Začínáme s používáním trénování simulace útoku
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
V organizacích s Microsoft Defender pro Office 365 Plan 2 (doplňkové licence nebo zahrnuté v předplatných, jako je Microsoft 365 E5), můžete použít Simulační nácvik útoku v Microsoft Defender portál pro spouštění realistických scénářů útoku ve vaší organizaci. Tyto simulované útoky vám můžou pomoct identifikovat a najít zranitelné uživatele předtím, než skutečný útok ovlivní vaše výsledky.
Tento článek vysvětluje základy Simulační nácvik útoku.
Další informace o Simulační nácvik útoku najdete v tomto krátkém videu.
Poznámka
Simulační nácvik útoku nahrazuje staré prostředí simulátoru útoku v1, které bylo k dispozici v Centru dodržování předpisů security & vsimulátoru útokusprávy> hrozeb nebo https://protection.office.com/attacksimulator.
Co potřebujete vědět, než začnete?
Simulační nácvik útoku vyžaduje licenci Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2. Další informace o licenčních požadavcích najdete v tématu Licenční podmínky.
Simulační nácvik útoku podporuje místní poštovní schránky, ale s omezenými funkcemi vytváření sestav. Další informace najdete v tématu Hlášení problémů s místními poštovními schránkami.
Portál Microsoft Defender otevřete tak, že přejdete na https://security.microsoft.com. Simulační nácvik útoku je k dispozici v Email a spolupráci>Simulační nácvik útoku. Pokud chcete přejít přímo na Simulační nácvik útoku, použijte https://security.microsoft.com/attacksimulator.
Další informace o dostupnosti Simulační nácvik útoku napříč různými předplatnými Microsoft 365 najdete v popisu Microsoft Defender pro Office 365 služby.
Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:
Microsoft Entra oprávnění: Potřebujete členství v jedné z následujících rolí:
- Globální správce¹
- Správce zabezpečení
- Správci simulace útoku²: Vytvářejte a spravujte všechny aspekty kampaní simulace útoku.
- Datová část útoku Author²: Vytvořte datové části útoku, které může správce zahájit později.
Důležité
¹ Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
² Přidání uživatelů do této skupiny rolí v Email & oprávnění ke spolupráci na portálu Microsoft Defender se v současné době nepodporuje.
V současné době se nepodporuje Microsoft Defender XDR sjednocené řízení přístupu na základě role (RBAC).
Neexistují žádné odpovídající rutiny PowerShellu pro Simulační nácvik útoku.
Data související se simulací útoků a trénováním se ukládají s dalšími zákaznickými daty pro služby Microsoft 365. Další informace najdete v tématu Umístění dat Microsoftu 365. Simulační nácvik útoku je k dispozici v následujících oblastech: APC, EUR a NAM. Mezi země v těchto oblastech, kde je k dispozici Simulační nácvik útoku, patří ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE a ZAF.
Poznámka
NOR, ZAF, ARE a DEU jsou nejnovější doplňky. V těchto oblastech jsou k dispozici všechny funkce kromě hlášené telemetrie e-mailu. Pracujeme na tom, abychom tyto funkce povolili, a jakmile bude dostupná hlášená telemetrie e-mailů, upozorníme zákazníky.
Simulační nácvik útoku je k dispozici v prostředíCh Microsoft 365 GCC, GCC High a DoD, ale některé pokročilé funkce nejsou dostupné v prostředích GCC High a DoD (například automatizace datových částí, doporučené datové části, předpokládaná míra ohrožení zabezpečení). Pokud má vaše organizace Microsoft 365 G5, Office 365 G5 nebo Microsoft Defender pro Office 365 (Plán 2) pro státní správu, můžete použít Simulační nácvik útoku, jak je popsáno v tomto článku.
Poznámka
Simulační nácvik útoku nabízí zákazníkům E3 jako zkušební verzi podmnožinu funkcí. Nabídka zkušební verze obsahuje možnost použít datovou část Credential Harvest a možnost vybrat možnosti školení ISA Phishing nebo Mass Market Phishing. Součástí nabídky zkušební verze E3 nejsou žádné další možnosti.
