使用攻擊模擬訓練來模擬網路釣魚攻擊
提示
您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 瞭解誰可以在 Try Microsoft Defender for Office 365 上註冊和試用條款。
在 Microsoft 365 E5 或 Microsoft Defender for Office 365 方案 2 的攻擊模擬訓練中,仿真是您在組織中執行的良性網路攻擊。 這些模擬會測試您的安全策略和做法,並訓練您的員工提高認知並降低其對攻擊的敏感性。 本文將逐步引導您使用攻擊模擬訓練來建立模擬網路釣魚攻擊。
如需攻擊模擬訓練的入門資訊,請 參閱開始使用攻擊模擬訓練。
提示
若要指派訓練給使用者,而不讓他們完成模擬,請參閱 攻擊模擬訓練中的訓練活動。
若要啟動仿真的網路釣魚攻擊,請執行下列步驟:
在 Microsoft Defender 入口網站 https://security.microsoft.com中,移至 [電子郵件 & 共同作業>攻擊模擬訓練>模擬] 索引標籤 。或者,若要直接移至 [ 模擬] 索引標籤 ,請使用 https://security.microsoft.com/attacksimulator?viewid=simulations。
在 [ 模擬] 索引標籤 上,選取 [ 啟動模擬 ] 以啟動新的模擬精靈。
下列各節說明建立仿真的步驟和組態選項。
注意事項
在新模擬精靈命名模擬之後的任何時間點,您都可以選取 [ 儲存並關閉] 以儲存進度,稍後再繼續。 不完整的模擬具有 狀態 值 Draft。 您可以選取模擬,然後選取出現的 [編輯模擬 ] 動作,以從您離開的地方開始。
選取社交工程技術
在 [ 選取技術 ] 頁面上,選取可用的社交工程技術:
- 認證收集*
- 惡意代碼附件
- 附件中的連結
- 連結至惡意代碼*
- 依磁碟驅動器 URL
- OAuth 同意授與*
- 操作指南*
* 此社交工程技術可讓您使用目前在預覽) 中 (QR 代碼。 如需詳細資訊,請參閱本文稍後 的 QR 程式代碼模擬和定 型一節。
如果您選取描述中的 [ 檢視詳細 數據] 連結,將會開啟詳細數據飛出視窗,描述技術所產生的技術和模擬步驟。
如需不同社交工程技術的詳細資訊,請參閱 模擬。
當您在 [ 選取技術 ] 頁面上完成時,請選取 [ 下一步]。
命名和描述模擬
在 [ 名稱模擬 ] 頁面上,設定下列設定:
- 名稱:輸入仿真的唯一描述性名稱。
- 描述:輸入仿真的選擇性詳細描述。
當您在 [ 名稱模擬 ] 頁面上完成時,請選取 [ 下一步]。
選取承載和登入頁面
在 [ 選取承載和登入] 頁面上 ,您必須選取現有的承載,或建立要使用的新承載。
針對附件社交工程技術中的 認證收集 或 連結 ,您也可以檢視承載中使用的登入頁面、選取要使用的不同登入頁面,或建立要使用的新登入頁面。
選取承載
[ 選取承載和登入] 頁面 有兩個索引標籤:
- 全域承載:包含內建承載。
- 租用戶承載:包含自定義承載。
每個承載都會顯示下列資訊:
- 承載名稱
- 語言:承載內容的語言。 Microsoft的承載目錄 (全域) 提供 29 種以上語言的承載,如篩選中所述。
- 預測的入侵率:Microsoft 365 的歷史數據,可預測此承載應該遭到入侵的人員百分比, (使用者遭入侵/收到承載) 的用戶總數。 如需詳細資訊,請參閱 預測的入侵率。
您可以按下可用的數據列標頭來排序專案。
若要在清單中尋找承載,請在 [搜尋] 方塊中輸入承載名稱的一部分,然後按 ENTER 鍵。
若要篩選承載,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
來源:可用的值為: Global、 Tenant 和 All。
複雜度:根據承載中的指標數目計算,指出可能的攻擊 (拼字錯誤、急迫性等 ) 。 更多指標更容易識別為攻擊,並指出複雜度較低。 可用的值為: High、 Medium 和 Low。
語言:可用的值為:英文、西班牙文、德文、日文、法文、葡萄牙文、荷蘭文、義大利文、瑞典文、中文 (簡體) 、中文 (繁體、臺灣) 、挪威文 Bokmål、波蘭文、俄文、芬蘭文、韓文、土耳其文、匈牙利文、希伯來文、泰文、阿拉伯文、越南文、斯洛伐克文、印尼文、羅馬尼亞文、斯洛維尼亞文、克羅埃西亞文、卡達隆尼亞文和其他。
依主題篩選:可用的值為:帳戶啟用、帳戶驗證、帳單、清除郵件、收到的文件、費用、傳真、財務報告、傳入郵件、發票、收到的專案、登入警示、郵件接收、密碼、付款、薪資、個人化供應專案、隔離、遠端工作、檢閱訊息、安全性更新、服務暫停、需要簽章、升級信箱記憶體、驗證信箱、語音信箱等等。
依品牌篩選:可用的值為: American Express、 Capital One、 DHL、 DocuSign、 Dropbox、 Facebook、 First American、 Microsoft、 Netflix、 Wideiabank、 SendGrid、 使用者標題、 宣告、進階 法哥、 亞布克雲端 及其他。
依產業篩選:可用的值為:銀行、商務服務、消費者服務、教育、能源、建築、諮詢、金融服務、政府、商務、保險、法律、Courier Services、醫療保健、製造、零售、電信、房地產和其他。
目前事件:可用的值為 [是 ] 或 [ 否]。
爭議:可用的值為 [是 ] 或 [ 否]。
當您完成設定篩選時,請選取 [ 套用]、[ 取消] 或 [ 清除篩選]。
如果您選取名稱旁邊的複選框來選取承載,傳送測試動作會出現在承載清單上方。 使用此動作可將承載電子郵件的複本傳送給您自己, (目前登入的使用者) 進行檢查。
