Começar a usar o Treinamento de simulação de ataque

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Em organizações com o Microsoft Defender para Office 365 Plano 2 (licenças de suplementos ou incluídos em subscrições como o Microsoft 365 E5), pode utilizar a Formação de simulação de ataques no portal do Microsoft Defender para executar cenários de ataque realistas na sua organização. Estes ataques simulados podem ajudá-lo a identificar e encontrar utilizadores vulneráveis antes que um ataque real afete a sua linha de fundo.

Este artigo explica as noções básicas da preparação de simulação de ataques.

Veja este breve vídeo para saber mais sobre a Formação de simulação de ataques.

Observação

A preparação da simulação de ataques substitui a experiência antiga do Simulador de Ataques v1 que estava disponível no Centro de Conformidade do & de Segurança emSimulador de ataques de gestão> de ameaças ou https://protection.office.com/attacksimulator.

Do que você precisa saber para começar?

  • A formação de simulação de ataques requer uma licença do Microsoft 365 E5 ou do Microsoft Defender para Office 365 Plano 2 . Para obter mais informações sobre os requisitos de licenciamento, veja Termos de licenciamento.

  • A formação de simulação de ataques suporta caixas de correio no local, mas com funcionalidade de relatórios reduzida. Para obter mais informações, consulte Comunicar problemas com caixas de correio no local.

  • Para abrir o portal do Microsoft Defender, aceda a https://security.microsoft.com. A formação de simulação de ataques está disponível em E-mail e colaboraçãoFormação de simulação de ataques>. Para aceder diretamente a Preparação de simulação de ataques, utilize https://security.microsoft.com/attacksimulator.

  • Para obter mais informações sobre a disponibilidade da Formação de simulação de ataques em diferentes subscrições do Microsoft 365, consulte Descrição do serviço do Microsoft Defender para Office 365.

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

    • Permissões do Microsoft Entra: precisa de ser associado a uma das seguintes funções:

      • Administrador Global¹
      • Administrador de Segurança
      • Administradores de Simulação de Ataques²: crie e faça a gestão de todos os aspetos das campanhas de simulação de ataques.
      • Attack Payload Author²: crie payloads de ataque que um administrador pode iniciar mais tarde.

      Importante

      ¹ A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

      ² A adição de utilizadores a este grupo de funções no E-mail & permissões de colaboração no portal do Microsoft Defender não é atualmente suportada.

      Atualmente, o controlo de acesso unificado (RBAC) do Microsoft Defender XDR não é suportado.

  • Não existem cmdlets do PowerShell correspondentes para a preparação de simulação de ataques.

  • Os dados relacionados com a simulação de ataques e a preparação são armazenados com outros dados de cliente para serviços do Microsoft 365. Para obter mais informações, consulte Localizações de dados do Microsoft 365. A preparação da simulação de ataques está disponível nas seguintes regiões: APC, EUR e NAM. Os países nessas regiões onde a formação de simulação de ataques está disponível incluem ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE e ZAF.

    Observação

    NOR, ZAF, ARE e DEU são as mais recentes adições. Todas as funcionalidades, exceto a telemetria de e-mail comunicada, estão disponíveis nestas regiões. Estamos a trabalhar para ativar as funcionalidades e iremos notificar os clientes assim que a telemetria de e-mail comunicada ficar disponível.

  • A partir de setembro de 2023, a formação de simulação de ataques está disponível em ambientes do Microsoft 365 GCC e GCC High, mas determinadas funcionalidades avançadas não estão disponíveis no GCC High (por exemplo, automatização de payload, payloads recomendados, a taxa comprometida prevista). Se a sua organização tiver o Office 365 G5 GCC ou o Microsoft Defender para Office 365 (Plano 2) para a Administração Pública, pode utilizar a formação de Simulação de ataques, conforme descrito neste artigo. A preparação da simulação de ataques ainda não está disponível em ambientes DoD.

Observação

A formação de simulação de ataques oferece um subconjunto de capacidades para clientes E3 como uma versão de avaliação. A oferta de avaliação contém a capacidade de utilizar um payload de Colheita de Credenciais e a capacidade de selecionar experiências de formação "ISA Phishing" ou "Phishing no Mercado de Massas". Nenhuma outra funcionalidade faz parte da oferta de avaliação E3.

Simulações

Uma simulação na formação de simulação de ataques é a campanha geral que fornece mensagens de phishing realistas, mas inofensivas, aos utilizadores. Os elementos básicos de uma simulação são:

  • Quem recebe a mensagem de phishing simulada e com que agenda.
  • Formação que os utilizadores obtêm com base na respetiva ação ou falta de ação (para ações corretas e incorretas) na mensagem de phishing simulada.
  • O payload utilizado na mensagem de phishing simulada (uma ligação ou um anexo) e a composição da mensagem de phishing (por exemplo, pacote entregue, problema com a sua conta ou ganhou um prémio).
  • A técnica de engenharia social que é usada. A payload e a técnica de engenharia social estão intimamente relacionadas.

