Автоматизация моделирования для Обучение эмуляции атак

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В Обучение эмуляции атак в Microsoft 365 E5 или Microsoft Defender для Office 365 план 2 автоматизация моделирования позволяет выполнять несколько неопасных симуляций кибератак в организации. Автоматизация моделирования может содержать несколько методов социальной инженерии и полезных данных и может запускаться по автоматическому расписанию. Создание автоматизации моделирования аналогично созданию отдельного моделирования, за исключением возможности выбора нескольких методов, полезных данных и расписания автоматизации.

Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Чтобы просмотреть все существующие созданные автоматизации моделирования, откройте портал Microsoft Defender по адресу , перейдите на https://security.microsoft.comвкладку >Email & совместной работы>Обучение эмуляции атак>Автомаций и выберите Автоматизация моделирования. Чтобы перейти непосредственно на вкладку Автоматизация , где можно выбрать Автоматизация моделирования, используйте https://security.microsoft.com/attacksimulator?viewid=automations. Вы также можете увидеть автоматизированное моделирование на вкладке Имитации с префиксом AutomatedSimulation_ и именем автоматизации, доступным в столбце Создано.

Для каждой автоматизации моделирования на вкладке автоматизация отображаются следующие сведения. Вы можете отсортировать автоматизацию моделирования, щелкнув доступный заголовок столбца.

  • Название кампании
  • Состояние: Активный, Неактивный или Черновик.
  • Время следующего запуска
  • Дата последнего изменения
  • Создано

Создание автоматизации моделирования

Совет

Инструкции по созданию проверка из этого короткого видео: https://youtu.be/QXElYtr7ZJ0.

Чтобы создать автоматизацию моделирования, выполните следующие действия.

  1. На портале Microsoft Defender по адресу https://security.microsoft.com/перейдите на вкладку Email & совместная работа>Обучение эмуляции атак>Автомации.> Или, чтобы перейти непосредственно на вкладку Автоматизация , где можно выбрать Автоматизация имитации, используйте https://security.microsoft.com/attacksimulator?viewid=automations.

  2. На странице Автоматизация имитации выберите Создать автоматизацию , чтобы запустить мастер автоматизации моделирования.

    Кнопка Создать имитацию на вкладке Автоматизация моделирования в Обучение эмуляции атак на портале Microsoft Defender

    В следующих разделах описаны шаги и параметры конфигурации для создания автоматизации моделирования.

    Примечание.

    В любой момент после того, как вы назовете автоматизацию моделирования в мастере автоматизации моделирования, можно выбрать Сохранить и закрыть , чтобы сохранить ход выполнения и продолжить позже. Неполная автоматизация моделирования имеет значение Состояние Черновик. Вы можете выбрать место, где вы оставили, выбрав автоматизацию имитации в списке и щелкнув появившееся действие Изменить автоматизацию.

Имя и описание автоматизации моделирования

На странице Имя службы автоматизации настройте следующие параметры:

  • Имя. Введите уникальное описательное имя для имитации.
  • Описание. Введите необязательное подробное описание имитации.

Завершив работу на странице Имя службы автоматизации , нажмите кнопку Далее.

Выбор одного или нескольких методов социальной инженерии

На странице Выбор методов социальной инженерии выберите один или несколько доступных методов социальной инженерии, которые были курированы на основе платформы MITRE ATT&CK®. Для разных методов доступны различные полезные данные. Доступны следующие методы социальной инженерии:

  • Сбор учетных данных. Попытки сбора учетных данных путем отправки пользователей на хорошо известный веб-сайт с полями ввода для отправки имени пользователя и пароля.
  • Вложение вредоносных программ. Добавляет вредоносное вложение в сообщение. Когда пользователь открывает вложение, выполняется произвольный код, который помогает злоумышленнику скомпрометировать устройство целевого объекта.
  • Ссылка во вложении. Тип гибридного сбора учетных данных. Злоумышленник вставляет URL-адрес во вложение электронной почты. URL-адрес во вложении использует тот же метод, что и сбор учетных данных.
  • Ссылка на вредоносную программу. Выполняет произвольный код из файла, размещенного в известной службе общего доступа к файлам. Сообщение, отправленное пользователю, содержит ссылку на этот вредоносный файл. Открытие файла помогает злоумышленнику взломать устройство целевого объекта.
  • URL-адрес диска. Вредоносный URL-адрес в сообщении переносит пользователя на знакомый веб-сайт, который автоматически запускается и (или) устанавливает код на устройстве пользователя.
  • Предоставление согласия OAuth. Вредоносный URL-адрес запрашивает у пользователей разрешения на доступ к данным для вредоносного приложение Azure.

Если щелкнуть ссылку Просмотреть сведения в описании, откроется всплывающее окно со сведениями о методе и шагах моделирования, полученных в результате этого метода.

Всплывающее окно

Завершив работу на странице Выбор методов социальной инженерии , нажмите кнопку Далее.

Выбор полезных данных и страниц входа

На странице Выбор полезных данных и входа необходимо выбрать по крайней мере одну имеющуюся полезную нагрузку для каждого выбранного метода социальной инженерии или создать новые полезные данные для использования.

Для методов социальной инженерии Credential Harvest или Link in Attachment можно также просмотреть страницу входа, которая используется в полезных данных, выбрать другую страницу входа или создать новую страницу входа для использования. Выбранная страница входа будет использоваться для различных выбранных полезных данных.

Выбор полезных данных

На странице Выбор полезных данных и входа выберите один из следующих параметров:

  • Рандомизация. Полезные данные будут выбраны случайным образом из доступных глобальных полезных данных и полезных данных клиента. На этой странице больше ничего не нужно настраивать, поэтому нажмите кнопку Далее , чтобы продолжить.

