Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать функции Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и использовать условия пробной версии, см. в статье Пробная версия Microsoft Defender для Office 365.
В организациях с Microsoft Defender для Office 365 (план 2) (лицензии на надстройки или подписки, такие как Microsoft 365 E5), вы можете использовать обучение имитации атак на портале Microsoft Defender для выполнения реалистичных сценариев атак в организации. Эти имитированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака повлияет на вашу прибыль.
В этой статье описаны основы обучения симуляции атак.
Просмотрите это короткое видео, чтобы узнать больше о обучении симуляции атак.
Что нужно знать перед началом работы
Для обучения имитации атак требуется лицензия Microsoft 365 E5 или Microsoft Defender для Office 365 (план 2 ). Дополнительные сведения о требованиях к лицензированию см. в разделе Условия лицензирования.
Обучение имитации атак поддерживает локальные почтовые ящики, но с ограниченной функциональностью создания отчетов. Дополнительные сведения см. в статье Создание отчетов о проблемах с локальными почтовыми ящиками.
Чтобы открыть портал Microsoft Defender, перейдите по адресу https://security.microsoft.com. Обучение имитации атак доступно в разделеОбучение симуляции атакпо электронной почте и совместной работе>. Чтобы перейти непосредственно к обучению имитации атак, используйте https://security.microsoft.com/attacksimulator.
Дополнительные сведения о доступности обучения имитации атак в разных подписках Microsoft 365 см. в разделе Описание службы Microsoft Defender для Office 365.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Разрешения Microsoft Entra. Вам требуется членство в одной из следующих ролей:
- Глобальный администратор¹
- Администратор безопасности
- Администратор имитации атак 2: создание и управление всеми аспектами кампаний моделирования атак.
- Автор полезных данных атаки: создание полезных данных атаки, которые администратор может инициировать позже.
- Оператор безопасности и читатель безопасности⁴: просмотрите все аспекты кампаний моделирования атак.
Важно!
¹ Корпорация Майкрософт решительно выступает за принцип минимальных привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
2 Добавление пользователей в эту группу ролей в разделе Электронная почта & разрешения на совместную работу на портале Microsoft Defender в настоящее время не поддерживаются.
2 Участники разработки полезных данных атаки имеют следующие ограничения при обучении имитации атак:
- Они не могут создавать или редактировать симуляции, обучающие кампании, автоматизацию моделирования или автоматизацию полезных данных.
- Они не могут изменять глобальные параметры.
- Они не могут изменять содержимое (например, уведомления), но могут изменять полезные данные.
- Они не могут просматривать отчеты об имитации клиента, статистические отчеты, записи автоматизации моделирования или записи автоматизации полезных данных.
⁴ Члены оператора безопасности и средства чтения безопасности имеют следующие ограничения в обучении имитации атак:
- Они не могут создавать или редактировать симуляции, обучающие кампании, автоматизацию моделирования или автоматизацию полезных данных.
- Они не могут изменять глобальные параметры.
- Они не могут изменять содержимое (например, полезные данные клиента или уведомления).
- Они могут получать доступ к данным через API чтения с областью действия пользователя, но не могут использовать API записи.
В настоящее время единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR не поддерживается.
Для обучения симуляции атак соответствующие командлеты PowerShell отсутствуют.
Данные, связанные с имитацией атак и обучением, хранятся вместе с другими данными клиентов для служб Microsoft 365. Дополнительные сведения см. в разделе Расположения данных Microsoft 365. Обучение имитации атак доступно в следующих регионах: APC, EUR и NAM. Страны в этих регионах, где доступно обучение симуляции атак, включают ARE, AUS, AUT, BRA, CAN, CHE, CHL, DEU, DNK, ESP, FRA, GBR, IDN, IND, ISR, ITA, JPN, KOR, LAM, MEX, MYS, NOR, NZL, POL, QAT, SGP, SWE, TWN и ZAF.
Примечание.
