Office 365용 Defender 공격 시뮬레이션 학습을 사용하는 시작

아티클
06/02/2022
읽는 데 6분 걸림

팁

Office 365 플랜 2의 Microsoft 365 Defender 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft 365 Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록할 수 있는 사용자 및 평가판 약관에 대해 알아봅니 다.

Office 365용 Microsoft Defender 플랜 2에 적용

조직에 위협 조사 및 대응 기능이 포함된 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 계획 2가 있는 경우 Microsoft 365 Defender 포털에서 공격 시뮬레이션 교육을 사용하여 조직에서 현실적인 공격 시나리오를 실행할 수 있습니다. 이러한 시뮬레이션된 공격은 실제 공격이 수익에 영향을 주기 전에 취약한 사용자를 식별하고 찾는 데 도움이 될 수 있습니다. 자세한 내용은 이 문서를 참조하세요.

이 짧은 비디오를 시청하여 공격 시뮬레이션 학습에 대해 자세히 알아보세요.

참고

공격 시뮬레이션 학습은 위협 관리 > 공격 시뮬레이터 또는 https://protection.office.com/attacksimulator보안 & 규정 준수 센터에서 사용할 수 있었던 이전 공격 시뮬레이터 v1 환경을 대체합니다.

시작하기 전에 알아야 할 내용

Microsoft 365 Defender 포털을 열려면 https://security.microsoft.com(으)로 이동합니다. 공격 시뮬레이션 교육은 이메일 및 협업 > 공격 시뮬레이션 교육 에서 사용할 수 있습니다. 공격 시뮬레이션 학습으로 직접 이동하려면 .를 사용합니다 https://security.microsoft.com/attacksimulator.
다양한 Microsoft 365 구독에서 공격 시뮬레이션 학습의 가용성에 대한 자세한 내용은 Office 365용 Microsoft Defender 서비스 설명을 참조하세요.
이 문서의 절차를 수행하려면 Azure Active Directory 권한이 할당되어야 합니다. 특히 다음 역할 중 하나의 멤버여야 합니다.
- 전역 관리자
- 보안 관리자
- 공격 시뮬레이션 관리자^*: 공격 시뮬레이션 캠페인의 모든 측면을 만들고 관리합니다.
- 공격 페이로드 작성자^*: 관리자가 나중에 시작할 수 있는 공격 페이로드를 만듭니다.
^*Microsoft 365 Defender 포털에서 이 역할에 사용자를 추가하는 것은 현재 지원되지 않습니다.

자세한 내용은 Microsoft 365 Defender 포털 또는 관리자 역할 정보 에서 사용 권한을 참조하세요.
공격 시뮬레이션 학습에 해당하는 PowerShell cmdlet이 없습니다.
공격 시뮬레이션 및 학습 관련 데이터는 Microsoft 365 서비스에 대한 다른 고객 데이터와 함께 저장됩니다. 자세한 내용은 Microsoft 365 데이터 위치를 참조하세요. 공격 시뮬레이션은 NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE 및 DEU 지역에서 사용할 수 있습니다.

참고

NOR, ZAF, ARE 및 DEU는 최신 추가 기능입니다. 보고된 전자 메일 원격 분석을 제외한 모든 기능은 이러한 지역에서 사용할 수 있습니다. 이를 활성화하기 위해 노력하고 있으며, 보고된 이메일 원격 분석을 사용할 수 있게 되는 즉시 고객에게 알릴 것입니다.
2021년 6월 15일부터 GCC 공격 시뮬레이션 교육을 사용할 수 있습니다. 조직에 정부용 G5 GCC 또는 Office 365용 Microsoft Defender(계획 2)를 Office 365 경우 Microsoft 365 Defender 포털에서 공격 시뮬레이션 교육을 사용하여 이 문서에 설명된 대로 조직에서 현실적인 공격 시나리오를 실행할 수 있습니다. GCC High 또는 DoD 환경에서는 공격 시뮬레이션 학습을 아직 사용할 수 없습니다.

참고

공격 시뮬레이션 교육은 E3 고객에게 평가판으로 기능의 하위 집합을 제공합니다. 평가판 제품에는 자격 증명 수확 페이로드를 사용할 수 있는 기능과 'ISA 피싱' 또는 '대량 시장 피싱' 교육 환경을 선택할 수 있는 기능이 포함되어 있습니다. E3 평가판 제품에는 다른 기능이 없습니다.

