Começar a utilizar a Formação de simulação de ataques
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Em organizações com Microsoft Defender para Office 365 Plano 2 (licenças de suplementos ou incluídas em subscrições como Microsoft 365 E5), pode utilizar Formação em simulação de ataques no Microsoft Defender portal para executar cenários de ataque realistas na sua organização. Estes ataques simulados podem ajudá-lo a identificar e encontrar utilizadores vulneráveis antes que um ataque real afete a sua linha de fundo.
Este artigo explica as noções básicas do Formação em simulação de ataques.
Veja este breve vídeo para saber mais sobre Formação em simulação de ataques.
Nota
Formação em simulação de ataques substitui a experiência antiga do Simulador de Ataques v1 que estava disponível no Centro de Conformidade do & de Segurança emSimulador de ataques de gestão> de ameaças ou https://protection.office.com/attacksimulator.
O que precisa de saber antes de começar?
Formação em simulação de ataques requer uma licença Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2. Para obter mais informações sobre os requisitos de licenciamento, veja Termos de licenciamento.
Formação em simulação de ataques suporta caixas de correio no local, mas com funcionalidades de relatórios reduzidas. Para obter mais informações, consulte Comunicar problemas com caixas de correio no local.
Para abrir o portal Microsoft Defender, aceda a https://security.microsoft.com. Formação em simulação de ataques está disponível em Email e colaboração>Formação em simulação de ataques. Para aceder diretamente a Formação em simulação de ataques, utilize https://security.microsoft.com/attacksimulator.
Para obter mais informações sobre a disponibilidade de Formação em simulação de ataques em diferentes subscrições do Microsoft 365, consulte Microsoft Defender para Office 365 descrição do serviço.
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Tem as seguintes opções:
Microsoft Entra permissões: precisa de associação numa das seguintes funções:
- Administrador Global¹
- Administrador de Segurança
- Administradores de Simulação de Ataques²: crie e faça a gestão de todos os aspetos das campanhas de simulação de ataques.
- Attack Payload Author²: crie payloads de ataque que um administrador pode iniciar mais tarde.
Importante
¹ A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
² A adição de utilizadores a este grupo de funções no Email & permissões de colaboração no portal do Microsoft Defender não é atualmente suportada.
Atualmente, Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) não é suportado.
Não existem cmdlets do PowerShell correspondentes para Formação em simulação de ataques.
Os dados relacionados com a simulação de ataques e a preparação são armazenados com outros dados de cliente para serviços do Microsoft 365. Para obter mais informações, consulte Localizações de dados do Microsoft 365. Formação em simulação de ataques está disponível nas seguintes regiões: APC, EUR e NAM. Os países nessas regiões onde Formação em simulação de ataques está disponível incluem ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE, TWN e ZAF.
Nota
NOR, ZAF, ARE e DEU são as mais recentes adições. Todas as funcionalidades, exceto a telemetria de e-mail comunicada, estão disponíveis nestas regiões. Estamos a trabalhar para ativar as funcionalidades e iremos notificar os clientes assim que a telemetria de e-mail comunicada ficar disponível.
Formação em simulação de ataques está disponível nos ambientes Microsoft 365 GCC, GCC High e DoD, mas determinadas funcionalidades avançadas não estão disponíveis em GCC High e DoD (por exemplo, automatização de payload, payloads recomendados, a taxa de compromisso prevista). Se a sua organização tiver o Microsoft 365 G5, Office 365 G5 ou Microsoft Defender para Office 365 (Plano 2) para a Administração Pública, pode utilizar Formação em simulação de ataques conforme descrito neste artigo.
Nota
Formação em simulação de ataques oferece um subconjunto de capacidades aos clientes E3 como uma versão de avaliação. A oferta de avaliação contém a capacidade de utilizar um payload de Colheita de Credenciais e a capacidade de selecionar experiências de formação "ISA Phishing" ou "Phishing no Mercado de Massas". Nenhuma outra funcionalidade faz parte da oferta de avaliação E3.
Simulações
Uma simulação no Formação em simulação de ataques é a campanha geral que fornece mensagens de phishing realistas, mas inofensivas, aos utilizadores. Os elementos básicos de uma simulação são:
- Quem recebe a mensagem de phishing simulada e com que agenda.
- Formação que os utilizadores obtêm com base na respetiva ação ou falta de ação (para ações corretas e incorretas) na mensagem de phishing simulada.
- O payload utilizado na mensagem de phishing simulada (uma ligação ou um anexo) e a composição da mensagem de phishing (por exemplo, pacote entregue, problema com a sua conta ou ganhou um prémio).
- A técnica de engenharia social que é usada. A payload e a técnica de engenharia social estão intimamente relacionadas.
No Formação em simulação de ataques, estão disponíveis vários tipos de técnicas de engenharia social. Com exceção do Guia de Procedimentos, estas técnicas foram organizadas a partir da arquitetura MITRE ATT&CK®. Estão disponíveis payloads diferentes para diferentes técnicas.
