通过攻击模拟培训模拟网络钓鱼攻击
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在 Microsoft 365 E5 或计划 2 Microsoft Defender for Office 365 攻击模拟训练中,模拟是你在组织中运行的良性网络攻击。 这些模拟可测试你的安全策略和做法,并培训员工提高他们的意识,降低他们遭受攻击的易感性。 本文将引导你使用 攻击模拟训练 创建模拟钓鱼攻击。
有关攻击模拟训练的入门信息,请参阅开始使用 攻击模拟训练。
提示
若要在不通过模拟的情况下向用户分配培训,请参阅攻击模拟训练中的培训活动。
若要启动模拟钓鱼攻击,请执行以下步骤:
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>攻击模拟训练>Simulations 选项卡。或者,若要直接转到“模拟”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=simulations。
在“模拟”选项卡上,选择“启动模拟”以启动新的模拟向导。
以下部分介绍创建模拟的步骤和配置选项。
注意
在新建模拟向导中命名模拟后,可以随时选择“ 保存并关闭 ”以保存进度,稍后继续。 不完整的模拟具有 “状态” 值 “草稿”。 可以通过选择模拟,然后选择出现的“编辑模拟”操作来选择离开的位置。
选择社交工程技术
在 “选择技术” 页上,选择可用的社交工程技术:
- Credential Harvest*
- 恶意软件附件
- 附件中的链接
- 指向恶意软件的链接*
- 驾驶 URL
- OAuth 同意授予*
- 操作指南*
* 这种社会工程技术允许使用 QR 码。 有关详细信息,请参阅本文后面的 QR 代码模拟和训练 部分。
如果在说明中选择“ 查看详细信息” 链接,则会打开一个详细信息浮出控件,用于描述技术以及该技术产生的模拟步骤。
有关不同社交工程技术的详细信息,请参阅 模拟。
完成“ 选择技术” 页后,选择“ 下一步”。
命名并描述模拟
在 “名称模拟 ”页上,配置以下设置:
- 名称:输入模拟的唯一描述性名称。
- 说明:输入模拟的可选详细说明。
完成 “名称模拟 ”页后,选择“ 下一步”。
选择有效负载和登录页
在 “选择有效负载和登录”页上 ,需要选择现有有效负载或创建要使用的新有效负载。
对于 “附件中的凭据收获 ”或 “链接” 社交工程技术,还可以查看有效负载中使用的登录页、选择要使用的其他登录页或创建要使用的新登录页。
选择有效负载
“选择有效负载和登录”页包含两个选项卡:
- 全局有效负载:包含内置有效负载。
- 租户有效负载:包含自定义有效负载。
每个有效负载都显示以下信息:
- 有效负载名称
- 语言:有效负载内容的语言。 Microsoft的有效负载目录 (全局) 提供 29 多种语言的有效负载,如筛选器中所述。
- 预测泄露率:跨 Microsoft 365 的历史数据,用于预测应受到此有效负载危害的用户 (用户/接收有效负载) 的用户总数的百分比。 有关详细信息,请参阅 预测的泄露率。
可以通过单击可用的列标题对条目进行排序。
若要在列表中查找有效负载,请在“搜索”框中键入部分有效负载名称,然后按 Enter 键。
若要筛选有效负载,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
源:可用值为: Global、 Tenant 和 All。
复杂性:根据有效负载中指示可能的攻击 (拼写错误、紧急性等 ) 的指示器数量计算。 更多的指标更容易识别为攻击,并指示复杂性较低。 可用值为: 高、 中和 低。
语言:可用值为:英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰语、意大利语、瑞典语、中文 (简体) 、中文 (繁体、台湾) 、挪威语、挪威语、波兰文、俄语、芬兰语、韩语、土耳其语、匈牙利语、希伯来语、泰语、阿拉伯语、越南语、斯洛伐克语、印度尼西亚语、罗马尼亚语、斯洛文尼亚语、克罗地亚语、加泰罗尼亚语和其他。
按主题筛选:可用值为:帐户激活、帐户验证、计费、清理邮件、收到的文档、费用、传真、财务报告、传入邮件、发票、收到的项目、登录警报、邮件接收、密码、付款、工资单、个性化产品/服务、隔离区、 远程工作、审阅邮件、安全更新、服务暂停、需要签名、升级邮箱存储、验证邮箱、语音邮件和其他。
按品牌筛选:可用值包括:American Express、Capital One、DHL、DocuSign、Dropbox、Facebook、First American、Microsoft、Netflix、Scotiabank、SendGrid、Stewart Title、Tesco、Wells Fargo、Syrinx Cloud和其他。
按行业筛选:可用值包括:银行、商业服务、消费者服务、教育、能源、建筑、咨询、金融服务、政府、酒店、保险、法律、快递服务、医疗保健、制造业、零售、电信、房地产和其他。
当前事件:可用值为 “是” 或 “否”。
争议性:可用值为 “是” 或 “否”。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
