Kom i gang med å bruke Opplæring med simulert angrep

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I organisasjoner med Microsoft Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5), kan du bruke Opplæring med simulert angrep i Microsoft Defender portal for å kjøre realistiske angrepsscenarioer i organisasjonen. Disse simulerte angrepene kan hjelpe deg med å identifisere og finne sårbare brukere før et reelt angrep påvirker bunnlinjen.

Denne artikkelen forklarer det grunnleggende om Opplæring med simulert angrep.

Se denne korte videoen for å lære mer om Opplæring med simulert angrep.

Obs!

Opplæring med simulert angrep erstatter den gamle Attack Simulator v1-opplevelsen som var tilgjengelig i Security & Compliance Center ved Threat Management>Attack simulator eller https://protection.office.com/attacksimulator.

Hva må du vite før du begynner?

• Opplæring med simulert angrep krever en Microsoft 365 E5- eller Microsoft Defender for Office 365 Plan 2-lisens. Hvis du vil ha mer informasjon om lisensieringskrav, kan du se Lisensieringsvilkår.

• Opplæring med simulert angrep støtter lokale postbokser, men med redusert rapporteringsfunksjonalitet. Hvis du vil ha mer informasjon, kan du se Rapporteringsproblemer med lokale postbokser.

• Hvis du vil åpne Microsoft Defender-portalen, går du til https://security.microsoft.com. Opplæring med simulert angrep er tilgjengelig på e-post og samarbeid>Opplæring med simulert angrep. Hvis du vil gå direkte til Opplæring med simulert angrep, bruker https://security.microsoft.com/attacksimulatordu .

• Hvis du vil ha mer informasjon om tilgjengeligheten av Opplæring med simulert angrep på tvers av ulike Microsoft 365-abonnementer, kan du se Microsoft Defender for Office 365 tjenestebeskrivelse.

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Entra tillatelser: Du trenger medlemskap i én av følgende roller:

    • Global Administrator
    • Sikkerhetsadministrator
    • Attack Simulation Administrators^*: Opprett og administrer alle aspekter ved angrepssimuleringskampanjer.
    • Attack Payload Author^*: Opprett angrepsnyttelaster som en administrator kan starte senere.

    ^*Å legge til brukere i denne rollegruppen i E-post & samarbeidstillatelser i Microsoft Defender-portalen støttes for øyeblikket ikke.

    For øyeblikket støttes ikke Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC).

• Det finnes ingen tilsvarende PowerShell-cmdleter for Opplæring med simulert angrep.

• Angrepssimulering og opplæringsrelaterte data lagres sammen med andre kundedata for Microsoft 365-tjenester. Hvis du vil ha mer informasjon, kan du se Microsoft 365-dataplasseringer. Opplæring med simulert angrep er tilgjengelig i følgende områder: APC, EUR og NAM. Land innenfor disse områdene der Opplæring med simulert angrep er tilgjengelig inkluderer ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE og ZAF.

  Obs!

  ZAF, ARE og DEU er heller ikke de nyeste tilleggene. Alle funksjoner unntatt rapportert e-posttelemetri er tilgjengelige i disse områdene. Vi jobber med å aktivere funksjonene, og vi varsler kunder så snart rapportert e-posttelemetri blir tilgjengelig.

• Fra og med september 2023 er Opplæring med simulert angrep tilgjengelig i Microsoft 365 GCC- og GCC High-miljøer, men enkelte avanserte funksjoner er ikke tilgjengelige i GCC High (for eksempel nyttelastautomatisering, anbefalte nyttelaster, den anslåtte kompromitterte satsen). Hvis organisasjonen har Office 365 G5 GCC eller Microsoft Defender for Office 365 (Plan 2) for government, kan du bruke Opplæring med simulert angrep som beskrevet i denne artikkelen. Opplæring med simulert angrep er ennå ikke tilgjengelig i DoD-miljøer.

Obs!

