開始使用攻擊模擬訓練
提示
您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中的組織中,您可以在 Microsoft Defender 入口網站中使用 攻擊模擬訓練,在您的中執行實際的攻擊案例組織。 這些模擬攻擊可協助您在實際攻擊影響到您的底線之前,找出易受攻擊的使用者。
本文說明 攻擊模擬訓練 的基本概念。
觀看這段短片以深入瞭解 攻擊模擬訓練。
注意事項
攻擊模擬訓練 取代安全性 & 合規性中心在威脅管理>攻擊模擬器或 https://protection.office.com/attacksimulator中提供的舊攻擊模擬器 v1 體驗。
開始之前有哪些須知?
攻擊模擬訓練 需要 Microsoft 365 E5 或 適用於 Office 365 的 Microsoft Defender 方案 2 授權。 如需授權需求的詳細資訊,請參閱 授權條款。
攻擊模擬訓練 支持內部部署信箱,但報告功能減少。 如需詳細資訊,請 參閱報告內部部署信箱的問題。
若要開啟 Microsoft Defender 入口網站,請移至 https://security.microsoft.com。 攻擊模擬訓練 可在 Email 和共同>作業 攻擊模擬訓練 取得。 若要直接移至 攻擊模擬訓練,請使用 https://security.microsoft.com/attacksimulator。
如需不同Microsoft 365 訂用帳戶中 攻擊模擬訓練 可用性的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 服務描述。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Entra 權限:您需要下列其中一個角色的成員資格:
- 全域管理員¹
- 安全性系統管理員
- 攻擊模擬系統管理員²:建立和管理攻擊模擬活動的所有層面。
- 攻擊承載作者²:建立系統管理員稍後可以起始的攻擊承載。
重要事項
¹ Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
² 目前不支援將使用者新增至 Email Microsoft Defender 入口網站中 & 共同作業許可權的此角色群組。
攻擊模擬訓練 沒有對應的PowerShell Cmdlet。
攻擊模擬和訓練相關數據會與Microsoft 365 服務的其他客戶數據一起儲存。 如需詳細資訊, 請參閱Microsoft 365 數據位置。 攻擊模擬訓練 適用於下列區域:APC、EUR 和 NAM。 這些區域中提供 攻擊模擬訓練 的國家/地區包括IS、AUS、BRA、CAN、CHE、DEU、ESP、FRA、GBR、IND、ISR、ITA、JPN、KOR、LAM、MEX、NOR、POL、QAT、SGP、SWE 和 ZAF。
注意事項
NOR、ZAF、ARE 和 DEU 是最新的新增專案。 除了報告的電子郵件遙測以外,所有功能都可在這些區域中使用。 我們正努力啟用這些功能,並且會在報告的電子郵件遙測可供使用時立即通知客戶。
攻擊模擬訓練 可在 Microsoft 365 GCC、GCC High 和 DoD 環境中使用,但 GCC High 和 DoD (中並未提供某些進階功能,例如承載自動化、建議的承載、預測的入侵率) 。 如果您的組織已Microsoft 365 G5、Office 365 G5 或 適用於 Office 365 的 Microsoft Defender (政府用方案 2) ,您可以使用 攻擊模擬訓練,如本文所述。
注意事項
攻擊模擬訓練 提供一部分功能給 E3 客戶作為試用版。 試用供應專案包含使用認證收集承載的能力,以及選取 「ISA 網路釣魚」或「大量市場網路釣魚」訓練體驗的能力。 沒有其他功能是 E3 試用版供應專案的一部分。
類比
攻擊模擬訓練 中的仿真是整體營銷活動,可為使用者提供真實但無害的網路釣魚訊息。 仿真的基本元素包括:
- 誰會取得仿真的網路釣魚訊息,以及根據哪個排程。
- 針對模擬網路釣魚訊息上) 的正確和不正確動作,用戶會根據其動作或缺乏動作 (來進行訓練。
- 模擬網路釣魚訊息中使用的 承載 (連結或附件) ,以及網路釣魚訊息的組合 (例如,傳遞的套件、帳戶的問題,或您贏得獎品) 。
- 所使用的 社交工程技術 。 承載與社交工程技術密切相關。
在 攻擊模擬訓練 中,有多種類型的社交工程技術可供使用。 除了 操作指南之外,這些技術都是從 MITRE ATT&CK® 架構策劃而來。 不同的承載適用於不同的技術。
