Simulera en nätfiskeattack i Defender för Office 365

  • Artikel
  • 5 minuter för att läsa

Gäller för Microsoft Defender för Office 365 abonnemang 2

Med hjälp av simulering av attacker i Microsoft Defender Office 365 abonnemang 2 eller Microsoft 365 E5 kan du köra simuleringar av cyberattacker i din organisation. De här simuleringarna testar dina säkerhetsprinciper och metoder, samt utbildar dina anställda att öka deras medvetenhet och minska deras känslighet för attacker. I den här artikeln får du hjälp med att skapa en simulerad nätfiskeattack med hjälp av utbildning av attack simulering.

Information om attack simuleringsutbildning för att komma igång finns i Komma igång med simulering av attack .

Så här startar du en simulerad nätfiskeattack:

  1. I portalen Microsoft 365 Defender på https://security.microsoft.com , gå till E-post och & samarbete Simuleringsutbildning > för attackutbildning fliken > Simuleringar.

    Om du vill gå direkt till fliken Simuleringar använder du https://security.microsoft.com/attacksimulator?viewid=simulations .

  2. På fliken Simuleringar väljer du Starta en simuleringsikon. Starta en simulering.

    Starta en simuleringsknapp på fliken Simuleringar i utbildning för attack simulering i Microsoft 365 Defender portal.

  3. Guiden för att skapa simulering öppnas. I resten av den här artikeln beskrivs sidorna och inställningarna som de innehåller.

Anteckning

När som helst under simuleringsguiden kan du klicka på Spara och stäng för att spara förloppet och fortsätta konfigurera simuleringen senare. Den ofullständiga simuleringen har statusvärdet Utkastfliken Simuleringar. Du kan fortsätta där du slutade genom att välja simuleringen och klicka på Redigera simuleringsikon. Redigera simulering.

Välj en teknik för social engineering

På sidan Select technique väljer du en tillgänglig social engineering-teknik som är utvalda från MITRE ATT&CK® framework. Olika nyttolaster är tillgängliga för olika tekniker. Följande tekniker för social engineering finns tillgängliga:

  • Insamling av autentiseringsuppgifter: Försöker samla in autentiseringsuppgifter genom att ta användare till en känd webbplats med inmatningsrutor för att skicka ett användarnamn och lösenord.
  • Bifogad fil om skadlig programvara: Lägger till en skadlig bilaga i ett meddelande. När användaren öppnar den bifogade filen körs godtycklig kod som hjälper attackeraren att kompromettera målets enhet.
  • Länk i bifogad fil: En typ av hybrid för autentiseringsuppgifter för skörd. En attack infogar en URL i en e-postbilaga. URL:en i den bifogade filen följer samma teknik som autentiseringsuppgifter.
  • Länk till skadlig programvara: Kör skadlig kod från en fil som finns på en känd fildelningstjänst. Meddelandet som skickas till användaren innehåller en länk till den här skadliga filen. Öppna filen och hjälpa attackerare att kompromettera målets enhet.
  • Drive-by URL: Den skadliga URL:en i meddelandet tar användaren till en välbekant webbplats som tyst kör och/eller installerar kodkod på användarens enhet.

Om du klickar på länken Visa information i beskrivningen öppnas en utfäll numerisk detalj med en beskrivning av tekniken och simuleringsstegen som är resultatet av tekniken.

Informationsfäll för autentiseringsintelmeringstekniken på sidan Välj teknik.

Klicka på Nästa när du är klar.

Namnge och beskriv simuleringen

Konfigurera följande inställningar på sidan Namn simulering:

  • Namn: Ange ett unikt, beskrivande namn för simuleringen.
  • Beskrivning: Ange en valfri detaljerad beskrivning för simuleringen.

Klicka på Nästa när du är klar.

Välj en nyttolast

På sidan Välj nyttolast måste du välja en befintlig nyttolast från listan eller skapa en ny nytt nytt nyttolast.

