Создание пользовательских полезных данных для обучения моделированию атак в Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 плана 2 бесплатно? Используйте 90-дневную пробную Defender для Office 365 в центре Microsoft 365 Defender портала. Сведения о том, кто может зарегистрироваться и использовать пробные условия, см. здесь.

Применимо к Microsoft Defender для Office 365 плана 2

При обучении моделированию атак полезные данные — это фишинговое сообщение электронной почты и веб-страницы, которые перечислены пользователям в имитациях. Обучение моделированию атак в Microsoft 365 E5 или Microsoft Defender для Office 365 плане 2 предоставляет надежный встроенный каталог полезных данных для доступных методов социальной инженерии. Однако вам может потребоваться создать пользовательские полезные данные, которые будут лучше работать в вашей организации.

В этой статье описывается создание собственных полезных данных при обучении моделированию атак. Пользовательские полезные данные можно создавать в следующих расположениях:

  • Полезные данные: > > > https://security.microsoft.comна Microsoft 365 Defender портале перейдите на вкладку "Полезные данные" библиотеки содержимого имитации & электронной почты. Чтобы перейти непосредственно на вкладку библиотеки содержимого имитации, где можно выбрать полезные данные, используйте .https://security.microsoft.com/attacksimulator?viewid=simulationcontentlibrary
  • Во время создания имитации можно создать пользовательские полезные данные на странице "Выбор полезных данных" (третья страница) мастера создания имитации. Дополнительные сведения см. в разделе Имитация фишинговой атаки в Defender для Office 365.

Сведения о начале обучения моделированию атак см. в начало работы по использованию обучения имитации атак.

Примечание

Некоторые товарные знаки, логотипы, символы, знаки и другие исходные идентификаторы получают защиту в соответствии с локальными, федеральными и федеральными законами. Несанкционированное использование таких индикаторов может привести к штрафам для пользователей, включая штрафы. Несмотря на то, что список не является обширным, к ним относятся запечатанные печатные запечатанные лени, вице-президенты и пфайоны, CIA, ИНСТРУКЦИИ, ИНСТРУКЦИИ, социальное страхования, Муме и Фрюстион, США Внутренняя служба доходов и Олимпийские игры. За пределами этих категорий товарных знаков использование и изменение любого стороннего товарного знака связано с внутренним риском. Использование собственных товарных знаков и логотипов в полезных данных будет менее рискованным, особенно в случаях, когда ваша организация допускает использование. Если у вас есть дополнительные вопросы о том, что следует использовать при создании или настройке полезных данных, обратитесь к юридическим консультантам.

Создание полезных данных

После нажатия кнопки "Создать полезные данные" Создайте полезные данные из полезных данных на вкладке библиотеки содержимого имитации обучения моделирования атак или на странице "Выбор полезных данных" мастера создания имитации, запустится мастер создания полезных данных, который описан в этом разделе.

Выбор типа полезных данных

На странице "Выбор типа " единственным значением, которое в настоящее время можно выбрать, является "Электронная почта".

Нажмите Далее.

Выбор метода социальной инженерии

На странице "Выбор метода" доступны те же параметры, что и на странице "Выбор метода" в мастере создания имитации:

  • Сбор учетных данных
  • Вложение вредоносных программ
  • Ссылка во вложении
  • Ссылка на вредоносные программы
  • URL-адрес диска

По завершении нажмите кнопку Далее.

Имя и описание полезных данных

На странице имени полезных данных настройте следующие параметры:

  • Имя: введите уникальное описательное имя полезных данных.
  • Описание. Введите необязательное подробное описание полезных данных.

По завершении нажмите кнопку Далее.

Настройка полезных данных

На странице "Настройка полезных данных " можно создать полезные данные. Многие из доступных параметров определяются выбором, выбранным на странице "Выбор метода" (например, ссылки и вложения).

  • Раздел сведений об отправителях . Настройте следующие параметры:

    • Имя отправителя
    • Используйте имя в качестве отображаемого имени: по умолчанию этот параметр не выбран.
    • В сообщении электронной почты: если вы выберете внутренний адрес электронной почты для отправителя полезных данных, полезные данные будут поступать от сотрудника. Этот адрес электронной почты отправителя повысит уровень подвержености пользователя полезным данным и поможет обучить сотрудников риску внутренних угроз.
    • Тема письма
  • Раздел сведений о вложении. Этот раздел доступен, только если вы выбрали вложение вредоносных программ, ссылку во вложении или ссылку на вредоносные программы на странице "Выбор метода". Настройте указанные ниже параметры.

    • Приведите имя вложения
    • Выберите тип вложения: в настоящее время единственным доступным значением является Docx.
  • Ссылка для раздела вложения . Этот раздел доступен только в том случае, если на странице "Выбор метода" выбран параметр " Ссылка на вредоносные программы". В поле ссылки "Выбор URL-адреса" выберите один из доступных URL-адресов (те же URL-адреса, которые описаны в разделе "Фишинг").

    Позже вы добавите URL-адрес в текст сообщения.