Estão disponíveis as seguintes técnicas de engenharia social:
Recolha de Credenciais: um atacante envia ao destinatário uma mensagem que contém uma ligação*. Quando o destinatário clica na ligação, é levado para um site que normalmente mostra uma caixa de diálogo que pede ao utilizador o nome de utilizador e a palavra-passe. Normalmente, a página de destino tem como tema representar um site conhecido para criar confiança no utilizador.
Anexo de Software Maligno: um atacante envia ao destinatário uma mensagem que contém um anexo. Quando o destinatário abre o anexo, o código arbitrário (por exemplo, uma macro) é executado no dispositivo do utilizador para ajudar o atacante a instalar código adicional ou a entrincheirar-se ainda mais.
Ligação no Anexo: esta técnica é um híbrido de uma colheita de credenciais. Um atacante envia ao destinatário uma mensagem que contém uma ligação dentro de um anexo. Quando o destinatário abre o anexo e clica na ligação, este é levado para um site que normalmente mostra uma caixa de diálogo que pede ao utilizador o respetivo nome de utilizador e palavra-passe. Normalmente, a página de destino tem como tema representar um site conhecido para criar confiança no utilizador.
Ligação para Software Maligno*: um atacante envia ao destinatário uma mensagem que contém uma ligação para um anexo num site de partilha de ficheiros conhecido (por exemplo, o SharePoint Online ou o Dropbox). Quando o destinatário clica na ligação, o anexo é aberto e o código arbitrário (por exemplo, uma macro) é executado no dispositivo do utilizador para ajudar o atacante a instalar código adicional ou a entrincheirar-se ainda mais.
Drive-by-url*: um atacante envia ao destinatário uma mensagem que contém uma ligação. Quando o destinatário clica na ligação, é levado para um site que tenta executar o código em segundo plano. Este código em segundo plano tenta recolher informações sobre o destinatário ou implementar código arbitrário no respetivo dispositivo. Normalmente, o site de destino é um site conhecido que foi comprometido ou um clone de um site conhecido. A familiaridade com o site ajuda a convencer o utilizador de que a ligação é segura para clicar. Esta técnica também é conhecida como um ataque de poço de rega.
Concessão *de Consentimento OAuth: um atacante cria uma Aplicação Azure maliciosa que procura obter acesso aos dados. A aplicação envia um pedido de e-mail que contém uma ligação. Quando o destinatário clica na ligação, o mecanismo de concessão de consentimento da aplicação pede acesso aos dados (por exemplo, a Caixa de Entrada do utilizador).
Guia de Procedimentos: um guia de ensino que contém instruções para os utilizadores (por exemplo, como comunicar mensagens de phishing).
* A ligação pode ser um URL ou um código QR.
Os URLs utilizados pelo Formação em simulação de ataques estão listados na tabela seguinte:
Nota
Verifique a disponibilidade do URL de phishing simulado nos browsers suportados antes de utilizar o URL numa campanha de phishing. Para obter mais informações, veja URLs de simulação de phishing bloqueados pela Navegação Segura do Google.
Criar simulações
Para obter instruções sobre como criar e iniciar simulações, veja Simular um ataque de phishing.
A página de destino na simulação é onde os utilizadores vão quando abrem o payload. Quando cria uma simulação, seleciona a página de destino a utilizar. Pode selecionar a partir de páginas de destino incorporadas, páginas de destino personalizadas que já criou ou pode criar uma nova página de destino a utilizar durante a criação da simulação. Para criar páginas de destino, consulte Páginas de destino no Formação em simulação de ataques.
As notificações do utilizador final na simulação enviam lembretes periódicos aos utilizadores (por exemplo, atribuição de formação e notificações de lembrete). Pode selecionar a partir de notificações incorporadas, notificações personalizadas que já criou ou pode criar novas notificações para utilizar durante a criação da simulação. Para criar notificações, veja Notificações do utilizador final para Formação em simulação de ataques.
Sugestão
As automatizações de simulação fornecem as seguintes melhorias em relação às simulações tradicionais:
- As automatizações de simulação podem incluir múltiplas técnicas de engenharia social e payloads relacionados (as simulações contêm apenas uma).
- As automatizações de simulação suportam opções de agendamento automatizado (mais do que apenas a data de início e a data de fim em simulações).
Para obter mais informações, veja Automatizações de simulação para Formação em simulação de ataques.
Payloads
Embora Formação em simulação de ataques contenha muitos payloads incorporados para as técnicas de engenharia social disponíveis, pode criar payloads personalizados para se adequar melhor às suas necessidades empresariais, incluindo copiar e personalizar um payload existente. Pode criar payloads em qualquer altura antes de criar a simulação ou durante a criação da simulação. Para criar payloads, veja Criar um payload personalizado para Formação em simulação de ataques.
Em simulações que utilizam a Recolha de Credenciais ou a Ligação em Técnicas de engenharia social de anexos, as páginas de início de sessão fazem parte do payload que selecionar. A página de início de sessão é a página Web onde os utilizadores introduzem as respetivas credenciais. Cada payload aplicável utiliza uma página de início de sessão predefinida, mas pode alterar a página de início de sessão utilizada. Pode selecionar a partir de páginas de início de sessão incorporadas, páginas de início de sessão personalizadas que já criou ou pode criar uma nova página de início de sessão para utilizar durante a criação da simulação ou do payload. Para criar páginas de início de sessão, consulte Páginas de início de sessão no Formação em simulação de ataques.
