攻击模拟训练中的有效负载

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 2

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

在 Microsoft 365 E5 或计划 2 Microsoft Defender for Office 365 攻击模拟训练中，有效负载是向用户显示的模拟钓鱼电子邮件中的链接或附件。 攻击模拟训练为可用的社会工程技术提供了可靠的内置有效负载目录。 但是，你可能希望创建更适合组织的自定义有效负载。

有关攻击模拟训练的入门信息，请参阅开始使用 攻击模拟训练。

若要查看可用有效负载，请在 中打开Microsoft Defender门户https://security.microsoft.com，转到Email &协作>攻击模拟训练>“内容库”选项卡>，然后选择“有效负载”。 或者，若要直接转到“ 内容库 ”选项卡，可在其中选择 “有效负载”，请使用 https://security.microsoft.com/attacksimulator?viewid=contentlibrary。

“内容库”选项卡中的有效负载有三个选项卡：

• 全局有效负载：包含内置不可修改的有效负载。
• 租户有效负载：包含创建的自定义有效负载。
• MDO建议：Defender for Office 365建议的有效负载在攻击者使用时具有相当大的影响。 此列表每月刷新一次。

以下列表中介绍了选项卡上可用的信息：

• MDO建议选项卡：为每个有效负载显示以下信息：

  • 有效负载名称
  • 泄露率 (%)
  • 推荐者
  • 建议日期时间

• “全局有效负载 ”和“ 租户有效负载 ”选项卡：为每个有效负载显示以下信息。 可以通过单击可用的列标题对有效负载进行排序。 选择“自定义列”以更改显示的列。 默认列标有星号 () ^* ：

  • 有效负载名称^*
  • 类型^*：目前，此值始终是 社会工程。
  • 平台
  • 技术^*：可用的 社会工程技术之一：
    • Credential Harvest
    • 恶意软件附件
    • 附件中的链接
    • 指向恶意软件的链接
    • 驾驶 URL
    • OAuth 同意授予
    • 操作指南
  • 语言^*：如果有效负载包含多个翻译，则直接显示前两种语言。 若要查看其余语言，请将鼠标悬停在数字图标 (例如 +10) 。
  • 启动^*的模拟数：使用有效负载的已启动模拟数。
  • Source
  • 预测泄露率 (%) ^*：Microsoft 365 中的历史数据，用于预测受此有效负载攻击的用户 (/接收有效负载) 的用户总数的百分比。 有关详细信息，请参阅 预测的泄露率。
  • 创建者^*：对于内置有效负载，值为 Microsoft。 对于自定义有效负载，该值是创建有效负载的用户) UPN (用户主体名称。
  • 上次修改时间^*
  • 状态^*：值为：
    • Ready
    • 草稿：仅在 “租户有效负载 ”选项卡上可用。
    • 存档：仅当在 上切换“显示存档有效负载”时，存档的有效负载才可见。
  • ⋮ (操作 控制) ^*：对有效负载执行操作。 可用操作取决于有效负载的 Status 值，如过程部分所述。 此控件始终显示在有效负载行的末尾。

  提示

  若要查看所有列，可能需要执行以下步骤中的一个或多个步骤：

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

  若要在列表中查找有效负载，请在“搜索”框中键入部分有效负载名称，然后按 Enter 键。

  选择此选项 可按以下值之一或以下值筛选有效负载：

  • 技术：可用的 社会工程技术之一：

  • Credential Harvest

  • 恶意软件附件

  • 附件中的链接

  • 指向恶意软件的链接

  • 驾驶 URL

  • OAuth 同意授予

  • 操作指南

  • 复杂性：根据有效负载中指示可能的攻击 (拼写错误、紧急性等 ) 的指示器数量计算。 更多的指标更容易识别为攻击，并指示复杂性较低。 可用值为： 高、 中和 低。

  • 语言：可用值为：英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰语、意大利语、瑞典文、中文 (简体) 、中文 (繁体、台湾) 、挪威语、挪威语、波兰文、俄语、芬兰语、韩语、土耳其语、匈牙利语、泰语、阿拉伯语、越南语、斯洛伐克语、希腊语、印度尼西亚语、罗马尼亚语、斯洛文尼亚语、克罗地亚语、加泰罗尼亚语和其他。

  • 添加标记 ()

  • 按主题筛选：可用值为：帐户激活、帐户验证、计费、清理邮件、收到的文档、费用、传真、财务报告、传入邮件、发票、收到的项目、登录警报、邮件接收、密码、付款、工资单、个性化产品/服务、隔离区、 远程工作、审阅邮件、安全更新、服务暂停、需要签名、升级邮箱存储、验证邮箱、语音邮件和其他。