下列社交工程技術可供使用:
認證收集:攻擊者會傳送包含連結*的訊息給收件者。 當收件者按兩下連結時,系統會將他們帶到通常會顯示對話框的網站,該對話框會要求使用者輸入其使用者名稱和密碼。 一般而言,目的地頁面會以代表已知網站作為主題,以便在使用者中建立信任。
惡意代碼附件:攻擊者會將包含附件的訊息傳送給收件者。 當收件者開啟附件時,任意程式代碼 (例如,巨集) 在使用者的裝置上執行,以協助攻擊者安裝其他程式碼或進一步擷取本身。
附件中的連結:這項技術是認證收集的混合式。 攻擊者會將包含附件內連結的訊息傳送給收件者。 當收件者開啟附件並按兩下連結時,系統會將他們帶到一個網站,該網站通常會顯示一個對話方塊,要求使用者輸入其使用者名稱和密碼。 一般而言,目的地頁面會以代表已知網站作為主題,以便在使用者中建立信任。
惡意代碼*連結:攻擊者傳送訊息給收件者,其中包含已知檔案共享網站上附件的連結 (例如 SharePoint Online 或 Dropbox) 。 當收件者按兩下連結時,會開啟附件,並 (任意程式代碼,例如,巨集) 在使用者的裝置上執行,以協助攻擊者安裝其他程式碼或進一步擷取本身。
依 URL* 的磁碟驅動器:攻擊者會傳送包含連結的訊息給收件者。 當收件者按兩下連結時,會將他們帶到嘗試執行背景程式代碼的網站。 此背景程式碼試圖收集有關收件者的資訊或在其裝置上部署任意程式碼。 一般而言,目的地網站是已遭入侵的已知網站,或是已知網站的複製品。 熟悉網站有助於讓使用者確信連結可以安全地按兩下。 這項技術也稱為 水洞攻擊。
OAuth 同意授與*:攻擊者會建立惡意 Azure 應用程式,試圖取得數據的存取權。 應用程式會傳送包含連結的電子郵件要求。 當收件者按兩下連結時,應用程式的同意授與機制會要求存取資料 (例如,使用者的 [收件匣]) 。
操作指南:教學指南,其中包含使用者 (的指示,例如如何報告網路釣魚訊息) 。
* 連結可以是 URL 或 QR 代碼。
下表列出 攻擊模擬訓練 使用的 URL:
注意事項
在網路釣魚活動中使用 URL 之前,請先在支援的網頁瀏覽器中檢查模擬網路釣魚 URL 的可用性。 如需詳細資訊,請參閱 受Google Safe Browsing封鎖的網路釣魚模擬URL。
建立模擬
如需如何建立和啟動仿真的指示,請參閱 模擬網路釣魚攻擊。
模擬中的 登陸頁面 是用戶在開啟承載時的所在位置。 當您建立模擬時,您會選取要使用的登陸頁面。 您可以從內建登陸頁面、您已建立的自定義登陸頁面中選取,也可以建立新的登陸頁面,以便在模擬建立期間使用。 若要建立登陸頁面,請參閱登陸頁面 攻擊模擬訓練。
模擬中的使用者通知會將定期提醒傳送給使用者 (例如訓練指派和提醒通知) 。 您可以從內建通知、您已建立的自定義通知中選取,也可以建立要在模擬建立期間使用的新通知。 若要建立通知,請參閱 攻擊模擬訓練 的使用者通知。
提示
模擬自動化 比傳統模擬提供下列改善:
- 模擬自動化可以包含多個社交工程技術和相關的承載, (模擬只包含一個) 。
- 模擬自動化支援自動化排程選項 (不只是模擬) 的開始日期和結束日期。
如需詳細資訊,請參閱模擬 攻擊模擬訓練 自動化。
承載
雖然 攻擊模擬訓練 包含許多可用社交工程技術的內建承載,但您可以建立自定義承載以更符合您的商務需求,包括複製和自定義現有的承載。 您可以在建立模擬之前或在模擬建立期間,隨時建立承載。 若要建立承載,請參閱建立 攻擊模擬訓練的自定義承載。
在使用附件社交工程技術中的 認證收集 或連結的模擬 中 , 登入頁面 是您所選承載的一部分。 登入頁面是使用者輸入認證的網頁。 每個適用的承載都會使用預設登入頁面,但您可以變更所使用的登入頁面。 您可以從內建登入頁面、您已建立的自定義登入頁面中選取,也可以建立新的登入頁面,以便在建立模擬或承載期間使用。 若要建立登入頁面,請參閱 攻擊模擬訓練 中的登入頁面。
模擬網路釣魚訊息的最佳訓練體驗是盡可能接近貴組織可能遇到的實際網路釣魚攻擊。 如果您可以擷取並使用在 Microsoft 365 中偵測到且在模擬網路釣魚活動中使用之真實世界網路釣魚訊息的無害版本,該怎麼辦? 您可以使用 承載自動化 (也稱為 承載收集) 。 若要建立承載自動化,請參閱適用於 攻擊模擬訓練的承載自動化。
攻擊模擬訓練 也支持在承載中使用QR代碼。 您可以從內建 QR 代碼承載清單中選擇,也可以建立自定義 QR 代碼承載。 如需詳細資訊,請參閱 攻擊模擬訓練 中的 QR 代碼承載。
報表和深入解析
建立並啟動模擬之後,您必須查看其運作方式。 例如:
- 每個人是否都收到它?
