Microsoft Teams в Обучение эмуляции атак

В организациях с Microsoft Defender для Office 365 плана 2 или Microsoft Defender XDR администраторы теперь могут использовать Обучение эмуляции атак для доставки имитации фишинговых сообщений в Microsoft Teams. Дополнительные сведения о обучении имитации атак см. в статье Начало работы с Обучение эмуляции атак в Defender для Office 365.

Добавление Teams в Обучение эмуляции атак влияет на следующие функции:

• Моделирования
• Полезная нагрузка
• Автоматизация моделирования

На автоматизацию полезных данных, уведомления конечных пользователей, страницы входа и целевые страницы teams в Обучение эмуляции атак не влияют.

Конфигурация имитации Teams

Помимо включения отчетов пользователей для сообщений Teams, как описано в разделе Параметры сообщений, сообщаемых пользователем в Microsoft Teams, необходимо также настроить учетные записи Teams, которые можно использовать в качестве источников для сообщений имитации в Обучение эмуляции атак. Чтобы настроить учетные записи, выполните следующие действия.

1. Определите или создайте пользователя, который является членом ролей глобального администратора, администратора безопасности или администратора имитации атак в Microsoft Entra ID. Назначьте microsoft 365, Office 365, Microsoft Teams базовый, Microsoft 365 бизнес базовый или лицензию на Microsoft 365 бизнес стандарт для Microsoft Teams. Необходимо знать пароль.

   Важно!

   Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

2. С помощью учетной записи из шага 1 откройте портал Microsoft Defender по адресу и перейдите на https://security.microsoft.com вкладку Email & совместной работы>Обучение эмуляции атак>Настройки. Или, чтобы перейти непосредственно на вкладку Параметры, используйте https://security.microsoft.com/attacksimulator?viewid=setting.

3. На вкладке Параметры выберите Диспетчер учетных записей пользователей в разделе Конфигурация имитации Teams .

4. Во всплывающем окне Конфигурация имитации Teams выберите Создать токен. Прочтите сведения в диалоговом окне подтверждения и выберите Я принимаю.

5. На вкладке Параметры снова выберите Диспетчер учетных записей пользователей в разделе Конфигурация имитации Teams , чтобы снова открыть всплывающее окно Конфигурация имитации Teams . Учетная запись пользователя, в которую вы вошли в систему, теперь отображается в разделе Учетные записи пользователей, доступные для фишинга Teams .

Чтобы удалить пользователя из списка, выберите поле проверка рядом со значением отображаемого имени, не щелкая нигде в строке. Выберите отображающееся действие Удалить, а затем выберите Удалить в диалоговом окне подтверждения.

Чтобы предотвратить использование учетной записи в имитациях Teams, но сохранить журнал связанных симуляций для учетной записи, выберите поле проверка рядом со значением отображаемого имени, не щелкая нигде в строке. Выберите действие Деактивировать, которое появится.

Изменения в симуляции для Microsoft Teams

Teams представляет следующие изменения в просмотре и создании симуляции, как описано в разделе Имитация фишинговой атаки с помощью Обучение эмуляции атак в Defender для Office 365:

• На вкладке Моделирование в https://security.microsoft.com/attacksimulator?viewid=simulationsстолбце Платформа отображается значение Teams для имитаций, использующих сообщения Teams.

• Если на вкладке Симуляция выбрано значение Запустить симуляцию, чтобы создать симуляцию, первая страница мастера создания имитации — Выберите платформу доставки, где можно выбрать Microsoft Teams. Выбор Microsoft Teams приводит к следующим изменениям в остальной части нового мастера моделирования:

  • На странице Выбор метода недоступны следующие методы социальной инженерии:

    • Вложение вредоносных программ
    • Ссылка во вложении
    • Практическое руководство

  • На странице Имитация имени отображаются раздел Выберите учетную запись Microsoft Teams отправителя и ссылка Выбрать учетную запись пользователя . Выберите Выбрать учетную запись пользователя , чтобы найти и выбрать учетную запись, используемую в качестве источника сообщения Teams.

    Список пользователей поступает из раздела Конфигурация имитации Teams на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Настройка учетных записей описана в разделе Конфигурация имитации Teams ранее в этой статье.

  • На странице Выбор полезных данных и входа по умолчанию не отображаются полезные данные, так как нет встроенных полезных данных для Teams. Необходимо создать полезные данные для сочетания Teams и выбранного метода социальной инженерии.

    Различия в создании полезных данных для Teams описаны в разделе Изменения полезных данных для Microsoft Teams этой статьи.