NOR, ZAF, ARE и DEU являются последними дополнениями. В этих регионах доступны все функции, кроме телеметрии сообщаемой электронной почты. Мы работаем над включением этих функций и будем уведомлять клиентов о том, что телеметрия электронной почты станет доступной.
Обучение имитации атак доступно в средах Microsoft 365 GCC, GCC High и DoD. Некоторые расширенные функции недоступны в GCC High и DoD (например, автоматизация полезных данных, рекомендуемые полезные данные и прогнозируемая скомпрометированная скорость). Если в вашей организации используется Microsoft 365 G5, Office 365 G5 или Microsoft Defender для Office 365 (план 2) для государственных организаций, вы можете использовать обучение имитации атак, как описано в этой статье.
Примечание.
Обучение имитации атак предоставляет клиентам E3 подмножество возможностей в качестве пробной версии. Пробное предложение содержит возможность использовать полезные данные Credential Harvest и возможность выбрать опыт обучения "Фишинг ISA" или "Массовый фишинг на рынке". Никакие другие возможности не являются частью пробного предложения E3.
Моделирования
Симуляция в обучении имитации атак — это общая кампания, которая предоставляет пользователям реалистичные, но безвредные фишинговые сообщения. Основные элементы моделирования:
- Кто получает имитированное фишинговое сообщение и по какому расписанию.
- Обучение, которое пользователи получают на основе их действия или отсутствия действий (как для правильных, так и для неправильных действий) в имитации фишингового сообщения.
- Полезные данные, используемые в имитации фишингового сообщения (ссылка или вложение), а также состав фишингового сообщения (например, доставленный пакет, проблема с вашей учетной записью или вы выиграли приз).
- Техника социальной инженерии. Полезные нагрузки и метод социальной инженерии тесно связаны.
В обучении моделированию атак доступны несколько типов методов социальной инженерии. За исключением практического руководства, эти методы были курированы на основе платформы MITRE ATT&CK®. Для разных методов доступны различные полезные данные.
Доступны следующие методы социальной инженерии:
Сбор учетных данных. Злоумышленник отправляет получателю сообщение, содержащее ссылку*. Когда получатель щелкает ссылку, он переходит на веб-сайт, где обычно отображается диалоговое окно с запросом у пользователя имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.
Вложение вредоносных программ. Злоумышленник отправляет получателю сообщение, содержащее вложение. Когда получатель открывает вложение, на устройстве пользователя выполняется произвольный код (например, макрос), чтобы помочь злоумышленнику установить дополнительный код или дополнительно закрепиться.
Ссылка во вложении. Этот метод является гибридом сбора учетных данных. Злоумышленник отправляет получателю сообщение, содержащее ссылку внутри вложения. Когда получатель открывает вложение и щелкает ссылку, он переходит на веб-сайт, где обычно отображается диалоговое окно с запросом имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.
Ссылка на вредоносные программы*. Злоумышленник отправляет получателю сообщение, содержащее ссылку на вложение на известном сайте общего доступа к файлам (например, SharePoint или Dropbox). Когда получатель щелкает ссылку, открывается вложение и на устройстве пользователя запускается произвольный код (например, макрос), чтобы помочь злоумышленнику установить другой код или дополнительно закрепиться.
Диск по URL-адресу*: злоумышленник отправляет получателю сообщение, содержащее ссылку. Когда получатель щелкает ссылку, он переходит на веб-сайт, который пытается запустить фоновый код. Этот код пытается собрать сведения о получателе или развернуть произвольный код на устройстве получателя. Как правило, целевой веб-сайт является хорошо известным веб-сайтом, который был скомпрометирован или клоном известного веб-сайта. Знакомство с веб-сайтом помогает убедить пользователя в том, что ссылка безопасна для щелчка. Этот метод также известен как атака на отверстие для полива.
Предоставление *согласия OAuth. Злоумышленник создает вредоносное приложение Azure, которое пытается получить доступ к данным. Приложение отправляет запрос по электронной почте, содержащий ссылку. Когда получатель щелкает ссылку, механизм предоставления согласия приложения запрашивает доступ к данным (например, к папке "Входящие" пользователя).