  • Выберите вручную. Для каждой полезной нагрузки отображаются следующие сведения. Выберите заголовок столбца для сортировки по столбцу:

    • Имя полезных данных
    • Источник: для встроенных полезных данных значение Global. Для пользовательских полезных данных значением является Tenant.
    • Метод. Необходимо выбрать по крайней мере одну полезную нагрузку для каждого метода, выбранного на странице Выбор методов социальной инженерии .
    • Язык: язык содержимого полезных данных. Каталог полезных данных Майкрософт (глобальный) предоставляет полезные данные на более чем 29 языках.
    • Прогнозируемая скорость компрометации (%): исторические данные в Microsoft 365, которые прогнозируют процент пользователей, которые будут скомпрометированы этой полезной нагрузкой (скомпрометированные пользователи или общее число пользователей, получающих полезные данные). Дополнительные сведения см. в разделе Прогнозируемая скорость компрометации.

    Используйте поле Поиск для поиска имени существующих полезных данных.

    Если выбрать полезные данные из списка, щелкнув в любом месте строки, кроме поля проверка рядом с именем, подробные сведения о полезных данных отображаются во всплывающем элементе:

    • Вкладка Обзор (с именами "Полезные данные" в службе "Сбор учетных данных" и "Ссылка в полезных данных вложения") содержит сведения о полезных данных, включая предварительный просмотр.
    • Вкладка Страница входа доступна только для полезных данных Credential Harvest или Link in Attachment (Полезные данные вложения ) и описана в подразделе Выбор страниц входа .
    • Вкладка Вложение доступна только для полезных данных "Вложение вредоносных программ", "Ссылка во вложении" и "Предоставление согласия Oauth". Эта вкладка содержит сведения о вложении, включая предварительный просмотр.
    • Вкладка Имитация запущена содержит имя имитации, частоту щелчков, скомпрометированную частоту и действие.

    Совет

    Чтобы просмотреть сведения о других полезных данных, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

    Оставьте всплывающий элемент сведений о полезных данных открытым, чтобы изменить страницу входа или создать новую страницу входа для использования, как описано в следующих подразделах.

    Или, если вы закончили во всплывающем окне сведений о полезных данных, нажмите кнопку Закрыть, чтобы вернуться на страницу Выбор полезных данных и входа, убедитесь, что выбрана одна или несколько необходимых полезных данных, а затем нажмите кнопку Далее, чтобы продолжить.

    Вкладка Полезные данные во всплывающем меню сведений о полезных данных в Обучение эмуляции атак на портале Microsoft Defender

Выбор страниц входа

Примечание.

Вкладка "Страница входа " доступна только во всплывающем всплывающем элементе "Сбор учетных данных " или "Ссылка в полезных данных вложения".

На странице Выбор полезных данных и входа выберите полезные данные Credential Harvest или Link in Attachment (Ссылка во вложении) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о полезных данных.

Во всплывающем элементе сведений о полезных данных на вкладке Страница входа отображается страница входа, выбранная для полезных данных.

Чтобы просмотреть полную страницу входа, используйте ссылки Страницы 1 и Страница 2 в нижней части страницы для двухстраничных страниц входа.

Вкладка страницы входа во всплывающем элементе сведений о полезных данных в Обучение эмуляции атак на портале Microsoft Defender

Используйте одну из следующих процедур, чтобы изменить страницу входа, используемую в полезных данных, или создать новую страницу входа для использования во всплывающем элементе:

  • Изменение страницы входа, используемой в полезных данных. Выберите Изменить страницу входа на вкладке Страница входа всплывающего меню сведений о полезных данных.

    Во всплывающем окне Выбор входа для каждой страницы входа отображаются следующие сведения:

    • Название
    • Language
    • Источник: для встроенных страниц входа значение Global. Для пользовательских страниц входа значение — Tenant.
    • Создано: для встроенных страниц входа используется значение Майкрософт. Для пользовательских страниц входа значением является имя участника-пользователя, создавшего страницу входа.
    • Дата последнего изменения
    • Действия. Выберите Предварительный просмотр , чтобы просмотреть страницу входа.

    Используйте поле Поиск, чтобы найти страницу входа в списке, введя часть имени входа, а затем нажав клавишу ВВОД.

    Выберите Фильтр , чтобы отфильтровать страницы входа по источнику или языку.

    По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

    Всплывающее окно Выбор страницы входа на вкладке Страница входа в полезных данных всплывающий элемент сведения о полезных данных в Обучение эмуляции атак на портале Microsoft Defender.

    Во всплывающем окне Выбор страницы входа выберите поле проверка рядом с именем используемой страницы входа, а затем нажмите кнопку Сохранить. На вкладке "Вход" всплывающего окна сведений о полезных данных нажмите кнопку Закрыть , чтобы вернуться на страницу Выбор полезных данных и страницы входа .

  • Создание новой страницы входа для использования в полезных данных. Выберите Изменить страницу входа на вкладке Страница входа во всплывающем меню сведений о полезных данных.

    Во всплывающем окне Выбор входа выберите Создать.

    Действия по созданию выполняются так же, как и на вкладке Обучение эмуляции атак>Выбор библиотекиКонтентов>Страницы>входа в клиент. Инструкции см. в разделе Создание страниц входа.

    Вернитесь на всплывающее окно Выбор страницы входа, выберите поле проверка рядом с именем используемой страницы входа, а затем нажмите кнопку Сохранить. На вкладке "Вход" всплывающего окна сведений о полезных данных нажмите кнопку Закрыть , чтобы вернуться на страницу Выбор полезных данных и страницы входа .

На странице Выбор полезных данных и входа убедитесь, что выбраны полезные данные, которые вы настроили и (или) хотите использовать.

Завершив работу на странице Выбор полезных данных и входа , нажмите кнопку Далее.

Настройка полезных данных OAuth

Примечание.

Эта страница доступна только в том случае, если вы выбрали предоставление согласия OAuth на странице Выбор методов социальной инженерии и соответствующие полезные данные.

На странице Настройка полезных данных OAuth настройте следующие параметры:

  • Имя приложения. Введите имя полезных данных.
  • Логотип приложения: нажмите кнопку Обзор , чтобы выбрать файл .png, .jpeg или .gif. Чтобы удалить файл после его выбора, нажмите кнопку Удалить.
  • Выберите область приложения. Выберите одно из следующих значений:
    • Чтение пользовательских календарей
    • Чтение контактов пользователя
    • Чтение почты пользователя
    • Чтение всех сообщений чата
    • Чтение всех файлов, доступных пользователю
    • Доступ для чтения и записи к почте пользователя
    • Отправка почты от имени пользователя

По завершении работы на странице Настройка полезных данных OAuth нажмите кнопку Далее.