在 [租用戶承載] 索引卷標上,如果沒有可用的承載,或如果您想要建立自己的承載,請選取 [建立承載]。 建立步驟與攻擊模擬訓練>內容庫索引標籤 > [承載>租用戶承載] 索引卷標相同。如需詳細資訊,請參閱建立攻擊模擬訓練的自定義承載。
如果您按下名稱旁邊複選框以外的資料列中的任何位置來選取承載,承載的詳細資料會顯示在開啟的飛出視窗中:
- [概觀] 索引標籤 (名為 [認證收集中的承載] 和 [附件承載中的連結]) 包含承載的相關詳細數據,包括預覽。
- [登入頁面] 索引卷標僅適用於附件承載中的認證收集或連結,如選取登入頁面小節中所述。
- [ 附件] 索引標籤僅適用於 [惡意代碼附件]、[ 附件中的連結] 和 [ Oauth 同意授 與承載]。 此索引標籤包含附件的詳細數據,包括預覽。
- [ 模擬啟動] 索引標籤包含 [模擬名稱]、 [按兩下速率]、 [入侵率] 和 [ 動作]。
如果模擬未在附件承載中使用認證收集或連結,或您不想要檢視或編輯所使用的登入頁面,請在 [選取承載和登入] 頁面上選取 [下一步] 以繼續。
若要選取 [認證收集] 或 [附件承載中的連結] 中使用的登入頁面,請移至 [選取登入頁面] 子區段。
選取登入頁面
注意事項
[登入頁面] 索引標籤只能在附件承載中認證收集或鏈接的詳細數據飛出視窗中使用。
在 [ 選取承載和登入] 頁面上 ,按下複選框以外的數據列中的任何位置來選取承載,以開啟承載的詳細數據飛出視窗。
在承載的詳細數據飛出視窗中,[ 登入頁面 ] 索引卷標會顯示目前為承載選取的登入頁面。
若要檢視完整的登入頁面,請針對兩頁登入頁面,使用頁面底部的第 1 頁 和第 2 頁 連結。
若要變更承載中使用的登入頁面,請選取 [ 變更登入頁面]。
在開啟的 [ 選取登入] 頁面 飛出視窗上,會顯示每個登入頁面的下列資訊:
- 名稱
- Language
- 來源:針對內建登入頁面,此值為 Global。 針對自定義登入頁面,此值為 Tenant。
- 建立者:針對內建登入頁面,此值 會Microsoft。 針對自定義登入頁面,此值是建立登入頁面之使用者的UPN。
- 上次修改日期
- 動作:選取 [預覽 ] 以預覽登入頁面。
若要在清單中尋找登入頁面,請在 [搜尋] 方塊中輸入登入頁面名稱的一部分,然後按 ENTER 鍵。
選取 [篩選 ] 以依 [來源 ] 或 [ 語言] 篩選登入頁面。
若要建立新的登入頁面,請選取 [ 新建]。 建立步驟與 攻擊模擬訓練 Content 連結庫索引標籤>> [登入頁面>租使用者登入頁面] 索引卷標相同。如需指示,請參閱建立登入頁面。
回到 [ 選取登入] 頁面,確認已選取您建立的新登入頁面,然後選取 [ 儲存]。
回到承載詳細數據飛出視窗,選取 [ 關閉]。
當您在 [ 選取承載和登入] 頁面 上完成時,請選取 [ 下一步]。
設定 OAuth 承載
注意事項
只有當您在 [選取技術] 頁面上選取 [OAuth 同意授與] 和對應的承載時,才能使用此頁面。
在 [ 設定 OAuth 承載 ] 頁面上,設定下列設定:
- 應用程式名稱:輸入承載的名稱。
- 應用程式標誌:選取 [流覽 ] 以選取要使用的 .png、.jpeg或 .gif 檔案。 若要在選取檔案之後移除檔案,請選取 [ 移除]。
-
選取應用程式範圍:選擇下列其中一個值:
- 讀取使用者連絡人
- 讀取使用者連絡人
- 讀取使用者郵件
- 讀取所有聊天訊息
- 讀取使用者可以存取的所有檔案
- 使用者郵件的讀取和寫入存取權
- 以使用者的身分傳送郵件
當您在 [ 設定 OAuth 承載 ] 頁面上完成時,請選取 [ 下一步]。
目標使用者
在 [ 目標使用者] 頁面上,選取接收仿真的人員。 使用下列選項來選取使用者:
包含組織中的所有使用者:無法修改的使用者清單會以10個群組顯示。 您可以在使用者清單下方使用 [下一步 ] 和 [ 上 一步] 來捲動清單。 您也可以使用頁面上的 [搜尋] 來尋找特定使用者。
提示
雖然您無法從此頁面上的清單中移除使用者,但您可以使用下一個 [排除使用者 ] 頁面來排除特定使用者。
只包含特定使用者和群組:一開始, 目標用戶 頁面上不會顯示任何使用者或群組。 若要將使用者或群組新增至模擬,請選擇下列其中一個選項:
新增使用者:在開啟的 [ 新增使用者 ] 飛出視窗中,您可以尋找並選取要接收仿真的使用者和群組。 不支援動態通訊群組。 下列搜尋工具可供使用:
搜尋使用者或群組:如果您按兩下 [搜尋] 方塊並執行下列其中一個動作,[新增使用者] 飛出視窗上的 [依類別篩選使用者] 選項會由 [使用者清單] 區段取代:
- 輸入三個或多個字元,然後按 ENTER 鍵。 任何包含這些字元的使用者或組名,都會依 [名稱]、[Email]、[職稱] 和 [類型] 顯示在 [使用者清單] 區段中。
- 輸入少於三個字元或沒有字元,然後按 ENTER 鍵。 [ 使用者清單 ] 區段中不會顯示任何使用者,但您可以在 [ 搜尋 ] 方塊中輸入三個以上的字元來搜尋使用者和群組。
結果數目會出現在 [ 選取的 (0/x) 使用者標籤 中。
提示
選取 [新增篩選] 會 清除任何結果,並將 [ 使用者清單 ] 區段中的任何結果取代 為 [依類別篩選使用者]。
當您在 [使用者清單] 區段中有使用者或群組 的 清單時,請選取 [ 名稱 ] 資料行旁邊的複選框來選取部分或所有結果。 選取的結果數目會出現在 [ 選取的 (y/x) 使用者標籤 中。
選 取 [新增 x 個使用者 ],在 [目標使用者] 頁面上新增選取的 使用者 或群組,然後返回 [ 目標使用者] 頁面。
依類別篩選使用者:使用下列選項:
建議的使用者群組:從下列值中選取:
- 所有建議的使用者群組:與選取 [過去三個月內模擬未設為目標的使用者 ] 和 [ 重複執行] 相同的結果。
- 過去三個月內模擬未設為目標的使用者
- 重複使用:如需詳細資訊,請 參閱設定重複閾值。
用戶標籤:使用者標記是特定使用者群組的標識碼, (例如,優先帳戶) 。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的用戶標籤。 使用下列選項:
- 搜尋:在 [依使用者卷標搜尋] 中,您可以輸入使用者標籤名稱的一部分,然後按 Enter。 您可以選取部分或所有結果。
- 選 取 [所有使用者卷標]
- 選取現有的使用者標籤。 如果連結可用,請選取 [查看所有使用者卷標 ] 以查看可用標籤的完整清單。
城市:使用下列選項:
- 搜尋:在 [依城市搜尋] 中,您可以輸入 City 值的一部分,然後按 Enter。 您可以選取部分或所有結果。
- 選取 [所有城市]
- 選取現有的 City 值。 如果連結可用,請選取 [查看所有城市 ],以查看可用 City 值的完整清單。
國家/地區:使用下列選項:
- 搜尋:在 [依國家/地區搜尋] 中,您可以輸入 [國家/地區] 值的一部分,然後按 Enter。 您可以選取部分或所有結果。
- 選取 [所有國家/地區]
- 選取現有的 City 值。 如果連結可用,請選取 [查看所有國家/地區 ] 以查看可用國家/地區值的完整清單。
部門:使用下列選項:
- 搜尋:在 [依部門搜尋] 中,您可以輸入部分 Department 值,然後按 Enter。 您可以選取部分或所有結果。
- 選 取 [所有部門]
- 選取現有的部門值。 如果連結可用,請選 取 [查看所有部門 ],以查看可用部門值的完整清單。
標題:使用下列選項:
- 搜尋:在 [依標題搜尋] 中,您可以輸入 Title 值的一部分,然後按 Enter。 您可以選取部分或所有結果。
- 選 取所有標題
- 選取現有的 [標題] 值。 如果連結可用,請選取 [查看所有標題 ] 以查看可用 Title 值的完整清單。
您可以使用部分或所有搜尋類別來尋找使用者和群組。 如果您選取多個類別,則會使用 AND 運算符。 任何使用者或群組都必須符合要在結果中傳回的兩個值 (如果您在多個 類別中使用 All 值,) 幾乎不可能。
特定類別的搜尋準則所使用的值數目會顯示在類別圖格旁邊 (例如 City 50 或 Priority 帳戶 10) 。
當您完成依類別搜尋之後,請選取 [ 套用 (x) ] 按鈕。 [新增使用者] 飛出視窗上的 [依類別篩選使用者] 選項會由下列資訊取代:
- 篩選區 段:顯示您使用的篩選值和篩選值的名稱。 如果可以使用,請選取 [ 查看所有 ] 連結以查看所有篩選值
- 使用者清單 區段:顯示符合您類別搜尋的使用者或群組。 結果數目會出現在 [ 選取的 (0/x) 使用者標籤 中。
當您在 [使用者清單] 區段中有使用者或群組 的 清單時,請選取 [ 名稱 ] 資料行旁邊的複選框來選取部分或所有結果。 選取的結果數目會出現在 [ 選取的 (y/x) 使用者標籤 中。
選取 [ 新增 x 個使用者] 按鈕,以在 [ 目標使用者 ] 頁面上新增選取的使用者或群組,並返回 [ 目標使用者] 頁面。
匯入:在開啟的對話框中,指定每行包含一個電子郵件位址的 CSV 檔案。
在您找到選取的 CSV 檔案之後,系統會匯入使用者,並顯示在 [ 目標使用者 ] 頁面上。
在主要的 [ 目標使用者] 頁面上,您可以使用 [搜尋 ] 方塊來尋找選取的使用者。 您也可以選取 [刪除],然後在確認對話框中選取 [確認],以移除特定使用者。
若要新增更多使用者和群組,請在 [目標使用者] 頁面上選取 [新增使用者] 或 [匯入],然後重複上述步驟。
當您在 [ 目標使用者 ] 頁面上完成時,請選取 [ 下一步]。
排除使用者
在 [ 排除使用者] 頁面上,您可以選取 [ 從此模擬中排除一些目標使用者 ],以排除根據您先前在 [ 目標使用者 ] 頁面上選取的專案而包含的使用者。
尋找和選取使用者的方法,與上一節針對 僅包含特定使用者和群組所述的方法相同。
當您在 [ 排除使用者 ] 頁面上完成時,請選取 [ 下一步]。
指派訓練
在 [ 指派訓練 ] 頁面上,您可以指派仿真的訓練。 建議您為每個模擬指派訓練,因為經過訓練的員工較不容易受到類似的攻擊。
使用頁面上的下列選項,在模擬過程中指派訓練:
喜好設定 區段:在 [選取訓練內容喜好設定] 中,選擇下拉式清單中的下列其中一個選項:
Microsoft定型體驗 (建議) :這是預設值。 此值具有下列相關聯的選項,可在頁面上進行設定:
- 選取下列其中一個值:
- 為我指派訓練 (建議) :這是預設值。 我們會根據使用者先前的模擬和訓練結果來指派訓練。
- 選取訓練課程和課程模組:如果您選取此值,精靈中的下一個步驟是 [ 訓練指派 ],您可以在其中尋找並選取訓練。 這些步驟會在訓練 指派 小節中說明。
-
到期日 區段:在 [選取定型到期日] 中,選擇下列其中一個值:
- 模擬結束 30 天后 (這是預設值)
- 模擬結束后的 15 天
- 模擬結束后的 7 天
- 選取下列其中一個值:
重新導向至自定義 URL:此值具有下列相關聯的選項,可在頁面上進行設定:
- 需要自定義定型 URL ()
- 需要自定義定型名稱 ()
- 自定義訓練描述
- 自定義定型持續時間 (分鐘) :預設值為0,表示沒有指定的訓練持續時間。
-
到期日 區段:在 [選取定型到期日] 中,選擇下列其中一個值:
- 模擬結束 30 天后 (這是預設值)
