Defender에서 피싱 공격을 Office 365

Microsoft Defender for Office 365 요금제 2에 적용

Office 365 계획 2 또는 Microsoft 365 E5 Microsoft Defender의 공격 시뮬레이션 교육을 통해 조직에서 양성 사이버 공격 시뮬레이션을 실행할 수 있습니다. 이러한 시뮬레이션은 보안 정책 및 관행을 테스트하고 직원의 인식을 높이고 공격에 대한 인식을 떨어트리기 위한 교육을 제공합니다. 이 문서에서는 공격 시뮬레이션 교육을 사용하여 시뮬레이션된 피싱 공격을 만드는 방법을 단계적으로 진행합니다.

공격 시뮬레이션 교육에 대한 시작 정보는 공격 시뮬레이션 교육 사용 시작을 참조하세요.

시뮬레이트된 피싱 공격을 시작하기 위해 다음 단계를 수행합니다.

  1. 의 Microsoft 365 Defender 포털에서 전자 메일 & 공격 시뮬레이션 https://security.microsoft.com > 교육 > 시뮬레이션 탭으로 이동하세요.

    시뮬레이션 탭으로 직접 이동하기 위해 를 https://security.microsoft.com/attacksimulator?viewid=simulations 사용합니다.

  2. 시뮬레이션 탭에서 시뮬레이션  시작 아이콘을 선택합니다. 시뮬레이션을 실행합니다.

    포털의 공격 시뮬레이션 교육에 있는 시뮬레이션 탭에서 시뮬레이션 Microsoft 365 Defender 실행합니다.

  3. 시뮬레이션 만들기 마법사가 열립니다. 이 문서의 나머지부분에서는 페이지 및 페이지에 포함된 설정에 대해 설명합니다.

참고

시뮬레이션 만들기 마법사 중 어느 시점에서든 저장 및 닫기 를 클릭하여 진행률을 저장하고 나중에 시뮬레이션을 계속 구성할 수 있습니다. 불완전한 시뮬레이션의 상태 값은 시뮬레이션 탭에 임시로 표시됩니다. 시뮬레이션을 선택하고 시뮬레이션 편집 아이콘을 클릭하여 떠날 위치를 선택할  수 있습니다. 시뮬레이션 편집.

소셜 엔지니어링 기술 선택

기술 선택 페이지에서 MITRE AT&T 및 CK®프레임워크에서 큐레이터된 사용 가능한 소셜 엔지니어링 기술을 선택합니다. 다양한 기술에 대해 다양한 페이로드를 사용할 수 있습니다. 다음과 같은 소셜 엔지니어링 기술을 사용할 수 있습니다.

  • 자격 증명 수집: 입력란이 있는 잘 알려진 웹 사이트로 사용자를 연결하여 사용자 이름과 암호를 제출하여 자격 증명을 수집하려고 합니다.
  • 맬웨어 첨부 파일: 메시지에 악성 첨부 파일을 추가합니다. 사용자가 첨부 파일을 열면 공격자가 대상의 장치를 손상시킬 수 있도록 임의의 코드가 실행됩니다.
  • 첨부 파일 링크: 자격 증명 수집 하이브리드의 유형입니다. 공격자는 전자 메일 첨부 파일에 URL을 삽입합니다. 첨부 파일 내의 URL은 자격 증명 수집과 동일한 기술을 따르게 됩니다.
  • 맬웨어 링크: 잘 알려진 파일 공유 서비스에 호스트된 파일에서 임의 코드를 실행합니다. 사용자에게 전송된 메시지에는 이 악성 파일에 대한 링크가 포함되어 있습니다. 파일을 열고 공격자가 대상의 장치를 손상시킬 수 있도록 합니다.
  • 드라이브-BY URL: 메시지의 악의적인 URL은 사용자가 자동으로 실행되거나 사용자 장치에 코드 코드를 설치하는 친숙한 웹 사이트로 이동됩니다.

설명에서 세부 정보 보기 링크를 클릭하면 기술 및 해당 기술로 인해 수행된 시뮬레이션 단계를 설명하는 세부 정보 플라이아웃이 열립니다.

기술 선택 페이지에서 자격 증명 수집 기술에 대한 세부 정보 플라이아웃을 참조하세요.

작업을 마친 후 다음 을 클릭합니다.

시뮬레이션 이름 및 설명

이름 시뮬레이션 페이지에서 다음 설정을 구성합니다.

  • 이름: 시뮬레이션을 설명하는 고유한 이름을 입력합니다.
  • 설명: 시뮬레이션에 대한 선택적 자세한 설명을 입력합니다.

