Полезные нагрузки в обучении по моделированию атак

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

В обучении с имитацией атак в Microsoft 365 E5 или Microsoft Defender для Office 365 (план 2) полезная нагрузка — это ссылка, QR-код или вложение в имитированном фишинговом сообщении электронной почты, которое показывается пользователям. Обучение эмуляции атак предлагает надежный встроенный каталог полезных данных для доступных методов социальной инженерии. Однако, возможно, вы захотите создать пользовательские полезные нагрузки, которые лучше подходят для вашей организации.

Сведения о начале работы с обучением моделированию атак см. в статье Начало работы с обучением моделированию атак.

Чтобы просмотреть доступные полезные нагрузки, откройте портал Microsoft Defender по адресу https://security.microsoft.com, перейдите в раздел Email & collaboration>Attack simulation training>Content library, а затем выберите Полезные нагрузки. Или, чтобы перейти непосредственно на вкладку Библиотека содержимого , где можно выбрать Полезные данные, используйте https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

На вкладке Библиотека содержимого раздел Полезные нагрузки содержит три вкладки:

  • Глобальные полезные данные. Содержит встроенные, неизменяемые полезные данные. Эти вредоносные нагрузки основаны на реальных атаках, зафиксированных в центрах обработки данных Microsoft. Хотя конкретного графика релизов нет, мы обычно выпускаем в среднем от 30 до 40 новых полезных нагрузок в месяц.
  • Полезные данные арендатора: Содержит созданные вами настраиваемые полезные данные.
  • Рекомендации MDO: Полезные нагрузки, которые Defender для Office 365 рекомендует как оказывающие значительное воздействие при использовании злоумышленниками. Рекомендации основаны на выявленных кампаниях и высокой прогнозируемой скорости компрометации. Этот список обновляется ежемесячно. Если в вашей организации не было активности кампаний в течение последних 60 дней, вкладка Рекомендации MDO может быть пустой.

Примечание.

Руководство по использованию товарных знаков, логотипов и бренда для полезных нагрузок в равной степени относится к глобальным полезным нагрузкам (встроенным полезным нагрузкам, предоставляемым Microsoft) и полезным нагрузкам арендатора (настраиваемым полезным нагрузкам, которые вы создаёте). Подробную информацию о правовых аспектах см. в разделе Создание полезной нагрузки.

Microsoft предоставляет полезные нагрузки для обучения имитации атак, чтобы помочь клиентам моделировать методы атак, используемые в реальных условиях. Microsoft не предоставляет юридические консультации, и клиенты остаются ответственными за определение соответствующего использования полезных данных в собственной среде. Для вопросов, касающихся применимых законов, использования товарных знаков или других юридических соображений, клиенты должны обратиться к своим собственным юридическим консультантам.

Сведения, доступные на вкладках Рекомендации MDO, Глобальные полезные нагрузки и Полезные нагрузки клиента, описаны в следующем списке:

  • Вкладка рекомендации MDO: для каждой полезной нагрузки отображается следующая информация:

    • Имя полезной нагрузки
    • Скомпрометированная ставка (%)
    • Рекомендуется
    • Дата рекомендации
  • Вкладки Глобальные пакеты данных и Пакеты данных клиента: для каждого пакета данных отображается следующая информация. Вы можете отсортировать данные, нажав на заголовок любого доступного столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой (*):

    • Имя полезной нагрузки*
    • Тип*: В настоящее время это значение всегда — Социальная инженерия.
    • Платформа
    • Метод*. Один из доступных методов социальной инженерии:
      • Сбор учетных данных
      • Вредоносное вложение
      • Ссылка во вложении
      • Ссылка на вредоносные программы
      • Вредоносный URL-адрес
      • Предоставление согласия OAuth
      • Практическое руководство
    • Язык*: Если полезная нагрузка содержит несколько переводов, первые два языка отображаются сразу. Чтобы просмотреть остальные языки, наведите указатель мыши на значок числа (например, +10).
    • Запущенные симуляции*: Количество запущенных симуляций, использующих полезную нагрузку.
    • Источник
    • Прогнозируемая доля скомпрометированных пользователей (%)*: Исторические данные по Microsoft 365, на основе которых прогнозируется процент пользователей, которые будут скомпрометированы этой нагрузкой (число скомпрометированных пользователей / общее число пользователей, получивших эту нагрузку). Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.
    • Кем создано*: Для встроенных полезных нагрузок значение — Microsoft. Для настраиваемых полезных нагрузок значением является основное имя пользователя (UPN) пользователя, создавшего полезную нагрузку.
    • Последнее изменение*
    • Состояние*: значения:
      • Ready
      • Черновик: доступен только на вкладке Полезные нагрузки арендатора.
      • Архив: архивные полезные данные отображаются только в том случае, если параметр Показать архивные полезные данные включен в .
    • (элемент интерфейса «Действия»)*: выполнение действий над полезной нагрузкой. Доступные действия зависят от значения состояния полезных данных, как описано в разделе "Изменение полезных данных", " Копирование полезных данных", "Архив полезных данных" и "Отправка теста". Этот элемент управления всегда отображается в конце строки полезных данных.

