Поделиться через


Полезные данные в обучении симуляции атаки

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В Обучение эмуляции атак в Microsoft 365 E5 или Microsoft Defender для Office 365 плане 2 полезные данные — это ссылка, QR-код или вложение в имитированном фишинговом сообщении электронной почты, которое представляется пользователям. Обучение эмуляции атак предлагает надежный встроенный каталог полезных данных для доступных методов социальной инженерии. Однако может потребоваться создать пользовательские полезные данные, которые лучше подходили бы для вашей организации.

Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Чтобы просмотреть доступные полезные данные, откройте портал Microsoft Defender по адресу , перейдите на https://security.microsoft.comвкладку >Email & совместной работы>Обучение эмуляции атак>Выбор библиотеки и выберите Полезные данные. Или, чтобы перейти непосредственно на вкладку Библиотека содержимого , где можно выбрать Полезные данные, используйте https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

Полезные данные на вкладке Библиотека содержимого содержат три вкладки:

  • Глобальные полезные данные. Содержит встроенные, неизменяемые полезные данные. Эти полезные данные основаны на реальных атаках, которые наблюдались в центрах обработки данных Майкрософт. Хотя конкретного расписания выпуска нет, обычно в среднем от 30 до 40 новых полезных данных каждый месяц.
  • Полезные данные клиента: содержит созданные пользовательские полезные данные.
  • рекомендации MDO. Полезные данные, рекомендованные Defender для Office 365 как имеющие значительное влияние при использовании злоумышленниками. Рекомендации основаны на выявленных кампаниях и высокой прогнозируемой скорости компрометации. Этот список обновляется ежемесячно. Если в вашей организации нет последних кампаний (менее 60 дней), вкладка MDO рекомендации может быть пустой.

Сведения, доступные на вкладках, описаны в следующем списке:

  • MDO вкладка рекомендаций: для каждой полезных данных отображаются следующие сведения:

    • Имя полезных данных
    • Скомпрометированная ставка (%)
    • Рекомендуется
    • Дата рекомендации
  • Глобальные полезные данные и вкладки полезных данных клиента . Для каждой полезной нагрузки отображаются следующие сведения. Полезные данные можно отсортировать, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой (*):

    • Имя полезных данных*
    • Тип*. В настоящее время это значение всегда является социальной инженерией.
    • Платформа
    • Метод*. Один из доступных методов социальной инженерии:
      • Сбор учетных данных
      • Вложение вредоносных программ
      • Ссылка во вложении
      • Ссылка на вредоносные программы
      • URL-адрес диска
      • Предоставление согласия OAuth
      • Практическое руководство
    • Язык*. Если полезные данные содержат несколько переводов, первые два языка отображаются напрямую. Чтобы просмотреть остальные языки, наведите указатель мыши на значок числа (например, +10).
    • Запущенные *симуляции. Количество запущенных симуляций, использующих полезные данные.
    • Source
    • Прогнозируемая скомпрометированная скорость (%)*: исторические данные в Microsoft 365, которые прогнозируют процент пользователей, которые будут скомпрометированы этой полезной нагрузкой (скомпрометированные пользователи или общее число пользователей, получающих полезные данные). Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.
    • Создано*: Для встроенных полезных данных используется значение Майкрософт. Для пользовательских полезных данных значением является имя участника-пользователя (UPN) пользователя, создавшего полезные данные.
    • Последнее изменение*
    • Состояние*: значения:
      • Ready
      • Черновик: доступен только на вкладке Полезные данные клиента .
      • Архив. Архивные полезные данные видны только в том случае, если параметр Показать архивные полезные данные включен в .
    • (элемент управления "Действия ")*: выполните действия с полезными данными. Доступные действия зависят от значения состояния полезных данных, как описано в разделах процедур. Этот элемент управления всегда отображается в конце строки полезных данных.

    Совет

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сужает ширину соответствующих столбцов.
    • Удалите столбцы из представления.
    • Уменьшение масштаба в веб-браузере.

    Чтобы найти полезные данные в списке, введите часть имени полезных данных в поле Поиск и нажмите клавишу ВВОД.