  • Раздел фишинговой ссылки. Этот раздел доступен только в том случае, если вы выбрали "Сбор учетных данных ", " Ссылка во вложенном файле" или "URL-адрес диска" на странице "Выбор метода ".

    Для сбора учетных данных или URL-адреса диска имя поля — "Выберите URL-адрес, который вы хотите использовать в качестве фишинговой ссылки". Позже вы добавите URL-адрес в текст сообщения.

    Для параметра "Ссылка во вложении" имя поля — "Выберите URL-адрес в этом вложении", который вы хотите использовать в качестве фишинговой ссылки. Позже вы добавите URL-адрес во вложение.

    Выберите одно из доступных значений URL-адреса:

    Примечание

    Служба репутации URL-адресов может определить один или несколько из этих URL-адресов как небезопасные. Прежде чем использовать URL-адрес в имитации, проверьте доступность URL-адреса в поддерживаемых веб-браузерах. Дополнительные сведения см. в статье о URL-адресах имитации фишинга, заблокированных google Сейф браузера.

  • Раздел содержимого вложения: этот раздел доступен только в том случае, если вы выбрали " Ссылка во вложении " на странице "Выбор метода ".

    Для создания содержимого в полезных данных вложения в файле доступен редактор форматированного текста.

    Используйте элемент управления "Фишинговые ссылки ", чтобы добавить ранее выбранный URL-адрес фишинга во вложение.

  • Общие параметры:

    • Добавление тегов
    • Тема. Доступные значения: активация учетной записи , проверка учетной записи , выставление счетов, очистка почты , получение документа, расходы**, факс**, финансовый отчет, входящие сообщения, счет**,** полученный элемент, оповещение о входе , получение почты, другое**, пароль**, платеж, оплата, персонализированное предложение, карантин , удаленная работа, просмотр сообщения, обновление системы безопасности, приостановка службы , обязательное выполнение подписи, обновление почтового ящика служба хранилища, проверка почтового ящика или голосовая почта.
    • Brand: Доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix,Ражаbank, SendGrid, Title, Tesco, Wells Fargo, Syrinx Cloud и т. д.
    • Отрасль: доступные значения: банковские услуги, бизнес-услуги , потребительские услуги, образование, энергию**, конструкция**, консультации**,** финансовые услуги, государственные службы , здравоохранение, страхования, юридические услуги, службы courier, ИТ, здравоохранения**, производства****,** розничной торговли , телекоммуникации, недвижимости или Другое.
    • Текущее событие: доступные значения: "Да" или "Нет".
    • Должно быть задано значение "Да" или "Нет".
  • Раздел "Язык". Выберите язык для полезных данных. Доступны следующие значения: английский**,** испанский , немецкий, японский**, французский****, португальский****,** португальский , нидерландский, итальянский, шведский, китайский (упрощенное письмо), норвежский букмол**,** польский , русский**, русский**, корейский**,** корейский, турецкий , иврит**, иврит****,** тайский , арабский , арабский , турецкий , греческий, индонезийский, вьетнамский, словейский, вьетнамский, каталанский или другой.

  • Раздел сообщения электронной почты:

    • Вы можете нажать кнопку " Импорт электронной почты" , а затем выбрать файл , чтобы импортировать существующий файл обычного текстового сообщения.

    • На вкладке " Текст" доступен редактор форматированного текста для создания полезных данных сообщения электронной почты.

      • Используйте элемент управления "Динамический тег" для персонализации сообщения электронной почты для каждого пользователя, вставив доступные теги:

        • Имя вставки: значение, добавленное в текст сообщения, равно .${userName}
        • Вставка сообщения электронной почты: значение, добавленное в текст сообщения, равно .${emailAddress}

        Раздел сообщения электронной почты на странице "Настройка полезных данных" в мастере создания полезных данных в обучении имитации атак в Microsoft Defender для Office 365

        Элемент управления "Фишинговые ссылки": этот элемент управления доступен только в том случае, если на странице "Выбор метода выбора" выбраны параметры "Сбор учетных данных ", " Ссылка во вложенном файле" или "URL-адрес диска ". Используйте этот элемент управления, чтобы вставить URL-адрес, выбранный ранее в разделе "Фишинг" .

        Элемент управления ссылкой на вложение вредоносных программ: этот элемент управления доступен только в том случае, если на странице "Выбор метода" выбран параметр " Ссылка на вредоносные программы". Используйте этот элемент управления, чтобы вставить URL-адрес, выбранный ранее в разделе "Ссылка для вложения ".

        Если щелкнуть ссылку "Фишинг " или "Вложение вредоносных программ ", откроется диалоговое окно с запросом на имя ссылки. По завершении нажмите кнопку " Подтвердить".

        Значение, которое добавляется в текст сообщения (отображается на вкладке "Код "), равно <a href="${phishingUrl}" target="_blank">Name value you specified</a>.

    • На вкладке " Код" можно просматривать и изменять HTML-код напрямую. Форматирование и другие элементы управления, такие как динамический тег и ссылка фишинга или ссылка на вложение вредоносных программ, недоступны.