시뮬레이션

피싱 은 합법적이거나 신뢰할 수 있는 보낸 사람이 보낸 것으로 보이는 메시지에서 중요한 정보를 도용하려는 전자 메일 공격에 대한 일반적인 용어입니다. 피싱 은 우리가 사회 공학 으로 분류하는 기술의 하위 집합의 일부입니다.

공격 시뮬레이션 교육에서는 다음과 같은 여러 유형의 소셜 엔지니어링 기술을 사용할 수 있습니다.

자격 증명 수집: 공격자가 받는 사람에게 URL이 포함된 메시지를 보냅니다. 받는 사람이 URL을 클릭하면 일반적으로 사용자에게 사용자 이름과 암호를 요청하는 대화 상자를 표시하는 웹 사이트로 이동됩니다. 일반적으로 대상 페이지는 사용자에 대한 신뢰를 구축하기 위해 잘 알려진 웹 사이트를 나타내는 테마입니다.
맬웨어 첨부 파일: 공격자가 받는 사람에게 첨부 파일이 포함된 메시지를 보냅니다. 받는 사람이 첨부 파일을 열면 공격자가 추가 코드를 설치하거나 추가 코드를 설치할 수 있도록 사용자의 디바이스에서 임의의 코드(예: 매크로)가 실행됩니다.
첨부 파일의 링크: 자격 증명 수집의 하이브리드입니다. 공격자가 받는 사람에게 첨부 파일 내부에 URL이 포함된 메시지를 보냅니다. 받는 사람이 첨부 파일을 열고 URL을 클릭하면 일반적으로 사용자에게 사용자 이름과 암호를 요청하는 대화 상자를 표시하는 웹 사이트로 이동됩니다. 일반적으로 대상 페이지는 사용자에 대한 신뢰를 구축하기 위해 잘 알려진 웹 사이트를 나타내는 테마입니다.
맬웨어에 대한 링크: 공격자는 잘 알려진 파일 공유 사이트의 첨부 파일에 대한 링크가 포함된 메시지를 받는 사람에게 보냅니다(예: SharePoint Online 또는 Dropbox). 받는 사람이 URL을 클릭하면 첨부 파일이 열리고 임의의 코드(예: 매크로)가 사용자의 디바이스에서 실행되어 공격자가 추가 코드를 설치하거나 추가 코드를 설치할 수 있습니다.
드라이브 바이 URL: 공격자가 받는 사람에게 URL이 포함된 메시지를 보냅니다. 받는 사람이 URL을 클릭하면 백그라운드 코드를 실행하려는 웹 사이트로 이동됩니다. 이 백그라운드 코드는 받는 사람에 대한 정보를 수집하거나 디바이스에 임의의 코드를 배포하려고 시도합니다. 일반적으로 대상 웹 사이트는 손상된 잘 알려진 웹 사이트 또는 잘 알려진 웹 사이트의 복제입니다. 웹 사이트에 대해 잘 알고 있으면 링크를 클릭해도 안전하다고 사용자를 설득할 수 있습니다. 이 기술을 급수 구멍 공격 이라고도 합니다.

참고

피싱 캠페인에서 URL을 사용하기 전에 지원되는 웹 브라우저에서 시뮬레이션된 피싱 URL의 가용성을 확인합니다. 이러한 시뮬레이션 URL을 항상 허용하기 위해 많은 URL 평판 공급업체와 협력하지만 항상 전체 범위(예: Google 금고 브라우징)가 있는 것은 아닙니다. 대부분의 공급업체는 항상 특정 URL(예 https://support.google.com/chrome/a/answer/7532419: )을 허용할 수 있는 지침을 제공합니다.

공격 시뮬레이션 학습에 사용되는 URL은 다음 목록에 설명되어 있습니다.

시뮬레이션 만들기

새 시뮬레이션을 만들고 보내는 방법에 대한 단계별 지침은 피싱 공격 시뮬레이션을 참조하세요.

페이로드 만들기

시뮬레이션 내에서 사용할 페이로드를 만드는 방법에 대한 단계별 지침은 공격 시뮬레이션 학습을 위한 사용자 지정 페이로드 만들기를 참조하세요.

인사이트 얻기

보고를 통해 인사이트를 얻는 방법에 대한 단계별 지침은 공격 시뮬레이션 교육을 통해 인사이트 얻기를 참조하세요.

참고

공격 시뮬레이터는 Office 365용 Defender 금고 링크를 사용하여 사용자가 금고 링크 정책에서 설정을 클릭하더라도 피싱 캠페인의 대상 수신자에게 전송되는 페이로드 메시지의 URL에 대한 클릭 데이터를 안전하게 추적합니다.