Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och testa villkoren i Prova Microsoft Defender för Office 365.
I organisationer med Microsoft Defender för Office 365 Abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) kan du använda träning för attacksimulering i Microsoft Defender-portalen för att köra realistiska attackscenarier i din organisation. Dessa simulerade attacker kan hjälpa dig att identifiera och hitta sårbara användare innan en verklig attack påverkar slutresultatet.
Den här artikeln beskriver grunderna i träning av attacksimulering.
Titta på den här korta videon om du vill veta mer om träning av attacksimulering.
Vad behöver jag veta innan jag börjar?
Träning av attacksimulering kräver en Licens för Microsoft 365 E5 eller Microsoft Defender för Office 365 Plan 2 . Mer information om licensieringskrav finns i Licensvillkor.
Träning av attacksimulering stöder lokala postlådor, men med nedsatt rapporteringsfunktionalitet. Mer information finns i Rapportera problem med lokala postlådor.
Öppna Microsoft Defender-portalen genom att gå till https://security.microsoft.com. Träning av attacksimulering finns på utbildning i e-post- ochsamarbetsangreppssimulering>. Om du vill gå direkt till träning för attacksimulering använder du https://security.microsoft.com/attacksimulator.
Mer information om tillgängligheten för träning av attacksimulering i olika Microsoft 365-prenumerationer finns i Tjänstbeskrivning för Microsoft Defender för Office 365.
Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:
Microsoft Entra-behörigheter: Du behöver medlemskap i någon av följande roller:
- Global administratör 1
- Säkerhetsadministratör
- Administratör för attacksimulering²: Skapa och hantera alla aspekter av attacksimuleringskampanjer.
- Attack Payload Author³: Skapa attacknyttolaster som en administratör kan initiera senare.
- Säkerhetsoperatör och säkerhetsläsare⁴: Visa alla aspekter av attacksimuleringskampanjer.
Viktigt
² Microsoft förespråkar starkt principen om lägsta behörighet. Genom att endast tilldela konton de minsta behörigheter som krävs för att utföra sina uppgifter kan du minska säkerhetsriskerna och stärka organisationens övergripande skydd. Global administratör är en mycket privilegierad roll som du bör begränsa till nödsituationsscenarier eller när du inte kan använda en annan roll.
² Det finns för närvarande inte stöd för att lägga till användare i den här rollgruppen i E-post & samarbetsbehörigheter i Microsoft Defender-portalen .
³ Medlemmar i Attack Payload Author har följande begränsningar i träning av attacksimulering:
- De kan inte skapa eller redigera simuleringar, utbildningskampanjer, simuleringsautomatiseringar eller nyttolastautomatiseringar.
- De kan inte ändra globala inställningar.
- De kan inte ändra innehåll (till exempel meddelanden), men de kan ändra nyttolaster.
- De kan inte visa rapporter om klientsimulering, sammanställda rapporter, poster för simuleringsautomatisering eller automatiseringsposter för nyttolast.
⁴ Medlemmar i Säkerhetsoperatör och Säkerhetsläsare har följande begränsningar i träning av attacksimulering:
- De kan inte skapa eller redigera simuleringar, utbildningskampanjer, simuleringsautomatiseringar eller nyttolastautomatiseringar.
- De kan inte ändra globala inställningar.
- De kan inte ändra innehåll (till exempel klientnyttolaster eller meddelanden).
- De kan komma åt data via läs-API:er med användaromfång, men de kan inte använda skriv-API:er.
För närvarande stöds inte rollbaserad åtkomstkontroll (RBAC) i Microsoft Defender XDR Unified .
Det finns inga motsvarande PowerShell-cmdletar för träning av attacksimulering.
Attacksimulering och träningsrelaterade data lagras med andra kunddata för Microsoft 365-tjänster. Mer information finns i Microsoft 365-dataplatser. Träning av attacksimulering är tillgängligt i följande regioner: APC, EUR och NAM. Länder i dessa regioner där träning av attacksimulering är tillgängligt är ARE, AUS, AUT, BRA, CAN, CHE, CHL, DEU, DNK, ESP, FRA, GBR, IDN, IND, ISR, ITA, JPN, KOR, LAM, MEX, MYS, NOR, NZL, POL, QAT, SGP, SWE, TWN och ZAF.