Följande information visas i listan över nyttolaster som hjälper dig att välja:

  • Namn
  • Språk: Språket för nyttolastinnehållet. Microsofts nyttolastkatalog (global) tillhandahåller nyttolaster på mer än 10 språk som också kan filtreras.
  • Klicka på ränta: Hur många personer som har klickat på den här nyttolasten.
  • Förutsagd komprometterad ränta: Historiska data för nyttolasten i hela Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av den här nyttolasten.
  • Simuleringar som startas räknar antalet gånger den här nyttolasten användes i andra simuleringar.

I sökikonen. Sökrutan, du kan skriva en del av namnet på nyttolasten och trycka på Retur för att filtrera resultatet.

Om du klickar på Filter är följande filter tillgängliga:

  • Komplexitet: Beräknas utifrån antalet indikatorer i nyttolasten som anger en möjlig attack (stavfel, brådskande o.s.v.). Fler indikatorer är enklare att identifiera som en attack och anger lägre komplexitet. De tillgängliga värdena är:
    • Låg
    • Medel
    • Hög
  • Källa: Anger om nyttolasten skapades i organisationen eller är en del av Microsofts befintliga nyttolastkatalog. Giltiga värden är:
    • Global (inbyggt)
    • Klientorganisation (anpassad)
    • Alla
  • Språk: Tillgängliga värden är: kinesiska (förenklad), kinesiska (traditionell) , engelska, franska, tyska, italienska, japanska, koreanska, portugisiska, ryska, spanska och nederländska.
  • Lägga till taggar
  • Filtrera efter tema: De tillgängliga värdena är: Kontoaktivering , Kontoverifiering , Fakturering , Rensa e-post , Dokument mottaget , Kostnad , Fax, Ekonomirapport , Inkommande meddelanden , Faktura , Objekt mottagna , Inloggningsavisering , Mottagen e-post, Lösenord, Betalning, Löneutbetalning, Personligt erbjudande , Karantän , Fjärrarbete, Granska meddelande, Säkerhetsuppdatering, Tjänsten är inaktiverad, Signatur krävs , Uppgradering av lagringsutrymme i postlådan Verifiera postlåda, Röstbrevlåda och Annan.
  • Filtrera efter märke: De tillgängliga värdena är: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft, Netflix, Scotiabank, SendGrid, Title, Tissa, Wells Fargo, Splitinx Cloud och Other.
  • Filtrera efter bransch: De tillgängliga värdena är: Banktjänster, affärstjänster, konsumenttjänster, utbildning, energi, construction, konsultarbete, finansiella tjänster, myndigheter, besjänmning, försäkringstjänster, legala , couriertjänster, IT, sjukvård, tillverkning, detaljhandel, telecom, fastighets, och Annat.
  • Aktuell händelse: De tillgängliga värdena är Ja eller Nej.
  • Ämne: De tillgängliga värdena är Ja eller Nej.

När du är klar med att konfigurera filtren klickar du på Använd, Avbryt eller Rensa filter.

Välj nyttolastsida i Attack simuleringsutbildning i Microsoft 365 Defender portal.

Om du väljer en nyttolast i listan visas information om nyttolasten i en utfällblad:

  • Fliken Översikt innehåller ett exempel och annan information om nyttolasten.
  • fliken Simuleringar som startas finns simuleringsnamnet, klickfrekvens, komprometterad ränta och åtgärd.

Utfällande information om nyttolast i simuleringsutbildning för attack i Microsoft 365 Defender portal.

Om du väljer en nyttolast i listan genom att klicka på namnet visas ikonen Skicka en ny nyttolast. Knappen Skicka ett test visas på huvudsidan där du kan skicka en kopia av nyttolastmeddelandet till dig själv (den inloggade användaren) för kontroll.

Om du vill skapa en egen nyttolast klickar du på Skapa en nyttolastikon. Skapa en nyttolast. Mer information finns i Skapa anpassade nyttolaster för utbildning av attack simulering.