如果通过选择名称旁边的检查框来选择有效负载,则有效负载列表上方会显示“发送测试”操作。 使用此操作可将有效负载电子邮件的副本发送给自己, (当前登录的用户) 进行检查。
在“ 租户有效负载 ”选项卡上,如果没有可用的有效负载,或者想要创建自己的有效负载,请选择“ 创建有效负载”。 创建步骤与攻击模拟训练>“内容库”选项卡“>有效负载>租户有效负载”选项卡相同。有关详细信息,请参阅为攻击模拟训练创建自定义有效负载。
如果通过单击名称旁边的检查框以外的任何位置来选择有效负载,则会在打开的浮出控件中显示有关有效负载的详细信息:
- “概述”选项卡 (“凭据收获”中的“有效负载”和“附件有效负载中的链接”) 包含有关有效负载的详细信息,包括预览。
- “登录页”选项卡仅适用于“附件有效负载中的凭据获取”或“链接”,在选择登录页子节中介绍了该选项卡。
- “ 附件 ”选项卡仅适用于 “恶意软件附件”、“ 附件中的链接”和 “Oauth 同意授予 ”有效负载。 此选项卡包含有关附件的详细信息,包括预览。
- “ 启动的模拟 ”选项卡包含 “模拟名称”、“ 单击率”、“ 已泄露率”和 “操作”。
如果模拟不使用附件有效负载中的“凭据收获”或“链接”,或者你不想查看或编辑使用的登录页,请在“选择有效负载和登录”页上选择“下一步”以继续。
若要选择 “凭据收获 ”或 “附件有效负载中的链接”中使用的 登录页,请转到 “选择登录页” 子部分。
选择登录页
注意
“ 登录页 ”选项卡仅在 “凭据收获 ”或 “附件有效负载中的链接” 的详细信息浮出控件中可用。
在“选择有效负载和登录”页上,单击行中除“检查”框以外的任意位置选择有效负载,以打开有效负载的详细信息浮出控件。
在有效负载的详细信息浮出控件中,“ 登录页 ”选项卡显示当前为有效负载选择的登录页。
若要查看完整的登录页,请使用页面底部的第 1页和第 2 页 链接获取两页登录页。
若要更改有效负载中使用的登录页,请选择“ 更改登录页”。
在打开 的“选择登录页” 浮出控件上,将显示每个登录页的以下信息:
- 名称
- 语言
- 源:对于内置登录页,值为 Global。 对于自定义登录页,值为 Tenant。
- 创建者:对于内置登录页,该值 Microsoft。 对于自定义登录页,该值是创建登录页的用户的 UPN。
- 上次修改时间
- 操作:选择“预览”以预览登录页。
若要在列表中查找登录页,请在“搜索”框中键入登录页名称的一部分,然后按 Enter 键。
选择“筛选”,按“源”或“语言”筛选登录页。
若要创建新的登录页,请选择“ 新建”。 创建步骤与攻击模拟训练>“内容库”选项卡“>登录页>”“租户登录页”选项卡相同。有关说明,请参阅创建登录页。
返回 “选择登录”页,验证你创建的新登录页是否已选中,然后选择“ 保存”。
返回有效负载详细信息浮出控件,选择“ 关闭”。
完成 “选择有效负载和登录”页 后,选择“ 下一步”。
配置 OAuth 有效负载
注意
仅当在“选择技术”页上选择了“OAuth 同意授予”和相应的有效负载时,此页面才可用。
在 “配置 OAuth 有效负载” 页上,配置以下设置:
- 应用名称:输入有效负载的名称。
- 应用徽标:选择“ 浏览 ”以选择要使用的 .png、.jpeg或 .gif 文件。 若要在选择文件后将其删除,请选择“ 删除”。
-
选择应用范围:选择以下值之一:
- 读取用户日历
- 读取用户联系人
- 读取用户邮件
- 读取所有聊天消息
- 读取用户可以访问的所有文件
- 对用户邮件的读写权限
- 以用户身份发送邮件
完成“ 配置 OAuth 有效负载 ”页后,选择“ 下一步”。
目标用户
在 “目标用户 ”页上,选择接收模拟的用户。 使用以下选项选择用户:
包括组织中的所有用户:不可修改的用户列表显示在 10 个组中。 可以使用用户列表下方的 “下一步 ”和“ 上一个” 来滚动浏览列表。 还可以使用页面上的搜索来查找特定用户。
提示
虽然无法从此页上的列表中删除用户,但可以使用下一个 “排除用户 ”页来排除特定用户。
仅包括特定用户和组:首先, “目标 用户”页上未显示任何用户或组。 若要将用户或组添加到模拟,请选择以下选项之一:
添加用户:在打开的 “添加用户” 浮出控件中,找到并选择要接收模拟的用户和组。 支持以下组类型:
- Microsoft 365 组 (静态和动态)
- 通讯组仅 (静态)
- 已启用邮件的安全组仅 (静态)
以下搜索工具可用:
搜索用户或组:如果单击“搜索”框并执行以下操作之一,则“添加用户”浮出控件上的“按类别筛选用户”选项将替换为“用户列表”部分:
- 键入三个或多个字符,然后按 Enter 键。 包含这些字符的任何用户或组名称都按“名称”、“Email”、“职务”和“类型”显示在“用户列表”部分中。
- 键入少于三个字符或无字符,然后按 Enter 键。 “ 用户列表 ”部分未显示任何用户,但你可以在“ 搜索 ”框中键入三个或更多字符来搜索用户和组。
结果数显示在 “选定 (0/x) 用户 ”标签中。
提示
选择“ 添加筛选器 ”将清除“ 用户列表 ”部分的所有结果,并将结果替换为 “按类别筛选用户”。
如果“用户列表”部分中有用户或组的列表,请通过选择“名称”列旁边的“检查”框来选择部分或全部结果。 所选结果数显示在 “选定 (y/x) 用户 ”标签中。
