Automatizaciones de cargas útiles para Entrenamiento de simulación de ataque
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En Entrenamiento de simulación de ataque en Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2, las automatizaciones de carga útil (también conocidas como recopilación de carga) recopilan información de ataques de suplantación de identidad (phishing) del mundo real notificados por los usuarios en su organización. Puede especificar las condiciones que se deben buscar en los ataques de suplantación de identidad (por ejemplo, destinatarios, técnica de ingeniería social o información del remitente).
La automatización de la carga imita los mensajes y las cargas del ataque y los almacena como cargas personalizadas con identificadores en el nombre de la carga. A continuación, puede usar las cargas cosechadas en simulaciones o automatizaciones para iniciar automáticamente simulaciones inofensivas para los usuarios de destino.
Para obtener más información sobre cómo se recopilan las automatizaciones de carga, consulte la sección Apéndice al final de este artículo.
Para obtener información de introducción sobre Entrenamiento de simulación de ataque, consulte Introducción al uso de Entrenamiento de simulación de ataque.
Para ver las automatizaciones de carga existentes que ha creado, abra el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & pestaña >colaboración>Entrenamiento de simulación de ataque>Automations y, a continuación, seleccione Automatizaciones de carga. Para ir directamente a la pestaña Automatizaciones , donde puede seleccionar Automatizaciones de carga, use https://security.microsoft.com/attacksimulator?viewid=automations.
Se muestra la siguiente información para cada automatización de carga. Puede ordenar las automatizaciones de carga haciendo clic en un encabezado de columna disponible.
- Nombre de automation
- Tipo: el valor es Payload.
- Elementos recopilados
- Última modificación
- Estado: el valor es Listo o Borrador.
Sugerencia
Para ver todas las columnas, es probable que deba realizar uno o varios de los pasos siguientes:
- Desplácese horizontalmente en el explorador web.
- Acote el ancho de las columnas adecuadas.
- Quite las columnas de la vista.
- Alejar en el explorador web.
Creación de automatizaciones de carga
Para crear una automatización de carga, siga estos pasos:
En el portal de Microsoft Defender en https://security.microsoft.com/, vaya a Email & colaboración>Entrenamiento de simulación de ataque> pestaña >Automatizaciones de carga. Para ir directamente a la pestaña Automatizaciones , donde puede seleccionar Automatizaciones de carga, use https://security.microsoft.com/attacksimulator?viewid=automations.
En la página Automatizaciones de carga , seleccione Crear automatización para iniciar el asistente para la automatización de carga.
Nota:
En cualquier momento después de asignar un nombre a la automatización de carga durante el nuevo asistente de automatización de carga, puede seleccionar Guardar y cerrar para guardar el progreso y continuar configurando la automatización de carga más adelante. La automatización de carga incompleta tiene el valor De estadoBorrador en Automatizaciones de carga en la pestaña Automatizaciones . Para seleccionar dónde lo dejó, seleccione la automatización de la carga útil y haga clic en Editar automatización.
Actualmente, la recolección de cargas no está habilitada en entornos de GCC debido a restricciones de recopilación de datos.
En la página Nombre de Automation , configure los siguientes valores:
- Nombre: escriba un nombre descriptivo único para la automatización de carga.
- Descripción: escriba una descripción detallada opcional para la automatización de la carga.
Cuando haya terminado en la página Nombre de Automation , seleccione Siguiente.
En la página Condiciones de ejecución , seleccione las condiciones del ataque de suplantación de identidad real que determina cuándo se ejecuta la automatización.
Seleccione Agregar condición y, a continuación, seleccione una de las condiciones siguientes:
- No. de los usuarios a los que se dirige la campaña: en los cuadros que aparecen, configure los siguientes valores:
- Igual que, Menor que, Mayor que, Menor o igual que, o Mayor o igual que.
- Valor de entrada: el número de usuarios a los que se ha dirigido la campaña de suplantación de identidad (phishing).
-
Campañas con una técnica de phish específica: en el cuadro que aparece, seleccione uno de los valores disponibles:
- Cosecha de credenciales
- Datos adjuntos de malware
- Vínculo en datos adjuntos
- Vínculo a Malware
- Guía paso a paso
- Dominio de remitente específico: en el cuadro que aparece, escriba un valor de dominio de correo electrónico del remitente (por ejemplo, contoso.com).
- Nombre de remitente específico: en el cuadro que aparece, escriba un valor de nombre de remitente.
- Correo electrónico de remitente específico: en el cuadro que aparece, escriba una dirección de correo electrónico del remitente.
- Destinatarios de usuarios y grupos específicos: en el cuadro que aparece, empiece a escribir el nombre o la dirección de correo electrónico del usuario o grupo. Cuando aparezca, selecciónelo.
