Erste Schritte mit dem Angriffssimulationstraining
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Organisationen mit Microsoft Defender for Office 365 Plan 2 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten) können Sie Angriffssimulationstraining im Microsoft Defender Portal zum Ausführen realistischer Angriffsszenarien in Ihrem organization. Diese simulierten Angriffe können Ihnen helfen, anfällige Benutzer zu identifizieren und zu finden, bevor sich ein echter Angriff auf Ihr Ergebnis auswirkt.
In diesem Artikel werden die Grundlagen der Angriffssimulationstraining erläutert.
Sehen Sie sich dieses kurze Video an, um mehr über Angriffssimulationstraining zu erfahren.
Hinweis
Angriffssimulationstraining ersetzt die alte Angriffssimulator v1-Benutzeroberfläche, die im Security & Compliance Center unterBedrohungsmanagement-Angriffssimulator> oder https://protection.office.com/attacksimulatorverfügbar war.
Was sollten Sie wissen, bevor Sie beginnen?
Angriffssimulationstraining erfordert eine Microsoft 365 E5- oder Microsoft Defender for Office 365 Plan 2-Lizenz. Weitere Informationen zu Lizenzanforderungen finden Sie unter Lizenzbedingungen.
Angriffssimulationstraining unterstützt lokale Postfächer, jedoch mit eingeschränkter Berichterstellungsfunktionalität. Weitere Informationen finden Sie unter Melden von Problemen mit lokalen Postfächern.
Um das Microsoft Defender-Portal zu öffnen, wechseln Sie zu https://security.microsoft.com. Angriffssimulationstraining finden Sie unter Email und Zusammenarbeit>Angriffssimulationstraining. Verwenden Sie https://security.microsoft.com/attacksimulator, um direkt zu Angriffssimulationstraining zu wechseln.
Weitere Informationen zur Verfügbarkeit von Angriffssimulationstraining in verschiedenen Microsoft 365-Abonnements finden Sie unter Microsoft Defender for Office 365 Dienstbeschreibung.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
Microsoft Entra Berechtigungen: Sie benötigen die Mitgliedschaft in einer der folgenden Rollen:
- Globaler Administrator¹
- Sicherheitsadministrator
- Angriffssimulationsadministratoren²: Erstellen und Verwalten aller Aspekte von Angriffssimulationskampagnen.
- Angriffsnutzlast Author²: Erstellen Sie Angriffsnutzlasten, die ein Administrator später initiieren kann.
Wichtig
¹ Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
² Das Hinzufügen von Benutzern zu dieser Rollengruppe in Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal wird derzeit nicht unterstützt.
Derzeit wird Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) nicht unterstützt.
Es gibt keine entsprechenden PowerShell-Cmdlets für Angriffssimulationstraining.
Angriffssimulations- und Trainingsdaten werden zusammen mit anderen Kundendaten für Microsoft 365-Dienste gespeichert. Weitere Informationen finden Sie unter Microsoft 365-Datenspeicherorte. Angriffssimulationstraining ist in den folgenden Regionen verfügbar: APC, EUR und NAM. Zu den Ländern innerhalb dieser Regionen, in denen Angriffssimulationstraining verfügbar ist, gehören ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE, TWN und ZAF.
Hinweis
NOR, ZAF, ARE und DEU sind die neuesten Ergänzungen. Alle Features mit Ausnahme der gemeldeten E-Mail-Telemetrie sind in diesen Regionen verfügbar. Wir arbeiten daran, die Features zu aktivieren, und wir benachrichtigen Kunden, sobald gemeldete E-Mail-Telemetriedaten verfügbar sind.
Angriffssimulationstraining ist in Microsoft 365 GCC-, GCC High- und DoD-Umgebungen verfügbar, aber bestimmte erweiterte Features sind in GCC High und DoD nicht verfügbar (z. B. Nutzlastautomatisierung, empfohlene Nutzlasten, die vorhergesagte Kompromittierungsrate). Wenn Ihr organization Über Microsoft 365 G5, Office 365 G5 oder Microsoft Defender for Office 365 (Plan 2) für Behörden verfügt, können Sie Angriffssimulationstraining verwenden, wie in diesem Artikel beschrieben.
Hinweis
Angriffssimulationstraining bietet E3-Kunden eine Teilmenge von Funktionen als Testversion. Das Testangebot enthält die Möglichkeit, eine Credential Harvest-Nutzlast zu verwenden, und die Möglichkeit, die Trainingserfahrungen "ISA Phishing" oder "Massenmarkt-Phishing" auszuwählen. Es sind keine anderen Funktionen Teil des E3-Testangebots.
