Wprowadzenie do szkolenia z symulacji ataku
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
W organizacjach z planem Ochrona usługi Office 365 w usłudze Microsoft Defender 2 (licencjami dodatków lub subskrypcjami, takimi jak Microsoft 365 E5), możesz użyć Szkolenie z symulacji ataków w Microsoft Defender portal do uruchamiania realistycznych scenariuszy ataków w organizacji. Te symulowane ataki mogą pomóc w zidentyfikowaniu i znalezieniu narażonych użytkowników, zanim rzeczywisty atak wpłynie na wyniki finansowe.
W tym artykule wyjaśniono podstawy Szkolenie z symulacji ataków.
Obejrzyj ten krótki film wideo, aby dowiedzieć się więcej o Szkolenie z symulacji ataków.
Uwaga
Szkolenie z symulacji ataków zastępuje stare środowisko symulatora ataków w wersji 1, które było dostępne w Centrum zgodności & zabezpieczeń wsymulatorze atakówzarządzania zagrożeniami> lub https://protection.office.com/attacksimulator.
Co należy wiedzieć przed rozpoczęciem?
Szkolenie z symulacji ataków wymaga licencji Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2. Aby uzyskać więcej informacji na temat wymagań licencyjnych, zobacz Postanowienia licencyjne.
Szkolenie z symulacji ataków obsługuje lokalne skrzynki pocztowe, ale z ograniczoną funkcjonalnością raportowania. Aby uzyskać więcej informacji, zobacz Raportowanie problemów z lokalnymi skrzynkami pocztowymi.
Aby otworzyć portal Microsoft Defender, przejdź do strony https://security.microsoft.com. Szkolenie z symulacji ataków jest dostępna w Email i współpracy>Szkolenie z symulacji ataków. Aby przejść bezpośrednio do Szkolenie z symulacji ataków, użyj polecenia https://security.microsoft.com/attacksimulator.
Aby uzyskać więcej informacji na temat dostępności Szkolenie z symulacji ataków w różnych subskrypcjach platformy Microsoft 365, zobacz opis usługi Ochrona usługi Office 365 w usłudze Microsoft Defender.
Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:
uprawnienia Microsoft Entra: potrzebne jest członkostwo w jednej z następujących ról:
- Administrator globalny¹
- Administrator zabezpieczeń
- Administratorzy symulacji ataków²: tworzenie wszystkich aspektów kampanii symulacji ataków i zarządzanie nimi.
- Attack Payload Author²: Tworzenie ładunków ataku, które administrator może zainicjować później.
Ważna
¹ Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
² Dodawanie użytkowników do tej grupy ról w Email & uprawnienia do współpracy w portalu Microsoft Defender jest obecnie nieobsługiwany.
Obecnie Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) nie jest obsługiwana.
Brak odpowiednich poleceń cmdlet programu PowerShell dla Szkolenie z symulacji ataków.
Dane dotyczące symulacji ataków i trenowania są przechowywane z innymi danymi klientów dla usług platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Lokalizacje danych platformy Microsoft 365. Szkolenie z symulacji ataków jest dostępna w następujących regionach: APC, EUR i NAM. Kraje w tych regionach, w których jest dostępna Szkolenie z symulacji ataków, to ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, NZL, POL, QAT, SGP, SWE, TWN i ZAF.
Uwaga
NOR, ZAF, ARE i DEU są najnowszymi dodatkami. Wszystkie funkcje z wyjątkiem zgłoszonych danych telemetrycznych poczty e-mail są dostępne w tych regionach. Pracujemy nad włączeniem funkcji i powiadomimy klientów, gdy tylko będą dostępne zgłoszone dane telemetryczne poczty e-mail.
Szkolenie z symulacji ataków jest dostępna w środowiskach Microsoft 365 GCC, GCC High i DoD, ale niektóre zaawansowane funkcje nie są dostępne w usługach GCC High i DoD (na przykład automatyzacja ładunków, zalecane ładunki, przewidywana szybkość naruszenia zabezpieczeń). Jeśli Twoja organizacja ma platformę Microsoft 365 G5, Office 365 G5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 2) dla instytucji rządowych, możesz użyć Szkolenie z symulacji ataków zgodnie z opisem w tym artykule.
Uwaga
Szkolenie z symulacji ataków oferuje klientom E3 podzestaw możliwości w ramach wersji próbnej. Oferta wersji próbnej zawiera możliwość korzystania z ładunku Credential Harvest oraz możliwość wybierania środowisk szkoleniowych "ISA Phishing" lub "Mass Market Phishing". Żadne inne możliwości nie są częścią oferty wersji próbnej E3.
