Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать функции Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и использовать условия пробной версии, см. в статье Пробная версия Microsoft Defender для Office 365.
В организациях с Microsoft Defender для Office 365 (план 2) (лицензии на надстройки или подписки, такие как Microsoft 365 E5), вы можете использовать обучение имитации атак на портале Microsoft Defender для выполнения реалистичных сценариев атак в организации. Имитация атак в рамках тренировки с имитацией атак помогает выявлять уязвимых пользователей до того, как реальная атака нанесёт ущерб вашим финансовым показателям.
В этой статье описаны основы обучения симуляции атак.
Просмотрите это короткое видео, чтобы узнать больше о обучении симуляции атак.
Что нужно знать перед началом работы
Перед началом работы ознакомьтесь со следующими требованиями к лицензированию, среде и доступу.
Для обучения имитации атак требуется лицензия Microsoft 365 E5 или Microsoft Defender для Office 365 (план 2 ). Дополнительные сведения о требованиях к лицензированию см. в разделе Условия лицензирования.
Обучение имитации атак поддерживает локальные почтовые ящики, но с ограниченной функциональностью создания отчетов. Дополнительные сведения см. в статье Создание отчетов о проблемах с локальными почтовыми ящиками.
Чтобы открыть портал Microsoft Defender, перейдите по адресу https://security.microsoft.com. Обучение моделированию атак доступно в разделе: Электронная почта и совместная работа>Обучение моделированию атак. Чтобы перейти непосредственно к обучению имитации атак, используйте https://security.microsoft.com/attacksimulator.
Дополнительные сведения о доступности обучения имитации атак в разных подписках Microsoft 365 см. в разделе Описание службы Microsoft Defender для Office 365.
Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:
Разрешения Microsoft Entra. Вам требуется членство в одной из следующих ролей:
- Глобальный администратор¹
- Администратор безопасности
- Администратор имитации атак 2: создание и управление всеми аспектами кампаний моделирования атак.
- Автор вредоносной нагрузки³: создание вредоносной нагрузки, которую администратор сможет запустить позже.
- Оператор безопасности и Читатель сведений о безопасности⁴: могут просматривать все аспекты кампаний моделирования атак.
Важно!
¹ Корпорация Майкрософт решительно выступает за принцип минимальных привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
2 Добавление пользователей в эту группу ролей в разделе Электронная почта & разрешения на совместную работу на портале Microsoft Defender в настоящее время не поддерживаются.
³ Участники с ролью Attack Payload Author имеют следующие ограничения в рамках обучения по моделированию атак:
- Они не могут создавать или редактировать симуляции, обучающие кампании, автоматизации симуляций или автоматизации полезной нагрузки.
- Они не могут изменять глобальные параметры.
- Они не могут изменять содержимое (например, уведомления), но могут изменять полезную нагрузку.
- Они не могут просматривать отчеты о симуляции арендатора, сводные отчеты, записи автоматизации симуляций или записи автоматизации полезной нагрузки.
⁴ Участники с ролями «Оператор безопасности» и «Читатель безопасности» имеют следующие ограничения в обучении с имитацией атак:
- Они не могут создавать или редактировать симуляции, обучающие кампании, автоматизацию моделирования или автоматизацию полезных данных.
- Они не могут изменять глобальные параметры.
- Они не могут изменять контент (например, данные арендатора или уведомления).
- Они могут получать доступ к данным через API чтения с областью действия пользователя, но не могут использовать API записи.
В настоящее время единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR не поддерживается.
Для обучения симуляции атак соответствующие командлеты PowerShell отсутствуют.
Данные, связанные с имитацией атак и обучением, хранятся вместе с другими данными клиентов для служб Microsoft 365. Дополнительные сведения см. в разделе Расположения данных Microsoft 365. Обучение имитации атак доступно в следующих регионах: APC, EUR и NAM. Страны в этих регионах, где доступно обучение симуляции атак, включают ARE, AUS, AUT, BRA, CAN, CHE, CHL, DEU, DNK, ESP, FRA, GBR, IDN, IND, ISR, ITA, JPN, KOR, LAM, MEX, MYS, NOR, NZL, POL, QAT, SGP, SWE, TWN и ZAF.