    Совет

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сузьте ширину соответствующих столбцов.
    • Удалите столбцы из представления.
    • Уменьшите масштаб в браузере.

    Чтобы найти payload в списке, введите часть имени payload в поле Поиск, затем нажмите клавишу ENTER.

    Выберите , чтобы отфильтровать данные полезной нагрузки по одному или нескольким из следующих значений:

    • Метод. Один из доступных методов социальной инженерии:

      • Сбор учетных данных
      • Вредоносное вложение
      • Ссылка во вложении
      • Ссылка на вредоносные программы
      • Вредоносный URL-адрес
      • Предоставление согласия OAuth
      • Практическое руководство
    • Сложность: вычисляется на основе количества индикаторов в полезных данных, указывающих на возможную атаку (орфографические ошибки, срочность и т. д.). Чем больше индикаторов, тем легче идентифицировать атаку и тем ниже её сложность. Доступные значения: Высокий, Средний и Низкий.

    • Язык: Допустимые значения: английский, испанский, немецкий, японский, французский, португальский, нидерландский, итальянский, шведский, китайский (упрощенный), китайский (традиционный, Тайвань), норвежский букмол, польский, русский, финский, корейский, турецкий, венгерский, тайский, арабский, вьетнамский, словацкий, греческий, индонезийский, румынский, словенский, хорватский, каталанский и другой.

    • Добавление тегов

    • Фильтровать по теме: Доступные значения: Активация учетной записи, Проверка учетной записи, Биллинг, Очистка почты, Получение документа, Расходы, Факс, Финансовый отчет, Входящие сообщения, Счет-фактура, Получение товара, Оповещение о входе в систему, Получение почты, Пароль, Оплата, Расчет заработной платы, Персонализированное предложение, Карантин, Удаленная работа, Проверка сообщения, Обновление системы безопасности, Приостановка обслуживания, Требуется подпись, Увеличение хранилища почтового ящика, Подтверждение почтового ящика, Голосовая почта и Другое.

    • Фильтрация по бренду. Доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud и Другие.

    • Фильтрация по отраслям. Доступные значения: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, и прочее.

    • Текущее событие: доступные значения: Да или Нет.

    • Спорные. Доступные значения: Да или Нет.

    Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать полезную нагрузку, щелкнув в любом месте строки, кроме флажка рядом с именем, отобразится выдвижная панель со следующими сведениями:

  • Вкладка «Обзор»: просматривайте полезную нагрузку так, как её видят пользователи. Также видны свойства передаваемых данных:

    • Описание полезной нагрузки
    • Имя отправителя
    • Из электронной почты
    • Тема письма
    • Источник: Для встроенных полезных нагрузок значение — Global. Для настраиваемых полезных нагрузок значение — Tenant.
    • Частота щелчков
    • Моделирование запущено
    • Theme
    • Торговая марка
    • Отрасль
    • Спорный
    • Прогнозируемая скорость компрометации
    • Текущее событие
    • Tags
  • вкладка «Запущенные симуляции»:

    • Имя имитации
    • Частота щелчков
    • Скомпрометированная частота
    • Действие. Щелкнув ссылку Просмотреть сведения , вы перейдете к сведениям об имитации.

Чтобы просмотреть заархивированные полезные данные (значение Состояние равно Архив), используйте переключатель Показать архивные полезные данные на вкладке Полезные данные клиента.