Obs!
NOR, ZAF, ARE och DEU är de senaste tilläggen. Alla funktioner utom rapporterad e-posttelemetri är tillgängliga i dessa regioner. Vi arbetar med att aktivera funktionerna och meddelar kunderna när rapporterad telemetri för e-post blir tillgänglig.
Träning av attacksimulering är tillgängligt i Microsoft 365 GCC-, GCC High- och DoD-miljöer. Vissa avancerade funktioner är inte tillgängliga i GCC High och DoD (till exempel automatisering av nyttolast, rekommenderade nyttolaster och förväntad komprometterad hastighet). Om din organisation har Microsoft 365 G5, Office 365 G5 eller Microsoft Defender för Office 365 (abonnemang 2) för myndigheter kan du använda utbildning i attacksimulering enligt beskrivningen i den här artikeln.
Obs!
Utbildning i attacksimulering erbjuder en delmängd funktioner till E3-kunder som en utvärderingsversion. Utvärderingserbjudandet innehåller möjligheten att använda en nyttolast för autentiseringsuppgifter och möjligheten att välja träningsupplevelser för ISA Phishing eller Mass Market Phishing. Inga andra funktioner ingår i E3-utvärderingserbjudandet.
Simuleringar
En simulering i träning av attacksimulering är den övergripande kampanjen som levererar realistiska men ofarliga nätfiskemeddelanden till användare. De grundläggande elementen i en simulering är:
- Vem får det simulerade nätfiskemeddelandet och enligt vilket schema.
- Utbildning som användarna får baserat på deras åtgärd eller brist på åtgärd (för både korrekta och felaktiga åtgärder) för det simulerade nätfiskemeddelandet.
- Nyttolasten som används i det simulerade nätfiskemeddelandet (en länk eller en bifogad fil) och sammansättningen av nätfiskemeddelandet (till exempel paket som levereras, problem med ditt konto eller så vann du ett pris).
- Den socialtekniska tekniken. Nyttolasten och den sociala tekniktekniken är nära besläktade.
I utbildning i attacksimulering finns flera typer av tekniker för social teknik tillgängliga. Förutom instruktioner har dessa tekniker granskats från MITRE ATT-&CK-ramverket®. Olika nyttolaster är tillgängliga för olika tekniker.
Följande tekniker för social ingenjörskonst finns tillgängliga:
Skörd av autentiseringsuppgifter: En angripare skickar ett meddelande till mottagaren som innehåller en länk*. När mottagaren klickar på länken går de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange sitt användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.
Bifogad kod: En angripare skickar ett meddelande till mottagaren som innehåller en bifogad fil. När mottagaren öppnar den bifogade filen körs godtycklig kod (till exempel ett makro) på användarens enhet för att hjälpa angriparen att installera mer kod eller ytterligare befästa sig själva.
Länk i bifogad fil: Den här tekniken är en hybrid av en autentiseringsuppgiftsskörd. En angripare skickar ett meddelande till mottagaren som innehåller en länk i en bifogad fil. När mottagaren öppnar den bifogade filen och klickar på länken går de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.
Länk till skadlig kod*: En angripare skickar ett meddelande till mottagaren som innehåller en länk till en bifogad fil på en välkänd fildelningswebbplats (till exempel SharePoint eller Dropbox). När mottagaren klickar på länken öppnas den bifogade filen och godtycklig kod (till exempel ett makro) körs på användarens enhet för att hjälpa angriparen att installera annan kod eller ytterligare befästa sig själva.
Drive-by-URL*: En angripare skickar ett meddelande till mottagaren som innehåller en länk. När mottagaren klickar på länken går de till en webbplats som försöker köra bakgrundskod. Den här bakgrundskoden försöker samla in information om mottagaren eller distribuera godtycklig kod på enheten. Vanligtvis är målwebbplatsen en välkänd webbplats som har komprometterats eller en klon av en välkänd webbplats. Kännedom om webbplatsen hjälper till att övertyga användaren om att länken är säker att klicka på. Denna teknik är också känd som en vattenhålsattack.
