Microsoft Teams в Обучение эмуляции атак

В организациях с Microsoft Defender для Office 365 плана 2 или Microsoft Defender XDR администраторы теперь могут использовать Обучение эмуляции атак для доставки имитации фишинговых сообщений в Microsoft Teams. Дополнительные сведения о обучении имитации атак см. в статье Начало работы с Обучение эмуляции атак в Defender для Office 365.

Добавление Teams в Обучение эмуляции атак влияет на следующие функции:

• Моделирования
• Полезная нагрузка
• Автоматизация моделирования

На автоматизацию полезных данных, уведомления конечных пользователей, страницы входа и целевые страницы teams в Обучение эмуляции атак не влияют.

Конфигурация имитации Teams

Помимо включения отчетов пользователей для сообщений Teams, как описано в разделе Параметры сообщений, сообщаемых пользователем в Microsoft Teams, необходимо также настроить учетные записи Teams, которые можно использовать в качестве источников для сообщений имитации в Обучение эмуляции атак. Чтобы настроить учетные записи, выполните следующие действия.

1. Определите или создайте пользователя, который является членом ролей глобального администратора^*, администратора безопасности или администратора имитации атак в Microsoft Entra ID. Назначьте microsoft 365, Office 365, Microsoft Teams базовый, Microsoft 365 бизнес базовый или лицензию на Microsoft 365 бизнес стандарт для Microsoft Teams. Необходимо знать пароль.

   Важно!

   ^* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

2. С помощью учетной записи из шага 1 откройте портал Microsoft Defender по адресу и перейдите на https://security.microsoft.com вкладку Email & совместной работы>Обучение эмуляции атак>Настройки. Или, чтобы перейти непосредственно на вкладку Параметры, используйте https://security.microsoft.com/attacksimulator?viewid=setting.

3. На вкладке Параметры выберите Диспетчер учетных записей пользователей в разделе Конфигурация имитации Teams .

4. Во всплывающем окне Конфигурация имитации Teams выберите Создать токен. Прочтите сведения в диалоговом окне подтверждения и выберите Я принимаю.

5. На вкладке Параметры снова выберите Диспетчер учетных записей пользователей в разделе Конфигурация имитации Teams , чтобы снова открыть всплывающее окно Конфигурация имитации Teams . Учетная запись пользователя, в которую вы вошли в систему, теперь отображается в разделе Учетные записи пользователей, доступные для фишинга Teams .

Чтобы удалить пользователя из списка, выберите поле проверка рядом со значением отображаемого имени, не щелкая нигде в строке. Выберите отображающееся действие Удалить, а затем выберите Удалить в диалоговом окне подтверждения.

Чтобы предотвратить использование учетной записи в имитациях Teams, но сохранить журнал связанных симуляций для учетной записи, выберите поле проверка рядом со значением отображаемого имени, не щелкая нигде в строке. Выберите действие Деактивировать, которое появится.

Изменения в симуляции для Microsoft Teams

Teams представляет следующие изменения в просмотре и создании симуляции, как описано в разделе Имитация фишинговой атаки с помощью Обучение эмуляции атак в Defender для Office 365:

• На вкладке Моделирование в https://security.microsoft.com/attacksimulator?viewid=simulationsстолбце Платформа отображается значение Teams для имитаций, использующих сообщения Teams.

• Если на вкладке Симуляция выбрано значение Запустить симуляцию, чтобы создать симуляцию, первая страница мастера создания имитации — Выберите платформу доставки, где можно выбрать Microsoft Teams. Выбор Microsoft Teams приводит к следующим изменениям в остальной части нового мастера моделирования:

  • На странице Выбор метода недоступны следующие методы социальной инженерии:

    • Вложение вредоносных программ
    • Ссылка во вложении
    • Практическое руководство

  • На странице Имитация имени отображаются раздел Выберите учетную запись Microsoft Teams отправителя и ссылка Выбрать учетную запись пользователя . Выберите Выбрать учетную запись пользователя , чтобы найти и выбрать учетную запись, используемую в качестве источника сообщения Teams.

    Список пользователей поступает из раздела Конфигурация имитации Teams на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Настройка учетных записей описана в разделе Конфигурация имитации Teams ранее в этой статье.

  • На странице Выбор полезных данных и входа по умолчанию не отображаются полезные данные, так как нет встроенных полезных данных для Teams. Необходимо создать полезные данные для сочетания Teams и выбранного метода социальной инженерии.

    Различия в создании полезных данных для Teams описаны в разделе Изменения полезных данных для Microsoft Teams этой статьи.