Полезные данные QR-кода

На вкладке Глобальные полезные нагрузки в разделе Библиотека содержимого>Полезные нагрузки по адресу https://security.microsoft.com/attacksimulator?viewid=contentlibrary&source=global можно просмотреть встроенные неизменяемые полезные нагрузки QR-кодов, введя QR в поле Search, а затем нажав клавишу ENTER.

Полезные данные QR-кода доступны на пяти языках для решения реальных сценариев, связанных с атаками с помощью QR-кода.

Снимок экрана: вкладка «Глобальные полезные нагрузки», на которой показаны полезные нагрузки QR-кодов, возвращённые после поиска по значению QR.

Вы также можете создавать пользовательские полезные нагрузки, в которых QR-коды используются как фишинговые ссылки, как описано в разделе Создание полезных нагрузок.

Совет

Прежде чем использовать данные QR-кода в симуляциях, обязательно изучите доступные поля и их содержимое.

Создать полезные нагрузки

Чтобы создать настраиваемую полезную нагрузку на вкладке Полезные нагрузки арендатора, выполните следующие действия.

Примечание.

  • Некоторые товарные знаки, логотипы, символы, знаки отличия и другие исходные идентификаторы получают повышенную защиту в соответствии с местными, государственными и федеральными законами и законами. Несанкционированное использование таких индикаторов может подвергнуть пользователей штрафам, включая уголовные штрафы. Хотя это и не исчерпывающий список, он включает президентскую, вице-президентскую и конгрессную печати, ЦРУ, ФБР, программу социального обеспечения, Medicare и Medicaid, Службу внутренних доходов США и Олимпийские игры. Помимо этих категорий товарных знаков, использование и изменение любого стороннего товарного знака несет в себе присущий объем риска. Использование собственных товарных знаков и логотипов в полезной нагрузке будет менее рискованным, особенно если в вашей организации это разрешено. Если у вас есть юридические вопросы, касающиеся использования логотипа и торговой марки, обратитесь к вашим юридическим консультантам.

  • Корпорация Майкрософт разрешает клиентам использовать наши логотипы и фирменную символику в своих пользовательских материалах в рамках функции «Обучение имитации атак» при условии, что логотипы и фирменная символика используются только как часть материалов моделирования. Целевая страница пользователя должна содержать четко видимое, неизбежное заявление об отказе от ответственности, в котором четко указано, что корпорация Майкрософт не связана с и не поддерживает упражнение по имитации, а также не является фактическим сообщением электронной почты от корпорации Майкрософт или связанным с ним. В качестве справки можно использовать текст с глобальной целевой страницы Майкрософт:

    Сообщение, которое вы только что нажали, является имитацией фишинговых сообщений. Это не реальное сообщение от владельца товарного знака или логотипа, показанного в имитации. Товарные знаки и логотипы, представленные в симуляции, могут принадлежать соответствующим владельцам и никоим образом не связаны с симуляцией и не аффилированы с ней; владельцы таких товарных знаков и логотипов не разрешали, не спонсировали и не одобряли использование таких товарных знаков и логотипов в симуляции.

  1. На портале Microsoft Defender по адресу https://security.microsoft.com перейдите на вкладку Электронная почта & совместная работа>Обучение имитации атак>Библиотека содержимого, вкладку >Полезные нагрузки>Полезные нагрузки клиента. Чтобы перейти непосредственно на вкладку Библиотека содержимого, где можно выбрать Полезные нагрузки и вкладку Полезные нагрузки клиента, используйте https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

    На вкладке Полезные нагрузки арендатора выберите Создать полезную нагрузку, чтобы запустить мастер создания новой полезной нагрузки.

    Создайте payload на вкладке Tenant payloads в разделе Payloads в разделе «Обучение имитации атак» на портале Microsoft Defender.

    Примечание.

    В любой момент после того, как вы зададите имя пакету в мастере создания пакета, можно выбрать Сохранить и закрыть, чтобы сохранить текущий прогресс и продолжить позже. Неполная полезная нагрузка имеет значение СтатусЧерновик. Вы можете продолжить с того места, где остановились, выбрав пейлоад, а затем нажав появившееся действие Изменить пейлоад.

    Вы также можете создавать полезную нагрузку при создании симуляций. Дополнительные сведения см. в статье Создание имитации: выбор полезной нагрузки и страницы входа в систему.