选择“ 添加 x 个用户 ”,在“目标用户”页上添加所选 用户 或组,并返回到 “目标用户 ”页。
按类别筛选用户:使用以下选项:
建议的用户组:从以下值中进行选择:
- 所有建议的用户组:与选择 过去三个月内模拟未针对的用户 和 重复犯罪者的结果相同。
- 过去三个月中模拟未针对的用户
- 重复罪犯:有关详细信息,请参阅 配置重复罪犯阈值。
用户标记:用户标记是特定用户组的标识符, (例如优先级帐户) 。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记。 使用以下选项:
- 搜索:在“按用户标记搜索”中,可以键入部分用户标记名称,然后按 Enter。 可以选择部分或全部结果。
- 选择 “所有用户标记”
- 选择现有用户标记。 如果链接可用,请选择“ 查看所有用户标记 ”以查看可用标记的完整列表。
城市:使用以下选项:
- 搜索:在“按城市搜索”中,可以键入“城市”值的一部分,然后按 Enter。 可以选择部分或全部结果。
- 选择“所有城市”
- 选择现有的“城市”值。 如果链接可用,请选择“ 查看所有城市 ”,以查看可用城市值的完整列表。
国家/地区:使用以下选项:
- 搜索:在 “按国家/地区搜索”中,可以键入部分“国家/地区”值,然后按 Enter。 可以选择部分或全部结果。
- 选择 “所有国家/地区”
- 选择现有的“城市”值。 如果链接可用,请选择“ 查看所有国家/地区 ”,以查看可用国家/地区值的完整列表。
部门:使用以下选项:
- 搜索:在“按部门搜索”中,可以键入部分“部门”值,然后按 Enter。 可以选择部分或全部结果。
- 选择“所有部门”
- 选择现有的“部门”值。 如果链接可用,请选择“ 查看所有部门 ”以查看可用部门值的完整列表。
标题:使用以下选项:
- 搜索:在“按标题搜索”中,可以键入部分“标题”值,然后按 Enter。 可以选择部分或全部结果。
- 全选标题
- 选择现有 Title 值。 如果链接可用,请选择“ 查看所有游戏 ”以查看可用游戏值的完整列表。
可以使用部分或全部搜索类别来查找用户和组。 如果选择多个类别,则使用 AND 运算符。 任何用户或组都必须匹配这两个值才能在结果中返回 (如果在多个类别中使用值 All) ,则几乎是不可能的。
特定类别用作搜索条件的值数显示在类别磁贴旁边, (例如 “城市 50 ”或 “优先级帐户 10) ”。
完成按类别搜索后,选择“ 应用 (x) ”按钮。 “添加用户”浮出控件上以前的“按类别筛选用户”选项将替换为以下信息:
- 筛选器 部分:显示使用了多少个筛选器值以及筛选器值的名称。 如果可用,请选择“ 查看所有” 链接,查看所有筛选器值
- 用户列表 部分:显示与类别搜索匹配的用户或组。 结果数显示在 “选定 (0/x) 用户 ”标签中。
如果“用户列表”部分中有用户或组的列表,请通过选择“名称”列旁边的“检查”框来选择部分或全部结果。 所选结果数显示在 “选定 (y/x) 用户 ”标签中。
选择“ 添加 x 个用户 ”按钮,在“目标用户”页上添加所选 用户 或组,并返回到 “目标用户 ”页。
导入:在打开的对话框中,指定每行包含一个电子邮件地址的 CSV 文件。
找到选择的 CSV 文件后,用户将被导入并显示在 “目标用户 ”页上。
在“main目标用户”页上,可以使用“搜索”框查找所选用户。 还可以选择“删除”,然后在确认对话框中选择“确认”以删除特定用户。
若要添加更多用户和组,请在“目标用户”页上选择“添加用户”或“导入”,并重复上述步骤。
在“ 目标用户 ”页上完成操作后,选择“ 下一步”。
排除用户
在 “排除用户 ”页上,可以选择“ 从此模拟中排除一些目标用户 ”,根据之前在 “目标 用户”页上的选择排除将包括的用户。
查找和选择用户的方法与上一部分中所述的 “仅包括特定用户和组”相同。
完成“ 排除用户 ”页后,选择“ 下一步”。
分配训练
在 “分配训练 ”页上,可以为模拟分配训练。 建议为每个模拟分配培训,因为经过培训的员工不太容易受到类似攻击。
在模拟过程中,使用页面上的以下选项分配训练:
“首选项” 部分:在 “选择训练内容首选项”中,在下拉列表中选择以下选项之一:
Microsoft训练体验 (建议) :这是默认值。 此值具有以下在页面上配置的关联选项:
- 选择以下值之一:
- 为我分配训练 (建议) :这是默认值。 我们根据用户以前的模拟和训练结果分配训练。
- 自行选择培训课程和模块:如果选择此值,向导中的下一步是 “训练作业 ”,可在其中找到并选择“培训”。 训练作业小节介绍了这些步骤。
-
截止日期 部分:在 “选择训练截止日期”中,选择以下值之一:
- 模拟结束后 30 天 (这是默认值)
- 模拟结束后 15 天
- 模拟结束后 7 天
- 选择以下值之一:
重定向到自定义 URL:此值具有以下要在页面上配置的关联选项:
- 需要自定义训练 URL ()
- 自定义训练名称 (必需)
- 自定义训练说明
- 自定义训练持续时间 (分钟) :默认值为 0,这意味着训练没有指定的持续时间。
-
截止日期 部分:在 “选择训练截止日期”中,选择以下值之一:
- 模拟结束后 30 天 (这是默认值)