  • На странице Целевые пользователи для Teams различаются следующие параметры:

    • Как отмечалось на странице, гостевые пользователи в Teams исключаются из моделирования.

Другие параметры, связанные с имитацией, такие же для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.

Изменения в полезных данных для Microsoft Teams

Независимо от того, создаете ли вы полезные данные на странице Полезные данные вкладки Библиотека содержимого или на странице Выбор полезных данных и страницы входа в мастере создания имитации, Teams вносит следующие изменения в просмотр и создание полезных данных, как описано в разделе Полезные данные в Обучение эмуляции атак в Defender для Office 365:

• На вкладке Глобальные полезные данные и полезные данные клиента на странице Полезные данные вкладки Библиотека содержимого в https://security.microsoft.com/attacksimulator?viewid=contentlibraryстолбце Платформа отображается значение Teams для полезных данных, использующих сообщения Teams.

  Если выбрать Фильтр, чтобы отфильтровать список существующих полезных данных, будет доступен раздел Платформа, в котором можно выбрать Email и Teams.

  Как описано ранее, для Teams нет встроенных полезных данных, поэтому при фильтрации по команде состояния>на вкладке Глобальные полезные данные список будет пустым.

• Если выбрать Создать полезные данные на вкладке Полезные данные клиента , чтобы создать полезные данные, первая страница мастера создания полезных данных — Выберите тип , где можно выбрать Teams. Выбор Teams приводит к следующим изменениям в остальной части нового мастера полезных данных:

  • На странице Выбор метода методы социальной инженерии вложения вредоносных программ и связывания вложения недоступны для Teams.

  • На странице Настройка полезных данных содержатся следующие изменения для Teams:

    • Раздел сведений об отправителе. Единственным доступным параметром для Teams является раздел чата, в котором вы вводите плитку для сообщения Teams.
    • Последний раздел не называется Email сообщении, но он работает так же для сообщений Teams, как и для сообщений электронной почты:
      • Есть кнопка Импорт сообщений Teams для импорта существующего файла обычного текстового сообщения для использования в качестве отправной точки.
      • Элементы управления динамический тег и ссылка на фишинг доступны на вкладке Текст , а вкладка "Код " доступна как в случае с сообщениями электронной почты.

Другие параметры, связанные с полезными данными, одинаковы для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.

Изменения в автоматизации моделирования для Microsoft Teams

Teams представляет следующие изменения в просмотре и создании автоматизации моделирования, как описано в разделе Автоматизация моделирования для Обучение эмуляции атак:

• На странице Автоматизация имитации на вкладке Автоматизация также https://security.microsoft.com/attacksimulator?viewid=automationsдоступны следующие столбцы:

  • Тип. В настоящее время это значение всегда является социальной инженерией.
  • Платформа. Отображает значение Teams для автоматизации полезных данных, использующих сообщения Teams, или Email для автоматизации полезных данных, использующих сообщения электронной почты.

• Если вы выберете Создать автоматизацию на странице Автоматизация моделирования , чтобы создать автоматизацию моделирования, первая страница нового мастера автоматизации имитации — Выберите платформу доставки , где можно выбрать Teams. При выборе Teams в оставшуюся часть нового мастера автоматизации имитации будут внесены следующие изменения:

  • На странице Имя службы автоматизации в разделе Выбор метода для выбора учетных записей отправителей для Teams доступны следующие параметры:

    • Выбрать вручную. Это значение выбрано по умолчанию. В разделе Выбор учетной записи Microsoft Teams отправителя выберите сообщение Выберите учетную запись пользователя , чтобы найти и выбрать учетную запись, используемую в качестве источника для Teams.
    • Рандомизация. Случайный выбор из доступных учетных записей для использования в качестве источника сообщения Teams.

  • На странице Выбор методов социальной инженерии методы вложения вредоносных программ и связывания вложения недоступны для Teams.

  • На странице Выбор полезных данных и входа по умолчанию не отображаются полезные данные, так как нет встроенных полезных данных для Teams. Может потребоваться создать полезные данные для сочетания teams и выбранных методов социальной инженерии.

    Различия в создании полезных данных для Teams описаны в разделе Изменения полезных данных для Microsoft Teams этой статьи.

  • На странице Целевые пользователи для Teams различаются следующие параметры:

    • Как отмечалось на странице, автоматизация моделирования, использующее Teams, может быть нацелена на не более 1000 пользователей.
    • Если выбрать Включить только определенных пользователей и группы, фильтр "Город " не будет доступен в разделе Фильтрация пользователей по категориям .

Другие параметры, связанные с автоматизацией моделирования, такие же для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.