Nutzlastautomatisierungen für Angriffssimulationstraining

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Angriffssimulationstraining in Microsoft 365 E5 oder Microsoft Defender for Office 365 Plan 2 sammeln Nutzlastautomatisierungen (auch als Nutzlasternte bezeichnet) Informationen von realen Phishingangriffen, die von Benutzern in Ihrer organization. Sie können die Bedingungen angeben, die bei Phishingangriffen gesucht werden sollen (z. B. Empfänger, Social Engineering-Technik oder Absenderinformationen).

Die Nutzlastautomatisierung imitiert die Nachrichten und Nutzlasten des Angriffs und speichert sie als benutzerdefinierte Nutzlasten mit Bezeichnern im Nutzlastnamen. Anschließend können Sie die ernteten Nutzlasten in Simulationen oder Automatisierungen verwenden, um automatisch harmlose Simulationen für Zielbenutzer zu starten.

Ausführliche Informationen zur Erfassung von Nutzlastautomatisierungen finden Sie im Anhang am Ende dieses Artikels.

Informationen zu den ersten Schritten zu Angriffssimulationstraining finden Sie unter Erste Schritte mit Angriffssimulationstraining.

Öffnen Sie zum Anzeigen vorhandener Nutzlastautomatisierungen, die Sie erstellt haben, das Microsoft Defender-Portal unter https://security.microsoft.com, wechseln Sie zur Registerkarte >Email & Zusammenarbeit>Angriffssimulationstraining>Automationen, und wählen Sie dann Nutzlastautomatisierungen aus. Um direkt zur Registerkarte Automatisierungen zu wechseln, auf der Sie Nutzlastautomatisierungen auswählen können, verwenden Sie https://security.microsoft.com/attacksimulator?viewid=automations.

Die folgenden Informationen werden für jede Nutzlastautomatisierung angezeigt. Sie können die Nutzlastautomatisierungen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

  • Name der Automatisierung
  • Typ: Der Wert ist Payload.
  • Gesammelte Elemente
  • Zuletzt geändert
  • Status: Der Wert ist Bereit oder Entwurf.

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Erstellen von Nutzlastautomatisierungen

Führen Sie die folgenden Schritte aus, um eine Nutzlastautomatisierung zu erstellen:

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.com/zu Email & Registerkarte >Zusammenarbeit>Angriffssimulationstraining>AutomationenNutzlastautomatisierungen. Um direkt zur Registerkarte Automatisierungen zu wechseln, auf der Sie Nutzlastautomatisierungen auswählen können, verwenden Sie https://security.microsoft.com/attacksimulator?viewid=automations.

  2. Wählen Sie auf der Seite Nutzlastautomatisierungen die Option Automatisierung erstellen aus, um den Assistenten für die Automatisierung neuer Nutzlasten zu starten.

    Schaltfläche

    Hinweis

    Nachdem Sie die Nutzlastautomatisierung während des Assistenten für die Automatisierung neuer Nutzlasten benannt haben, können Sie Speichern und schließen auswählen, um Den Fortschritt zu speichern und später mit der Konfiguration der Nutzlastautomatisierung fortzufahren. Die unvollständige Nutzlastautomatisierung weist den StatuswertEntwurf in Nutzlastautomatisierungen auf der Registerkarte Automatisierungen auf. Sie können dort fortfahren, wo Sie aufgehört haben, indem Sie die Nutzlastautomatisierung auswählen und auf Automatisierung bearbeiten klicken.

    Derzeit ist das Sammeln von Nutzdaten in GCC-Umgebungen aufgrund von Datensammlungseinschränkungen nicht aktiviert.

  3. Konfigurieren Sie auf der Seite Automation-Name die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, beschreibenden Namen für die Nutzlastautomatisierung ein.
    • Beschreibung: Geben Sie optional eine ausführliche Beschreibung für die Nutzlastautomatisierung ein.

    Wenn Sie auf der Seite Automation-Name fertig sind, wählen Sie Weiter aus.

