开始使用攻击模拟培训
提示
你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。
在具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在 Microsoft 365 E5) 等订阅中的组织中,可以使用 Microsoft Defender 门户中的攻击模拟训练在组织中运行实际攻击方案。 这些模拟攻击可以帮助你在真正的攻击影响你的利润之前识别和查找易受攻击的用户。
本文介绍攻击模拟训练的基础知识。
观看此简短视频,详细了解攻击模拟训练。
注意
攻击模拟训练取代了在威胁管理>攻击模拟器或 https://protection.office.com/attacksimulator的安全 & 合规中心提供的旧攻击模拟器 v1 体验。
开始前,有必要了解什么?
攻击模拟训练需要 Microsoft 365 E5 或 Microsoft Defender for Office 365 计划 2 许可证。 有关许可要求的详细信息,请参阅 许可条款。
攻击模拟训练支持本地邮箱,但报告功能减少。 有关详细信息,请参阅 报告本地邮箱的问题。
若要打开 Microsoft Defender 门户,请转到 https://security.microsoft.com。 电子邮件和协作>攻击模拟培训中提供了攻击模拟训练。 若要直接转到攻击模拟训练,请使用 https://security.microsoft.com/attacksimulator。
有关不同 Microsoft 365 订阅中攻击模拟训练可用性的详细信息,请参阅 Microsoft Defender for Office 365 服务说明。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Entra 权限:需要具有以下角色之一的成员身份:
- 全局管理员¹
- 安全管理员
- 攻击模拟管理员²:创建和管理攻击模拟活动的各个方面。
- 攻击有效负载作者²:创建管理员稍后可以启动的攻击有效负载。
重要
¹ Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
² 目前不支持在 Microsoft Defender 门户中将用户添加到电子邮件 & 协作权限 中的此角色组。
没有用于攻击模拟训练的相应 PowerShell cmdlet。
攻击模拟和训练相关数据与 Microsoft 365 服务的其他客户数据一起存储。 有关详细信息,请参阅 Microsoft 365 个数据位置。 攻击模拟训练在以下区域提供:APC、EUR 和 NAM。 这些区域中提供攻击模拟训练的国家/地区包括 ARE、AUS、BRA、CAN、CHE、DEU、FRA、GBR、IND、JPN、KOR、LAM、NOR、POL、QAT、SGP、SWE 和 ZAF。
注意
NOR、ZAF、ARE 和 DEU 是最新的新增内容。 除报告的电子邮件遥测之外的所有功能都可用于这些区域。 我们正在努力启用这些功能,一旦报告的电子邮件遥测可用,我们将立即通知客户。
截至 2023 年 9 月,攻击模拟训练在 Microsoft 365 GCC 和 GCC High 环境中可用,但 GCC High (某些高级功能不可用,例如有效负载自动化、建议的有效负载、预测泄露率) 。 如果你的组织具有 Office 365 G5 GCC 或 Microsoft Defender for Office 365 (Plan 2) for Government,则可以使用本文中所述的攻击模拟培训。 攻击模拟训练在 DoD 环境中尚不可用。
注意
攻击模拟培训以试用版的形式向 E3 客户提供一部分功能。 试用版产品/服务包含使用 Credential Harvest 有效负载的功能,以及选择“ISA 钓鱼”或“大规模市场钓鱼”培训体验的功能。 E3 试用版产品/服务没有其他功能。
模拟
攻击模拟培训中的模拟是向用户提供真实但无害的网络钓鱼消息的整体活动。 模拟的基本元素包括:
- 谁获取模拟网络钓鱼消息以及按什么计划获取。
- 针对模拟钓鱼邮件) 的正确和不正确的操作,用户根据操作或缺乏操作 (获得的培训。
- 模拟钓鱼邮件中使用的 有效负载 (链接或附件) ,钓鱼邮件的构成 (例如,包裹已送达、帐户出现问题或你赢得了奖品) 。
- 使用 的社会工程技术 。 有效负载和社会工程技术密切相关。
在攻击模拟训练中,提供了多种类型的社会工程技术。 除 操作指南外,这些技术是从 MITRE ATT&CK® 框架中策划的。 不同的有效负载可用于不同的技术。
以下社会工程技术可用:
凭据收获:攻击者向收件人发送包含 URL 的消息。 当收件人单击 URL 时,他们会转到一个网站,该网站通常显示一个对话框,询问用户输入用户名和密码。 通常,目标页面以表示已知网站为主题,以便在用户中建立信任。
恶意软件附件:攻击者向收件人发送包含附件的邮件。 例如,当收件人打开附件时,任意代码 (在用户的设备上运行宏) ,以帮助攻击者安装其他代码或进一步巩固自己。
附件中的链接:此技术是凭据收集的混合。 攻击者向收件人发送包含附件内 URL 的邮件。 当收件人打开附件并单击 URL 时,他们将转到一个网站,该网站通常显示一个对话框,要求用户输入其用户名和密码。 通常,目标页面以表示已知网站为主题,以便在用户中建立信任。