    Выберите , чтобы отфильтровать полезные данные по одному или из следующих значений:

    • Метод. Один из доступных методов социальной инженерии:

      • Сбор учетных данных
      • Вложение вредоносных программ
      • Ссылка во вложении
      • Ссылка на вредоносные программы
      • URL-адрес диска
      • Предоставление согласия OAuth
      • Практическое руководство
    • Сложность: вычисляется на основе количества индикаторов в полезных данных, указывающих на возможную атаку (орфографические ошибки, срочность и т. д.). Больше индикаторов проще определить как атаку и указать на более низкую сложность. Доступные значения: Высокий, Средний и Низкий.

    • Язык: Доступные значения: английский, испанский, немецкий, японский, французский, португальский, голландский, итальянский, шведский, китайский (упрощенное письмо),китайский (традиционное письмо, Тайвань), норвежский букмол, польский, русский, финский, корейский, турецкий, венгерский, тайский, арабский, Вьетнамский, словацкий, греческий, индонезийский, румынский, словенский, хорватский, каталанский и другие.

    • Добавление тегов

    • Фильтрация по темам: Доступные значения: Активация учетной записи, Проверка учетной записи, Выставление счетов, Очистка почты, Полученная почта, Документ, Расходы, Факс, Финансовый отчет, Входящие сообщения, Счет, Получен элемент, Оповещение о входе, Получено письмо, Пароль, Оплата, Заработная плата, Персонализированное предложение, Карантин, Удаленная работа, проверка сообщения, обновление системы безопасности, служба приостановлена, требуется подпись, обновление хранилища почтовых ящиков, проверка почтового ящика, голосовая почта и другие.

    • Фильтрация по бренду. Доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud и Другие.

    • Фильтрация по отраслям. Доступные значения: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, и прочее.

    • Текущее событие: доступные значения: Да или Нет.

    • Спорные. Доступные значения: Да или Нет.

    Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

При выборе полезных данных, щелкнув в любом месте строки, кроме поля проверка рядом с именем, появится всплывающее окно со следующими сведениями:

  • Вкладка "Обзор ": просматривайте полезные данные по мере их просмотра пользователями. Также видны свойства полезных данных:

    • Описание полезных данных
    • Имя отправителя
    • Из электронной почты
    • Тема письма
    • Источник: для встроенных полезных данных значение Global. Для пользовательских полезных данных значением является Tenant.
    • Частота щелчков
    • Моделирование запущено
    • Theme
    • Торговая марка
    • Отраслевые
    • Спорный
    • Прогнозируемая скорость компрометации
    • Текущее событие
    • Tags
  • Запущенная вкладка Имитации :

    • Имя имитации
    • Частота щелчков
    • Скомпрометированная частота
    • Действие. Щелкнув ссылку Просмотреть сведения , вы перейдете к сведениям об имитации.

Чтобы просмотреть заархивированные полезные данные (значение СостояниеАрхив), используйте переключатель Показать архивные полезные данные на вкладке Полезные данные клиента .

Полезные данные QR-кода

На вкладке Глобальные полезные данные в разделеПолезные данные библиотеки>содержимогопо адресу https://security.microsoft.com/attacksimulator?viewid=contentlibrary& source=global, вы можете просмотреть встроенные полезные данные неизменяемого QR-кода, введя QR-код в поле Поиска, а затем нажав клавишу ВВОД.

Полезные данные QR-кода доступны на пяти языках для решения реальных сценариев, связанных с атаками с помощью QR-кода.

Снимок экрана: вкладка

Вы также можете создавать пользовательские полезные данные, использующие QR-коды в качестве фишинговых ссылок, как описано в следующем разделе.

Совет

Прежде чем использовать полезные данные QR-кода в симуляции, обязательно изучите доступные поля и содержимое в полезных данных.

Создание полезных данных

Примечание.

Некоторые товарные знаки, логотипы, символы, знаки отличия и другие исходные идентификаторы получают повышенную защиту в соответствии с местными, государственными и федеральными законами и законами. Несанкционированное использование таких индикаторов может подвергнуть пользователей штрафам, включая уголовные штрафы. Хотя это и не обширный список, он включает в себя президентские, вице-президенты и тюлени Конгресса, ЦРУ, ФБР, социальное обеспечение, Medicare и Medicaid, США внутренних доходов Службы, и Олимпийские игры. Помимо этих категорий товарных знаков, использование и изменение любого стороннего товарного знака несет в себе присущий объем риска. Использование собственных товарных знаков и логотипов в полезных данных будет менее рискованным, особенно если ваша организация разрешает это использование. Если у вас есть дополнительные вопросы о том, что или не подходит для использования при создании или настройке полезных данных, следует проконсультироваться со своими юридическими консультантами.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите на вкладку Email & совместная работа>Обучение эмуляции атак>Контентная вкладка>Полезные> данныеклиента. Чтобы перейти непосредственно на вкладку Библиотека содержимого, где можно выбрать Полезные данные и вкладку Полезные данные клиента, используйте https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

    На вкладке Полезные данные клиента выберите Создать полезные данные , чтобы запустить мастер создания полезных данных.