Целевая аудитория

На странице Целевые пользователи выберите, кто получает имитацию. Используйте следующие параметры для выбора пользователей:

  • Включить всех пользователей в организации. Включите всех пользователей в организацию. Список неизменяемых пользователей отображается в группах по 10 человек. Для прокрутки списка можно использовать следующие и предыдущие под списком пользователей. Вы также можете использовать поиск на странице для поиска определенных пользователей.

  • Включение только определенных пользователей и групп. Сначала на странице Целевые пользователи не отображаются никакие пользователи или группы. Чтобы добавить пользователей или группы в имитацию, выберите один из следующих вариантов:

    • Добавление пользователей. Во всплывающем окне Добавление пользователей найдите и выберите пользователей и группы для получения имитации. Поддерживаются следующие типы групп:

      • Группы Microsoft 365 (статические и динамические)
      • Группы рассылки (только статические)
      • Группы безопасности с поддержкой почты (только статические)

      Доступны следующие средства поиска:

      • Поиск пользователей или групп. Если щелкнуть в поле Поиск и выполнить одно из следующих действий, параметры Фильтровать пользователей по категориям во всплывающем окне Добавление пользователей будут заменены на раздел Список пользователей.

        • Введите три или более символов, а затем нажмите клавишу ВВОД. Имена пользователей или групп, содержащие эти символы, отображаются в разделе Список пользователей по имени и Email.
        • Введите менее трех символов или без символов, а затем нажмите клавишу ВВОД. Пользователи не отображаются в разделе Список пользователей , но вы можете ввести три или более символов в поле Поиска для поиска пользователей и групп.

        Количество результатов отображается в метке Выбранные пользователи (0/x).

        Примечание.

        Если выбрать Добавить фильтры , все результаты будут удалены и заменены в разделе Список пользователейна Фильтр пользователей по категориям.

        При наличии списка пользователей или групп в разделе Список пользователей выберите некоторые или все результаты, выбрав поле проверка рядом со столбцом Имя. Количество выбранных результатов отображается в метке Выбранные (y/x) пользователи .

        Выберите Добавить x пользователей , чтобы добавить выбранных пользователей или группы на страницу Целевые пользователи и вернуться на страницу Целевые пользователи .

      • Фильтрация пользователей по категориям. Используйте следующие параметры:

        • Рекомендуемые группы пользователей. Выберите из следующих значений:

          • Все предлагаемые группы пользователей: результат, аналогичный выбору пользователей, не предназначенных для имитации за последние три месяца , и повторных правонарушителей.
          • Пользователи, не на которые симуляция за последние три месяца
          • Повторные правонарушители. Дополнительные сведения см. в разделе Настройка порогового значения для повторных правонарушителей.
        • Теги пользователей. Теги пользователей — это идентификаторы для определенных групп пользователей (например, учетных записей с приоритетом). Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365. Используйте следующие параметры:

          • Поиск. В разделе Поиск по тегам пользователей можно ввести часть имени тега пользователя и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите Все теги пользователей
          • Выберите существующие теги пользователей. Если ссылка доступна, выберите Просмотреть все теги пользователей , чтобы просмотреть полный список доступных тегов.
        • Город: используйте следующие параметры:

          • Поиск. В поле Поиск по городу можно ввести часть значения City и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите все города
          • Выберите существующие значения City. Если ссылка доступна, выберите Просмотреть все города , чтобы просмотреть полный список доступных значений Города.
        • Страна: используйте следующие параметры:

          • Поиск. В поле Поиск по стране можно ввести часть значения Страна, а затем нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите все страны
          • Выберите существующие значения City. Если ссылка доступна, выберите Просмотреть все страны , чтобы просмотреть полный список доступных значений страны.
        • Отдел. Используйте следующие параметры:

          • Поиск. В разделе Поиск по отделу можно ввести часть значения Department и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите Все отделы
          • Выберите существующие значения Отдела. Если ссылка доступна, выберите Просмотреть все отделы , чтобы просмотреть полный список доступных значений отделов.
        • Заголовок: используйте следующие параметры:

          • Поиск. В поле Поиск по заголовку можно ввести часть значения Title и нажать клавишу ВВОД. Вы можете выбрать некоторые или все результаты.
          • Выберите все заголовок
          • Выберите существующие значения заголовка. Если ссылка доступна, выберите Просмотреть все заголовки , чтобы просмотреть полный список доступных значений заголовков.

        Фильтрация пользователей на странице Целевые пользователи в Обучение эмуляции атак на портале Microsoft Defender.

        Для поиска пользователей и групп можно использовать некоторые или все категории поиска. При выборе нескольких категорий используется оператор AND. Все пользователи или группы должны соответствовать обоим значениям, возвращаемым в результатах (что практически невозможно при использовании значения All в нескольких категориях).

        Рядом с плиткой категории отображается количество значений, которые использовались в качестве условий поиска для определенной категории (например, "Город 50 " или "Приоритетные учетные записи 10").

        Завершив поиск по категориям, нажмите кнопку Применить(x). Предыдущие параметры Фильтровать пользователей по категориям во всплывающем окне Добавление пользователей заменяются следующими сведениями:

        • Раздел "Фильтры": отображение количества использованных значений фильтра и имен значений фильтра. Если он доступен, выберите ссылку Просмотреть все , чтобы просмотреть все значения фильтра.
        • Раздел списка пользователей : отображает пользователей или группы, которые соответствуют поисковым запросам по категориям. Количество результатов отображается в метке Выбранные пользователи (0/x).

        При наличии списка пользователей или групп в разделе Список пользователей выберите некоторые или все результаты, выбрав поле проверка рядом со столбцом Имя. Количество выбранных результатов отображается в метке Выбранные (y/x) пользователи .

