Automatizace datových částí pro Simulační nácvik útoku

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V Simulační nácvik útoku v Microsoft 365 E5 nebo Microsoft Defender pro Office 365 Plan 2 shromažďují automatizace datových částí (označované také jako sběr datových částí) informace o skutečných phishingových útocích, které nahlásili uživatelé ve vaší organizaci. Můžete zadat podmínky, které se mají hledat při phishingových útocích (například příjemce, technika sociálního inženýrství nebo informace o odesílateli).

Automatizace datových částí napodobuje zprávy a datové části z útoku a ukládá je jako vlastní datové části s identifikátory v názvu datové části. Získané datové části pak můžete použít v simulacích nebo automatizacích k automatickému spouštění neškodných simulací pro cílové uživatele.

Podrobnosti o tom, jak se shromažďují automatizace datových částí, najdete v části Příloha na konci tohoto článku.

Úvodní informace o Simulační nácvik útoku najdete v tématu Začínáme používat Simulační nácvik útoku.

Pokud chcete zobrazit existující automatizace datových částí, které jste vytvořili, otevřete portál Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráci>Simulační nácvik útoku> Kartu >Automaty a pak vyberte Automatizace datových částí. Pokud chcete přejít přímo na kartu Automatizace , kde můžete vybrat automatizace datových částí, použijte https://security.microsoft.com/attacksimulator?viewid=automations.

Následující informace se zobrazí pro každou automatizaci datové části. Automatizaci datové části můžete seřadit kliknutím na dostupné záhlaví sloupce.

  • Název automatizace
  • Typ: Hodnota je Datová část.
  • Shromážděné položky
  • Naposledy změněno
  • Stav: Hodnota je Připraveno nebo Koncept.

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Odeberte sloupce ze zobrazení.
  • Oddálení ve webovém prohlížeči

Vytváření automatizace datových částí

Pokud chcete vytvořit automatizaci datové části, proveďte následující kroky:

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.com/přejděte na Email & spolupráce>Simulační nácvik útoku>Automaty na kartě >Automatizace datových částí. Pokud chcete přejít přímo na kartu Automatizace , kde můžete vybrat automatizace datových částí, použijte https://security.microsoft.com/attacksimulator?viewid=automations.

  2. Na stránce Automatizace datových částí vyberte Vytvořit automatizaci a spusťte nového průvodce automatizací datové části.

    Tlačítko Vytvořit simulaci na kartě Automatizace datové části v Simulační nácvik útoku na portálu Microsoft Defender

    Poznámka

    Kdykoli poté, co během průvodce automatizací nové datové části pojmenujete automatizaci datové části, můžete vybrat Uložit a zavřít a uložit průběh a pokračovat v konfiguraci automatizace datové části později. Neúplná automatizace datové části má hodnotu StavKoncept v automatizacích datových částí na kartě Automatizace . Když vyberete automatizaci datové části a kliknete na Upravit automatizaci, můžete přejít tam, kde jste skončili.

    V současné době není shromažďování datových částí v prostředích GCC povolené kvůli omezením shromažďování dat.

  3. Na stránce Název služby Automation nakonfigurujte následující nastavení:

    • Název: Zadejte jedinečný popisný název automatizace datové části.
    • Popis: Zadejte volitelný podrobný popis automatizace datové části.

    Až skončíte na stránce s názvem automatizace , vyberte Další.

  4. Na stránce Podmínky spuštění vyberte podmínky skutečného útoku phishing, který určuje, kdy se automatizace spustí.

    Vyberte Přidat podmínku a pak vyberte jednu z následujících podmínek:

    • Ne. uživatelů cílených v rámci kampaně: V zobrazených polích nakonfigurujte následující nastavení:
      • Rovná se, Menší než, Větší než, Menší než nebo rovno nebo Větší než nebo rovno.
      • Zadejte hodnotu: Počet uživatelů, na které cílí phishingová kampaň.
    • Kampaně s konkrétní technikou phish: V zobrazeném poli vyberte jednu z dostupných hodnot:
      • Credential Harvest
      • Příloha malwaru
      • Odkaz v příloze
      • Odkaz na malware
      • How-to Guide
    • Doména konkrétního odesílatele: Do zobrazeného pole zadejte hodnotu domény e-mailu odesílatele (například contoso.com).
    • Jméno konkrétního odesílatele: Do zobrazeného pole zadejte hodnotu jména odesílatele.
    • E-mail konkrétního odesílatele: Do pole, které se zobrazí, zadejte e-mailovou adresu odesílatele.
    • Konkrétní příjemci uživatelů a skupin: Do pole, které se zobrazí, začněte psát jméno nebo e-mailovou adresu uživatele nebo skupiny. Jakmile se zobrazí, vyberte ho.

    Každou podmínku můžete použít jenom jednou. Logiku AND (<Podmínka1> a <Podmínka2>) používá více podmínek.

    Pokud chcete přidat další podmínku, vyberte Přidat podmínku.