Opplæring med simulert angrep tilbyr et delsett av funksjoner til E3-kunder som en prøveversjon. Prøvetilbudet inneholder muligheten til å bruke en credential harvest nyttelast og muligheten til å velge 'ISA Phishing' eller 'Mass Market Phishing' opplæringsopplevelser. Ingen andre funksjoner er en del av prøveversjonen av E3.

Simuleringer

En simulering i Opplæring med simulert angrep er den generelle kampanjen som leverer realistiske, men harmløse phishing-meldinger til brukere. De grunnleggende elementene i en simulering er:

• Hvem som får den simulerte phishing-meldingen og etter hvilken tidsplan.
• Opplæring som brukere får basert på handlingen eller manglende handling (for både riktige og uriktige handlinger) på den simulerte phishing-meldingen.
• Nyttelasten som brukes i den simulerte phishing-meldingen (en kobling eller et vedlegg), og sammensetningen av phishing-meldingen (for eksempel pakke levert, problem med kontoen din, eller du har vunnet en premie).
• Den sosiale ingeniørteknikken som brukes. Nyttelast og sosial ingeniørteknikk er nært relatert.

I Opplæring med simulert angrep er flere typer sosiale teknikker tilgjengelige. Bortsett fra Veiledning, ble disse teknikkene kuratert fra MITRE ATT&CK-rammeverket®. Ulike nyttelaster er tilgjengelige for ulike teknikker.

Følgende teknikker for sosial ingeniørarbeid er tilgjengelige:

• Legitimasjonsinnhøsting: En angriper sender mottakeren en melding som inneholder en URL-adresse. Når mottakeren klikker på nettadressen, sendes de til et nettsted som vanligvis viser en dialogboks der brukeren blir bedt om brukernavn og passord. Målsiden er vanligvis tema for å representere et velkjent nettsted for å kunne bygge tillit til brukeren.

• Vedlegg til skadelig programvare: En angriper sender mottakeren en melding som inneholder et vedlegg. Når mottakeren åpner vedlegget, kjøres tilfeldig kode (for eksempel en makro) på brukerens enhet for å hjelpe angriperen med å installere ekstra kode eller ytterligere entrench seg selv.

• Kobling i vedlegg: Denne teknikken er en hybrid av en innhøsting av legitimasjon. En angriper sender mottakeren en melding som inneholder en nettadresse i et vedlegg. Når mottakeren åpner vedlegget og klikker på nettadressen, sendes de til et nettsted som vanligvis viser en dialogboks der brukeren blir bedt om brukernavn og passord. Målsiden er vanligvis tema for å representere et velkjent nettsted for å kunne bygge tillit til brukeren.

• Kobling til skadelig programvare: En angriper sender mottakeren en melding som inneholder en kobling til et vedlegg på et velkjent fildelingsnettsted (for eksempel SharePoint Online eller Dropbox). Når mottakeren klikker på nettadressen, åpnes vedlegget, og tilfeldig kode (for eksempel en makro) kjøres på brukerens enhet for å hjelpe angriperen med å installere ekstra kode eller ytterligere entrench seg selv.

• Drive-by-url: En angriper sender mottakeren en melding som inneholder en URL-adresse. Når mottakeren klikker på nettadressen, blir de ført til et nettsted som prøver å kjøre bakgrunnskode. Denne bakgrunnskoden prøver å samle inn informasjon om mottakeren eller distribuere tilfeldig kode på enheten. Vanligvis er målnettstedet et velkjent nettsted som har blitt kompromittert eller en klone av et velkjent nettsted. Kjennskap til nettstedet bidrar til å overbevise brukeren om at koblingen er trygg å klikke på. Denne teknikken er også kjent som et vannhullangrep.

• OAuth Consent Grant: En angriper oppretter et ondsinnet Azure-program som søker å få tilgang til data. Programmet sender en e-postforespørsel som inneholder en nettadresse. Når mottakeren klikker på nettadressen, ber programmet om tilgang til dataene (for eksempel brukerens innboks).