  2. На странице Выбор типа выберите Email и нажмите кнопку Далее.

  3. На странице Выбор метода доступны те же параметры, что и на странице Выбор метода в мастере создания моделирования:

    • Сбор учетных данных*
    • Вредоносное вложение
    • Ссылка во вложении*
    • Ссылка на вредоносные программы*
    • URL-адрес диска*
    • Предоставление согласия OAuth*
    • Практическое руководство

    * Этот метод социальной инженерии позволяет использовать QR-коды.

    Дополнительные сведения о различных методах социальной инженерии см. в разделе Моделирование.

    Завершив работу на странице Выбор метода , нажмите кнопку Далее.

  4. На странице Имя полезных данных настройте следующие параметры:

    • Имя: Введите уникальное описательное имя полезной нагрузки.
    • Описание: Введите необязательное подробное описание полезной нагрузки.

    Когда вы закончите работу со страницей Имя полезной нагрузки, выберите Далее.

  5. На странице Настройка пакета данных пора создать его. Многие из доступных параметров зависят от выбора, сделанного вами на странице Выбор метода (например, ссылки или вложения).

    • Раздел Сведений об отправителе. Настройте следующие параметры:

      • Имя отправителя
      • Использовать имя в качестве отображаемого имени. По умолчанию этот параметр не выбран.
      • Адрес отправителя: Если выбрать внутренний адрес электронной почты в качестве адреса отправителя, сообщение будет выглядеть так, будто оно пришло от одного из сотрудников. Этот адрес электронной почты отправителя делает пользователя более восприимчивым к вредоносному содержимому и помогает повышать осведомлённость сотрудников о риске внутренних угроз.
      • Тема письма
      • Добавление внешнего тега в электронную почту. По умолчанию этот параметр не выбран.
    • Раздел Сведения о вложении (только для методов Вредоносное вложение, Ссылка во вложении или Ссылка на вредоносное ПО): Настройте следующие параметры:

      • Назовите вложение. Введите имя файла для вложения.
      • Выберите тип вложения. Выберите тип файла для вложения. Доступные значения: Docx или HTML.
    • разделы «Фишинговая ссылка» или «Ссылка для вложения»:

      • Раздел Фишинговая ссылка доступен только для методов Сбор учетных данных, Ссылка во вложении, Drive-by URL или Предоставление согласия OAuth.
      • Раздел Ссылка для вложения доступен только в методе Связывание с вредоносными программами .

      Выберите Выбрать URL-адрес. Во всплывающем окне сведений выберите один из доступных URL-адресов и нажмите подтвердить.

      Чтобы изменить URL-адрес, выберите Изменить URL-адрес.

      Примечание.

      Доступные URL-адреса перечислены в разделе Имитации.

      Проверьте доступность имитированного URL-адреса фишинга в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Дополнительные сведения см. в разделе URL-адреса имитации фишинга, заблокированные Google Safe Browsing.

    • Раздел «Содержимое вложения» (только для метода «Ссылка во вложении»).

      Для создания содержимого вложения доступен редактор форматированного текста. Чтобы просмотреть типичные параметры шрифта и форматирования, установите переключатель Элементы управления форматированием в значение Вкл.

      Выберите поле Фишинговая ссылка . В открывшемся диалоговом окне Имя URL-адреса фишинговой ссылки введите значение Имя для URL-адреса, который вы выбрали в разделе Фишинговая ссылка, а затем нажмите Подтвердить.

      Введенное значение имени добавляется в содержимое вложения в виде ссылки на URL-адрес фишинга.

    • Общие параметры для всех методов на странице Настройка полезной нагрузки:

      • Добавление тегов

      • Тема: Доступны следующие значения: Активация учетной записи, Проверка учетной записи, Биллинг, Очистка почты, Получен документ, Расход, Факс, Финансовый отчет, Входящие сообщения, Счет-фактура, Получен элемент, Оповещение о входе, Почта, Пароль, Оплата, Расчет заработной платы, Персонализированное предложение, Карантин, Удаленная работа, Просмотрите сообщение, Обновление безопасности, Обслуживание приостановлено, Требуется подпись, Увеличение хранилища почтового ящика, Проверьте почтовый ящик, Голосовая почта или Другое.