- 模擬結束后的 15 天
- 模擬結束后的 7 天
沒有定型:如果您選取此值,頁面上的唯一選項是 [下一步]。
當您在 [ 指派訓練 ] 頁面上完成時,請選取 [ 下一步]。
訓練指派
注意事項
只有當您在 [指派訓練] 頁面上選取 [選取訓練課程和課程模組] 時,才能使用此頁面。
在 [ 定型指派 ] 頁面上,選取您想要新增至仿真的訓練,方法是選取 [ 新增訓練]。
在開啟的 [ 新增訓練 ] 飛出視窗中,使用下列索引卷標來選取要包含在模擬中的定型:
- 建議的 索引標籤:根據模擬設定顯示建議的內建訓練。 如果您在上一頁選取 [為我指派訓練] ([ 建議 的) ],則這些訓練會是已指派的相同訓練。
- [所有訓練] 索引 標籤:顯示所有可用的內建訓練。
在任一索引標籤上,每個訓練都會顯示下列資訊:
- 定型名稱
- 來源:此值為 Global。
- 持續時間 (分鐘)
- 預覽:選取 [預覽 ] 以查看訓練。
在任一索引標籤上,您可以使用 [搜尋 ] 方塊來尋找訓練。 輸入定型名稱的一部分,然後按 ENTER 鍵。
在任一索引標籤上,選取訓練名稱旁邊的複選框,以選取一或多個訓練。 若要選取所有定型,請選取 [ 定型名稱 ] 數據行標頭中的複選框。 完成時,選取 [新增]。
回到 [ 訓練指派 ] 頁面,現在會列出選取的訓練。 每個訓練都會顯示下列資訊:
- 定型名稱
- Source
- 持續時間 (分鐘)
-
指派給:針對每個訓練,從下列值中選取誰會取得定型:
- 所有使用者
- 按 兩下 承載或遭 入侵的一或兩個值。
- 刪除:選取 [刪除] 以從模擬中移除定型。
當您在 [ 訓練指派 ] 頁面上完成時,請選取 [ 下一步]。
選取登陸頁面
在 [ 選取網络釣魚登陸] 頁面上 ,設定使用者在模擬中開啟承載時所前往的網頁。
選取下列其中一個選項:
使用連結庫中的登陸頁面:有下列選項可供使用:
- 承載指標 區段:選取 [ 將承載指標新增至電子郵件 ],以協助用戶瞭解如何識別網路釣魚電子郵件。
- 在登陸頁面之前顯示插播式頁面:只有當您在 [選取社交工程技術] 頁面上選取 [依磁碟驅動器 URL] 時,才能使用此設定。 您可以顯示針對依磁碟驅動器 URL 攻擊所產生的重疊。 若要隱藏重疊並直接移至登陸頁面,請勿選取此選項。
[ 選取網络釣魚登陸] 頁面 的其餘部分有兩個索引卷標,您可以在其中選取要使用的登陸頁面:
[全域登陸頁面] 索引卷標:包含內建登陸頁面。 當您選取要使用的內建登陸頁面時,選取名稱旁的複選框時,[ 編輯配置 ] 區段會顯示下列選項:
- 新增標誌:選取 [瀏覽標誌影像 ] 以尋找並選取 .png、.jpeg或 .gif 檔案。 標誌大小最多應為 210 x 70,以避免失真。 若要移除標誌,請選 取 [移除已上傳的標誌影像]。
- 選取預設語言:需要此設定。 選取下列其中一個值:中文 (簡體) 、繁體中文 (、臺灣) 、荷蘭文、英文、西班牙文、法文、德文、義大利文、日文、韓文、**葡萄牙文或俄文。
租使用者登陸頁面 索引標籤:包含您建立的任何自定義登陸頁面。 若要建立新的登陸頁面,請選取 [ 新建]。 建立步驟與 攻擊模擬訓練 Content 連結庫索引標籤>>[網络釣魚登陸頁面租使用者登陸頁面>] 索引標籤相同。如需指示,請參閱建立登陸頁面。
在這兩個索引標籤上,每個登陸頁面都會顯示下列資訊。 您可以按下可用的數據列標頭來排序登陸頁面。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 () * :
- 名字*
- 語言*:如果登陸頁面包含多個翻譯,則會直接顯示前兩種語言。 若要查看剩餘的語言,將滑鼠停留在數值圖示的上方 (例如,+10)。
- Source
- 默認語言*
- 地位*
- 連結的模擬*
- 建立者
- 建立時間*
- 修改者*
- 上次修改時間*
若要在清單中尋找登陸頁面,請在 [搜尋] 方塊中輸入登陸頁面名稱的一部分,然後按 ENTER 鍵。
選取 [篩選 ] 以依語言篩選登陸頁面。
選取登陸頁面時,如果您按下資料列中的任何位置,就會開啟詳細資料飛出視窗,以顯示登陸頁面的詳細資訊:
- [ 預覽] 索引 標籤會顯示登陸頁面對用戶的外觀。
- [ 詳細數據] 索 引標籤會顯示登陸頁面的屬性。
提示
若要查看其他登陸頁面的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
當您完成登陸頁面詳細數據飛出視窗時,請選取 [ 關閉]。
在 [ 選取網络釣魚登陸] 頁面上 ,選取 [ 名稱 ] 數據行旁邊的複選框,以選取要使用的登陸頁面。
使用自定義 URL:如果您在 [選取技術] 頁面上選取 [惡意代碼附件] 或 [連結至惡意代碼],則無法使用此設定。
如果您選取 [使用自定義 URL],則必須在出現的 [ 輸入自定義登陸頁面 URL ] 方塊中新增 URL。 [ 選取網络釣魚登陸] 頁面 上沒有其他選項可用。
當您在 [ 選取網络釣魚登陸] 頁面 上完成時,請選取 [ 下一步]。
選取使用者通知
在 [ 選取使用者通知 ] 頁面上,從下列通知選項中選取:
請勿傳遞通知:頁面上沒有其他設定選項可用。 使用者不會收到來自仿真的訓練 指派通知、 訓練提醒通知 或 正增強通知 。 在警告對話框中選取 [ 繼續 ]。
Microsoft預設通知 (建議的) :使用者收到的通知會顯示在頁面上:
- Microsoft操作指南社交工程技術的預設正增強式通知 (,這是唯一可用的通知)
- Microsoft預設定型指派通知
- Microsoft預設訓練提醒通知