  4. Wählen Sie auf der Seite Ausführungsbedingungen die Bedingungen des tatsächlichen Phishingangriffs aus, der bestimmt, wann die Automatisierung ausgeführt wird.

    Wählen Sie Bedingung hinzufügen und dann eine der folgenden Bedingungen aus:

    • Nein der In der Kampagne gezielten Benutzer: Konfigurieren Sie in den angezeigten Feldern die folgenden Einstellungen:
      • Gleich, Kleiner als, Größer als, Kleiner als oder gleich oder Größer als oder gleich.
      • Wert eingeben: Die Anzahl der Benutzer, auf die die Phishingkampagne abzielt.
    • Kampagnen mit einer bestimmten Phish-Technik: Wählen Sie in dem angezeigten Feld einen der verfügbaren Werte aus:
      • Ernte von Anmeldeinformationen
      • Schadsoftwareanlage
      • Link in Anlage
      • Link zu Schadsoftware
      • Anleitung
    • Bestimmte Absenderdomäne: Geben Sie in das angezeigte Feld einen Wert für die Absender-E-Mail-Domäne ein (z. B. contoso.com).
    • Bestimmter Absendername: Geben Sie in das angezeigte Feld einen Wert für den Absendernamen ein.
    • Bestimmte Absender-E-Mail: Geben Sie in das angezeigte Feld eine Absender-E-Mail-Adresse ein.
    • Bestimmte Benutzer- und Gruppenempfänger: Beginnen Sie in das angezeigte Feld, den Namen oder die E-Mail-Adresse des Benutzers oder der Gruppe einzugeben. Wenn sie angezeigt wird, wählen Sie sie aus.

    Sie können jede Bedingung nur einmal verwenden. Mehrere Bedingungen verwenden AND-Logik (<Bedingung1> und <Bedingung2>).

    Um eine weitere Bedingung hinzuzufügen, wählen Sie Bedingung hinzufügen aus.

    Um eine Bedingung nach dem Hinzufügen zu entfernen, wählen Sie aus .

    Wenn Sie auf der Seite Ausführungsbedingungen fertig sind, wählen Sie Weiter aus.

  5. Auf der Seite Automatisierung überprüfen können Sie die Details ihrer Nutzlastautomatisierung überprüfen.

    Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.

    Wenn Sie auf der Seite Automatisierung überprüfen fertig sind, wählen Sie Senden aus.

  6. Auf der Seite Neu erstellte Automatisierung können Sie die Links verwenden, um die Nutzlastautomatisierung zu aktivieren oder zur Seite Simulationen zu wechseln.

    Wenn Sie fertig sind, wählen Sie Fertig aus.

  7. Zurück zu Nutzlastautomatisierungen auf der Registerkarte Automatisierungen wird die von Ihnen erstellte Nutzlastautomatisierung jetzt mit dem StatuswertBereit aufgelistet.

Aktivieren oder Deaktivieren von Nutzlastautomatisierungen

Sie können Nutzlastautomatisierungen mit dem StatuswertBereit aktivieren oder deaktivieren. Sie können unvollständige Nutzlastautomatisierungen nicht mit dem StatuswertEntwurf aktivieren oder deaktivieren.

Um eine Nutzlastautomatisierung zu aktivieren, wählen Sie sie aus der Liste aus, indem Sie auf das Kontrollkästchen neben dem Namen klicken. Wählen Sie die aktion Aktivieren aus, die angezeigt wird, und wählen Sie dann im Dialogfeld Bestätigen aus.

Um eine Nutzlastautomatisierung zu deaktivieren, wählen Sie sie aus der Liste aus, indem Sie auf das Kontrollkästchen neben dem Namen klicken. Wählen Sie die aktion Deaktivieren aus, die angezeigt wird, und klicken Sie dann im Dialogfeld auf Bestätigen.

Ändern von Nutzlastautomatisierungen

Sie können Nutzlastautomatisierungen nur mit dem StatuswertEntwurf oder deaktiviert ändern.

