Hyökkäyssimulaatiokoulutuksen käytön aloittaminen

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 2

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Organisaatioissa, joissa on Microsoft Defender for Office 365 palvelupaketti 2 (lisäosien käyttöoikeudet tai sisältyvät esimerkiksi Microsoft 365 E5 tilauksiin), voit käyttää Hyökkäyssimulaatiokoulutus Microsoft Defender -portaalissa voit suorittaa realistisia hyökkäystilanteita organisaatiossasi. Nämä simuloidut hyökkäykset voivat auttaa tunnistamaan ja löytämään haavoittuvassa asemassa olevia käyttäjiä, ennen kuin todellinen hyökkäys vaikuttaa tulokseen.

Tässä artikkelissa kerrotaan Hyökkäyssimulaatiokoulutus perusteista.

Katso tästä lyhyestä videosta lisätietoja Hyökkäyssimulaatiokoulutus.

Huomautus

Hyökkäyssimulaatiokoulutus korvaa vanhan Attack Simulator v1 -käyttökokemuksen, joka oli saatavilla tietoturva- & yhteensopivuuskeskuksessa threat management>attack -simulaattorissa tai https://protection.office.com/attacksimulator.

Mitä on hyvä tietää ennen aloittamista?

• Hyökkäyssimulaatiokoulutus edellyttää Microsoft 365 E5- tai Microsoft Defender for Office 365 palvelupaketin 2 käyttöoikeutta. Lisätietoja käyttöoikeusvaatimuksista on kohdassa Käyttöoikeusehdot.

• Hyökkäyssimulaatiokoulutus tukee paikallisia postilaatikoita, mutta toimintoja on rajoitettu. Lisätietoja on artikkelissa Paikallisten postilaatikoiden raportointiongelmat.

• Jos haluat avata Microsoft Defender portaalin, siirry osoitteeseen https://security.microsoft.com. Hyökkäyssimulaatiokoulutus on saatavilla kohdassa Sähköposti ja yhteistyö>Hyökkäyssimulaatiokoulutus. Jos haluat siirtyä suoraan Hyökkäyssimulaatiokoulutus, käytä -parametriahttps://security.microsoft.com/attacksimulator.

• Lisätietoja Hyökkäyssimulaatiokoulutus saatavuudesta eri Microsoft 365 -tilauksissa artikkelista Microsoft Defender for Office 365 palvelun kuvaus.

• Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

  • Microsoft Entra käyttöoikeudet: Tarvitset jäsenyyden jossakin seuraavista rooleista:

    • Yleinen järjestelmänvalvoja 1
    • Suojauksen järjestelmänvalvoja
    • Hyökkäyssimulaatioiden järjestelmänvalvojat²: Luo ja hallitse hyökkäyssimulaatiokampanjoiden kaikkia ominaisuuksia.
    • Attack Payload Author²: Luo hyökkäyskuormat, jotka järjestelmänvalvoja voi käynnistää myöhemmin.

    Tärkeää

    ¹ Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

    ² Käyttäjien lisäämistä tähän rooliryhmään sähköpostin & yhteiskäyttöoikeuksia Microsoft Defender portaalissa ei tällä hetkellä tueta.

    Tällä hetkellä Microsoft Defender XDR RBAC (Unified Role Based Access Control) -hallintaa ei tueta.

• vastaavia PowerShellin cmdlet-komentoja ei ole Hyökkäyssimulaatiokoulutus varten.

• Hyökkäyssimulaatioon ja koulutukseen liittyvät tiedot tallennetaan muiden Microsoft 365 -palveluiden asiakastietojen kanssa. Lisätietoja on artikkelissa Microsoft 365 -tietojen sijainnit. Hyökkäyssimulaatiokoulutus on saatavilla seuraavilla alueilla: APC, EUR ja NAM. Näillä alueilla sijaitsevia maita, joissa Hyökkäyssimulaatiokoulutus saatavilla, ovat ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, NZL, POL, QAT, SGP, SWE, TWN ja ZAF.