Примечание.
NOR, ZAF, ARE и DEU являются последними дополнениями. Во всех этих регионах доступны все функции, кроме телеметрии сообщаемых писем. Мы работаем над тем, чтобы включить эти функции, и уведомим клиентов, когда данные телеметрии по сообщениям электронной почты станут доступны.
Обучение имитации атак доступно в средах Microsoft 365 GCC, GCC High и DoD. Некоторые расширенные функции недоступны в GCC High и DoD (например, автоматизация полезной нагрузки, рекомендуемая полезная нагрузка и прогнозируемый уровень компрометации). Если в вашей организации используется Microsoft 365 G5, Office 365 G5 или Microsoft Defender для Office 365 (план 2) для государственных организаций, вы можете использовать обучение имитации атак, как описано в этой статье.
Примечание.
Обучение имитации атак предоставляет клиентам E3 подмножество возможностей в качестве пробной версии. Пробная версия включает возможность использовать полезную нагрузку Credential Harvest и выбирать учебные сценарии «ISA Phishing» или «Mass Market Phishing». Никакие другие возможности не являются частью пробного предложения E3.
Моделирования
Симуляция в обучении имитации атак — это общая кампания, которая предоставляет пользователям реалистичные, но безвредные фишинговые сообщения. Основные элементы моделирования:
- Кто получает имитированное фишинговое сообщение и по какому расписанию.
- Обучение, которое пользователи проходят в зависимости от того, как они отреагировали или не отреагировали на имитированное фишинговое сообщение (как при правильных, так и при неправильных действиях).
- Приманка, используемая в имитированном фишинговом сообщении (ссылка или вложение), а также содержание фишингового сообщения (например, доставка посылки, проблема с вашей учетной записью или вы выиграли приз).
- Техника социальной инженерии. Вредоносная нагрузка и приём социальной инженерии тесно связаны.
В обучении моделированию атак доступны несколько типов методов социальной инженерии. За исключением руководства с инструкциями, эти методы были отобраны из фреймворка MITRE ATT&CK®. Для различных методов социальной инженерии в обучении моделированию атак доступны разные полезные нагрузки.
Доступны следующие методы социальной инженерии:
Сбор учетных данных. Злоумышленник отправляет получателю сообщение, содержащее ссылку*. Когда получатель щелкает ссылку, он переходит на веб-сайт, где обычно отображается диалоговое окно с запросом у пользователя имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.
Вложение вредоносных программ. Злоумышленник отправляет получателю сообщение, содержащее вложение. Когда получатель открывает вложение, на устройстве пользователя выполняется произвольный код (например, макрос), чтобы помочь злоумышленнику установить дополнительный код или дополнительно закрепиться.
Ссылка во вложении: Этот метод является гибридной формой сбора учетных данных. Злоумышленник отправляет получателю сообщение, содержащее ссылку внутри вложения. Когда получатель открывает вложение и щелкает ссылку, он переходит на веб-сайт, где обычно отображается диалоговое окно с запросом имени пользователя и пароля. Как правило, целевая страница предназначена для представления известного веб-сайта, чтобы создать доверие к пользователю.
Ссылка на вредоносные программы*. Злоумышленник отправляет получателю сообщение, содержащее ссылку на вложение на известном сайте общего доступа к файлам (например, SharePoint или Dropbox). Когда получатель щелкает ссылку, открывается вложение и на устройстве пользователя запускается произвольный код (например, макрос), чтобы помочь злоумышленнику установить другой код или дополнительно закрепиться.
Атака через URL-ссылку*: злоумышленник отправляет получателю сообщение, содержащее ссылку. Когда получатель щелкает ссылку, он переходит на веб-сайт, который пытается запустить фоновый код. Этот фоновый код пытается собрать информацию о получателе или выполнить произвольный код на его устройстве. Как правило, целевой веб-сайт является хорошо известным веб-сайтом, который был скомпрометирован или клоном известного веб-сайта. Знакомство с веб-сайтом помогает убедить пользователя в том, что ссылка безопасна для щелчка. Этот метод также известен как атака на отверстие для полива.