    Pokud chcete odebrat podmínku po jejím přidání, vyberte .

    Až skončíte na stránce Podmínky spuštění , vyberte Další.

  5. Na stránce Kontrola automatizace můžete zkontrolovat podrobnosti o automatizaci datové části.

    V každém oddílu můžete vybrat Upravit a upravit nastavení v oddílu. Nebo můžete v průvodci vybrat Zpět nebo konkrétní stránku.

    Až skončíte na stránce Zkontrolovat automatizaci , vyberte Odeslat.

  6. Na stránce Nová automatizace vytvořená můžete pomocí odkazů zapnout automatizaci datové části nebo přejít na stránku Simulace .

    Až budete hotovi, vyberte Hotovo.

  7. Zpět na automatizaci datové části na kartě Automatizace je teď vytvořená datová část automatizace uvedená s hodnotou StavPřipraveno.

Zapnutí nebo vypnutí automatizace datových částí

Automatizaci datových částí můžete zapnout nebo vypnout pomocí hodnoty StavPřipraveno. Automatizaci neúplných datových částí nemůžete zapnout nebo vypnout pomocí hodnoty StavuKoncept.

Pokud chcete zapnout automatizaci datové části, vyberte ji v seznamu kliknutím na zaškrtávací políčko vedle názvu. Vyberte akci Zapnout, která se zobrazí, a pak v dialogovém okně vyberte Potvrdit.

Pokud chcete vypnout automatizaci datové části, vyberte ji v seznamu kliknutím na zaškrtávací políčko vedle názvu. Vyberte akci Vypnout, která se zobrazí, a pak v dialogovém okně vyberte Potvrdit.

Úprava automatizace datových částí

Automatizace datových částí můžete upravovat pouze pomocí hodnoty StavKoncept nebo , které jsou vypnuté.

Pokud chcete upravit existující automatizaci datové části na stránce Automatizace datových částí , proveďte jeden z následujících kroků:

  • V seznamu vyberte automatizaci datové části tak, že zaškrtnete políčko vedle názvu. Vyberte akci Upravit automatizaci , která se zobrazí.
  • V seznamu vyberte automatizaci datové části kliknutím na libovolné místo v řádku kromě zaškrtávacího políčka. V informačním rámečku podrobností, který se otevře, vyberte na kartě Obecnémožnost Upravit v částech Název, Popis nebo Podmínky spuštění .

Otevře se průvodce automatizací datové části s nastavením a hodnotami vybrané automatizace datové části. Postup je stejný, jak je popsáno v části Vytvoření automatizace datové části .

Odebrání automatizace datových částí

Pokud chcete odebrat automatizaci datové části, vyberte v seznamu automatizaci datové části kliknutím na příslušné políčko. Vyberte akci Odstranit, která se zobrazí, a pak v dialogovém okně vyberte Potvrdit.

Zobrazení podrobností o automatizaci datové části

V případě automatizace datových částí s hodnotou Stavpřipraveno vyberte datovou část na stránce Automatizace datových částí kliknutím na jiný řádek než zaškrtávací políčko vedle názvu. Informační panel podrobností, který se otevře, obsahuje následující informace:

  • Název automatizace datové části a počet shromážděných položek

  • Karta Obecné:

    • Naposledy změněno
    • Typ: Hodnota je Datová část.
    • Oddíly Název, Popis a Podmínky spuštění : Výběrem možnosti Upravit otevřete průvodce automatizací datové části na související stránce.

  • Karta Historie spuštění: Tato karta je dostupná jenom pro automatizace datových částí s hodnotou StavPřipraveno.

    Zobrazuje informace o historii spuštění simulací, které používaly automatizaci datové části.

    Karta Historie spuštění v informačním rámečku podrobností o automatizaci datové části

Tip

Pokud chcete zobrazit podrobnosti o dalších automatizacích datových částí, aniž byste opustili informační panel podrobností, použijte předchozí položku a další položku v horní části informačního rámečku.

Dodatek

Automatizace datových částí spoléhá na e-mailové zprávy, které Defender pro Office 365 identifikují jako kampaně:

  • Když správci označí zprávy jako phishing , nedojde k získání datové části.

  • Automatizace datové části vyžaduje přístup k nezpracované datové části, která může zahrnovat zprávy hlášené uživatelem, které splňují následující kritéria:

    • Zpráva byla doručena do složky Doručená pošta (falešně negativní).
    • Uživatel nahlásil zprávu jako phishing.
    • Nahlášená zpráva byla odeslána společnosti Microsoft (přímo uživatelem nebo správcem z portálu Odeslání) a Microsoft zjistil, že se jedná o zprávu typu phishing.

  • Způsobilé datové části jsou získány, pokud zprávy splňují kritéria automatizace datové části, jak je popsáno výše v tomto článku (krok 4 v části Vytvoření automatizace datových částí).

Začínáme s používáním trénování simulace útoku

Automatizace simulace pro Simulační nácvik útoku

Získání přehledů prostřednictvím školení pomocí simulace útoků