  Huomautus

  NOR, ZAF, ARE ja DEU ovat uusimpia lisäyksiä. Kaikki ominaisuudet, lukuun ottamatta ilmoitettuja sähköpostitelemetriatietoja, ovat käytettävissä näillä alueilla. Pyrimme ottamaan ominaisuudet käyttöön ja ilmoitamme asiakkaille heti, kun ilmoitettu sähköpostitelemetria tulee saataville.

• Hyökkäyssimulaatiokoulutus on saatavilla Microsoft 365 GCC-, GCC High- ja DoD-ympäristöissä, mutta tietyt edistyneet ominaisuudet eivät ole käytettävissä GCC High- ja DoD-ympäristöissä (esimerkiksi hyötykuorman automatisointi, suositellut hyötykuormat, ennustettu vaarantunut nopeus). Jos organisaatiossasi on Microsoft 365 G5, Office 365 G5 tai Microsoft Defender for Office 365 (palvelupaketti 2) valtionhallinnolle, voit käyttää Hyökkäyssimulaatiokoulutus tässä artikkelissa kuvatulla tavalla.

Huomautus

Hyökkäyssimulaatiokoulutus tarjoaa E3-asiakkaille alijoukon ominaisuuksia kokeiluversiona. Kokeiluversiotarjous sisältää mahdollisuuden käyttää tunnistetietojen sadonkorjuun hyötykuormaa ja mahdollisuuden valita ISA-tietojenkalastelu- tai joukkomarkkinoiden tietojenkalastelukoulutuskokemuksia. Mikään muu ominaisuus ei ole osa E3-kokeiluversiotarjousta.

Simulaatiot

Hyökkäyssimulaatiokoulutus simulointi on yleinen kampanja, joka toimittaa käyttäjille realistisia mutta vaarattomia tietojenkalasteluviestejä. Simuloinnin peruselementit ovat seuraavat:

• Kuka saa simuloidun tietojenkalasteluviestin ja millä aikataululla.
• Koulutus, jonka käyttäjät saavat simuloidun tietojenkalasteluviestin toiminnon tai toiminnon puuttumisen perusteella (sekä oikeille että virheellisille toimille).
• Tiedot, joita käytetään simuloidussa tietojenkalasteluviestissä (linkki tai liite) ja tietojenkalasteluviestin koostumus (esimerkiksi toimitettu paketti, tilisi ongelma tai voitit palkinnon).
• Käytetty sosiaalinen tekniikka . Hyötykuorma ja sosiaalinen suunnittelutekniikka liittyvät läheisesti toisiinsa.

Hyökkäyssimulaatiokoulutus on saatavilla useita erilaisia sosiaalisen suunnittelun tekniikoita. Ohjeopasta lukuun ottamatta nämä tekniikat kuratoitiin MITRE ATT&CK® -kehyksestä. Eri hyötykuormat ovat saatavilla eri tekniikoille.

Saatavilla ovat seuraavat sosiaalisen suunnittelun tekniikat:

• Tunnistetietojen kerääminen: Hyökkääjä lähettää vastaanottajalle linkin^* sisältävän viestin. Kun vastaanottaja napsauttaa linkkiä, hänet viedään verkkosivustoon, jossa näkyy yleensä valintaikkuna, jossa käyttäjältä kysytään käyttäjänimeä ja salasanaa. Yleensä kohdesivu on teema, joka edustaa tunnettua verkkosivustoa, jotta käyttäjään voidaan luottaa.

• Haittaohjelmaliite: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää liitteen. Kun vastaanottaja avaa liitteen, käyttäjän laitteessa suoritetaan mielivaltainen koodi (esimerkiksi makro), joka auttaa hyökkääjää asentamaan lisäkoodia tai pitämään itse lisäasennuksen.

• Linkki liitteenä: Tämä tekniikka on tunnistetietojen keräämisen yhdistelmä. Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää linkin liitteen sisällä. Kun vastaanottaja avaa liitteen ja napsauttaa linkkiä, hänet viedään verkkosivustoon, jossa näkyy yleensä valintaikkuna, jossa käyttäjältä kysytään käyttäjänimeä ja salasanaa. Yleensä kohdesivu on teema, joka edustaa tunnettua verkkosivustoa, jotta käyttäjään voidaan luottaa.