指向恶意软件的链接:攻击者向收件人发送一条消息,其中包含指向已知文件共享网站上附件的链接, (例如 SharePoint Online 或 Dropbox) 。 当收件人单击 URL 时,附件将打开,任意代码 (例如,在用户的设备上运行宏) ,以帮助攻击者安装其他代码或进一步巩固自己。
逐个 URL:攻击者向收件人发送包含 URL 的消息。 当收件人单击 URL 时,他们将转到尝试运行后台代码的网站。 此后台代码尝试收集有关收件人的信息,或在其设备上部署任意代码。 通常,目标网站是已泄露的已知网站或已知网站的克隆。 熟悉网站有助于说服用户单击链接是安全的。 此方法也称为 浇水洞攻击。
OAuth 同意授予:攻击者创建一个恶意 Azure 应用程序,试图获取对数据的访问权限。 应用程序发送包含 URL 的电子邮件请求。 当收件人单击 URL 时,应用程序的同意授予机制会请求访问数据 (例如用户的收件箱) 。
操作指南:一个教学指南,其中包含用户 (例如如何报告钓鱼邮件) 的说明。
下表列出了攻击模拟训练使用的 URL:
注意
在网络钓鱼活动中使用该 URL 之前,请检查支持的 Web 浏览器中模拟钓鱼 URL 的可用性。 有关详细信息,请参阅 Google 安全浏览阻止的网络钓鱼模拟 URL。
创建模拟
有关如何创建和启动模拟的说明,请参阅 模拟钓鱼攻击。
模拟中的 登陆页 是用户在打开有效负载时转到的位置。 创建模拟时,选择要使用的登陆页。 可以从内置登陆页、已创建的自定义登陆页中进行选择,也可以创建在创建模拟期间使用的新登陆页。 若要创建登陆页,请参阅 攻击模拟训练中的登陆页面。
模拟中的最终用户通知向用户发送定期提醒, (例如,培训分配和提醒通知) 。 可以从内置通知、已创建的自定义通知中进行选择,也可以创建在创建模拟期间使用的新通知。 若要创建通知,请参阅 针对攻击模拟训练的最终用户通知。
提示
模拟自动化 与传统模拟进行了以下改进:
- 模拟自动化可以包括多种社交工程技术和相关有效负载, (模拟仅包含一个) 。
- 模拟自动化支持自动计划选项 (的不仅仅是模拟) 的开始日期和结束日期。
有关详细信息,请参阅 攻击模拟训练的模拟自动化。
有效负载
尽管攻击模拟包含许多适用于可用社交工程技术的内置有效负载,但你可以创建自定义有效负载以更好地满足业务需求,包括 复制和自定义现有有效负载。 在创建模拟之前或创建模拟期间,可以随时创建有效负载。 若要创建有效负载,请参阅 为攻击模拟训练创建自定义有效负载。
在使用“附件”社交工程技术中的 “凭据收获” 或 “链接”的模拟中 , 登录页 是所选有效负载的一部分。 登录页是用户在其中输入其凭据的网页。 每个适用的有效负载都使用默认登录页,但你可以更改使用的登录页。 可以从内置登录页、已创建的自定义登录页中进行选择,也可以创建在创建模拟或有效负载期间使用的新登录页。 若要创建登录页,请参阅 攻击模拟训练中的登录页。
模拟钓鱼邮件的最佳训练体验是使其尽可能接近组织可能遇到的真实网络钓鱼攻击。 如果可以捕获和使用在 Microsoft 365 中检测到的实际网络钓鱼邮件的无害版本,并将其用于模拟网络钓鱼活动,该怎么办? 可以使用 有效负载自动化 (也称为 有效负载收集) 。 若要创建有效负载自动化,请参阅 用于攻击模拟训练的有效负载自动化。
报表和见解
创建并启动模拟后,需要了解其运行方式。 例如:
- 每个人都收到了吗?
- 谁对模拟钓鱼邮件及其中的有效负载执行了哪些操作, (删除、报告、打开有效负载、输入凭据等 ) 。
- 谁完成了分配的训练。
攻击模拟训练的见解和报告中介绍了攻击 模拟训练的可用报告和见解。
预测的泄露率
通常需要针对特定受众定制模拟网络钓鱼活动。 如果钓鱼消息太接近完美,几乎每个人都会被它愚弄。 如果太可疑,就不会被它愚弄。 而且,某些用户认为难以识别的钓鱼邮件被认为很容易被其他用户识别。 那么,你如何取得平衡呢?
预测的入侵率 (PCR) 指示在模拟中使用有效负载时的潜在有效性。 PCR 使用跨 Microsoft 365 的智能历史数据来预测有效负载将受到威胁的人员的百分比。 例如:
- 有效负载内容。
- 来自其他模拟的聚合和匿名入侵率。
- 有效负载元数据。
使用 PCR 可以比较网络钓鱼模拟的预测点击率与实际点击率。 还可以使用此数据来查看与预测结果相比组织的表现情况。
在以下报告和见解中,无论在何处查看和选择有效负载,都可以使用有效负载的 PCR 信息:
提示
攻击模拟器使用 Defender for Office 365 中的安全链接安全地跟踪发送到钓鱼活动目标收件人的有效负载邮件中的 URL 的点击数据,即使安全链接策略中的 跟踪用户单击 设置已关闭。
不带技巧的训练
传统的网络钓鱼模拟向用户显示可疑消息和以下目标:
- 让用户将邮件报告为可疑邮件。
- 在用户单击或启动模拟恶意有效负载并放弃其凭据后提供培训。
但是,有时你不希望等待用户执行正确或不正确的操作,然后再对其进行培训。 攻击模拟训练提供以下功能来跳过等待并直接进行训练:
培训活动:培训活动是针对目标用户的仅培训分配。 可以直接分配训练,而无需让用户通过模拟的测试。 通过培训活动,可以轻松地开展学习课程,例如每月的网络安全意识培训。 有关详细信息,请参阅 攻击模拟训练中的训练市场活动。
模拟中的操作指南:基于 社会工程操作指南 技术的模拟不会尝试测试用户。 操作指南是一种轻型学习体验,用户可以直接在收件箱中查看。 例如,以下内置 操作指南 有效负载可用,你可以创建自己的 (包括 复制和自定义现有有效负载) :
- 教学指南:如何报告钓鱼邮件
- 教学指南:如何识别和报告 QR 钓鱼邮件