Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
В функции "Обучение имитации атак" в Microsoft 365 E5 или Microsoft Defender для Office 365, план 2, автоматизация полезной нагрузки (также называемая сбором полезной нагрузки) собирает информацию о реальных фишинговых атаках, о которых сообщили пользователи в вашей организации. Вы можете указать условия для поиска в фишинговых атаках (например, получатели, метод социальной инженерии или сведения об отправителе).
Автоматизация полезной нагрузки имитирует сообщения и полезную нагрузку, используемые при атаке, и сохраняет их как пользовательские полезные нагрузки с идентификаторами в названии полезной нагрузки. Затем вы можете использовать собранные полезные данные в симуляциях или автоматизации, чтобы автоматически запускать безвредные симуляции для целевых пользователей.
Автоматизации полезной нагрузки опираются на сообщения электронной почты, которые Defender для Office 365 определяет как фишинговые кампании. Подходящие данные извлекаются из сообщений, о которых пользователи сообщили как о фишинговых, которые были доставлены в папку «Входящие» и которые Microsoft подтвердила как фишинговые. Дополнительные сведения см. в статье о том, как службы автоматизации полезных данных собирают полезные данные.
Сведения о начале работы с обучением моделированию атак см. в статье Начало работы с обучением моделированию атак.
Чтобы просмотреть все существующие автоматизации полезной нагрузки, которые вы создали, откройте портал Microsoft Defender по адресу https://security.microsoft.com, перейдите в Email & collaboration>Attack simulation training>Automations> и затем выберите Автоматизации полезной нагрузки. Чтобы перейти непосредственно на вкладку Автоматизации, где можно выбрать автоматизации полезной нагрузки, используйте https://security.microsoft.com/attacksimulator?viewid=automations.
Для каждой автоматизации полезной нагрузки отображается следующая информация. Вы можете отсортировать автоматизацию полезных данных, щелкнув доступный заголовок столбца.
- Имя службы автоматизации
- Тип. Значение — Полезные данные.
- Собранные элементы
- Дата последнего изменения
- Состояние: значение — Готово или Черновик.
Совет
Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:
- Прокрутите страницу по горизонтали в веб-браузере.
- Сузьте ширину соответствующих столбцов.
- Удалите столбцы из представления.
- Уменьшите масштаб в браузере.
Создать автоматизации для пейлоадов
Чтобы создать автоматизацию payload, выполните следующие действия:
На портале Microsoft Defender по адресу https://security.microsoft.com/ перейдите на вкладку Электронная почта и совместная работа>Обучение имитации атак>Автоматизации>Автоматизации полезной нагрузки. Чтобы перейти непосредственно на вкладку Автоматизации, где можно выбрать автоматизации полезной нагрузки, используйте https://security.microsoft.com/attacksimulator?viewid=automations.
На странице Автоматизации Payload выберите
Создать автоматизацию, чтобы запустить мастер создания новой автоматизации Payload.Примечание.
В любой момент после того, как вы зададите имя автоматизации полезной нагрузки в мастере создания автоматизации полезной нагрузки, вы можете выбрать Сохранить и закрыть, чтобы сохранить текущий прогресс и продолжить настройку автоматизации полезной нагрузки позже. Незавершенная автоматизация полезной нагрузки имеет значение СостояниеЧерновик в разделе Автоматизации полезной нагрузки на вкладке Автоматизации. Вы можете продолжить с того места, где остановились, выбрав автоматизацию полезной нагрузки и нажав
Изменить автоматизацию.В настоящее время сбор полезной нагрузки не поддерживается в средах GCC из-за ограничений на сбор данных.
На странице Имя службы автоматизации настройте следующие параметры:
- Имя: Введите уникальное и понятное имя для автоматизации полезной нагрузки.
- Описание: Введите необязательное подробное описание для автоматизированной обработки полезной нагрузки.
Завершив работу на странице Имя службы автоматизации , нажмите кнопку Далее.
На странице Условия выполнения выберите условия реальной фишинговой атаки, которая определяет, когда выполняется автоматизация.
Выберите
Добавить условие , а затем выберите одно из следующих условий:- Нет. пользователей, на которые нацелена кампания: в появившемся поле настройте следующие параметры:
- Равно, Меньше, Больше, Меньше или равно, Больше или равно.
- Введите значение: количество пользователей, на которые была направлена фишинговая кампания.
-
Кампании с определенной методикой фишинга: В появившемся окне выберите одно из доступных значений:
- Сбор учетных данных
- Вредоносное вложение
- Ссылка во вложении
- Ссылка на вредоносные программы
- Практическое руководство
- Конкретный домен отправителя. В появившемся поле введите значение домена электронной почты отправителя (например, contoso.com).
- Конкретное имя отправителя. В появившемся поле введите значение имени отправителя.
- Адрес электронной почты конкретного отправителя. В появившемся поле введите адрес электронной почты отправителя.
- Конкретные пользователи и группы-получатели: В появившемся поле начните вводить имя пользователя или группы либо адрес электронной почты. Когда он появится, выберите его.
Каждое условие можно использовать только один раз. Несколько условий используют логику AND (<Condition1> и <Condition2>).