작업을 마친 후 다음 을 클릭합니다.

페이로드 선택

페이로드 선택 페이지에서 목록에서 기존 페이로드를 선택하거나 새 페이로드를 만들어야 합니다.

다음 세부 정보는 선택하는 데 도움이 되는 페이로드 목록에 표시됩니다.

  • 이름
  • 언어: 페이로드 콘텐츠의 언어입니다. Microsoft의 페이로드 카탈로그(전역)는 10개 이상의 언어로 페이로드를 제공하 고 필터링할 수도 있습니다.
  • 클릭 비율: 이 페이로드를 클릭한 사용자 수입니다.
  • 예측된 손상율: 이 페이로드에 의해 손상될 Microsoft 365 비율을 예측하는 전체 페이로드에 대한 기록 데이터입니다.
  • 실행된 시뮬레이션은 이 페이로드가 다른 시뮬레이션에 사용된 횟수를 계산합니다.

검색  아이콘 검색 상자에 페이로드 이름의 일부를 입력하고 Enter를 눌러 결과를 필터링할 수 있습니다.

필터를 클릭하면 다음과 같은 필터를 사용할 수 있습니다.

  • 복잡성: 가능한 공격(맞춤법 오류, 긴급성 등)을 나타내는 페이로드의 지표 수에 따라 계산됩니다. 더 많은 지표가 공격으로 식별하기 더 쉬우며 복잡성이 낮을 수 있습니다. 사용 가능한 값은 다음과 같습니다.
    • 낮음
    • Medium
    • High
  • 원본: 페이로드가 조직에서 만들어지거나 Microsoft의 기존 페이로드 카탈로그에 일부인지 여부를 나타냅니다. 유효한 값은 다음과 같습니다.
    • Global(기본 제공)
    • 테넌트(사용자 지정)
    • 모두
  • 언어: 사용할 수 있는 값은 중국어(간체), 중국어(일반), 영어, 프랑스어, 독일어, 이탈리아어, 일본어, 한국어, 포르투갈어, 러시아어, 스페인어네덜란드어입니다.
  • 태그 추가
  • 테마별 필터링 : 사용 가능한 값은 계정 활성화, 계정 확인, 청구, 메일 정리, 문서 수신, 경비, 팩스, 재무 보고서, 받는 메시지, 송장 , 받은 항목, 로그인 알림, 메일 수신, 암호, 결제, 급여, 개인 설정된 제안, Quarantine, 원격 작업, 메시지 검토, 보안 업데이트, 서비스 일시 중단, 서명 필요, 사서함 저장소 업그레이드 사서함 확인, 음성 메일기타.
  • 브랜드별 필터 : 사용할 수 있는 값은 American Express, Capital One, DHL, DocuSign, Dropbox, Facebook , First American, Microsoft, Microsoft ,의 경우, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud기타입니다.
  • 산업 필터 : 사용 가능한 값은 뱅킹, 비즈니스 서비스, 소비자 서비스, 교육, 에너지, 구성, 컨설팅, 금융 서비스, 정부, 병원, 보험, 법률, Courier 서비스, IT, 의료, 제조, 소매, Telecom, 부동산 , 금융 서비스입니다. 및 기타.
  • 현재 이벤트: 사용 가능한 값은 예 또는 아니요입니다.
  • 논란: 사용 가능한 값은 예 또는 아니요입니다.

필터 구성을 마치면 적용, 취소 또는 필터 지우기 를 클릭합니다.

웹 사이트 포털의 공격 시뮬레이션 교육에서 페이로드 Microsoft 365 Defender 선택합니다.

목록에서 페이로드를 선택하면 페이로드에 대한 세부 정보가 플라이아웃에 표시됩니다.

  • 개요 탭에는 페이로드에 대한 예제 및 기타 세부 정보가 포함되어 있습니다.
  • 시작된 시뮬레이션 탭에는 시뮬레이션 이름, 클릭률, 손상된 비율 및 동작이 포함되어 있습니다.

웹 포털의 공격 시뮬레이션 교육에서 페이로드 세부 Microsoft 365 Defender 플라이아웃합니다.

이름을 클릭하여 목록에서 페이로드를 선택하면 테스트 페이로드 보내기  아이콘이 표시됩니다. 테스트 보내기 단추는 검사를 위해 페이로드 전자 메일의 복사본을 직접(현재 로그인한 사용자)에게 보낼 수 있는 기본 페이지에 표시됩니다.

직접 페이로드를 만들려면 페이로드  만들기 아이콘을 클릭합니다. 페이로드 만들기. 자세한 내용은 공격 시뮬레이션 교육을 위한 사용자 지정 페이로드 만들기를 참조하세요.