Simulationen
Eine Simulation in Angriffssimulationstraining ist die allgemeine Kampagne, die realistische, aber harmlose Phishing-Nachrichten an Benutzer übermittelt. Die grundlegenden Elemente einer Simulation sind:
- Wer erhält die simulierte Phishing-Nachricht und nach welchem Zeitplan?
- Schulung, die Benutzer basierend auf ihrer Aktion oder fehlenden Aktion (sowohl für richtige als auch für falsche Aktionen) für die simulierte Phishingnachricht erhalten.
- Die Nutzlast , die in der simulierten Phishing-Nachricht (ein Link oder eine Anlage) verwendet wird, und die Zusammensetzung der Phishingnachricht (z. B. Paket zugestellt, Problem mit Ihrem Konto oder Sie haben einen Preis gewonnen).
- Die verwendete Social-Engineering-Technik . Die Nutzlast und die Social Engineering-Technik sind eng miteinander verbunden.
In Angriffssimulationstraining stehen mehrere Arten von Social Engineering-Techniken zur Verfügung. Mit Ausnahme von Anleitungen wurden diese Techniken aus dem MITRE ATT&CK-Framework® kuratiert. Für verschiedene Techniken stehen verschiedene Nutzlasten zur Verfügung.
Die folgenden Social Engineering-Techniken sind verfügbar:
Credential Harvest: Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link* enthält. Wenn der Empfänger auf den Link klickt, wird er zu einer Website weitergeleitet, die in der Regel ein Dialogfeld anzeigt, in dem der Benutzer nach benutzername und kennwort gefragt wird. In der Regel wird die Zielseite so designt, dass sie eine bekannte Website darstellt, um Vertrauen in den Benutzer aufzubauen.
Schadsoftwareanlage: Ein Angreifer sendet dem Empfänger eine Nachricht, die eine Anlage enthält. Wenn der Empfänger die Anlage öffnet, wird beliebiger Code (z. B. ein Makro) auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu festigen.
Link in Anlage: Bei dieser Technik handelt es sich um eine Hybride aus einer Anmeldeinformationsernte. Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link in einer Anlage enthält. Wenn der Empfänger die Anlage öffnet und auf den Link klickt, wird er zu einer Website weitergeleitet, die in der Regel ein Dialogfeld anzeigt, in dem der Benutzer nach benutzername und kennwort gefragt wird. In der Regel wird die Zielseite so designt, dass sie eine bekannte Website darstellt, um Vertrauen in den Benutzer aufzubauen.
Link zu Schadsoftware*: Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link zu einer Anlage auf einer bekannten Dateifreigabewebsite (z. B. SharePoint Online oder Dropbox) enthält. Wenn der Empfänger auf den Link klickt, wird die Anlage geöffnet, und beliebiger Code (z. B. ein Makro) wird auf dem Gerät des Benutzers ausgeführt, um dem Angreifer zu helfen, zusätzlichen Code zu installieren oder sich weiter zu festigen.
Drive-by-URL*: Ein Angreifer sendet dem Empfänger eine Nachricht, die einen Link enthält. Wenn der Empfänger auf den Link klickt, wird er zu einer Website weitergeleitet, die versucht, Hintergrundcode auszuführen. Dieser Hintergrundcode versucht, Informationen über den Empfänger zu sammeln oder beliebigen Code auf dessen Gerät zu installieren. In der Regel handelt es sich bei der Zielwebsite um eine bekannte Website, die kompromittiert wurde, oder um einen Klon einer bekannten Website. Vertrautheit mit der Website hilft, den Benutzer davon zu überzeugen, dass der Link sicher zu klicken ist. Diese Technik wird auch als Wasserlochangriff bezeichnet.
OAuth-Zustimmungserteilung*: Ein Angreifer erstellt eine böswillige Azure-Anwendung, die versucht, Zugriff auf Daten zu erhalten. Die Anwendung sendet eine E-Mail-Anforderung, die einen Link enthält. Wenn der Empfänger auf den Link klickt, fordert der Zustimmungserteilungsmechanismus der Anwendung den Zugriff auf die Daten (z. B. den Posteingang des Benutzers) an.
Anleitung: Ein Lehrleitfaden, der Anweisungen für Benutzer enthält (z. B. wie Phishingnachrichten gemeldet werden).
* Der Link kann eine URL oder ein QR-Code sein.
Die urLs, die von Angriffssimulationstraining verwendet werden, sind in der folgenden Tabelle aufgeführt:
Hinweis
Überprüfen Sie die Verfügbarkeit der simulierten Phishing-URL in Ihren unterstützten Webbrowsern, bevor Sie die URL in einer Phishingkampagne verwenden. Weitere Informationen finden Sie unter Phishingsimulations-URLs, die von Google Safe Browsing blockiert werden.