        Нажмите кнопку Добавить x пользователей , чтобы добавить выбранных пользователей или группы на страницу Целевые пользователи и вернуться на страницу Целевые пользователи .

    • Импорт. В открывшемся диалоговом окне укажите CSV-файл, содержащий один адрес электронной почты на строку.

      После того как вы найдете CSV-файл, пользователи импортируются и отображаются на странице Целевые пользователи .

    На странице main Целевые пользователи можно найти выбранных пользователей в поле Поиск. Вы также можете выбрать Удалить , а затем Подтвердить в диалоговом окне подтверждения, чтобы удалить определенных пользователей.

    Чтобы добавить больше пользователей и групп, выберите Добавить пользователей или Импорт на странице Целевые пользователи и повторите предыдущие шаги.

По завершении на странице Целевые пользователи нажмите кнопку Далее.

Назначение обучения

На странице Назначение обучения можно назначить учебные курсы для имитации. Рекомендуется назначать обучение для каждой имитации, так как сотрудники, проходящие обучение, менее подвержены подобным атакам.

Используйте следующие параметры на странице, чтобы назначить учебные курсы в рамках моделирования:

  • Раздел параметров. В разделе Выбор предпочтительного содержимого обучения выберите один из следующих параметров в раскрывающемся списке:

    • Учебный опыт Майкрософт (рекомендуется): это значение по умолчанию. Это значение имеет следующие связанные параметры для настройки на странице:

      • Выберите одно из следующих значений:
        • Назначение обучения для меня (рекомендуется): это значение по умолчанию. Мы назначаем обучение на основе предыдущего моделирования и результатов обучения пользователя.
        • Выберите учебные курсы и модули самостоятельно. Если вы выберете это значение, следующим шагом в мастере будет задание обучения , где можно найти и выбрать учебные курсы. Эти шаги описаны в подразделе Назначение обучения .
      • Раздел Срок выполнения. В разделе Выберите дату окончания обучения выберите одно из следующих значений:
        • 30 дней после завершения моделирования (это значение по умолчанию)
        • Через 15 дней после завершения моделирования
        • 7 дней после завершения моделирования
    • Перенаправление на пользовательский URL-адрес. Это значение имеет следующие связанные параметры для настройки на странице:

      • URL-адрес пользовательского обучения (обязательно)
      • Пользовательское имя обучения (обязательно)
      • Описание пользовательского обучения
      • Настраиваемая продолжительность обучения (в минутах): значение по умолчанию равно 0, что означает, что для обучения нет указанной длительности.
      • Раздел Срок выполнения. В разделе Выберите дату окончания обучения выберите одно из следующих значений:
        • 30 дней после завершения моделирования (это значение по умолчанию)
        • Через 15 дней после завершения моделирования
        • 7 дней после завершения моделирования
    • Нет обучения. Если вы выбрали это значение, единственным параметром на странице является Далее.

Завершив работу на странице Назначение обучения , нажмите кнопку Далее.

Задание на обучение

Примечание.

Эта страница доступна, только если вы выбрали Выбрать учебные курсы и модули самостоятельно на странице Назначить обучение .

На странице Задание обучения выберите учебные курсы, которые нужно добавить в симуляцию, выбрав Добавить учебные курсы.

Во всплывающем окне Добавление обучения используйте следующие вкладки, чтобы выбрать учебные курсы для включения в симуляцию:

  • Вкладка "Рекомендуемые". Отображает рекомендуемые встроенные учебные курсы на основе конфигурации моделирования. Эти учебные курсы являются теми же учебными курсами, которые были бы назначены, если бы вы выбрали назначить обучение для меня (рекомендуется) на предыдущей странице.
  • Вкладка Все учебные курсы. Отображает все доступные встроенные учебные курсы.

Возможность добавления рекомендуемого обучения на странице Назначения обучения в Обучение эмуляции атак на портале Microsoft Defender

На любой вкладке для каждого обучения отображаются следующие сведения:

  • Имя обучения
  • Источник: значение Global.
  • Длительность (мин)
  • Предварительный просмотр: выберите Предварительный просмотр , чтобы просмотреть обучение.

На любой вкладке можно найти учебные материалы с помощью поля Поиска. Введите часть имени обучения и нажмите клавишу ВВОД.

На любой вкладке выберите одно или несколько учебных занятий, выбрав поле проверка рядом с именем обучения. Чтобы выбрать все учебные курсы, выберите поле проверка в заголовке столбца Имя обучения. Когда вы закончите, нажмите Добавить.

На странице Назначения обучения выбранные учебные курсы теперь перечислены. Для каждого обучения отображаются следующие сведения:

  • Имя обучения
  • Source
  • Длительность (мин)
  • Назначьте: для каждого обучения выберите, кто проходит обучение, выбрав из следующих значений:
    • Все пользователи.
    • Одно или оба значения полезных данных Clicked или Скомпрометированы.
  • Удалить: выберите Удалить , чтобы удалить обучение из имитации.

Страница назначения обучения в Обучение эмуляции атак на портале Microsoft Defender

Завершив работу на странице Задание обучения , нажмите кнопку Далее.

Выбор целевой страницы

На целевой странице Выберите целевую страницу фишинга настройте веб-страницу, на которую отправляются пользователи, если они открывают полезные данные в имитации.

Выберите один из приведенных ниже вариантов.

  • Использовать целевые страницы из библиотеки. Доступны следующие параметры:

    • Раздел Индикаторы полезных данных. Выберите Добавить индикаторы полезных данных в электронную почту, чтобы помочь пользователям узнать, как выявлять фишинговые сообщения.
      • Этот параметр недоступен, если на странице Выбор одного или нескольких методов выбрано вложение вредоносных программ или Ссылка на вредоносные программы.
      • Для целевых страниц, создаваемых на вкладке Целевые страницы клиента , этот параметр имеет смысл только в том случае, если в содержимом целевой страницы используется динамический тегВставка полезных данных , как описано в подразделе Создание целевых страниц .
    • Отображение промежуточной страницы перед целевой страницей. Этот параметр доступен только в том случае, если на странице Выбор одного или нескольких методов выбран URL-адрес диска. Вы можете отобразить наложение, которое возникает для атак по URL-адресу диска. Чтобы скрыть наложение и перейти непосредственно на целевую страницу, не выбирайте этот параметр.