작업을 마친 후 다음 을 클릭합니다.

대상 사용자

대상 사용자 페이지에서 시뮬레이션을 받을 사용자를 선택합니다. 다음 설정 중 하나를 구성합니다.

  • 조직의 모든 사용자 포함: 영향을 받는 사용자는 10개 목록에 표시됩니다. 사용자 목록 바로 아래에 있는 다음 및 이전 단추를 사용하여 목록을 스크롤할 수 있습니다. 검색 아이콘을  사용할 수도 있습니다. 페이지의 검색 아이콘을 사용하여 영향을 받는 사용자를 찾을 수 있습니다.

  • 특정 사용자 및 그룹만 포함: 다음 옵션 중 하나를 선택합니다.

    • 사용자 아이콘 추가 사용자 추가: 나타나는 사용자 추가 플라이아웃에서 다음 기준에 따라 사용자 및 그룹을 찾을 수 있습니다.
      • 사용자 또는 그룹: 사용자 및 그룹  검색 아이콘에서 사용자 및 그룹 검색 상자에 사용자 또는 그룹의 이름 또는 전자 메일 주소의 일부를 입력한 다음 Enter를 누를 수 있습니다. 결과의 일부 또는 전체를 선택할 수 있습니다. 완료되면 x 사용자 추가를 클릭합니다.

        참고

        필터 추가 단추를 클릭하여 범주별로 사용자 필터링 옵션으로 돌아가면 검색 결과에서 선택한 모든 사용자 또는 그룹이 지워지게 됩니다.

      • 범주별로 사용자 필터링: 다음 옵션 중 없음, 일부 또는 모두에서 선택합니다.

        • 제안된 사용자 그룹: 다음 값에서 선택합니다.
          • 모든 제안된 사용자 그룹
          • 지난 3개월 동안 시뮬레이션 대상이 아닌 사용자
          • 반복되는 가해자
        • 부서: 다음 옵션을 사용하세요.
          • 검색:  부서로 검색 아이콘에서. 부서별로 검색 상자에 Department 값의 일부를 입력한 다음 Enter를 누를 수 있습니다. 결과의 일부 또는 전체를 선택할 수 있습니다.
          • 모든 부서 선택
          • 기존 Department 값을 선택합니다.
        • 제목: 다음 옵션을 사용하세요.
          • 검색:  제목으로 검색 아이콘에서 제목으로 검색 상자에 제목 값의 일부를 입력한 다음 Enter를 누를 수 있습니다. 결과의 일부 또는 전체를 선택할 수 있습니다.
          • 모든 제목 선택
          • 기존 Title 값을 선택합니다.

        웹 사이트 포털의 공격 시뮬레이션 교육에서 대상 사용자 페이지의 Microsoft 365 Defender.

        조건을 식별하면 영향을 받는 사용자가 표시되는 사용자 목록 섹션에 표시될 수 있습니다. 여기서 검색된 받는 사람을 일부 또는 모두 선택할 수 있습니다.

        완료되면 적용(x)을 클릭하고 x 사용자 추가를 클릭합니다.

    주 대상 사용자 페이지에서 다시 검색 아이콘을 사용할  수 있습니다. 영향을 받는 사용자를 찾는 검색 상자입니다. 사용자 삭제  아이콘을 클릭할 수도 있습니다. 삭제를 사용하여 특정 사용자를 제거합니다.

  • 가져오기 아이콘. 가져오기: 열리면 대화 상자에서 한 줄에 전자 메일 주소가 하나씩 포함된 CSV 파일을 지정합니다.

    CSV 파일 선택을 찾은 후 사용자 목록을 가져와서 대상 사용자 페이지에 표시됩니다. 검색  아이콘을 사용할 수 있습니다. 영향을 받는 사용자를 찾는 검색 상자입니다. 대상 사용자 삭제  아이콘을 클릭할 수도 있습니다. 삭제를 사용하여 특정 사용자를 제거합니다.

작업을 마친 후 다음 을 클릭합니다.

교육 할당

교육 할당 페이지에서 시뮬레이션에 대한 교육을 할당할 수 있습니다. 교육을 통과하는 직원은 유사한 공격에 덜 덜 공격하기 까다로우며 각 시뮬레이션에 대한 교육을 할당하는 것이 좋습니다. 다음과 같은 설정을 사용할 수 있습니다.

