بدء استخدام تدريب محاكاة الهجوم في Defender لـ Office 365

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على Microsoft Defender لـ Office 365 الخطة 2

إذا كانت مؤسستك لديها Microsoft 365 E5 أو خطة Microsoft Defender لـ Office 365 2، والتي تتضمن قدرات التحقيق في التهديدات والاستجابة لها، يمكنك استخدام تدريب محاكاة الهجوم في مدخل Microsoft 365 Defender لتشغيل سيناريوهات هجوم واقعية في مؤسستك. يمكن أن تساعدك هجمات المحاكاة هذه في تحديد المستخدمين المعرضين للخطر والعثور عليهم قبل أن يؤثر هجوم حقيقي على سطرك السفلي. اقرأ هذه المقالة لمعرفة المزيد.

شاهد هذا الفيديو القصير لمعرفة المزيد حول التدريب على محاكاة الهجوم.

ملاحظة

يحل تدريب محاكاة الهجوم محل تجربة المحاكاة الهجومية v1 القديمة التي كانت متوفرة في Security & Compliance Center في محاكي هجوم إدارة > المخاطر أوhttps://protection.office.com/attacksimulator.

ما الذي تحتاج إلى معرفته قبل البدء؟

• لفتح مدخل Microsoft 365 Defender، انتقل إلى https://security.microsoft.com. يتوفر التدريب على محاكاة الهجوم في التدريب على محاكاة هجوم البريد الإلكتروني والتعاون>. للانتقال مباشرة إلى تدريب محاكاة الهجوم، استخدم https://security.microsoft.com/attacksimulator.

• لمزيد من المعلومات حول توفر تدريب محاكاة الهجوم عبر اشتراكات Microsoft 365 مختلفة، راجع وصف الخدمة Microsoft Defender لـ Office 365.

• يجب تعيين أذونات لك في Azure Active Directory قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. على وجه التحديد، تحتاج إلى أن تكون عضوا في أحد الأدوار التالية:

  • المسؤول العام
  • مسؤول الأمان
  • مسؤولو ^*محاكاة الهجوم: إنشاء وإدارة جميع جوانب حملات محاكاة الهجمات.
  • كاتب^* حمولة الهجوم: إنشاء حمولات الهجوم التي يمكن للمسؤول البدء بها لاحقا.

  ^*إضافة مستخدمين إلى هذا الدور في مدخل Microsoft 365 Defender غير معتمد حاليا.

  لمزيد من المعلومات، راجع الأذونات في مدخل Microsoft 365 Defender أو حول أدوار المسؤول.

• لا توجد أوامر PowerShell cmdlets مقابلة لتدريب محاكاة الهجوم.

• يتم تخزين بيانات محاكاة الهجوم والتدريب ذات الصلة مع بيانات العملاء الأخرى لخدمات Microsoft 365. لمزيد من المعلومات، راجع مواقع البيانات Microsoft 365. تتوفر محاكاة الهجوم في المناطق التالية: NAM و APC وOR و IND و CAN و AUS و FRA و GBR و JPN و KOR و BRA و LAM و CHE و NOR و ZAF و ARE و DEU.

  ملاحظة

  NOR و ZAF و ARE و DEU هي أحدث الإضافات. ستتوفر جميع الميزات باستثناء بيانات تتبع استخدام البريد الإلكتروني التي تم الإبلاغ عنها في هذه المناطق. نحن نعمل على تمكين ذلك وسنعلم عملائنا بمجرد توفر بيانات تتبع استخدام البريد الإلكتروني التي تم الإبلاغ عنها.

• اعتبارا من 15 يونيو 2021، يتوفر تدريب محاكاة الهجوم في سحابة القطاع الحكومي. إذا كان لدى مؤسستك Office 365 سحابة القطاع الحكومي أو Microsoft Defender لـ Office 365 G5 (الخطة 2) للحكومة، يمكنك استخدام تدريب محاكاة الهجوم في Microsoft 365 Defender مدخل لتشغيل سيناريوهات هجوم واقعية في مؤسستك كما هو موضح في هذه المقالة. التدريب على محاكاة الهجوم غير متوفر بعد في بيئات سحابة القطاع الحكومي عالية أو DoD.

ملاحظة

يوفر التدريب على محاكاة الهجوم مجموعة فرعية من القدرات لعملاء E3 كإ تجريبي. يحتوي عرض الإصدار التجريبي على القدرة على استخدام حمولة Credential Harvest والقدرة على تحديد تجارب التدريب على "التصيد الاحتيالي ل ISA" أو "التصيد الاحتيالي في السوق الجماعية". لا توجد قدرات أخرى تشكل جزءا من عرض الإصدار التجريبي E3.

المحاكاه

التصيد الاحتيالي هو مصطلح عام لهجمات البريد الإلكتروني التي تحاول سرقة المعلومات الحساسة في الرسائل التي تبدو من المرسلين الشرعيين أو الموثوق بهم. التصيد الاحتيالي هو جزء من مجموعة فرعية من التقنيات التي نصنفها كهندسة اجتماعية.

