Microsoft中的 Teams 攻擊模擬訓練
重要事項
目前,攻擊模擬訓練 中的 Microsoft Teams 處於私人預覽狀態。 本文中的資訊可能會變更。
在 適用於 Office 365 的 Microsoft Defender 方案 2 或 Microsoft Defender 全面偵測回應 的組織中,系統管理員現在可以使用 攻擊模擬訓練 在 Microsoft Teams 中傳遞仿真的網路釣魚訊息。 如需有關攻擊模擬訓練的詳細資訊,請參閱開始在 適用於 Office 365 的 Defender 中使用 攻擊模擬訓練。
在 攻擊模擬訓練 中新增 Teams 會影響下列功能:
裝載自動化、使用者通知、登入頁面和登陸頁面不會受到 攻擊模擬訓練 中的Teams影響。
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
Teams 模擬設定
注意事項
目前,只有當貴組織已註冊 Teams 版個人預覽版 攻擊模擬訓練 時,本節中的步驟才適用。
除了如 Microsoft Teams 中的使用者報告訊息設定中所述開啟 Teams 訊息的用戶報告之外,您也需要設定 Teams 帳戶,以作為 攻擊模擬訓練 中模擬訊息的來源。 若要設定帳戶,請執行下列步驟:
識別或建立使用者,此使用者是 Microsoft Entra ID 中全域管理員*、安全性系統管理員或攻擊模擬系統管理員角色的成員。 為 Microsoft Teams 指派 Microsoft 365、Office 365、Microsoft Teams 基本版、Microsoft 365 商務基本版 或 Microsoft 365 商務標準版 授權。 您必須知道密碼。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
使用步驟 1 中的帳戶,在 開啟 Microsoft Defender 入口網站https://security.microsoft.com,然後移至 Email & 共同作業>攻擊模擬訓練>設定索引標籤。或者,若要直接移至 [設定] 索引標籤,請使用 https://security.microsoft.com/attacksimulator?viewid=setting。
在 [設定] 索引標籤上,選取 [Teams 模擬設定] 區段中的 [管理員使用者帳戶]。
在開啟的 Teams模擬設定 飛出視窗中,選取 [ 產生令牌]。 閱讀確認對話框中的資訊,然後選取 [ 我同意]。
回到 [設定] 索引標籤,再次選取 [Teams 模擬設定] 區段中的 [管理員使用者帳戶],以重新開啟 Teams 模擬設定飛出視窗。 您現在已登入的使用者帳戶會出現在 [Teams 網络釣魚可用的使用者帳戶 ] 區段中。
若要從清單中移除使用者,請選取顯示名稱值旁邊的複選框,而不按兩下資料列中的任何其他位置。 選取出現的 [刪除 ] 動作,然後在確認對話框中選取 [ 刪除 ]。
若要防止在 Teams 模擬中使用帳戶,但保留帳戶的連結模擬歷程記錄,請選取顯示名稱值旁邊的複選框,而不需要單擊數據列中的任何其他位置。 選取出現的 [停用] 動作。
Microsoft Teams 的模擬變更
Teams 在檢視和建立模擬方面引進了下列變更,如在 適用於 Office 365 的 Defender 中使用 攻擊模擬訓練 仿真網络釣魚攻擊中所述:
在 的 [ 模擬] 索引 卷標 https://security.microsoft.com/attacksimulator?viewid=simulations上,[ 平臺 ] 數據行會顯示使用 Teams 訊息之仿真的 Teams 值。
如果您在 [模擬] 索引卷標上選取 [啟動模擬] 來建立模擬,則新模擬精靈的第一頁是 [選取傳遞平臺],您可以在其中選取 [Microsoft Teams]。 選 Microsoft Teams 會對新模擬精靈的其餘部分導入下列變更:
在 [ 選取技術 ] 頁面上,無法使用下列社交工程技術:
- 惡意代碼附件
- 附件中的連結
- 操作指南
在 [ 名稱模擬] 頁面上,會出現 [選取發件人Microsoft Teams 帳戶 ] 區段和 [選取使用者帳戶] 連結。 選 取 [選取要尋找的用戶帳戶 ],然後選取要作為 Teams 訊息來源的帳戶。
使用者清單來自位於 的 [設定] 索引標籤上的[Teams 模擬設定] 區段 攻擊模擬訓練。https://security.microsoft.com/attacksimulator?viewid=setting 本文稍早的 Teams模擬設定 一節會說明設定帳戶。
在 [ 選取承載和登入] 頁面上,預設不會列出任何承載,因為 Teams 沒有內建承載。 您必須建立Teams和選社交工程技術組合的承載。
The differences in creating payloads for Teams are described in the Changes in payloads for Microsoft Teams section in this article.
