Introdução treinamento de simulação de ataque no Defender para Office 365

Artigo
06/02/2022
3 minutos para o fim da leitura

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub Microsoft 365 Defender portal de avaliações. Saiba mais sobre quem pode se inscrever e os termos de avaliação aqui.

Aplica-se Microsoft Defender para Office 365 plano 2

Se sua organização tiver Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2, que inclui recursos de Investigação e Resposta a Ameaças, você poderá usar o treinamento de simulação de ataque no portal do Microsoft 365 Defender para executar cenários de ataque realistas em seu Organização. Esses ataques simulados podem ajudá-lo a identificar e localizar usuários vulneráveis antes que um ataque real afete seu resultado final. Leia este artigo para saber mais.

Assista a este breve vídeo para saber mais sobre o treinamento de simulação de ataque.

Observação

O treinamento de simulação de ataque substitui a experiência antiga do Simulador de Ataque v1 que estava disponível no Security & Compliance Center no simulador de > ataque de gerenciamento de ameaças ou https://protection.office.com/attacksimulator.

O que você precisa saber antes de começar?

Para abrir o portal do Microsoft 365 Defender, vá para https://security.microsoft.com. O treinamento de simulação de ataque está disponível no treinamento de simulação de ataque de email > e colaboração. Para ir diretamente para o treinamento de simulação de ataque, use https://security.microsoft.com/attacksimulator.
Para obter mais informações sobre a disponibilidade do treinamento de simulação de ataque em diferentes Microsoft 365 assinaturas, consulte Microsoft Defender para Office 365 descrição do serviço.
Você precisa receber permissões no Azure Active Directory antes de realizar os procedimentos neste artigo. Especificamente, você precisa ser membro de uma das seguintes funções:
- Administrador Global
- Administrador de Segurança
- Administradores de simulação de^* ataque: crie e gerencie todos os aspectos de campanhas de simulação de ataque.
- Autor da carga de ataque^*: crie cargas de ataque que um administrador pode iniciar posteriormente.
^*Atualmente, não há suporte para a adição de usuários Microsoft 365 Defender essa função no portal do Microsoft 365 Defender.

Para obter mais informações, consulte Permissões no portal Microsoft 365 Defender ou sobre funções de administrador.
Não há cmdlets correspondentes do PowerShell para treinamento de simulação de ataque.
Os dados relacionados à simulação de ataque e ao treinamento são armazenados com outros dados do cliente para Microsoft 365 serviços. Para obter mais informações, Microsoft 365 locais de dados. A simulação de ataque está disponível nas seguintes regiões: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM, CHE, NOR, ZAF, ARE e DEU.

Observação

NOR, ZAF, ARE e DEU são as adições mais recentes. Todos os recursos, exceto a telemetria de email relatada, estarão disponíveis nessas regiões. Estamos trabalhando para habilitar isso e notificaremos nossos clientes assim que a telemetria de email relatada estiver disponível.
A partir de 15 de junho de 2021, o treinamento de simulação de ataque está disponível em GCC. Se sua organização tiver Office 365 G5 GCC ou Microsoft Defender para Office 365 (Plano 2) para Governo, você poderá usar o treinamento de simulação de ataque no portal do Microsoft 365 Defender para executar cenários de ataque realistas em sua organização, conforme descrito neste artigo. O treinamento de simulação de ataque ainda não está disponível GCC ambientes High ou DoD.

Observação

O treinamento de simulação de ataque oferece um subconjunto de recursos para clientes E3 como uma avaliação. A oferta de avaliação contém a capacidade de usar uma carga de coleta de credenciais e a capacidade de selecionar experiências de treinamento 'ISA Phishing' ou 'Mass Market Phishing'. Nenhuma outra funcionalidade faz parte da oferta de avaliação do E3.

Simulações

Phishing é um termo genérico para ataques de email que tentam roubar informações confidenciais em mensagens que parecem ser de remetentes legítimos ou confiáveis. Phishing faz parte de um subconjunto de técnicas que classificamos como engenharia social.

No treinamento de simulação de ataque, vários tipos de técnicas de engenharia social estão disponíveis:

Coleta de credenciais: um invasor envia ao destinatário uma mensagem que contém uma URL. Quando o destinatário clica na URL, ele é levado para um site que normalmente mostra uma caixa de diálogo que solicita ao usuário seu nome de usuário e senha. Normalmente, a página de destino tem como temas representar um site conhecido para criar confiança no usuário.
Anexo de malware: um invasor envia ao destinatário uma mensagem que contém um anexo. Quando o destinatário abre o anexo, o código arbitrário (por exemplo, uma macro) é executado no dispositivo do usuário para ajudar o invasor a instalar código adicional ou a se entrincheirar ainda mais.
Link no anexo: é um híbrido de uma coleta de credenciais. Um invasor envia ao destinatário uma mensagem que contém uma URL dentro de um anexo. Quando o destinatário abre o anexo e clica na URL, ele é levado para um site que normalmente mostra uma caixa de diálogo que solicita ao usuário seu nome de usuário e senha. Normalmente, a página de destino tem como temas representar um site conhecido para criar confiança no usuário.
Link para malware: um invasor envia ao destinatário uma mensagem que contém um link para um anexo em um site de compartilhamento de arquivos conhecido (por exemplo, SharePoint Online ou Dropbox). Quando o destinatário clica na URL, o anexo é aberto e o código arbitrário (por exemplo, uma macro) é executado no dispositivo do usuário para ajudar o invasor a instalar código adicional ou a se entrincheirar ainda mais.
Unidade por url: um invasor envia ao destinatário uma mensagem que contém uma URL. Quando o destinatário clica na URL, ele é levado para um site que tenta executar o código em segundo plano. Esse código em segundo plano tenta coletar informações sobre o destinatário ou implantar código arbitrário em seu dispositivo. Normalmente, o site de destino é um site conhecido que foi comprometido ou um clone de um site conhecido. A familiaridade com o site ajuda a convencer o usuário de que o link é seguro para clicar. Essa técnica também é conhecida como um ataque de buraco de ressarte.

Observação

Verifique a disponibilidade da URL de phishing simulada em seus navegadores da Web com suporte antes de usar a URL em uma campanha de phishing. Embora trabalhemos com muitos fornecedores de reputação de URL para sempre permitir essas URLs de simulação, nem sempre temos cobertura completa (por exemplo, Google Cofre Navegação). A maioria dos fornecedores fornece diretrizes que permitem sempre permitir URLs específicas (por exemplo, https://support.google.com/chrome/a/answer/7532419).

As URLs usadas pelo treinamento de simulação de ataque são descritas na lista a seguir:

Criar uma simulação

Para obter instruções passo a passo sobre como criar e enviar uma nova simulação, consulte Simular um ataque de phishing.

Criar uma carga

Para obter instruções passo a passo sobre como criar uma carga para uso em uma simulação, consulte Criar uma carga personalizada para treinamento de simulação de ataque.

Obtendo insights

Para obter instruções passo a passo sobre como obter insights com relatórios, consulte Obter insights por meio do treinamento de simulação de ataque.

Observação

O Simulador de Ataque usa links do Cofre no Defender para Office 365 para acompanhar com segurança os dados de clique para a URL na mensagem de conteúdo enviada aos destinatários de destino de uma campanha de phishing, mesmo que a configuração Rastrear cliques do usuário nas políticas de Links do Cofre esteja desativada.