  • 按品牌筛选：可用值包括：American Express、Capital One、DHL、DocuSign、Dropbox、Facebook、First American、Microsoft、Netflix、Scotiabank、SendGrid、Stewart Title、Tesco、Wells Fargo、Syrinx Cloud和其他。

  • 按行业筛选：可用值包括：银行、商业服务、消费者服务、教育、能源、建筑、咨询、金融服务、政府、酒店、保险、法律、快递服务、IT、医疗保健、制造、零售、电信、房地产、和其他。

  • 当前事件：可用值为 “是” 或 “否”。

  • 争议性：可用值为 “是” 或 “否”。

  完成筛选器配置后，选择“应用”、“取消”或“清除筛选器”。

通过单击名称旁边的检查框以外的任何位置选择有效负载时，将显示一个包含以下信息的详细信息浮出控件：

• “概述”选项卡：查看用户看到的有效负载。 有效负载属性也可见：

  • 有效负载说明
  • From name
  • 从电子邮件
  • 电子邮件主题
  • 源：对于内置有效负载，值为 Global。 对于自定义有效负载，值为 Tenant。
  • 点击率
  • 已启动模拟
  • Theme
  • 品牌
  • 行业
  • 争议
  • 预测的泄露率
  • 当前事件
  • Tags

• “已启动模拟 ”选项卡：

  • 模拟名称
  • 点击率
  • 泄露率
  • 操作：单击“ 查看详细信息 ”链接可转到模拟的详细信息。

若要查看已存档的有效负载 (“状态”值为“存档) ”，请使用“租户有效负载”选项卡上的“显示已存档有效负载”开关。

Create有效负载

注意

根据地方、州和联邦法规和法律，某些商标、徽标、符号、徽章和其他源标识符受到加强的保护。 未经授权使用此类指标可能会使用户受到处罚，包括刑事罚款。 虽然名单并不广泛，但包括总统、副总统和国会印章、中央情报局、联邦调查局、社会保障、医疗保险和医疗补助、美国国税局和奥运会。 除了这些类别的商标之外，使用和修改任何第三方商标都带有固有的风险。 在有效负载中使用你自己的商标和徽标的风险较低，尤其是在组织允许使用的情况下。 如果在创建或配置有效负载时对适合使用或不适合使用哪些内容有任何疑问，应咨询法律顾问。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>攻击模拟训练>“内容库”选项卡“>有效负载>”“租户有效负载”选项卡。若要直接转到“内容库”选项卡，可在其中选择“有效负载”和“租户有效负载”选项卡，请使用 https://security.microsoft.com/attacksimulator?viewid=contentlibrary。

   在“租户有效负载”选项卡上，选择“Create有效负载”以启动新有效负载向导。

   

   注意

   在新建有效负载向导中命名有效负载后，可以随时选择“ 保存并关闭 ”以保存进度，稍后继续。 不完整的有效负载具有 “状态” 值 “草稿”。 可以通过选择有效负载，然后单击出现的“编辑有效负载”操作，从中断的位置继续。

   还可以在创建模拟期间创建有效负载。 有关详细信息，请参阅Create模拟：选择有效负载和登录页。

2. 在 “选择类型” 页上，选择以下值之一：

   • "电子邮件"
   • Teams：目前，此值仅在个人预览版中可用。 有关详细信息，请参阅 攻击模拟训练 中的 Microsoft Teams。

   完成“ 选择类型” 页后，选择“ 下一步”。

3. 在 “选择技术” 页上，可用选项与新模拟向导中的 “选择技术 ”页上的相同：

   • Credential Harvest
   • 恶意软件附件
   • 附件中的链接
   • 指向恶意软件的链接
   • 驾驶 URL
   • OAuth 同意授予
   • 操作指南

   有关不同社交工程技术的详细信息，请参阅 模拟。

   完成“ 选择技术” 页后，选择“ 下一步”。

4. 在 “有效负载名称 ”页上，配置以下设置：

   • 名称：输入有效负载的唯一描述性名称。
   • 说明：输入有效负载的可选详细说明。

   完成 “有效负载名称 ”页后，选择“ 下一步”。

5. 在 “配置有效负载 ”页上，可以生成有效负载。 许多可用设置由你在 “选择技术” 页上所做的选择决定， (例如，链接与附件) 。

   • 发件人详细信息 部分：配置以下设置：

     • From name
     • 使用名字作为显示名称：默认情况下，不会选择此设置。
     • 从电子邮件：如果为有效负载的发件人选择内部电子邮件地址，则有效负载似乎来自同事。 此发件人电子邮件地址会增加用户对有效负载的易感性，并有助于教育员工了解内部威胁的风险。
     • 电子邮件主题
     • 将外部标记添加到电子邮件：默认情况下，不会选择此设置。