Symulacje
Symulacja w Szkolenie z symulacji ataków to ogólna kampania, która dostarcza użytkownikom realistyczne, ale nieszkodliwe wiadomości wyłudzające informacje. Podstawowe elementy symulacji to:
- Kto otrzymuje symulowaną wiadomość wyłudzającą informacje i w jakim harmonogramie.
- Trenowanie, które użytkownicy uzyskują na podstawie akcji lub braku akcji (zarówno w przypadku prawidłowych, jak i niepoprawnych akcji) w symulowanym komunikacie wyłudzania informacji.
- Ładunek używany w symulowanej wiadomości wyłudzającej informacje (link lub załącznik) oraz skład wiadomości wyłudzającej informacje (na przykład dostarczona paczka, problem z kontem lub wygrana nagrody).
- Używana technika inżynierii społecznej . Ładunek i technika inżynierii społecznej są ściśle ze sobą powiązane.
W Szkolenie z symulacji ataków dostępnych jest wiele rodzajów technik inżynierii społecznej. Z wyjątkiem przewodnika z instrukcjami, techniki te zostały wyselekcjonowane w ramach programu MITRE ATT&CK®. Różne ładunki są dostępne dla różnych technik.
Dostępne są następujące techniki inżynierii społecznej:
Zbieranie poświadczeń: osoba atakująca wysyła adresatowi wiadomość zawierającą link*. Gdy adresat kliknie link, zostanie przekierowany do witryny internetowej, w której zwykle jest wyświetlane okno dialogowe z monitem o podanie nazwy użytkownika i hasła. Zazwyczaj strona docelowa ma tematykę reprezentującą dobrze znaną witrynę internetową w celu budowania zaufania do użytkownika.
Załącznik złośliwego oprogramowania: osoba atakująca wysyła adresatowi wiadomość zawierającą załącznik. Gdy odbiorca otworzy załącznik, dowolny kod (na przykład makro) zostanie uruchomiony na urządzeniu użytkownika, aby ułatwić osobie atakującej zainstalowanie dodatkowego kodu lub dalsze umocnienie się.
Link w załączniku: ta technika jest hybrydą zbioru poświadczeń. Osoba atakująca wysyła adresatowi wiadomość zawierającą link wewnątrz załącznika. Gdy odbiorca otworzy załącznik i kliknie link, zostanie on przekierowany do witryny internetowej, w której zwykle jest wyświetlane okno dialogowe z monitem o podanie nazwy użytkownika i hasła. Zazwyczaj strona docelowa ma tematykę reprezentującą dobrze znaną witrynę internetową w celu budowania zaufania do użytkownika.
Link do złośliwego oprogramowania*: osoba atakująca wysyła adresatowi wiadomość zawierającą link do załącznika w dobrze znanej witrynie do udostępniania plików (na przykład SharePoint Online lub Dropbox). Gdy odbiorca kliknie link, zostanie otwarty załącznik, a dowolny kod (na przykład makro) zostanie uruchomiony na urządzeniu użytkownika, aby pomóc osobie atakującej zainstalować dodatkowy kod lub jeszcze bardziej się umocnić.
Drive-by-url*: osoba atakująca wysyła adresatowi wiadomość zawierającą link. Gdy adresat kliknie link, zostanie przekierowany do witryny internetowej, która próbuje uruchomić kod w tle. Ten kod w tle próbuje zebrać informacje o adresacie lub wdrożyć dowolny kod na urządzeniu. Zazwyczaj docelowa witryna internetowa jest dobrze znaną witryną internetową, która została naruszona lub klonem dobrze znanej witryny internetowej. Znajomość witryny internetowej pomaga przekonać użytkownika, że kliknięcie linku jest bezpieczne. Ta technika jest również znana jako atak podlewania.
Udzielanie *zgody OAuth: osoba atakująca tworzy złośliwy aplikacja systemu Azure, który ma na celu uzyskanie dostępu do danych. Aplikacja wysyła żądanie e-mail zawierające link. Gdy adresat kliknie link, mechanizm udzielania zgody aplikacji prosi o dostęp do danych (na przykład skrzynki odbiorczej użytkownika).
Przewodnik po instrukcjach: przewodnik dydaktyczny zawierający instrukcje dla użytkowników (na przykład jak zgłaszać wiadomości wyłudzające informacje).
* Link może być adresem URL lub kodem QR.
Adresy URL używane przez Szkolenie z symulacji ataków są wymienione w poniższej tabeli:
Uwaga
Przed użyciem adresu URL w kampanii wyłudzania informacji sprawdź dostępność symulowanego adresu URL wyłudzania informacji w obsługiwanych przeglądarkach internetowych. Aby uzyskać więcej informacji, zobacz Adresy URL symulacji wyłudzania informacji zablokowane przez bezpieczne przeglądanie google.