Чтобы добавить другое условие, выберите
Добавить условие.Чтобы удалить условие после его добавления, выберите
.По завершении на странице Условия выполнения нажмите кнопку Далее.
- Нет. пользователей, на которые нацелена кампания: в появившемся поле настройте следующие параметры:
На странице Просмотр автоматизации можно просмотреть сведения об автоматизации полезной нагрузки.
Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.
Завершив работу на странице Проверка автоматизации , нажмите кнопку Отправить.
На странице Новая автоматизация создана можно с помощью ссылок включить автоматизацию полезной нагрузки или перейти на страницу Симуляции.
По завершении нажмите кнопку Готово.
Вернувшись к автоматизациям полезной нагрузки на вкладке Автоматизации, вы увидите, что созданная вами автоматизация полезной нагрузки теперь отображается в списке со значением Состояние — Готово.
Включить или отключить автоматизацию payload
Вы можете включать или отключать автоматизации payload с помощью значения Ready для параметра Status. Вы не можете включать или отключать автоматизации с неполной полезной нагрузкой со значением StatusDraft.
Чтобы включить автоматизацию полезной нагрузки, выберите ее из списка, установив флажок рядом с названием. Выберите
появившееся действие Включить, а затем выберите Подтвердить в диалоговом окне.
Чтобы отключить автоматизацию полезной нагрузки, выберите ее в списке, установив флажок рядом с ее названием.
Выберите появиющееся действие Отключить, а затем в диалоговом окне выберите Подтвердить.
Изменить автоматизации payload
Вы можете изменять только те автоматизации полезной нагрузки, у которых значение Состояние — Черновик или которые отключены.
Чтобы изменить существующую автоматизацию полезных данных на странице Автоматизации полезных данных , выполните одно из следующих действий.
- Выберите автоматизацию полезной нагрузки из списка, установив флажок рядом с именем. Выберите действие
Изменить автоматизацию, которое появится. - Выберите автоматизацию полезной нагрузки в списке, щелкнув в любом месте строки, кроме флажка. Во всплывающем окне сведений на вкладке Общие выберите Изменить в разделах Имя, Описание или Условия выполнения .
Открывается мастер автоматизации полезной нагрузки с параметрами и значениями выбранной автоматизации полезной нагрузки. Мастер использует те же страницы: имя службы автоматизации (имя и описание), условия выполнения (условия фишинга) и автоматизация проверки (проверка и отправка). Описание каждой страницы см. в разделе Создание автоматизаций полезной нагрузки.
Удалить автоматизации payload
Warning
Отменить это действие невозможно. При удалении автоматизации полезной нагрузки также удаляются все собранные полезные нагрузки и история запусков для этой автоматизации.
Чтобы удалить автоматизацию полезной нагрузки, выберите её в списке, установив флажок.
Выберите отображающееся действие Удалить, а затем в диалоговом окне выберите Подтвердить.
Просмотреть сведения об автоматизации полезной нагрузки
Для просмотра сведений значение Status у автоматизации полезной нагрузки должно быть Ready. На странице Payload automations щелкните в любом месте строки, кроме флажка. Откроется всплывающее окно сведений со следующими сведениями:
Имя службы автоматизации и количество собранных элементов.
Вкладка Общие
- Дата последнего изменения
- Тип. Значение — Полезные данные.
- Разделы «Имя», «Описание» и «Условия выполнения»: выберите «Изменить», чтобы открыть мастер для этой страницы.
Вкладка Журнал выполнения: доступна только, когда Состояние — Готово.
Отображает журнал выполнения имитаций, которые использовали эту автоматизацию.
Совет
Чтобы просмотреть сведения о других автоматизациях полезной нагрузки, не закрывая всплывающую панель сведений, используйте
Предыдущий элемент и Следующий элемент в верхней части панели.
Приложение: как средства автоматизации собирают полезную нагрузку
Автоматизация полезной нагрузки основывается на сообщениях электронной почты, которые Defender для Office 365 определяет как кампании:
Пометка администраторами сообщений как фишинговых не приводит к сбору вредоносной нагрузки.
Для автоматизации полезной нагрузки требуется доступ к необработанной полезной нагрузке. Необработанные полезные данные — это исходное содержимое электронной почты, включая заголовки, текст, ссылки и вложения. Необработанные полезные данные поступают от сообщений, сообщаемые пользователем, которые соответствуют следующим критериям:
- Сообщение было доставлено в папку "Входящие" (ложноотрицательный).
- Пользователь сообщил об этом сообщении как о фишинге.
- Сообщение было отправлено в корпорацию Microsoft (пользователем или администратором из портала отправки материалов). Microsoft затем подтвердила, что сообщение было фишингом.
Данные полезной нагрузки извлекаются, когда сообщения соответствуют условиям запуска, настроенным для автоматизации. Примеры включают количество целевых пользователей, метод фишинга, домен отправителя или конкретных получателей. Дополнительные сведения см. в шаге 4 в разделе Создание автоматизаций полезной нагрузки.
Связанные материалы
Начало использования обучения симуляции атаки