  • На странице Целевые пользователи для Teams различаются следующие параметры:

    • Как отмечалось на странице, гостевые пользователи в Teams исключаются из моделирования.

Другие параметры, связанные с имитацией, такие же для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.

Изменения в полезных данных для Microsoft Teams

Независимо от того, создаете ли вы полезные данные на странице Полезные данные вкладки Библиотека содержимого или на странице Выбор полезных данных и страницы входа в мастере создания имитации, Teams вносит следующие изменения в просмотр и создание полезных данных, как описано в разделе Полезные данные в Обучение эмуляции атак в Defender для Office 365:

• На вкладке Глобальные полезные данные и полезные данные клиента на странице Полезные данные вкладки Библиотека содержимого в https://security.microsoft.com/attacksimulator?viewid=contentlibraryстолбце Платформа отображается значение Teams для полезных данных, использующих сообщения Teams.

  Если выбрать Фильтр, чтобы отфильтровать список существующих полезных данных, будет доступен раздел Платформа, в котором можно выбрать Email и Teams.

  Как описано ранее, для Teams нет встроенных полезных данных, поэтому при фильтрации по команде состояния>на вкладке Глобальные полезные данные список будет пустым.

• Если выбрать Создать полезные данные на вкладке Полезные данные клиента , чтобы создать полезные данные, первая страница мастера создания полезных данных — Выберите тип , где можно выбрать Teams. Выбор Teams приводит к следующим изменениям в остальной части нового мастера полезных данных:

  • На странице Выбор метода для Teams недоступны методы вложения вредоносных программ, связывания во вложении и практическое руководство .

  • На странице Настройка полезных данных содержатся следующие изменения для Teams:

    • Раздел сведений об отправителе. Единственным доступным параметром для Teams является раздел чата, в котором вы вводите плитку для сообщения Teams.
    • Последний раздел не называется Email сообщении, но он работает так же для сообщений Teams, как и для сообщений электронной почты:
      • Есть кнопка Импорт сообщений Teams для импорта существующего файла обычного текстового сообщения для использования в качестве отправной точки.
      • Элементы управления динамический тег и ссылка на фишинг доступны на вкладке Текст , а вкладка "Код " доступна как в случае с сообщениями электронной почты.

Другие параметры, связанные с полезными данными, одинаковы для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.

Изменения в автоматизации моделирования для Microsoft Teams

Teams представляет следующие изменения в просмотре и создании автоматизации моделирования, как описано в разделе Автоматизация моделирования для Обучение эмуляции атак:

• На странице Автоматизация имитации на вкладке Автоматизация также https://security.microsoft.com/attacksimulator?viewid=automationsдоступны следующие столбцы:

  • Тип. В настоящее время это значение всегда является социальной инженерией.
  • Платформа. Отображает значение Teams для автоматизации полезных данных, использующих сообщения Teams, или Email для автоматизации полезных данных, использующих сообщения электронной почты.

• Если вы выберете Создать автоматизацию на странице Автоматизация моделирования , чтобы создать автоматизацию моделирования, первая страница нового мастера автоматизации имитации — Выберите платформу доставки , где можно выбрать Teams. При выборе Teams в оставшуюся часть нового мастера автоматизации имитации будут внесены следующие изменения:

  • На странице Имя службы автоматизации в разделе Выбор метода для выбора учетных записей отправителей для Teams доступны следующие параметры:

    • Выбрать вручную. Это значение выбрано по умолчанию. В разделе Выбор учетной записи Microsoft Teams отправителя выберите сообщение Выберите учетную запись пользователя , чтобы найти и выбрать учетную запись, используемую в качестве источника для Teams.
    • Рандомизация. Случайный выбор из доступных учетных записей для использования в качестве источника сообщения Teams.

  • На странице Выбор методов социальной инженерии методы вложения вредоносных программ и связывания вложения недоступны для Teams.

  • На странице Выбор полезных данных и входа по умолчанию не отображаются полезные данные, так как нет встроенных полезных данных для Teams. Может потребоваться создать полезные данные для сочетания teams и выбранных методов социальной инженерии.

    Различия в создании полезных данных для Teams описаны в разделе Изменения полезных данных для Microsoft Teams этой статьи.

  • На странице Целевые пользователи для Teams различаются следующие параметры:

    • Как отмечалось на странице, автоматизация моделирования, использующее Teams, может быть нацелена на не более 1000 пользователей.
    • Если выбрать Включить только определенных пользователей и группы, фильтр "Город " не будет доступен в разделе Фильтрация пользователей по категориям .

Другие параметры, связанные с автоматизацией моделирования, такие же для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.