A melhor experiência de preparação para mensagens de phishing simuladas é torná-las o mais próximas possível de ataques de phishing reais que a sua organização possa experimentar. E se pudesse capturar e utilizar versões inofensivas de mensagens de phishing do mundo real que foram detetadas no Microsoft 365 e utilizá-las em campanhas de phishing simuladas? Pode, com automatizações de payload (também conhecidas como recolha de payload). Para criar automatizações de payload, veja Payload automations for Formação em simulação de ataques (Automatizações de payload para Formação em simulação de ataques).
Formação em simulação de ataques também suporta a utilização de códigos QR em payloads. Pode escolher a partir da lista de payloads de código QR incorporados ou pode criar payloads de código QR personalizados. Para obter mais informações, veja Payloads de código QR no Formação em simulação de ataques.
Relatórios e informações
Depois de criar e iniciar a simulação, tem de ver como está a correr. Por exemplo:
- Todos o receberam?
- Quem fez o quê à mensagem de phishing simulada e ao payload na mesma (eliminar, reportar, abrir o payload, introduzir credenciais, etc.).
- Quem concluiu a formação atribuída.
Os relatórios e informações disponíveis para Formação em simulação de ataques estão descritos em Informações e relatórios para Formação em simulação de ataques.
Taxa de compromisso prevista
Muitas vezes, precisa de personalizar uma campanha de phishing simulada para audiências específicas. Se a mensagem de phishing estiver demasiado perto de ser perfeita, quase todos serão enganados por ela. Se for muito suspeito, não será enganado por isso. Além disso, as mensagens de phishing que alguns utilizadores consideram difíceis de identificar são consideradas fáceis de identificar por outros utilizadores. Então, como se equilibra?
A taxa de compromisso prevista (PCR) indica a eficácia potencial quando o payload é utilizado numa simulação. O PCR utiliza dados históricos inteligentes no Microsoft 365 para prever a percentagem de pessoas que serão comprometidas pelo payload. Por exemplo:
- Conteúdo do payload.
- Taxas de compromisso agregadas e anonimizadas de outras simulações.
- Metadados de payload.
O PCR permite-lhe comparar o clique previsto vs. o clique real através de taxas para as simulações de phishing. Também pode utilizar estes dados para ver o desempenho da sua organização em comparação com os resultados previstos.
As informações do PCR para um payload estão disponíveis onde quer que veja e selecione payloads e nos seguintes relatórios e informações:
- Impacto de comportamento no cartão de taxa de compromisso
- Separador Eficácia da preparação para o relatório Simulação de ataques
Sugestão
O Simulador de Ataques utiliza Ligações Seguras no Defender para Office 365 para controlar de forma segura os dados de clique do URL na mensagem de payload enviada aos destinatários visados de uma campanha de phishing, mesmo que a definição Controlar cliques do utilizador nas políticas ligações seguras esteja desativada.
Formação sem truques
As simulações de phishing tradicionais apresentam aos utilizadores mensagens suspeitas e os seguintes objetivos:
- Faça com que os utilizadores comuniquem a mensagem como suspeita.
- Fornecer formação após os utilizadores clicarem ou iniciarem o payload malicioso simulado e abdicarem das respetivas credenciais.
No entanto, por vezes, não quer esperar que os utilizadores tomem medidas corretas ou incorretas antes de lhes dar formação. Formação em simulação de ataques fornece as seguintes funcionalidades para ignorar a espera e ir diretamente para a preparação:
Campanhas de formação: uma campanha de Formação é uma atribuição apenas de formação para os utilizadores visados. Pode atribuir formação diretamente sem colocar os utilizadores no teste de uma simulação. As campanhas de formação facilitam a realização de sessões de aprendizagem, como a formação mensal de sensibilização sobre cibersegurança. Para obter mais informações, veja Campanhas de formação no Formação em simulação de ataques.
Sugestão
Os módulos de formação são utilizados em campanhas de Formação, mas também pode utilizar módulos de Formação quando atribui formação em simulações regulares.
Manuais de instruções em simulações: as simulações baseadas na técnica de engenharia social Guia de Procedimentos não tentam testar os utilizadores. Um Guia de procedimentos é uma experiência de aprendizagem simples que os utilizadores podem ver diretamente na respetiva Caixa de Entrada. Por exemplo, estão disponíveis os seguintes payloads do Guia de Procedimentos incorporados e pode criar o seu próprio (incluindo copiar e personalizar um payload existente):
- Guia de ensino: Como comunicar mensagens de phishing
- Guia de Ensino: Como reconhecer e reportar mensagens de phishing QR
Sugestão
Formação em simulação de ataques fornece as seguintes opções de preparação incorporadas para ataques baseados em código QR:
- Módulos de preparação:
- Códigos QR digitais maliciosos
- Códigos QR impressos maliciosos
- Manuais de instruções em simulações: Guia de Ensino: Como reconhecer e comunicar mensagens de phishing QR