Nyttolastautomatiseringar för Övning av attacksimulering
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I Övning av attacksimulering i Microsoft 365 E5 eller Microsoft Defender för Office 365 plan 2 samlar automatisering av nyttolaster (även kallat nyttolasthämtning) in information från verkliga nätfiskeattacker som rapporterats av användare i din organisation. Du kan ange de villkor som ska sökas efter i nätfiskeattacker (till exempel mottagare, social teknik eller avsändarinformation).
Payload Automation efterliknar meddelanden och nyttolaster från attacken och lagrar dem som anpassade nyttolaster med identifierare i nyttolastnamnet. Du kan sedan använda de skördade nyttolasten i simuleringar eller automatiseringar för att automatiskt starta ofarliga simuleringar till målanvändare.
Mer information om hur automatisering av nyttolaster samlas in finns i avsnittet Bilaga i slutet av den här artikeln.
Information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.
Om du vill se befintliga nyttolastautomatiseringar som du har skapat öppnar du Microsoft Defender-portalen på https://security.microsoft.com, går till fliken >Email & samarbete>Övning av attacksimulering>Automationer och väljer sedan Nyttolastautomatiseringar. Om du vill gå direkt till fliken Automations där du kan välja Nyttolastautomatiseringar använder https://security.microsoft.com/attacksimulator?viewid=automationsdu .
Följande information visas för varje nyttolastautomatisering. Du kan sortera nyttolastautomatiseringarna genom att klicka på en tillgänglig kolumnrubrik.
- Automationsnamn
- Typ: Värdet är Payload.
- Insamlade objekt
- Senast ändrad
- Status: Värdet är Klar eller Utkast.
Tips
Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:
- Rulla vågrätt i webbläsaren.
- Begränsa bredden på lämpliga kolumner.
- Ta bort kolumner från vyn.
- Zooma ut i webbläsaren.
Skapa nyttolastautomatiseringar
Gör följande för att skapa en nyttolastautomatisering:
I Microsoft Defender-portalen på https://security.microsoft.com/går du till fliken Email & samarbete>Övning av attacksimulering>Automations-fliken>Nyttolastautomatiseringar. Om du vill gå direkt till fliken Automations där du kan välja Nyttolastautomatiseringar använder https://security.microsoft.com/attacksimulator?viewid=automationsdu .
På sidan Nyttolastautomatiseringar väljer du Skapa automatisering för att starta den nya guiden för nyttolastautomatisering.
Obs!
När som helst när du namnger nyttolastautomatiseringen under den nya guiden för nyttolastautomatisering kan du välja Spara och nära för att spara förloppet och fortsätta konfigurera nyttolastautomatiseringen senare. Den ofullständiga nyttolastautomationen har statusvärdetUtkast i nyttolastautomatiseringar på fliken Automations . Du kan fortsätta där du slutade genom att välja nyttolastautomatisering och klicka på Redigera automatisering.
För närvarande är nyttolasthämtning inte aktiverat i GCC-miljöer på grund av datainsamlingsbegränsningar.
Konfigurera följande inställningar på sidan Automation-namn :
- Namn: Ange ett unikt, beskrivande namn för nyttolastautomatiseringen.
- Beskrivning: Ange en valfri detaljerad beskrivning för nyttolastautomatiseringen.
När du är klar på sidan Automation-namn väljer du Nästa.
På sidan Körningsvillkor väljer du villkoren för den verkliga nätfiskeattack som avgör när automatiseringen körs.
Välj Lägg till villkor och välj sedan från något av följande villkor:
- Nej. användare som är mål för kampanjen: I rutorna som visas konfigurerar du följande inställningar:
- Lika med, Mindre än, Större än, Mindre än eller lika med, eller Större än eller lika med.
- Ange värde: Antalet användare som nätfiskekampanjen har riktat in sig på.
-
Kampanjer med en specifik nätfisketeknik: Välj ett av de tillgängliga värdena i rutan som visas:
- Skörd av autentiseringsuppgifter
- Bifogad kod för skadlig kod
- Länk i bifogad fil
- Länk till skadlig kod
- Instruktioner
- Specifik avsändardomän: I rutan som visas anger du ett e-postdomänvärde för avsändaren (till exempel contoso.com).
- Specifikt avsändarnamn: I rutan som visas anger du ett avsändarnamnvärde.
- E-post för specifik avsändare: I rutan som visas anger du en e-postadress till avsändaren.
- Specifika användare och gruppmottagare: I rutan som visas börjar du skriva användarens eller gruppens namn eller e-postadress. När den visas väljer du den.
Du kan bara använda varje villkor en gång. Flera villkor använder AND-logik (<Condition1> och <Condition2>).