      • Бренд: Доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud, Other.

      • Отрасль. Доступные значения: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, или Другое.

      • Текущее событие: доступные значения: Да или Нет.

      • Спорные. Доступные значения: Да или Нет.

      • Раздел «Язык»: выберите язык для полезной нагрузки. Доступные значения: английский, испанский, немецкий, японский, французский, португальский, голландский, итальянский, шведский, китайский (упрощённый), китайский (традиционный, Тайвань), норвежский букмол, польский, русский, финский, корейский, турецкий, венгерский, иврит, тайский, арабский, вьетнамский, словацкий, греческий, индонезийский, румынский, словенский, хорватский, каталанский или другой.

      • раздел сообщения Email:

        • Можно выбрать Импорт электронной почты , а затем Выбрать файл для импорта существующего файла обычного текстового сообщения. Доступны две вкладки:

        • Вкладка Текст: для создания полезной нагрузки доступен редактор форматированного текста. Чтобы просмотреть типичные параметры шрифта и форматирования, установите переключатель Элементы управления форматированием в значение Вкл.

          Совет

          Панель элементов управления форматированием содержит действие Вставка QR-кода , которое можно использовать вместо выбора элемента управления "Вставка QR-кода " в раскрывающемся списке Динамический тег для применимых методов социальной инженерии:

          Действие «Вставить QR-код» в элементах управления форматированием на странице «Настройка полезной нагрузки» мастера создания новой полезной нагрузки.

          Сведения о добавлении QR-кодов в данные см. в описании элемента управления Вставка QR-кода.

          На вкладке Текст также доступны следующие элементы управления:

          • Динамический тег: выберите один из следующих тегов:

            Имя тега Значение тега
            Вставка имени пользователя ${userName}
            Введите имя ${firstName}
            Вставить фамилию ${lastName}
            Введите UPN ${upn}
            Вставка Email ${emailAddress}
            Вставить отдел ${department}
            Вставка диспетчера ${manager}
            Вставка мобильного телефона ${mobilePhone}
            Вставка города ${city}
            Дата вставки ${date|MM/dd/yyyy|offset}
          • Элемент управления Вставка QR-кода доступен только в методах Сбор учетных данных, URL-адрес диска, Предоставление согласия OAuth или Практическое руководство .

            Вместо ссылки в качестве элемента фишинга в сообщении можно использовать QR-код. При выборе элемента управления Вставка QR-кода откроется всплывающее окно Вставка QR-кода , в котором вы настраиваете следующие сведения:

            • Размер: выберите одно из следующих значений:
              • Маленький (50 x 50 пикселей)
              • Средний (100 x 100 пикселей)
              • Большой (150 x 150 пикселей)
            • Горизонтальное положение: введите горизонтальное расположение в сантиметрах. Используйте следующее поле From , чтобы указать горизонтальную начальную точку для измерения:
              • Верхний левый угол
              • Center
            • Вертикальное положение: введите вертикальное расположение в сантиметрах. Используйте следующее поле From , чтобы указать вертикальную начальную точку для измерения:
              • Верхний левый угол
              • Center

            Всплывающая панель «Вставка QR-кода» на странице «Настройка полезной нагрузки» мастера создания новой полезной нагрузки.

            По завершении во всплывающем окне Вставка QR-кода нажмите кнопку Сохранить.

            QR-код, вставленный в электронное сообщение при создании полезной нагрузки.

            Совет

            • QR-код сопоставляется с URL-адресом фишинга, выбранным в разделе >. Выберите URL-адрес. Когда полезные данные используются в имитации, служба заменяет QR-код динамически создаваемым QR-кодом для отслеживания метрик щелчка и компрометации. Размер, положение и форма QR-кода соответствуют параметрам конфигурации, которые вы задали в полезной нагрузке.

            • Если вы используете кнопку Отправить тест на странице Просмотр полезных данных (шаг 7), вы увидите QR-код, но он указывает выбранный URL-адрес фишинга. Динамический QR-код создается при использовании полезной нагрузки в реальной симуляции.