- 模拟结束后 15 天
- 模拟结束后 7 天
无训练:如果选择此值,页面上的唯一选项是 “下一步”。
完成“ 分配培训 ”页后,选择“ 下一步”。
培训作业
注意
仅当在“分配培训”页上选择了“选择培训课程和模块”时,此页面才可用。
在“训练作业”页上,通过选择“添加训练”选择要添加到模拟的训练。
在打开的 “添加训练 ”浮出控件中,使用以下选项卡选择要包括在模拟中的训练:
- “建议 ”选项卡:显示基于模拟配置的建议内置训练。 这些训练与上一页上选择“ 为我分配培训” (“推荐) ”时分配的训练相同。
- “所有训练”选项卡:显示所有可用的内置训练。
在任一选项卡上,每个训练都显示以下信息:
- 训练名称
- 源:值为 Global。
- 持续时间 (分钟)
- 预览:选择 “预览 ”以查看训练。
在任一选项卡上,都可以使用“ 搜索 ”框查找训练。 键入部分训练名称,然后按 Enter 键。
在任一选项卡上,通过选择训练名称旁边的“检查”框来选择一个或多个训练。 若要选择所有训练,请选择“训练名称”列标题中的“检查”框。 完成后,选择“添加”。
返回到 “训练作业 ”页,现在会列出所选训练。 每个训练都显示以下信息:
- 训练名称
- Source
- 持续时间 (分钟)
-
分配给:对于每个训练,通过从以下值中进行选择来选择获取训练的人员:
- 所有用户
- 一个或两个值 单击的有效负载 或 已泄露。
- 删除:选择“删除”以从模拟中删除训练。
完成“ 训练作业 ”页后,选择“ 下一步”。
选择登陆页
在 “选择网络钓鱼登陆页”页上 ,配置用户在模拟中打开有效负载时将访问的网页。
选择下列选项之一:
使用库中的登陆页面:以下选项可用:
- 有效负载指示器 部分:选择 “将有效负载指示器添加到电子邮件 ”,以帮助用户了解如何识别钓鱼电子邮件。
- 在登陆页之前显示间隙页面:仅当在“选择社交工程技术”页上选择了“驾驶 URL”时,此设置才可用。 可以显示针对逐路 URL 攻击出现的覆盖。 若要隐藏覆盖层并直接转到登陆页,请不要选择此选项。
“选择网络钓鱼登陆页”页的其余部分有两个选项卡,可在其中选择要使用的登陆页:
“全局登陆页 ”选项卡:包含内置登陆页。 通过选择名称旁边的检查框来选择要使用的内置登陆页面时,将显示包含以下选项的“编辑布局”部分:
- 添加徽标:选择“ 浏览徽标图像 ”以查找并选择 .png、.jpeg或 .gif 文件。 徽标大小应最大为 210 x 70,以避免扭曲。 若要删除徽标,请选择“ 删除上传的徽标图像”。
- 选择默认语言:此设置是必需的。 选择以下值之一: 中文 (简体) 、 中文 (繁体、台湾) 、 荷兰语、 英语、 西班牙语、 法语、 德语、 意大利语、 日语、 韩语、葡萄牙语或 俄语。
租户登陆页 选项卡:包含创建的任何自定义登陆页。 若要创建新的登陆页,请选择“ 新建”。 创建步骤与攻击模拟训练>“内容库”选项卡“>网络钓鱼登陆页>”“租户登陆页”选项卡相同。有关说明,请参阅创建登陆页。
在两个选项卡上,每个登陆页面都显示以下信息。 可以通过单击可用的列标题对登陆页进行排序。 选择“自定义列”以更改显示的列。 默认列标有星号 () * :
- 名字*
- 语言*:如果登陆页包含多个翻译,则前两种语言将直接显示。 若要查看其余语言,请将鼠标悬停在数字图标 (例如 +10) 。
- Source
- 默认语言*
- 地位*
- 链接模拟*
- 创建者
- 创建时间*
- 修改者*
- 上次修改时间*
若要在列表中查找登陆页,请在“搜索”框中键入登陆页名称的一部分,然后按 Enter 键。
选择“筛选”,按语言筛选登陆页面。
选择登陆页后,如果单击行中的任何位置,将打开详细信息浮出控件,其中显示有关登陆页的详细信息:
- “ 预览 ”选项卡向用户显示登陆页面的外观。
- “ 详细信息 ”选项卡显示登陆页的属性。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他登陆页面的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
完成登陆页详细信息浮出控件后,选择“ 关闭”。
在“选择网络钓鱼登陆页”页上,通过选择“名称”列旁边的“检查”框来选择要使用的登陆页。
使用自定义 URL:如果在“选择技术”页上选择了“恶意软件附件”或“链接到恶意软件”,则此设置不可用。
如果选择“ 使用自定义 URL”,则需要在显示的“ 输入自定义登陆页 URL ”框中添加 URL。 “选择网络钓鱼登陆”页上没有其他可用选项。
在 “选择网络钓鱼登陆页”页上 完成操作后,选择“ 下一步”。
选择最终用户通知
在 “选择最终用户通知” 页上,从以下通知选项中进行选择:
不传递通知:页面上没有其他配置选项可用。 用户不会收到来自模拟 的培训分配通知、 培训提醒通知 或 积极强化通知 。 在警告对话框中选择“ 继续 ”。
Microsoft默认通知 (建议) :用户收到的通知显示在页面上:
- Microsoft操作指南社会工程技术的默认正强化通知 (,这是唯一可用的通知)
- Microsoft默认训练分配通知
- Microsoft默认训练提醒通知
