Имитация фишинговой атаки в Defender для Office 365

Применяется к Microsoft Defender для Office 365 плана 2

Обучение имитации атаки в Microsoft Defender для Office 365 plan 2 или Microsoft 365 E5 позволяет запускать в организации доброкачественные имитации кибератак. В этих моделированиях проверяются политики и методы безопасности, а также обучение сотрудников повышению осведомленности и снижению их восприимчивости к атакам. В этой статье вы можете создать смоделированную фишинговую атаку с помощью обучения имитации атаки.

Сведения о подготовке к имитации атаки см. в см. в игре Get started using Attack simulation training.

Чтобы запустить смоделированную фишинговую атаку, необходимо сделать следующие действия:

  1. На портале Microsoft 365 Defender, перейдите на вкладку Моделирование моделирования https://security.microsoft.com & совместной > > работы.

    Чтобы перейти непосредственно на вкладку Simulations, используйте https://security.microsoft.com/attacksimulator?viewid=simulations .

  2. На вкладке Simulations выберите  Запуск значка моделирования. Запуск имитации.

    Запустите кнопку моделирования на вкладке Simulations в обучении имитации атаки на Microsoft 365 Defender портале.

  3. Откроется мастер создания моделирования. В остальной части этой статьи описываются страницы и содержащиеся в них параметры.

Примечание

В любой момент во время мастера создания моделирования можно нажать кнопку Сохранить и закрыть, чтобы сохранить прогресс и продолжить настройку моделирования позже. Неполное моделирование имеет черновик значения Status на вкладке Simulations. Вы можете выбрать, где вы оставили, выбрав имитацию и щелкнув  значок Редактирование моделирования. Изменение моделирования.

Выбор метода социальной инженерии

На странице Выберите метод выберите доступный метод социальной инженерии, который был куратором из структуры ATT MITRE&CK®. Различные полезной нагрузки доступны для различных методов. Доступны следующие методы социальной инженерии:

  • Сбор учетных данных. Попытки сбора учетных данных путем отправки пользователей на известный веб-сайт с входными полями для отправки имени пользователя и пароля.
  • Вложение вредоносных программ. Добавляет вредоносное вложение в сообщение. Когда пользователь открывает вложение, запустится произвольный код, который поможет злоумышленнику скомпрометировать устройство цели.
  • Ссылка в приложении: тип гибрида сбора учетных данных. Злоумышленник вставляет URL-адрес в вложение электронной почты. URL-адрес в приложении следует той же методике, что и сбор учетных данных.
  • Ссылка на вредоносные программы. Выполняется произвольный код из файла, хранимого в известной службе обмена файлами. Сообщение, отправленное пользователю, будет содержать ссылку на этот вредоносный файл. Открытие файла и помощь злоумышленнику в компрометации устройства цели.
  • URL-адрес drive-by. Вредоносный URL-адрес в сообщении передает пользователя на знакомый веб-сайт, который бесшумно запускает и/или устанавливает код на устройстве пользователя.

Если щелкнуть ссылку "Просмотр сведений" в описании, откроется флажок с описанием техники и действий моделирования, которые будут результатом этой техники.

Подробные сведения о технике сбора учетных данных на странице Выбор метода.

По завершении нажмите кнопку Далее.

Имя и описание моделирования

На странице Моделирование имен настройте следующие параметры:

  • Имя. Введите уникальное описательное имя для моделирования.
  • Описание. Введите дополнительное подробное описание для моделирования.

По завершении нажмите кнопку Далее.

Выбор полезной нагрузки

На странице Выбор полезной нагрузки необходимо выбрать существующую полезной нагрузки из списка или создать новую полезной нагрузки.

В списке полезной нагрузки отображаются следующие сведения, которые помогут вам выбрать:

  • Название
  • Язык. Язык контента полезной нагрузки. Каталог полезной нагрузки Корпорации Майкрософт (глобальный) содержит полезной нагрузки на 10+ языках, которые также можно отфильтровать.
  • Click rate: How many people have clicked on this payload.
  • Прогнозируемая скорость компромисса. Исторические данные для полезной нагрузки Microsoft 365, которая предсказывает процент людей, которые будут скомпрометироваться этой полезной нагрузкой.
  • Запущенные имитации подсчитывают количество раз, когда эта полезной нагрузки использовалась в других имитациях.