   • 附件详细信息 部分 (恶意软件附件、 附件中的链接或 恶意软件链接 技术仅) ：配置以下设置：

     • 为附件命名：输入附件的文件名。
     • 选择附件类型：选择附件的文件类型。 可用值为 Docx 或 HTML。

   • 钓鱼链接 或 附件部分的链接 ：

     • “钓鱼”链接部分仅在“凭据收获”、“附件链接”、“逐行 URL”或“OAuth 同意授予”技术中可用。
     • “附件链接”部分仅在“恶意软件链接”技术中可用。

     选择 “选择 URL”。 在打开的详细信息浮出控件中，选择一个可用的 URL，然后选择 “确认”。

     若要更改 URL，请选择“ 更改 URL”。

     注意

     “ 模拟”中列出了可用的 URL。

     在网络钓鱼活动中使用该 URL 之前，请检查支持的 Web 浏览器中模拟钓鱼 URL 的可用性。 有关详细信息，请参阅 Google 安全浏览阻止的网络钓鱼模拟 URL。

   • 附件内容 部分 (附件技术中的链接 仅) 。

     RTF 编辑器可用于创建附件内容。 若要查看典型的字体和格式设置，请将 “设置控件格式” 切换为“ 开”。

     选择“ 钓鱼”链接 框。 在打开的“命名钓鱼 URL”对话框中，输入在“钓鱼”链接部分选择的 URL 的名称值，然后选择“确认”。

     输入的名称值将作为钓鱼 URL 的链接添加到附件内容中。

   • “配置有效负载”页上所有技术的常见设置：

     • 添加标记 ()

     • 主题：可用值为：帐户激活、帐户验证、计费、清理邮件、收到的文档、费用、传真、财务报告、传入邮件、发票、收到的项目、登录警报、邮件、密码、付款、工资单、个性化产品/服务、隔离、远程工作、 查看邮件、安全更新、服务暂停、需要签名、升级邮箱存储、验证邮箱、语音邮件或其他。

     • 品牌：可用价值包括：American Express、Capital One、DHL、DocuSign、Dropbox、Facebook、First American、Microsoft、Netflix、Scotiabank、SendGrid、Stewart Title、Tesco、Wells Fargo、Syrinx Cloud、Other。

     • 行业：可用值包括： 银行、 商业服务、 消费者服务、 教育、 能源、 建筑、 咨询、 金融服务、 政府、 酒店、 保险、 法律、 快递服务、 IT、 医疗保健、 制造、 零售、 电信、 房地产或 其他。

     • 当前事件：可用值为 “是” 或 “否”。

     • 争议性：可用值为 “是” 或 “否”。

     • 语言 部分：选择有效负载的语言。 可用值包括：英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰语、意大利语、瑞典语、中文 (简体) 、中文 (繁体、台湾) 、挪威语、挪威语、波兰文、俄语、芬兰语、韩语、土耳其语、匈牙利语、希伯来语、泰语、阿拉伯语、 越南语、斯洛伐克语、希腊语、印度尼西亚语、罗马尼亚语、斯洛文尼亚语、克罗地亚语、加泰罗尼亚语或其他语。

     • Email消息部分：

       • 可以选择“ 导入电子邮件 ”，然后选择 “选择文件 ”以导入现有的纯文本消息文件。 有两个选项卡可用：

       • “文本 ”选项卡：RTF 编辑器可用于创建有效负载。 若要查看典型的字体和格式设置，请将 “设置控件格式” 切换为“ 开”。

         “ 文本 ”选项卡上还提供了以下控件：

         • 动态标记：从以下标记中进行选择：

           Tag name	标记值
           插入用户名	${userName}
           插入名字	${firstName}
           插入姓氏	${lastName}
           插入 UPN	${upn}
           插入Email	${emailAddress}
           插入部门	${department}
           插入管理器	${manager}
           插入移动电话	${mobilePhone}
           插入城市	${city}
           插入日期	${date|MM/dd/yyyy|offset}