Beviljande av OAuth-medgivande*: En angripare skapar ett skadligt Azure-program som försöker få åtkomst till data. Programmet skickar en e-postbegäran som innehåller en länk. När mottagaren klickar på länken ber programmets mekanism för beviljande av medgivande om åtkomst till data (till exempel användarens inkorg).
Instruktionsguide: En undervisningsguide som innehåller instruktioner för användare (till exempel hur du rapporterar nätfiskemeddelanden).
* Länken kan vara en URL eller en QR-kod.
Url:er som används av träning av attacksimulering visas i följande tabell:
https://www.attemplate.com |
https://www.exportants.it |
https://www.resetts.it |
https://www.bankmenia.com |
https://www.exportants.org |
https://www.resetts.org |
https://www.bankmenia.de |
https://www.financerta.com |
https://www.salarytoolint.com |
https://www.bankmenia.es |
https://www.financerta.de |
https://www.salarytoolint.net |
https://www.bankmenia.fr |
https://www.financerta.es |
https://www.securembly.com |
https://www.bankmenia.it |
https://www.financerta.fr |
https://www.securembly.de |
https://www.bankmenia.org |
https://www.financerta.it |
https://www.securembly.es |
https://www.banknown.de |
https://www.financerta.org |
https://www.securembly.fr |
https://www.banknown.es |
https://www.financerts.com |
https://www.securembly.it |
https://www.banknown.fr |
https://www.financerts.de |
https://www.securembly.org |
https://www.banknown.it |
https://www.financerts.es |
https://www.securetta.de |
https://www.banknown.org |
https://www.financerts.fr |
https://www.securetta.es |
https://www.browsersch.com |
https://www.financerts.it |
https://www.securetta.fr |
https://www.browsersch.de |
https://www.financerts.org |
https://www.securetta.it |
https://www.browsersch.es |
https://www.hardwarecheck.net |
https://www.shareholds.com |
https://www.browsersch.fr |
https://www.hrsupportint.com |
https://www.sharepointen.com |
https://www.browsersch.it |
https://www.mcsharepoint.com |
https://www.sharepointin.com |
https://www.browsersch.org |
https://www.mesharepoint.com |
https://www.sharepointle.com |
https://www.docdeliveryapp.com |
https://www.officence.com |
https://www.sharesbyte.com |
https://www.docdeliveryapp.net |
https://www.officenced.com |
https://www.sharession.com |
https://www.docstoreinternal.com |
https://www.officences.com |
https://www.sharestion.com |
https://www.docstoreinternal.net |
https://www.officentry.com |
https://www.supportin.de |
https://www.doctorican.de |
https://www.officested.com |
https://www.supportin.es |
https://www.doctorican.es |
https://www.passwordle.de |
https://www.supportin.fr |
https://www.doctorican.fr |
https://www.passwordle.fr |
https://www.supportin.it |
https://www.doctorican.it |
https://www.passwordle.it |
https://www.supportres.de |
https://www.doctorican.org |
https://www.passwordle.org |
https://www.supportres.es |
https://www.doctrical.com |
https://www.payrolltooling.com |
https://www.supportres.fr |
https://www.doctrical.de |
https://www.payrolltooling.net |
https://www.supportres.it |
https://www.doctrical.es |
https://www.prizeably.com |
https://www.supportres.org |
https://www.doctrical.fr |
https://www.prizeably.de |
https://www.techidal.com |
https://www.doctrical.it |
https://www.prizeably.es |
https://www.techidal.de |
https://www.doctrical.org |
https://www.prizeably.fr |
https://www.techidal.fr |
https://www.doctricant.com |
https://www.prizeably.it |
https://www.techidal.it |
https://www.doctrings.com |
https://www.prizeably.org |
https://www.techniel.de |
https://www.doctrings.de |
https://www.prizegiveaway.net |
https://www.techniel.es |
https://www.doctrings.es |
https://www.prizegives.com |
https://www.techniel.fr |
https://www.doctrings.fr |
https://www.prizemons.com |
https://www.techniel.it |
https://www.doctrings.it |
https://www.prizesforall.com |
https://www.templateau.com |
https://www.doctrings.org |
https://www.prizewel.com |
https://www.templatent.com |
https://www.exportants.com |
https://www.prizewings.com |
https://www.templatern.com |
https://www.exportants.de |
https://www.resetts.de |
https://www.windocyte.com |
https://www.exportants.es |
https://www.resetts.es |
|
https://www.exportants.fr |
https://www.resetts.fr |
Obs!