  • 교육 콘텐츠 기본 설정 선택: 다음 옵션 중 하나를 선택합니다.
    • Microsoft 교육 환경: 다음과 같은 관련 옵션을 구성하는 기본값입니다.
      • 다음 옵션 중 하나를 선택합니다.
        • 교육 할당: 이것이 기본값이자 권장 값입니다. 사용자의 이전 시뮬레이션 및 교육 결과를 기반으로 교육을 할당하며 마법사의 다음 단계에서 선택을 검토할 수 있습니다.
        • 교육 과정 및 모듈을 바로 선택: 이 값을 선택하면 마법사의 다음 단계에서 사용 가능한 모든 과정 및 모듈뿐만 아니라 권장 콘텐츠를 계속 볼 수 있습니다.
      • 기한: 다음 값 중 하나를 선택하십시오.
        • 시뮬레이션이 종료된 후 30일: 이 값은 기본값입니다.
        • 시뮬레이션 종료 후 15일
        • 시뮬레이션이 종료된 후 7일
    • 사용자 지정 URL로 리디렉션: 이 값에는 다음과 같은 관련 옵션을 구성할 수 있습니다.
      • 사용자 지정 교육 URL(필수)
      • 사용자 지정 교육 이름(필수)
      • 사용자 지정 교육 설명
      • 사용자 지정 교육 기간(분): 기본값은 0으로, 교육에 지정된 기간이 없음을 나타냅니다.
      • 기한: 다음 값 중 하나를 선택하십시오.
        • 시뮬레이션이 종료된 후 30일: 이 값은 기본값입니다.
        • 시뮬레이션 종료 후 15일
        • 시뮬레이션이 종료된 후 7일
    • 교육 없음: 이 값을 선택하면 방문 페이지 페이지로 이동하는 다음 단추만 페이지에서 선택할 있습니다.

포털의 공격 시뮬레이션 교육에서 교육 할당 페이지에 권장되는 교육을 Microsoft 365 Defender 추가합니다.

교육 배정

참고

교육 배정 페이지는 Microsoft 교육 환경을 선택한 경우 이전 페이지에서 교육 과정 및 모듈을 > 선택해야만 사용할 수 있습니다.

교육 할당 페이지에서 교육 추가 아이콘을 클릭하여 시뮬레이션에 추가할  교육을 선택합니다. 교육을 추가합니다.

나타나는 교육 플라이아웃 추가에서 사용 가능한 다음 탭에서 사용할 교육을 선택할 수 있습니다.

  • 권장 탭: 시뮬레이션 구성에 따라 권장되는 기본 제공 교육을 보여줍니다. 이전 페이지에서 교육 할당을 선택한 경우 할당된 동일한 교육입니다.

  • 모든 교육 탭: 사용 가능한 모든 기본 제공 교육을 보여줍니다.

    각 교육에 대해 다음 정보가 표시됩니다.

    • 교육 이름
    • Source: 값은 Global입니다.
    • 기간(최소)
    • 미리 보기: 미리 보기 단추를 클릭하여 교육을 봐야 합니다.

    검색  아이콘 검색 상자에 교육 이름의 일부를 입력하고 Enter를 눌러 현재 탭에서 결과를 필터링할 수 있습니다.

    현재 탭에서 포함할 모든 교육을 선택하고 추가를 클릭합니다.

기본 교육 배정 페이지에는 선택한 교육이 표시됩니다. 각 교육에 대해 다음 정보가 표시됩니다.

  • 교육 이름
  • 원본
  • 기간(최소)

목록의 각 교육에 대해 할당 대상 열에서 값을 선택하여 교육을 받을 대상을 선택해야 합니다.

  • 모든 사용자

    또는 다음 값 중 하나 또는 둘 다를 사용합니다.

  • 클릭한 페이로드

  • 손상된 경우

표시된 교육을 사용하지 않는 경우 교육 삭제  아이콘을 클릭합니다. 삭제.

포털에서 공격 시뮬레이션 교육의 Microsoft 365 Defender 페이지입니다.

작업을 마친 후 다음 을 클릭합니다.

방문 페이지

방문 페이지 페이지에서 시뮬레이션에서 페이로드를 여는 경우 사용자가 이동하는 웹 페이지를 구성합니다.

  • 방문 페이지 기본 설정 선택 : 사용 가능한 값은 다음입니다.
    • Microsoft 기본 방문 페이지 사용: 다음과 같은 관련 옵션을 구성하는 기본값입니다.

      • 방문 페이지 레이아웃 선택: 사용 가능한 템플릿 중 하나를 선택합니다.
      • 로고 추가: 찾아보기를 클릭하여 파일, .jpeg 또는 .png 파일을 .gif 선택합니다.
      • 전자 메일에 페이로드 표시기 추가: 사용자가 피싱 메시지를 식별하는 방법을 배울 수 있도록 이 설정을 선택합니다.