Simulace
Simulace v Simulační nácvik útoku je celková kampaň, která uživatelům přináší realistické, ale neškodné phishingové zprávy. Základní prvky simulace jsou:
- Kdo dostane simulovanou phishingovou zprávu a podle jakého plánu
- Školení, které uživatelé získávají na základě jejich akce nebo nedostatku akce (pro správné i nesprávné akce) u simulované phishingové zprávy
- Datová část použitá v simulované phishingové zprávě (odkaz nebo příloha) a složení phishingové zprávy (například doručený balíček, problém s vaším účtem nebo výhra).
- Technika sociálního inženýrství , která se používá. Datové části a technika sociálního inženýrství spolu úzce souvisí.
V Simulační nácvik útoku je k dispozici několik typů technik sociálního inženýrství. Kromě návodů byly tyto techniky kurátorovány z architektury MITRE ATT&CK®. Pro různé techniky jsou k dispozici různé datové části.
K dispozici jsou následující techniky sociálního inženýrství:
Získávání přihlašovacích údajů: Útočník pošle příjemci zprávu, která obsahuje odkaz*. Když příjemce klikne na odkaz, přejde na web, který obvykle zobrazuje dialogové okno, které uživatele požádá o uživatelské jméno a heslo. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.
Malwarová příloha: Útočník pošle příjemci zprávu, která obsahuje přílohu. Když příjemce přílohu otevře, spustí se na zařízení uživatele libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.
Odkaz v příloze: Tato technika je hybridem získávání přihlašovacích údajů. Útočník odešle příjemci zprávu, která obsahuje odkaz uvnitř přílohy. Když příjemce přílohu otevře a klikne na odkaz, přejde na web, který obvykle zobrazuje dialogové okno, které uživatele požádá o uživatelské jméno a heslo. Cílová stránka má obvykle motivy tak, aby představovala dobře známý web, aby se získala důvěryhodnost uživatele.
Odkaz na malware*: Útočník pošle příjemci zprávu, která obsahuje odkaz na přílohu na známém webu pro sdílení souborů (například SharePoint Online nebo Dropbox). Když příjemce klikne na odkaz, otevře se příloha a na zařízení uživatele se spustí libovolný kód (například makro), který útočníkovi pomůže nainstalovat další kód nebo se lépe zakotvovat.
Adresa URL* jednotky: Útočník pošle příjemci zprávu, která obsahuje odkaz. Když příjemce klikne na odkaz, přejde na web, který se pokusí spustit kód na pozadí. Tento kód na pozadí se pokouší shromáždit informace o příjemci nebo nasadit libovolný kód na jeho zařízení. Cílovým webem je obvykle dobře známý web, který byl napaden, nebo klon známého webu. Znalost webu pomáhá uživatele přesvědčit, že na odkaz je bezpečné kliknout. Tato technika je také známá jako útok na zavlažovací díru.
Udělení *souhlasu OAuth: Útočník vytvoří škodlivý Aplikace Azure, který se snaží získat přístup k datům. Aplikace odešle e-mailovou žádost, která obsahuje odkaz. Když příjemce klikne na odkaz, mechanismus udělení souhlasu aplikace požádá o přístup k datům (například k doručené poště uživatele).
Návod: Příručka pro výuku, která obsahuje pokyny pro uživatele (například jak nahlásit phishingové zprávy).
* Odkazem může být adresa URL nebo kód QR.
Adresy URL používané Simulační nácvik útoku jsou uvedeny v následující tabulce:
Poznámka
Před použitím adresy URL ve phishingové kampani zkontrolujte dostupnost simulované adresy URL útoků phishing ve vašich podporovaných webových prohlížečích. Další informace najdete v tématu Adresy URL simulace útoků phishing blokované službou Google Safe Browsing.