         • 网络钓鱼链接或恶意软件附件控件可用：

           • 网络钓鱼链接 仅在 凭据收获、 逐路 URL 或 OAuth 同意授予 技术中可用。
           • 恶意软件附件链接 仅在 恶意软件链接中可用。

           选择控件后，将打开 “命名钓鱼 URL ”对话框。 为在“钓鱼链接”或“附件链接”部分选择的 URL 输入“名称”值，然后选择“确认”。

           输入的名称值将作为指向钓鱼 URL 的链接添加到邮件正文中。 在“ 代码 ”选项卡上，链接值为 <a href="${phishingUrl}" target="_blank">Name value you specified</a>。

       • “代码 ”选项卡：可以直接查看和修改 HTML 代码。

       • 仅) 将电子邮件中的所有链接替换为钓鱼链接 (凭据收获、恶意软件链接、驱动器 URL 或 OAuth 同意授予技术：此切换可以通过将邮件中的所有链接替换为以前选择的“钓鱼”链接或附件 URL 链接来节省时间。 若要执行此操作，请在 上 将 设置切换为 。

   • 预测泄露率 部分：选择 “预测泄露率 ”以计算有效负载的预测成功率。 有关详细信息，请参阅 预测的泄露率。

   完成“ 配置有效负载 ”页后，选择“ 下一步”。

   提示

   对于 操作指南 技术，请直接转到 “查看有效负载 ”页。

6. 仅当在“选择技术”页上选择了“凭据收获”、“附件中的链接”、“驾驶 URL”或“OAuth 同意授予”时，“添加指示器”页才可用。

   指示器可帮助员工识别钓鱼邮件的“故事”迹象。

   在 “添加指示器 ”页上，选择“ 添加指示器”。 在打开的 “添加指示器 ”浮出控件中，配置以下设置：

   • 选择并指示要使用的 和要 将此指示器放在有效负载上的何处？：

     这些值是相互关联的。 指示器的放置位置取决于指示器的类型。 下表描述了可用值：

     指示器类型	指示器位置
     附件类型	邮件正文
     令人分心的细节	邮件正文
     域欺骗	邮件正文 发件人电子邮件地址
     通用问候语	邮件正文
     人道主义呼吁	邮件正文
     不一致	邮件正文
     缺少发件人详细信息	邮件正文
     法律语言	邮件正文
     限时优惠	邮件正文
     徽标模仿或过时品牌	邮件正文
     模拟工作或业务流程	邮件正文
     无/最小品牌	邮件正文
     以朋友、同事、主管或权威人物的身份摆姿势	邮件正文
     请求敏感信息	邮件正文
     安全指示器和图标	邮件正文 邮件主题
     发件人显示名称和电子邮件地址	From name 发件人电子邮件地址
     紧迫感	邮件正文 邮件主题
     拼写和语法不规范	邮件正文 邮件主题
     威胁性语言	邮件正文 邮件主题
     太好了，不能成为真正的产品/服务	邮件正文
     非专业外观设计或格式设置	邮件正文
     URL 超链接	邮件正文
     你特别	邮件正文

     此列表经过精心策划，包含钓鱼邮件中出现的最常见线索。

     如果选择电子邮件主题或邮件正文作为指示器的位置，则将显示 “选择文本 ”。 在打开 的“选择所需文本 ”浮出控件中，选择“ (突出显示) 要显示指示器的邮件主题或邮件正文中的文本。 完成后，选择“ 选择”。

     

     返回“ 添加指示器 ”浮出控件，所选文本将显示在 “所选文本 ”部分中。

   • 指示器说明：可以接受指示器的默认说明，也可以对其进行自定义。

   • 指示器预览：若要查看当前指示器的外观，请单击分区内的任意位置。

     完成“添加指示器”浮出控件后，选择“添加”

   重复这些步骤以添加多个指示器。

   返回“ 添加指示器 ”页，可以查看所选的指示器：

   • 若要编辑现有指示器，请选择它，然后选择“ 编辑指示器”。

   • 若要删除现有指示器，请选择它，然后选择“删除”。

   • 若要在列表中向上或向下移动指示器，请选择指示器，然后选择“上移”或“下移”。

   完成“ 添加指示器 ”页后，选择“ 下一步”。

7. 在 “查看有效负载 ”页上，可以查看有效负载的详细信息。

   选择“发送测试”按钮，将有效负载电子邮件的副本发送给自己， (当前登录的用户) 进行检查。

   选择 “预览指示器 ”按钮，在预览浮出控件中打开有效负载。 预览版包括已创建的所有有效负载指示器。

   在 “审阅有效负载 ”页上，可以在每个部分中选择 “编辑” ，以修改该部分中的设置。 或者，可以在向导中选择“ 后退 ”或特定页面。

   完成“ 审阅有效负载 ”页后，选择“ 提交”。 在出现的确认页面上，选择“完成”。

   