• Linkki haittaohjelmistoon^*: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää linkin liitetiedostoon tunnetulla tiedostojen jakamisen sivustolla (esimerkiksi SharePoint Online tai Dropbox). Kun vastaanottaja napsauttaa linkkiä, liite avautuu ja käyttäjän laitteessa suoritetaan mielivaltainen koodi (esimerkiksi makro), joka auttaa hyökkääjää asentamaan lisäkoodia tai vakiinnuttamaan itsensä.

• Drive-by-URL^*: Hyökkääjä lähettää vastaanottajalle linkin sisältävän viestin. Kun vastaanottaja napsauttaa linkkiä, hänet viedään verkkosivustoon, joka yrittää suorittaa taustakoodia. Tämä taustakoodi yrittää kerätä tietoja vastaanottajasta tai ottaa mielivaltaisen koodin käyttöön laitteessa. Yleensä kohdesivusto on tunnettu verkkosivusto, joka on vaarantunut, tai tunnetun verkkosivuston klooni. Sivuston tunteminen auttaa vakuuttamaan käyttäjän siitä, että linkkiä on turvallista napsauttaa. Tätä tekniikkaa kutsutaan myös kastelureikähyökkäykseksi.

• OAuth-suostumuksen myöntäminen^*: Hyökkääjä luo pahantahtoisen Azure-sovelluksen, joka pyrkii käyttämään tietoja. Sovellus lähettää sähköpostipyynnön, joka sisältää linkin. Kun vastaanottaja napsauttaa linkkiä, sovelluksen suostumusavustusmekanismi pyytää tietojen käyttöä (esimerkiksi käyttäjän Saapuneet-kansio).

• Toimintaohje: Opetusopas, joka sisältää ohjeita käyttäjille (esimerkiksi tietojenkalasteluviestien raportoimiseen).

^* Linkki voi olla URL-osoite tai QR-koodi.

Hyökkäyssimulaatiokoulutus käyttämät URL-osoitteet on lueteltu seuraavassa taulukossa:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Huomautus

Tarkista simuloidun tietojenkalastelun URL-osoitteen saatavuus tuetuissa verkkoselaimissa, ennen kuin käytät URL-osoitetta tietojenkalastelukampanjassa. Lisätietoja on artikkelissa Tietojenkalastelusimulaatioiden URL-osoitteet, jotka Google Safe Browsing on estänyt.

Simulaatioiden luominen

Katso ohjeet simulaatioiden luomiseen ja käynnistämiseen artikkelista Tietojenkalasteluhyökkäyksen simulointi.

Simulaation aloitussivulle käyttäjät menevät avatessaan hyötykuorman. Kun luot simulaation, valitset käytettävän aloitussivun. Voit valita valmiita aloitussivuja, mukautettuja aloitussivuja, jotka olet jo luonut, tai voit luoda uuden aloitussivun käytettäväksi simuloinnin luonnin aikana. Jos haluat luoda aloitussivuja, katso Hyökkäyssimulaatiokoulutus aloitussivut.

Simuloinnissa olevat loppukäyttäjän ilmoitukset lähettävät käyttäjille säännöllisiä muistutuksia (esimerkiksi harjoitustehtävät ja muistutusilmoitukset). Voit valita sisäisistä ilmoituksista, jo luomistasi mukautetuista ilmoituksista tai voit luoda uusia ilmoituksia käytettäväksi simuloinnin luomisen aikana. Jos haluat luoda ilmoituksia, katso loppukäyttäjän ilmoitukset Hyökkäyssimulaatiokoulutus.

Vihje

Simulointiautomaatio tarjoaa seuraavat parannukset perinteisiin simulointeihin nähden:

• Simulointiautomaatio voi sisältää useita sosiaalisen suunnittelun tekniikoita ja niihin liittyviä hyötykuormia (simuloinnit sisältävät vain yhden).
• Simulointiautomaatio tukee automaattisia ajoitusvaihtoehtoja (enemmän kuin vain alkamis- ja päättymispäivämäärää simuloinneissa).

