Komma igång med att använda utbildning av attack simulering i Defender för Office 365

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för Microsoft Defender för Office 365 abonnemang 2

Om din organisation har Microsoft 365 E5 eller Microsoft Defender för Office 365 abonnemang 2, som innehåller funktioner för undersökning av hot och svar, kan du använda utbildning av attack simulering i Microsoft 365 Defender-portalen för att köra realistiska attackscenarier i organisationen. Dessa simulerade attacker kan hjälpa dig att identifiera och hitta sårbara användare innan en verklig attack påverkar din nedersta linje. Läs den här artikeln om du vill veta mer.

Anteckning

Utbildning av attack simulering ersätter den gamla attack ser V1-upplevelsen som fanns i & Säkerhets- och efterlevnadscenter > på Attack attack eller https://protection.office.com/attacksimulator.

Vad behöver jag veta innan jag börjar?

  • Öppna Microsoft 365 Defender-portalen genom att gå till https://security.microsoft.com. Utbildning av attack simulering är tillgänglig på E-post och samarbete > Simuleringsutbildning för attack. Om du vill gå direkt till attacksimuleringsutbildning använder du https://security.microsoft.com/attacksimulator.

  • Mer information om tillgängligheten för utbildning av attackspel i olika Microsoft 365-prenumerationer finns i Microsoft Defender Office 365 tjänstbeskrivning.

  • Du måste ha tilldelats behörigheter i Azure Active Directory du kan utföra procedurerna i den här artikeln. Du måste vara medlem i någon av följande roller:

    • Global administratör
    • Säkerhetsadministratör
    • Administratörer för attack simulering*: Skapa och hantera alla aspekter av attack simuleringskampanjer.
    • Författare av nyttolast* för attack: Skapa attack payloads som en administratör kan initiera senare.

    *Det finns för närvarande inte stöd för att lägga Microsoft 365 Defender till användare till den här rollen i Microsoft 365 Defender-portalen.

    Mer information finns i Behörigheter i Microsoft 365 Defender eller Om administratörsroller.

  • Det finns inga motsvarande PowerShell-cmdlets för simulering av attackattacker.

  • Attack simulering och utbildning relaterade data lagras med andra kunddata för Microsoft 365 tjänster. Mer information finns Microsoft 365 dataplatser. Attack simulering är tillgänglig i följande regioner: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, CHE, CHE, NOR, ZAF, ARE och DEU.

    Anteckning

    NOR, ZAF, ARE och DEU är de senaste tilläggen. Alla funktioner utom den rapporterade e-posttelemetrin blir tillgängliga i dessa regioner. Vi arbetar för att aktivera detta och meddelar våra kunder så snart rapporterad e-post telemetri blir tillgänglig.

  • Från och med 15 juni 2021 finns det utbildning för attack simulering i GCC. Om din organisation har Office 365 G5 GCC eller Microsoft Defender för Office 365 (abonnemang 2) för myndigheter kan du använda utbildning av attack simulering i Microsoft 365 Defender-portalen för att köra realistiska attackscenarier i organisationen enligt beskrivningen i den här artikeln. Utbildning av attack simulering är ännu inte tillgängligt i GCC Hög- eller DoD-miljöer.

Anteckning

Utbildning av attack simulering ger en del av funktionerna för E3-kunder som en utvärderingsversion. Utvärderingserbjudandet innehåller möjligheten att använda en nyttolast för autentiseringsuppgifter och möjligheten att välja utbildningsupplevelser om ISA-nätfiske eller massutfiske. Inga andra funktioner ingår i utvärderingsversionen av E3.

Simuleringar

Nätfiske är en allmän term för e-postattacker som försöker stjäla känslig information i meddelanden som verkar vara från legitima eller betrodda avsändare. Nätfiske är en del av en del av en uppsättning tekniker som vi klassificerar som social engineering.

I utbildning av attack simulering finns det flera typer av social engineering-tekniker:

  • Credential harvest: En attacker skickar mottagaren ett meddelande som innehåller en URL. När mottagaren klickar på URL-adressen kommer de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange sitt användarnamn och lösenord. Målsidan brukar motsvara en känd webbplats för att skapa förtroende för användaren.

  • Bifogad fil från skadlig programvara: En attackerare skickar ett meddelande till mottagaren som innehåller en bifogad fil. När mottagaren öppnar den bifogade filen körs godtycklig kod (till exempel ett makro) på användarens enhet för att hjälpa attackerare att installera ytterligare kod eller ytterligare entrencha sig själva.

  • Länk i bifogad fil: Det här är en hybrid av en credential-skörd. En attackerare skickar ett meddelande till mottagaren som innehåller en URL-adress i en bifogad fil. När mottagaren öppnar den bifogade filen och klickar på URL-adressen kommer de till en webbplats som vanligtvis visar en dialogruta där användaren ombeds ange sitt användarnamn och lösenord. Målsidan brukar motsvara en känd webbplats för att skapa förtroende för användaren.

  • Länk till skadlig programvara: En attackerare skickar ett meddelande till mottagaren som innehåller en länk till en bifogad fil på en känd webbplats för fildelning (till exempel SharePoint Online eller Dropbox). När mottagaren klickar på URL-adressen öppnas den bifogade filen och godtycklig kod (till exempel ett makro) körs på användarens enhet för att hjälpa attackeret att installera ytterligare kod eller ytterligare entrencha sig själva.

  • Drive-by-url: En attackerare skickar ett meddelande till mottagaren som innehåller en URL. När mottagaren klickar på URL-adressen tas den till en webbplats som försöker köra bakgrundskod. Den här bakgrundskoden försöker samla in information om mottagaren eller distribuera godtycklig kod på enheten. Vanligtvis är målwebbplatsen en känd webbplats som har komprometterats eller en klona av en känd webbplats. Webbplatsens bekanta med webbplatsen övertygar användaren om att länken är säker att klicka på. Den här tekniken kallas även för en vatten hålattack.

Anteckning

Kontrollera om den simulerade nätfiske-URL:en är tillgänglig i dina webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Medan vi arbetar med många URL-ryktesleverantörer för att alltid tillåta dessa simulerings-URL:er, har vi inte alltid fullständig täckning (till exempel Google Valv Browsing). De flesta leverantörer ger vägledning som gör att du alltid kan tillåta specifika URL:er (till exempel https://support.google.com/chrome/a/answer/7532419).

Url:erna som används av simuleringsutbildning för attack beskrivs i följande lista:

Skapa en simulering

Stegvisa instruktioner om hur du skapar och skickar en ny simulering finns i Simulera en nätfiskeattack.

Skapa en nyttolast

Stegvisa instruktioner för hur du skapar en nyttolast för användning i en simulering finns i Skapa en anpassad nyttolast för utbildning av attackattacker.

Få insikter

Stegvisa instruktioner om hur du får insikter med rapporter finns i Få insikter genom utbildning av attack simulering.

Anteckning

Attack Attack Attack använder Valv-länkar i Defender för Office 365 för att säkert spåra klickdata för URL-adressen i nyttolastmeddelandet som skickas till riktade mottagare av en nätfiskekampanj, även om inställningen Spåra inte användarens klickningar i Valv-länkar är aktiverad.