選取要在 [選取預設語言] 中使用的預設語言。 可用的值為:簡 (中文) 、繁體中文 (、臺灣) 、英文、法文、德文、義大利文、日文、韓文、葡萄牙文、俄文、西班牙文、荷蘭文、波蘭文、阿拉伯文、芬蘭文、希臘文、匈牙利文、印尼文、挪威 Bokmål、羅馬尼亞文、斯洛伐克文、瑞典文、泰文、土耳其文、越南文、卡達隆尼亞文、克羅埃西亞文或斯洛維尼亞文。
針對每個通知,可以使用下列資訊:
通知:通知的名稱。
語言:如果通知包含多個翻譯,系統會直接顯示前兩種語言翻譯。 若要查看剩餘的語言,將滑鼠停留在數值圖示的上方 (例如,+10)。
類型:下列其中一個值:
- 正增強式通知
- 訓練指派通知
- 訓練提醒通知
傳遞喜好設定:您必須先設定下列傳遞喜好設定,才能繼續:
- 針對 Microsoft預設正增強通知,請選取 [ 不要傳遞]、[ 營銷活動結束後傳遞] 或 [ 營銷活動期間傳遞]。
- 針對 Microsoft默認訓練提醒通知,請選取 [ 每周兩次 ] 或 [每周]。
動作:如果您選取 [ 檢視],[ 檢閱通知 ] 頁面隨即開啟,其中包含下列資訊:
- 預覽 索引標籤:在使用者看到通知訊息時檢視通知訊息。 若要以不同語言檢視訊息,請使用 [選取通知語言] 方塊。
-
詳細資料 索引標籤:檢視通知的詳細資料:
- 通知描述
- 來源:對於內建通知,此值為 全域。 對於自訂通知,此值為 租用戶。
-
通知類型:根據您原先選取的通知,下列其中一種類型:
- 正增強式通知
- 訓練指派通知
- 訓練提醒通知
- 修改者
- 上次修改日期
當您在 [ 檢閱通知 ] 頁面上完成時,請選取 [ 關閉 ] 傳回 [ 選取使用者通知 ] 頁面。
自定義使用者通知:頁面上沒有其他設定選項可用。 當您選取 [下一步] 時,您必須選取訓練 指派通知、 訓練提醒通知, (選擇性地) 正 增強通知 ,以用於模擬,如下三個子節所述。
當您在 [ 選取使用者通知 ] 頁面上完成時,請選取 [ 下一步]。
選取訓練指派通知
注意事項
只有當您在 [選取使用者通知] 頁面上選取 [自定義使用者通知] 時,才能使用此頁面。
[ 訓練指派通知 ] 頁面會顯示下列通知及其設定的語言:
- Microsoft預設定型指派通知
- Microsoft預設僅限訓練活動訓練指派通知
- 您先前建立的任何自定義訓練指派通知。
這些通知也可在 攻擊模擬訓練>內容庫 索引標籤 >[使用者通知] 中取得:
- 內建的訓練指派通知可在 的 [ 全域通知] 索引 卷標 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&上取得。source=global。
- 自定義訓練指派通知位於 的 [租使用者通知] 索引 標籤 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&上。source=tenant。
如需詳細資訊,請參閱 攻擊模擬訓練的使用者通知。
執行下列其中一個步驟:
選取要使用的現有通知:
若要在清單中搜尋現有的通知,請在 [搜尋] 方塊中輸入通知名稱的一部分,然後按 ENTER 鍵。
當您按下複選框以外的數據列中的任何位置來選取通知時,會開啟詳細數據飛出視窗,以顯示通知的詳細資訊:
- [ 預覽] 索引 標籤會向使用者顯示通知的外觀。
- [ 詳細數據] 索 引標籤會顯示通知的屬性。
當您在通知詳細資料飛出視窗中完成時,請選取 [ 關閉]。
在 [ 訓練指派通知 ] 頁面上,選取名稱旁邊的複選框,以選取要使用的通知。
建立要使用的新通知:選取 [ 新建]。 建立步驟與 建立使用者通知相同。
注意事項
在新的通知精靈的 [ 定義詳細 數據] 頁面上,請務必選取通知類型的 [ 定型指派通知 ] 值。
當您完成建立通知時,您會回到 [ 訓練指派通知 ] 頁面,其中新的通知現在會出現在清單中供您選取
當您在 [ 訓練指派通知 ] 頁面上完成時,請選取 [ 下一步]。
選取訓練提醒通知
注意事項
只有當您在 [選取使用者通知] 頁面上選取 [自定義使用者通知] 時,才能使用此頁面。
[ 訓練提醒通知 ] 頁面會顯示下列通知及其設定的語言:
- Microsoft預設訓練提醒通知
- Microsoft預設僅限訓練活動訓練提醒通知
- 您先前建立的任何自定義訓練提醒通知。
這些通知也可在 攻擊模擬訓練>內容庫 索引標籤 >[使用者通知] 中取得:
- 內建的訓練提醒通知可在 的 [全域 通知] 索引 卷標 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&上取得。source=global。
- 您可以在 的 [ 租使用者通知 ] 索引標籤 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&上取得自定義訓練提醒通知。source=tenant。
如需詳細資訊,請參閱 攻擊模擬訓練的使用者通知。
在 [設定提醒通知的頻率] 中,選取 [每周 (預設值) 或 每周兩次,然後執行下列其中一個步驟:
選取要使用的現有通知:
若要在清單中搜尋現有的通知,請在 [搜尋] 方塊中輸入通知名稱的一部分,然後按 ENTER 鍵。
當您按下複選框以外的數據列中的任何位置來選取通知時,會開啟詳細數據飛出視窗,以顯示通知的詳細資訊:
- [ 預覽] 索引 標籤會向使用者顯示通知的外觀。
- [ 詳細數據] 索 引標籤會顯示通知的屬性。
當您在通知詳細資料飛出視窗中完成時,請選取 [ 關閉]。
在 [ 訓練提醒通知 ] 頁面上,選取名稱旁邊的複選框,以選取要使用的通知。
建立要使用的新通知:選取 [ 新建]。 建立步驟與 建立使用者通知相同。
注意事項