Puede usar cada condición solo una vez. Varias condiciones usan lógica AND (<Condición1> y <Condición2>).
Para agregar otra condición, seleccione Agregar condición.
Para quitar una condición después de agregarla, seleccione .
Cuando haya terminado en la página Condiciones de ejecución , seleccione Siguiente.
- No. de los usuarios a los que se dirige la campaña: en los cuadros que aparecen, configure los siguientes valores:
En la página Revisar automatización , puede revisar los detalles de la automatización de la carga.
Puede seleccionar Editar en cada sección para modificar la configuración dentro de la sección. O bien, puede seleccionar Atrás o la página específica en el asistente.
Cuando haya terminado en la página Revisar automatización , seleccione Enviar.
En la página Nueva automatización creada , puede usar los vínculos para activar la automatización de carga o ir a la página Simulaciones .
Cuando haya terminado, seleccione Listo.
De nuevo en Automatizaciones de carga en la pestaña Automatizaciones , la automatización de carga que creó aparece ahora con el valor Estadolisto.
Activar o desactivar las automatizaciones de carga
Puede activar o desactivar las automatizaciones de carga con el valor Estadolisto. No se pueden activar ni desactivar automatizaciones de carga incompletas con el valor De estadoBorrador.
Para activar una automatización de carga, selecciónela en la lista haciendo clic en la casilla situada junto al nombre. Seleccione la acción Activar que aparece y, a continuación, seleccione Confirmar en el cuadro de diálogo.
Para desactivar una automatización de carga, selecciónela en la lista haciendo clic en la casilla situada junto al nombre. Seleccione la acción Desactivar que aparece y, a continuación, seleccione Confirmar en el cuadro de diálogo.
Modificación de automatizaciones de carga
Solo puede modificar las automatizaciones de carga con el valor EstadoBorrador o que estén desactivadas.
Para modificar una automatización de carga existente en la página Automatizaciones de carga, realice uno de los pasos siguientes:
- Seleccione la automatización de carga de la lista seleccionando la casilla situada junto al nombre. Seleccione la acción Editar automatización que aparece.
- Seleccione la automatización de carga de la lista haciendo clic en cualquier lugar de la fila excepto en la casilla. En el control flotante de detalles que se abre, en la pestaña General , seleccione Editar en las secciones Nombre, Descripción o Condiciones de ejecución .
El asistente para automatización de carga se abre con la configuración y los valores de la automatización de carga seleccionada. Los pasos son los mismos que se describen en la sección Crear automatizaciones de carga .
Eliminación de automatizaciones de carga
Para quitar una automatización de carga, seleccione la automatización de carga de la lista haciendo clic en la casilla. Seleccione la acción Eliminar que aparece y, a continuación, seleccione Confirmar en el cuadro de diálogo.
Visualización de los detalles de la automatización de carga
Para las automatizaciones de carga con el valor EstadoListo, seleccione la carga en la página Automatizaciones de carga haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre. El control flotante de detalles que se abre contiene la siguiente información:
El nombre de la automatización de carga y el número de elementos recopilados.
Pestaña General :
- Última modificación
- Tipo: el valor es Payload.
- Secciones Nombre, Descripción y Condiciones de ejecución : seleccione Editar para abrir el Asistente para automatización de carga en la página relacionada.
Pestaña Historial de ejecución : esta pestaña solo está disponible para las automatizaciones de carga con el valor Estadolisto.
Muestra información sobre el historial de ejecución de simulaciones que usaron la automatización de carga.
Sugerencia
Para ver detalles sobre otras automatizaciones de carga sin salir del control flotante de detalles, use el elemento Anterior y el elemento Siguiente en la parte superior del control flotante.
Apéndice
La automatización de la carga se basa en mensajes de correo electrónico identificados como campañas por Defender para Office 365:
Los administradores que marcan los mensajes como suplantación de identidad (phishing ) no dan lugar a la recopilación de carga.
La automatización de la carga requiere acceso a la carga sin procesar, que puede incluir mensajes notificados por el usuario que cumplen los criterios siguientes:
- El mensaje se entregó en la Bandeja de entrada (falso negativo).
- El usuario notificó el mensaje como phishing.
- El mensaje notificado se envió a Microsoft (directamente por el usuario o por un administrador desde el portal envíos) y Microsoft determinó que el mensaje era phishing.
Las cargas válidas se recopilan si los mensajes cumplen los criterios de la automatización de carga, como se describió anteriormente en este artículo (paso 4 en Creación de automatizaciones de carga).
Vínculos relacionados
Introducción al uso de aprendizaje de simulación de ataques
Automatizaciones de simulación para Entrenamiento de simulación de ataque
Obtenga información a través de la formación de simulación de ataques