Поделиться через


Автоматизация полезных данных для Обучение эмуляции атак

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В Обучение эмуляции атак в Microsoft 365 E5 или Microsoft Defender для Office 365 плане 2 автоматизация полезных данных (также известная как сбор полезных данных) собирает информацию из реальных фишинговых атак, о которые сообщили пользователи в вашей организации. Вы можете указать условия для поиска в фишинговых атаках (например, получатели, метод социальной инженерии или сведения об отправителе).

Автоматизация полезных данных имитирует сообщения и полезные данные от атаки и сохраняет их в виде пользовательских полезных данных с идентификаторами в имени полезных данных. Затем вы можете использовать собранные полезные данные в симуляциях или автоматизации, чтобы автоматически запускать безвредные симуляции для целевых пользователей.

Дополнительные сведения о сборе автоматизации полезных данных см. в разделе Приложение в конце этой статьи.

Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Чтобы просмотреть все созданные функции автоматизации полезных данных, откройте портал Microsoft Defender по адресу , перейдите на https://security.microsoft.comвкладку >Email & совместной работы>Обучение эмуляции атак>Автомаций и выберите Автоматизация полезных данных. Чтобы перейти непосредственно на вкладку Автоматизации , где можно выбрать автоматизацию полезных данных, используйте https://security.microsoft.com/attacksimulator?viewid=automations.

Для каждой автоматизации полезных данных отображаются следующие сведения. Вы можете отсортировать автоматизацию полезных данных, щелкнув доступный заголовок столбца.

  • Имя службы автоматизации
  • Тип. Значение — Полезные данные.
  • Собранные элементы
  • Дата последнего изменения
  • Состояние: значение Готово или Черновик.

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшение масштаба в веб-браузере.

Создание автоматизации полезных данных

Чтобы создать автоматизацию полезных данных, сделайте следующее:

  1. На портале Microsoft Defender по адресу https://security.microsoft.com/перейдите на вкладку Email & совместная работа>Обучение эмуляции атак>Автомации.> Чтобы перейти непосредственно на вкладку Автоматизации , где можно выбрать автоматизацию полезных данных, используйте https://security.microsoft.com/attacksimulator?viewid=automations.

  2. На странице Автоматизация полезных данных выберите Создать автоматизацию , чтобы запустить мастер автоматизации полезных данных.

    Кнопка Создать имитацию на вкладке

    Примечание.

    В любой момент после того, как вы назовете автоматизацию полезных данных в мастере автоматизации полезных данных, вы можете выбрать Сохранить и закрыть , чтобы сохранить ход выполнения и продолжить настройку автоматизации полезных данных позже. Неполная автоматизация полезных данных имеет значение Состояние Черновик в разделе Автоматизация полезных данных на вкладке Автоматизация. Выберите автоматизацию полезных данных и щелкните Изменить автоматизацию.

    В настоящее время сбор полезных данных не включен в средах GCC из-за ограничений на сбор данных.

  3. На странице Имя службы автоматизации настройте следующие параметры:

    • Имя. Введите уникальное описательное имя для автоматизации полезных данных.
    • Описание. Введите необязательное подробное описание для автоматизации полезных данных.

    Завершив работу на странице Имя службы автоматизации , нажмите кнопку Далее.

  4. На странице Условия выполнения выберите условия реальной фишинговой атаки, которая определяет, когда выполняется автоматизация.

    Выберите Добавить условие , а затем выберите одно из следующих условий:

    • Нет. пользователей, на которые нацелена кампания: в появившемся поле настройте следующие параметры:
      • Равно, Меньше, Больше, Меньше или равно, Больше или равно.
      • Введите значение: количество пользователей, на которые была направлена фишинговая кампания.
    • Кампании с определенным методом фишинга. В появившемся поле выберите одно из доступных значений:
      • Сбор учетных данных
      • Вложение вредоносных программ
      • Ссылка во вложении
      • Ссылка на вредоносные программы
      • Практическое руководство
    • Конкретный домен отправителя. В появившемся поле введите значение домена электронной почты отправителя (например, contoso.com).
    • Конкретное имя отправителя. В появившемся поле введите значение имени отправителя.
    • Адрес электронной почты конкретного отправителя. В появившемся поле введите адрес электронной почты отправителя.
    • Получатели определенных пользователей и групп. В появившемся поле начните вводить имя или адрес электронной почты пользователя или группы. Когда он появится, выберите его.

    Каждое условие можно использовать только один раз. Несколько условий используют логику AND (<Condition1> и <Condition2>).

    Чтобы добавить другое условие, выберите Добавить условие.

    Чтобы удалить условие после его добавления, выберите .

    По завершении на странице Условия выполнения нажмите кнопку Далее.

  5. На странице Проверка автоматизации можно просмотреть сведения об автоматизации полезных данных.

    Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Проверка автоматизации , нажмите кнопку Отправить.

  6. На странице Создание новой автоматизации можно использовать ссылки, чтобы включить автоматизацию полезных данных или перейти на страницу Имитации .

    По завершении нажмите кнопку Готово.

  7. Если вернуться к автоматизации полезных данных на вкладке Автоматизация, то созданная автоматизация полезных данных теперь отображается со значением СостояниеГотово.

Включение и отключение автоматизации полезных данных

Вы можете включить или отключить автоматизацию полезных данных со значением СостояниеГотово. Вы не можете включить или отключить автоматизацию неполных полезных данных с помощью черновика состояния.

Чтобы включить автоматизацию полезных данных, выберите ее из списка, щелкнув поле проверка рядом с именем. Выберите появилось действие Включить, а затем в диалоговом окне выберите Подтвердить.

Чтобы отключить автоматизацию полезных данных, выберите ее из списка, щелкнув поле проверка рядом с именем. Выберите появиющееся действие Отключить, а затем в диалоговом окне выберите Подтвердить.

Изменение автоматизации полезных данных

Вы можете изменять автоматизацию полезных данных только со значением СостояниеЧерновик или отключенными.

Чтобы изменить существующую автоматизацию полезных данных на странице Автоматизации полезных данных , выполните одно из следующих действий.

  • Выберите автоматизацию полезных данных из списка, выбрав поле проверка рядом с именем. Выберите появилось действие Изменить автоматизацию.
  • Выберите автоматизацию полезных данных в списке, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений на вкладке Общие выберите Изменить в разделах Имя, Описание или Условия выполнения .

Откроется мастер автоматизации полезных данных с параметрами и значениями выбранной автоматизации полезных данных. Действия выполняются так же, как описано в разделе Создание автоматизации полезных данных .

Удаление автоматизации полезных данных

Чтобы удалить автоматизацию полезных данных, выберите автоматизацию полезных данных из списка, щелкнув поле проверка. Выберите отображающееся действие Удалить, а затем в диалоговом окне выберите Подтвердить.

Просмотр сведений об автоматизации полезных данных

Для автоматизации полезных данных со значением СостояниеГотово выберите полезные данные на странице Автоматизации полезных данных, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Открывающееся всплывающее окно сведений содержит следующие сведения:

  • Имя автоматизации полезных данных и количество собранных элементов.

  • Вкладка Общие

    • Дата последнего изменения
    • Тип. Значение — Полезные данные.
    • Разделы Имя, Описание и Условия выполнения . Выберите Изменить , чтобы открыть мастер автоматизации полезных данных на связанной странице.
  • Вкладка "Журнал выполнения". Эта вкладка доступна только для автоматизации полезных данных со значением СостояниеГотово.

    Показывает сведения о журнале выполнения симуляций, которые использовали автоматизацию полезных данных.

    Вкладка Журнал выполнения во всплывающем элементе сведений об автоматизации полезных данных.

Совет

Чтобы просмотреть сведения о других автоматизациях полезных данных, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Приложение

Автоматизация полезных данных зависит от сообщений электронной почты, которые определены как кампании Defender для Office 365:

  • Администраторы , помечающие сообщения как фишинговые , не приводят к сбору полезных данных.

  • Для автоматизации полезных данных требуется доступ к необработанным полезным данным, которые могут включать сообщения, сообщаемые пользователем, которые соответствуют следующим критериям:

    • Сообщение было доставлено в папку "Входящие" (ложноотрицательный).
    • Пользователь сообщил об этом сообщении как о фишинге.
    • Сообщение было отправлено в корпорацию Майкрософт (непосредственно пользователем или администратором на портале отправки), и корпорация Майкрософт определила, что сообщение было фишинговым.
  • Допустимые полезные данные собираются, если сообщения соответствуют критериям автоматизации полезных данных, описанным выше в этой статье (шаг 4 в разделе Создание автоматизации полезных данных).

Начало использования обучения симуляции атаки

Автоматизация моделирования для Обучение эмуляции атак

Получение аналитики с помощью обучения имитации атаки