في التدريب على محاكاة الهجوم، تتوفر أنواع متعددة من تقنيات الهندسة الاجتماعية:

• تسجيل بيانات الاعتماد: يرسل المهاجم إلى المستلم رسالة تحتوي على عنوان URL. عندما ينقر المستلم على عنوان URL، يتم نقله إلى موقع ويب يعرض عادة مربع حوار يطلب من المستخدم اسم المستخدم وكلمة المرور الخاصة به. عادة ما يتم تصميم صفحة الوجهة لتمثيل موقع ويب معروف من أجل بناء الثقة في المستخدم.

• مرفق البرامج الضارة: يرسل المهاجم إلى المستلم رسالة تحتوي على مرفق. عندما يفتح المستلم المرفق، يتم تشغيل التعليمات البرمجية العشوائية (على سبيل المثال، ماكرو) على جهاز المستخدم لمساعدة المهاجم على تثبيت تعليمات برمجية إضافية أو مواصلة العمل بنفسه.

• الارتباط في المرفق: هذا مزيج من قطف بيانات الاعتماد. يرسل المهاجم إلى المستلم رسالة تحتوي على URL داخل مرفق. عندما يفتح المستلم المرفق وينقر فوق عنوان URL، يتم نقله إلى موقع ويب يعرض عادة مربع حوار يطلب من المستخدم اسم المستخدم وكلمة المرور الخاصة به. عادة ما يتم تصميم صفحة الوجهة لتمثيل موقع ويب معروف من أجل بناء الثقة في المستخدم.

• ارتباط بالبرامج الضارة: يرسل المهاجم إلى المستلم رسالة تحتوي على ارتباط إلى مرفق على موقع معروف لمشاركة الملفات (على سبيل المثال، SharePoint Online أو Dropbox). عندما ينقر المستلم على عنوان URL، يفتح المرفق ويتم تشغيل التعليمات البرمجية العشوائية (على سبيل المثال، ماكرو) على جهاز المستخدم لمساعدة المهاجم على تثبيت تعليمات برمجية إضافية أو مواصلة العمل بأنفسهم.

• محرك الأقراص حسب url: يرسل المهاجم إلى المستلم رسائل تحتوي على عنوان URL. عندما ينقر المستلم على عنوان URL، يتم نقله إلى موقع ويب يحاول تشغيل التعليمات البرمجية للخلفية. يحاول رمز الخلفية هذا جمع معلومات حول المستلم أو نشر التعليمات البرمجية العشوائية على جهازه. عادة ما يكون موقع الويب الوجهة موقعا معروفا تم اختراقه أو نسخة من موقع ويب معروف. تساعد الإلمام بموقع الويب على إقناع المستخدم بأن الارتباط آمن للنقر فوقه. تعرف هذه التقنية أيضا باسم هجوم فتحة المياه.

ملاحظة

تحقق من توفر عنوان URL التصيد الاحتيالي المحاكي في مستعرضات الويب المدعومة قبل استخدام عنوان URL في حملة التصيد الاحتيالي. في حين أننا نعمل مع العديد من موردي سمعة URL للسماح دائما بعناوين URL المحاكاة هذه، فإننا لا نتمتع دائما بتغطية كاملة (على سبيل المثال، Google خزينة استعراض). يوفر معظم الموردين إرشادات تسمح لك بالسماح دائما بعناوين URL محددة (على سبيل المثال، https://support.google.com/chrome/a/answer/7532419).

يتم وصف عناوين URL التي يستخدمها التدريب على محاكاة الهجوم في القائمة التالية:

• https://www.mcsharepoint.com
• https://www.attemplate.com
• https://www.doctricant.com
• https://www.mesharepoint.com
• https://www.officence.com
• https://www.officenced.com
• https://www.officences.com
• https://www.officentry.com
• https://www.officested.com
• https://www.prizegives.com
• https://www.prizemons.com
• https://www.prizewel.com
• https://www.prizewings.com
• https://www.shareholds.com
• https://www.sharepointen.com
• https://www.sharepointin.com
• https://www.sharepointle.com
• https://www.sharesbyte.com
• https://www.sharession.com
• https://www.sharestion.com
• https://www.templateau.com
• https://www.templatent.com
• https://www.templatern.com
• https://www.windocyte.com

إنشاء محاكاة

للحصول على إرشادات خطوة بخطوة حول كيفية إنشاء محاكاة جديدة وإرسالها، راجع محاكاة هجوم التصيد الاحتيالي.

إنشاء حمولة

للحصول على إرشادات خطوة بخطوة حول كيفية إنشاء حمولة للاستخدام داخل محاكاة، راجع إنشاء حمولة مخصصة للتدريب على محاكاة الهجوم.

اكتساب رؤى

للحصول على إرشادات خطوة بخطوة حول كيفية الحصول على رؤى مع إعداد التقارير، راجع اكتساب رؤى من خلال التدريب على محاكاة الهجوم.

ملاحظة

يستخدم محاكي الهجوم ارتباطات خزينة في Defender لـ Office 365 لتعقب بيانات النقر بأمان لعنوان URL في رسالة الحمولة التي يتم إرسالها إلى المستلمين المستهدفين لحملة التصيد الاحتيالي، حتى إذا نقر المستخدم "تعقب" فوق الإعداد في نهج الارتباطات خزينة تم إيقاف تشغيلها.