Практическое руководство. Учебное руководство, содержащее инструкции для пользователей (например, как сообщать о фишинговых сообщениях).
* Ссылка может быть URL-адресом или QR-кодом.
URL-адреса, используемые для обучения имитации атак, перечислены в следующей таблице:
https://www.attemplate.com |
https://www.exportants.it |
https://www.resetts.it |
https://www.bankmenia.com |
https://www.exportants.org |
https://www.resetts.org |
https://www.bankmenia.de |
https://www.financerta.com |
https://www.salarytoolint.com |
https://www.bankmenia.es |
https://www.financerta.de |
https://www.salarytoolint.net |
https://www.bankmenia.fr |
https://www.financerta.es |
https://www.securembly.com |
https://www.bankmenia.it |
https://www.financerta.fr |
https://www.securembly.de |
https://www.bankmenia.org |
https://www.financerta.it |
https://www.securembly.es |
https://www.banknown.de |
https://www.financerta.org |
https://www.securembly.fr |
https://www.banknown.es |
https://www.financerts.com |
https://www.securembly.it |
https://www.banknown.fr |
https://www.financerts.de |
https://www.securembly.org |
https://www.banknown.it |
https://www.financerts.es |
https://www.securetta.de |
https://www.banknown.org |
https://www.financerts.fr |
https://www.securetta.es |
https://www.browsersch.com |
https://www.financerts.it |
https://www.securetta.fr |
https://www.browsersch.de |
https://www.financerts.org |
https://www.securetta.it |
https://www.browsersch.es |
https://www.hardwarecheck.net |
https://www.shareholds.com |
https://www.browsersch.fr |
https://www.hrsupportint.com |
https://www.sharepointen.com |
https://www.browsersch.it |
https://www.mcsharepoint.com |
https://www.sharepointin.com |
https://www.browsersch.org |
https://www.mesharepoint.com |
https://www.sharepointle.com |
https://www.docdeliveryapp.com |
https://www.officence.com |
https://www.sharesbyte.com |
https://www.docdeliveryapp.net |
https://www.officenced.com |
https://www.sharession.com |
https://www.docstoreinternal.com |
https://www.officences.com |
https://www.sharestion.com |
https://www.docstoreinternal.net |
https://www.officentry.com |
https://www.supportin.de |
https://www.doctorican.de |
https://www.officested.com |
https://www.supportin.es |
https://www.doctorican.es |
https://www.passwordle.de |
https://www.supportin.fr |
https://www.doctorican.fr |
https://www.passwordle.fr |
https://www.supportin.it |
https://www.doctorican.it |
https://www.passwordle.it |
https://www.supportres.de |
https://www.doctorican.org |
https://www.passwordle.org |
https://www.supportres.es |
https://www.doctrical.com |
https://www.payrolltooling.com |
https://www.supportres.fr |
https://www.doctrical.de |
https://www.payrolltooling.net |
https://www.supportres.it |
https://www.doctrical.es |
https://www.prizeably.com |
https://www.supportres.org |
https://www.doctrical.fr |
https://www.prizeably.de |
https://www.techidal.com |
https://www.doctrical.it |
https://www.prizeably.es |
https://www.techidal.de |
https://www.doctrical.org |
https://www.prizeably.fr |
https://www.techidal.fr |
https://www.doctricant.com |
https://www.prizeably.it |
https://www.techidal.it |
https://www.doctrings.com |
https://www.prizeably.org |
https://www.techniel.de |
https://www.doctrings.de |
https://www.prizegiveaway.net |
https://www.techniel.es |
https://www.doctrings.es |
https://www.prizegives.com |
https://www.techniel.fr |
https://www.doctrings.fr |
https://www.prizemons.com |
https://www.techniel.it |
https://www.doctrings.it |
https://www.prizesforall.com |
https://www.templateau.com |
https://www.doctrings.org |
https://www.prizewel.com |
https://www.templatent.com |
https://www.exportants.com |
https://www.prizewings.com |
https://www.templatern.com |
https://www.exportants.de |
https://www.resetts.de |
https://www.windocyte.com |
https://www.exportants.es |
https://www.resetts.es |
|
https://www.exportants.fr |
https://www.resetts.fr |
Примечание.