在“选择默认语言”中选择要使用的 默认语言。 可用值包括: 简体中文 () 、 中文 (繁体、台湾) 、 英语、 法语、 德语、 意大利语、 日语、 韩语、 葡萄牙语、 俄语、 西班牙语、 荷兰语、 波兰文、 阿拉伯语、 芬兰语、 希腊语、 匈牙利语、 印度尼西亚语、 挪威语、 罗马尼亚语、 斯洛伐克语、 瑞典语、 泰国语、 土耳其语、 越南语、 加泰罗尼亚语、 克罗地亚语或 斯洛文尼亚语。
对于每个通知,都提供以下信息:
通知:通知的名称。
语言:如果通知包含多个翻译,则直接显示前两种语言。 若要查看其余语言,请将鼠标悬停在数字图标 (例如 +10) 。
类型:以下值之一:
- 正强化通知
- 训练作业通知
- 培训提醒通知
传递首选项:需要配置以下传递首选项,然后才能继续:
- 对于 Microsoft默认的正面强化通知,请选择 “不交付”、“ 活动结束后交付”或 “在市场活动期间交付”。
- 对于 Microsoft默认训练提醒通知,请选择“ 每周两次 ”或“ 每周”。
操作:如果选择“查看”,将打开“审阅”通知页,其中包含以下信息:
- “预览 ”选项卡:在用户看到通知消息时查看通知消息。 若要查看不同语言的邮件,请使用 “选择通知语言 ”框。
-
“详细信息 ”选项卡:查看有关通知的详细信息:
- 通知说明
- 源:对于内置通知,值为 Global。 对于自定义通知,值为 Tenant。
-
通知类型:基于最初选择的通知的以下类型之一:
- 正强化通知
- 训练作业通知
- 培训提醒通知
- 修改者
- 上次修改时间
完成 “审阅通知 ”页后,选择“ 关闭 ”以返回到 “选择最终用户通知 ”页。
自定义的最终用户通知:页面上没有其他可用的配置选项。 选择“ 下一步”时,需要选择 训练作业通知、 培训提醒通知, (可以选择) “积极强化”通知 ,以用于模拟,如接下来的三个小节中所述。
在 “选择最终用户通知” 页上完成操作后,选择“ 下一步”。
选择训练分配通知
注意
只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时,此页面才可用。
“ 训练作业通知 ”页显示以下通知及其配置的语言:
- Microsoft默认训练分配通知
- Microsoft默认的仅限市场活动培训分配通知
- 之前创建的任何自定义训练分配通知。
这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供:
- 在 处的“ 全局通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供了内置训练分配通知;source=global。
- 自定义培训分配通知位于 的“ 租户通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供;source=tenant。
有关详细信息,请参阅攻击模拟训练的最终用户通知。
请按照以下步骤之一操作:
选择要使用的现有通知:
若要在列表中搜索现有通知,请在“搜索”框中键入部分通知名称,然后按 Enter 键。
通过单击检查框以外的任意位置选择通知时,将打开一个详细信息浮出控件,其中显示有关通知的详细信息:
- “ 预览 ”选项卡显示通知对用户的外观。
- “ 详细信息 ”选项卡显示通知的属性。
完成通知详细信息浮出控件后,选择“ 关闭”。
在“培训分配通知”页上,通过选择名称旁边的“检查”框来选择要使用的通知。
创建要使用的新通知:选择“ 新建”。 创建步骤与 创建最终用户通知相同。
注意
在新通知向导的 “定义详细信息 ”页上,请务必为通知类型选择 “训练分配通知 ”值。
创建完通知后,返回到 “培训分配通知 ”页,新通知现在显示在列表中供你选择
完成“ 培训作业通知 ”页后,选择“ 下一步”。
选择培训提醒通知
注意
只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时,此页面才可用。
“ 培训提醒通知 ”页显示以下通知及其配置的语言:
- Microsoft默认训练提醒通知
- Microsoft默认培训仅限市场活动培训提醒通知
- 之前创建的任何自定义训练提醒通知。
这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供:
- 在 处的“ 全局通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供了内置培训提醒通知;source=global。
- 自定义培训提醒通知位于 的 “租户通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供;source=tenant。
有关详细信息,请参阅攻击模拟训练的最终用户通知。
在 “设置提醒通知的频率”中,选择“ 每周 (默认值) 或 每周两次,然后执行以下步骤之一:
选择要使用的现有通知:
若要在列表中搜索现有通知,请在“搜索”框中键入部分通知名称,然后按 Enter 键。
通过单击检查框以外的任意位置选择通知时,将打开一个详细信息浮出控件,其中显示有关通知的详细信息:
- “ 预览 ”选项卡显示通知对用户的外观。
- “ 详细信息 ”选项卡显示通知的属性。
完成通知详细信息浮出控件后,选择“ 关闭”。