Vytváření simulací
Pokyny k vytváření a spouštění simulací najdete v tématu Simulace útoku phishing.
Cílová stránka v simulaci je místo, kam uživatelé přejdou, když otevřou datovou část. Při vytváření simulace vyberete cílovou stránku, kterou chcete použít. Můžete si vybrat z předdefinovaných cílových stránek, vlastních cílových stránek, které jste už vytvořili, nebo můžete vytvořit novou cílovou stránku, která se použije při vytváření simulace. Pokud chcete vytvořit cílové stránky, přečtěte si téma Cílové stránky v Simulační nácvik útoku.
Oznámení koncových uživatelů v simulaci odesílají uživatelům pravidelná připomenutí (například trénovací přiřazení a oznámení připomenutí). Můžete si vybrat z předdefinovaných oznámení, vlastních oznámení, která jste už vytvořili, nebo můžete vytvořit nová oznámení, která se použijí při vytváření simulace. Informace o vytváření oznámení najdete v tématu Oznámení koncového uživatele pro Simulační nácvik útoku.
Tip
Automatizace simulací poskytují následující vylepšení oproti tradičním simulacím:
- Automatizace simulace můžou zahrnovat více technik sociálního inženýrství a souvisejících datových částí (simulace obsahují jenom jednu).
- Automatizace simulace podporují možnosti automatizovaného plánování (více než jen počáteční a koncové datum v simulacích).
Další informace najdete v tématu Automatizace simulace pro Simulační nácvik útoku.
Náklad
I když Simulační nácvik útoku obsahuje mnoho předdefinovaných datových částí pro dostupné techniky sociálního inženýrství, můžete vytvořit vlastní datové části, které lépe vyhovují potřebám vaší firmy, včetně kopírování a přizpůsobení existující datové části. Datové části můžete vytvořit kdykoli před vytvořením simulace nebo během vytváření simulace. Informace o vytváření datových částí najdete v tématu Vytvoření vlastní datové části pro Simulační nácvik útoku.
V simulacích, které používají techniky sociálního inženýrství pro získávání přihlašovacích údajů nebo Odkaz v příloze , jsou přihlašovací stránky součástí datové části, kterou vyberete. Přihlašovací stránka je webová stránka, na které uživatelé zadávají své přihlašovací údaje. Každá příslušná datová část používá výchozí přihlašovací stránku, ale použitou přihlašovací stránku můžete změnit. Můžete si vybrat z předdefinovaných přihlašovacích stránek, vlastních přihlašovacích stránek, které jste už vytvořili, nebo můžete vytvořit novou přihlašovací stránku, která se použije při vytváření simulace nebo datové části. Pokud chcete vytvořit přihlašovací stránky, přečtěte si téma Přihlašovací stránky v Simulační nácvik útoku.
Nejlepším prostředím pro trénování simulovaných phishingových zpráv je, aby se co nejvíce přiblížily skutečným útokům phishing, ke kterým může vaše organizace docházet. Co když byste mohli zachytit a používat neškodné verze skutečných phishingových zpráv, které byly zjištěny v Microsoftu 365, a používat je v simulovaných phishingových kampaních? Můžete použít automatizaci datové části (označovanou také jako sběr datové části). Pokud chcete vytvořit automatizace datových částí, přečtěte si téma Automatizace datových částí pro Simulační nácvik útoku.
Simulační nácvik útoku také podporuje použití kódů QR v datových částech. Můžete si vybrat ze seznamu předdefinovaných datových částí kódu QR nebo můžete vytvořit vlastní datové části kódu QR. Další informace najdete v tématu Datové části kódu QR v Simulační nácvik útoku.
Sestavy a přehledy
Po vytvoření a spuštění simulace potřebujete zjistit, jak funguje. Příklady:
- Dostali ho všichni?
- Kdo udělal co se simulovanou phishingovou zprávou a datovou částí v ní (odstranění, nahlášení, otevření datové části, zadání přihlašovacích údajů atd.)
- Kdo dokončil přiřazené školení.