Klicka på Nästa när du är klar.

Målanvändare

På sidan Målanvändare väljer du vem som ska ta emot simuleringen. Konfigurera någon av följande inställningar:

  • Inkludera alla användare i organisationen: De berörda användarna visas i listor med 10. Du kan använda knapparna Nästa och Föregående direkt under listan med användare för att bläddra igenom listan. Du kan också använda ikonen Sök. Sökikonen på sidan för att hitta påverkade användare.

  • Inkludera endast vissa användare och grupper: Välj något av följande alternativ:

    • Ikonen Lägg till användare. Lägg till användare: I den utfällbaserade alternativ för Lägg till användare som visas kan du hitta användare och grupper baserat på följande kriterier:

      • Användare eller grupper: I ikonen Sök efter användare och grupper. Rutan Sök efter användare och grupper, du kan skriva en del av namnet eller e-postadressen för användaren eller gruppen och sedan trycka på Retur. Du kan välja vissa eller alla resultat. När du är klar klickar du på Lägg till x användare.

        Anteckning

        Om du klickar på knappen Lägg till filter när du vill återgå till alternativen för Filtrera användare efter kategorier avmarkeras de användare eller grupper du valde i sökresultatet.

      • Filtrera användare efter kategorier: Välj bland inget, några eller alla av följande alternativ:

        • Föreslagna användargrupper: Välj bland följande värden:
          • Alla föreslagna användargrupper
          • Användare som inte har riktats av en simulering under de senaste tre månaderna
          • Upprepa repetitioner
        • Avdelning: Använd följande alternativ:
          • Sök: I ikonen Sök efter avdelning. Rutan Sök efter avdelning, du kan skriva en del av värdet avdelning och sedan trycka på Retur. Du kan välja vissa eller alla resultat.
          • Välj Alla avdelning
          • Välj befintliga avdelningsvärden.
        • Titel: Använd följande alternativ:
          • Sök: I ikonen Sök efter rubrik. Rutan Sök efter rubrik, du kan skriva en del av värdet Rubrik och sedan trycka på Retur. Du kan välja vissa eller alla resultat.
          • Markera alla namn
          • Markera befintliga rubrikvärden.

        Användarfiltrering på sidan Målanvändare i simuleringsutbildning för attack i Microsoft 365 Defender portal.

        När du har identifierat villkoren visas de användare som påverkas i avsnittet användarlista som visas, där du kan välja några eller alla de identifierade mottagarna.

        När du är klar klickar du på Apply(x) och sedan på Lägg till x användare.

    Tillbaka på huvudsidan Målanvändare kan du använda sökikonen. Sökrutan för att hitta påverkade användare. Du kan också klicka på ikonen Ta bort användare. Ta bort om du vill ta bort vissa användare.

  • Ikonen Importera. Importera: Ange en CSV-fil som innehåller en e-postadress per rad i dialogrutan som öppnas.

    När du hittar en CSV-fil importeras listan över användare och visas på sidan Riktade användare. Du kan använda sökikonen. Sökrutan för att hitta påverkade användare. Du kan också klicka på ikonen Ta bort riktade användare. Ta bort om du vill ta bort vissa användare.

Klicka på Nästa när du är klar.

Tilldela utbildning

På sidan Tilldela utbildning kan du tilldela utbildningar för simuleringen. Vi rekommenderar att du tilldelar utbildning för varje simulering eftersom anställda som går igenom utbildning inte är lika känsliga för liknande attacker. Följande inställningar är tillgängliga:

  • Välj inställning för utbildningsinnehåll: Välj något av följande alternativ:
    • Microsoft-utbildning: Det här är standardvärdet som har följande associerade alternativ att konfigurera:
      • Välj något av följande alternativ:
        • Tilldela utbildning åt mig: Det här är standardvärdet och det rekommenderade värdet. Vi tilldelar utbildning baserat på en användares tidigare simulering och utbildningsresultat, och du kan granska valen i nästa steg i guiden.
        • Välj själv utbildningskurser och moduler: Om du väljer det här värdet kan du fortfarande se det rekommenderade innehållet samt alla tillgängliga kurser och moduler i nästa steg i guiden.
      • Förfallodatum: Välj något av följande värden:
        • 30 dagar efter att simuleringen avslutas: Det här är standardvärdet.
        • 15 dagar efter att simuleringen avslutas
        • 7 dagar efter att simuleringen avslutas
    • Omdirigera till en anpassad URL: Det här värdet har följande associerade alternativ att konfigurera:
      • Anpassad utbildnings-URL (obligatoriskt)
      • Anpassat utbildningsnamn (obligatoriskt)
      • Anpassad utbildningsbeskrivning
      • Anpassad utbildningslängd (i minuter): Standardvärdet är 0, vilket innebär att det inte finns någon angiven varaktighet för utbildningen.
      • Förfallodatum: Välj något av följande värden:
        • 30 dagar efter att simuleringen avslutas: Det här är standardvärdet.
        • 15 dagar efter att simuleringen avslutas
        • 7 dagar efter att simuleringen avslutas
    • Ingen utbildning: Om du väljer det här värdet är knappen Nästa det enda alternativet på sidan som tar dig till startsidan.

Lägg till rekommenderad utbildning på sidan Utbildning i simuleringsutbildning för attack i Microsoft 365 Defender portal.

Utbildningsuppgift

Anteckning

Sidan Utbildningsuppgift är bara tillgänglig om du valt Microsoft-utbildningsupplevelse > Välj själv utbildningskurser och moduler på föregående sida.

På sidan Utbildningsuppgift väljer du de utbildningar som du vill lägga till i simuleringen genom att klicka på Ikonen Lägg till utbildning. Lägg till utbildningar.

På den utfällbar fliken Lägg till utbildning som visas kan du välja de utbildningar du vill använda på följande flikar:

  • Rekommenderad flik: Visar de rekommenderade inbyggda utbildningarna baserat på simuleringskonfigurationen. Det här är samma utbildning som skulle ha tilldelats om du valde Tilldela utbildning åt mig på föregående sida.

  • Fliken Alla utbildningar: Visar alla inbyggda utbildningar som är tillgängliga.

    Följande information visas för varje utbildning:

    • Namn på utbildning
    • Källa: Värdet är globalt.
    • Varaktighet (min)
    • Förhandsgranska: Klicka på knappen Förhandsgranska om du vill se utbildningen.

    I sökikonen. Sökrutan kan du skriva en del av namnet på utbildningen och trycka på Retur för att filtrera resultatet på den aktuella fliken.

    Markera alla utbildningar som du vill ta med från den aktuella fliken och klicka sedan på Lägg till.

På huvudsidan för utbildningsuppgifter visas de utbildningar som du har valt. Följande information visas för varje utbildning:

  • Namn på utbildning
  • Source
  • Varaktighet (min)

För varje utbildning i listan måste du välja vem som får utbildningen genom att välja värden i kolumnen Tilldela till:

  • Alla användare

    eller ett eller båda av följande värden:

  • Klickad nyttolast

  • Komprometterad

Om du inte vill använda en utbildning som visas klickar du på Ikonen Ta bort utbildning. Ta bort.

Sida för utbildning i simuleringsutbildning för attack i Microsoft 365 Defender portal.

Klicka på Nästa när du är klar.

Startsidan

På startsidan konfigurerar du webbsidan som användaren tas till om de öppnar nyttolasten i simuleringen.

  • Välj inställning för startsidan: De tillgängliga värdena är:

    • Använd Microsofts standardlandningssida: Det här är standardvärdet som har följande associerade alternativ att konfigurera:

      • Välj layout för startsidan: Välj en av de tillgängliga mallarna.
      • Lägg till logotyp: Klicka på Bläddra för att söka efter och .png en jpeg-, eller .gif fil.
      • Lägga till indikatorer för nyttolast i e-post: Välj den här inställningen om användarna ska få lära sig att identifiera nätfiskemeddelanden.

