使用Defender for Office 365中的攻击模拟训练模拟网络钓鱼攻击
提示
是否知道可以在 Microsoft 365 Defender 中免费试用Office 365计划 2 中的功能? 在Microsoft 365 Defender门户试用中心使用为期 90 天的Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
适用于Microsoft Defender for Office 365计划 2
Microsoft Defender for Office 365计划 2 或Microsoft 365 E5中的攻击模拟训练可让你在组织中运行良性网络攻击模拟。 这些模拟测试安全策略和做法,并训练员工提高意识并降低其易受攻击的易感性。 本文逐步讲解如何使用攻击模拟训练创建模拟网络钓鱼攻击。
有关攻击模拟训练的入门信息,请 参阅攻击模拟训练入门。
若要启动模拟网络钓鱼攻击,请执行以下步骤:
在Microsoft 365 Defender门户中https://security.microsoft.com,转到 “电子邮件&协作 > 攻击模拟训练 > 模拟” 选项卡。
若要直接转到 “模拟” 选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=simulations。
在 “模拟” 选项卡上,选择
启动模拟。
将打开模拟创建向导。 本文的其余部分介绍页面及其包含的设置。
备注
在创建模拟向导期间的任何时候,都可以单击 “保存并关闭 ”以保存进度,然后继续配置模拟。 不完整的模拟在 “模拟”选项卡上具有 “状态 值 草稿”。可以通过选择模拟并单击
编辑 模拟。
选择社会工程技术
在 “选择技术 ”页上,选择一种可用的社会工程技术,该技术是从 MITRE ATT&CK® 框架中策划的。 不同的有效负载可用于不同的技术。 可使用以下社会工程技术:
- 凭据收获:尝试通过将用户带到具有输入框的知名网站以提交用户名和密码来收集凭据。
- 恶意软件附件:向邮件添加恶意附件。 当用户打开附件时,将运行任意代码,以帮助攻击者入侵目标的设备。
- 附件中的链接:一种凭据收获混合类型。 攻击者将 URL 插入电子邮件附件中。 附件中的 URL 遵循与凭据收获相同的技术。
- 指向恶意软件的链接:从托管在已知文件共享服务上的文件中运行一些任意代码。 发送给用户的消息将包含指向此恶意文件的链接。 打开文件将有助于攻击者入侵目标的设备。
- 按驱动器的 URL:消息中的恶意 URL 将用户带到一个熟悉的网站,该网站以无提示方式运行和/或在用户设备上安装代码。
如果单击说明中的 “视图详细信息 ”链接,将打开一个详细信息浮出控件,描述该技术所产生的技术和模拟步骤。
完成后,单击“下一步”。
命名和描述模拟
在 “名称模拟” 页上,配置以下设置:
- 名称:输入模拟的唯一描述性名称。
- 说明:输入模拟的可选详细说明。
完成后,单击“下一步”。
选择有效负载和登录页
在 “选择有效负载和登录 ”页上,需要从列表中选择现有有效负载,或创建新的有效负载。
还可以查看有效负载中使用的登录页、选择要使用的其他登录页,或创建要使用的新登录页。
负载
每个有效负载将显示以下详细信息:
- 有效负载名称
- 语言:有效负载内容的语言。 Microsoft 的有效负载目录 (全局) 提供 10 多种语言的有效负载,也可以进行筛选。
- 单击速率:已单击此有效负载的人数。
- 预测的入侵率:Microsoft 365 中有效负载的历史数据,用于预测受此有效负载损害的人员百分比。
- 启动的模拟 计算此有效负载在其他模拟中使用的次数。
在“搜索” 
搜索 框中,可以键入部分有效负载名称,然后按 Enter 筛选结果。
如果单击 “筛选器”,则可使用以下筛选器:
复杂性:根据有效负载中的指示器数计算,指示可能的攻击 (拼写错误、紧急性等) 。 更多的指示器更容易识别为攻击,并表明复杂性较低。 可用值有:
- High
- Medium
- 低
语言:可用值为:英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰 语、意大利语、瑞典 语、中文 (简体)、挪威语、挪威语、波兰 语、俄罗斯 语、芬兰****语、韩语、土耳其 语、匈牙利语、希伯来语、泰国****语、阿拉伯语、越南语、 斯洛伐克 语、希腊语、印度尼西亚 语、罗马尼亚****语、斯洛文尼亚语、克罗地亚语、加泰罗尼亚****语或其他 语。
添加标记 (的)
按主题筛选:可用值为:帐户激活、帐户验证、计费、清理邮件、收到的文档、费用、传真、财务报告、传入邮件、发票、收到的项目、登录警报、收到的邮件、密码、付款、工资单、个性化产品/服务、隔离、 远程工作、查看邮件、安全更新、服务挂起、需要签名、升级邮箱存储验证邮箱、语音邮件****等。
按品牌筛选:可用值为: 美国 Express、 Capital One、 DHL、 DocuSign、 Dropbox、 Facebook、 First American、 Microsoft、 Netflix、 Scotiabank、 SendGrid、 Stewart Title、 Tesco、 Wells Fargo、 Syrinx Cloud 等。
按行业筛选:可用值为: 银行、 商业服务、 消费者服务、 教育、 能源、 建筑、 咨询、 金融服务、 政府、 酒店、 保险、 法律、 快递服务、 IT、 医疗保健、 制造、 零售、 电信、 房地产、 和其他。
当前事件:可用值为 “是 ”或 “否”。
争议:可用值为 “是 ”或 “否”。
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
如果通过选中复选框从列表中选择有效负载, “发送测试 ”按钮显示在主页上,你可以将有效负载电子邮件的副本发送给自己, (当前登录的用户) 进行检查。
若要创建自己的有效负载,请单击 创建有效负载。 有关详细信息,请参阅 创建用于攻击模拟训练的自定义有效负载。
如果通过单击复选框以外的行中的任意位置从列表中选择有效负载,则有关有效负载的详细信息将显示在浮出控件中:
- “ 有效负载 ”选项卡包含有关有效负载的示例和其他详细信息。
- 下一部分将介绍 “登录页 ”选项卡。
- “ 模拟”启动的 选项卡包含 模拟名称、 单击率、 入侵率 和 操作。
登录页
通过单击复选框以外的行中的任意位置,从列表中选择有效负载,以打开详细信息浮出控件。
有效负载详细信息浮出控件中的 “登录”页 选项卡显示当前为有效负载选择的登录页。
若要查看完整的登录页,请将页面底部的第 1 页 和第 2 页 链接用于两页登录页。
若要更改有效负载中使用的登录页,请单击 更改登录页。
在显示的 “选择登录”页 浮出控件上,每个登录页显示以下信息:
- 名称
- 语言
- 源:对于内置登录页,值为 全局。 对于自定义登录页,值为 Tenant。
- 状态: 准备就绪 或 草稿。
- 创建者:对于内置登录页,值为 Microsoft。 对于自定义登录页,该值是创建登录页的用户的 UPN。
- 上次修改时间
- 操作:单击
预览 以预览登录页。
若要在列表中查找登录页,请使用“搜索” 搜索 框以查找登录页的名称。
单击 
筛选 以按 源 或 语言 筛选登录页。
若要创建新的登录页,请单击 “新建”图标。 新建 以启动创建最终用户登录页向导。 这些步骤与 攻击模拟训练>“模拟内容库”选项卡上的 登录页 相同。有关说明,请参阅 “创建登录页”。
返回“ 选择登录”页,验证所创建的新登录页是否已选中,然后单击“ 保存”。
返回有效负载详细信息浮出控件,单击 “关闭”图标。 关闭。
在 “选择有效负载和登录”页 上完成后,单击“ 下一步”。
目标用户
在 “目标用户 ”页上,选择将接收模拟的人员。 配置以下设置之一:
包括组织中的所有用户:受影响的用户显示在 10 的列表中。 可以使用用户列表下方的“ 下一步 ”和 “上 一步”按钮滚动浏览列表。 还可以使用“搜索”
在 页面上搜索图标以查找受影响的用户。仅包括特定用户和组:选择以下选项之一:
- 添加用户:在显示的 “添加用户 ”浮出控件中,可以根据以下条件查找用户和组:
搜索用户或组:在框中,可以键入用户或组的 “名称 ”或 “电子邮件”地址 的一部分,然后按 Enter。 可以选择部分或全部结果。 完成后,单击 “添加 x 用户”。
备注
单击 “添加筛选器” 按类别选项返回到 筛选器用户 ,将清除在搜索结果中选择的任何用户或组。
按类别筛选用户:从无选择、部分或所有以下选项中进行选择:
建议的用户组:从以下值中选择:
- 所有建议的用户组
- 过去三个月中未成为模拟目标的用户
- 重复犯罪者
用户标记:用户标记是特定用户组的标识符 (例如,Priority 帐户) 。 有关详细信息,请参阅Microsoft Defender for Office 365中的用户标记。
使用以下选项:
- 搜索:按 按用户标记进行搜索,可以键入部分用户标记,然后按 Enter。 可以选择部分或全部结果。
- 选择 “所有用户标记”
- 选择现有用户标记。
- 搜索:按
部门:使用以下选项:
- 搜索:按 按部门搜索,可以键入部门值的一部分,然后按 Enter。 可以选择部分或全部结果。
- 选择 “所有部门”
- 选择现有的部门值。
- 搜索:按
标题:使用以下选项:
- 搜索:在“按标题搜索”图标中 按标题搜索,可以键入标题值的一部分,然后按 Enter。 可以选择部分或全部结果。
- 选择 “所有标题”
- 选择现有标题值。
- 搜索:在“按标题搜索”图标中
确定条件后,受影响的用户将显示在显示的 “用户列表 ”部分中,你可以在其中选择部分或全部发现的收件人。
完成后,单击 “应用 (x),然后单击 ”添加 x 用户”。
回到“ 目标用户 ”主页上,可以使用“搜索”
搜索 框以查找受影响的用户。 还可以单击 删除 以删除特定用户。- 导入:在打开的对话框中,指定每行包含一个电子邮件地址的 CSV 文件。
找到选择 CSV 文件后,将导入用户列表,并显示在 “目标用户 ”页上。 可以使用“搜索”
搜索 框以查找受影响的用户。 还可以单击 
删除 以删除特定用户。
完成后,单击“下一步”。
分配训练
在 “分配训练 ”页上,可以为模拟分配训练。 我们建议为每个模拟分配培训,因为通过培训的员工不太容易受到类似攻击。 可使用以下设置:
- 选择训练内容首选项:选择以下选项之一:
- Microsoft 培训体验:这是默认值,具有以下关联选项来配置:
- 选择下列选项之一:
- 为我分配培训:这是默认值和建议值。 我们根据用户以前的模拟和训练结果分配训练,你可以在向导的后续步骤中查看所选内容。
- 自己选择培训课程和模块:如果选择此值,你仍然可以在向导的下一步看到推荐的内容以及所有可用的课程和模块。
- 截止日期:选择下列值之一:
- 模拟结束 30 天后:这是默认值。
- 模拟结束后 15 天
- 模拟结束 7 天后
- 选择下列选项之一:
- 重定向到自定义 URL:此值具有以下关联选项来配置:
- 所需的自定义训练 URL ()
- 所需的自定义训练名称 ()
- 自定义训练说明
- 自定义训练持续时间 (分钟):默认值为 0,这意味着训练没有指定的持续时间。
- 截止日期:选择下列值之一:
- 模拟结束 30 天后:这是默认值。
- 模拟结束后 15 天
- 模拟结束 7 天后
- 无训练:如果选择此值,页面上唯一的选项是“ 下一步 ”按钮,用于转到 “登陆”页 。
- Microsoft 培训体验:这是默认值,具有以下关联选项来配置:
培训分配
备注
仅当您在上一页上选择了 Microsoft 培训体验 > “选择培训课程和模块”时,“培训分配”页才可用。