    Создайте полезные данные на вкладке Полезные данные клиента в разделе Полезные данные в Обучение эмуляции атак на портале Microsoft Defender.

    Примечание.

    В любой момент после того, как вы назовете полезные данные в мастере создания полезных данных, можно нажать кнопку Сохранить и закрыть , чтобы сохранить ход выполнения и продолжить позже. Неполная полезная нагрузка имеет значение Состояние Черновик. Выберите полезные данные, а затем щелкните появившееся действие Изменить полезные данные.

    Вы также можете создавать полезные данные во время создания симуляции. Дополнительные сведения см. в статье Создание имитации: выбор полезных данных и страница входа.

  2. На странице Выбор типа выберите одно из следующих значений:

    Завершив работу на странице Выбор типа , нажмите кнопку Далее.

  3. На странице Выбор метода доступны те же параметры, что и на странице Выбор метода в мастере создания моделирования:

    • Сбор учетных данных*
    • Вложение вредоносных программ
    • Ссылка во вложении*
    • Ссылка на вредоносные программы*
    • URL-адрес диска*
    • Предоставление согласия OAuth*
    • Практическое руководство

    * Этот метод социальной инженерии позволяет использовать QR-коды.

    Дополнительные сведения о различных методах социальной инженерии см. в разделе Моделирование.

    Завершив работу на странице Выбор метода , нажмите кнопку Далее.

  4. На странице Имя полезных данных настройте следующие параметры:

    • Имя. Введите уникальное описательное имя полезных данных.
    • Описание. Введите необязательное подробное описание полезных данных.

    Завершив работу на странице Имя полезных данных , нажмите кнопку Далее.

  5. На странице Настройка полезных данных пора создать полезные данные. Многие из доступных параметров определяются выбранным на странице Выбор метода (например, ссылки и вложения).

    • Раздел Сведений об отправителе. Настройте следующие параметры:

      • Имя отправителя
      • Использовать имя в качестве отображаемого имени. По умолчанию этот параметр не выбран.
      • Из электронной почты. Если выбрать внутренний адрес электронной почты для отправителя полезных данных, полезные данные поступают от коллег-сотрудников. Этот адрес электронной почты отправителя повышает восприимчивость пользователя к полезным данным и помогает информировать сотрудников о риске внутренних угроз.
      • Тема письма
      • Добавление внешнего тега в электронную почту. По умолчанию этот параметр не выбран.
    • Раздел сведений о вложении (только для вложения вредоносных программ, связывания во вложении или Связывание с вредоносными программами). Настройте следующие параметры:

      • Назовите вложение. Введите имя файла для вложения.
      • Выберите тип вложения. Выберите тип файла для вложения. Доступные значения: Docx или HTML.
    • Фишинговая ссылка или ссылка для разделов вложений:

      • Раздел Фишинговая ссылка доступен только в методах Сбора учетных данных, Ссылка во вложении, URL-адрес диска или Предоставление согласия OAuth .
      • Раздел Ссылка для вложения доступен только в методе Связывание с вредоносными программами .

      Выберите Выбрать URL-адрес. Во всплывающем окне сведений выберите один из доступных URL-адресов и нажмите подтвердить.

      Чтобы изменить URL-адрес, выберите Изменить URL-адрес.

      Примечание.

      Доступные URL-адреса перечислены в разделе Имитации.

      Проверьте доступность имитированного URL-адреса фишинга в поддерживаемых веб-браузерах, прежде чем использовать URL-адрес в кампании фишинга. Дополнительные сведения см. в разделе URL-адреса имитации фишинга, заблокированные Google Safe Browsing.

    • Раздел содержимого вложения (только для метода связывания с вложением).

      Для создания содержимого вложения доступен редактор форматированного текста. Чтобы просмотреть типичные параметры шрифта и форматирования, установите переключатель Элементы управления форматированием в значение Вкл.