Проверьте доступность имитированного URL-адреса фишинга в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Дополнительные сведения см. в разделе URL-адреса имитации фишинга, заблокированные Google Safe Browsing.
Создание симуляции
Инструкции по созданию и запуску симуляции см. в статье Имитация фишинговой атаки.
Целевая страница в моделировании — это место, куда пользователи переходят при открытии полезных данных. При создании имитации вы выбираете целевую страницу для использования. Вы можете выбрать один из встроенных целевых страниц, пользовательские целевые страницы, которые вы уже создали, или создать новую целевую страницу для использования во время создания моделирования. Сведения о создании целевых страниц см. в разделе Целевые страницы в обучении симуляции атак.
Уведомления конечных пользователей в имитации отправляют пользователям периодические напоминания (например, уведомления о назначениях обучения и напоминаниях). Вы можете выбрать один из встроенных уведомлений, пользовательские уведомления, которые вы уже создали, или вы можете создать новые уведомления для использования во время создания моделирования. Сведения о создании уведомлений см. в разделе Уведомления конечных пользователей для обучения симуляции атак.
Совет
Автоматизация моделирования обеспечивает следующие улучшения по сравнению с традиционными симуляциями:
- Автоматизация моделирования может включать несколько методов социальной инженерии и связанных полезных данных (имитации содержат только один).
- Автоматизация моделирования поддерживает параметры автоматического планирования (больше, чем просто дата начала и окончания в симуляции).
Дополнительные сведения см. в разделе Моделирование автоматизации для обучения имитации атак.
Чтобы узнать, какие отделы более уязвимы для фишинговых симуляций, создайте идентичные имитации или автоматизацию моделирования в пределах отдела, а затем используйте доступные отчеты для сравнения результатов.
Полезная нагрузка
Хотя обучение имитации атак содержит множество встроенных полезных данных для доступных методов социальной инженерии, вы можете создавать пользовательские полезные данные в соответствии с потребностями бизнеса, включая копирование и настройку существующих полезных данных. Полезные данные можно создавать в любое время перед созданием имитации или во время создания имитации. Сведения о создании полезных данных см. в статье Создание пользовательских полезных данных для обучения симуляции атак.
В симуляциях, использующих методы социальной инженерии credential Harvest или Link in Attachment , страницы входа являются частью выбранной полезной нагрузки. Страница входа — это веб-страница, на которой пользователи вводят свои учетные данные. Для каждой применимой полезной нагрузки используется страница входа по умолчанию, но вы можете изменить используемую страницу входа. Вы можете выбрать один из встроенных страниц входа, пользовательские страницы входа, которые вы уже создали, или создать новую страницу входа для использования во время создания имитации или полезных данных. Сведения о создании страниц входа см . в разделе Страницы входа в обучение симуляции атак.
Лучший способ обучения имитации фишинговых сообщений заключается в том, чтобы сделать их как можно ближе к реальным фишинговым атакам, которые могут возникнуть в вашей организации. Что делать, если вы сможете захватить и использовать безвредные версии реальных фишинговых сообщений, обнаруженных в Microsoft 365, и использовать их в имитации фишинговых кампаний? Вы можете использовать автоматизацию полезных данных (также известную как сбор полезных данных). Сведения о создании автоматизации полезных данных см. в статье Автоматизация полезных данных для обучения симуляции атак.
Обучение имитации атак также поддерживает использование QR-кодов в полезных данных. Вы можете выбрать из списка встроенных полезных данных QR-кода или создать пользовательские полезные данные QR-кода. Дополнительные сведения см. в разделе Полезные данные QR-кода в обучении симуляции атак.