            • QR-код вставляется в сообщение электронной почты в виде изображения. При переключении с вкладки Текст на вкладку Код вы увидите вставленное изображение в формате Base64. В начале изображения содержится <div id="QRcode"...>. Убедитесь, что готовые полезные данные содержат <div id="QRcode"...>, прежде чем использовать их в симуляции. Например, вы можете:

              <div id="QRcode" style="position: absolute; margin-top: 2%; margin-left: 2%;"><img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAM0AAADNCAYAAAAbvPRpAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAA9cSURBVHhe7dNBDiM7EgPRvv+l/1zgLVggIXm6FU...
              
            • Проверьте страницу входа при использовании payload в ходе моделирования. Вы также можете создавать страницы входа во время создания симуляции. Дополнительные сведения см. в статье Создание имитации: выбор полезной нагрузки и страницы входа в систему.

            • Мы рекомендуем выполнить тестовый прогон, чтобы проверить работу всего процесса от начала до конца, прежде чем использовать полезную нагрузку для более широкой аудитории.

          • Доступен элемент управления Фишинговая ссылка или Вложение, содержащее вредоносное ПО:

            • Фишинговая ссылка доступна только в методиках сбора учетных данных, Drive-by URL или выдачи согласия OAuth.
            • Ссылка на вредоносное вложение доступна только в Ссылка на вредоносное ПО.

            После выбора элемента управления откроется диалоговое окно URL-адрес для фишинга имени. Введите значение Имя для URL-адреса, выбранного в разделе Фишинговая ссылка или Ссылка для вложения , а затем нажмите кнопку Подтвердить.

            Введенное значение имени добавляется в текст сообщения в виде ссылки на URL-адрес фишинга. На вкладке Код значение ссылки — <a href="${phishingUrl}" target="_blank">Name value you specified</a>.

          Совет

          Чтобы добавить изображения, скопируйте (CTRL+C) и вставьте (CTRL+V) изображение в редактор на вкладке Текст . Редактор автоматически преобразует изображение в Base64 как часть HTML-кода. Максимальный размер полезных данных для моделирования составляет 4 МБ.

        • Вкладка "Код". Вы можете просматривать и изменять HTML-код напрямую.

        • Заменить все ссылки в сообщении электронной почты на фишинговую ссылку (Credential Harvest, Link to Malware, Drive-by URL или OAuth Consent Grant — только для этих техник): Этот переключатель может сэкономить время, заменив все ссылки в сообщении на ранее выбранный URL-адрес Phishing link или Link for attachment. Чтобы выполнить это действие, переключите параметр в положение «Вкл.»

    • Раздел Прогнозируемая вероятность компрометации: выберите Прогнозировать вероятность компрометации, чтобы вычислить прогнозируемую вероятность успешного выполнения полезной нагрузки. Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.

    Закончив работу на странице Настройка полезной нагрузки, нажмите кнопку Далее.

    Совет

    Для метода Практическое руководство вы сразу переходите на страницу Проверка полезной нагрузки.

  6. Страница Добавление индикаторов доступна только в том случае, если на странице Выбор метода выбраны Credential Harvest, Link in Attachment, Drive-by URL или OAuth Consent Grant (Предоставление согласия OAuth).

    Индикаторы помогают сотрудникам выявлять признаки фишинговых сообщений.

    На странице Добавление индикаторов выберите Добавить индикатор. Во всплывающем окне Добавление индикатора настройте следующие параметры:

    • Выберите индикатор, который вы хотите использовать и Где вы хотите разместить этот индикатор в полезной нагрузке?

      Эти значения взаимосвязаны. Расположение индикатора зависит от типа индикатора. Доступные значения описаны в следующей таблице:

      Тип индикатора Расположение индикатора
      Тип вложения Тело сообщения
      Отвлекающие детали Текст сообщения
      Подделывание домена Тело сообщения

      Адрес электронной почты отправителя
      Общее приветствие Тело сообщения
      Гуманитарные призывы Тело сообщения
      Несоответствие Тело сообщения
      Отсутствие сведений об отправителе Тело сообщения
      Юридический язык Тело сообщения
      Предложение с ограниченным временем Тело сообщения
      Имитация логотипа или устаревший брендинг Тело сообщения
      Имитирует рабочий или бизнес-процесс Тело сообщения
      Нет/минимальная фирменная символика Тело сообщения
      Представляется как друг, коллега, руководитель или фигура авторитета Содержимое сообщения
      Запрос конфиденциальной информации Тело сообщения
      Индикаторы безопасности и значки Текст сообщения

