有选定的目标用户都将包含在每次模拟运行中。 确保已选择与要运行的模拟数量一样多的有效负载;否则，有效负载将开始重复。

• “目标重复罪犯” 部分：默认情况下，未选择 “目标重复罪犯 ”。 如果选择它，请使用 输入用户在此自动化中可以定位的最大次数 ，该次数显示为输入 1 到 10 的值。

• 从 Outlook Web 应用部分根据用户的当前时区设置发送模拟电子邮件 ：默认情况下，未选择 “启用区域感知传递 ”。

完成“ 启动详细信息 ”页后，选择“ 下一步”。

查看模拟自动化

在 “查看模拟自动化 ”页上，可以查看模拟自动化的详细信息。

可以在每个部分中选择“编辑”来修改该部分中的设置。 或者，可以在向导中选择“ 后退 ”或特定页面。

完成 “查看模拟自动化”后，选择“ 提交”。

创建模拟自动化后，页面标题将更改为 “新建自动化创建”，你可以在其中使用链接打开自动化或查看所有模拟自动化。

在“ 新建自动化创建 ”页上完成操作后，选择“ 完成”。

返回到“自动化”选项卡上的“模拟自动化”页，创建的模拟自动化现在以“状态”值“非活动”列出。

若要启用模拟自动化，请参阅下一部分。

打开或关闭模拟自动化

• 可以使用 “状态” 值为 “非活动”来启用模拟自动化。
• 可以使用 “状态” 值“ 活动”关闭模拟自动化。
• 无法使用 “状态” 值“ 草稿”打开或关闭不完整的模拟自动化。

若要打开非活动模拟自动化，请单击名称旁边的“检查”框，从列表中选择它。 选择出现的“打开操作”，然后在对话框中选择“确认”。 “状态”值更改为“活动”。

若要关闭活动模拟自动化，请单击名称旁边的“检查”框，从列表中选择它。 选择出现的“关闭”操作，然后在对话框中选择“确认”。 “状态”值更改为“非活动”。

删除模拟自动化

若要删除模拟自动化，请单击名称旁边的“检查”框，从列表中选择模拟自动化。 选择出现的“删除”操作，然后在对话框中选择“确认”。

查看模拟自动化详细信息

对于状态值为“活动”或“非活动”的模拟自动化，请在“模拟自动化”页中选择模拟，方法是单击名称旁边的“检查”框以外的行中的任意位置。 打开的详细信息浮出控件包含以下信息：

• 模拟自动化名称和收集的项数。

• “常规”选项卡：

  • 类型：值为 Simulate。
  • 名称
  • 说明
  • 运行条件 部分：选择 “编辑” 以在相关页面上打开模拟自动化向导。

• “运行历史记录”选项卡：此选项卡仅适用于状态值为“活动”或“非活动”的模拟自动化。

  显示有关模拟的运行历史记录的信息。

提示

若要查看有关其他模拟自动化的详细信息而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

查看自动模拟的报告

可以在“模拟”选项卡中查看自动化市场活动的模拟报告。单击模拟的名称，其前缀为“创建者”列下的“AutomatedSimulation_”和“自动化名称”。 若要查看报表，请单击模拟行中除名称旁边的检查框以外的任何位置。

模拟自动化常见问题解答 (常见问题解答)

本部分包含有关模拟自动化的一些最常见问题。

为什么“自动化”下的“状态”值显示“已完成”，但“模拟”下的“状态”值显示“正在进行”？

在“模拟自动化”页上完成意味着模拟自动化作业已完成，并且不再创建模拟。 模拟是一个单独的实体，将在模拟启动时间 30 天后完成。

为什么模拟结束日期在创建后 30 天，即使我选择了一周的自动化结束日期？

模拟自动化的一周结束日期意味着一周后，它不会创建新的模拟。 对于模拟自动化创建的模拟，默认结束日期为创建模拟后的 30 天。

如果我们具有多种社交工程技术和相关有效负载， (例如凭据收集、恶意软件链接和以 300 个用户为目标的 URL) 驱动，则如何向用户发送有效负载？ 是所有有效负载类型都转到所有用户，还是选择是随机的？

如果未在“启动详细信息”页上选择“针对每个模拟运行中的所有选定用户”，则所有目标用户将分布在模拟自动化创建的最大模拟数上。

如果在“启动详细信息”页上选择“针对每个模拟运行中的所有选定用户”，则所有目标用户都是模拟自动化创建的每个模拟的一部分。

“模拟计划”页上的“随机化”选项如何工作？

“模拟计划”页上的“随机化”选项以最佳方式选择开始日期和结束日期范围内的一天来启动模拟。

“选择有效负载和登录”页上的“随机化”选项如何工作？

“选择有效负载和登录页”页上的“随机化”选项的工作方式如下：

对于每次运行，将从所选技术列表中选择社交工程技术，然后从 全局 有效负载 (内置) 和 租户有效负载 (自定义) 选择该技术的随机有效负载。 此行为有助于确保所选有效负载不是此特定自动化之前运行的任何一部分。

使用随机计划时，最大模拟数在 1 到 10 之间。 这是如何工作的？

此数字是此自动化可以创建的最大运行数。 例如，如果选择 10，则此自动化将创建的最大模拟数为 10。 根据目标用户的数量和有效负载的可用性，模拟次数可能会更少。

如果我在两天 (（例如星期三) ）之间只选择一个特定的一天，“模拟”选项卡上会显示多少个模拟？

如果开始日期和结束日期之间只有一个星期三，则自动化只有一个有效日期可以发送模拟。 即使为 “最大模拟数”选择了更高的值，此值也会覆盖为 1。

当前如何随机发送时间？

随机发送时间按 1,000 个用户批量运行，旨在与大量目标用户一起使用。 如果参与自动化创建的模拟的用户少于 1,000 个，则会为随机发送时间创建包含 100 个用户的批处理。

相关链接

开始使用攻击模拟培训

攻击模拟训练的模拟自动化

通过攻击模拟培训获得见解