Отчеты и аналитические сведения
После создания и запуска имитации необходимо увидеть, как она будет выполняться. Например, вы можете:
- Все получили его?
- Кто что сделал с имитацией фишингового сообщения и полезными данными в нем (удаление, отчет, открытие полезных данных, ввод учетных данных и т. д.).
- Кто завершил назначенное обучение.
Доступные отчеты и аналитические сведения для обучения симуляции атак описаны в разделе Отчеты для обучения имитации атак.
Прогнозируемая скорость компрометации
Часто требуется адаптировать имитацию фишинговой кампании для конкретных аудиторий. Если фишинговое сообщение слишком близко к идеальному, почти все обманут его. Если это слишком подозрительно, нет обмануть его. Кроме того, фишинговые сообщения, которые некоторые пользователи считают трудным для идентификации, считаются простыми для идентификации другими пользователями. Так как же вы научились балансировать?
Прогнозируемая скорость компрометации (ПЦР) указывает на потенциальную эффективность при использовании полезных данных в имитации. PCR использует интеллектуальные исторические данные в Microsoft 365 для прогнозирования процента людей, которые будут скомпрометированы полезными данными. Например, вы можете:
- Полезные данные.
- Агрегированные и анонимные показатели компрометации из других симуляций.
- Метаданные полезных данных.
PCR позволяет сравнить прогнозируемые и фактические показатели кликов для симуляции фишинга. Вы также можете использовать эти данные, чтобы увидеть, как ваша организация работает по сравнению с прогнозируемыми результатами.
Сведения pcR для полезных данных доступны везде, где вы просматриваете и выбираете полезные данные, а также в следующих отчетах и аналитических сведениях:
- Влияние поведения на карту ставки компрометации
- Вкладка "Эффективность обучения" для отчета о симуляции атак
Совет
Симулятор атак использует безопасные ссылки в Defender для Office 365 для безопасного отслеживания данных щелчков по URL-адресу в сообщении полезных данных, отправляемых целевым получателям фишинговой кампании, даже если параметр Отслеживать щелчки пользователей в политиках безопасных ссылок отключен.
Обучение без уловок
Традиционные имитации фишинга представляют пользователям подозрительные сообщения и следующие цели:
- Заставить пользователей сообщать о сообщении как подозрительном.
- Проводите обучение после того, как пользователи нажмет или запустят имитацию вредоносных полезных данных и отдадут свои учетные данные.
Но иногда вам не нужно ждать, пока пользователи не предпримят правильные или неправильные действия, прежде чем давать им обучение. Обучение имитации атак предоставляет следующие функции, чтобы пропустить ожидание и перейти непосредственно к обучению:
Кампании по обучению. Кампания обучения — это только обучающее задание для целевых пользователей. Вы можете напрямую назначить обучение, не подвергая пользователей проверке имитации. Учебные кампании упрощают проведение учебных занятий, таких как ежемесячный тренинг по повышению осведомленности о кибербезопасности. Дополнительные сведения см. в разделе Обучающие кампании в обучении имитации атак.
Совет
Обучающие модули используются в кампаниях по обучению, но вы также можете использовать модули обучения при назначении обучения в регулярных симуляциях.
Практические руководства по симуляции. Симуляции, основанные на практическом руководстве по социальной инженерии, не пытаются тестировать пользователей. Практическое руководство — это упрощенный интерфейс обучения, который пользователи могут просматривать непосредственно в папке "Входящие". Например, доступны следующие встроенные полезные данные руководства, и вы можете создать собственные (включая копирование и настройку существующих полезных данных):
- Руководство по обучению. Как сообщить о фишинговых сообщениях
- Руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR-кода
Совет
Обучение имитации атак предоставляет следующие встроенные варианты обучения атак на основе QR-кода:
- Учебные модули:
- Вредоносные цифровые QR-коды
- Вредоносные печатные QR-коды
- Практические руководства по симуляции: руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR