Поделиться через


Microsoft Teams в Обучение эмуляции атак

Важно!

В настоящее время Microsoft Teams в Обучение эмуляции атак находится в закрытой предварительной версии. Сведения, приведенные в этой статье, могут быть изменены.

В организациях с Microsoft Defender для Office 365 плана 2 или Microsoft Defender XDR администраторы теперь могут использовать Обучение эмуляции атак для доставки имитации фишинговых сообщений в Microsoft Teams. Дополнительные сведения о обучении имитации атак см. в статье Начало работы с Обучение эмуляции атак в Defender для Office 365.

Добавление Teams в Обучение эмуляции атак влияет на следующие функции:

На автоматизацию полезных данных, уведомления конечных пользователей, страницы входа и целевые страницы teams в Обучение эмуляции атак не влияют.

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Конфигурация имитации Teams

Примечание.

В настоящее время действия, описанные в этом разделе, применяются только в том случае, если ваша организация зарегистрирована в закрытой предварительной версии Обучение эмуляции атак для Teams.

Помимо включения отчетов пользователей для сообщений Teams, как описано в разделе Параметры сообщений, сообщаемых пользователем в Microsoft Teams, необходимо также настроить учетные записи Teams, которые можно использовать в качестве источников для сообщений имитации в Обучение эмуляции атак. Чтобы настроить учетные записи, выполните следующие действия.

  1. Определите или создайте пользователя, который является членом ролей глобального администратора*, администратора безопасности или администратора имитации атак в Microsoft Entra ID. Назначьте microsoft 365, Office 365, Microsoft Teams базовый, Microsoft 365 бизнес базовый или лицензию на Microsoft 365 бизнес стандарт для Microsoft Teams. Необходимо знать пароль.

    Важно!

    * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  2. С помощью учетной записи из шага 1 откройте портал Microsoft Defender по адресу и перейдите на https://security.microsoft.com вкладку Email & совместной работы>Обучение эмуляции атак>Настройки. Или, чтобы перейти непосредственно на вкладку Параметры, используйте https://security.microsoft.com/attacksimulator?viewid=setting.

  3. На вкладке Параметры выберите Диспетчер учетных записей пользователей в разделе Конфигурация имитации Teams .

  4. Во всплывающем окне Конфигурация имитации Teams выберите Создать токен. Прочтите сведения в диалоговом окне подтверждения и выберите Я принимаю.

  5. На вкладке Параметры снова выберите Диспетчер учетных записей пользователей в разделе Конфигурация имитации Teams , чтобы снова открыть всплывающее окно Конфигурация имитации Teams . Учетная запись пользователя, в которую вы вошли в систему, теперь отображается в разделе Учетные записи пользователей, доступные для фишинга Teams .

Чтобы удалить пользователя из списка, выберите поле проверка рядом со значением отображаемого имени, не щелкая нигде в строке. Выберите отображающееся действие Удалить, а затем выберите Удалить в диалоговом окне подтверждения.

Чтобы предотвратить использование учетной записи в имитациях Teams, но сохранить журнал связанных симуляций для учетной записи, выберите поле проверка рядом со значением отображаемого имени, не щелкая нигде в строке. Выберите действие Деактивировать, которое появится.

Изменения в симуляции для Microsoft Teams

Teams представляет следующие изменения в просмотре и создании симуляции, как описано в разделе Имитация фишинговой атаки с помощью Обучение эмуляции атак в Defender для Office 365:

  • На вкладке Моделирование в https://security.microsoft.com/attacksimulator?viewid=simulationsстолбце Платформа отображается значение Teams для имитаций, использующих сообщения Teams.

  • Если на вкладке Симуляция выбрано значение Запустить симуляцию, чтобы создать симуляцию, первая страница мастера создания имитации — Выберите платформу доставки, где можно выбрать Microsoft Teams. Выбор Microsoft Teams приводит к следующим изменениям в остальной части нового мастера моделирования:

    • На странице Выбор метода недоступны следующие методы социальной инженерии:

      • Вложение вредоносных программ
      • Ссылка во вложении
      • Практическое руководство
    • На странице Имитация имени отображаются раздел Выберите учетную запись Microsoft Teams отправителя и ссылка Выбрать учетную запись пользователя . Выберите Выбрать учетную запись пользователя , чтобы найти и выбрать учетную запись, используемую в качестве источника сообщения Teams.

      Список пользователей поступает из раздела Конфигурация имитации Teams на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Настройка учетных записей описана в разделе Конфигурация имитации Teams ранее в этой статье.

    • На странице Выбор полезных данных и входа по умолчанию не отображаются полезные данные, так как нет встроенных полезных данных для Teams. Необходимо создать полезные данные для сочетания Teams и выбранного метода социальной инженерии.

      Различия в создании полезных данных для Teams описаны в разделе Изменения полезных данных для Microsoft Teams этой статьи.

    • На странице Целевые пользователи для Teams различаются следующие параметры:

      • Как отмечалось на странице, гостевые пользователи в Teams исключаются из моделирования.

Другие параметры, связанные с имитацией, такие же для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.

Изменения в полезных данных для Microsoft Teams

Независимо от того, создаете ли вы полезные данные на странице Полезные данные вкладки Библиотека содержимого или на странице Выбор полезных данных и страницы входа в мастере создания имитации, Teams вносит следующие изменения в просмотр и создание полезных данных, как описано в разделе Полезные данные в Обучение эмуляции атак в Defender для Office 365:

  • На вкладке Глобальные полезные данные и полезные данные клиента на странице Полезные данные вкладки Библиотека содержимого в https://security.microsoft.com/attacksimulator?viewid=contentlibraryстолбце Платформа отображается значение Teams для полезных данных, использующих сообщения Teams.

    Если выбрать Фильтр, чтобы отфильтровать список существующих полезных данных, будет доступен раздел Платформа, в котором можно выбрать Email и Teams.

    Как описано ранее, для Teams нет встроенных полезных данных, поэтому при фильтрации по команде состояния>на вкладке Глобальные полезные данные список будет пустым.

  • Если выбрать Создать полезные данные на вкладке Полезные данные клиента , чтобы создать полезные данные, первая страница мастера создания полезных данных — Выберите тип , где можно выбрать Teams. Выбор Teams приводит к следующим изменениям в остальной части нового мастера полезных данных:

    • На странице Выбор метода методы социальной инженерии вложения вредоносных программ и связывания вложения недоступны для Teams.

    • На странице Настройка полезных данных содержатся следующие изменения для Teams:

      • Раздел сведений об отправителе. Единственным доступным параметром для Teams является раздел чата, в котором вы вводите плитку для сообщения Teams.
      • Последний раздел не называется Email сообщении, но он работает так же для сообщений Teams, как и для сообщений электронной почты:
        • Есть кнопка Импорт сообщений Teams для импорта существующего файла обычного текстового сообщения для использования в качестве отправной точки.
        • Элементы управления динамический тег и ссылка на фишинг доступны на вкладке Текст , а вкладка "Код " доступна как в случае с сообщениями электронной почты.

Другие параметры, связанные с полезными данными, одинаковы для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.

Изменения в автоматизации моделирования для Microsoft Teams

Teams представляет следующие изменения в просмотре и создании автоматизации моделирования, как описано в разделе Автоматизация моделирования для Обучение эмуляции атак:

  • На странице Автоматизация имитации на вкладке Автоматизация также https://security.microsoft.com/attacksimulator?viewid=automationsдоступны следующие столбцы:

    • Тип. В настоящее время это значение всегда является социальной инженерией.
    • Платформа. Отображает значение Teams для автоматизации полезных данных, использующих сообщения Teams, или Email для автоматизации полезных данных, использующих сообщения электронной почты.
  • Если вы выберете Создать автоматизацию на странице Автоматизация моделирования , чтобы создать автоматизацию моделирования, первая страница нового мастера автоматизации имитации — Выберите платформу доставки , где можно выбрать Teams. При выборе Teams в оставшуюся часть нового мастера автоматизации имитации будут внесены следующие изменения:

    • На странице Имя службы автоматизации в разделе Выбор метода для выбора учетных записей отправителей для Teams доступны следующие параметры:

      • Выбрать вручную. Это значение выбрано по умолчанию. В разделе Выбор учетной записи Microsoft Teams отправителя выберите сообщение Выберите учетную запись пользователя , чтобы найти и выбрать учетную запись, используемую в качестве источника для Teams.
      • Рандомизация. Случайный выбор из доступных учетных записей для использования в качестве источника сообщения Teams.
    • На странице Выбор методов социальной инженерии методы вложения вредоносных программ и связывания вложения недоступны для Teams.

    • На странице Выбор полезных данных и входа по умолчанию не отображаются полезные данные, так как нет встроенных полезных данных для Teams. Может потребоваться создать полезные данные для сочетания teams и выбранных методов социальной инженерии.

      Различия в создании полезных данных для Teams описаны в разделе Изменения полезных данных для Microsoft Teams этой статьи.

    • На странице Целевые пользователи для Teams различаются следующие параметры:

      • Как отмечалось на странице, автоматизация моделирования, использующее Teams, может быть нацелена на не более 1000 пользователей.
      • Если выбрать Включить только определенных пользователей и группы, фильтр "Город " не будет доступен в разделе Фильтрация пользователей по категориям .

Другие параметры, связанные с автоматизацией моделирования, такие же для сообщений Teams, как описано в существующем содержимом для сообщений электронной почты.