攻击模拟训练中的 Microsoft Teams
重要
目前,攻击模拟训练中的 Microsoft Teams 以个人预览版提供。 本文中的信息可能会更改。
在Microsoft Defender for Office 365计划 2 或Microsoft Defender XDR的组织中,管理员现在可以使用攻击模拟训练在 Microsoft Teams 中传递模拟钓鱼邮件。 有关攻击模拟训练的详细信息,请参阅开始使用 Defender for Office 365 中的攻击模拟训练。
在 攻击模拟训练 中添加 Teams 会影响以下功能:
有效负载自动化、最终用户通知、登录页和登陆页面不受 攻击模拟训练 中的 Teams 影响。
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
Teams 模拟配置
注意
目前,仅当组织在 Teams 攻击模拟训练 个人预览版中注册时,本部分中的步骤才适用。
除了按照 Microsoft Teams 中的用户报告消息设置中所述启用 Teams 消息的用户报告外,还需要配置可用作 攻击模拟训练 中模拟消息源的 Teams 帐户。 若要配置帐户,请执行以下步骤:
- 标识或创建一个用户,该用户是 Microsoft Entra ID 中的全局管理员、安全管理员或攻击模拟管理员角色的成员。 为 Microsoft Teams 分配 Microsoft 365、Office 365、Microsoft Teams 基础版、Microsoft 365 商业基础版或Microsoft 365 商业标准版许可证。 需要知道密码。
- 使用步骤 1 中的帐户,打开 Microsoft Defender 门户,https://security.microsoft.com然后转到“Email &协作>攻击模拟训练>”设置“选项卡。或者,若要直接转到“设置”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=setting。
- 在“设置”选项卡上的“Teams 模拟配置”部分选择“管理器用户帐户”。
- 在打开的 Teams 模拟配置 浮出控件中,选择“ 生成令牌”。 阅读确认对话框中的信息,然后选择“ 我同意”。
- 返回“设置”选项卡,再次选择“Teams 模拟配置”部分中的“管理器用户帐户”,以重新打开 Teams 模拟配置浮出控件。 你登录的用户帐户现在显示在 可用于 Teams 网络钓鱼的用户帐户 部分中。
若要从列表中删除用户,请选择显示名称值旁边的检查框,而无需单击行中的其他任何位置。 选择出现的“删除”操作,然后在确认对话框中选择“删除”。
若要防止帐户在 Teams 模拟中使用,但保留帐户的链接模拟历史记录,请选择显示名称值旁边的检查框,而无需单击行中的其他任何位置。 选择显示的停用操作。
Microsoft Teams 模拟中的更改
Teams 在查看和创建模拟时引入了以下更改,如在 Defender for Office 365 中使用攻击模拟训练模拟网络钓鱼攻击中所述:
在 的“ 模拟 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=simulations, “平台 ”列显示使用 Teams 消息的模拟的 Teams 值。
如果在“模拟”选项卡上选择“启动模拟”以创建模拟,则新模拟向导的第一页是“选择交付平台”,你可以在其中选择 Microsoft Teams。 选择 Microsoft Teams 将引入对新模拟向导的其余部分的以下更改:
在 “选择技术” 页上,以下社交工程技术不可用:
- 恶意软件附件
- 附件中的链接
- 操作指南
在 “名称模拟 ”页上,存在 “选择发件人的 Microsoft Teams 帐户 ”部分和 “选择用户帐户 ”链接。 选择 “选择用户帐户 ”以查找并选择用作 Teams 消息源的帐户。
用户列表来自 位于 的“设置”选项卡上的“Teams 模拟配置”部分,攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting。 本文前面的 Teams 模拟配置 部分介绍了如何配置帐户。
在 “选择有效负载和登录”页上,默认情况下不会列出任何有效负载,因为 Teams 没有内置有效负载。 你需要为 Teams 和所选的社会工程技术的组合创建有效负载。