      Тема сообщения.
      Отображаемое имя отправителя и адрес электронной почты Имя отправителя

      Адрес электронной почты отправителя
      Чувство срочности Тело сообщения

      Тема сообщения.
      Нарушения правописания и грамматики Тело сообщения

      Тема сообщения.
      Угрожающий язык Тело сообщения

      Тема сообщения.
      Слишком выгодные предложения, чтобы быть правдой Текст сообщения
      Непрофессиональный дизайн или форматирование Тело сообщения
      Преобразование URL в гиперссылку Тело сообщения
      Ты особенный Тело сообщения

      Этот список составлен так, чтобы включать самые распространённые признаки, встречающиеся в фишинговых сообщениях.

      Если выбрать тему сообщения электронной почты или текст сообщения в качестве расположения индикатора, появится элемент Выбрать текст . Во всплывающем окне Выбор обязательного текста выберите (выделите) текст в теме сообщения или тексте сообщения, где должен отображаться индикатор. По завершении нажмите кнопку Выбрать.

      Расположение выделенного текста в теле сообщения для добавления в качестве индикатора в мастере создания новой полезной нагрузки в разделе «Обучение имитации атак»

      Во всплывающем меню Добавление индикатора выделенный текст отображается в разделе Выбранный текст.

    • Описание индикатора. Можно принять описание индикатора по умолчанию или настроить его.

    • Предварительный просмотр индикатора. Чтобы увидеть, как выглядит текущий индикатор, щелкните в любом месте раздела.

      По завершении во всплывающем окне Добавление индикатора нажмите кнопку Добавить.

    Повторите эти действия, чтобы добавить несколько индикаторов.

    На странице Добавление индикаторов можно просмотреть выбранные индикаторы:

    • Чтобы изменить существующий индикатор, выберите его, а затем выберите Изменить индикатор.

    • Чтобы удалить существующий индикатор, выберите его и нажмите кнопку Удалить.

    • Чтобы переместить индикаторы вверх или вниз в списке, выберите индикатор, а затем выберите Переместить вверх или Вниз.

    По завершении на странице Добавление индикаторов нажмите кнопку Далее.

  7. На странице Проверка пакета данных можно просмотреть сведения о вашем пакете данных.

    Нажмите кнопку Отправить тест, чтобы отправить самому себе (текущему пользователю, вошедшему в систему) копию электронного письма с данными полезной нагрузки для проверки.

    Нажмите кнопку Индикатор предварительного просмотра, чтобы открыть полезную нагрузку во всплывающем окне предварительного просмотра. Предварительный просмотр включает все индикаторы полезной нагрузки, которые вы создали.

    На странице Просмотр полезных данных можно выбрать Изменить в каждом разделе, чтобы изменить параметры в разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Просмотр полезных данных , нажмите кнопку Отправить. На отобразившейся странице подтверждения нажмите Готово.

    Страница проверки полезной нагрузки в разделе

  8. На странице Новая полезная нагрузка создана можно использовать ссылки, чтобы просмотреть все симуляции или перейти на страницу обзора обучения имитации атак.

    Когда закончите работу на странице Новая полезная нагрузка создана, выберите Готово.

  9. Вернувшись на вкладку Полезные нагрузки арендатора, вы увидите, что созданная вами полезная нагрузка теперь отображается со значением СостояниеГотово.

Принятие действий с полезными данными

Все действия с существующими пейлоадами выполняются на странице Payloads. Чтобы перейти туда, откройте портал Microsoft Defender по адресу https://security.microsoft.com, затем перейдите в раздел Электронная почта & совместная работа>Обучение моделированию атак>Библиотека содержимого, на вкладку >Полезные нагрузки>Полезные нагрузки клиента. Чтобы перейти непосредственно на вкладку Библиотека содержимого, где можно выбрать Полезные нагрузки и вкладки Полезные нагрузки клиента или Глобальные полезные нагрузки, используйте https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

Совет

Чтобы увидеть элемент управления (Действия) на вкладках Глобальные полезные нагрузки или Полезные нагрузки клиента, вам, вероятно, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшите масштаб в браузере.

Изменить данные полезной нагрузки

Вы не можете изменять встроенные полезные данные на вкладке Глобальные полезные данные . Пользовательские полезные данные можно изменять только на вкладке Полезные данные клиента .