      Du kan förhandsgranska resultaten genom att klicka på knappen Öppna förhandsgranskningspanelen längst ned på sidan.

    • Använd en egen URL: Om du väljer det här värdet måste du lägga till URL:en i rutan Ange den anpassade landsides-URL:en som visas. Inga andra alternativ är tillgängliga på sidan.

    • Skapa en egen landningssida: Det här värdet har följande associerade alternativ att konfigurera:

      • Lägga till indikatorer för nyttolast i e-post: Välj den här inställningen om användarna ska få lära sig att identifiera nätfiskemeddelanden.
      • Sidinnehåll: Två flikar är tillgängliga:
        • Text: Du kan skapa en landningssida i RTF-redigeraren. Förutom de vanliga inställningarna för teckensnitt och formatering finns följande inställningar:
          • Dynamisk tagg: Välj bland följande taggar:
            • Användarnamn
            • Namn på e-postavsändare
            • Avsändarens e-postadress
            • Ämne för e-post
            • E-postinnehåll
          • Använd från standardinställningen: Välj en mall att utgå från. Du kan ändra texten och layouten i redigeringsområdet. Om du vill återställa startsidan till standardtexten och standardlayouten för mallen klickar du på Återställ till standard.
      • Kod: Du kan visa och ändra HTML-koden direkt.

      Du kan förhandsgranska resultaten genom att klicka på knappen Öppna förhandsgranskningspanelen i mitten av sidan.

Klicka på Nästa när du är klar.

Anteckning

Vissa varumärken, logotyper, symboler, insignias och andra källidentifierare får ett bättre skydd enligt lokala, statliga och statliga lagar. Obehörig användning av sådana indikatorer kan utsätta användarna för böter, inklusive vite. Även om listan inte är omfattande, innehåller detta även data om Andre, Vice Engström och Slalom, CIA, CIA, Social Security, Medicare och Medicaid, USA:s interna intäktstjänst och OS. Utöver dessa kategorier av varumärken har användning och ändring av tredje parts varumärke en inbyggd mängd risker. Det skulle vara mindre riskabelt att använda egna varumärken och logotyper i en nyttolast, särskilt om din organisation medger användning. Om du har några fler frågor om vad som är lämpligt eller inte är lämpligt att använda när du skapar eller konfigurerar en nyttolast bör du tala med dina juridiska rådgivare.

Startinformation

På sidan Startinformation väljer du när simuleringen ska startas och när simuleringen ska avslutas. Vi slutar samla in interaktionen med den här simuleringen efter det slutdatum du anger.

Följande inställningar är tillgängliga:

  • Välj något av följande värden:
    • Starta den här simuleringen så fort jag är klar
    • Schemalägg den här simuleringen som ska startas senare : Det här värdet har följande associerade alternativ att konfigurera:
      • Välj startdatum
      • Välj starttid
  • Konfigurera antalet dagar som simuleringen ska avslutas efter : Standardvärdet är 2.
  • Aktivera tidszonsleverans med regionsmedveten: Leverera simulerade attackmeddelanden till dina anställda under arbetstid baserat på deras region.

Klicka på Nästa när du är klar.

Granska simulering

På sidan Granska simulering kan du granska detaljerna i din simulering.

Klicka på ikonen Skicka ett test. Skicka en testknapp för att skicka en kopia av nyttolastmeddelandet till dig själv (den inloggade användaren) för kontroll.

Du kan välja Redigera i varje avsnitt om du vill ändra inställningarna i avsnittet. Eller så kan du klicka på Föregående eller välj den specifika sidan i guiden.

Klicka på Skicka in när du är klar.

Granska simuleringssidan i Simuleringsutbildning för attack i Microsoft 365 Defender portal.