    Оставшаяся часть целевой страницы Выбор фишинга содержит две вкладки, где вы выбираете целевую страницу для использования:

    • Вкладка Глобальные целевые страницы : содержит встроенные целевые страницы. При выборе встроенной целевой страницы для использования, выбрав поле проверка рядом с именем, появится раздел Изменить макет со следующими параметрами:

      • Добавить логотип. Выберите Обзор изображения логотипа , чтобы найти и выбрать файл .png, .jpeg или .gif. Размер логотипа должен быть не более 210 x 70, чтобы избежать искажений. Чтобы удалить логотип, выберите Удалить загруженное изображение логотипа.
      • Выберите язык по умолчанию: этот параметр является обязательным. Выберите одно из следующих значений: китайский (упрощенное письмо),китайский (традиционное письмо, Тайвань),голландский, английский, испанский, французский, немецкий, итальянский, японский, корейский, **португальский или русский.
    • Вкладка целевых страниц клиента : содержит все созданные пользовательские целевые страницы. Чтобы создать целевую страницу, выберите Создать. Действия по созданию выполняются так же, как на вкладке библиотеки Обучение эмуляции атак>Content Целевые >страницы целевых страниц клиентов>. Инструкции см. в разделе Создание целевых страниц.

    На обеих вкладках для каждой целевой страницы отображаются следующие сведения. Вы можете отсортировать целевые страницы, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой (*):

    • Имя*
    • Язык*. Если целевая страница содержит несколько переводов, первые два языка отображаются напрямую. Чтобы просмотреть остальные языки, наведите указатель мыши на значок числа (например, +10).
    • Source
    • Язык по умолчанию*
    • Статус*
    • Связанные симуляции*
    • Создано
    • Время создания*
    • Изменено*
    • Последнее изменение*

    Чтобы найти целевую страницу в списке, введите часть имени целевой страницы в поле Поиск и нажмите клавишу ВВОД.

    Выберите Фильтр , чтобы отфильтровать целевые страницы по языку.

    При выборе целевой страницы, если щелкнуть в любом месте строки, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения о целевой странице:

    • На вкладке Предварительный просмотр отображается, как выглядит целевая страница для пользователей.
    • На вкладке Сведения отображаются свойства целевой страницы.

    Совет

    Чтобы просмотреть сведения о других целевых страницах, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

    По завершении во всплывающем окне сведений о целевой странице нажмите кнопку Закрыть.

    На странице Выбор целевой страницы фишинга выберите целевую страницу для использования, выбрав поле проверка рядом со столбцом Имя.

  • Использовать пользовательский URL-адрес. Этот параметр недоступен, если на странице Выбор методов социальной инженерии выбрано вложение вредоносных программ или Ссылка на вредоносные программы.

    При выборе параметра Использовать настраиваемый URL-адрес необходимо добавить URL-адрес в появившемся поле Введите URL-адрес настраиваемой целевой страницы . Другие параметры не доступны на целевой странице Выбора фишинга .

Завершив работу на целевой странице Выбор фишинга , нажмите кнопку Далее.

Выбор уведомлений конечных пользователей

На странице Выбор уведомления конечного пользователя выберите один из следующих вариантов уведомлений:

  • Не доставляйте уведомления. Другие параметры конфигурации на странице недоступны. Пользователи не получают уведомления о назначении обучения, уведомления о напоминаниях об обучении или уведомления о положительном подкреплении из имитации. В диалоговом окне предупреждения выберите Продолжить .

  • Уведомление Майкрософт по умолчанию (рекомендуется): уведомления, получаемые пользователями, отображаются на странице:

    • Уведомление о положительном подкреплении Майкрософт по умолчанию
    • Уведомление Майкрософт о назначении обучения по умолчанию
    • Уведомление о напоминании об обучении майкрософт по умолчанию

    Выберите язык по умолчанию для использования в разделе Выбор языка по умолчанию. Доступные значения: китайский (упрощенное письмо),китайский (традиционное письмо, Тайвань),английский, французский, немецкий, итальянский, японский, корейский, португальский, русский, испанский, голландский, польский, арабский, финский, греческий, венгерский, индонезийский, норвежский букмол, румынский, словацкий, шведский, тайский, турецкий, вьетнамский, каталанский, хорватский или словенский.

    Для каждого уведомления доступны следующие сведения:

    • Уведомления: имя уведомления.

    • Язык. Если уведомление содержит несколько переводов, первые два языка отображаются напрямую. Чтобы просмотреть остальные языки, наведите указатель мыши на значок числа (например, +10).

    • Тип: одно из следующих значений:

      • Уведомление о положительном подкреплении
      • Уведомление о назначении обучения
      • Уведомление с напоминанием об обучении
    • Параметры доставки. Прежде чем продолжить, необходимо настроить следующие параметры доставки:

      • Для уведомления Майкрософт о положительном подкреплении по умолчанию выберите Не доставлять, Доставить после окончания кампании или Доставить во время кампании.
      • Для уведомления о напоминании об обучении майкрософт по умолчанию выберите Два раза в неделю или Еженедельно.
    • Действия. Если выбрать Вид, откроется страница уведомления о проверке со следующими сведениями:

      • Вкладка "Предварительный просмотр": просмотрите сообщение с уведомлением по мере его просмотра пользователями.
        • Чтобы просмотреть сообщение на разных языках, используйте поле Выбрать язык .
        • Используйте поле Выбор полезных данных для предварительного просмотра , чтобы выбрать сообщение уведомления для имитаций, содержащих несколько полезных данных.
      • Вкладка "Сведения": просмотр сведений об уведомлении:
        • Описание уведомления
        • Источник: для встроенных уведомлений значение Global. Для пользовательских уведомлений значение — Tenant.
        • Тип уведомления: один из следующих типов на основе первоначально выбранного уведомления:
          • Уведомление о положительном подкреплении
          • Уведомление о назначении обучения
          • Уведомление с напоминанием об обучении
        • Изменено
        • Дата последнего изменения

      Завершив работу на странице Уведомления о проверке , нажмите кнопку Закрыть , чтобы вернуться на страницу Выберите уведомление пользователя .