Чтобы изменить существующую полезную нагрузку на вкладке Полезные нагрузки арендатора, выполните одно из следующих действий.

  • Выберите полезную нагрузку, установив флажок рядом с названием. Выберите появившееся действие Изменить данные полезной нагрузки.
  • Выберите полезную нагрузку, щелкнув в любом месте строки, кроме флажка. На открывшейся всплывающей панели сведений выберите Изменить полезную нагрузку в нижней части панели.
  • Выберите полезную нагрузку, нажав (Действия) в конце строки, а затем выберите Изменить.

Откроется мастер полезной нагрузки с параметрами и значениями выбранной полезной нагрузки. Шаги такие же, как описано в разделе Создание пейлоадов.

Копировать полезные нагрузки

Чтобы скопировать имеющуюся полезную нагрузку на вкладках Полезные нагрузки арендатора или Глобальные полезные нагрузки, выполните одно из следующих действий. Если вы копируете встроенную нагрузку с вкладки Глобальные нагрузки, обязательно измените значение Имя в мастере, чтобы скопированная нагрузка не отображалась на странице Нагрузки арендатора с тем же именем, что и встроенная нагрузка.

  • Выберите данные, установив флажок рядом с именем, а затем выберите появившееся действие Копировать данные.
  • Выберите данные полезной нагрузки, нажав (Действия) в конце строки, а затем выберите Копировать данные полезной нагрузки.

Откроется мастер создания полезной нагрузки с настройками и значениями выбранной полезной нагрузки. Шаги такие же, как описано в разделе Создание пейлоадов.

Примечание.

При копировании встроенной нагрузки на вкладке Глобальные полезные нагрузки обязательно измените значение Name. Если этого не сделать, полезная нагрузка будет отображаться на странице Полезные нагрузки арендатора с тем же именем, что и встроенная полезная нагрузка.

Архивировать полезные данные

Чтобы переместить существующий пакет данных в архив на вкладке Пакеты данных арендатора, выберите пакет данных: нажмите (Действия) в конце строки, а затем выберите Архивировать.

Значение Статус пакета данных изменяется на Архив, и пакет данных больше не отображается в таблице Пакеты данных арендатора, если переключатель Показывать архивные пакеты данных выключен .

Чтобы увидеть архивную полезную нагрузку на вкладке Полезная нагрузка арендатора, включите параметр Показать архивную полезную нагрузку.

После архивации полезных данных его можно восстановить, как описано в разделе "Восстановление архивированных полезных данных " или удалить его, как описано в разделе "Удаление архивированных полезных данных".

Восстановление архивных полезных данных

Чтобы восстановить полезную нагрузку архива на вкладке Полезные нагрузки арендатора, выполните следующие действия:

  1. Установите переключатель Показать архивные данные во включённое положение .
  2. Выберите полезную нагрузку, щелкнув (Действия) в конце строки, а затем выберите Восстановить.

После восстановления архивного объекта значение Состояние меняется на Черновик. Чтобы увидеть восстановленные данные полезной нагрузки, отключите параметр Показывать архивные данные полезной нагрузки. Чтобы вернуть полезные данные к значению StatusReady, измените полезные данные, просмотрите или измените параметры, а затем нажмите Отправить.

Удалить архивированные полезные нагрузки

Warning

Удаление архивной полезной нагрузки безвозвратно удаляет её, и это действие нельзя отменить.

Чтобы удалить архивный пакет данных на вкладке Полезные данные арендатора, выполните следующие действия:

  1. Установите переключатель Показать архивные пейлоады в положение «Вкл.» .
  2. Выберите полезную нагрузку, щелкнув (Действия) в конце строки, выберите Удалить, а затем выберите Подтвердить в диалоговом окне подтверждения.

Отправка теста

На вкладках Полезная нагрузка арендатора и Глобальная полезная нагрузка можно отправить себе (текущему вошедшему в систему пользователю) копию письма с полезной нагрузкой для проверки.

Выберите полезную нагрузку, установив флажок рядом с названием, а затем нажмите появившуюся кнопку Отправить тестовое сообщение.

Начало использования обучения симуляции атаки

Создание имитации фишинговых атак

Получение аналитики с помощью обучения имитации атаки