      Выберите поле Фишинговая ссылка . В открывшемся диалоговом окне URL-адрес фишинга имени введите значение Имя для URL-адреса, выбранного в разделе Ссылка фишинга, а затем нажмите кнопку Подтвердить.

      Введенное значение имени добавляется в содержимое вложения в виде ссылки на URL-адрес фишинга.

    • Общие параметры для всех методов на странице Настройка полезных данных :

      • Добавление тегов

      • Тема: Доступные значения: Активация учетной записи, Проверка учетной записи, Выставление счетов, Очистка почты, Получен документ, Расход, Факс, Финансовый отчет, Входящие сообщения, Счет, Получен элемент, Оповещение о входе, Почта, Пароль, Оплата, Заработная плата, Персонализированное предложение, Карантин, Удаленная работа, Проверьте сообщение, обновление системы безопасности, приостановлено обслуживание, требуется подпись, обновление хранилища почтовых ящиков, проверка почтового ящика, голосовая почта или другое.

      • Бренд: Доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud, Other.

      • Отрасль. Доступные значения: Banking, Business Services, Consumer Services, Education, Energy, Construction, Consulting, Financial Services, Government, Hospitality, Insurance, Legal, Courier Services, IT, Healthcare, Manufacturing, Retail, Telecom, Real Estate, или Другое.

      • Текущее событие: доступные значения: Да или Нет.

      • Спорные. Доступные значения: Да или Нет.

      • Раздел "Язык ". Выберите язык для полезных данных. Доступные значения: английский, испанский, немецкий, японский, французский, португальский, голландский, итальянский, шведский, китайский (упрощенное письмо),китайский (традиционное письмо, Тайвань),норвежский букмол, польский, русский, финский, корейский, турецкий, венгерский, иврит, тайский, арабский, Вьетнамский, словацкий, греческий, индонезийский, румынский, словенский, хорватский, каталанский или другие.

      • раздел сообщения Email:

        • Можно выбрать Импорт электронной почты , а затем Выбрать файл для импорта существующего файла обычного текстового сообщения. Доступны две вкладки:

        • Вкладка "Текст". Для создания полезных данных доступен редактор форматированного текста. Чтобы просмотреть типичные параметры шрифта и форматирования, установите переключатель Элементы управления форматированием в значение Вкл.

          Совет

          Панель элементов управления форматированием содержит действие Вставка QR-кода , которое можно использовать вместо выбора элемента управления "Вставка QR-кода " в раскрывающемся списке Динамический тег для применимых методов социальной инженерии:

          Действие Вставка QR-кода в элементы управления форматированием на странице Настройка полезных данных мастера создания новых полезных данных.

          Дополнительные сведения о добавлении QR-кодов в полезные данные см. в описании элемента управления Вставка QR-кода .

          На вкладке Текст также доступны следующие элементы управления:

          • Динамический тег: выберите один из следующих тегов:

            Имя тега Значение тега
            Вставка имени пользователя ${userName}
            Вставка имени ${firstName}
            Вставить фамилию ${lastName}
            Вставка имени участника-пользователя ${upn}
            Вставка Email ${emailAddress}
            Вставка отдела ${department}
            Вставка диспетчера ${manager}
            Вставка мобильного телефона ${mobilePhone}
            Вставка города ${city}
            Дата вставки ${date|MM/dd/yyyy|offset}
          • Элемент управления Вставка QR-кода доступен только в методах Сбор учетных данных, URL-адрес диска, Предоставление согласия OAuth или Практическое руководство .

            Вместо использования ссылки в качестве полезных данных фишинга в сообщении можно использовать QR-код. При выборе элемента управления Вставка QR-кода откроется всплывающее окно Вставка QR-кода , в котором вы настраиваете следующие сведения:

            • Размер: выберите одно из следующих значений:
              • Маленький (50 x 50 пикселей)
              • Средний (100 x 100 пикселей)
              • Большой (150 x 150 пикселей)
            • Горизонтальное положение: введите горизонтальное расположение в сантиметрах. Используйте следующее поле From , чтобы указать горизонтальную начальную точку для измерения:
              • Верхний левый угол
              • Center
            • Вертикальное положение: введите вертикальное расположение в сантиметрах. Используйте следующее поле From , чтобы указать вертикальную начальную точку для измерения:
              • Верхний левый угол
              • Center

            Всплывающее окно Вставка QR-кода на странице Настройка полезных данных мастера создания новых полезных данных.