本文的 Microsoft Teams 有效负载更改 部分介绍了为 Teams 创建有效负载时的差异。
在 “目标用户 ”页上,Teams 的以下设置有所不同:
- 如页面上所述,Teams 中的来宾用户被排除在模拟之外。
与模拟相关的其他设置与 Teams 邮件相关的设置与电子邮件的现有内容中所述相同。
Microsoft Teams 有效负载更改
无论是在“内容库”选项卡的“有效负载”页还是在新模拟向导的“选择有效负载和登录”页上创建有效负载,Teams 都会按照 Defender for Office 365 攻击模拟训练 中的有效负载中所述,对查看和创建有效负载进行以下更改:
在“内容库”选项卡的“有效负载”页上的“全局有效负载”和“租户有效负载”选项卡上,“平台”https://security.microsoft.com/attacksimulator?viewid=contentlibrary列显示使用 Teams 消息的有效负载的 Teams 值。
如果选择“筛选”以筛选现有有效负载的列表,则会提供“平台”部分,可在其中选择Email和 Teams。
如前所述,Teams 没有内置有效负载,因此,如果在“全局有效负载”选项卡上按“状态>团队”进行筛选,列表将为空。
如果在“租户有效负载”选项卡上选择Create有效负载来创建有效负载,则新有效负载向导的第一页是“选择类型”,可在其中选择 Teams。 选择 Teams 会对新有效负载向导的其余部分进行以下更改:
在 “选择技术” 页上, “恶意软件附件 ”和 “附件中的链接” 社交工程技术不适用于 Teams。
“ 配置有效负载 ”页对 Teams 进行了以下更改:
- 发件人详细信息 部分:Teams 的唯一可用设置是 “聊天主题 ”,可在其中为 Teams 消息输入磁贴。
- 最后一部分不是Email邮件命名的,但它在 Teams 邮件中的工作方式与电子邮件相同:
- 有一个 导入 Teams 消息 按钮,用于导入要用作起点的现有纯文本消息文件。
- “文本”选项卡上提供了“动态标记”和“网络钓鱼”链接控件,“代码”选项卡与电子邮件一样可用。
Teams 邮件与有效负载相关的其他设置与电子邮件的现有内容中所述相同。
Microsoft Teams 模拟自动化中的更改
Teams 引入了对查看和创建模拟自动化的以下更改,如攻击模拟训练的模拟自动化中所述:
在 的“自动化”选项卡的“模拟自动化”https://security.microsoft.com/attacksimulator?viewid=automations页上,还提供了以下列:
- 类型:目前,此值始终是 社会工程。
- 平台:显示使用 Teams 消息的有效负载自动化的 Teams 值,或者为使用电子邮件的有效负载自动化Email。
如果在“模拟自动化”页上选择“Create自动化”以创建模拟自动化,则新模拟自动化向导的第一页是“选择交付平台”,你可以在其中选择 Teams。 选择 Teams 会将以下更改引入到新模拟自动化向导的其余部分:
在 “自动化名称 ”页上,在 “选择发件人帐户的选择方法” 部分中,Teams 可以使用以下设置:
- 手动选择:此值默认处于选中状态。 在 “选择发件人的 Microsoft Teams 帐户 ”部分中,选择 “选择要 查找的用户帐户”,然后选择用作 Teams 消息源的帐户。
- 随机化:从可用帐户中随机选择用作 Teams 消息源的帐户。
在 “选择社交工程技术” 页上, “恶意软件附件 ”和 “附件”中的“链接 ”社交工程技术不适用于 Teams。
在 “选择有效负载和登录”页上 ,默认情况下不会列出任何有效负载,因为 Teams 没有内置有效负载。 可能需要为 Teams 和所选的社交工程技术的组合创建有效负载。
本文的 Microsoft Teams 有效负载更改 部分介绍了为 Teams 创建有效负载时的差异。
在 “目标用户 ”页上,Teams 的以下设置有所不同:
- 如页面上所述,使用 Teams 的模拟自动化最多可以面向 1000 个用户。
- 如果选择“ 仅包括特定用户和组”,则 “城市 不是 按类别筛选用户 ”部分中的可用筛选器。
Teams 邮件与模拟自动化相关的其他设置与电子邮件的现有内容中所述相同。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