在 [ 目標使用者] 頁面上,Teams 的下列設定不同:
- 如頁面所述,Teams 中的來賓使用者會從模擬中排除。
與模擬相關的其他設定與 Teams 訊息的設定相同,如電子郵件訊息的現有內容中所述。
Microsoft Teams 的承載變更
無論您是在新的模擬精靈中,於 [內容庫] 索引卷標的 [承載] 頁面或 [選取承載和登入] 頁面上建立承載,Teams 都會介紹下列檢視和建立承載的變更,如 適用於 Office 365 的 Defender 中 攻擊模擬訓練 中的承載中所述:
在 [內容庫] 索引標籤的 [承載] 頁面上的 [全域承載和租用戶承載] 索引標籤https://security.microsoft.com/attacksimulator?viewid=contentlibrary上,[平臺] 欄會顯示使用 Teams 訊息之承載的 Teams 值。
如果您選取 [篩選] 來篩選現有承載的清單,您可以在其中選取 [平臺] 區段 Email 和 Teams。
如先前所述,Teams 沒有內建承載,因此如果您在 [全域承載] 索引卷標上依狀態>Teams 進行篩選,清單將會是空的。
如果您在 [租用戶承載] 索引標籤上選取 [建立承載] 以建立承載,則新承載精靈的第一頁是 [選取類型],您可以在其中選取 [Teams]。 選 取 Teams 會對新承載精靈的其餘部分導入下列變更:
在 [選取技術] 頁面上,[附件社交工程技術] 中的 [惡意代碼附件] 和 [連結] 不適用於 Teams。
[ 設定承載 ] 頁面有下列 Teams 變更:
- 寄件者詳細數據 區段:Teams 唯一可用的設定是 聊天主題 ,您可以在其中輸入 Teams 訊息的磚。
- 最後一個區段並未命名為 Email 訊息,但其運作方式與針對電子郵件訊息的Teams訊息相同:
- 有 [ 匯入 Teams] 訊息 按鈕可匯入現有的純文字消息檔,以作為起點。
- 動態標籤和網路釣魚連結控制元件可在 [文字] 索引標籤上取得,而[程序代碼] 索引標籤則與電子郵件訊息一樣可用。
與承載相關的其他設定與 Teams 訊息的設定相同,如電子郵件訊息的現有內容中所述。
Microsoft Teams 的模擬自動化變更
Teams 引進了下列檢視和建立模擬自動化的變更,如模擬自動化中所述 攻擊模擬訓練:
在 [自動化] 索引標籤https://security.microsoft.com/attacksimulator?viewid=automations的 [模擬自動化] 頁面上,也提供下列數據行:
- 類型:目前,此值一律為 社交工程。
- 平台:顯示使用Teams訊息或 Email用於使用電子郵件訊息之承載自動化的Teams值。
如果您在 [模擬自動化] 頁面上選取 [建立自動化] 來建立模擬自動化,則新模擬自動化精靈的第一頁是 [選取傳遞平臺],您可以在其中選取 [Teams]。 選 取 Teams 會對新模擬自動化精靈的其餘部分導入下列變更:
在 [ 自動化名稱] 頁面上,Teams 在 [ 選取選擇發件人帳戶的方法 ] 區段中提供下列設定:
- 手動選取:預設會選取此值。 在 [ 選取發件人Microsoft Teams 帳戶 ] 區段中,選取 [選取要尋找的 使用者帳戶 ],然後選取要作為 Teams 訊息來源的帳戶。
- 隨機化:從可用的帳戶隨機選取以作為Teams訊息的來源。
在 [ 選取社交工程技術 ] 頁面上,[附件社交工程技術] 中的 [ 惡意代碼附件 ] 和 [連結 ] 不適用於 Teams。
在 [ 選取承載和登入] 頁面上 ,預設不會列出任何承載,因為 Teams 沒有內建承載。 您可能需要為 Teams 和您選取的社交工程技術組合建立承載。
The differences in creating payloads for Teams are described in the Changes in payloads for Microsoft Teams section in this article.
在 [ 目標使用者] 頁面上,Teams 的下列設定不同:
- 如頁面所述,使用Teams的模擬自動化最多可以鎖定1000位使用者。
- 如果您選取 [只包含特定使用者和群組], 則 City 不是 [依 類別篩選使用者 ] 區段中可用的篩選條件。
與模擬自動化相關的其他設定與 Teams 訊息的設定相同,如電子郵件訊息的現有內容中所述。