在新的通知精靈的 [ 定義詳細 數據] 頁面上,請務必選取通知類型的 [ 訓練提醒通知 ] 值。
當您完成建立通知時,您會回到 [ 訓練提醒通知 ] 頁面,其中新的通知現在會出現在清單中供您選取。
當您在 [ 訓練提醒通知 ] 頁面上完成時,請選取 [ 下一步]。
選取正增強通知
注意事項
只有當您在 [選取使用者通知] 頁面上選取 [自定義使用者通知] 時,才能使用此頁面。
您在 [ 傳遞喜好設定 ] 區段中有下列選項可取得正面增強通知:
不要使用正增強通知:選取 [ 不要傳遞] 。 頁面上沒有其他設定,因此當您選取 [下一步] 時,請移至 [啟動詳細數據] 頁面。
使用現有的正增強通知:選取其中一個其餘值:
- 在使用者回報網路釣魚和行銷活動結束之後傳遞
- 在使用者報告網路釣魚之後立即傳遞。
下列通知及其設定的語言會出現在頁面上:
- Microsoft預設正增強通知
- 您先前建立的任何自定義正增強通知。
這些通知也可在 攻擊模擬訓練>Content 連結庫索引標籤>使用者通知中取得:
- 內建的正增強式通知位於 的 [ 全域通知] 索引 卷 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&標上。source=global。
- 您可以在 的 [ 租使用者通知 ] 索引標籤 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&上取得自定義正增強通知。source=tenant。
如需詳細資訊,請參閱 攻擊模擬訓練 的使用者通知。
若要在清單中搜尋現有的通知,請在 [搜尋] 方塊中輸入通知名稱的一部分,然後按 ENTER 鍵。
當您按下複選框以外的數據列中的任何位置來選取通知時,會開啟詳細數據飛出視窗,以顯示通知的詳細資訊:
- [ 預覽] 索引 標籤會向使用者顯示通知的外觀。
- [ 詳細數據] 索 引標籤會顯示通知的屬性。
當您在通知詳細資料飛出視窗中完成時,請選取 [ 關閉]。
在 [ 正增強通知 ] 頁面上,選取名稱旁邊的複選框,以選取要使用的現有通知。
建立要使用的新正增強式通知:選取 [ 新建]。 建立步驟與 建立使用者通知相同。
注意事項
在新通知精靈的 [ 定義詳細 數據] 頁面上,請務必選取通知類型的 [ 正增強式通知 ] 值。
當您完成建立通知時,您會返回 [ 正增強通知 ] 頁面,其中新的通知現在會出現在清單中供您選取。
當您在 [ 正增強通知 ] 頁面上完成時,請選取 [ 下一步]。
設定模擬啟動詳細數據
在 [ 啟動詳細數據 ] 頁面上,選擇何時開始和結束模擬。 我們會在您指定的結束日期之後停止擷取與此仿真的互動。
請選擇下列其中一個值:
完成後立即啟動此模擬
排程稍後啟動此模擬:此值具有下列相關聯的選項可進行設定:
- 選取啟動日期
- 選取啟動時間小時
- 選取啟動時間分鐘
- 選取時間格式:選取 [AM ] 或 [PM]。
在頁面上設定其餘選項:
- 設定結束模擬后的天數:預設值為兩天,這也是最小值。 最大值為30天。
- 啟用區域感知時區傳遞:如果您選取此值,仿真的攻擊訊息會在其區域工作時間傳遞給使用者。
當您在 [ 啟動詳細數據 ] 頁面上完成時,請選取 [ 下一步]。
檢閱模擬詳細數據
在 [ 檢閱模擬 ] 頁面上,您可以檢閱仿真的詳細數據。
選取 [ 傳送測試 ] 按鈕,將承載電子郵件的複本傳送給您自己, (目前登入的使用者) 進行檢查。
您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面來修改設定。
當您在 [ 檢閱模擬 ] 頁面上完成時,請選取 [ 提交]。
在 [模擬已排定啟動] 頁面上,您可以使用連結來移至 攻擊模擬訓練 概觀或檢視所有承載。
當您完成 模擬已排定啟動時,請選取 [ 完成]。
回到 [ 模擬] 索引 標籤,現在會列出您建立的模擬。 [狀態] 值取決於您先前在設定模擬啟動詳細數據步驟中選取的專案:
- 如果您選取 [我完成後立即啟動此模擬],則進行中。
- 如果您 選取 [ 排程此模擬稍後啟動],請排程。
QR 程式代碼模擬和定型
提示
QR 代碼承載目前處於預覽狀態,並非所有組織都可使用,而且可能會變更。
您可以選取包含 QR 代碼的承載,以用於模擬。 QR 代碼會將網路釣魚 URL 取代為下列社交工程技術中模擬電子郵件訊息中所使用的承載:
- 認證收集
- 連結至惡意代碼
- 依磁碟驅動器 URL
- OAuth 同意授與
- 操作指南
如需 QR 代碼承載和設定自訂 QR 代碼承載的詳細資訊,請參閱 QR 代碼承載。
如需使用 QR 程式代碼承載報告仿真的詳細資訊,請參閱 QR 程式代碼仿真的報告。
檢視模擬
攻擊模擬訓練 中的 [模擬] 索引標籤https://security.microsoft.com/attacksimulator會顯示您建立的任何模擬。
每個模擬都會顯示下列資訊。 您可以按下可用的數據列標頭來排序模擬。 選 取 [自定義資料行] 以變更顯示的數據行。 預設會選取所有資料列:
- 模擬名稱
- 類型
- 平台
- 啟動日期
- 結束日期
- 實際入侵率 (%) :模擬入侵 (使用者遭入侵的百分比/接收模擬) 的用戶總數。
- 預測的入侵率 (%) :Microsoft 365 的歷史數據,可預測此承載應遭入侵的人員百分比, (使用者遭到入侵/收到承載) 的用戶總數。 如需詳細資訊,請參閱 預測的入侵率。
- 技術:模擬中使用的 社交工程技術 。
-
狀態:下列其中一個值:
- Draft
- 已排程
- 進行中。
- 已完成
- 已失敗
- 已取消
- 排除