Kontrollera tillgängligheten för den simulerade nätfiske-URL:en i dina webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Mer information finns i URL:er för nätfiskesimulering som blockeras av Googles säkra surfning.
Skapa simuleringar
Anvisningar om hur du skapar och startar simuleringar finns i Simulera en nätfiskeattack.
Landningssidan i simuleringen är den plats där användarna går när de öppnar nyttolasten. När du skapar en simulering väljer du den landningssida som ska användas. Du kan välja från inbyggda landningssidor, anpassade landningssidor som du redan har skapat eller skapa en ny landningssida som du kan använda när simuleringen skapas. Information om hur du skapar landningssidor finns i Landningssidor i Träning av attacksimulering.
Slutanvändarmeddelanden i simuleringen skickar periodiska påminnelser till användare (till exempel träningstilldelning och påminnelsemeddelanden). Du kan välja från inbyggda meddelanden, anpassade meddelanden som du redan har skapat eller skapa nya meddelanden som ska användas när simuleringen skapas. Information om hur du skapar meddelanden finns i Slutanvändarmeddelanden för träning av attacksimulering.
Tips
Simuleringsautomatiseringar ger följande förbättringar jämfört med traditionella simuleringar:
- Simuleringsautomatiseringar kan innehålla flera tekniker för social teknik och relaterade nyttolaster (simuleringar innehåller bara en).
- Simuleringsautomatiseringar stöder automatiska schemaläggningsalternativ (mer än bara startdatum och slutdatum i simuleringar).
Mer information finns i Simuleringsautomatiseringar för träning av attacksimulering.
Om du vill se vilka avdelningar som är mer sårbara för nätfiskesimuleringar skapar du identiska simuleringar eller simuleringsautomatiseringar som omfattas av avdelning och använder sedan tillgängliga rapporter för att jämföra resultaten.
Nyttolaster
Även om utbildning i attacksimulering innehåller många inbyggda nyttolaster för de tillgängliga teknikerna för social teknik, kan du skapa anpassade nyttolaster för att bättre passa dina affärsbehov, inklusive kopiering och anpassning av en befintlig nyttolast. Du kan skapa nyttolaster när som helst innan du skapar simuleringen eller när du skapar simuleringen. Information om hur du skapar nyttolaster finns i Skapa en anpassad nyttolast för träning av attacksimulering.
I simuleringar som använder tekniker för skörd av autentiseringsuppgifter eller länk i sociala tekniker för bifogade filer är inloggningssidor en del av nyttolasten som du väljer. Inloggningssidan är den webbsida där användarna anger sina autentiseringsuppgifter. Varje tillämplig nyttolast använder en standardinloggningssida, men du kan ändra inloggningssidan som används. Du kan välja från inbyggda inloggningssidor, anpassade inloggningssidor som du redan har skapat eller skapa en ny inloggningssida som du kan använda när simuleringen skapas eller nyttolasten skapas. Information om hur du skapar inloggningssidor finns i Inloggningssidor i Träning av attacksimulering.
Den bästa utbildningsupplevelsen för simulerade nätfiskemeddelanden är att göra dem så nära verkliga nätfiskeattacker som din organisation kan uppleva. Vad händer om du kan samla in och använda ofarliga versioner av verkliga nätfiskemeddelanden som har identifierats i Microsoft 365 och använda dem i simulerade nätfiskekampanjer? Du kan med nyttolastautomatiseringar (kallas även nyttolastskörd). Information om hur du skapar nyttolastautomatiseringar finns i Payload automations for Attack simulation training (Nyttolastautomatiseringar för träning av attacksimulering).
Träning av attacksimulering stöder även användning av QR-koder i nyttolaster. Du kan välja från listan över inbyggda QR-kodnyttolaster, eller så kan du skapa anpassade QR-kodnyttolaster. Mer information finns i QR-kodnyttolaster i träning av attacksimulering.