В  значке Поиска. Поле поиска можно ввести часть имени полезной нагрузки и нажмите кнопку Ввод для фильтрации результатов.

При нажатии фильтра доступны следующие фильтры:

  • Сложность: вычисляется на основе количества индикаторов в полезной нагрузке, которые указывают на возможную атаку (ошибки орфографии, срочность и т.д.). Другие индикаторы проще идентифицировать как атаку и указывать на более низкую сложность. Ниже представлены возможные значения.
    • Низкие
    • Средний
    • Высокий
  • Источник. Указывает, была ли полезной нагрузка создана в вашей организации или является частью уже существующего каталога полезной нагрузки Майкрософт. Допустимые значения:
    • Глобальный (встроенный)
    • Tenant (custom)
    • Все
  • Язык: Доступные значения: китайский (упрощенный), китайский (традиционный), английский , французский , немецкий , итальянский , японский , корейский , португальский , русский , испанский и голландский .
  • Добавление тега (s)
  • Фильтр по темам: Доступные значения: активация учетной записи , проверка учетной записи , Биллинг , Очистка почты , Документ получил , Счет , Факс , Финансовый отчет , Входящие сообщения , Счет , Элементы, полученные , Предупреждение входа , Почта получена , Пароль , Оплата, Payroll, Персонализированное предложение , Карантин , Удаленная работа, просмотр сообщения, обновление безопасности, служба приостановлена , Подпись требуется , Обновление хранения почтовых ящиков Проверка почтовых ящиков , Голосовая почта и другие.
  • Фильтр по бренду: доступные значения: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, Первый американский , Microsoft, Netflix , Scotiabank, SendGrid, Стюарт Title , Tesco, Wells Fargo, Syrinx Cloud, и другие.
  • Фильтр по отрасли: Доступные значения: Банковские, Бизнес-службы , Потребительские услуги , Образование , Энергетика , Строительство , Консалтинг , Финансовые услуги , Правительство , Гостеприимство , Страхование , Юридические , Курьерские службы , ИТ , Здравоохранение , Производство , Розничная торговля , Телеком, Недвижимость, и другие.
  • Текущее событие. Доступные значения : Да или Нет.
  • Спорные. Доступные значения : Да или Нет.

Когда вы закончите настройку фильтров, нажмите кнопку Применить, Отменить или очистить фильтры.

Выберите страницу полезной нагрузки в обучении имитации атаки на Microsoft 365 Defender портале.

Если вы выбираете полезной нагрузки из списка, сведения о полезной нагрузке показаны в вылете:

  • Вкладка Обзор содержит пример и другие сведения о полезной нагрузке.
  • Запущенная вкладка Simulations содержит имя Simulation, Click rate, Compromised rate и Action.

Сведения о полезной нагрузке при обучении имитации атаки на Microsoft 365 Defender портале.

Если вы выберете полезной нагрузки из списка, нажав на имя, отправьте  значок полезной нагрузки для тестирования. Отправить тестовую кнопку отображается на главной странице, где вы можете отправить копию сообщения полезной нагрузки себе (в настоящее время вошел в систему пользователя) для проверки.

Чтобы создать собственную полезной нагрузки, нажмите  кнопку Создать значок полезной нагрузки. Создание полезной нагрузки. Дополнительные сведения см. в рублях Create custom payloads for Attack simulation training.

По завершении нажмите кнопку Далее.

Целевая аудитория

На странице Целевые пользователи выберите, кто получит моделирование. Настройка одного из следующих параметров:

  • Включите всех пользователей в организацию: затронутые пользователи указаны в списках из 10. Для прокрутки списка можно использовать кнопки Next и Previous непосредственно под списком пользователей. Вы также можете использовать  значок Поиска. Поиск значка на странице, чтобы найти пострадавших пользователей.