• Veiledning for fremgangsmåte: En opplæringsveiledning som inneholder instruksjoner for brukere (for eksempel hvordan du rapporterer phishing-meldinger).

URL-adressene som brukes av Opplæring med simulert angrep, er oppført i tabellen nedenfor:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Obs!

Kontroller tilgjengeligheten til den simulerte nettadressen for phishing i nettlesere som støttes, før du bruker nettadressen i en phishing-kampanje. Hvis du vil ha mer informasjon, kan du se nettadresser for phishing-simulering som er blokkert av Google Safe Browsing.

Opprett simuleringer

Hvis du vil ha instruksjoner om hvordan du oppretter og starter simuleringer, kan du se Simulere et phishing-angrep.

Landingssiden i simuleringen er der brukerne går når de åpner nyttelasten. Når du oppretter en simulering, velger du målsiden du vil bruke. Du kan velge blant innebygde målsider, egendefinerte målsider som du allerede har opprettet, eller du kan opprette en ny målside som skal brukes under opprettingen av simuleringen. Hvis du vil opprette målsider, kan du se Målsider i Opplæring med simulert angrep.

Sluttbrukervarsler i simuleringen sender periodiske påminnelser til brukere (for eksempel opplæringstildeling og påminnelsesvarsler). Du kan velge blant innebygde varsler, egendefinerte varsler som du allerede har opprettet, eller du kan opprette nye varsler som skal brukes under opprettingen av simuleringen. Hvis du vil opprette varsler, kan du se sluttbrukervarsler for Opplæring med simulert angrep.

Tips

Simuleringsautomatiseringer gir følgende forbedringer i forhold til tradisjonelle simuleringer:

• Simuleringsautomatiseringer kan omfatte flere sosiale teknikker og relaterte nyttelaster (simuleringer inneholder bare én).
• Simuleringsautomatiseringer støtter automatiserte planleggingsalternativer (mer enn bare startdatoen og sluttdatoen i simuleringer).

Hvis du vil ha mer informasjon, kan du se Simuleringsautomatiseringer for Opplæring med simulert angrep.

Payloads

Selv om Attack-simulering inneholder mange innebygde nyttelaster for de tilgjengelige sosialingeniørteknikkene, kan du opprette egendefinerte nyttelaster som passer bedre til dine forretningsbehov, inkludert kopiering og tilpasning av en eksisterende nyttelast. Du kan opprette nyttelaster når som helst før du lager simuleringen eller under opprettelsen av simuleringen. Hvis du vil opprette nyttelaster, kan du se Opprette en egendefinert nyttelast for Opplæring med simulert angrep.

I simuleringer som bruker Credential Harvest eller Link i vedleggsteknikker for sosial ingeniørarbeid, er påloggingssider en del av nyttelasten du velger. Påloggingssiden er nettsiden der brukerne angir legitimasjonen sin. Hver gjeldende nyttelast bruker en standard påloggingsside, men du kan endre påloggingssiden som brukes. Du kan velge blant innebygde påloggingssider, egendefinerte påloggingssider som du allerede har opprettet, eller du kan opprette en ny påloggingsside som skal brukes under opprettelsen av simuleringen eller nyttelasten. Hvis du vil opprette påloggingssider, kan du se Påloggingssider i Opplæring med simulert angrep.

Den beste opplæringsopplevelsen for simulerte phishing-meldinger er å gjøre dem så nære som mulig til reelle phishing-angrep som organisasjonen kan oppleve. Hva om du kan registrere og bruke harmløse versjoner av virkelige phishing-meldinger som ble oppdaget i Microsoft 365 og bruke dem i simulerte phishing-kampanjer? Du kan, med nyttelastautomatiseringer (også kjent som nyttelasthøsting). Hvis du vil opprette automatiseringer av nyttelaster, kan du se Automatisering av nyttelast for Opplæring med simulert angrep.