Erstellen von Simulationen
Anweisungen zum Erstellen und Starten von Simulationen finden Sie unter Simulieren eines Phishingangriffs.
Die Landing Page in der Simulation ist der Ort, an den Benutzer gehen, wenn sie die Nutzlast öffnen. Wenn Sie eine Simulation erstellen, wählen Sie die zu verwendende Landing Page aus. Sie können zwischen integrierten Landing Pages und benutzerdefinierten Zielseiten auswählen, die Sie bereits erstellt haben, oder Sie können eine neue Landing Page erstellen, die sie während der Erstellung der Simulation verwenden soll. Informationen zum Erstellen von Zielseiten finden Sie unter Zielseiten in Angriffssimulationstraining.
Endbenutzerbenachrichtigungen in der Simulation senden regelmäßige Erinnerungen an Benutzer (z. B. Trainingszuweisungen und Erinnerungsbenachrichtigungen). Sie können zwischen integrierten Benachrichtigungen und benutzerdefinierten Benachrichtigungen auswählen, die Sie bereits erstellt haben, oder Sie können neue Benachrichtigungen erstellen, die während der Erstellung der Simulation verwendet werden sollen. Informationen zum Erstellen von Benachrichtigungen finden Sie unter Endbenutzerbenachrichtigungen für Angriffssimulationstraining.
Tipp
Simulationsautomatisierungen bieten die folgenden Verbesserungen gegenüber herkömmlichen Simulationen:
- Simulationsautomatisierungen können mehrere Social Engineering-Techniken und zugehörige Nutzlasten enthalten (Simulationen enthalten nur eine).
- Simulationsautomatisierungen unterstützen automatisierte Planungsoptionen (mehr als nur das Start- und Enddatum in Simulationen).
Weitere Informationen finden Sie unter Simulationsautomatisierungen für Angriffssimulationstraining.
Nutzlasten
Obwohl Angriffssimulationstraining viele integrierte Nutzlasten für die verfügbaren Social Engineering-Techniken enthält, können Sie benutzerdefinierte Nutzlasten erstellen, um Ihre Geschäftsanforderungen besser zu erfüllen, einschließlich des Kopierens und Anpassens einer vorhandenen Nutzlast. Sie können Nutzlasten jederzeit erstellen, bevor Sie die Simulation erstellen oder während der Erstellung der Simulation. Informationen zum Erstellen von Nutzlasten finden Sie unter Erstellen einer benutzerdefinierten Nutzlast für Angriffssimulationstraining.
In Simulationen, die Credential Harvest oder Link in Attachment Social Engineering-Techniken verwenden, sind Anmeldeseiten Teil der von Ihnen ausgewählten Nutzlast. Die Anmeldeseite ist die Webseite, auf der Benutzer ihre Anmeldeinformationen eingeben. Jede anwendbare Nutzlast verwendet eine Standardanmeldungsseite, aber Sie können die verwendete Anmeldeseite ändern. Sie können zwischen integrierten Anmeldeseiten und benutzerdefinierten Anmeldeseiten auswählen, die Sie bereits erstellt haben, oder Sie können eine neue Anmeldeseite erstellen, die während der Erstellung der Simulation oder der Nutzlast verwendet werden soll. Informationen zum Erstellen von Anmeldeseiten finden Sie unter Anmeldeseiten in Angriffssimulationstraining.
Die beste Trainingserfahrung für simulierte Phishing-Nachrichten besteht darin, sie so nah wie möglich an echte Phishingangriffe zu bringen, die Ihre organization möglicherweise erleben können. Was wäre, wenn Sie harmlose Versionen von echten Phishing-Nachrichten erfassen und verwenden könnten, die in Microsoft 365 erkannt wurden, und sie in simulierten Phishingkampagnen verwenden könnten? Dies ist mit Nutzlastautomatisierungen möglich (auch als Nutzlasternte bezeichnet). Informationen zum Erstellen von Nutzlastautomatisierungen finden Sie unter Nutzlastautomatisierungen für Angriffssimulationstraining.
Angriffssimulationstraining unterstützt auch die Verwendung von QR-Codes in Nutzlasten. Sie können aus der Liste der integrierten QR-Codenutzlasten wählen oder benutzerdefinierte QR-Codenutzlasten erstellen. Weitere Informationen finden Sie unter QR-Codenutzlasten in Angriffssimulationstraining.
Berichte und Erkenntnisse
Nachdem Sie die Simulation erstellt und gestartet haben, müssen Sie sehen, wie sie funktioniert. Zum Beispiel:
- Hat es jeder erhalten?
- Wer hat was mit der simulierten Phishing-Nachricht und der darin enthaltenen Nutzlast gemacht (Löschen, Melden, Öffnen der Nutzlast, Eingeben von Anmeldeinformationen usw.).