Na formação de simulação de ataques, estão disponíveis vários tipos de técnicas de engenharia social. Com exceção do Guia de Procedimentos, estas técnicas foram organizadas a partir da arquitetura MITRE ATT&CK®. Estão disponíveis payloads diferentes para diferentes técnicas.

Estão disponíveis as seguintes técnicas de engenharia social:

  • Recolha de Credenciais: um atacante envia ao destinatário uma mensagem que contém um URL. Quando o destinatário clica no URL, é redirecionado para um site que normalmente mostra uma caixa de diálogo que pede ao utilizador o respetivo nome de utilizador e palavra-passe. Normalmente, a página de destino tem como tema representar um site conhecido para criar confiança no utilizador.

  • Anexo de Software Maligno: um atacante envia ao destinatário uma mensagem que contém um anexo. Quando o destinatário abre o anexo, o código arbitrário (por exemplo, uma macro) é executado no dispositivo do utilizador para ajudar o atacante a instalar código adicional ou a entrincheirar-se ainda mais.

  • Ligação no Anexo: esta técnica é um híbrido de uma colheita de credenciais. Um atacante envia ao destinatário uma mensagem que contém um URL dentro de um anexo. Quando o destinatário abre o anexo e clica no URL, é redirecionado para um site que normalmente mostra uma caixa de diálogo que pede ao utilizador o respetivo nome de utilizador e palavra-passe. Normalmente, a página de destino tem como tema representar um site conhecido para criar confiança no utilizador.

  • Ligação para Software Maligno: um atacante envia ao destinatário uma mensagem que contém uma ligação para um anexo num site de partilha de ficheiros conhecido (por exemplo, o SharePoint Online ou o Dropbox). Quando o destinatário clica no URL, o anexo é aberto e o código arbitrário (por exemplo, uma macro) é executado no dispositivo do utilizador para ajudar o atacante a instalar código adicional ou a entrincheirar-se ainda mais.

  • Drive-by-url: um atacante envia ao destinatário uma mensagem que contém um URL. Quando o destinatário clica no URL, é redirecionado para um site que tenta executar o código em segundo plano. Esse código em segundo plano tenta coletar informações sobre o destinatário ou implantar código arbitrário em seu dispositivo. Normalmente, o site de destino é um site conhecido que foi comprometido ou um clone de um site conhecido. A familiaridade com o site ajuda a convencer o utilizador de que a ligação é segura para clicar. Esta técnica também é conhecida como um ataque de poço de rega.

  • Concessão de Consentimento OAuth: um atacante cria uma Aplicação maliciosa do Azure que procura obter acesso aos dados. A aplicação envia um pedido de e-mail que contém um URL. Quando o destinatário clica no URL, o mecanismo de concessão de consentimento da aplicação pede acesso aos dados (por exemplo, a Caixa de Entrada do utilizador).

  • Guia de Procedimentos: um guia de ensino que contém instruções para os utilizadores (por exemplo, como comunicar mensagens de phishing).

Os URLs utilizados pela preparação de simulação de ataques estão listados na tabela seguinte:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Observação

Verifique a disponibilidade do URL de phishing simulado nos browsers suportados antes de utilizar o URL numa campanha de phishing. Para obter mais informações, veja URLs de simulação de phishing bloqueados pela Navegação Segura do Google.

Criar simulações

Para obter instruções sobre como criar e iniciar simulações, veja Simular um ataque de phishing.

A página de destino na simulação é onde os utilizadores vão quando abrem o payload. Quando cria uma simulação, seleciona a página de destino a utilizar. Pode selecionar a partir de páginas de destino incorporadas, páginas de destino personalizadas que já criou ou pode criar uma nova página de destino a utilizar durante a criação da simulação. Para criar páginas de destino, veja Páginas de destino na preparação de simulação de ataques.

As notificações do utilizador final na simulação enviam lembretes periódicos aos utilizadores (por exemplo, atribuição de formação e notificações de lembrete). Pode selecionar a partir de notificações incorporadas, notificações personalizadas que já criou ou pode criar novas notificações para utilizar durante a criação da simulação. Para criar notificações, veja Notificações do utilizador final para a preparação da Simulação de ataques.

Dica

As automatizações de simulação fornecem as seguintes melhorias em relação às simulações tradicionais:

  • As automatizações de simulação podem incluir múltiplas técnicas de engenharia social e payloads relacionados (as simulações contêm apenas uma).
  • As automatizações de simulação suportam opções de agendamento automatizado (mais do que apenas a data de início e a data de fim em simulações).

Para obter mais informações, veja Automatizações de simulação para preparação de simulação de ataques.

Payloads

Embora a Simulação de ataques contenha muitos payloads incorporados para as técnicas de engenharia social disponíveis, pode criar payloads personalizados para se adequar melhor às suas necessidades empresariais, incluindo copiar e personalizar um payload existente. Pode criar payloads em qualquer altura antes de criar a simulação ou durante a criação da simulação. Para criar payloads, veja Criar um payload personalizado para a preparação de simulação de ataques.

