Začínáme s využitím trénování simulace útoku v Defender pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v programu Microsoft 365 Defender for Office 365 Plan 2? Využijte 90denní zkušební verzi programu Defender for Office 365 v centru zkušebních verzí portálu Microsoft 365 Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Platí pro Microsoft Defender pro Office 365 plán 2.

Pokud má vaše organizace Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plán 2, který zahrnuje možnosti vyšetřování hrozeb a reakce, můžete pomocí trénování simulace útoku na portálu Microsoft 365 Defender spustit scénáře realistického útoku ve vaší organizaci. Tyto simulované útoky vám můžou pomoct identifikovat a najít zranitelné uživatele předtím, než skutečný útok ovlivní váš konec. Další informace najdete v tomto článku.

V tomto krátkém videu se dozvíte více o trénování simulace útoku.

Poznámka

Trénování simulace útoku nahrazuje staré prostředí simulátoru útoku v1, které bylo k dispozici v Centru zabezpečení & dodržování předpisů v simulátoru útoku správy > hrozeb nebo https://protection.office.com/attacksimulator.

Co potřebujete vědět, než začnete?

  • Pokud chcete otevřít portál Microsoft 365 Defender, přejděte na https://security.microsoft.com. Školení k simulaci útoku je k dispozici na školení k simulaci útoku na e-mail a spolupráci>. Pokud chcete přejít přímo na školení simulace útoku, použijte příkaz https://security.microsoft.com/attacksimulator.

  • Další informace o dostupnosti trénování simulace útoku v různých předplatných Microsoft 365 najdete v Microsoft Defender pro Office 365 popisu služby.

  • Abyste mohli postupovat podle pokynů v tomto článku, musíte mít v Azure Active Directory přiřazená oprávnění. Konkrétně musíte být členem jedné z následujících rolí:

    • Globální správce
    • Správce zabezpečení
    • Správci* simulace útoků: Vytvářejte a spravujte všechny aspekty kampaní simulace útoků.
    • Autor *datové části útoku: Vytvořte datové části útoku, které může správce zahájit později.

    *Přidání uživatelů do této role na portálu Microsoft 365 Defender se v současné době nepodporuje.

    Další informace najdete v tématu Oprávnění na portálu Microsoft 365 Defender nebo o rolích správce.

  • Pro trénování simulace útoku neexistují žádné odpovídající rutiny PowerShellu.

  • Simulace útoků a trénování související data se ukládají s dalšími zákaznickými daty pro Microsoft 365 služby. Další informace najdete v tématu Microsoft 365 umístění dat. Simulace útoku je k dispozici v následujících oblastech: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE a DEU.

    Poznámka

    NOR, ZAF, ARE a DEU jsou nejnovější dodatky. V těchto oblastech budou dostupné všechny funkce kromě nahlášené telemetrie e-mailu. Pracujeme na tom, abychom to povolili, a upozorníme naše zákazníky, jakmile bude k dispozici nahlášená telemetrie e-mailu.

  • Od 15. června 2021 je v GCC k dispozici školení k simulaci útoku. Pokud má vaše organizace Office 365 G5 GCC nebo Microsoft Defender pro Office 365 (Plán 2) pro státní správu, můžete pomocí trénování simulace útoku na portálu Microsoft 365 Defender spustit scénáře realistického útoku ve vaší organizaci, jak je popsáno v tomto článku. Trénování simulace útoku ještě není k dispozici v prostředích GCC High nebo DoD.

Poznámka

Trénování simulace útoků nabízí zákazníkům E3 podmnožinu možností jako zkušební verzi. Nabídka zkušební verze obsahuje možnost používat datovou část Credential Harvest a možnost vybrat trénovací prostředí pro útoky phishing ISA nebo Mass Market Phishing. Součástí nabídky zkušební verze E3 nejsou žádné další možnosti.

Simulace

Phishing je obecný termín pro e-mailové útoky, které se snaží ukrást citlivé informace ve zprávách, které se zdají být od legitimních nebo důvěryhodných odesílatelů. Phishing je součástí podmnožiny technik, které klasifikujeme jako sociální inženýrství.

V trénování simulace útoku je k dispozici několik typů technik sociálního inženýrství:

  • Získání přihlašovacích údajů: Útočník pošle příjemci zprávu, která obsahuje adresu URL. Když příjemce klikne na adresu URL, přejde na web, který obvykle zobrazuje dialogové okno s žádostí uživatele o jeho uživatelské jméno a heslo. Cílová stránka je obvykle motivem znázorňující dobře známý web, aby bylo možné vytvořit důvěru uživatele.

  • Příloha s malwarem: Útočník pošle příjemci zprávu, která obsahuje přílohu. Když příjemce přílohu otevře, spustí se na zařízení uživatele libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo provést další krok.

  • Odkaz v příloze: Jedná se o hybridní získání přihlašovacích údajů. Útočník pošle příjemci zprávu, která obsahuje adresu URL uvnitř přílohy. Když příjemce přílohu otevře a klikne na adresu URL, převezme ho na web, který obvykle zobrazuje dialogové okno s žádostí uživatele o jeho uživatelské jméno a heslo. Cílová stránka je obvykle motivem znázorňující dobře známý web, aby bylo možné vytvořit důvěru uživatele.

  • Odkaz na malware: Útočník pošle příjemci zprávu, která obsahuje odkaz na přílohu na známém webu pro sdílení souborů (například SharePoint Online nebo Dropbox). Když příjemce klikne na adresu URL, otevře se příloha a na zařízení uživatele se spustí libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo provést další krok.

  • Drive-by-url: Útočník odešle příjemci zprávy, které obsahují adresu URL. Když příjemce klikne na adresu URL, přejde na web, který se pokusí spustit kód na pozadí. Tento kód na pozadí se pokusí shromáždit informace o příjemci nebo nasadit libovolný kód na jeho zařízení. Cílový web je obvykle dobře známý web, u kterého došlo k ohrožení zabezpečení, nebo klon dobře známého webu. Znalost webu pomáhá přesvědčit uživatele, že odkaz je bezpečné kliknout. Tato technika se také označuje jako zalévá otvor útok.

Poznámka

Před použitím adresy URL v phishingové kampani zkontrolujte dostupnost simulované adresy URL pro útok phishing v podporovaných webových prohlížečích. I když pracujeme s mnoha dodavateli reputace adres URL, aby tyto adresy URL simulace vždy povolili, nemáme vždy úplné pokrytí (například Google Sejf Procházení). Většina dodavatelů poskytuje pokyny, které vám umožní vždy povolit konkrétní adresy URL (například https://support.google.com/chrome/a/answer/7532419).

Adresy URL používané trénováním simulace útoku jsou popsány v následujícím seznamu:

Vytvoření simulace

Podrobné pokyny k vytvoření a odeslání nové simulace najdete v tématu Simulace útoku phishing.

Vytvoření datové části

Podrobné pokyny k vytvoření datové části pro použití v rámci simulace najdete v tématu Vytvoření vlastní datové části pro trénování simulace útoku.

Získání přehledů

Podrobné pokyny k získání přehledů pomocí vytváření sestav najdete v tématu Získání přehledů prostřednictvím trénování simulace útoku.

Poznámka

Simulátor útoků používá Sejf odkazy v Defender pro Office 365 k bezpečnému sledování dat kliknutí na adresu URL ve zprávě datové části odeslané cílovým příjemcům phishingové kampaně, a to i v případě, že je nastavení Sledovat uživatele v zásadách Sejf Odkazy vypnuté.