Tworzenie symulacji
Aby uzyskać instrukcje dotyczące tworzenia i uruchamiania symulacji, zobacz Symulowanie ataku wyłudzania informacji.
Strona docelowa symulacji to miejsce, w którym użytkownicy przechodzą po otwarciu ładunku. Podczas tworzenia symulacji wybierasz stronę docelową do użycia. Możesz wybrać wbudowane strony docelowe, niestandardowe strony docelowe, które zostały już utworzone, lub utworzyć nową stronę docelową do użycia podczas tworzenia symulacji. Aby utworzyć strony docelowe, zobacz Strony docelowe w Szkolenie z symulacji ataków.
Powiadomienia użytkowników końcowych w symulacji wysyłają okresowe przypomnienia do użytkowników (na przykład powiadomienia o przypisaniu szkolenia i przypomnieniu). Możesz wybrać spośród wbudowanych powiadomień, niestandardowych powiadomień, które zostały już utworzone, lub utworzyć nowe powiadomienia do użycia podczas tworzenia symulacji. Aby utworzyć powiadomienia, zobacz Powiadomienia użytkowników końcowych dotyczące Szkolenie z symulacji ataków.
Porada
Automatyzacje symulacji zapewniają następujące ulepszenia w stosunku do tradycyjnych symulacji:
- Automatyzacje symulacji mogą obejmować wiele technik inżynierii społecznej i powiązanych ładunków (symulacje zawierają tylko jedną).
- Automatyzacje symulacji obsługują opcje automatycznego planowania (nie tylko datę rozpoczęcia i datę zakończenia w symulacjach).
Aby uzyskać więcej informacji, zobacz Automatyzacje symulacji dla Szkolenie z symulacji ataków.
Ładunki
Mimo że Szkolenie z symulacji ataków zawiera wiele wbudowanych ładunków dostępnych technik inżynierii społecznej, możesz tworzyć niestandardowe ładunki, aby lepiej odpowiadać potrzebom biznesowym, w tym kopiowanie i dostosowywanie istniejącego ładunku. Ładunki można tworzyć w dowolnym momencie przed utworzeniem symulacji lub podczas tworzenia symulacji. Aby utworzyć ładunki, zobacz Tworzenie niestandardowego ładunku dla Szkolenie z symulacji ataków.
W symulacjach korzystających z zbioru poświadczeń lub linku w technikach inżynierii społecznej załączników strony logowania są częścią wybranego ładunku. Strona logowania to strona internetowa, na której użytkownicy wprowadzają swoje poświadczenia. Każdy odpowiedni ładunek używa domyślnej strony logowania, ale możesz zmienić używaną stronę logowania. Możesz wybrać wbudowane strony logowania, niestandardowe strony logowania, które zostały już utworzone, lub utworzyć nową stronę logowania, która będzie używana podczas tworzenia symulacji lub ładunku. Aby utworzyć strony logowania, zobacz Strony logowania w Szkolenie z symulacji ataków.
Najlepszym środowiskiem szkoleniowym dla symulowanych komunikatów wyłudzających informacje jest zapewnienie im jak największej liczby rzeczywistych ataków wyłudzających informacje, które mogą wystąpić w organizacji. Co zrobić, jeśli można przechwycić i użyć nieszkodliwych wersji rzeczywistych wiadomości wyłudzających informacje, które zostały wykryte na platformie Microsoft 365 i używać ich w symulowanych kampaniach wyłudzania informacji? Możesz korzystać z automatyzacji ładunków (znanej również jako zbieranie ładunków). Aby utworzyć automatyzacje ładunków, zobacz Automatyzacje ładunków dla Szkolenie z symulacji ataków.
Szkolenie z symulacji ataków obsługuje również używanie kodów QR w ładunkach. Możesz wybrać z listy wbudowanych ładunków kodu QR lub utworzyć niestandardowe ładunki kodu QR. Aby uzyskać więcej informacji, zobacz Ładunki kodu QR w Szkolenie z symulacji ataków.
Raporty i szczegółowe informacje
Po utworzeniu i uruchomieniu symulacji musisz zobaczyć, jak to się dzieje. Przykład:
- Czy wszyscy go otrzymali?
- Kto zrobił co z symulowanym komunikatem wyłudzania informacji i ładunkiem w nim (usuń, zgłoś, otwórz ładunek, wprowadź poświadczenia itp.).
- Kto ukończył przypisane szkolenie.
Dostępne raporty i szczegółowe informacje dotyczące Szkolenie z symulacji ataków są opisane w artykule Szczegółowe informacje i raporty dotyczące Szkolenie z symulacji ataków.