- ⋮ (動作 控件) :對模擬採取動作。 可用的動作取決於仿真的 Status 值,如程式章節中所述。 這個控件一律會出現在數據列的結尾。
提示
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 從檢視中移除數據行。
- 縮小網頁瀏覽器。
使用 [ 搜尋] 方 塊來搜尋現有仿真的名稱。
選取 [篩選] 以依 [技術] 或 [狀態] 篩選模擬 ( 排除) 以外的所有 [狀態] 值。
當您完成設定篩選時,請選取 [ 套用]、[ 取消] 或 [ 清除篩選]。
若要查看已從報告中排除的模擬 ([狀態] 值為 [已排除) ,請使用 [模擬] 索引卷標上的 [顯示排除的模擬] 切換開關。
檢視模擬報告
針對 狀態值為 [ 進行中 ] 或 [ 已完成] 的模擬,您可以在 的 [ 模擬 ] 索引卷標 https://security.microsoft.com/attacksimulator?viewid=simulations上使用下列其中一種方法來檢視仿真的報告:
- 按兩下名稱旁邊複選框以外的數據列中的任何位置,即可選取模擬。
- 按兩下資料列結尾的 [⋮ (Actions) ,然後選取 [檢視報表],以選取模擬。
開啟的報表頁面標題會顯示模擬名稱和其他資訊 (例如狀態、社交工程技術,以及傳遞狀態) 。
提示
在下列案例中,報表頁面隨即開啟,但頁面上沒有其他資訊或動作可用:
- [ 狀態] 值為 [ 已排程]。
- 當 [ 狀態 ] 值為 [ 進行中] 時,在建立模擬后的前幾分鐘內。
您可以選取 [檢視啟用時間軸 ],以查看模擬 (模擬排程、模擬啟動、模擬結束,以及定型到期日) 的日期/時間資訊。
報表頁面的其餘部分包含索引標籤,如下列小節所述。
若要關閉模擬報告,請選取 [ 關閉]。
[報告] 索引標籤
如需模擬之 [ 報 表] 索引卷標上內容的描述,請參閱 模擬模擬報告。
[使用者] 索引標籤
[ 使用者] 索引標籤包含模擬中每個使用者的下列資訊。 您可以按下可用的資料列標頭來排序使用者。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 () * :
- 名字* (您無法取消選取此值)
- 妥協*
- 報導*
- 訓練狀態*
- 其他動作*
- 遭入侵*
- 報告於*
- 離辦公室天數
- 已讀取的訊息
- 轉寄的訊息
- 郵件已刪除於
- 回復訊息
- 傳遞失敗*
- 用戶名稱* (您無法取消選取此值)
- Department
- Company
- 職稱
- Office
- City
- 國家/地區
- Manager
提示
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 從檢視中移除數據行。
- 縮小網頁瀏覽器。
若要將使用者清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
選取 [篩選 ] 以篩選目標使用者,方法是在開啟的飛出視窗中選取下列一或多個值:
- 遭入侵:選取 [是] 或 [ 否]。
- 回報的訊息:選取 [是] 或 [否]。
- 模擬訊息傳遞:選取 [ 已傳遞 ] 或 [無法傳遞]。
- 其他動作:*選取下列一或多個值: [回復訊息]、 [轉寄的訊息] 和 [ 已刪除的訊息]。
- 訓練狀態:選取 [已完成]、[進行中]、[未啟動] 或 [未指派]。
- 指派的訓練:選取一或多個指派的訓練。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
使用 [ 搜尋] 方 塊來尋找清單中的使用者,方法是輸入名稱的一部分,然後按 ENTER 鍵。
詳細數據索引標籤
[ 詳細數據] 索 引標籤包含下列各節中有關仿真的詳細數據:
-
描述 區段:
- 傳遞平臺
- 類型
- 技術
- 啟動詳細數據
- 承載 & 登入頁面:選取 [預覽承載 & 登入頁面 ],以在詳細數據飛出視窗中預覽承載和登入頁面。
- 目標使用者:選 取 [檢視排除的使用者或群組] ,以查看詳細數據飛出視窗中排除的使用者或群組。
- 登陸頁面:選取 [預覽登陸頁面 ] 以預覽登陸頁面。
-
訓練資訊 區段:包含具有下列數據行的數據表:
- 定型名稱
- 指派給
- 動作:選取 [檢視] 以查看訓練。
-
通知 區段:包含具有下列資料行的數據表:
- 通知名稱
- 通知類型
- 傳遞頻率
- 動作:選取 [檢視] 以查看通知。
對模擬採取動作
現有模擬的動作都會在 [模擬] 索引標籤上啟動。若要前往該處,請在 https://security.microsoft.com開啟 Microsoft Defender 入口網站,移至 Email &>共同作業 攻擊模擬訓練>[Simulations] 索引卷標。或者,若要直接移至 [模擬] 索引標籤,請使用 https://security.microsoft.com/attacksimulator?viewid=simulations。
提示
若要查看 ⋮ (動作) 在 [ 模擬 ] 索引標籤上對模擬採取行動所需的控件,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 從檢視中移除數據行。
- 縮小網頁瀏覽器。
複製模擬
您可以複製現有的模擬並加以修改,以符合您的需求。 當您根據先前的模擬建立新的模擬時,此動作會節省時間和精力。
不論 [狀態] 值為何,您都可以複製 [模擬] 索引卷標中可用的任何模擬。 當您複製模擬時,可以變更模擬新複本中的設定。 例如,變更模擬名稱、描述、技術、承載和目標使用者。