在“培训提醒通知”页上,通过选择名称旁边的检查框来选择要使用的通知。
创建要使用的新通知:选择“ 新建”。 创建步骤与 创建最终用户通知相同。
注意
在新通知向导的 “定义详细信息 ”页上,请务必为通知类型选择 “训练提醒 通知”值。
完成通知创建后,将返回到 “培训提醒通知 ”页,新通知现在显示在列表中选择。
在 “培训提醒通知 ”页上完成操作后,选择“ 下一步”。
选择肯定的强化通知
注意
只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时,此页面才可用。
在 “传递首选项 ”部分中,有以下选项用于正面强化通知:
不要使用正强化通知:选择“ 不传递 ”。 页面上没有其他任何配置,因此在选择“下一步”时转到“启动详细信息”页。
使用现有的正强化通知:选择剩余值之一:
- 在用户报告网络钓鱼和市场活动结束后传递
- 在用户报告网络钓鱼后立即交付。
页面上会显示以下通知及其配置的语言:
- Microsoft默认的正强化通知
- 之前创建的任何自定义正强化通知。
这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供:
- 在 处的“ 全局通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供了内置的正强化通知;source=global。
- 自定义正强化通知位于 的 “租户通知 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=contentlibrary&提供;source=tenant。
有关详细信息,请参阅攻击模拟训练的最终用户通知。
若要在列表中搜索现有通知,请在“搜索”框中键入部分通知名称,然后按 Enter 键。
通过单击检查框以外的任意位置选择通知时,将打开一个详细信息浮出控件,其中显示有关通知的详细信息:
- “ 预览 ”选项卡显示通知对用户的外观。
- “ 详细信息 ”选项卡显示通知的属性。
完成通知详细信息浮出控件后,选择“ 关闭”。
在“积极强化通知”页上,通过选择名称旁边的“检查”框,选择要使用的现有通知。
创建要使用的新正强化通知:选择“ 新建”。 创建步骤与 创建最终用户通知相同。
注意
在新通知向导的“ 定义详细信息 ”页上,请务必为通知类型选择“ 正强化通知 ”值。
创建完通知后,返回到 “积极强化通知 ”页,新通知现在显示在列表中选择。
完成“ 积极强化通知 ”页后,选择“ 下一步”。
配置模拟启动详细信息
在 “启动详细信息 ”页上,选择何时开始和结束模拟。 在指定的结束日期之后,我们将停止捕获此模拟的交互。
选择下列值之一:
完成后立即启动此模拟
计划稍后启动此模拟:此值具有以下要配置的关联选项:
- 选择启动日期
- 选择启动时间小时
- 选择启动时间分钟
- 选择时间格式:选择 “上午 ”或 “下午”。
配置页面上的剩余选项:
- 配置结束模拟的天数:默认值为两天,这也是最小值。 最大值为 30 天。
- 启用区域感知时区传递:如果选择此值,模拟攻击消息将在其区域工作时间传递给用户。
完成“ 启动详细信息 ”页后,选择“ 下一步”。
查看模拟详细信息
在 “查看模拟 ”页上,可以查看模拟的详细信息。
选择“发送测试”按钮,将有效负载电子邮件的副本发送给自己, (当前登录的用户) 进行检查。
可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面来修改设置。
完成“ 查看模拟 ”页后,选择“ 提交”。
在“已计划启动模拟”页上,可以使用链接转到攻击模拟训练概述或查看所有有效负载。
完成已 计划启动的模拟后,选择“ 完成”。
返回到“ 模拟 ”选项卡,此时会列出你创建的模拟。 “状态”值取决于在“配置模拟启动详细信息”步骤中的先前选择:
- 如果在完成操作后选择“启动此模拟”,则正在进行中。
- 如果已选择“计划稍后启动此模拟”,则已计划。
QR 码模拟和训练
可以选择包含 QR 码的有效负载以用于模拟。 QR 代码将网络钓鱼 URL 替换为以下社交工程技术中的模拟电子邮件中使用的有效负载:
- Credential Harvest
- 指向恶意软件的链接
- 驾驶 URL
- OAuth 同意授予
- 操作指南
有关 QR 代码有效负载和配置自定义 QR 码有效负载的详细信息,请参阅 QR 代码有效负载。
有关使用 QR 代码有效负载报告模拟的详细信息,请参阅 QR 代码模拟报告。
查看模拟
攻击模拟训练 https://security.microsoft.com/attacksimulator 中的“模拟”选项卡显示创建的任何模拟。
每个模拟都显示以下信息。 可以通过单击可用的列标题对模拟进行排序。 选择“自定义列”以更改显示的列。 默认情况下,选择所有列:
- 模拟名称
- 类型
- 平台
- 启动日期
- 结束日期
- 实际泄露率 (%) :受模拟入侵的用户 (/接收模拟) 的用户总数的百分比。
- 预测泄露率 (%) :跨 Microsoft 365 的历史数据,用于预测 (用户泄露的用户/接收有效负载) 的用户总数的百分比。 有关详细信息,请参阅 预测的泄露率。