Przewidywana szybkość kompromisu
Często trzeba dostosować symulowaną kampanię wyłudzania informacji dla określonych odbiorców. Jeśli wiadomość wyłudzająca informacje jest zbyt bliska doskonałości, prawie wszyscy zostaną przez nią oszukani. Jeśli jest to zbyt podejrzane, nie będzie nabrać na to. Ponadto komunikaty wyłudzające informacje, które niektórzy użytkownicy uważają za trudne do zidentyfikowania, są uważane za łatwe do zidentyfikowania przez innych użytkowników. Więc jak znaleźć równowagę?
Przewidywana szybkość naruszenia zabezpieczeń (PCR) wskazuje potencjalną skuteczność, gdy ładunek jest używany w symulacji. Usługa PCR używa inteligentnych danych historycznych na platformie Microsoft 365, aby przewidzieć odsetek osób, które zostaną naruszone przez ładunek. Przykład:
- Ładunek zawartości.
- Zagregowane i anonimowe wskaźniki naruszenia zabezpieczeń z innych symulacji.
- Metadane ładunku.
Funkcja PCR umożliwia porównanie przewidywanych i rzeczywistych wskaźników klikania symulacji wyłudzania informacji. Możesz również użyć tych danych, aby zobaczyć, jak działa twoja organizacja w porównaniu z przewidywanymi wynikami.
Informacje pcr dla ładunku są dostępne wszędzie tam, gdzie wyświetlasz i wybierasz ładunki oraz w następujących raportach i szczegółowych informacjach:
- Wpływ zachowania na kartę szybkości naruszenia zabezpieczeń
- Karta Skuteczność trenowania dla raportu symulacji ataków
Porada
Symulator ataków używa bezpiecznych linków w Ochrona usługi Office 365 w usłudze Defender, aby bezpiecznie śledzić dane kliknięć adresu URL w komunikacie ładunku wysyłanym do docelowych adresatów kampanii wyłudzania informacji, nawet jeśli ustawienie Śledzenie kliknięć użytkownika w zasadach bezpiecznych linków jest wyłączone.
Trenowanie bez sztuczek
Tradycyjne symulacje wyłudzania informacji przedstawiają użytkownikom podejrzane komunikaty i następujące cele:
- Pobierz użytkowników do zgłaszania komunikatu jako podejrzanego.
- Zapewnij szkolenie po kliknięciu lub uruchomieniu symulowanego złośliwego ładunku przez użytkowników i rezygnacji z poświadczeń.
Jednak czasami nie chcesz czekać, aż użytkownicy podejmą poprawne lub niepoprawne działania przed rozpoczęciem szkolenia. Szkolenie z symulacji ataków udostępnia następujące funkcje, aby pominąć oczekiwanie i przejść bezpośrednio do szkolenia:
Kampanie szkoleniowe: Kampania szkoleniowa to przypisanie tylko do szkoleń dla docelowych użytkowników. Trenowanie można przypisać bezpośrednio bez testowania symulacji przez użytkowników. Kampanie szkoleniowe ułatwiają prowadzenie sesji szkoleniowych, takich jak comiesięczne szkolenia z zakresu świadomości cyberbezpieczeństwa. Aby uzyskać więcej informacji, zobacz Training campaigns in Szkolenie z symulacji ataków (Kampanie szkoleniowe w Szkolenie z symulacji ataków).
Porada
Moduły szkoleniowe są używane w kampaniach szkoleniowych, ale można również używać modułów szkoleniowych podczas przypisywania szkoleń w zwykłych symulacjach.
Przewodniki z instrukcjami w symulacjach: symulacje oparte na technice inżynierii społecznej przewodnika po instrukcjach nie próbują testować użytkowników. Przewodnik z instrukcjami to uproszczone środowisko szkoleniowe, które użytkownicy mogą wyświetlać bezpośrednio w skrzynce odbiorczej. Na przykład dostępne są następujące wbudowane ładunki przewodnika po instrukcjach i możesz utworzyć własne (w tym kopiowanie i dostosowywanie istniejącego ładunku):
- Przewodnik dydaktyczny: Jak zgłaszać wiadomości wyłudzające informacje
- Przewodnik dydaktyczny: Jak rozpoznawać i zgłaszać wiadomości wyłudzające informacje O PYTANIU
Porada
Szkolenie z symulacji ataków udostępnia następujące wbudowane opcje trenowania ataków opartych na kodzie QR:
- Moduły szkoleniowe:
- Złośliwe cyfrowe kody QR
- Złośliwe drukowane kody QR
- Przewodniki z instrukcjami w symulacjach: Przewodnik dydaktyczny: Jak rozpoznawać i zgłaszać komunikaty wyłudzania informacji QR