            По завершении во всплывающем окне Вставка QR-кода нажмите кнопку Сохранить.

            QR-код, вставленный в сообщение электронной почты полезных данных во время создания полезных данных.

            Совет

            • QR-код сопоставляется с URL-адресом фишинга, выбранным в разделе >Ссылка на фишинг. Выберите URL-адрес. Когда полезные данные используются в имитации, служба заменяет QR-код динамически создаваемым QR-кодом для отслеживания метрик щелчка и компрометации. Размер, положение и форма QR-кода соответствуют параметрам конфигурации, настроенным в полезных данных.

            • Если вы используете кнопку Отправить тест на странице Просмотр полезных данных (шаг 7), вы увидите QR-код, но он указывает выбранный URL-адрес фишинга. Динамический QR-код создается при использовании полезных данных в реальном симуляции.

            • QR-код вставляется в сообщение электронной почты в виде изображения. При переключении с вкладки Текст на вкладку Код вы увидите вставленное изображение в формате Base64. В начале изображения содержится <div id="QRcode"...>. Убедитесь, что готовые полезные <div id="QRcode"...> данные содержатся, прежде чем использовать их в симуляции. Например:

              <div id="QRcode" style="position: absolute; margin-top: 2%; margin-left: 2%;"><img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAM0AAADNCAYAAAAbvPRpAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAA9cSURBVHhe7dNBDiM7EgPRvv+l/1zgLVggIXm6FU...
              
            • Проверьте страницу входа при использовании полезных данных в имитации. Вы также можете создавать страницы входа во время создания симуляции. Дополнительные сведения см. в статье Создание имитации: выбор полезных данных и страница входа.

            • Мы рекомендуем провести тестовое моделирование для проверки сквозного потока перед использованием полезных данных с большей аудиторией.

          • Доступна ссылка фишинга или элемент управления вложением вредоносных программ :

            • Фишинговая ссылка доступна только в методах сбора учетных данных, URL-адреса диска или предоставления согласия OAuth .
            • Ссылка на вложение вредоносных программ доступна только в разделе Ссылка на вредоносные программы.

            После выбора элемента управления откроется диалоговое окно URL-адрес фишинга имени . Введите значение Имя для URL-адреса, выбранного в разделе Фишинговая ссылка или Ссылка для вложения , а затем нажмите кнопку Подтвердить.

            Введенное значение имени добавляется в текст сообщения в виде ссылки на URL-адрес фишинга. На вкладке Код значение ссылки — <a href="${phishingUrl}" target="_blank">Name value you specified</a>.

          Совет

          Чтобы добавить изображения, скопируйте (CTRL+C) и вставьте (CTRL+V) изображение в редактор на вкладке Текст . Редактор автоматически преобразует изображение в Base64 как часть HTML-кода. Максимальный размер полезных данных для моделирования составляет 4 МБ.

        • Вкладка "Код". Вы можете просматривать и изменять HTML-код напрямую.

        • Замените все ссылки в сообщении электронной почты фишинговой ссылкой (Credential Harvest, Link to Malware, Drive-by URL или OAuth Consent Grant only). Этот переключатель может сэкономить время, заменив все ссылки в сообщении ранее выбранной ссылкой фишинга или ссылкой на URL-адрес вложения . Чтобы выполнить это действие, переключите параметр в значение в .

    • Раздел Прогнозируемой скомпрометированной скорости. Выберите Прогнозировать скорость компрометации, чтобы вычислить прогнозируемую скорость успешного выполнения полезных данных. Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.

    Завершив работу на странице Настройка полезных данных , нажмите кнопку Далее.

    Совет

    Чтобы ознакомиться с практическим руководством, перейдите непосредственно на страницу Просмотр полезных данных .

  6. Страница Добавление индикаторов доступна только в том случае, если на странице Выбор метода выбраны Credential Harvest, Link in Attachment, Drive-by URL или OAuth Consent Grant (Предоставление согласия OAuth).

    Индикаторы помогают сотрудникам выявлять признаки фишинговых сообщений.

    На странице Добавление индикаторов выберите Добавить индикатор. Во всплывающем окне Добавление индикатора настройте следующие параметры:

    • Выберите и индикатор, который вы хотите использовать, и Где вы хотите разместить этот индикатор в полезных данных?

