Começar a usar o Treinamento de simulação de ataque

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Em organizações com Microsoft Defender para Office 365 Plano 2 (licenças de suplementos ou incluídas em subscrições como Microsoft 365 E5), pode utilizar Treinamento de simulação de ataque no Microsoft Defender portal para executar cenários de ataque realistas na sua organização. Estes ataques simulados podem ajudá-lo a identificar e encontrar utilizadores vulneráveis antes que um ataque real afete a sua linha de fundo.

Este artigo explica as noções básicas do Treinamento de simulação de ataque.

Veja este breve vídeo para saber mais sobre Treinamento de simulação de ataque.

Observação

Treinamento de simulação de ataque substitui a experiência antiga do Simulador de Ataques v1 que estava disponível no Centro de Conformidade do & de Segurança emSimulador de ataques de gestão> de ameaças ou https://protection.office.com/attacksimulator.

Do que você precisa saber para começar?

  • Treinamento de simulação de ataque requer uma licença Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2. Para obter mais informações sobre os requisitos de licenciamento, veja Termos de licenciamento.

  • Treinamento de simulação de ataque suporta caixas de correio no local, mas com funcionalidades de relatórios reduzidas. Para obter mais informações, consulte Comunicar problemas com caixas de correio no local.

  • Para abrir o portal Microsoft Defender, aceda a https://security.microsoft.com. Treinamento de simulação de ataque está disponível em Email e colaboração>Treinamento de simulação de ataque. Para aceder diretamente a Treinamento de simulação de ataque, utilize https://security.microsoft.com/attacksimulator.

  • Para obter mais informações sobre a disponibilidade de Treinamento de simulação de ataque em diferentes subscrições do Microsoft 365, consulte Microsoft Defender para Office 365 descrição do serviço.

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

    • Microsoft Entra permissões: precisa de associação numa das seguintes funções:

      • Administrador Global¹
      • Administrador de Segurança
      • Administradores de Simulação de Ataques²: crie e faça a gestão de todos os aspetos das campanhas de simulação de ataques.
      • Attack Payload Author²: crie payloads de ataque que um administrador pode iniciar mais tarde.

      Importante

      ¹ A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

      ² A adição de utilizadores a este grupo de funções no Email & permissões de colaboração no portal do Microsoft Defender não é atualmente suportada.

      Atualmente, Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) não é suportado.

  • Não existem cmdlets do PowerShell correspondentes para Treinamento de simulação de ataque.

  • Os dados relacionados com a simulação de ataques e a preparação são armazenados com outros dados de cliente para serviços do Microsoft 365. Para obter mais informações, consulte Localizações de dados do Microsoft 365. Treinamento de simulação de ataque está disponível nas seguintes regiões: APC, EUR e NAM. Os países nessas regiões onde Treinamento de simulação de ataque está disponível incluem ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE e ZAF.

    Observação

    NOR, ZAF, ARE e DEU são as mais recentes adições. Todas as funcionalidades, exceto a telemetria de e-mail comunicada, estão disponíveis nestas regiões. Estamos a trabalhar para ativar as funcionalidades e iremos notificar os clientes assim que a telemetria de e-mail comunicada ficar disponível.

  • Treinamento de simulação de ataque está disponível nos ambientes Microsoft 365 GCC, GCC High e DoD, mas determinadas funcionalidades avançadas não estão disponíveis em GCC High e DoD (por exemplo, automatização de payload, payloads recomendados, a taxa comprometida prevista). Se a sua organização tiver o Microsoft 365 G5, Office 365 G5 ou Microsoft Defender para Office 365 (Plano 2) para a Administração Pública, pode utilizar Treinamento de simulação de ataque conforme descrito neste artigo.

Observação

Treinamento de simulação de ataque oferece um subconjunto de capacidades aos clientes E3 como uma versão de avaliação. A oferta de avaliação contém a capacidade de utilizar um payload de Colheita de Credenciais e a capacidade de selecionar experiências de formação "ISA Phishing" ou "Phishing no Mercado de Massas". Nenhuma outra funcionalidade faz parte da oferta de avaliação E3.