Rapporter og innsikter

Når du har laget og startet simuleringen, må du se hvordan det går. Eksempel:

• Mottok alle den?
• Hvem gjorde hva med den simulerte phishing-meldingen og nyttelasten i den (slett, rapporter, åpne nyttelasten, angi legitimasjon osv.).
• Hvem som fullførte den tilordnede opplæringen.

De tilgjengelige rapportene og innsiktene for Opplæring med simulert angrep er beskrevet i innsikt og rapporter for Opplæring med simulert angrep.

Forventet kompromissrate

Du må ofte skreddersy en simulert phishing-kampanje for bestemte målgrupper. Hvis phishing-meldingen er for nær perfekt, vil nesten alle bli lurt av den. Hvis det er for mistenkelig, vil ingen bli lurt av det. Og phishing-meldingene som enkelte brukere anser som vanskelige å identifisere, anses som enkle å identifisere av andre brukere. Så hvordan finner du en balanse?

Den spådde kompromissraten (PCR) indikerer den potensielle effektiviteten når nyttelasten brukes i en simulering. PCR bruker intelligente historiske data på tvers av Microsoft 365 til å forutsi prosentandelen av personer som vil bli kompromittert av nyttelasten. Eksempel:

• Nyttelastinnhold.
• Aggregerte og anonymiserte kompromissrater fra andre simuleringer.
• Metadata for nyttelast.

MED PCR kan du sammenligne prognosene kontra faktiske klikk gjennom-satser for phishing-simuleringer. Du kan også bruke disse dataene til å se hvordan organisasjonen yter sammenlignet med prognoseresultater.

PCR-informasjon for en nyttelast er tilgjengelig uansett hvor du viser og velger nyttelaster, og i følgende rapporter og innsikter:

• Innvirkning på virkemåte på kort med risikosats
• Treningseffekt-fanen for Angrepssimulering-rapporten

Tips

Angrepssimulatoren bruker klarerte koblinger i Defender for Office 365 til å spore klikkdata for nettadressen i nyttelastmeldingen som sendes til målrettede mottakere av en phishing-kampanje, selv om innstillingen Spor bruker klikker i policyer for klarerte koblinger er deaktivert.

Opplæring uten triks

Tradisjonelle phishing-simuleringer presenterer brukere med mistenkelige meldinger og følgende mål:

• Få brukere til å rapportere meldingen som mistenkelig.
• Gi opplæring når brukere klikker på eller starter den simulerte skadelige nyttelasten og gir opp legitimasjonen.

Men noen ganger vil du ikke vente på at brukerne skal utføre riktige eller uriktige handlinger før du gir dem opplæring. Opplæring med simulert angrep har følgende funksjoner for å hoppe over ventetiden og gå rett til opplæring:

• Opplæringskampanjer: En opplæringskampanje er en opplæringsoppgave for de målrettede brukerne. Du kan tilordne opplæring direkte uten å sette brukere gjennom testen av en simulering. Opplæringskampanjer gjør det enkelt å gjennomføre læringsøkter som månedlig opplæring for bevissthet rundt cybersikkerhet. Hvis du vil ha mer informasjon, kan du se Opplæringskampanjer i Opplæring med simulert angrep.

• Veiledninger i simuleringer: Simuleringer basert på How-to Guide social engineering teknikk forsøker ikke å teste brukere. En Veiledning for fremgangsmåte er en lett læringsopplevelse som brukere kan se direkte i innboksen. Følgende innebygde nyttelaster for Veiledning er for eksempel tilgjengelige, og du kan opprette din egen (inkludert kopiering og tilpassing av en eksisterende nyttelast):

  • Opplæringsveiledning: Slik rapporterer du phishing-meldinger
  • Opplæringsveiledning: Slik gjenkjenner og rapporterer du QR phishing-meldinger