- 我們不建議複製 失敗的 模擬,因為失敗的原因可能會在複製的模擬中重複發生。
- 當您複製模擬時,最新的設定會用於複製 (例如,承載、登陸頁面和使用者通知) 。 如果刪除任何內容,系統會提示您再次選取個別的內容。
- 從搜尋列新增群組時,會使用模擬啟動時的最新目標和排除使用者 (搜尋使用者或群組) 。 在下列案例中,目標和排除的使用者不會變更:
- 使用者清單是從 CSV 檔案匯入。
- 使用者已從搜尋列新增。
- 已針對不同類別新增使用者: [所有使用者]、 [建議的使用者群組]、[ 用戶卷標]、[ 城市]、[國家/地區]、[部門]、[標題]。
- 在原始模擬中,未來排定的啟動時間會依原樣複製和使用。 原始模擬中的過去啟動時間會產生預設值[在複製 完成後立即啟動此模擬 ]。
若要複製模擬,請執行下列步驟:
- 在 的 [ 模擬] 索引 標籤上 https://security.microsoft.com/attacksimulator?viewid=simulations,選取名稱旁邊的複選框,以尋找並選取要複製的模擬。
- 選取出現在索引標籤上的複製模擬動作。
- 模擬精靈隨即開啟,其中包含原始仿真的所有設定。 [ 名稱模擬 ] 頁面上的預設模擬名稱是原始名稱加上後綴 _Copy。
- 視需要檢閱和修改模擬組態。 選 取 [提交 ] 以啟動它,或選取 [ 儲存並關閉 ] 以稍後檢閱。 如果您選取 [取消],則不會儲存複製的模擬。
取消模擬
您可以使用 [狀態 ] 值 [ 進行中 ] 或 [ 已排程] 來取消模擬。
若要取消模擬,請執行下列步驟:
- 在 的 [模擬] 索引卷標https://security.microsoft.com/attacksimulator?viewid=simulations上,選取數據列結尾的 [⋮ (Actions ) ,以尋找並選取要取消的進行中或排程模擬。
- 選取 [ 取消模擬], 然後在確認 對話框中選取 [確認]。
取消模擬之後, [狀態 ] 值會變更為 [已取消]。
- 取消 狀態值為 Scheduled 的 模擬會導致 100% 取消。 不會傳送任何訓練指派訊息或通知,且活動已完全結束。
- 取消 狀態值為 [ 進行中 ] 的模擬會產生下列結果:
- 模擬傳遞會繼續傳遞給目標使用者。
- 如果您在定型指派之後取消模擬,訓練指派仍會顯示為到期,但後續的訓練提醒會取消。
- 如果您在定型指派之前取消模擬,則不會指派訓練,也不會傳送任何訓練指派通知。
- 已收到模擬網路釣魚訊息的用戶會體驗下列結果:
針對使用網路釣魚連結的社交工程技術, (惡意 代碼附件) 以外的所有專案,都會停用連結。 選取連結會顯示下列訊息:
此 URL 是Microsoft所提供的模擬網路釣魚練習的一部分,不再作用中。
針對 惡意代碼附件 社交工程技術,登陸頁面會保持可見。
如果使用者報告仿真的網路釣魚訊息,則會傳遞正增強式訊息。
拿掉模擬
您無法移除 狀態值為 [ 進行中] 的模擬。
若要移除模擬,請執行下列步驟:
- 在 的 [ 模擬] 索引卷標上 https://security.microsoft.com/attacksimulator?viewid=simulations,選取數據列結尾的 [⋮ (Actions) ,以尋找並選取要移除的模擬。
- 選取 [刪除], 然後在確認 對話框中選取 [確認]。
拿掉模擬之後,它不會再出現在 [ 模擬] 索引卷 標上。
從報告排除已完成的模擬
[排除] 動作僅適用於狀態值為 Competed 的模擬。
根據預設,所有已完成的模擬都會包含在報表中。 若要從報告中排除已完成的模擬,請執行下列步驟:
- 在 的 [模擬] 索引卷標上https://security.microsoft.com/attacksimulator?viewid=simulations,選取數據列結尾的 [ (動作]) ,以尋找並 ⋮選取要排除在報告之外的已完成模擬。
- 選取 [排除], 然後在確認 對話框中選取 [確認]。
將完成的模擬排除在報告之外之後,[狀態] 值會變更為 [已排除],而且當 [顯示排除的模擬] 切換關閉時,模擬不會再顯示在 [模擬] 索引卷標上。
若要查看已從報告中排除的已完成模擬,請使用下列其中一種方法:
- 在 [模擬] 索引標籤上,將 上的 [顯示排除的模擬] 切換為 。 只會顯示排除的模擬。
- 在 的 [設定] 索引標籤上https://security.microsoft.com/attacksimulator?viewid=setting,選取 [從報告排除的模擬] 區段中的 [檢視所有] 連結。 此動作會帶您前往 [ 模擬] 索引 標籤,其中會在 上切換 [顯示排除的模擬 ] 。 排除的模擬會以所有其他模擬出現在清單中。 使用 [狀態 ] 值來尋找它。 如需詳細資訊,請 參閱檢視從報告排除的模擬。
在報表中包含已完成的模擬
只有當您如上一節所述排除模擬時,才會從報告中排除模擬。 [包含] 動作僅適用於狀態值 [已排除] 的模擬,只有在 上切換 [顯示排除的模擬] 時,才會顯示在 [模擬] 索引卷標上。
若要在排除已完成的會話之後將已完成的會話包含在報表中,請執行下列步驟:
- 在 的 [模擬] 索引標籤上https://security.microsoft.com/attacksimulator?viewid=simulations,將 [顯示排除的模擬] 切換為 [開啟]。
- 按兩下資料列結尾的 [⋮ (Actions) 來選取模擬,然後選取 [ 排除]。
包含排除的模擬之後, [狀態 ] 值會變更為 [ 已完成]。 將 [顯示排除的模擬 ] 切換為 [關閉] 以查看模擬。