- 誰對仿真的網路釣魚訊息及其內的承載做了什麼, (刪除、報告、開啟承載、輸入認證等 ) 。
- 已完成指派訓練的人員。
攻擊模擬訓練 的可用報表和深入解析會在深入解析和 攻擊模擬訓練 報表中說明。
預測的入侵率
您通常需要為特定物件量身打造仿真的網路釣魚活動。 如果網路釣魚訊息太接近完美,幾乎所有人都會被它所欺騙。 如果太可疑,則不會被它所欺騙。 此外,某些使用者認為難以識別的網路釣魚訊息,會被視為容易被其他用戶識別。 那麼,您要如何取得平衡?
PCR (預測的入侵率) 指出在模擬中使用承載時的潛在有效性。 PCR 會使用跨 Microsoft 365 的智慧型手機歷程記錄數據,來預測承載將會危害的人員百分比。 例如:
- 承載內容。
- 來自其他仿真的匯總和匿名入侵率。
- 承載元數據。
PCR 可讓您比較網路釣魚仿真的預測與實際點擊率。 您也可以使用此資料來查看組織相較於預測結果的執行方式。
無論您在何處檢視和選取承載,以及在下列報告和深入解析中,都可以使用承載的 PCR 資訊:
提示
攻擊模擬器會在 適用於 Office 365 的 Defender 中使用安全連結,安全地追蹤傳送給網路釣魚活動目標收件者之承載訊息中 URL 的點選數據,即使 [追蹤使用者單擊] 原則中的設定已關閉也一般。
不使用技巧進行訓練
傳統的網路釣魚模擬會向用戶呈現可疑的訊息和下列目標:
- 讓使用者將訊息回報為可疑。
- 在使用者按兩下或啟動仿真的惡意承載並放棄其認證之後提供訓練。
但是,有時候您不想要等待使用者採取正確或不正確的動作,再為他們提供訓練。 攻擊模擬訓練 提供下列功能來略過等候並直接進行訓練:
訓練活動:訓練活動是針對目標使用者僅限訓練的指派。 您可以直接指派訓練,而不需要讓用戶通過模擬測試。 訓練活動可讓您輕鬆地進行學習課程,例如每月網路安全性認知訓練。 如需詳細資訊,請參閱 攻擊模擬訓練 中的訓練活動。
模擬中的操作指南:以 操作 指南社交工程技術為基礎的模擬不會嘗試測試使用者。 操作指南是一種輕量型學習體驗,使用者可以直接在收件匣中檢視。 例如,下列內建 的操作指南 承載可供使用,您可以建立自己的 (包括 複製和自定義現有的承載) :
- 教學指南:如何報告網路釣魚訊息
- 教學指南:如何辨識和報告 QR 網路釣魚訊息
提示
攻擊模擬訓練 針對 QR 程式代碼型攻擊提供下列內建訓練選項:
- 訓練模組:
- 惡意的數位 QR 代碼
- 惡意列印的 QR 代碼
- 模擬中的操作指南: 教學指南:如何辨識和報告 QR 網路釣魚訊息