  • Включай только определенных пользователей и группы: Выберите один из следующих вариантов:

    • Добавление значка пользователей. Добавление пользователей. В вылете Добавить пользователей, который появится, вы можете найти пользователей и группы на основе следующих критериев:
      • Пользователи или группы. В  значке "Поиск пользователей и групп". Для поиска пользователей и групп можно ввести часть имени или адреса электронной почты пользователя или группы, а затем нажать кнопку Ввод. Вы можете выбрать некоторые или все результаты. Когда вы закончите, нажмите кнопку Добавить x пользователей.

        Примечание

        Нажав кнопку Добавить фильтры, чтобы вернуться к пользователям фильтра по категориям, вы сможете очистить пользователей или группы, выбранные в результатах поиска.

      • Фильтрация пользователей по категориям. Выберите из них ни один, ни один, ни один из следующих параметров:

        • Рекомендуемые группы пользователей: Выберите из следующих значений:
          • Все предложенные группы пользователей
          • Пользователи, не нацеленные на симуляцию за последние три месяца
          • Повторные нарушители
        • Department: Используйте следующие параметры:
          • Поиск. В  значке Поиск по отделу. Поиск по поле Department можно ввести часть значения Department, а затем нажать кнопку Ввод. Вы можете выбрать некоторые или все результаты.
          • Выбор всех отделов
          • Выберите существующие значения Department.
        • Название. Используйте следующие параметры:
          • Поиск. В  значке "Поиск по заголовку". Поиск по поле Title можно ввести часть значения Title, а затем нажать ввод. Вы можете выбрать некоторые или все результаты.
          • Выберите все заголовки
          • Выберите существующие значения Title.

        Фильтрация пользователей на странице Целевые пользователи в обучении имитации атаки на Microsoft 365 Defender портале.

        После определения критериев затронутые пользователи будут показаны в разделе Список пользователей, где можно выбрать некоторых или всех обнаруженных получателей.

        По завершению щелкните Применить (x) и нажмите кнопку Добавить x пользователей.

    Возвращаясь на главную страницу целевых пользователей, можно использовать  значок Поиска. Поле поиска для поиска пострадавших пользователей. Вы также можете  щелкнуть значок Удалить пользователей. Удаление для удаления определенных пользователей.

  • Значок импорта. Импорт. В открываемом диалоговом окантове укажите файл CSV, содержащий один адрес электронной почты за строку.

    После поиска файла CSV список пользователей импортируется и отображается на странице Целевые пользователи. Вы можете использовать  значок Поиска. Поле поиска для поиска пострадавших пользователей. Вы также можете щелкнуть  значок Delete targeted users. Удаление для удаления определенных пользователей.

По завершении нажмите кнопку Далее.

Назначение обучения

На странице Назначение учебных занятий можно назначить тренинги для моделирования. Рекомендуется назначать обучение для каждого моделирования, так как сотрудники, которые проходят обучение, менее подвержены подобным атакам. Доступны следующие параметры:

  • Выбор предпочтений обучающего контента. Выберите один из следующих вариантов:
    • Microsoft training experience: This is the default value that has the following associated options to configure:
      • Выберите один из приведенных ниже вариантов.
        • Назначение обучения для меня. Это значение по умолчанию и рекомендуемое. Мы назначаем обучение на основе предыдущих результатов моделирования и обучения пользователя, и вы можете просмотреть выбор в следующих действиях мастера.
        • Выберите курсы обучения и модули самостоятельно. Если выбрать это значение, вы все равно сможете увидеть рекомендуемое содержимое, а также все доступные курсы и модули на следующем шаге мастера.
      • Срок действия: Выберите одно из следующих значений:
        • 30 дней после окончания моделирования. Это значение по умолчанию.
        • 15 дней после окончания моделирования
        • 7 дней после окончания моделирования
    • Перенаправление на настраиваемый URL-адрес: Это значение имеет следующие связанные параметры для настройки:
      • Настраиваемый URL-адрес обучения (необходимый)
      • Пользовательское имя обучения (обязательное)
      • Описание настраиваемой подготовки
      • Настраиваемая продолжительность обучения (в минутах): значение по умолчанию — 0, что означает, что для обучения нет указанной продолжительности.
      • Срок действия: Выберите одно из следующих значений:
        • 30 дней после окончания моделирования. Это значение по умолчанию.
        • 15 дней после окончания моделирования
        • 7 дней после окончания моделирования
    • Нет обучения. Если выбрать это значение, единственным вариантом на странице является кнопка Далее, которая передает вас на страницу "Посадка".

