Erste Schritte mithilfe von Angriffssimulationsschulungen in Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für Microsoft Defender für Office 365 Plan 2

Wenn Ihre Organisation über Microsoft 365 E5 oder Microsoft Defender für Office 365 Plan 2 verfügt, der Funktionen für die Bedrohungsuntersuchung und -reaktion umfasst, können Sie die Angriffssimulationsschulung im Microsoft 365 Defender Portal verwenden, um realistische Angriffsszenarien in Ihrer Organisation auszuführen. Diese simulierten Angriffe können Ihnen helfen, anfällige Benutzer zu identifizieren und zu finden, bevor sich ein echter Angriff auf Ihr Endergebnis auswirkt. Lesen Sie diesen Artikel, um mehr zu erfahren.

Schauen Sie sich dieses kurze Video an, um mehr über das Angriffssimulationstraining zu erfahren.

Hinweis

Das Angriffssimulationstraining ersetzt die alte Attack Simulator v1-Erfahrung, die im Security & Compliance Center im Threat Management > Attack Simulator oder https://protection.office.com/attacksimulator.

Wissenswertes, bevor Sie anfangen

• Um das Microsoft 365 Defender-Portal zu öffnen, gehen Sie zu https://security.microsoft.com. Angriffssimulationsschulungen sind unter "E-Mail- und Zusammenarbeitsangriffssimulationsschulung>" verfügbar. Um direkt zum Angriffssimulationstraining zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulator.

• Weitere Informationen zur Verfügbarkeit von Angriffssimulationsschulungen in verschiedenen Microsoft 365-Abonnements finden Sie unter Microsoft Defender für Office 365 Dienstbeschreibung.

• Bevor Sie die Verfahren in diesem Artikel ausführen können, müssen Ihnen in Azure Active Directory Berechtigungen zugewiesen werden. Insbesondere müssen Sie Mitglied einer der folgenden Rollen sein:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Angriffssimulationsadministratoren^*: Erstellen und verwalten Sie alle Aspekte von Angriffssimulationskampagnen.
  • Autor ^*der Angriffsnutzlast: Erstellen Sie Angriffsnutzlasten, die ein Administrator später initiieren kann.

  ^*Das Hinzufügen von Benutzern zu dieser Rolle im Microsoft 365 Defender Portal wird derzeit nicht unterstützt.

  Weitere Informationen finden Sie unter "Berechtigungen" im portal Microsoft 365 Defender oder unter "Informationen zu Administratorrollen".

• Es gibt keine entsprechenden PowerShell-Cmdlets für Angriffssimulationsschulungen.

• Angriffssimulations- und Schulungsdaten werden mit anderen Kundendaten für Microsoft 365-Dienste gespeichert. Weitere Informationen finden Sie unter Microsoft 365 Datenspeicherorte. Die Angriffssimulation ist in den folgenden Regionen verfügbar: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE und DEU.

  Hinweis

  NOR, ZAF, ARE und DEU sind die neuesten Ergänzungen. Alle Features mit Ausnahme der gemeldeten E-Mail-Telemetrie sind in diesen Regionen verfügbar. Wir arbeiten daran, dies zu ermöglichen und werden unsere Kunden benachrichtigen, sobald die gemeldete E-Mail-Telemetrie verfügbar ist.

• Ab dem 15. Juni 2021 ist das Angriffssimulationstraining in GCC verfügbar. Wenn Ihre Organisation über Office 365 G5 GCC oder Microsoft Defender für Office 365 (Plan 2) für Behörden verfügt, können Sie das Angriffssimulationstraining im Microsoft 365 Defender Portal verwenden, um realistische Angriffsszenarien in Ihrer Organisation auszuführen, wie in diesem Artikel beschrieben. Angriffssimulationsschulungen sind in GCC High- oder DoD-Umgebungen noch nicht verfügbar.

Hinweis

Das Angriffssimulationstraining bietet E3-Kunden eine Teilmenge der Funktionen als Testversion. Das Testangebot enthält die Möglichkeit, eine Nutzlast von Credential Harvest zu verwenden, und die Möglichkeit, "ISA Phishing" oder "Massenmarktphishing" auszuwählen. Keine anderen Funktionen sind Teil des E3-Testangebots.

Simulationen

Phishing ist ein allgemeiner Begriff für E-Mail-Angriffe, die versuchen, vertrauliche Informationen in Nachrichten zu stehlen, die von legitimen oder vertrauenswürdigen Absendern stammen. Phishing ist Teil einer Teilmenge von Techniken, die wir als Social Engineering klassifizieren.