- Wer die zugewiesene Schulung abgeschlossen hat.
Die verfügbaren Berichte und Erkenntnisse für Angriffssimulationstraining werden unter Erkenntnisse und Berichte für Angriffssimulationstraining beschrieben.
Vorhergesagte Kompromittierungsrate
Häufig müssen Sie eine simulierte Phishingkampagne für bestimmte Zielgruppen anpassen. Wenn die Phishing-Nachricht zu nah an perfekt ist, wird fast jeder davon täuschen. Wenn es zu verdächtig ist, wird es nicht täuschen. Und die Phishing-Nachrichten, die einige Benutzer für schwierig zu identifizieren halten, werden von anderen Benutzern als leicht zu identifizieren angesehen. Wie können Sie also ein Gleichgewicht schaffen?
Die vorhergesagte Kompromittierungsrate (Predicted Compromise Rate, PCR) gibt die potenzielle Effektivität an, wenn die Nutzlast in einer Simulation verwendet wird. PCR verwendet intelligente Verlaufsdaten in Microsoft 365, um den Prozentsatz der Personen vorherzusagen, die von der Nutzlast kompromittiert werden. Zum Beispiel:
- Nutzlastinhalt.
- Aggregierte und anonymisierte Kompromittierungsraten aus anderen Simulationen.
- Nutzlastmetadaten.
PcR ermöglicht es Ihnen, die vorhergesagten und tatsächlichen Klickraten für Ihre Phishing-Simulationen zu vergleichen. Sie können diese Daten auch verwenden, um zu sehen, wie sich Ihr organization im Vergleich zu vorhergesagten Ergebnissen abschneidet.
PCR-Informationen für eine Nutzlast sind überall dort verfügbar, wo Sie Nutzlasten anzeigen und auswählen, sowie in den folgenden Berichten und Erkenntnissen:
- Auswirkungen des Verhaltens auf Karte
- Registerkarte "Trainingseffizienz" für den Angriffssimulationsbericht
Tipp
Der Angriffssimulator verwendet sichere Links in Defender for Office 365, um Klickdaten für die URL in der Nutzlastnachricht sicher nachzuverfolgen, die an zielorientierte Empfänger einer Phishingkampagne gesendet wird, auch wenn die Einstellung Benutzerklicks nachverfolgen in Richtlinien für sichere Links deaktiviert ist.
Training ohne Tricks
Herkömmliche Phishingsimulationen zeigen Benutzern verdächtige Nachrichten und die folgenden Ziele an:
- Bringen Sie Benutzer dazu, die Nachricht als verdächtig zu melden.
- Bieten Sie Schulungen an, nachdem Benutzer auf die simulierte schädliche Nutzlast geklickt oder gestartet und ihre Anmeldeinformationen übergeben haben.
Manchmal möchten Sie jedoch nicht warten, bis Benutzer richtige oder falsche Aktionen ausführen, bevor Sie sie trainieren. Angriffssimulationstraining bietet die folgenden Features, um das Warten zu überspringen und direkt zum Training zu wechseln:
Trainingskampagnen: Eine Trainingskampagne ist eine reine Trainingszuweisung für die Zielbenutzer. Sie können das Training direkt zuweisen, ohne Benutzer durch den Test einer Simulation zu führen. Schulungskampagnen erleichtern die Durchführung von Lernsitzungen wie monatlichen Schulungen zur Cybersicherheit. Weitere Informationen finden Sie unter Trainingskampagnen in Angriffssimulationstraining.
Tipp
Trainingsmodule werden in Trainingskampagnen verwendet, aber Sie können auch Trainingsmodule verwenden, wenn Sie Training in regulären Simulationen zuweisen.
Anleitungen in Simulationen: Simulationen, die auf der Anleitungsanleitung für Social Engineering basieren, versuchen nicht, Benutzer zu testen. Eine Anleitung ist eine einfache Lernumgebung, die Benutzer direkt in ihrem Posteingang anzeigen können. Beispielsweise sind die folgenden integrierten Anleitungsnutzlasten verfügbar, und Sie können ihre eigenen erstellen (einschließlich kopieren und anpassen einer vorhandenen Nutzlast):
- Lehrleitfaden: Melden von Phishing-Nachrichten
- Lehrleitfaden: Erkennen und Melden von QR-Phishing-Nachrichten
Tipp
Angriffssimulationstraining bietet die folgenden integrierten Trainingsoptionen für QR-Code-basierte Angriffe:
- Schulungsmodule:
- Schädliche digitale QR-Codes
- Schädliche gedruckte QR-Codes
- Anleitungen in Simulationen: Lehrleitfaden: Erkennen und Melden von QR-Phishing-Nachrichten