      Эти значения взаимосвязаны. Расположение индикатора зависит от типа индикатора. Доступные значения описаны в следующей таблице:

      Тип индикатора Расположение индикатора
      Тип вложения Тело сообщения.
      Отвлекающие детали Тело сообщения.
      Подделывание домена Тело сообщения.

      С адреса электронной почты
      Общее приветствие Тело сообщения.
      Гуманитарные призывы Тело сообщения.
      Противоречивость Тело сообщения.
      Отсутствие сведений об отправителе Тело сообщения.
      Юридический язык Тело сообщения.
      Предложение с ограниченным временем Тело сообщения.
      Имитация логотипа или фирменная символика дат Тело сообщения.
      Имитирует рабочий или бизнес-процесс Тело сообщения.
      Нет/минимальная фирменная символика Тело сообщения.
      Представляется как друг, коллега, руководитель или фигура авторитета Тело сообщения.
      Запрос конфиденциальной информации Тело сообщения.
      Индикаторы безопасности и значки Тело сообщения.

      Тема сообщения.
      Отображаемое имя отправителя и адрес электронной почты Имя отправителя

      С адреса электронной почты
      Чувство срочности Тело сообщения.

      Тема сообщения.
      Нарушения правописания и грамматики Тело сообщения.

      Тема сообщения.
      Угрожающий язык Тело сообщения.

      Тема сообщения.
      Слишком хорошие, чтобы быть истинными предложения Тело сообщения.
      Непрофессиональный дизайн или форматирование Тело сообщения.
      Гиперссылка URL-адреса Тело сообщения.
      Ты особенный Тело сообщения.

      Этот список курируется, чтобы содержать наиболее распространенные подсказки, которые появляются в фишинговых сообщениях.

      Если выбрать тему сообщения электронной почты или текст сообщения в качестве расположения индикатора, появится элемент Выбрать текст . Во всплывающем окне Выбор обязательного текста выберите (выделите) текст в теме сообщения или тексте сообщения, где должен отображаться индикатор. По завершении нажмите кнопку Выбрать.

      Расположение выделенного текста в тексте сообщения, добавляемого в индикатор в мастере создания полезных данных в Обучение эмуляции атак

      Вернитесь к всплывающему элементу Добавление индикатора , выделенный текст появится в разделе Выбранный текст .

    • Описание индикатора. Можно принять описание индикатора по умолчанию или настроить его.

    • Предварительный просмотр индикатора. Чтобы увидеть, как выглядит текущий индикатор, щелкните в любом месте раздела.

      По завершении во всплывающем окне Добавление индикатора нажмите кнопку Добавить.

    Повторите эти действия, чтобы добавить несколько индикаторов.

    На странице Добавление индикаторов можно просмотреть выбранные индикаторы:

    • Чтобы изменить существующий индикатор, выберите его, а затем выберите Изменить индикатор.

    • Чтобы удалить существующий индикатор, выберите его и нажмите кнопку Удалить.

    • Чтобы переместить индикаторы вверх или вниз в списке, выберите индикатор, а затем выберите Переместить вверх или Вниз.

    По завершении на странице Добавление индикаторов нажмите кнопку Далее.

  7. На странице Проверка полезных данных можно просмотреть сведения о полезных данных.

    Нажмите кнопку Отправить тест , чтобы отправить копию сообщения электронной почты с полезными данными себе (вошедший в систему пользователь) для проверки.

    Нажмите кнопку Предварительный просмотр индикатора , откройте полезные данные во всплывающем элементе предварительного просмотра. Предварительная версия включает все созданные индикаторы полезных данных.

    На странице Просмотр полезных данных можно выбрать Изменить в каждом разделе, чтобы изменить параметры в разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Просмотр полезных данных , нажмите кнопку Отправить. На отобразившейся странице подтверждения нажмите Готово.

    Страница

  8. На странице Создание новых полезных данных можно использовать ссылки для просмотра всех симуляций или перехода к обзору Обучение эмуляции атак.

    Завершив работу на странице Создание полезных данных , нажмите кнопку Готово.

  9. На вкладке Полезные данные клиента созданные полезные данные теперь отображаются со значением СостояниеГотово.