Dostupné sestavy a přehledy pro Simulační nácvik útoku jsou popsané v tématu Přehledy a sestavy pro Simulační nácvik útoku.
Predikovaná míra ohrožení zabezpečení
Simulovanou phishingovou kampaň často potřebujete přizpůsobit konkrétním cílovým skupinám. Pokud je phishingová zpráva příliš blízko k dokonalosti, téměř všichni se tím zmást. Pokud je to příliš podezřelé, nikdo se tím nenechá zmást. A phishingové zprávy, které někteří uživatelé považují za obtížné identifikovat, považují ostatní uživatelé za snadno identifikovatelné. Jak tedy dosáhnout rovnováhy?
Predikovaná míra ohrožení zabezpečení (PCR) označuje potenciální účinnost při použití datové části v simulaci. PCR používá inteligentní historická data v Microsoftu 365 k predikci procenta lidí, kteří budou ohroženi datovou částí. Příklady:
- Obsah datové části.
- Agregovaná a anonymizovaná míra ohrožení zabezpečení z jiných simulací
- Metadata datové části.
PCR umožňuje porovnat predikované a skutečné míry proklikání u vašich simulací útoků phishing. Tato data můžete také použít k zobrazení výkonu vaší organizace v porovnání s predikovanými výsledky.
Informace PCR pro datovou část jsou k dispozici všude, kde datové části zobrazíte a vyberete, a v následujících sestavách a přehledech:
- Dopad chování na kartu sazby ohrožení zabezpečení
- Karta efektivity trénování pro sestavu simulace útoku
Tip
Simulátor útoku používá bezpečné odkazy v Defender pro Office 365 k bezpečnému sledování dat kliknutí na adresu URL ve zprávě datové části, která se odesílá cílovým příjemcům phishingové kampaně, i když je nastavení Sledovat kliknutí uživatelů v zásadách bezpečných odkazů vypnuté.
Trénování bez triků
Tradiční simulace phishingu představují uživatelům podezřelé zprávy a následující cíle:
- Nařiďte uživatele, aby zprávu nahlásili jako podezřelou.
- Po kliknutí na simulovanou datovou část se škodlivými uživateli nebo spuštění této datové části poskytněte školení a zajistěte, aby se vzdali svých přihlašovacích údajů.
Někdy ale nechcete čekat, až uživatelé přijmou správné nebo nesprávné akce, než jim poskytnete školení. Simulační nácvik útoku poskytuje následující funkce pro přeskočení čekání a přechod přímo na trénování:
Školicí kampaně: Trénovací kampaň je pouze trénovací zadání pro cílové uživatele. Trénování můžete přiřazovat přímo, aniž byste museli uživatele testovat simulaci. Školicí kampaně usnadňují vedení výukových relací, jako jsou měsíční školení pro zvyšování povědomí o kybernetické bezpečnosti. Další informace najdete v tématu Školicí kampaně v Simulační nácvik útoku.
Tip
Trénovací moduly se používají v trénovacích kampaních, ale při přiřazování trénování v pravidelných simulacích můžete použít i trénovací moduly.
Návody v simulacích: Simulace založené na technice sociálního inženýrství s návodem se nepokoušejte testovat uživatele. Návod je jednoduché výukové prostředí, které si uživatelé můžou zobrazit přímo ve složce Doručená pošta. K dispozici jsou například následující předdefinované datové části s postupy a můžete si vytvořit vlastní (včetně kopírování a přizpůsobení existující datové části):
- Průvodce výukou: Jak nahlásit phishingové zprávy
- Průvodce výukou: Jak rozpoznat a nahlásit phishingové zprávy QR
Tip
Simulační nácvik útoku poskytuje následující předdefinované možnosti trénování pro útoky založené na kódu QR:
- Školicí moduly:
- Škodlivé digitální kódy QR
- Škodlivé vytištěné kódy QR
- Návody v simulacích: Průvodce výukou: Jak rozpoznat a nahlásit phishingové zprávy QR