Simulações

Uma simulação no Treinamento de simulação de ataque é a campanha geral que fornece mensagens de phishing realistas, mas inofensivas, aos utilizadores. Os elementos básicos de uma simulação são:

  • Quem recebe a mensagem de phishing simulada e com que agenda.
  • Formação que os utilizadores obtêm com base na respetiva ação ou falta de ação (para ações corretas e incorretas) na mensagem de phishing simulada.
  • O payload utilizado na mensagem de phishing simulada (uma ligação ou um anexo) e a composição da mensagem de phishing (por exemplo, pacote entregue, problema com a sua conta ou ganhou um prémio).
  • A técnica de engenharia social que é usada. A payload e a técnica de engenharia social estão intimamente relacionadas.

No Treinamento de simulação de ataque, estão disponíveis vários tipos de técnicas de engenharia social. Com exceção do Guia de Procedimentos, estas técnicas foram organizadas a partir da arquitetura MITRE ATT&CK®. Estão disponíveis payloads diferentes para diferentes técnicas.

Estão disponíveis as seguintes técnicas de engenharia social:

  • Recolha de Credenciais: um atacante envia ao destinatário uma mensagem que contém uma ligação*. Quando o destinatário clica na ligação, é levado para um site que normalmente mostra uma caixa de diálogo que pede ao utilizador o nome de utilizador e a palavra-passe. Normalmente, a página de destino tem como tema representar um site conhecido para criar confiança no utilizador.

  • Anexo de Software Maligno: um atacante envia ao destinatário uma mensagem que contém um anexo. Quando o destinatário abre o anexo, o código arbitrário (por exemplo, uma macro) é executado no dispositivo do utilizador para ajudar o atacante a instalar código adicional ou a entrincheirar-se ainda mais.

  • Ligação no Anexo: esta técnica é um híbrido de uma colheita de credenciais. Um atacante envia ao destinatário uma mensagem que contém uma ligação dentro de um anexo. Quando o destinatário abre o anexo e clica na ligação, este é levado para um site que normalmente mostra uma caixa de diálogo que pede ao utilizador o respetivo nome de utilizador e palavra-passe. Normalmente, a página de destino tem como tema representar um site conhecido para criar confiança no utilizador.

  • Ligação para Software Maligno*: um atacante envia ao destinatário uma mensagem que contém uma ligação para um anexo num site de partilha de ficheiros conhecido (por exemplo, o SharePoint Online ou o Dropbox). Quando o destinatário clica na ligação, o anexo é aberto e o código arbitrário (por exemplo, uma macro) é executado no dispositivo do utilizador para ajudar o atacante a instalar código adicional ou a entrincheirar-se ainda mais.

  • Drive-by-url*: um atacante envia ao destinatário uma mensagem que contém uma ligação. Quando o destinatário clica na ligação, é levado para um site que tenta executar o código em segundo plano. Esse código em segundo plano tenta coletar informações sobre o destinatário ou implantar código arbitrário em seu dispositivo. Normalmente, o site de destino é um site conhecido que foi comprometido ou um clone de um site conhecido. A familiaridade com o site ajuda a convencer o utilizador de que a ligação é segura para clicar. Esta técnica também é conhecida como um ataque de poço de rega.

  • Concessão *de Consentimento OAuth: um atacante cria uma Aplicativo Azure maliciosa que procura obter acesso aos dados. A aplicação envia um pedido de e-mail que contém uma ligação. Quando o destinatário clica na ligação, o mecanismo de concessão de consentimento da aplicação pede acesso aos dados (por exemplo, a Caixa de Entrada do utilizador).

  • Guia de Procedimentos: um guia de ensino que contém instruções para os utilizadores (por exemplo, como comunicar mensagens de phishing).