Om du vill lägga till ett annat villkor väljer du Lägg till villkor.
Om du vill ta bort ett villkor när du har lagt till det väljer du .
När du är klar på sidan Kör villkor väljer du Nästa.
- Nej. användare som är mål för kampanjen: I rutorna som visas konfigurerar du följande inställningar:
På sidan Granska automatisering kan du granska informationen om din nyttolastautomatisering.
Du kan välja Redigera i varje avsnitt om du vill ändra inställningarna i avsnittet. Eller så kan du välja Tillbaka eller den specifika sidan i guiden.
När du är klar på sidan Granska automatisering väljer du Skicka.
På sidan Ny automatisering som skapats kan du använda länkarna för att aktivera nyttolastautomatiseringen eller gå till sidan Simuleringar .
När du är klar väljer du Klar.
När du är tillbaka på Nyttolastautomatiseringar på fliken Automations visas nu den nyttolastautomatisering som du skapade med statusvärdetKlar.
Aktivera eller inaktivera automatisering av nyttolast
Du kan aktivera eller inaktivera nyttolastautomatiseringar med statusvärdetKlar. Du kan inte aktivera eller inaktivera ofullständiga nyttolastautomatiseringar med statusvärdetUtkast.
Om du vill aktivera en nyttolastautomatisering markerar du den i listan genom att klicka på kryssrutan bredvid namnet. Välj åtgärden Aktivera som visas och välj sedan Bekräfta i dialogrutan.
Om du vill inaktivera en nyttolastautomatisering markerar du den i listan genom att klicka på kryssrutan bredvid namnet. Välj åtgärden Inaktivera som visas och välj sedan Bekräfta i dialogrutan.
Ändra automatisering av nyttolast
Du kan bara ändra nyttolastautomatiseringar med statusvärdetUtkast eller som är inaktiverat.
Gör något av följande för att ändra en befintlig automatisering av nyttolasten på sidan Payload Automations :
- Markera nyttolastautomatiseringen i listan genom att markera kryssrutan bredvid namnet. Välj åtgärden Redigera automatisering som visas.
- Markera nyttolastautomatiseringen i listan genom att klicka var som helst på raden förutom kryssrutan. I den utfällbara menyn information som öppnas går du till fliken Allmänt och väljer Redigera i avsnitten Namn, Beskrivning eller Kör villkor .
Guiden för nyttolastautomatisering öppnas med inställningarna och värdena för den valda nyttolastautomatiseringen. Stegen är desamma som beskrivs i avsnittet Skapa nyttolastautomatiseringar .
Ta bort automatisering av nyttolast
Om du vill ta bort en nyttolastautomatisering markerar du nyttolastautomationen i listan genom att klicka på kryssrutan. Välj åtgärden Ta bort som visas och välj sedan Bekräfta i dialogrutan.
Visa information om automatisering av nyttolast
För nyttolastautomatiseringar med statusvärdetKlar väljer du nyttolasten på sidan Nyttolastautomatiseringar genom att klicka var som helst på raden förutom kryssrutan bredvid namnet. Den utfällbara menyn med information som öppnas innehåller följande information:
Automationsnamnet för nyttolasten och antalet insamlade objekt.
Fliken Allmänt :
- Senast ändrad
- Typ: Värdet är Payload.
- Avsnitten Namn, Beskrivning och Körningsvillkor : Välj Redigera för att öppna guiden för nyttolastautomatisering på den relaterade sidan.
Fliken Körningshistorik: Den här fliken är endast tillgänglig för nyttolastautomatiseringar med statusvärdetKlar.
Visar information om körningshistoriken för simuleringar som använde nyttolastautomatiseringen.
Tips
Om du vill se information om andra automatiseringar av nyttolast utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.
Bilaga
Payload Automation förlitar sig på e-postmeddelanden som identifieras som kampanjer av Defender för Office 365:
Administratörer som markerar meddelanden som nätfiske resulterar inte i nyttolastskörd.
Automatisering av nyttolaster kräver åtkomst till rånyttolasten, som kan innehålla användarrapporterade meddelanden som uppfyller följande kriterier:
- Meddelandet levererades till inkorgen (falskt negativt).
- Användaren rapporterade meddelandet som nätfiske.
- Det rapporterade meddelandet skickades till Microsoft (direkt av användaren eller av en administratör från portalen för inlämningar) och Microsoft fastställde att meddelandet var nätfiske.
Berättigade nyttolaster skördas om meddelandena uppfyller kriterierna för nyttolastautomatisering enligt beskrivningen tidigare i den här artikeln (steg 4 i Skapa nyttolastautomatiseringar).
Relaterade länkar
Kom igång med Attack simuleringsträning