Rapporter och insikter
När du har skapat och starta simuleringen måste du se hur det går. Till exempel:
- Fick alla det?
- Vem har gjort vad med det simulerade nätfiskemeddelandet och nyttolasten i det (ta bort, rapportera, öppna nyttolasten, ange autentiseringsuppgifter osv.).
- Vem som slutförde den tilldelade utbildningen.
Tillgängliga rapporter och insikter för träning av attacksimulering beskrivs i Rapporter för träning av attacksimulering.
Förväntad kompromissfrekvens
Du behöver ofta skräddarsy en simulerad nätfiskekampanj för specifika målgrupper. Om nätfiskemeddelandet är för nära perfekt luras nästan alla av det. Om det är för misstänkt, luras ingen av det. Och de nätfiskemeddelanden som vissa användare anser vara svåra att identifiera anses vara lätta att identifiera av andra användare. Så hur gör man för att hitta en balans?
Den förväntade kompromissfrekvensen (PCR) anger den potentiella effektiviteten när nyttolasten används i en simulering. PCR använder intelligenta historiska data i Microsoft 365 för att förutsäga procentandelen personer som kommer att komprometteras av nyttolasten. Till exempel:
- Nyttolastinnehåll.
- Aggregerade och anonymiserade kompromissfrekvenser från andra simuleringar.
- Nyttolastmetadata.
Med PCR kan du jämföra de förutsagda och faktiska klickfrekvenserna för dina nätfiskesimuleringar. Du kan också använda dessa data för att se hur din organisation presterar jämfört med förutsagda resultat.
PCR-information för en nyttolast är tillgänglig oavsett var du visar och väljer nyttolaster, och i följande rapporter och insikter:
- Beteendepåverkan på kortet för intrångsfrekvens
- Fliken Träningseffekt för rapporten om attacksimulering
Tips
Attacksimulatorn använder säkra länkar i Defender för Office 365 för att på ett säkert sätt spåra klickdata för URL:en i nyttolastmeddelandet som skickas till målmottagare av en nätfiskekampanj, även om inställningen Spåra användare klickar i Principer för säkra länkar är inaktiverad.
Träning utan trick
Traditionella nätfiskesimuleringar presenterar användare med misstänkta meddelanden och följande mål:
- Få användarna att rapportera meddelandet som misstänkt.
- Tillhandahåll utbildning när användarna klickar på eller startar den simulerade skadliga nyttolasten och ger upp sina autentiseringsuppgifter.
Men ibland vill du inte vänta på att användarna ska vidta korrekta eller felaktiga åtgärder innan du ger dem utbildning. Träning av attacksimulering innehåller följande funktioner för att hoppa över väntan och gå direkt till träning:
Utbildningskampanjer: En utbildningskampanj är ett utbildningsuppdrag för målanvändare. Du kan tilldela utbildning direkt utan att sätta användarna i test av en simulering. Utbildningskampanjer gör det enkelt att genomföra utbildningssessioner som månatlig utbildning om cybersäkerhetsmedvetenhet. Mer information finns i Utbildningskampanjer i Träning av attacksimulering.
Tips
Utbildningsmoduler används i utbildningskampanjer, men du kan också använda träningsmoduler när du tilldelar utbildning i regelbundna simuleringar.
Instruktioner i simuleringar: Simuleringar som baseras på instruktioner för social teknik försöker inte testa användare. En instruktioner-guide är en enkel inlärningsupplevelse som användarna kan visa direkt i inkorgen. Följande inbyggda instruktionsguidenyttolaster är till exempel tillgängliga och du kan skapa egna (inklusive kopiering och anpassning av en befintlig nyttolast):
- Undervisningsguide: Så här rapporterar du nätfiskemeddelanden
- Undervisningsguide: Så här identifierar och rapporterar du QR-nätfiskemeddelanden
Tips
Träning av attacksimulering innehåller följande inbyggda utbildningsalternativ för QR-kodbaserade attacker:
- Utbildningsmoduler:
- Skadliga digitala QR-koder
- Skadliga utskrivna QR-koder
- Instruktioner i simuleringar: Undervisningsguide: Så här identifierar och rapporterar du QR-nätfiskemeddelanden