Im Angriffssimulationstraining stehen mehrere Arten von Social Engineering-Techniken zur Verfügung:

• Ernte von Anmeldeinformationen: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL enthält. Wenn der Empfänger auf die URL klickt, wird er zu einer Website weitergeleitet, auf der in der Regel ein Dialogfeld angezeigt wird, in dem der Benutzer nach benutzername und Kennwort gefragt wird. In der Regel ist die Zielseite so aufgebaut, dass sie eine bekannte Website darstellt, um dem Benutzer vertrauen zu können.

• Schadsoftwareanlage: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine Anlage enthält. Wenn der Empfänger die Anlage öffnet, wird beliebiger Code (z. B. ein Makro) auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu verschanzen.

• Link in Anlage: Dies ist eine Hybridbereitstellung einer Anmeldeinformationsernte. Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL innerhalb einer Anlage enthält. Wenn der Empfänger die Anlage öffnet und auf die URL klickt, wird er zu einer Website weitergeleitet, auf der in der Regel ein Dialogfeld angezeigt wird, in dem der Benutzer nach benutzername und Kennwort gefragt wird. In der Regel ist die Zielseite so aufgebaut, dass sie eine bekannte Website darstellt, um dem Benutzer vertrauen zu können.

• Link zu Schadsoftware: Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link zu einer Anlage auf einer bekannten Dateifreigabewebsite enthält (z. B. SharePoint Online oder Dropbox). Wenn der Empfänger auf die URL klickt, wird die Anlage geöffnet, und beliebiger Code (z. B. ein Makro) wird auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu verschanzen.

• Drive-by-URL: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine URL enthält. Wenn der Empfänger auf die URL klickt, wird er zu einer Website weitergeleitet, die versucht, Hintergrundcode auszuführen. Dieser Hintergrundcode versucht, Informationen über den Empfänger zu sammeln oder beliebigen Code auf ihrem Gerät bereitzustellen. In der Regel ist die Zielwebsite eine bekannte Website, die kompromittiert wurde, oder ein Klon einer bekannten Website. Die Vertrautheit mit der Website hilft dem Benutzer zu überzeugen, dass der Link sicher zu klicken ist. Diese Technik wird auch als Wasserlochangriff bezeichnet.

Hinweis

Überprüfen Sie die Verfügbarkeit der simulierten Phishing-URL in Ihren unterstützten Webbrowsern, bevor Sie die URL in einer Phishingkampagne verwenden. Wir arbeiten zwar mit vielen Anbietern von URL-Zuverlässigkeit zusammen, um diese Simulations-URLs immer zuzulassen, haben aber nicht immer eine vollständige Abdeckung (z. B. Google Tresor Browsing). Die meisten Anbieter bieten Anleitungen, mit denen Sie bestimmte URLs immer zulassen können (z. B https://support.google.com/chrome/a/answer/7532419. ).

Die URLs, die vom Angriffssimulationstraining verwendet werden, werden in der folgenden Liste beschrieben:

• https://www.mcsharepoint.com
• https://www.attemplate.com
• https://www.doctricant.com
• https://www.mesharepoint.com
• https://www.officence.com
• https://www.officenced.com
• https://www.officences.com
• https://www.officentry.com
• https://www.officested.com
• https://www.prizegives.com
• https://www.prizemons.com
• https://www.prizewel.com
• https://www.prizewings.com
• https://www.shareholds.com
• https://www.sharepointen.com
• https://www.sharepointin.com
• https://www.sharepointle.com
• https://www.sharesbyte.com
• https://www.sharession.com
• https://www.sharestion.com
• https://www.templateau.com
• https://www.templatent.com
• https://www.templatern.com
• https://www.windocyte.com

Erstellen einer Simulation

Schrittweise Anleitungen zum Erstellen und Senden einer neuen Simulation finden Sie unter "Simulieren eines Phishingangriffs".

Erstellen einer Nutzlast

Schrittweise Anleitungen zum Erstellen einer Nutzlast für die Verwendung innerhalb einer Simulation finden Sie unter Erstellen einer benutzerdefinierten Nutzlast für Angriffssimulationsschulungen.

Gewinnen von Erkenntnissen

Schritt-für-Schritt-Anleitungen zum Gewinnen von Erkenntnissen mit Der Berichterstellung finden Sie unter Gewinnen von Erkenntnissen durch Angriffssimulationsschulungen.

Hinweis

Der Angriffssimulator verwendet Tresor Links in Defender für Office 365, um Klickdaten für die URL in der Nutzlastnachricht, die an zielorientierte Empfänger einer Phishingkampagne gesendet wird, sicher nachzuverfolgen, auch wenn die Einstellung "Benutzer nachverfolgen" in Tresor Linksrichtlinien deaktiviert ist.