      페이지 아래쪽의 미리 보기 열기 패널 단추를 클릭하여 결과를 미리 볼 수 있습니다.

    • 사용자 지정 URL 사용: 이 값을 선택하는 경우 나타나는 사용자 지정 방문 페이지 URL 입력 상자에 URL을 추가해야 합니다. 페이지에서 다른 옵션을 사용할 수 없습니다.

    • 직접 방문 페이지 만들기: 이 값에는 다음과 같은 관련 옵션을 구성할 수 있습니다.

      • 전자 메일에 페이로드 표시기 추가: 사용자가 피싱 메시지를 식별하는 방법을 배울 수 있도록 이 설정을 선택합니다.
      • 페이지 콘텐츠: 다음 두 개의 탭을 사용할 수 있습니다.
        • 텍스트: 방문 페이지를 만들 수 있는 텍스트 편집기를 사용할 수 있습니다. 일반적인 글꼴 및 서식 설정 외에도 다음 설정을 사용할 수 있습니다.
          • 동적 태그: 다음 태그에서 선택합니다.
            • Username
            • 전자 메일 보낸 사람 이름
            • 보낸 사람 전자 메일 주소
            • 전자 메일 제목
            • 전자 메일 콘텐츠
          • 기본에서 사용: 시작할 사용 가능한 템플릿을 선택합니다. 편집 영역의 텍스트 및 레이아웃을 수정할 수 있습니다. 방문 페이지를 템플릿의 기본 텍스트 및 레이아웃으로 다시 설정하려면 기본값으로 다시 설정을 클릭합니다.
      • 코드: HTML 코드를 직접 보고 수정할 수 있습니다.

      페이지 가운데 있는 미리 보기 열기 패널 단추를 클릭하여 결과를 미리 볼 수 있습니다.

작업을 마친 후 다음 을 클릭합니다.

참고

특정 상표, 로고, 기호, 사인 및 기타 원본 식별자는 로컬, 주 및 연방법 및 법률에 따라 강화된 보호를 받을 수 있습니다. 이러한 표시기를 무단으로 사용할 경우 사용자에게 범죄 벌금을 비롯한 벌금을 부과할 수 있습니다. 광범위한 목록은 아니며, 여기에는 부사장, 부사장, 의회 봉인, CIA, FBI, 사회 보장, 메디케어 및 Medicaid, 미국 국세청 및 국세청이 포함됩니다. 이러한 상표 범주를 넘어 제3자 상표를 사용 및 수정하면 본질적인 위험이 수차차적으로 증가합니다. 페이로드에서 자체 상표 및 로고를 사용하는 것은 특히 조직에서 사용을 허용하는 경우 덜 위험합니다. 페이로드를 만들거나 구성할 때 사용하는 것이 적절하거나 적절하지 않은 경우 법률 자문가에게 문의해야 합니다.

시작 세부 정보

시작 세부 정보 페이지에서 시뮬레이션을 시작해야 하는 경우와 시뮬레이션을 종료할 때를 선택합니다. 지정한 종료 날짜 이후에 이 시뮬레이션의 조작 캡처를 중지합니다.

다음과 같은 설정을 사용할 수 있습니다.

  • 다음 값 중 하나를 선택합니다.
    • 완료하는 즉시 이 시뮬레이션 시작
    • 이 시뮬레이션을 나중에 실행하도록 예약: 이 값에는 다음과 같은 관련 옵션을 구성할 수 있습니다.
      • 시작 날짜 선택
      • 시작 시간 선택
  • 시뮬레이션을 종료할 일 수를 구성합니다. 기본값은 2입니다.
  • 지역 인식 표준 시간대 배달 사용: 해당 지역에 따라 근무 시간 동안 직원에게 시뮬레이트된 공격 메시지를 전달합니다.

작업을 마친 후 다음 을 클릭합니다.

시뮬레이션 검토

시뮬레이션 검토 페이지에서 시뮬레이션의 세부 정보를 검토할 수 있습니다.

테스트  보내기 아이콘을 클릭합니다. 테스트 단추를 보내 검사를 위해 페이로드 전자 메일의 복사본을 자신(현재 로그인한 사용자)에게 전송합니다.

각 섹션에서 편집 선택하여 섹션 내의 설정을 수정할 수 있습니다. 또는 뒤로 를 클릭하거나 마법사에서 특정 페이지를 선택할 수 있습니다.

작업을 마쳤으면 제출 을 클릭합니다.

포털에서 공격 시뮬레이션 교육의 시뮬레이션 Microsoft 365 Defender 검토합니다.