  • Настраиваемые уведомления конечных пользователей. Другие параметры конфигурации не доступны на странице. При нажатии кнопки Далее необходимо выбрать уведомление о назначении обучения, уведомление напоминание об обучении и (при необходимости) уведомление о положительном подкреплении для имитации, как описано в следующих трех подразделах.

Завершив работу на странице Выберите уведомление конечного пользователя , нажмите кнопку Далее.

Выбор уведомления о назначении обучения

Примечание.

Эта страница доступна только в том случае, если вы выбрали Настраиваемые уведомления конечного пользователя на странице Выбор уведомлений конечного пользователя .

На странице Уведомления о назначении обучения отображаются следующие уведомления и настроенные языки:

  • Уведомление Майкрософт о назначении обучения по умолчанию
  • Уведомление о назначении только для обучения кампании майкрософт по умолчанию
  • Все настраиваемые уведомления о назначении обучения, созданные ранее.

Эти уведомления также доступны на вкладке >библиотеки Обучение эмуляции атак>ContentДля конечных пользователей:

Дополнительные сведения см. в разделе Уведомления конечных пользователей для Обучение эмуляции атак.

Выполните одно из следующих действий:

  • Выберите существующее уведомление для использования:

    • Чтобы найти существующее уведомление в списке, введите часть имени уведомления в поле Поиск и нажмите клавишу ВВОД.

    • При выборе уведомления, щелкнув в любом месте строки, кроме поля проверка, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения об уведомлении:

      • На вкладке Предварительный просмотр отображается, как выглядит уведомление для пользователей.
      • На вкладке Сведения отображаются свойства уведомления.

      Завершив работу во всплывающем окне сведений о уведомлениях, нажмите кнопку Закрыть.

    На странице Уведомления о назначении обучения выберите уведомление для использования, выбрав поле проверка рядом с именем.

  • Создайте новое уведомление для использования: выберите Создать. Действия по созданию идентичны созданию уведомлений конечных пользователей.

    Примечание.

    На странице Определение сведений мастера нового уведомления обязательно выберите значение Уведомление о назначении обучения для типа уведомления.

    Когда вы закончите создание уведомления, вы вернеесь на страницу уведомления о назначении обучения , где новое уведомление теперь отображается в списке для выбора.

Завершив работу на странице уведомления о назначении обучения , нажмите кнопку Далее.

Выберите уведомление с напоминанием об обучении

Примечание.

Эта страница доступна только в том случае, если вы выбрали Настраиваемые уведомления конечного пользователя на странице Выбор уведомлений конечного пользователя .

На странице уведомления с напоминанием об обучении отображаются следующие уведомления и настроенные для их языков:

  • Уведомление о напоминании об обучении майкрософт по умолчанию
  • Уведомление о напоминании об обучении только для кампании майкрософт по умолчанию
  • Все ранее созданные уведомления о напоминаниях о пользовательском обучении.

Эти уведомления также доступны на вкладке >библиотеки Обучение эмуляции атак>ContentДля конечных пользователей:

Дополнительные сведения см. в разделе Уведомления конечных пользователей для Обучение эмуляции атак.

В разделе Настройка частоты для уведомлений с напоминанием выберите Еженедельно (значение по умолчанию) или Дважды в неделю, а затем выполните одно из следующих действий.

  • Выберите существующее уведомление для использования:

    • Чтобы найти существующее уведомление в списке, введите часть имени уведомления в поле Поиск и нажмите клавишу ВВОД.

    • При выборе уведомления, щелкнув в любом месте строки, кроме поля проверка, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения об уведомлении:

      • На вкладке Предварительный просмотр отображается, как выглядит уведомление для пользователей.
      • На вкладке Сведения отображаются свойства уведомления.

      Завершив работу во всплывающем окне сведений о уведомлениях, нажмите кнопку Закрыть.

    На странице Уведомления о напоминании об обучении выберите уведомление для использования, выбрав поле проверка рядом с именем.

  • Создайте новое уведомление для использования: выберите Создать. Действия по созданию идентичны созданию уведомлений конечных пользователей.

    Примечание.

    На странице Определение сведений нового мастера уведомлений обязательно выберите значение Уведомление обучающего напоминания для типа уведомления.

    Завершив создание уведомления, вы вернеесь на страницу уведомления с напоминанием об обучении , где новое уведомление теперь отображается в списке для выбора.

По завершении работы на странице уведомления о напоминании об обучении нажмите кнопку Далее.

Выбор положительного уведомления о подкреплении

Примечание.

Эта страница доступна только в том случае, если вы выбрали Настраиваемые уведомления конечного пользователя на странице Выбор уведомлений конечного пользователя .

В разделе Параметры доставки доступны следующие параметры для уведомлений о положительном подкреплении.

  • Не используйте положительные уведомления о подкреплении. Выберите Не доставляйте. На странице больше ничего не нужно настраивать, поэтому при нажатии кнопки Далее вы перейдете на страницу расписания имитации.

  • Используйте существующее положительное уведомление о подкреплении. Выберите одно из оставшихся значений:

    • Доставка после того, как пользователь сообщит о фишинге и завершении кампании
    • Доставить сразу после того, как пользователь сообщит о фишинге.

    На странице отображаются следующие уведомления и настроенные языки:

    • Уведомление о положительном подкреплении Майкрософт по умолчанию
    • Все созданные ранее настраиваемые уведомления о положительном подкреплении.

    Эти уведомления также доступны на вкладке >библиотеки Обучение эмуляции атак>ContentДля конечных пользователей:

    Дополнительные сведения см. в разделе Уведомления конечных пользователей для Обучение эмуляции атак.

    Чтобы найти существующее уведомление в списке, введите часть имени уведомления в поле Поиск и нажмите клавишу ВВОД.