Принятие действий с полезными данными

Все действия с существующими полезными данными начинаются на странице Полезные данные . Чтобы перейти к ней, откройте портал Microsoft Defender по адресу https://security.microsoft.com, перейдите на вкладку Email & совместная работа>Обучение эмуляции атак>Открыть вкладку Полезные >данные клиента Полезные данные>клиента. Чтобы перейти непосредственно на вкладку Библиотека содержимого, где можно выбрать полезные данные и полезные данные клиента или Глобальные полезные данные, используйте https://security.microsoft.com/attacksimulator?viewid=contentlibrary.

Совет

Чтобы просмотреть элемент управления (Действия) на вкладках Глобальные полезные данные или Полезные данные клиента , скорее всего, потребуется выполнить одно или несколько из следующих действий.

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшение масштаба в веб-браузере.

Изменение полезных данных

Вы не можете изменять встроенные полезные данные на вкладке Глобальные полезные данные . Пользовательские полезные данные можно изменять только на вкладке Полезные данные клиента .

Чтобы изменить существующую полезную нагрузку на вкладке Полезные данные клиента , выполните одно из следующих действий.

  • Выберите полезные данные, щелкнув поле проверка рядом с именем. Выберите появилось действие Изменить полезные данные.
  • Выберите полезные данные, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений выберите Изменить полезные данные в нижней части всплывающего элемента.
  • Выберите полезные данные, щелкнув (Действия) в конце строки, а затем выберите Изменить.

Откроется мастер полезных данных с параметрами и значениями выбранных полезных данных. Действия выполняются так же, как описано в разделе Создание полезных данных .

Копирование полезных данных

Чтобы скопировать существующие полезные данные на вкладках "Полезные данные клиента" или "Глобальные полезные данные ", выполните одно из следующих действий.

  • Выберите полезные данные, щелкнув поле проверка рядом с именем, а затем выберите действие Копировать полезные данные.
  • Выберите полезные данные, щелкнув (Действия) в конце строки, а затем выберите Копировать полезные данные.

Откроется мастер создания полезных данных с параметрами и значениями выбранных полезных данных. Действия выполняются так же, как описано в разделе Создание полезных данных .

Примечание.

При копировании встроенных полезных данных на вкладке Глобальные полезные данные обязательно измените значение Name . В противном случае полезные данные будут отображаться на странице Полезные данные клиента с тем же именем, что и у встроенной полезных данных.

Архивирование полезных данных

Чтобы архивировать существующие полезные данные на вкладке Полезные данные клиента , выберите полезные данные, щелкнув (действия) в конце строки, а затем выберите Архивировать.

Значение Состояние полезных данных изменяется на Архив, и полезные данные больше не отображаются в таблице полезных данных клиента , когда параметр Показать архивные полезные данные отключен .

Чтобы просмотреть архивные полезные данные на вкладке Полезные данные клиента , установите переключатель Показать архивные полезные данные в в .

После архивации полезных данных их можно восстановить или удалить, как описано в следующих подразделах.

Восстановление архивных полезных данных

Чтобы восстановить полезные данные архива на вкладке Полезные данные клиента , выполните следующие действия.

  1. Установите переключатель Показать архивные полезные данные в значение в .
  2. Выберите полезные данные, щелкнув (Действия) в конце строки, а затем выберите Восстановить.

После восстановления архивных полезных данных значение Состояние изменится на Черновик. Чтобы просмотреть восстановленные полезные данные, переключите параметр Показать архивные полезные данные. Чтобы вернуть полезные данные в значение СостояниеГотово, измените полезные данные, просмотрите или измените параметры, а затем нажмите кнопку Отправить.

Удаление архивных полезных данных

Чтобы удалить архивированные полезные данные с вкладки Полезные данные клиента , сделайте следующее:

  1. Установите переключатель Показать архивные полезные данные в значение в .
  2. Выберите полезные данные, щелкнув (Действия) в конце строки, нажмите кнопку Удалить, а затем выберите Подтвердить в диалоговом окне подтверждения.

Отправка теста

На вкладках Полезные данные клиента или Глобальные полезные данные можно отправить копию сообщения электронной почты с полезными данными себе (вошедшего в систему пользователя) для проверки.

Выберите полезные данные, щелкнув поле проверка рядом с именем, а затем нажмите кнопку Отправить тест.

Начало использования обучения симуляции атаки

Создание имитации фишинговых атак

Получение аналитики с помощью обучения имитации атаки