Добавление рекомендуемых учебных занятий на странице Обучение назначения в обучении имитации атаки на Microsoft 365 Defender портале.

Назначение на обучение

Примечание

Страница Назначения обучения доступна только в том случае, если вы выбрали опыт обучения Майкрософт Выберите курсы обучения и модули > самостоятельно на предыдущей странице.

На странице Назначение обучения выберите обучающие программы, которые необходимо добавить в имитацию, нажав значок  Добавить тренинги. Добавление тренингов.

На вылете Добавить обучение, которое появится, вы можете выбрать учебные курсы для использования на следующих вкладок, которые доступны:

  • Рекомендуемая вкладка. Показывает рекомендуемые встроенные тренинги на основе конфигурации моделирования. Это те же тренинги, которые были назначены, если бы вы выбрали назначение обучения для меня на предыдущей странице.

  • На вкладке Все тренинги: показаны все доступные встроенные тренинги.

    Для каждого обучения показано следующее:

    • Имя обучения
    • Источник. Значение глобальное.
    • Продолжительность (минуты)
    • Предварительный просмотр: нажмите кнопку Предварительный просмотр, чтобы просмотреть обучение.

    В  значке Поиска. Поле поиска, вы можете ввести часть имени обучения и нажмите кнопку Ввод для фильтрации результатов на текущей вкладке.

    Выберите все тренинги, которые необходимо включить на текущей вкладке, а затем нажмите кнопку Добавить.

На главной странице назначения обучения показаны выбранные вами тренинги. Для каждого обучения показано следующее:

  • Имя обучения
  • Source
  • Продолжительность (минуты)

Для каждого обучения в списке необходимо выбрать, кто получает обучение, выбрав значения в столбце Назначение столбца:

  • Все пользователи.

    или одно или оба из следующих значений:

  • Щелкнув полезной нагрузки

  • Скомпрометирован

Если вы не хотите использовать показанную обучающую программу, нажмите  кнопку Удалить значок обучения. Delete.

Страница подготовки заданий в обучении имитации атаки на Microsoft 365 Defender портале.

По завершении нажмите кнопку Далее.

Целевая страница

На странице "Посадка" настраивается веб-страница, на которую пользователь будет доставлен, если он откроет полезной нагрузки в моделировании.

Веб-страницы с программами Microsoft доступны на 12 языках: китайском (упрощенном), китайском (традиционный), английском, французском, немецком, итальянском, японском, корейском, португальском, русском, испанском и голландском языках.

  • Выбор предпочтений на странице для посадки. Доступные значения:
    • Используйте посадочную страницу Майкрософт по умолчанию: это значение по умолчанию, которое имеет следующие связанные параметры для настройки:

      • Выберите макет страницы. Выберите один из доступных шаблонов.

      • Добавление логотипа. Щелкните Обзор, чтобы найти и выбрать .png, .jpeg или .gif файл. Чтобы удалить логотип, нажмите кнопку Удалить.

      • Добавление индикаторов полезной нагрузки в электронную почту. Этот параметр не доступен, если вы ранее выбрали вложение вредоносных программ или ссылку на вредоносные программы на странице Выберите метод.

        Выберите Добавить индикаторы полезной нагрузки в электронную почту, чтобы помочь пользователям узнать, как распознать фишинговые сообщения.

      Результаты можно просмотреть, нажав кнопку Открыть панель предварительного просмотра в нижней части страницы.

    • Используйте настраиваемый URL-адрес. Этот параметр не доступен, если вы ранее выбрали вложение вредоносных программ или ссылку на вредоносные программы на странице Выберите метод.

      Если вы выберите Использование настраиваемого URL-адреса, необходимо добавить URL-адрес в поле Ввод настраиваемого URL-адреса страницы. Другие параметры на странице недоступны.