    При выборе уведомления, щелкнув в любом месте строки, кроме поля проверка, откроется всплывающее окно сведений, в которое будут отображаться дополнительные сведения об уведомлении:

    • На вкладке Предварительный просмотр отображается, как выглядит уведомление для пользователей.
    • На вкладке Сведения отображаются свойства уведомления.

    Завершив работу во всплывающем окне сведений о уведомлениях, нажмите кнопку Закрыть.

    На странице Положительное уведомление о подкреплении выберите существующее уведомление, чтобы использовать, выбрав поле проверка рядом с именем.

  • Создайте новое положительное уведомление о подкреплении для использования: выберите Создать. Действия по созданию идентичны созданию уведомлений конечных пользователей.

    Примечание.

    На странице Определение сведений нового мастера уведомлений обязательно выберите значение Положительное уведомление с подкреплением для типа уведомления.

    Когда вы закончите создание уведомления, вы вернеесь на страницу Положительное уведомление с подкреплением , где новое уведомление теперь отображается в списке для выбора.

Завершив работу на странице Уведомления о положительном подкреплении , нажмите кнопку Далее.

Расписание моделирования

На странице Расписание имитации выберите одно из следующих значений:

  • Рандомизировано. Вам по-прежнему нужно выбрать расписание на следующей странице, но моделирование будет запускаться в случайное время в пределах расписания.
  • Исправлено. Моделирование будет запускаться в определенный день в соответствии с выбранным расписанием.

По завершении нажмите кнопку Далее.

Сведения о расписании

То, что вы видите на странице Сведения о расписании , зависит от того, выбрали ли вы случайное или фиксированное для расписания моделирования на предыдущей странице.

  • Расписание случайного моделирования. Доступны следующие параметры:

    • Раздел Запуска автоматизации. Выберите дату, с которой вы хотите начать автоматизацию, чтобы выбрать дату начала моделирования. Вы можете выбрать любую будущую дату до года.

    • Раздел Области автоматизации. Настройте следующие параметры:

      • Выберите дни недели, в которых можно начать моделирование: выберите один или несколько дней недели.
      • Введите максимальное количество симуляций, которые можно запустить между датами начала и окончания. Введите значение от 1 до 10. Это число также определяет количество используемых полезных данных. Если вы выберете больше полезных данных, чем имитации, например, 12 полезных данных для 10 симуляций, будут использоваться любые 10 из 12 полезных данных. Если вы выберете меньше полезных данных, чем имитации, например 5 полезных данных для 8 симуляций, некоторые полезные данные будут повторяться, чтобы охватить все симуляции, если вы не выбрали Использовать уникальные полезные нагрузки для моделирования в рамках автоматизации в разделе Сведения о запуске.
      • Случайный выбор времени суток, в течение симуляционного сообщения электронной почты для доставки. Выберите Случайный выбор времени отправки , чтобы рандомизировать время отправки. Это пошатнет доставку электронной почты в течение 12 часов.
    • Раздел Завершения автоматизации. Выберите дату окончания автоматизации, чтобы выбрать дату окончания моделирования. Вы можете выбрать любую будущую дату до года.

      Совет

      В день запускается только одна имитация, поэтому рекомендуется выбрать по крайней мере столько дней, сколько вы хотите, чтобы симуляции выполнялись.

  • Фиксированное расписание моделирования. Доступны следующие параметры:

    • Раздел Запуска автоматизации. Выберите дату начала моделирования, чтобы выбрать дату начала моделирования. Вы можете выбрать любую будущую дату до года.

    • Раздел Повторение службы автоматизации. Настройте следующие параметры:

      • Выберите, нужно ли запускать симуляции еженедельно или ежемесячно: выберите Еженедельно (по умолчанию) или Ежемесячно.
      • Введите интервал между запусками автоматизации. Введите значение от 1 до 99. Например, если вы хотите выполнять симуляцию каждую неделю, введите значение 1. Если вы хотите запустить альтернативные недели, введите 2 и т. д. Аналогичным образом, если вы хотите выполнять симуляции ежеквартально, введите 3.
      • Выберите день недели, с которого должны начинаться симуляции. Для еженедельных симуляций выберите день недели, с которой начнется моделирование.
      • Введите день месяца, с которого вы хотите начать симуляции: Для ежемесячного моделирования введите день в месяце, когда симуляция начинается. Введите значение от 1 до 31.
    • Раздел завершения автоматизации. Выберите одно из следующих значений:

      • Выберите дату окончания автоматизации, чтобы выбрать дату окончания моделирования.
      • Введите число вхождений имитаций, выполняемых до окончания, чтобы ввести значение от 1 до 10.

По завершении на странице Сведения о расписании нажмите кнопку Далее.

Сведения о запуске

На странице Сведения о запуске настройте следующие дополнительные параметры для автоматизации:

  • Использование уникальных полезных данных для моделирования в разделе автоматизации . По умолчанию уникальные полезные данные не выбраны . Убедитесь, что вы выбрали достаточно полезных данных для количества симуляций, которые вы хотите запустить. Если у вас меньше полезных данных, чем в симуляциях, которые вы хотите запустить, будет использоваться только часть пользователей (вычисляется как отношение количества полезных нагрузок по количеству симуляций).

  • Целевая аудитория всех выбранных пользователей в каждом разделе выполнения имитации . По умолчанию целевые пользователи делятся между разными симуляциями. При выборе этого параметра все выбранные целевые пользователи будут включены в каждый запуск имитации. Убедитесь, что вы выбрали столько полезных данных, сколько нужно выполнить симуляции; В противном случае полезные данные начнут повторяться.

  • Раздел Целевые повторные правонарушители . По умолчанию не выбран целевой объект для повторных правонарушителей . Если вы выберете его, используйте введите максимальное количество раз, когда пользователь может быть выбран в рамках этой автоматизации , которая, как представляется, вводит значение от 1 до 10.

  • Отправка симуляционного сообщения электронной почты на основе текущего параметра часового пояса пользователя из раздела Веб-приложение Outlook . По умолчанию параметр Включить доставку с учетом региона не выбран.

Завершив работу на странице Сведений о запуске , нажмите кнопку Далее.