Предоставление согласия OAuth*: Злоумышленник создает вредоносное приложение Azure, которое пытается получить доступ к данным. Приложение отправляет запрос по электронной почте, содержащий ссылку. Когда получатель щелкает ссылку, механизм предоставления согласия приложения запрашивает доступ к данным (например, к папке "Входящие" пользователя).
Практическое руководство. Учебное руководство, содержащее инструкции для пользователей (например, как сообщать о фишинговых сообщениях).
* Ссылка может быть URL-адресом или QR-кодом.
URL-адреса, используемые для обучения имитации атак, перечислены в следующей таблице:
https://www.attemplate.com |
https://www.exportants.it |
https://www.resetts.it |
https://www.bankmenia.com |
https://www.exportants.org |
https://www.resetts.org |
https://www.bankmenia.de |
https://www.financerta.com |
https://www.salarytoolint.com |
https://www.bankmenia.es |
https://www.financerta.de |
https://www.salarytoolint.net |
https://www.bankmenia.fr |
https://www.financerta.es |
https://www.securembly.com |
https://www.bankmenia.it |
https://www.financerta.fr |
https://www.securembly.de |
https://www.bankmenia.org |
https://www.financerta.it |
https://www.securembly.es |
https://www.banknown.de |
https://www.financerta.org |
https://www.securembly.fr |
https://www.banknown.es |
https://www.financerts.com |
https://www.securembly.it |
https://www.banknown.fr |
https://www.financerts.de |
https://www.securembly.org |
https://www.banknown.it |
https://www.financerts.es |
https://www.securetta.de |
https://www.banknown.org |
https://www.financerts.fr |
https://www.securetta.es |
https://www.browsersch.com |
https://www.financerts.it |
https://www.securetta.fr |
https://www.browsersch.de |
https://www.financerts.org |
https://www.securetta.it |
https://www.browsersch.es |
https://www.hardwarecheck.net |
https://www.shareholds.com |
https://www.browsersch.fr |
https://www.hrsupportint.com |
https://www.sharepointen.com |
https://www.browsersch.it |
https://www.mcsharepoint.com |
https://www.sharepointin.com |
https://www.browsersch.org |
https://www.mesharepoint.com |
https://www.sharepointle.com |
https://www.docdeliveryapp.com |
https://www.officence.com |
https://www.sharesbyte.com |
https://www.docdeliveryapp.net |
https://www.officenced.com |
https://www.sharession.com |
https://www.docstoreinternal.com |
https://www.officences.com |
https://www.sharestion.com |
https://www.docstoreinternal.net |
https://www.officentry.com |
https://www.supportin.de |
https://www.doctorican.de |
https://www.officested.com |
https://www.supportin.es |
https://www.doctorican.es |
https://www.passwordle.de |
https://www.supportin.fr |
https://www.doctorican.fr |
https://www.passwordle.fr |
https://www.supportin.it |
https://www.doctorican.it |
https://www.passwordle.it |
https://www.supportres.de |
https://www.doctorican.org |
https://www.passwordle.org |
https://www.supportres.es |
https://www.doctrical.com |
https://www.payrolltooling.com |
https://www.supportres.fr |
https://www.doctrical.de |
https://www.payrolltooling.net |
https://www.supportres.it |
https://www.doctrical.es |
https://www.prizeably.com |
https://www.supportres.org |
https://www.doctrical.fr |
https://www.prizeably.de |
https://www.techidal.com |
https://www.doctrical.it |
https://www.prizeably.es |
https://www.techidal.de |
https://www.doctrical.org |
https://www.prizeably.fr |
https://www.techidal.fr |
https://www.doctricant.com |
https://www.prizeably.it |
https://www.techidal.it |
https://www.doctrings.com |
https://www.prizeably.org |
https://www.techniel.de |
https://www.doctrings.de |
https://www.prizegiveaway.net |
https://www.techniel.es |
https://www.doctrings.es |
https://www.prizegives.com |
https://www.techniel.fr |
https://www.doctrings.fr |
https://www.prizemons.com |
https://www.techniel.it |
https://www.doctrings.it |
https://www.prizesforall.com |
https://www.templateau.com |
https://www.doctrings.org |
https://www.prizewel.com |
https://www.templatent.com |
https://www.exportants.com |
https://www.prizewings.com |
https://www.templatern.com |
https://www.exportants.de |
https://www.resetts.de |
https://www.windocyte.com |
https://www.exportants.es |
https://www.resetts.es |
|
https://www.exportants.fr |
https://www.resetts.fr |
Примечание.
