攻击模拟训练中的培训活动

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

在 Microsoft 365 E5 或计划 2 Microsoft Defender for Office 365 攻击模拟训练中,培训活动是向用户提供安全培训的一种更快、更直接的方式。 你可以直接创建并向用户分配培训市场活动,而不是创建和启动最终导致训练的 模拟钓鱼攻击

培训活动包含你选择的一个或多个内置培训模块。 目前,有 70 多个培训模块可供选择。 有关培训模块的详细信息,请参阅攻击模拟训练中培训活动的培训模块

有关攻击模拟训练的入门信息,请参阅开始使用 攻击模拟训练

若要查看现有的培训市场活动,请在 中打开Microsoft Defender门户https://security.microsoft.com,转到Email &协作>攻击模拟训练>“培训”选项卡。或者,若要直接转到“训练”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=trainingcampaign

培训 ”选项卡会为你创建的每个培训活动播种以下信息。 可以通过单击可用的列标题对培训市场活动进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • 市场活动名称

  • 说明

  • 总持续时间 (分钟)

  • 训练完成日期

  • 培训完成:已加入培训活动的用户数以及完成培训的用户数。 信息显示为分数 (,例如 ,2/5) 和相应的水平条形图。

  • 不正确。 训练模块的数量:培训活动中包含的培训模块数。

  • 创建者

  • 创建时间

  • 状态:以下值之一:

    • 完成**
    • 正在进行中**
    • 草案**
    • Canceled
    • 已删除
    • 失败**
    • 计划**

    有关 Status 值的详细信息,请参阅本文后面的 设置训练阈值 部分。

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

选择“筛选,按培训活动的“状态”值筛选页面上的信息。

** 页面顶部还显示了具有这些 “状态” 值的训练活动的总计数。 但是,如果筛选信息 (例如,排除这些 Status 值) ,则页面顶部的计数为 0 (对于排除的 Status 值)。

若要在列表中查找培训市场活动,请在“搜索”框中键入部分市场活动名称,然后按 Enter 键。

若要查看正在进行的或已完成的培训活动的详细信息,请参阅 查看培训市场活动报告 部分。

Create培训活动

提示

有关创建说明,检查以下简短视频:https://youtu.be/haWAG4TM1Io

若要创建培训市场活动,请执行以下步骤:

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>攻击模拟训练>“培训”选项卡。或者,若要直接转到“训练”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=trainingcampaign

  2. 在“培训”选项卡上,选择“Create新建”以启动新的培训市场活动向导。

    以下部分介绍创建培训市场活动的步骤和配置选项。

    注意

    在新的培训市场活动向导中命名培训市场活动后,可以随时选择“ 保存并关闭 ”以保存进度,稍后继续。 不完整的培训活动具有 “状态”“草稿”。 选择“培训”市场活动,然后单击出现的“ 编辑” 操作,即可从中断的位置继续。

命名并描述培训活动

“名称市场活动 ”页上,配置以下设置:

  • 名称:输入培训活动的唯一名称。
  • 说明:输入可选说明。

完成“ 名称培训市场活动 ”页后,选择“ 下一步”。

目标用户

“目标用户 ”页上,选择接收培训活动的人员。 使用以下选项选择用户:

  • 包括我组织中的所有用户:不可修改的用户列表显示在 10 个组中。 可以使用用户列表正下方的 “下一步 ”和“ 上一个” 来滚动浏览列表。 还可以使用搜索查找特定用户。

    提示

    虽然无法从此页上的列表中删除用户,但可以使用下一个 “排除用户 ”页来排除特定用户。

  • 仅包括特定用户和组:首先, “目标 用户”页上未显示任何用户或组。 若要将用户或组添加到培训市场活动,请选择以下选项之一:

    • 添加用户:在打开的 “添加用户” 浮出控件中,查找并选择要包含在“培训活动”中的用户和组。 不支持动态通讯组。 以下搜索工具可用:

      • 用户或组的搜索:如果在“搜索”框中单击并执行下列操作之一,则“添加用户”浮出控件上的“按类别筛选用户”选项将替换为“用户列表”部分:

        • 键入三个或多个字符,然后按 Enter 键。 包含这些字符的任何用户或组名称都按“名称”、“Email”、“职务”和“类型”显示在“用户列表”部分中。
        • 键入少于三个字符或无字符,然后按 Enter 键。 “用户列表”部分未显示任何用户,但你可以在“搜索”框中键入三个或多个字符来搜索用户和组。

