Első lépések támadásszimulációs betanítás használata a Office 365-höz készült Defender-ben

  • Cikk
  • 2 perc alatt elolvasható

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft 365 Defender 2. csomagjának funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft 365 Defender portál próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A 2. csomag Office 365-höz készült Microsoft Defender vonatkozik

Ha a szervezet rendelkezik Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender 2. csomaggal, amely tartalmazza a fenyegetésvizsgálati és válaszképességeket, a támadásszimulációs betanítást a Microsoft 365 Defender portálon valós támadási forgatókönyvek futtatásához használhatja a következőben: a szervezetében. Ezek a szimulált támadások segíthetnek azonosítani és megtalálni a sebezhető felhasználókat, mielőtt egy valódi támadás hatással lenne a lényegre. További információért olvassa el ezt a cikket.

Ebből a rövid videóból többet is megtudhat a támadásszimulációs képzésről.

Megjegyzés

A támadásszimulációs betanítás felváltja a biztonsági & Compliance Center fenyegetéskezelési > támadásszimulátorában vagy https://protection.office.com/attacksimulator.

Mit kell tudnia a kezdés előtt?

  • A Microsoft 365 Defender portál megnyitásához nyissa meg a következőthttps://security.microsoft.com: . A támadásszimulációs betanítás az e-mailes és együttműködési > támadásszimulációs képzésben érhető el. Ha közvetlenül a támadásszimulációs betanításra szeretne lépni, használja a következőt https://security.microsoft.com/attacksimulator: .

  • A különböző Microsoft 365-előfizetések támadásszimulációs betanításának elérhetőségéről további információt Office 365-höz készült Microsoft Defender szolgáltatás leírásában talál.

  • A cikkben ismertetett eljárások elvégzéséhez engedélyeket kell hozzárendelnie Azure Active Directory. Konkrétan a következő szerepkörök egyikének kell lennie:

    • Globális rendszergazda
    • Biztonsági rendszergazda
    • Támadásszimulációs rendszergazdák*: A támadásszimulációs kampányok minden aspektusának létrehozása és kezelése.
    • Támadás hasznos adatainak szerzője*: Olyan hasznos támadási adatok létrehozása, amelyeket a rendszergazda később kezdeményezhet.

    *A felhasználók hozzáadása ehhez a szerepkörhöz a Microsoft 365 Defender portálon jelenleg nem támogatott.

    További információ: Engedélyek a Microsoft 365 Defender portálon vagy a Rendszergazdai szerepkörök névjegye.

  • Nincsenek megfelelő PowerShell-parancsmagok a támadásszimuláció betanításához.

  • A támadásszimulációval és a betanítással kapcsolatos adatokat a rendszer más ügyféladatokkal együtt tárolja Microsoft 365 szolgáltatásokhoz. További információ: Microsoft 365 adathelyek. A támadásszimuláció a következő régiókban érhető el: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE és DEU.

    Megjegyzés

    NOR, ZAF, ARE és DEU a legújabb kiegészítések. Ezekben a régiókban a jelentett e-mail-telemetria kivételével minden funkció elérhető lesz. Dolgozunk ennek engedélyezésén, és értesítjük ügyfeleinket, amint a jelentett e-mail-telemetria elérhetővé válik.

    1. június 15-től a támadásszimulációs képzés GCC érhető el. Ha szervezete rendelkezik Office 365 G5 GCC vagy Office 365-höz készült Microsoft Defender (2. csomag) kormányzati verzióval, a Microsoft 365 Defender portál támadásszimulációs betanításával valósághű támadási forgatókönyveket futtathat a szervezetében az ebben a cikkben leírtak szerint. A támadásszimuláció betanítása még nem érhető el GCC Magas vagy DoD környezetekben.

Megjegyzés

A támadásszimulációs betanítás az E3-ügyfelek számára próbaverzióként nyújt képességek egy részét. A próbaajánlat tartalmazza a credential Harvest hasznos adat használatát, valamint az "ISA Adathalászat" vagy a "Tömeges piaci adathalászat" betanítási élmény kiválasztásának lehetőségét. Az E3 próbaverziós ajánlatának nem része más képesség.