- 技术:模拟中使用的 社会工程技术 。
-
状态:以下值之一:
- Draft
- Scheduled
- 正在进行
- 已完成
- 失败
- Canceled
- 排除
- ⋮ (操作 控制) :对模拟执行操作。 可用操作取决于模拟 的状态值, 如过程部分所述。 此控件始终显示在行的末尾。
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
使用“ 搜索 ”框搜索现有模拟的名称。
选择“筛选”,按“技术”或“状态” (除“排除”) 之外的所有“状态”值筛选模拟。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
若要查看已从报告中排除的模拟, (“状态”值为“排除”) ,请使用“模拟”选项卡上的“显示排除的模拟”开关。
查看模拟报告
对于状态值为“正在进行”或“已完成”的模拟,可以使用以下方法之一在“模拟”选项卡上https://security.microsoft.com/attacksimulator?viewid=simulations查看模拟报告:
- 单击名称旁边的“检查”框以外的行中的任意位置,选择模拟。
- 单击行末尾的“⋮ (操作) ”,然后选择“查看报表”,选择模拟。
打开的报表页的标题显示模拟的名称和其他信息 (例如状态、社会工程技术和交付状态) 。
提示
在以下方案中,将打开报表页,但页面上没有其他信息或操作可用:
- Status 值为 Scheduled。
- 创建模拟后的前几分钟,状态值为“正在进行”。
可以选择“查看活动时间线”,查看有关模拟 (计划、模拟启动、模拟结束和训练截止日期) 的日期/时间信息。
报表页的其余部分包含选项卡,如以下小节中所述。
若要关闭模拟报告,请选择“ 关闭”。
报表选项卡
有关模拟的“ 报表 ”选项卡上的内容的说明,请参阅 模拟的模拟报表。
“用户”选项卡
“ 用户 ”选项卡包含模拟中每个用户的以下信息。 可以通过单击可用的列标题对用户进行排序。 选择“自定义列”以更改显示的列。 默认列标有星号 () * :
- 名字* (无法取消选择此值)
- 妥协*
- 报道*
- 训练状态*
- 其他操作*
- 已泄露*
- 报告日期*
- 外出天数
- 在上阅读的消息
- 在 上转发的邮件
- 邮件已删除
- 已答复邮件
- 交付失败*
- 用户名* (无法取消选择此值)
- Department
- Company
- 职务
- Office
- 市/县
- 国家/地区
- Manager
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
若要将用户列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或普通”,然后选择“ 压缩列表”。
选择“筛选”,通过在打开的浮出控件中选择以下一个或多个值来筛选目标用户:
- 已泄露:选择 “是 ”或“ 否”。
- 报告的消息:选择 “是 ”或“ 否”。
- 模拟消息传递:选择“ 已传递 ”或“ 无法传递”。
- 其他操作:*选择以下一个或多个值: 答复邮件、 转发邮件和 已删除邮件。
- 训练状态:选择“已完成”、“正在进行”、“未启动”或“未分配”。
- 分配的训练:选择一个或多个分配的训练。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
使用“ 搜索 ”框通过键入部分名称,然后按 Enter 键在列表中查找用户。
“详细信息”选项卡
“ 详细信息 ”选项卡包含以下部分中有关模拟的详细信息:
-
说明 部分:
- 交付平台
- 类型
- 技术
- 启动详细信息
- 有效负载 & 登录页:选择 “预览有效负载 & 登录页 ”,在详细信息浮出控件中预览有效负载和登录页。
- 目标用户:选择“ 查看排除的用户或组” ,在详细信息浮出控件中查看排除的用户或组。
- 登陆页:选择“ 预览登陆页 ”以预览登陆页。
-
训练信息 部分:包含以下列的表:
- 训练名称
- 分配到
- 操作:选择“视图”以查看训练。
-
通知 部分:包含以下列的表:
- 通知名称
- 通知类型
- 交付频率
- 操作:选择“视图”以查看通知。
对模拟执行操作
对现有模拟执行的所有操作都从“模拟”选项卡开始。若要转到该位置,请在 中打开Microsoft Defender门户https://security.microsoft.com,转到“Email &协作>攻击模拟训练>Simulations”选项卡。或者,若要直接转到“模拟”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=simulations。
提示
若要查看在“模拟”选项卡上执行模拟所需的⋮ (操作) 控件,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
复制模拟
可以复制现有模拟,并根据需要对其进行修改。 在基于以前的模拟创建新模拟时,此操作可节省时间和精力。
无论“状态”值如何,都可以复制“模拟”选项卡中提供的任何模拟。 复制模拟时,可以在模拟的新副本中更改设置。 例如,更改模拟名称、说明、技术、有效负载和目标用户。