        结果数显示在 “选定 (0/x) 用户 ”标签中。

        提示

        选择“ 添加筛选器” 将清除“ 用户列表 ”部分的所有结果,并将结果替换为 “按类别筛选用户”。

        如果“用户列表”部分中有用户或组的列表,请通过选择“名称”列旁边的“检查”框来选择部分或全部结果。 所选结果数显示在 “选定 (y/x) 用户 ”标签中。

        选择“ 添加 x 个用户 ”,在“目标用户”页上添加所选 用户 或组,并返回到 “目标用户 ”页。

      • 按类别筛选用户:使用以下选项:

        • 建议的用户组:从以下值中进行选择:

          • 所有建议的用户组:与选择 过去三个月内模拟未针对的用户重复犯罪者的结果相同。
          • 过去三个月中模拟未针对的用户
          • 重复罪犯:有关详细信息,请参阅 配置重复罪犯阈值

        • 用户标记:用户标记是特定用户组的标识符, (例如优先级帐户) 。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记。 使用以下选项:

          • 搜索:在“按用户标记搜索”中,可以键入部分用户标记名称,然后按 Enter。 可以选择部分或全部结果。
          • 选择 “所有用户标记”
          • 选择现有用户标记。 如果链接可用,请选择“ 查看所有用户标记 ”以查看可用标记的完整列表。

        • 城市:使用以下选项:

          • 搜索:在“按城市搜索”中,可以键入“City”值的一部分,然后按 Enter。 可以选择部分或全部结果。
          • 选择“所有城市
          • 选择现有的“城市”值。 如果链接可用,请选择“ 查看所有城市 ”,以查看可用城市值的完整列表。

        • 国家/地区:使用以下选项:

          • 搜索:在“按国家/地区搜索”中,可以键入部分“国家/地区”值,然后按 Enter。 可以选择部分或全部结果。
          • 选择 “所有国家/地区”
          • 选择现有的“城市”值。 如果链接可用,请选择“ 查看所有国家/地区 ”,以查看可用国家/地区值的完整列表。

        • 部门:使用以下选项:

          • 搜索:在“按部门搜索”中,可以键入部分“部门”值,然后按 Enter。 可以选择部分或全部结果。
          • 选择“所有部门
          • 选择现有的“部门”值。 如果链接可用,请选择“ 查看所有部门 ”以查看可用部门值的完整列表。

        • 标题:使用以下选项:

          • 搜索:在“按标题搜索”中,可以键入部分“标题”值,然后按 Enter。 可以选择部分或全部结果。
          • 全选标题
          • 选择现有 Title 值。 如果链接可用,请选择“ 查看所有游戏 ”以查看可用游戏值的完整列表。

        Microsoft Defender门户中攻击模拟训练“目标用户”页上的用户筛选

        可以使用部分或全部搜索类别来查找用户和组。 如果选择多个类别,则使用 AND 运算符。 任何用户或组都必须匹配这两个值才能在结果中返回 (如果在多个类别中使用值 All) ,则几乎是不可能的。

        特定类别用作搜索条件的值数显示在类别磁贴旁边, (例如 “城市 50 ”或 “优先级帐户 10) ”。

        完成按类别搜索后,选择“ 应用 (x) ”按钮。 “添加用户”浮出控件上以前的“按类别筛选用户”选项将替换为以下信息:

        • 筛选器 部分:显示使用了多少个筛选器值以及筛选器值的名称。 如果可用,请选择“ 查看所有” 链接,查看所有筛选器值
        • 用户列表 部分:显示与类别搜索匹配的用户或组。 结果数显示在 “选定 (0/x) 用户 ”标签中。

        如果“用户列表”部分中有用户或组的列表,请通过选择“名称”列旁边的“检查”框来选择部分或全部结果。 所选结果数显示在 “选定 (y/x) 用户 ”标签中。

        选择“ 添加 x 个用户 ”按钮,在“目标用户”页上添加所选 用户 或组,并返回到 “目标用户 ”页。

    • 导入:在打开的对话框中,指定每行包含一个电子邮件地址的 CSV 文件。

      找到选择的 CSV 文件后,用户将被导入并显示在 “目标用户 ”页上。

    在“main目标用户”页上,可以使用“搜索”框查找所选用户。 还可以选择“删除”,然后在确认对话框中选择确认”以删除特定用户。

    若要添加更多用户和组,请在“目标用户”页上选择“添加用户”或导入,并重复上述步骤。

在“ 目标用户 ”页上完成操作后,选择“ 下一步”。

排除用户

“排除用户 ”页上,可以通过选择“从 此模拟中排除某些目标用户”,从培训活动中排除以前选择的某些用户

选择“添加要排除的用户”或导入时,选择选项与上一步相同。

完成“ 排除用户 ”页后,选择“ 下一步”。

选择训练模块

“选择培训模块” 页上,选择以下选项之一:

  • 培训目录:选择“ 添加训练”。

    在打开的“添加培训”浮出控件中,通过选择模块名称旁边的“检查”框,然后选择“添加”,选择要包含在培训活动中的一个或多个培训模块。

    “添加训练”浮出控件中可用的模块与 位于 的“内容库”选项卡上https://security.microsoft.com/attacksimulator?viewid=contentlibrary“训练模块”中提供的模块相同。 有关详细信息,请参阅攻击模拟训练中培训活动的培训模块

    选择一个或多个培训模块后,将在 “选择课程” 页上为每个条目显示以下信息:

    • 训练名称
    • Source
    • 持续时间 (分钟)
    • 删除:使用“ 删除” 图标从列表中删除条目。 在 确认 对话框中选择“确认”。

  • 重定向到自定义 URL:选择“ 添加训练”。

    在打开的 “自定义训练 URL ”浮出控件中,可以使用以下选项:

    • 需要自定义训练 URL ()
    • 自定义训练名称 (必需)
    • 自定义训练说明
    • 自定义训练持续时间 (分钟) (所需的) :默认值为 0,这意味着没有指定的训练持续时间。

    完成 自定义训练 URL 浮出控件后,选择“ 添加”。 有关自定义 URL 的信息显示在 “选择课程” 页上。

“选择课程” 页上完成操作后,选择“ 下一步”。

选择最终用户通知

“选择最终用户通知” 页上,从以下通知选项中进行选择:

  • Microsoft 默认通知 (建议) :用户将收到的通知显示在页面上:

    • Microsoft 默认培训仅限市场活动培训分配通知
    • Microsoft 默认培训仅限市场活动培训提醒通知

    在“选择默认语言”中选择要使用的 默认语言。 可用值包括: 简体中文 () 中文 (繁体、台湾) 英语法语德语意大利语日语韩语葡萄牙语俄语西班牙语荷兰语波兰文阿拉伯语芬兰语希腊语匈牙利语印度尼西亚语挪威语罗马尼亚语斯洛伐克语瑞典语泰国语土耳其语越南语加泰罗尼亚语、克罗地亚语或 斯洛文尼亚语

    对于每个通知,都提供以下信息:

    • 通知:通知的名称。

    • 语言:如果通知包含多个翻译,则直接显示前两种语言。 若要查看其余语言,请将鼠标悬停在数字图标 (例如 +10) 。

    • 类型:以下值之一:

      • 训练作业通知
      • 培训提醒通知

    • 传递首选项:需要配置以下传递首选项,然后才能继续:

      • 对于 “仅 Microsoft 默认培训市场活动提醒通知”,请选择“ 每周两次 ”或“ 每周两次”。

    • 操作:如果选择“查看,将打开“审阅”通知页,其中包含以下信息:

      • “预览 ”选项卡:在用户看到通知消息时查看通知消息。 若要查看不同语言的邮件,请使用 “选择通知语言 ”框。
      • “详细信息 ”选项卡:查看有关通知的详细信息:
        • 通知说明
        • :对于内置通知,值为 Global。 对于自定义通知,值为 Tenant
        • 通知类型:基于最初选择的通知的以下类型之一:
          • 训练作业通知
          • 培训提醒通知
        • 修改者
        • 上次修改时间

      完成 “审阅通知 ”页后,选择“ 关闭 ”以返回到 “选择最终用户通知 ”页。

  • 自定义的最终用户通知:页面上没有其他可用的配置选项。 选择“ 下一步”时,需要选择 “培训作业通知 ”和“ 培训提醒”通知 ,以用于培训活动,如接下来的两个小节中所述。

“选择最终用户通知” 页上完成操作后,选择“ 下一步”。

选择训练分配通知

注意

只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时,此页面才可用。

训练作业通知 ”页显示以下通知及其配置的语言:

  • Microsoft 默认训练分配通知
  • Microsoft 默认培训仅限市场活动培训分配通知
  • 之前创建的任何自定义训练分配通知。

这些通知也可在“内容库”选项卡上的“最终用户通知”页上提供:

有关详细信息,请参阅攻击模拟训练的最终用户通知

请按照以下步骤之一操作:

  • 选择要使用的现有通知:

    • 若要在列表中搜索现有通知,请在“搜索”框中键入部分通知名称,然后按 Enter 键。

    • 通过单击检查框以外的任意位置选择通知时,将打开一个详细信息浮出控件,其中显示有关通知的详细信息:

      • 预览 ”选项卡显示通知对用户的外观。
      • 详细信息 ”选项卡显示通知的属性。

      完成通知详细信息浮出控件后,选择“ 关闭”。

    “培训分配通知”页上,通过选择名称旁边的“检查”框来选择要使用的通知。

  • Create要使用的新通知:选择“Create新建”。 创建步骤与Create最终用户通知相同。

    注意

    在新通知向导的 “定义详细信息 ”页上,请务必为通知类型选择 “训练分配通知 ”值。

    完成通知创建后,将返回到 “培训分配通知 ”页,新通知现在显示在列表中选择。

完成“ 培训作业通知 ”页后,选择“ 下一步”。

选择培训提醒通知

注意

只有在“选择最终用户通知”页上选择了“自定义最终用户通知”时,此页面才可用。

培训提醒通知 ”页显示以下通知及其配置的语言:

  • Microsoft 默认培训提醒通知
  • Microsoft 默认培训仅限市场活动培训提醒通知
  • 之前创建的任何自定义训练提醒通知。

这些通知也可在“攻击模拟训练>”内容库“选项卡”>最终用户通知“中提供:

有关详细信息,请参阅攻击模拟训练的最终用户通知

“设置提醒通知的频率”中,选择“ 每周 (默认值) 或 每周两次,然后执行以下步骤之一:

  • 选择要使用的现有通知:

    • 若要在列表中搜索现有通知,请在“搜索”框中键入部分通知名称,然后按 Enter 键。

    • 通过单击检查框以外的任意位置选择通知时,将打开一个详细信息浮出控件,其中显示有关通知的详细信息:

      • 预览 ”选项卡显示通知对用户的外观。
      • 详细信息 ”选项卡显示通知的属性。

      完成通知详细信息浮出控件后,选择“ 关闭”。

    “培训提醒通知”页上,通过选择名称旁边的检查框来选择要使用的通知。

  • Create要使用的新通知:选择“Create新建”。 创建步骤与Create最终用户通知相同。

    注意

    在新通知向导的 “定义详细信息 ”页上,请务必为通知类型选择 “训练提醒 通知”值。

    完成通知创建后,将返回到 “培训提醒通知 ”页,新通知现在显示在列表中选择。

“培训提醒通知 ”页上完成操作后,选择“ 下一步”。

安排培训活动

“计划 ”页上,通过选择以下值之一,选择何时开始和结束培训活动:

  • 完成后立即启动此培训活动

    如果选择“使用结束日期发送培训 (默认选择) ,则需要在”设置市场活动结束日期“和”设置小时数“、”设置分钟数“和”设置时间格式“中配置结束日期/时间。

  • 计划此培训活动稍后启动:在“设置市场活动启动日期”和“设置小时数”、“设置分钟数”和“设置时间格式”中输入“培训活动开始日期/时间”。

    如果选择“使用结束日期发送培训 (默认选择) ,则需要在”设置市场活动结束日期“和”设置小时数“、”设置分钟数“和”设置时间格式“中配置结束日期/时间。

注意

如果清除“发送具有结束日期检查培训”框,初始培训分配通知之外不会向目标用户发送提醒通知。

完成“ 计划 ”页后,选择“ 下一步”。

查看培训活动详细信息

“审阅 ”页上,可以查看培训活动的详细信息。

选择“发送测试”按钮,将培训活动的副本发送给自己, (当前登录的用户) 进行检查。

可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面来修改设置。

完成“ 审阅 ”页面后,选择“ 提交”。

返回到“ 培训市场活动 ”选项卡,此时会列出你创建的“培训市场活动”。 “状态”值取决于之前在“计划培训市场活动”步骤中的选择:

  • 如果在我完成后选择“启动此培训活动”,则正在进行中。
  • 如果已选择“计划此培训活动”,则为“计划”,以便稍后启动

对培训活动采取措施

对现有培训活动的所有操作都从“培训”选项卡开始。若要转到该位置,请在 中打开Microsoft Defender门户https://security.microsoft.com,转到Email &协作>攻击模拟训练>“训练”选项卡。或者,若要直接转到“训练”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=trainingcampaign

取消培训市场活动

可以使用 “状态”“正在进行” 或“ 计划”取消培训市场活动。

若要取消“培训”选项卡上的现有培训市场活动,请选择“培训市场活动”,方法是选择名称旁边的“检查”框,选择出现的“取消”操作,然后在确认对话框中选择“确认”。

取消培训市场活动后, “状态” 值将更改为 “已取消”。

删除培训市场活动

不能删除 状态 值为 “正在进行” 或“ 计划”的培训市场活动。

若要从“培训”选项卡中删除现有培训市场活动,请选择“培训市场活动”,方法是选择名称旁边的“检查”框,选择显示的“删除”操作,然后在确认对话框中选择“确认”。

删除培训市场活动后,它不再在“ 培训 ”选项卡上列出。

设置训练阈值

训练阈值可防止用户在特定的间隔(以天为单位)内向其分配相同的训练。 默认值为 90 天。

在时间间隔内,不会将同一训练模块重新分配给满足以下任一条件的用户:

  • 他们在训练阈值期间完成了训练模块。
  • 他们尚未完成训练模块,但模块是在训练阈值期间分配给他们的。

将训练模块分配给用户时,训练阈值将开始。

建议训练阈值大于用户完成训练模块的天数。

在培训市场活动用户报告中, “状态” 值显示训练阈值对用户及其分配的训练模块的影响:

  • 已完成:用户已完成训练模块。
  • 正在进行:用户已启动训练模块。
  • 未启动:用户尚未启动训练模块。
  • 以前分配的训练:训练模块在训练阈值期间分配给用户,但用户尚未完成训练。 用户仍然可以完成训练模块,此时 “状态” 值将更改为 “已完成”。
  • 过期:用户尚未在分配的截止日期之前完成训练模块,并且相同的训练模块尚未在训练阈值期间重新分配给用户。
  • 未完成:用户尚未在分配的截止日期和/或训练阈值之外完成训练模块。 此状态使用户有资格重新分配相同的训练模块。

可以在“攻击模拟训练”页上的“设置”选项卡上设置训练阈值。 有关“设置”选项卡的详细信息,请参阅 攻击模拟训练 中的全局设置

若要在“ 设置” 选项卡上设置训练阈值,请执行以下步骤:

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>攻击模拟训练>“设置”选项卡。或者,若要直接转到“设置”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=setting

  2. 设置训练阈值时间段的值(以天为单位)。 默认值为 90 天。 若要删除训练阈值并始终分配训练,请将值设置为 0。

  3. 完成 “设置” 选项卡后,选择“ 保存”。

查看培训市场活动报告

对于“ 状态” 值为“ 正在进行” 或“ 已完成”的训练市场活动,可以使用“培训活动”选项卡上的以下方法之一查看 培训市场活动 的报告 https://security.microsoft.com/attacksimulator?viewid=trainingcampaign

  • 单击行中除名称旁边的“检查”框以外的任意位置,选择市场活动。
  • 通过选择名称旁边的检查框来选择市场活动,然后选择“查看报告”。

此时会打开“培训”活动的详细信息页,其中包含以下选项卡:

  • 报告
  • 用户
  • 详细信息

以下小节介绍了这些选项卡。

若要关闭“培训市场活动”报告,请选择“ 关闭”。

报表选项卡

有关培训市场活动的“ 报告 ”选项卡上的内容的说明,请参阅 培训市场活动的模拟报告

“用户”选项卡

用户 ”选项卡包含市场活动中每个用户的以下信息。 可以通过单击可用的列标题对用户进行排序。 选择“自定义列以更改显示的列。 默认列标有星号 () *

  • 名字* (无法取消选择此值)
  • 训练状态*:以下值之一:
    • 未启动:用户尚未在市场活动中启动任何培训模块。
    • 正在进行:用户已完成市场活动中的一些培训模块。
    • 已完成:用户已完成市场活动中的所有培训模块。
    • 过期:用户尚未在市场活动结束日期/时间之前完成所有培训模块。
  • 训练完成日期* (无法取消选择此值)
  • 用户* (无法取消选择此值)
  • Department

若要将用户列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或普通”,然后选择“ 压缩列表”。

选择“导出,将显示的结果下载到本地“下载”文件夹中的 RecordExport.csv 文件。

如果通过单击名称旁边的检查框以外的任何位置从列表中选择用户,则详细信息浮出控件中会显示以下用户信息:

  • 用户详细信息 部分:
    • Company
    • IP 地址
    • 职务
    • Department
    • Location
    • Manager
  • 用户培训活动中培训模块的状态信息:
    • 训练名称:训练模块名称。
    • 训练状态未启动正在进行已完成以前分配的训练逾期未完成
    • 训练开始日期
    • 训练完成日期

提示

若要在不离开详细信息浮出控件的情况下查看培训活动中其他用户的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。

“详细信息”选项卡

详细信息 ”选项卡显示以下信息:

  • 说明
  • 计划详细信息:启动日期/时间和结束日期/时间。
  • 通知:是否启用了训练分配通知和训练提醒通知及其传递频率。
  • 所选模块:培训活动中的培训模块列在表中:
    • 模块名称
    • 内容类型
    • 总持续时间 (分钟)