Führen Sie einen der folgenden Schritte aus, um eine vorhandene Nutzlastautomatisierung auf der Seite Nutzlastautomatisierungen zu ändern:

  • Wählen Sie die Nutzlastautomatisierung aus der Liste aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Wählen Sie die daraufhin angezeigte Aktion Automatisierung bearbeiten aus.
  • Wählen Sie die Nutzlastautomatisierung aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile mit Ausnahme des Kontrollkästchens klicken. Wählen Sie im daraufhin geöffneten Details-Flyout auf der Registerkarte Allgemein in den Abschnitten Name, Beschreibung oder Ausführungsbedingungen die Option Bearbeiten aus.

Der Nutzlastautomatisierungs-Assistent wird mit den Einstellungen und Werten der ausgewählten Nutzlastautomatisierung geöffnet. Die Schritte sind die gleichen wie im Abschnitt Erstellen von Nutzlastautomatisierungen beschrieben.

Entfernen von Nutzlastautomatisierungen

Um eine Nutzlastautomatisierung zu entfernen, aktivieren Sie die Nutzlastautomatisierung aus der Liste, indem Sie auf das Kontrollkästchen klicken. Wählen Sie die aktion Löschen aus, die angezeigt wird, und klicken Sie dann im Dialogfeld auf Bestätigen.

Anzeigen von Details zur Nutzlastautomatisierung

Wählen Sie bei Nutzlastautomatisierungen mit dem StatuswertBereit die Nutzlast auf der Seite Nutzlastautomatisierungen aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken. Das daraufhin geöffnete Details-Flyout enthält die folgenden Informationen:

  • Der Name der Nutzlastautomatisierung und die Anzahl der gesammelten Elemente.

  • Registerkarte Allgemein:

    • Zuletzt geändert
    • Typ: Der Wert ist Payload.
    • Abschnitte für Name, Beschreibung und Ausführungsbedingungen : Wählen Sie Bearbeiten aus, um den Assistenten für die Nutzlastautomatisierung auf der entsprechenden Seite zu öffnen.
  • Registerkarte "Ausführungsverlauf": Diese Registerkarte ist nur für Nutzlastautomatisierungen mit dem StatuswertBereit verfügbar.

    Zeigt Informationen zum Ausführungsverlauf von Simulationen an, die die Nutzlastautomatisierung verwendet haben.

    Die Registerkarte Ausführungsverlauf im Details-Flyout einer Nutzlastautomatisierung.

Tipp

Um Details zu anderen Nutzlastautomatisierungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

Anhang

Die Nutzlastautomatisierung basiert auf E-Mail-Nachrichten, die von Defender für Office 365 als Kampagnen identifiziert werden:

  • Administratoren , die Nachrichten als Phishing markieren , führen nicht zur Nutzdatensammlung.

  • Die Nutzlastautomatisierung erfordert Zugriff auf die rohe Nutzlast, die vom Benutzer gemeldete Nachrichten enthalten kann, die die folgenden Kriterien erfüllen:

    • Die Nachricht wurde an den Posteingang übermittelt (falsch negativ).
    • Der Benutzer hat die Nachricht als Phishing gemeldet.
    • Die gemeldete Nachricht wurde an Microsoft übermittelt (direkt vom Benutzer oder von einem Administrator aus dem Übermittlungsportal), und Microsoft hat festgestellt, dass es sich bei der Nachricht um Phishing handelt.
  • Berechtigte Nutzlasten werden geerntet, wenn die Nachrichten die Kriterien der Nutzlastautomatisierung erfüllen, wie weiter oben in diesem Artikel beschrieben (Schritt 4 unter Erstellen von Nutzlastautomatisierungen).

Erste Schritte mit dem Angriffssimulationstraining

Simulationsautomatisierungen für das Training zur Angriffssimulation

Gewinnen Sie Erkenntnisse durch Angriffssimulationsschulungen