在 “训练分配 ”页上,单击 添加训练。
在显示的 “添加训练 ”浮出控件上,可以选择要在以下可用选项卡上使用的训练:
建议 的选项卡:显示基于模拟配置的建议内置训练。 如果在上一页上 为我选择“分配培训 ”,则会为这些训练分配这些训练。
“所有训练” 选项卡:显示所有可用的内置训练。
对于每个训练,将显示以下信息:
- 训练名称
- 源:值为 全局。
- 持续时间 (分钟)
- 预览 版:单击 “预览” 按钮可查看训练。
在“搜索”
搜索 框中,可以键入部分训练名称,然后按 Enter 筛选当前选项卡上的结果。从当前选项卡中选择要包含的所有训练,然后单击 “添加”。
返回主 训练分配 页,显示所选训练。 对于每个训练,将显示以下信息:
- 训练名称
- Source
- 持续时间 (分钟)
对于列表中的每个训练,需要通过选择 “分配到 ”列中的值来选择谁获取训练:
所有用户
或以下一个或两个值:
单击的有效负载
妥协
如果不想使用显示的训练,请单击 Delete。
完成后,单击“下一步”。
登陆页面
在 “登陆”页 上,配置用户在模拟中打开有效负载时要转到的网页。
Microsoft 精选登陆页面提供 12 种语言:中文 (简体) 、中文 (传统) 、英语、法语、德语、意大利语、日语、韩语、葡萄牙语、俄语、西班牙语和荷兰语。
- 选择登陆页首选项:可用值为:
使用 Microsoft 默认登陆页:这是具有以下关联选项的默认值,用于配置:
- 选择登陆页面布局:选择一个可用模板。
- 添加徽标:单击 “浏览 ”查找并选择.png、.jpeg 或.gif文件。 徽标大小应最大为 210 x 70,以避免失真。 若要删除徽标,请单击 “删除”。
- 向电子邮件添加有效负载指示器:如果以前在“选择技术”页上选择了 恶意软件附件 或 链接到恶意软件,则此设置不可用。
可以通过单击页面底部的 “打开预览面板 ”按钮来预览结果。
使用自定义 URL:如果之前在“选择技术”页上选择了 恶意软件附件 或 链接到恶意软件,则此设置不可用。
如果选择 “使用自定义 URL”,则需要在“ 输入显示的自定义登陆页 URL ”框中添加 URL。 页面上没有其他选项可用。
创建自己的登陆页:此值具有以下关联选项来配置:
向电子邮件添加有效负载指示器:仅当以下两个条件均为 true 时,才可选择此设置:
- 之前在“选择技术”页上选择了 凭据收获、附件链接 或 “按驱动器”URL。
- 在页面内容中添加名为 “插入电子邮件内容”的 动态标记 后。
页面内容:有两个选项卡可用:
- 文本:可使用富文本编辑器创建登陆页。 除了典型的字体和格式设置外,还提供以下设置:
- 动态标记:从以下标记中选择:
- 插入名称
- 插入发件人名称
- 插入发件人电子邮件
- 插入电子邮件主题
- 插入电子邮件内容
- 插入日期
- 默认使用:选择要开始使用的可用模板。 可以在编辑区域中修改文本和布局。 若要将登陆页重置回模板的默认文本和布局,请单击 “重置为默认 值”。
- 动态标记:从以下标记中选择:
- 文本:可使用富文本编辑器创建登陆页。 除了典型的字体和格式设置外,还提供以下设置:
代码:可以直接查看和修改 HTML 代码。
可以通过单击页面中间的 “打开预览面板 ”按钮来预览结果。
完成后,单击“下一步”。
备注
某些商标、徽标、符号、徽章和其他源标识符根据地方、州和联邦法规和法律获得更高的保护。 未经授权使用此类指标可能会使用户受到处罚,包括刑事罚款。 虽然这份名单并不广泛,但包括总统、副总统和国会印章、中情局、联邦调查局、社会保障、医疗保险和医疗补助、美国国税局和奥运会。 除了这些类别的商标之外,使用和修改任何第三方商标都存在固有的风险。 在有效负载中使用自己的商标和徽标的风险较小,尤其是在组织允许使用的情况下。 如果对创建或配置有效负载时使用的功能有任何进一步的问题,应咨询法律顾问。
选择最终用户通知
在 “选择最终用户通知 ”页上,从以下通知选项中进行选择:
不传送通知:在显示的警报对话框中单击 “继续 ”。 如果选择此选项,则单击“下一步”时,会转到 “启动详细信息”页。
Microsoft 默认通知 (建议):页面上提供了以下其他设置:
选择默认语言:可用值为:英语、西班牙语、德语、日语、法语、葡萄牙语、荷兰语、意大利 语、瑞典语、中文 (简体)、挪威 Bokmål、波兰语、俄语、芬兰****语、韩语、土耳其****语、匈牙利语、希伯来语、泰语、阿拉伯语、越南语、斯洛伐克、希腊、印度尼西亚、罗马尼亚、斯洛文尼亚、克罗地亚、加泰罗尼亚****或其他。
默认情况下,包括以下通知:
- Microsoft 正强化通知
- Microsoft 默认训练分配通知
- Microsoft 默认训练提醒通知
对于每个通知,可获得以下信息:
- 通知:通知 的名称。
- 语言:如果通知包含多个翻译,则直接显示前两种语言。 若要查看剩余的语言,请将鼠标悬停在数字图标 (例如 +10) 。
- 类型:下列值之一:
- 正强化通知
- 训练分配通知
- 培训提醒通知
- 传递首选项:对于 正强化通知 和 训练提醒通知 类型,可使用以下值
- 不交付
- 活动结束后交付
- 在活动期间交付
- 操作:如果单击“视图”
视图 图标显示“ 审阅通知 ”页,其中包含以下信息:
预览 选项卡:查看通知消息,因为用户会看到它。
- 若要查看不同语言的消息,请使用 “选择语言 ”框。
- 使用 “选择有效负载”预览 框选择包含多个有效负载的模拟的通知消息。
详细信息 选项卡:查看有关通知的详细信息:
- 通知说明
- 源:对于内置通知,值为 全局。 对于自定义通知,值为 Tenant。
- 通知类型:以下类型之一基于你最初选择的通知:
- 正强化通知
- 训练分配通知
- 培训提醒通知
- 修改者
- 上次修改时间
完成后,单击“关闭”。
单击“下 一步”时,会转到 “启动详细信息”页。
自定义的最终用户通知:单击 “下一步”时,会转到 “训练分配通知 ”页,如下一部分所述。
训练分配通知
仅当在“选择最终用户通知”页上选择了 “自定义的最终用户通知”时,“培训分配通知”页才可用。
此页显示以下通知及其配置的语言:
Microsoft 默认训练分配通知
以前创建的任何自定义训练分配通知。
这些通知在攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=simulationcontentlibrary的 “模拟内容库”选项卡上的 最终用户通知 中也可用。 Microsoft 默认训练分配通知 在“ 全局通知 ”选项卡上可用。“ 租户通知 ”选项卡上提供了自定义训练分配通知。有关详细信息,请参阅 攻击模拟训练的最终用户通知。
可以选择现有的训练分配通知或创建要使用的新通知:
若要选择现有通知,请单击通知名称旁边的空白区域。 如果单击通知名称,则会选择通知并显示预览浮出控件。 若要取消选择通知,请清除通知旁边的复选框。
若要搜索现有通知,请使用“搜索”
搜索 框以搜索名称。选择要使用的通知,然后单击 “下一步”。
若要创建和使用新通知,请单击
新建。
创建新的训练分配通知向导
如果单击“ 在**“训练分配通知**”页上新建,将打开通知创建向导。
创建步骤与 创建最终用户通知中所述相同。
备注
在 “定义详细信息”页上,请务必选择 “选择通知类型”的值 训练分配通知。
完成后,你将返回到 “训练分配通知 ”页,此时刚刚创建的通知将显示在列表中。
选择要使用的通知,然后单击 “下一步”。
培训提醒通知
仅当您在“选择最终用户 通知”页上选择了 自定义的最终用户通知 时,“培训提醒 通知”页才可用。
设置提醒通知的频率:选择 每周 (默认) 或 每周两次。
选择提醒通知:本部分显示以下通知及其配置的语言:
Microsoft 默认训练提醒通知
以前创建的任何自定义训练提醒通知。