* A ligação pode ser um URL ou um código QR.

Os URLs utilizados pelo Treinamento de simulação de ataque estão listados na tabela seguinte:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Observação

Verifique a disponibilidade do URL de phishing simulado nos browsers suportados antes de utilizar o URL numa campanha de phishing. Para obter mais informações, veja URLs de simulação de phishing bloqueados pela Navegação Segura do Google.

Criar simulações

Para obter instruções sobre como criar e iniciar simulações, veja Simular um ataque de phishing.

A página de destino na simulação é onde os utilizadores vão quando abrem o payload. Quando cria uma simulação, seleciona a página de destino a utilizar. Pode selecionar a partir de páginas de destino incorporadas, páginas de destino personalizadas que já criou ou pode criar uma nova página de destino a utilizar durante a criação da simulação. Para criar páginas de destino, consulte Páginas de destino no Treinamento de simulação de ataque.

As notificações do utilizador final na simulação enviam lembretes periódicos aos utilizadores (por exemplo, atribuição de formação e notificações de lembrete). Pode selecionar a partir de notificações incorporadas, notificações personalizadas que já criou ou pode criar novas notificações para utilizar durante a criação da simulação. Para criar notificações, veja Notificações do utilizador final para Treinamento de simulação de ataque.

Dica

As automatizações de simulação fornecem as seguintes melhorias em relação às simulações tradicionais:

  • As automatizações de simulação podem incluir múltiplas técnicas de engenharia social e payloads relacionados (as simulações contêm apenas uma).
  • As automatizações de simulação suportam opções de agendamento automatizado (mais do que apenas a data de início e a data de fim em simulações).

Para obter mais informações, veja Automatizações de simulação para Treinamento de simulação de ataque.

Payloads

Embora Treinamento de simulação de ataque contenha muitos payloads incorporados para as técnicas de engenharia social disponíveis, pode criar payloads personalizados para se adequar melhor às suas necessidades empresariais, incluindo copiar e personalizar um payload existente. Pode criar payloads em qualquer altura antes de criar a simulação ou durante a criação da simulação. Para criar payloads, veja Criar um payload personalizado para Treinamento de simulação de ataque.

Em simulações que utilizam a Recolha de Credenciais ou a Ligação em Técnicas de engenharia social de anexos, as páginas de início de sessão fazem parte do payload que selecionar. A página de início de sessão é a página Web onde os utilizadores introduzem as respetivas credenciais. Cada payload aplicável utiliza uma página de início de sessão predefinida, mas pode alterar a página de início de sessão utilizada. Pode selecionar a partir de páginas de início de sessão incorporadas, páginas de início de sessão personalizadas que já criou ou pode criar uma nova página de início de sessão para utilizar durante a criação da simulação ou do payload. Para criar páginas de início de sessão, consulte Páginas de início de sessão no Treinamento de simulação de ataque.

A melhor experiência de preparação para mensagens de phishing simuladas é torná-las o mais próximas possível de ataques de phishing reais que a sua organização possa experimentar. E se pudesse capturar e utilizar versões inofensivas de mensagens de phishing do mundo real que foram detetadas no Microsoft 365 e utilizá-las em campanhas de phishing simuladas? Pode, com automatizações de payload (também conhecidas como recolha de payload). Para criar automatizações de payload, veja Payload automations for Treinamento de simulação de ataque (Automatizações de payload para Treinamento de simulação de ataque).

Treinamento de simulação de ataque também suporta a utilização de códigos QR em payloads. Pode escolher a partir da lista de payloads de código QR incorporados ou pode criar payloads de código QR personalizados. Para obter mais informações, veja Payloads de código QR no Treinamento de simulação de ataque.

Relatórios e informações

Depois de criar e iniciar a simulação, tem de ver como está a correr. Por exemplo:

  • Todos o receberam?
  • Quem fez o quê à mensagem de phishing simulada e ao payload na mesma (eliminar, reportar, abrir o payload, introduzir credenciais, etc.).
  • Quem concluiu a formação atribuída.