Lisätietoja on artikkelissa Hyökkäyssimulaatiokoulutus simulointiautomaatio.

Payloads

Vaikka Hyökkäyssimulaatiokoulutus sisältää monia valmiita hyötykuormia käytettävissä oleville sosiaalisen suunnittelun tekniikoille, voit luoda mukautettuja hyötykuormia, jotka sopivat paremmin yrityksesi tarpeisiin, mukaan lukien olemassa olevien hyötykuorman kopiointi ja mukauttaminen. Voit luoda hyötykuormat milloin tahansa ennen simuloinnin luomista tai simuloinnin luomisen aikana. Jos haluat luoda hyötykuormat, katso Mukautetun hyötykuorman luominen Hyökkäyssimulaatiokoulutus varten.

Simulaatioissa, jotka käyttävät tunnistetietojen korjuuta tai linkkiä liitetiedostojen sosiaalisen suunnittelun tekniikoissa, kirjautumissivut ovat osa valitsemaasi hyötykuormaa. Kirjautumissivu on verkkosivu, jolla käyttäjät syöttävät tunnistetietonsa. Jokainen käytettävissä oleva hyötykuorma käyttää oletuskirjautumissivua, mutta voit muuttaa käytettyä kirjautumissivua. Voit valita sisäänrakennettuja kirjautumissivuja, mukautettuja kirjautumissivuja, jotka olet jo luonut, tai voit luoda uuden kirjautumissivun, jota käytetään simuloinnin tai hyötykuorman luonnin aikana. Jos haluat luoda kirjautumissivuja, katso Hyökkäyssimulaatiokoulutus kirjautumissivut.

Simuloitujen tietojenkalasteluviestien paras koulutuskokemus on tehdä niistä mahdollisimman lähellä organisaatiosi mahdollisesti kohtaamia tietojenkalasteluhyökkäyksiä. Entä jos voisit siepata ja käyttää microsoft 365:ssä havaittujen reaalimaailman tietojenkalasteluviestien harmittomia versioita ja käyttää niitä simuloiduissa tietojenkalastelukampanjoissa? Voit hyödyntää hyötykuorman automaatioita (kutsutaan myös hyötykuorman sadonkorjuuksi). Jos haluat luoda hyötykuorma-automaatioita, katso Hyökkäyssimulaatiokoulutus tietojen automaatiot.

Hyökkäyssimulaatiokoulutus tukee myös QR-koodien käyttämistä hyötykuormissa. Voit valita valmiiden QR-kooditietojen luettelosta tai voit luoda mukautettuja QR-koodin hyötykuormia. Lisätietoja on artikkelissa QR-koodin tiedot Hyökkäyssimulaatiokoulutus.

Raportit ja merkitykselliset tiedot

Kun olet luonut ja käynnistänut simulaation, sinun on nähtävä, miten se menee. Esimerkki:

• Saivatko kaikki sen?
• Kuka teki mitä simuloidulle tietojenkalasteluviestille ja sen sisältämälle tietomäärälle (poista, ilmoita, avaa tiedot, anna tunnistetiedot jne.).
• Kuka suoritti määritetyn koulutuksen.

Hyökkäyssimulaatiokoulutus saatavilla olevat raportit ja merkitykselliset tiedot on kuvattu artikkelissa Hyökkäyssimulaatiokoulutus merkitykselliset tiedot ja raportit.

Ennustettu kompromissiprosentti

Simuloitua tietojenkalastelukampanjaa on usein räätälöitävä tietyille yleisöille. Jos tietojenkalasteluviesti on liian lähellä täydellistä, se huijaa lähes kaikkia. Jos se on liian epäilyttävää, se huijaa häntä. Lisäksi tietojenkalasteluviestejä, joita joidenkin käyttäjien on vaikea tunnistaa, pidetään muiden käyttäjien helppoina tunnistaa. Miten siis saavutat tasapainon?