这些通知在攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=simulationcontentlibrary的 “模拟内容库”选项卡上的 最终用户通知 中也可用。 “全局通知”选项卡上提供了 Microsoft 默认训练提醒通知。“租户通知”选项卡上提供了自定义训练提醒通知。有关详细信息,请参阅 攻击模拟训练的最终用户通知。
可以选择现有的训练提醒通知或创建要使用的新通知:
若要选择现有通知,请单击通知名称旁边的空白区域。 如果单击通知名称,则会选择通知并显示预览浮出控件。 若要取消选择通知,请清除通知旁边的复选框。
若要搜索现有通知,请使用“搜索”
搜索 框以搜索名称。选择要使用的通知,然后单击 “下一步”。
若要创建和使用新通知,请单击
新建。
创建新的训练提醒通知向导
如果单击“ 在**“训练提醒通知**”页上新建,将打开通知创建向导。
创建步骤与 创建最终用户通知中所述相同。
备注
在 “定义详细信息”页上,请务必为 选择通知类型 选择值 训练提醒通知。
完成后,将返回到“ 训练提醒”通知 页,此时,刚刚创建的通知将显示在列表中。
选择要使用的通知,然后单击 “下一步”。
正强化通知
仅当在“选择最终用户 通知”页上选择了 自定义的最终用户通知 时,才可使用“正强化通知”页。
传递首选项:选择以下值之一:
不提供:如果选择此选项,则单击“下 一步”时会转到 “启动详细信息”页。
在用户报告网络钓鱼和活动结束或****在用户报告网络钓鱼后立即交付:这些部分在“选择显示的 正强化通知”部分中显示以下通知及其配置的语言:
Microsoft 默认正强化通知
之前创建的任何自定义正强化通知。
这些通知在攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=simulationcontentlibrary的 “模拟内容库”选项卡上的 最终用户通知 中也可用。 Microsoft 默认的正强化通知 在“ 全局通知 ”选项卡上可用。 “租户通知 ”选项卡上提供了自定义正强化通知。有关详细信息,请参阅 攻击模拟训练的最终用户通知。
可以选择现有的正强化通知或创建要使用的新通知:
若要选择现有通知,请单击通知名称旁边的空白区域。 如果单击通知名称,则会选择通知并显示预览浮出控件。 若要取消选择通知,请清除通知旁边的复选框。
若要搜索现有通知,请使用“搜索”
搜索 框以搜索名称。选择要使用的通知,然后单击 “下一步”。
若要创建和使用新通知,请单击
新建。
创建新的正强化通知向导
如果单击“ 在**“正强化通知**”页上新建,将打开通知创建向导。
创建步骤与 创建最终用户通知中所述相同。
备注
在 “定义详细信息”页上,请务必为 Select 通知类型 选择值 正强化通知。
完成后,将返回到 “正强化通知 ”页,此时列表中会显示刚创建的通知。
选择要使用的通知,然后单击 “下一步”。
启动详细信息
在 “启动详细信息 ”页上,选择何时启动模拟以及何时结束模拟。 我们将在指定的结束日期后停止捕获与此模拟的交互。
可使用以下设置:
- 选择下列值之一:
- 完成后立即启动此模拟
- 计划稍后启动此模拟:此值具有以下关联选项来配置:
- 选择启动日期
- 选择启动时间
- 配置结束模拟之后的天数:默认值为 2。
- 启用区域感知时区传递:根据员工的区域在工作时间向员工传递模拟攻击消息。
- 显示按驱动器技术间隙数据收集页:可以显示驱动器-bu URL 技术攻击所附带的覆盖层。 若要隐藏覆盖层并直接转到登陆页,请取消选择此选项。
完成后,单击“下一步”。
查看模拟
在 “审阅模拟 ”页上,可以查看模拟的详细信息。
单击“ 
发送测试 按钮,将有效负载电子邮件的副本发送给自己 (当前登录的用户) 进行检查。
可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以单击“返回”或选择向导中的特定页面。
完成后,请单击“提交”。