    • Создайте собственную посадочную страницу. Это значение имеет следующие связанные параметры для настройки:

      • Добавление индикаторов полезной нагрузки в электронную почту. Этот параметр не доступен, если вы ранее выбрали вложение вредоносных программ или ссылку на вредоносные программы на странице Выберите метод.

        Выберите Добавить индикаторы полезной нагрузки в электронную почту, чтобы помочь пользователям узнать, как распознать фишинговые сообщения.

      • Содержимое страницы: доступны две вкладки:

        • Текст. Для создания вашей посадочной страницы доступен богатый текстовый редактор. Помимо типичных параметров шрифта и форматирования доступны следующие параметры:
          • Динамический тег: Выберите из следующих тегов:
            • Username
            • Имя отправитель электронной почты
            • Адрес электронной почты отправителя
            • Тема письма
            • Содержимое электронной почты
          • Использование по умолчанию: Выберите доступный шаблон для начала. Текст и макет можно изменить в области редактирования. Чтобы сбросить посадочную страницу обратно в текст по умолчанию и макет шаблона, нажмите кнопку Сброс по умолчанию.
      • Код. Вы можете просматривать и изменять КОД HTML напрямую.

      Результаты можно просмотреть, нажав кнопку Открыть панель предварительного просмотра в середине страницы.

По завершении нажмите кнопку Далее.

Примечание

Некоторые товарные знаки, логотипы, символы, знаки и другие идентификаторы источников получают повышенную защиту в соответствии с местными, государственными и федеральными законами и законами. Несанкционированное использование таких показателей может наказуть пользователей штрафами, включая уголовные штрафы. Хотя этот список не является обширным, он включает печати президентских, вице-президентов и конгрессменов, ЦРУ, ФБР, социального обеспечения, Medicare и Medicaid, Службу внутренних доходов США и Олимпийские игры. Помимо этих категорий товарных знаков, использование и изменение любого сторонного товарного знака несет в себе присущую ему сумму риска. Использование собственных товарных знаков и логотипов в полезной нагрузке было бы менее рискованным, особенно в тех случаях, когда организация разрешает использование. Если у вас есть дополнительные вопросы о том, что нельзя использовать при создании или настройке полезной нагрузки, обратитесь к вашим юридическим консультантам.

Выберите уведомление конечных пользователей

На странице Select end user notification выберите следующие параметры уведомлений:

  • Не доставляйте уведомления: Щелкните Продолжить в диалоговом диалоговом окантове оповещения, который отображается. Если вы выберете этот параметр, вы будете доставлены на страницу Сведения о запуске при нажатии кнопку Далее.

  • Уведомление по умолчанию Корпорации Майкрософт (рекомендуется): На странице доступны следующие дополнительные параметры:

    • Выберите язык по умолчанию: доступные значения: китайский (упрощенный) , китайский (традиционный), английский , французский, немецкий, итальянский, японский, корейский, португальский, русский, испанский и голландский .
    • По умолчанию единственным доступным уведомлением для выбора является уведомление о положительном усилении Майкрософт. Для уведомления доступны следующие сведения:
      • Уведомления (имя): значение — уведомление об усилении по умолчанию по умолчанию.
      • Язык. Если уведомление содержит несколько переводов, первые два языка показаны напрямую. Чтобы увидеть оставшиеся языки, наведите курсор на значок числа (например, +10).
      • Тип: Значение Положительное подкрепление.
      • Параметры доставки: Выберите из следующих значений:
        • Не доставлять
        • Доставка после окончания кампании
        • Доставка во время кампании
      • Deliver to: Значение не применимо.
      • Действия. Если нажать на значок  Просмотр. Просмотр значка, страница уведомления Обзор отображается со следующими сведениями:
        • Предваротельный просмотр вкладки. Просмотр сообщения уведомления. Чтобы просмотреть сообщение на разных языках, используйте поле Выберите язык.