Проверьте доступность имитированного URL-адреса фишинга в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Дополнительные сведения см. в разделе URL-адреса имитации фишинга, заблокированные Google Safe Browsing.
Создание симуляции
Инструкции о том, как создать и запустить учебные симуляции атак, см. в статье Имитация фишинговой атаки.
Целевая страница в симуляции — это страница, на которую попадают пользователи, когда открывают полезную нагрузку. При создании имитации вы выбираете целевую страницу для использования. Вы можете выбрать один из встроенных целевых страниц, пользовательские целевые страницы, которые вы уже создали, или создать новую целевую страницу для использования во время создания моделирования. Сведения о создании целевых страниц см. в разделе Целевые страницы в обучении симуляции атак.
Уведомления конечных пользователей в имитации отправляют пользователям периодические напоминания (например, уведомления о назначениях обучения и напоминаниях). Вы можете выбрать один из встроенных уведомлений, пользовательские уведомления, которые вы уже создали, или вы можете создать новые уведомления для использования во время создания моделирования. Сведения о создании уведомлений см. в разделе Уведомления конечных пользователей для обучения симуляции атак.
Совет
Автоматизация моделирования обеспечивает следующие улучшения по сравнению с традиционными симуляциями:
- Автоматизации симуляций могут включать несколько методов социальной инженерии и связанных с ними полезных нагрузок (симуляции содержат только один).
- Автоматизация моделирования поддерживает параметры автоматического планирования (больше, чем просто дата начала и окончания в симуляции).
Дополнительные сведения см. в разделе Моделирование автоматизации для обучения имитации атак.
Чтобы узнать, какие отделы более уязвимы для фишинговых имитаций, создайте идентичные имитации или автоматизацию имитации, охватываемые отделом, а затем используйте отчеты об обучении имитации атак и аналитические сведения для сравнения результатов.
Создавайте полезную нагрузку и управляйте ею
Хотя обучение моделированию атак включает множество встроенных полезных нагрузок для поддерживаемых методов социальной инженерии, вы можете создавать пользовательские полезные нагрузки под свои бизнес-потребности, включая копирование и настройку существующей полезной нагрузки. Вы можете создавать полезную нагрузку в любое время до создания симуляции или во время её создания. Чтобы создать полезную нагрузку, см. Создание настраиваемой полезной нагрузки для обучения имитации атак.
В симуляциях, использующих методы социальной инженерии credential Harvest или Link in Attachment , страницы входа являются частью выбранной полезной нагрузки. Страница входа — это веб-страница, на которой пользователи вводят свои учетные данные. Для каждой применимой полезной нагрузки используется страница входа по умолчанию, но вы можете изменить используемую страницу входа. Вы можете выбрать одну из встроенных страниц входа, одну из пользовательских страниц входа, которые вы уже создали, либо создать новую страницу входа для использования при создании имитации или полезной нагрузки. Чтобы создать страницы входа, см. раздел Страницы входа в обучении с имитацией атак.
Лучший способ обучения имитации фишинговых сообщений заключается в том, чтобы сделать их как можно ближе к реальным фишинговым атакам, которые могут возникнуть в вашей организации. Что делать, если вы сможете захватить и использовать безвредные версии реальных фишинговых сообщений, обнаруженных в Microsoft 365, и использовать их в имитации фишинговых кампаний? Вы можете использовать автоматизацию полезных данных (также известную как сбор полезных данных). Чтобы создать автоматизации полезной нагрузки, см. раздел Автоматизации полезной нагрузки для обучения с имитацией атак.
Тренировка по имитации атак также поддерживает использование QR-кодов в полезной нагрузке. Вы можете выбрать в списке встроенные данные для QR-кода или создать собственные данные для QR-кода. Дополнительные сведения см. в разделе Полезные данные QR-кода в обучении симуляции атак.