    • Заменить все ссылки в сообщении электронной почты на переключатель фишинговой ссылки можно только в том случае, если вы выбрали сбор учетных данных, ссылку на вредоносные программы или URL-адрес диска на странице "Выбор метода". Этот переключатель позволяет сэкономить время, заменив все ссылки в сообщении ранее выбранной ссылкой фишинга или ссылкой для URL-адреса вложения. Для этого переключите параметр в положение " Переключить на значок".

По завершении нажмите кнопку Далее.

Добавление индикаторов в признаки фишинга

Примечание

Индикаторы недоступны, если вы выбрали вложение вредоносных программ или ссылались на вредоносные программы на странице "Выбор метода".

Индикаторы помогают сотрудникам, проходить моделирование атак, чтобы определить признаки фишинговых сообщений.

На странице "Добавление индикаторов " нажмите кнопку "Добавить индикатор". Во всплывающем окне настройте следующие параметры:

  • Имя индикатора и расположение индикатора: эти значения взаимосвязаны. Расположение индикатора зависит от самого индикатора. Доступные значения описаны в следующей таблице:

    Имя индикатора Расположение индикатора
    Тип вложения Тело сообщения.
    Отвлекающие сведения Тело сообщения.
    Спуфинг домена Тело сообщения.

    С адреса электронной почты

    Универсальное приветствие Тело сообщения.
    Саула Тело сообщения.
    Несоответствие Тело сообщения.
    Отсутствие сведений об отправителях Тело сообщения.
    Юридический язык Тело сообщения.
    Предложение с ограниченным временем Тело сообщения.
    Имитация логотипа или фирменная символика с датой Тело сообщения.
    Имитирует рабочий или бизнес-процесс Тело сообщения.
    Нет или минимальная фирменная символика Тело сообщения.
    Представляет собой друга, коллегу, супервизора или руководителя Тело сообщения.
    Запрос конфиденциальной информации Тело сообщения.
    Индикаторы безопасности и значки Тело сообщения.

    Тема сообщения.

    Отображаемое имя отправителя и адрес электронной почты Имя отправителя

    С адреса электронной почты

    Ощущение срочности Тело сообщения.

    Тема сообщения.

    Орфографические и грамматические нарушения Тело сообщения.

    Тема сообщения.

    Язык химяки Тело сообщения.

    Тема сообщения.

    Слишком хорошо, чтобы быть истинными предложениями Тело сообщения.
    Неprofessional looking design or formatting Тело сообщения.
    Гиперссылка URL-адресов Тело сообщения.
    Вы особый человек Тело сообщения.

    В этом списке содержатся наиболее распространенные подсказки, которые отображаются в фишинговых сообщениях.

    Если выбрать тему сообщения электронной почты или текст сообщения в качестве расположения индикатора, будет доступна кнопка " Выбрать текст". Нажмите эту кнопку, чтобы выбрать текст в теме сообщения или тексте сообщения, в котором будет отображаться индикатор. По завершении нажмите кнопку "Выбрать".

    Расположение выделенного текста в тексте сообщения, добавляемого к индикатору в мастере создания полезных данных в обучении имитации атак

    • Описание индикатора: можно принять описание индикатора по умолчанию или настроить его.

    • Предварительный просмотр индикатора. Чтобы увидеть, как выглядит текущий индикатор, щелкните в этом разделе.

    По завершении нажмите кнопку " Добавить".

Повторите действия, описанные в этом разделе, чтобы добавить несколько индикаторов.

Чтобы изменить существующий индикатор, выберите его из списка и щелкните значок " Изменить индикатор". Изменение полезных данных.

Чтобы удалить существующий индикатор, выберите его из списка и щелкните значок "Удалить". Delete.

По завершении нажмите кнопку Далее.

Просмотр полезных данных

На странице полезных данных " Проверка" можно просмотреть сведения о полезных данных.

Щелкните значок "Отправить тест". Отправьте тестовую кнопку, чтобы отправить копию полезных данных электронной почты себе (пользователю, выполнив вход в систему) для проверки.

Щелкните значок индикатора предварительного просмотра. Кнопка предварительного просмотра индикатора открывает полезные данные во всплывающем окне предварительного просмотра. Предварительная версия включает все созданные индикаторы полезных данных.

На главной странице полезных данных проверки можно выбрать "Изменить " в каждом разделе, чтобы изменить параметры в этом разделе. Вы также можете щелкнуть Назад или выбрать определенную страницу в мастере.

По завершении нажмите Отправить. На странице подтверждения, которая откроется, нажмите кнопку Готово.

Страница &quot;Проверка полезных данных&quot; в обучающем обучении по моделированию атак на Microsoft 365 Defender портале

Важно!

Созданные полезные данные будут иметь значение Tenant для свойства Source . При создании имитаций и выборе полезных данных убедитесь, что вы не отфильтровывайте клиент исходного значения.

Начало использования обучения симуляции атаки

Создание имитации фишинговой атаки

Получение аналитики с помощью обучения имитации атаки