8. 在“新建有效负载创建”页上，可以使用链接查看所有模拟或转到攻击模拟训练概述。

   在“ 新建有效负载创建 ”页上完成操作后，选择“ 完成”。

9. 返回到“ 租户有效负载 ”选项卡，创建的有效负载现在以 “状态” 值 “就绪”列出。

对有效负载执行操作

对现有有效负载执行的所有操作都从 “有效负载 ”页开始。 若要转到该位置，请在 https://security.microsoft.com中打开Microsoft Defender门户，转到Email &协作>攻击模拟训练>“内容库”选项卡“>有效负载>”“租户有效负载”选项卡。若要直接转到“内容库”选项卡，可在其中选择“有效负载”和“租户有效负载”或“全局有效负载”选项卡，请使用 https://security.microsoft.com/attacksimulator?viewid=contentlibrary。

提示

若要在 ⋮“全局有效负载”或“租户有效负载”选项卡上查看“ (操作”) 控件，可能需要执行以下步骤中的一个或多个步骤：

• 在 Web 浏览器中水平滚动。
• 缩小相应列的宽度。
• 从视图中删除列。
• 在 Web 浏览器中缩小字体功能。

修改有效负载

无法在“全局有效负载”选项卡上修改内置 有效负载 。只能在“租户有效负载”选项卡上修改自定义 有效负载 。

若要修改“租户有效负载”选项卡上的现有 有效负载 ，请执行以下步骤之一：

• 单击名称旁边的“检查”框，选择有效负载。 选择出现的“编辑有效负载”操作。
• 单击行中除“检查”框以外的任意位置，选择有效负载。 在打开的详细信息浮出控件中，选择浮出控件底部的 “编辑有效负载 ”。
• 单击行末尾的“⋮ (操作”) ，然后选择“编辑”，选择有效负载。

有效负载向导随即打开，其中包含所选有效负载的设置和值。 这些步骤与Create有效负载部分中所述相同。

复制有效负载

若要复制“ 租户 有效负载”或“ 全局有效负载 ”选项卡上的现有有效负载，请执行以下步骤之一：

• 单击名称旁边的“检查”框选择有效负载，然后选择显示的“复制有效负载”操作。
• 单击行末尾 ⋮ (操作) 选择有效负载，然后选择“ 复制有效负载”。

创建有效负载向导随即打开，其中包含所选有效负载的设置和值。 这些步骤与Create有效负载部分中所述相同。

注意

在“全局有效负载”选项卡上复制内置 有效负载 时，请务必更改 “名称” 值。 否则，有效负载将显示在与内置有效负载同名的 “租户有效 负载”页上。

存档有效负载

无法从“租户有效负载”选项卡中删除自定义 有效负载 ，但可以将其存档。

若要在“租户有效负载”选项卡上存档现有有效 负载 ，请选择该有效负载，方法是单击行末尾的“ ⋮ (操作) ”，然后选择“ 存档”。

有效负载的“状态”值更改为“存档”，并且当“显示存档的有效负载”处于关闭状态时，有效负载在租户有效负载表上不再可见。

若要在“租户有效负载”选项卡上查看存档的有效负载，请在 上将“显示存档的有效负载”切换为 。

还原存档的有效负载

若要在“租户有效负载”选项卡上还原存档 有效负载 ，请执行以下步骤：

1. 在 上将“显示存档的有效负载”开关设置为 。
2. 单击行末尾的“⋮ (操作) ”，然后选择“还原”，选择有效负载。

还原存档的有效负载后， “状态” 值将更改为 “草稿”。 将 “显示存档的有效负载 ”切换为“关闭 ”以查看还原的有效负载。 若要将有效负载返回到“状态”值“就绪”，请编辑有效负载，查看或更改设置，然后选择“提交”。

发送测试

在“ 租户有效负载 ”或“ 全局有效负载 ”选项卡上，可以将有效负载电子邮件的副本发送给自己， (当前登录的用户) 进行检查。

单击名称旁边的“检查”框选择有效负载，然后选择出现的“发送测试”按钮。

相关链接

开始使用攻击模拟培训

Create网络钓鱼攻击模拟

通过攻击模拟培训获得见解