Проверка автоматизации моделирования

На странице Проверка автоматизации моделирования можно просмотреть сведения об автоматизации моделирования.

Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

Завершив работу с автоматизацией имитации проверки, нажмите кнопку Отправить.

При создании автоматизации моделирования заголовок страницы меняется на Создание автоматизации, где можно использовать ссылки для включения автоматизации или просмотра всех автоматизации моделирования.

Завершив работу на странице Создание службы автоматизации , нажмите кнопку Готово.

На странице Автоматизация имитации на вкладке Автоматизация созданная автоматизация моделирования теперь отображается со значением Состояние Неактивно.

Чтобы включить автоматизацию моделирования, см. следующий раздел.

Включение или отключение автоматизации моделирования

  • Вы можете включить автоматизацию моделирования со значением Состояние Неактивно.
  • Вы можете отключить автоматизацию моделирования со значением СостояниеАктивно.
  • Вы не можете включить или отключить автоматизацию неполного моделирования с помощью черновикасостояния.

Чтобы включить неактивную автоматизацию моделирования, выберите ее из списка, щелкнув поле проверка рядом с именем. Выберите появилось действие Включить, а затем в диалоговом окне выберите Подтвердить. Значение Состояния изменится на Активно.

Чтобы отключить активную автоматизацию моделирования, выберите ее из списка, щелкнув поле проверка рядом с именем. Выберите появиющееся действие Отключить, а затем в диалоговом окне выберите Подтвердить. Значение Состояние изменится на Неактивно.

Удаление автоматизации моделирования

Чтобы удалить автоматизацию моделирования, выберите ее из списка, щелкнув поле проверка рядом с именем. Выберите отображающееся действие Удалить, а затем в диалоговом окне выберите Подтвердить.

Просмотр сведений об автоматизации моделирования

Для автоматизации моделирования со значением СостояниеАктивно или Неактивно выберите имитацию на странице Автоматизация моделирования, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Открывающееся всплывающее окно сведений содержит следующие сведения:

  • Имя автоматизации моделирования и количество собранных элементов.

  • Вкладка Общие

    • Тип: значение Имитация.
    • Название
    • Описание
    • Разделы условий выполнения . Выберите Изменить , чтобы открыть мастер автоматизации моделирования на связанной странице.
  • Вкладка "Журнал выполнения". Эта вкладка доступна только для автоматизации моделирования со значением СостояниеАктивно или Неактивно.

    Показывает сведения о журнале выполнения имитации.

Совет

Чтобы просмотреть сведения о других автоматизациях моделирования, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего меню.

Просмотр отчетов об автоматизированном симуляции

Отчеты об имитации для автоматизированных кампаний можно просмотреть на вкладке Имитации . Щелкните имя имитации, указав префикс AutomatedSimulation_ и имя автоматизации в столбце Создано. Чтобы просмотреть отчет, щелкните в любом месте строки имитации, кроме проверка поле рядом с именем.

Часто задаваемые вопросы об автоматизации моделирования

В этом разделе содержатся некоторые из наиболее распространенных вопросов об автоматизации моделирования.

Почему в поле Состояние в разделе Автоматизация отображается значение Завершено, а для значения Состояние в разделе Имитации отображается значение Выполняется?

Завершено на странице Автоматизация моделирования означает, что работа по автоматизации моделирования завершена, и симуляции больше не создаются. Имитация — это отдельная сущность, которая будет завершена через 30 дней после запуска имитации.

Почему дата окончания моделирования составляет 30 дней после создания, даже если выбрана дата окончания автоматизации в одну неделю?

Дата окончания одной недели для автоматизации моделирования означает, что новые имитации не создаются после одной недели. Для симуляции, созданных с помощью автоматизации моделирования, дата окончания по умолчанию — 30 дней после создания имитации.

Если не выбрать целевой список всех выбранных пользователей при каждом запуске имитации на странице Сведений о запуске , все целевые пользователи распределяются по максимальному количеству симуляций, созданных автоматизацией моделирования.

Если выбрать Целевые все выбранные пользователи при каждом запуске имитации на странице Сведений о запуске , все целевые пользователи будут частью каждой имитации, созданной автоматизацией моделирования.

Как работает параметр Рандомизировать на странице расписания моделирования?

Параметр Рандомизировать на странице Расписание моделирования оптимально выбирает день в диапазоне начальной и конечной дат для запуска симуляции.

Как работает параметр Рандомизировать на странице Выбор полезных данных и входа?

Параметр Рандомизировать на странице Выбор полезных данных и страниц входа работает следующим образом:

Для каждого запуска выбирается метод социальной инженерии из списка выбранных методов, а затем случайные полезные данные для этого метода будут выбраны из глобальных полезных данных (встроенных ) и полезных данных клиента (пользовательские ). Это позволяет убедиться, что выбранные полезные данные не были частью какого-либо предыдущего запуска для конкретной автоматизации.

При случайном расписании максимальное число симуляций составляет от 1 до 10. Как это работает?

Это максимальное число запусков, которое может быть создано с помощью этой автоматизации. Например, если выбрать значение 10, максимальное число симуляций, которые будут созданы этой автоматизацией, будет равно 10. Количество имитаций может быть меньше в зависимости от количества целевых пользователей и доступности полезных данных.

Если выбрать только один конкретный день между двумя днями (например, среда), сколько симуляций будет отображаться на вкладке Моделирование?

Если между датой начала и окончания есть только одна среда, автоматизация имеет только один допустимый день для отправки моделирования. Даже если вы выбрали более высокое значение для параметра Максимальное число симуляций, это значение перезаписывается на единицу.

Как в настоящее время работает случайное время отправки?

Рандомизировать время отправки работает в пакетах из 1000 пользователей и предназначено для использования с большим количеством целевых пользователей. Если в симуляциях, созданных автоматизациями, задействовано менее 1000 пользователей, для случайной отправки создаются пакеты из 100 пользователей.

Начало использования обучения симуляции атаки

Автоматизация моделирования для Обучение эмуляции атак

Получение аналитики с помощью обучения имитации атаки