Просмотр отчетов и аналитических сведений об имитации
После создания и запуска имитации фишинга необходимо увидеть, как это происходит. Например, вы можете:
- Все получили его?
- Кто и что сделал с имитированным фишинговым сообщением и содержащейся в нем полезной нагрузкой (удалить, сообщить о нем, открыть полезную нагрузку, ввести учетные данные и т. д.).
- Кто завершил назначенное обучение.
Доступные отчеты и аналитические сведения для обучения симуляции атак описаны в разделе Отчеты для обучения имитации атак.
Общие сведения о прогнозируемой ставке компрометации
Часто требуется адаптировать имитацию фишинговой кампании для конкретных аудиторий. Если фишинговое сообщение слишком близко к идеальному, почти все попадаются на него. Если это выглядит слишком подозрительно, никого это не обманет. Кроме того, фишинговые сообщения, которые некоторые пользователи считают трудным для идентификации, считаются простыми для идентификации другими пользователями. Так как же вы научились балансировать?
Прогнозируемый уровень компрометации (PCR) указывает на потенциальную эффективность при использовании полезной нагрузки в ходе моделирования. PCR использует исторические данные Microsoft 365, чтобы спрогнозировать, какой процент пользователей будет скомпрометирован вредоносной нагрузкой. Например, вы можете:
- Содержимое полезной нагрузки.
- Агрегированные и анонимные показатели компрометации из других симуляций.
- Метаданные полезной нагрузки.
PCR позволяет сравнить прогнозируемые и фактические показатели кликов для симуляции фишинга. Вы также можете использовать PCR и фактические данные частоты щелчков, чтобы узнать, как ваша организация работает по сравнению с прогнозируемыми результатами.
Сведения о PCR для полезной нагрузки доступны везде, где можно просматривать и выбирать полезные нагрузки, а также в следующих отчетах и аналитических материалах:
- Влияние поведения на карточку уровня компрометации
- Вкладка "Эффективность обучения" для отчета о симуляции атак
Совет
Симулятор атак использует функцию «Безопасные ссылки» в Defender для Office 365 для безопасного отслеживания данных о щелчках по URL в сообщении с полезной нагрузкой, отправленном целевым получателям фишинговой кампании, даже если параметр Отслеживать щелчки пользователей в политиках Безопасных ссылок отключен.
Назначьте обучение без запуска симуляций
Традиционные имитации фишинга представляют пользователям подозрительные сообщения и следующие цели:
- Заставить пользователей сообщать о сообщении как подозрительном.
- Проводите обучение после того, как пользователи щелкнут по имитированному вредоносному файлу или запустят его и раскроют свои учетные данные.
Но иногда вам не нужно ждать, пока пользователи не предпримят правильные или неправильные действия, прежде чем давать им обучение. Обучение имитации атак предоставляет следующие функции, чтобы пропустить ожидание и перейти непосредственно к обучению:
Кампании по обучению. Кампания обучения — это только обучающее задание для целевых пользователей. Вы можете напрямую назначить обучение, не подвергая пользователей проверке имитации. Учебные кампании упрощают проведение учебных занятий, таких как ежемесячный тренинг по повышению осведомленности о кибербезопасности. Дополнительные сведения см. в разделе Обучающие кампании в обучении имитации атак.
Совет
Обучающие модули используются в кампаниях по обучению, но вы также можете использовать модули обучения при назначении обучения в регулярных симуляциях.
Практические руководства по симуляции. Симуляции, основанные на практическом руководстве по социальной инженерии, не пытаются тестировать пользователей. Практическое руководство — это упрощенный интерфейс обучения, который пользователи могут просматривать непосредственно в папке "Входящие". Например, доступны следующие встроенные полезные нагрузки с инструкциями, и вы можете создать собственные (в том числе скопировать и настроить существующую полезную нагрузку):
- Руководство по обучению. Как сообщить о фишинговых сообщениях
- Руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR-кода
Совет
Обучение имитации атак предоставляет следующие встроенные варианты обучения атак на основе QR-кода:
- Учебные модули:
- Вредоносные цифровые QR-коды
- Вредоносные печатные QR-коды
- Практические руководства по симуляции: руководство по обучению: распознавание и сообщение о фишинговых сообщениях QR