        • Сведения о вкладке: Просмотр сведений об уведомлении:

          • Описание уведомлений
          • Источник. Для встроенных уведомлений значение глобальное. Для пользовательских уведомлений значение Tenant.
          • Тип уведомления
          • Изменено путем
          • Дата последнего изменения

          Когда закончите, нажмите кнопку Закрыть.

    Если вы выберете этот параметр, вы будете доставлены на страницу Сведения о запуске при нажатии кнопку Далее.

  • Настраиваемые уведомления конечных пользователей. При нажатии кнопки Далее вы перейдите на страницу Уведомления о положительном подкреплении, как описано в следующем разделе, где можно выбрать из существующих уведомлений или создать новые уведомления.

По завершении нажмите кнопку Далее.

Уведомление о положительном усилении

Страница уведомления о положительном усилении доступна только в том случае, если вы выбрали настраиваемые уведомления конечных пользователей на предыдущей странице.

  • Параметры доставки: Выберите одно из следующих значений:

    • Не доставлять
    • Доставка после сообщений о фишинге и окончания кампании
    • Доставка сразу после сообщения пользователя о фишинге
  • Выберите уведомление о положительном усилении. Вы можете выбрать существующее уведомление или создать новое уведомление о типе Положительное подкрепление для использования:

    • Чтобы выбрать существующее уведомление, щелкните в пустой области рядом с именем уведомления. Если нажать на имя уведомления, будет выбрано уведомление и появится вылет предварительного просмотра. Чтобы отвлечь уведомление, зачистим контрольный ящик рядом с уведомлением.
    • Чтобы найти существующее уведомление, используйте  значок Поиска. Поле поиска для поиска имени.
    • Чтобы создать новое уведомление, нажмите  кнопку Создать новый значок. Создание новых.
    • Чтобы изменить существующее пользовательское уведомление, выберите его и нажмите  кнопку Изменить значок уведомления. Изменение уведомления.

Создание нового мастера уведомлений

Если вы щелкнули  Создать новый значок. Создайте новое на странице Уведомление о положительном усилении, откроется мастер создания уведомлений.

Этапы создания идентичны описанным в create end-user notifications.

Примечание

На странице Определение сведений обязательно выберите значение Уведомление о положительном подкреплении для типа Select notification. Не выберите уведомление о моделировании.

По завершению вы возвращались на страницу уведомлений о положительном усилении, на которой только что созданное уведомление отображается в списке Уведомление о положительном подкреплении.

  • Чтобы создать новое уведомление, нажмите кнопку Создайте новый значок..
  • Чтобы изменить уведомление или добавить дополнительные переводы, выберите уведомление из списка и нажмите кнопку  Изменить значок уведомления. Изменение уведомления для запуска мастера уведомлений, как описано ранее (с большинством значений, уже заполненных). Если в уведомлении уже есть переводы для 12 поддерживаемых языков, вы не можете добавить больше переводов.

Выберите уведомление, которое вы хотите использовать, а затем нажмите кнопку Далее.

Сведения о запуске

На странице Сведения о запуске вы выбираете, когда запустить моделирование и когда закончить моделирование. После указанной даты мы перестанет захватывать взаимодействие с этим моделированием.

Доступны следующие параметры:

  • Выберите одно из следующих значений:
    • Запустите это моделирование, как только я буду готов
    • Запланировать запуск этого моделирования позже. Это значение имеет следующие связанные параметры для настройки:
      • Выберите дату запуска
      • Выберите время запуска
  • Настройка количества дней до окончания моделирования после: значение по умолчанию 2.
  • Включить доставку часовой зоны в регионах: доставлять смоделированные сообщения об атаке сотрудникам в рабочее время в зависимости от региона.

По завершении нажмите кнопку Далее.

Обзор моделирования

На странице Моделирование Обзор можно просмотреть сведения об имитации.

Щелкните  значок Отправка теста. Отправьте тестовую кнопку, чтобы отправить копию электронной почты полезной нагрузки самому себе (в настоящее время зарегистрированный пользователем) для проверки.

Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете щелкнуть Назад или выбрать определенную страницу в мастере.

По завершении нажмите Отправить.

Просмотрите страницу моделирования в обучении имитации атаки на Microsoft 365 Defender портале.