Em simulações que utilizam a Recolha de Credenciais ou a Ligação em Técnicas de engenharia social de anexos, as páginas de início de sessão fazem parte do payload que selecionar. A página de início de sessão é a página Web onde os utilizadores introduzem as respetivas credenciais. Cada payload aplicável utiliza uma página de início de sessão predefinida, mas pode alterar a página de início de sessão utilizada. Pode selecionar a partir de páginas de início de sessão incorporadas, páginas de início de sessão personalizadas que já criou ou pode criar uma nova página de início de sessão para utilizar durante a criação da simulação ou do payload. Para criar páginas de início de sessão, veja Páginas de início de sessão na formação de Simulação de ataques.

A melhor experiência de preparação para mensagens de phishing simuladas é torná-las o mais próximas possível de ataques de phishing reais que a sua organização possa experimentar. E se pudesse capturar e utilizar versões inofensivas de mensagens de phishing do mundo real que foram detetadas no Microsoft 365 e utilizá-las em campanhas de phishing simuladas? Pode, com automatizações de payload (também conhecidas como recolha de payload). Para criar automatizações de payload, veja Payload automations for Attack simulation training (Automatizações de payload para a preparação de simulação de ataques).

Relatórios e informações

Depois de criar e iniciar a simulação, tem de ver como está a correr. Por exemplo:

  • Todos o receberam?
  • Quem fez o quê à mensagem de phishing simulada e ao payload na mesma (eliminar, reportar, abrir o payload, introduzir credenciais, etc.).
  • Quem concluiu a formação atribuída.

Os relatórios e informações disponíveis para a preparação da simulação de ataques estão descritos em Informações e relatórios para a preparação de simulação de ataques.

Taxa de compromisso prevista

Muitas vezes, precisa de personalizar uma campanha de phishing simulada para audiências específicas. Se a mensagem de phishing estiver demasiado perto de ser perfeita, quase todos serão enganados por ela. Se for muito suspeito, não será enganado por isso. Além disso, as mensagens de phishing que alguns utilizadores consideram difíceis de identificar são consideradas fáceis de identificar por outros utilizadores. Então, como se equilibra?

A taxa de compromisso prevista (PCR) indica a eficácia potencial quando o payload é utilizado numa simulação. O PCR utiliza dados históricos inteligentes no Microsoft 365 para prever a percentagem de pessoas que serão comprometidas pelo payload. Por exemplo:

  • Conteúdo do payload.
  • Taxas de compromisso agregadas e anonimizadas de outras simulações.
  • Metadados de payload.

O PCR permite-lhe comparar o clique previsto vs. o clique real através de taxas para as simulações de phishing. Também pode utilizar estes dados para ver o desempenho da sua organização em comparação com os resultados previstos.

As informações do PCR para um payload estão disponíveis onde quer que veja e selecione payloads e nos seguintes relatórios e informações:

Dica

O Simulador de Ataques utiliza Ligações Seguras no Defender para Office 365 para controlar de forma segura os dados de clique do URL na mensagem de payload enviada aos destinatários visados de uma campanha de phishing, mesmo que a definição Controlar cliques do utilizador nas políticas de Ligações Seguras esteja desativada.

Formação sem truques

As simulações de phishing tradicionais apresentam aos utilizadores mensagens suspeitas e os seguintes objetivos:

  • Faça com que os utilizadores comuniquem a mensagem como suspeita.
  • Fornecer formação após os utilizadores clicarem ou iniciarem o payload malicioso simulado e abdicarem das respetivas credenciais.

No entanto, por vezes, não quer esperar que os utilizadores tomem medidas corretas ou incorretas antes de lhes dar formação. A preparação da simulação de ataques fornece as seguintes funcionalidades para ignorar a espera e ir diretamente para a preparação:

  • Campanhas de formação: uma campanha de Formação é uma atribuição apenas de formação para os utilizadores visados. Pode atribuir formação diretamente sem colocar os utilizadores no teste de uma simulação. As campanhas de formação facilitam a realização de sessões de aprendizagem, como a formação mensal de sensibilização sobre cibersegurança. Para obter mais informações, veja Campanhas de formação em Formação de simulação de ataques.

  • Manuais de instruções em simulações: as simulações baseadas na técnica de engenharia social Guia de Procedimentos não tentam testar os utilizadores. Um Guia de procedimentos é uma experiência de aprendizagem simples que os utilizadores podem ver diretamente na respetiva Caixa de Entrada. Por exemplo, estão disponíveis os seguintes payloads do Guia de Procedimentos incorporados e pode criar o seu próprio (incluindo copiar e personalizar um payload existente):

    • Guia de ensino: Como comunicar mensagens de phishing
    • Guia de Ensino: Como reconhecer e reportar mensagens de phishing QR