Os relatórios e informações disponíveis para Treinamento de simulação de ataque estão descritos em Informações e relatórios para Treinamento de simulação de ataque.

Taxa de compromisso prevista

Muitas vezes, precisa de personalizar uma campanha de phishing simulada para audiências específicas. Se a mensagem de phishing estiver demasiado perto de ser perfeita, quase todos serão enganados por ela. Se for muito suspeito, não será enganado por isso. Além disso, as mensagens de phishing que alguns utilizadores consideram difíceis de identificar são consideradas fáceis de identificar por outros utilizadores. Então, como se equilibra?

A taxa de compromisso prevista (PCR) indica a eficácia potencial quando o payload é utilizado numa simulação. O PCR utiliza dados históricos inteligentes no Microsoft 365 para prever a percentagem de pessoas que serão comprometidas pelo payload. Por exemplo:

  • Conteúdo do payload.
  • Taxas de compromisso agregadas e anonimizadas de outras simulações.
  • Metadados de payload.

O PCR permite-lhe comparar o clique previsto vs. o clique real através de taxas para as simulações de phishing. Também pode utilizar estes dados para ver o desempenho da sua organização em comparação com os resultados previstos.

As informações do PCR para um payload estão disponíveis onde quer que veja e selecione payloads e nos seguintes relatórios e informações:

Dica

O Simulador de Ataques utiliza Ligações Seguras no Defender para Office 365 para controlar de forma segura os dados de clique do URL na mensagem de payload enviada aos destinatários visados de uma campanha de phishing, mesmo que a definição Controlar cliques do utilizador nas políticas ligações seguras esteja desativada.

Formação sem truques

As simulações de phishing tradicionais apresentam aos utilizadores mensagens suspeitas e os seguintes objetivos:

  • Faça com que os utilizadores comuniquem a mensagem como suspeita.
  • Fornecer formação após os utilizadores clicarem ou iniciarem o payload malicioso simulado e abdicarem das respetivas credenciais.

No entanto, por vezes, não quer esperar que os utilizadores tomem medidas corretas ou incorretas antes de lhes dar formação. Treinamento de simulação de ataque fornece as seguintes funcionalidades para ignorar a espera e ir diretamente para a preparação:

  • Campanhas de formação: uma campanha de Formação é uma atribuição apenas de formação para os utilizadores visados. Pode atribuir formação diretamente sem colocar os utilizadores no teste de uma simulação. As campanhas de formação facilitam a realização de sessões de aprendizagem, como a formação mensal de sensibilização sobre cibersegurança. Para obter mais informações, veja Campanhas de formação no Treinamento de simulação de ataque.

    Dica

    Os módulos de formação são utilizados em campanhas de Formação, mas também pode utilizar módulos de Formação quando atribui formação em simulações regulares.

  • Manuais de instruções em simulações: as simulações baseadas na técnica de engenharia social Guia de Procedimentos não tentam testar os utilizadores. Um Guia de procedimentos é uma experiência de aprendizagem simples que os utilizadores podem ver diretamente na respetiva Caixa de Entrada. Por exemplo, estão disponíveis os seguintes payloads do Guia de Procedimentos incorporados e pode criar o seu próprio (incluindo copiar e personalizar um payload existente):

    • Guia de ensino: Como comunicar mensagens de phishing
    • Guia de Ensino: Como reconhecer e reportar mensagens de phishing QR

Dica

Treinamento de simulação de ataque fornece as seguintes opções de preparação incorporadas para ataques baseados em código QR:

  • Módulos de preparação:
    • Códigos QR digitais maliciosos
    • Códigos QR impressos maliciosos
  • Manuais de instruções em simulações: Guia de Ensino: Como reconhecer e comunicar mensagens de phishing QR