- 我们不建议复制 失败 的模拟,因为失败的原因可能会在复制的模拟中重复出现。
- 复制模拟时,复制 (使用最新的设置,例如有效负载、登陆页和最终用户通知) 。 如果删除了任何内容,系统会提示你再次选择相应的内容。
- 当从搜索栏中添加组 (搜索用户 或组) 时,将使用模拟启动时的最新目标用户和排除用户。 在以下方案中,目标用户和排除的用户保持不变:
- 用户列表是从 CSV 文件导入的。
- 用户是从搜索栏添加的。
- 添加了不同类别的用户: 所有用户、 建议的用户组、 用户标记、 城市、国家/地区、部门、标题。
- 原始模拟中未来的计划启动时间将按原样复制和使用。 原始模拟中的过去启动时间结果为默认值,在副本中 完成此模拟后立即启动此模拟 。
若要复制模拟,请执行以下步骤:
- 在 的“模拟”选项卡上https://security.microsoft.com/attacksimulator?viewid=simulations,通过选择名称旁边的“检查”框,找到并选择要复制的模拟。
- 选择选项卡上显示的“复制模拟”操作。
- 此时会打开模拟向导,其中包含原始模拟中的所有设置。 “ 名称模拟 ”页上的默认模拟名称是原始名称加上 后缀_Copy。
- 根据需要查看和修改模拟配置。 选择“ 提交 ”以启动它,或 选择“保存并关闭” 以稍后查看它。 如果选择“ 取消”,则不会保存复制的模拟。
取消模拟
可以使用 状态 值 “正在进行” 或“ 计划”取消模拟。
若要取消模拟,请执行以下步骤:
- 在 的“ 模拟 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=simulations,通过选择行末尾的 “⋮ (操作 ”) ,找到并选择要取消的正在进行或计划的模拟。
- 选择“取消模拟”,然后在确认对话框中选择“确认”。
取消模拟后, “状态” 值将更改为 “已取消”。
- 取消状态值为“计划”的模拟会导致 100% 取消。 不会发送任何培训分配消息或通知,并且活动已完全结束。
- 取消状态值为“正在进行”的模拟将产生以下结果:
- 继续向目标用户提供模拟。
- 如果在训练作业后取消模拟,训练作业仍显示为“到期”,但后续训练提醒将被取消。
- 如果在训练作业之前取消模拟,则不会分配训练,也不会发送任何训练作业通知。
- 已收到模拟钓鱼消息的用户会体验到以下结果:
对于使用钓鱼链接 (除 恶意软件附件) 以外的所有社交工程技术,链接将被停用。 选择链接将显示以下消息:
此 URL 是 Microsoft 提供的模拟钓鱼练习的一部分,不再处于活动状态。
对于 恶意软件附件 社交工程技术,登陆页面保持可见。
如果用户报告模拟钓鱼邮件,则会传递正强化消息。
删除模拟
无法删除状态值为“正在进行”的模拟。
若要删除模拟,请执行以下步骤:
- 在 的“ 模拟 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=simulations,通过选择行末尾 的⋮ (操作) 来查找并选择要删除的模拟。
- 选择“删除”,然后在确认对话框中选择“确认”。
删除模拟后,它不再显示在“ 模拟 ”选项卡上。
从报告中排除已完成的模拟
“排除”操作仅适用于状态值为“已竞争”的模拟。
默认情况下,所有已完成的模拟都包含在报告中。 若要从报告中排除已完成的模拟,请执行以下步骤:
- 在 的“ 模拟 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=simulations,通过选择行末尾的 “⋮ (操作 ”) ,找到并选择要从报表中排除的已完成模拟。
- 选择“排除”,然后在确认对话框中选择“确认”。
从报表中排除已完成的模拟后,“状态”值将更改为“已排除”,并且当“显示排除的模拟”开关处于关闭状态时,模拟在“模拟”选项卡上不再可见。
若要查看已从报表中排除的已完成模拟,请使用以下方法之一:
- 在“ 模拟 ”选项卡上,将 “显示排除的模拟” 切换为“在 上 。 仅显示排除的模拟。
- 在 的“设置”选项卡上https://security.microsoft.com/attacksimulator?viewid=setting,选择“从报告排除的模拟”部分中的“查看所有”链接。 此操作将转到“ 模拟 ”选项卡,其中“ 显示排除的模拟” 在 上 切换。 排除的模拟与所有其他模拟一起显示在列表中。 使用 Status 值找到它。 有关详细信息,请参阅 查看从报表中排除的模拟。
在报告中包括已完成的模拟
仅当按照上一部分所述排除模拟时,才会将其排除在报告之外。 “包括”操作仅适用于状态值“已排除”的模拟,只有在上切换“显示排除的模拟”时,“模拟”选项卡上才可见。
若要在排除已完成的会话后在报告中包括该会话,请执行以下步骤:
- 在 的“ 模拟 ”选项卡上 https://security.microsoft.com/attacksimulator?viewid=simulations,将 “显示排除的模拟” 开关设置为“ 打开”。
- 单击行末尾的“⋮ (操作) ”来选择模拟,然后选择“排除”。
包含排除的模拟后, “状态” 值将更改为 “已完成”。 将 “显示排除的模拟” 切换为“关闭 ”以查看模拟。