Szimulációk

Az adathalászat az e-mailes támadások általános megnevezése, amely bizalmas információkat próbál ellopni olyan üzenetekben, amelyek látszólag megbízható vagy megbízható feladóktól származnak. Az adathalászat a társadalmi tervezésnek besorolt technikák egy részhalmazának része.

A támadásszimulációs betanítás során többféle társadalomtervezési technika érhető el:

  • Hitelesítő adatok begyűjtése: A támadó egy URL-címet tartalmazó üzenetet küld a címzettnek. Amikor a címzett az URL-címre kattint, egy olyan webhelyre kerül, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal jellemzően úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.

  • Kártevőmelléklet: A támadó egy mellékletet tartalmazó üzenetet küld a címzettnek. Amikor a címzett megnyitja a mellékletet, tetszőleges kódot (például egy makrót) futtat a felhasználó eszközén, hogy segítsen a támadónak további kódot telepíteni, vagy további támadásokat létrehozni.

  • Csatolás a mellékletben: Ez egy hitelesítőadat-betakarítás hibridje. A támadó olyan üzenetet küld a címzettnek, amely egy mellékleten belüli URL-címet tartalmaz. Amikor a címzett megnyitja a mellékletet, és az URL-címre kattint, egy olyan webhelyre kerül, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal jellemzően úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.

  • Kártevőre mutató hivatkozás: A támadó olyan üzenetet küld a címzettnek, amely egy jól ismert fájlmegosztási webhelyen (például SharePoint Online vagy Dropbox) található mellékletre mutató hivatkozást tartalmaz. Amikor a címzett az URL-címre kattint, megnyílik a melléklet, és tetszőleges kódot (például makrót) futtat a felhasználó eszközén, hogy a támadó további kódot telepítsen, vagy további beleássa magát.

  • Meghajtónkénti URL-cím: A támadó egy URL-címet tartalmazó üzenetet küld a címzettnek. Amikor a címzett az URL-címre kattint, a rendszer egy olyan webhelyre irányítja, amely háttérkódot próbál futtatni. Ez a háttérkód információkat próbál gyűjteni a címzettről, vagy tetszőleges kódot helyez üzembe az eszközén. A célwebhely általában egy jól ismert webhely, amelyet feltörtek, vagy egy jól ismert webhely klónja. A webhely ismerete segít meggyőzni a felhasználót, hogy a hivatkozás biztonságosan kattintható. Ezt a technikát öntöző lyuk támadásnak is nevezik.

Megjegyzés

Ellenőrizze a szimulált adathalász URL elérhetőségét a támogatott webböngészőkben, mielőtt adathalászati kampányban használ ilyet. Bár számos URL-szolgáltatóval együttműködve mindig engedélyezzük ezeket a szimulációs URL-címeket, nem mindig rendelkezünk teljes lefedettséggel (például a Google Széf-böngészéssel). A legtöbb szállító olyan útmutatást nyújt, amely lehetővé teszi, hogy mindig engedélyezhessen bizonyos URL-címeket (például https://support.google.com/chrome/a/answer/7532419).

A támadásszimulációs betanítás által használt URL-címeket az alábbi lista ismerteti:

Szimuláció létrehozása

Az új szimulációk létrehozásával és elküldésével kapcsolatos részletes utasításokért lásd: Adathalászati támadás szimulálása.

Hasznos adat létrehozása

A szimulációkban használható hasznos adatok létrehozásával kapcsolatos részletes útmutatásért lásd: Egyéni hasznos adat létrehozása támadásszimulációs betanításhoz.

Elemzések készítése

A jelentéskészítéssel kapcsolatos megállapítások részletes megismeréséhez tekintse meg az elemzések támadásszimulációs betanításon keresztüli elemzését ismertető szakaszt.

Megjegyzés

A támadásszimulátor a Office 365-höz készült Defender Széf hivatkozásait használja az adathalászati kampány célzott címzettjeinek küldött hasznosadat-üzenetben található URL-cím kattintási adatainak biztonságos nyomon követésére, még akkor is, ha a Felhasználó nyomon követése beállítás ki van kapcsolva Széf Hivatkozások házirendben.