Ennustettu vaarantumisaste (PCR) ilmaisee mahdollisen tehokkuuden, kun hyötykuormaa käytetään simuloinnissa. PcR käyttää Microsoft 365:n älykkäitä historiallisia tietoja ennustaakseen niiden ihmisten prosenttiosuuden, jotka hyötykuormat vaarantavat. Esimerkki:

• Tietojen sisältö.
• Koostetut ja nimettömät kompromissinopeudet muista simulaatioista.
• Tietojen metatiedot.

PCR:n avulla voit verrata tietojenkalastelusimulaatioiden ennustettuja ja todellisia napsautusnopeuksia. Näiden tietojen avulla voit myös nähdä, miten organisaatiosi suoriutuu ennustettuihin tuloksiin verrattuna.

Hyötykuorman PCR-tiedot ovat käytettävissä aina, kun tarkastelet ja valitset hyötykuormat sekä seuraavissa raporteissa ja merkityksellisissä tiedoissa:

• Käyttäytyminen vaikuttaa kompromissiprosenttikorttiin
• Hyökkäyssimulaatioraportin tehon harjoittamisen välilehti

Vihje

Attack Simulator käyttää Defender for Office 365 Turvallisia linkkejä seuratakseen turvallisesti URL-osoitteen napsautustietoja tietojenkalastelukampanjan kohdennetuille vastaanottajille lähetetyssä hyötykuormaviestissä, vaikka Seuraa käyttäjän napsautuksia -asetus Turvalliset linkit -käytännöissä olisi poistettu käytöstä.

Harjoittelu ilman temppuja

Perinteiset tietojenkalastelusimulaatiot esittävät käyttäjille epäilyttäviä viestejä ja seuraavat tavoitteet:

• Hanki käyttäjät ilmoittamaan viestistä epäilyttäväksi.
• Anna koulutusta sen jälkeen, kun käyttäjä napsauttaa tai käynnistää simuloidun haitallisen hyötykuorman ja antaa tunnistetietonsa.

Joskus et kuitenkaan halua odottaa, että käyttäjät ryhtyvät oikeiden tai virheellisten toimien tekoihin, ennen kuin annat heille koulutusta. Hyökkäyssimulaatiokoulutus tarjoaa seuraavat ominaisuudet, joiden avulla voit ohittaa odotuksen ja siirtyä suoraan koulutukseen:

• Koulutuskampanjat: Koulutuskampanja on vain koulutustehtävä kohdennetuille käyttäjille. Voit määrittää koulutuksen suoraan ilman, että käyttäjät testataan simulointia. Koulutuskampanjoiden avulla on helppo järjestää oppimisistuntoja, kuten kuukausittaista kyberturvallisuustietoisuuskoulutusta. Lisätietoja on artikkelissa Kampanjoiden harjoittaminen Hyökkäyssimulaatiokoulutus.

  Vihje

  Harjoitusmoduuleja käytetään koulutuskampanjoissa, mutta voit myös käyttää koulutusmoduuleja, kun määrität koulutusta säännöllisissä simulaatioissa.

• Toimintaohjeet simulaatioissa: Sosiaalisen suunnittelun ohjetekniikkaan perustuvat simulaatiot eivät yritä testata käyttäjiä. Toimintaohje on kevyt oppimiskokemus, jota käyttäjät voivat tarkastella suoraan Saapuneet-kansiossaan. Saatavilla ovat esimerkiksi seuraavat sisäiset ohjetiedot , ja voit luoda omasi (mukaan lukien olemassa olevien tietojen kopiointi ja mukauttaminen):

  • Opetusopas: Tietojenkalasteluviestien raportointi
  • Opetusopas: QR-tietojenkalasteluviestien tunnistaminen ja raportoiminen

Vihje

Hyökkäyssimulaatiokoulutus tarjoaa seuraavat sisäiset harjoitusvaihtoehdot QR-koodipohjaisille hyökkäyksille:

• Koulutusmoduulit:
  • Haitalliset digitaaliset QR-koodit
  • Pahantahtoiset tulostetut QR-koodit
• Simulaatioiden toimintaohjeet: Opetusopas: Miten tunnistaa ja raportoida QR-tietojenkalasteluviestejä