Kom igång med Attack simuleringsträning

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I organisationer med Microsoft Defender för Office 365 Abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) kan du använda Övning av attacksimulering i Microsoft Defender för att köra realistiska attackscenarier i din organisation. Dessa simulerade attacker kan hjälpa dig att identifiera och hitta sårbara användare innan en verklig attack påverkar slutresultatet.

Den här artikeln beskriver grunderna i Övning av attacksimulering.

Titta på den här korta videon om du vill veta mer om Övning av attacksimulering.

Obs!

Övning av attacksimulering ersätter den gamla Attack Simulator v1-upplevelsen som var tillgänglig i Security & Compliance Center i Threat Management>Attack-simulatorn eller https://protection.office.com/attacksimulator.

Vad behöver jag veta innan jag börjar?

  • Övning av attacksimulering kräver en licens för Microsoft 365 E5 eller Microsoft Defender för Office 365 plan 2. Mer information om licensieringskrav finns i Licensvillkor.

  • Övning av attacksimulering stöder lokala postlådor, men med begränsade rapporteringsfunktioner. Mer information finns i Rapportera problem med lokala postlådor.

  • Öppna Microsoft Defender-portalen genom att gå till https://security.microsoft.com. Övning av attacksimulering finns på Email och samarbete>Övning av attacksimulering. Om du vill gå direkt till Övning av attacksimulering använder du https://security.microsoft.com/attacksimulator.

  • Mer information om tillgängligheten för Övning av attacksimulering för olika Microsoft 365-prenumerationer finns i Microsoft Defender för Office 365 tjänstbeskrivning.

  • Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

    • Microsoft Entra behörigheter: Du behöver medlemskap i någon av följande roller:

      • Global administratör 1
      • Säkerhetsadministratör
      • Administratörer för attacksimulering²: Skapa och hantera alla aspekter av attacksimuleringskampanjer.
      • Attack Payload Author²: Skapa attacknyttolaster som en administratör kan initiera senare.

      Viktigt

      ² Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

      ² Att lägga till användare i den här rollgruppen i Email & samarbetsbehörigheter i Microsoft Defender-portalen stöds för närvarande inte.

      För närvarande stöds inte Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC).

  • Det finns inga motsvarande PowerShell-cmdletar för Övning av attacksimulering.

  • Attacksimulering och träningsrelaterade data lagras med andra kunddata för Microsoft 365-tjänster. Mer information finns i Microsoft 365-dataplatser. Övning av attacksimulering finns i följande regioner: APC, EUR och NAM. Länder i dessa regioner där Övning av attacksimulering finns tillgängliga är ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE och ZAF.

    Obs!

    NOR, ZAF, ARE och DEU är de senaste tilläggen. Alla funktioner utom rapporterad e-posttelemetri är tillgängliga i dessa regioner. Vi arbetar med att aktivera funktionerna och meddelar kunderna så fort rapporterad telemetri för e-post blir tillgänglig.

  • Övning av attacksimulering är tillgängligt i Microsoft 365 GCC-, GCC High- och DoD-miljöer, men vissa avancerade funktioner är inte tillgängliga i GCC High och DoD (till exempel nyttolastautomatisering, rekommenderade nyttolaster, den förväntade komprometterade hastigheten). Om din organisation har Microsoft 365 G5, Office 365 G5 eller Microsoft Defender för Office 365 (plan 2) för myndigheter kan du använda Övning av attacksimulering enligt beskrivningen i den här artikeln.

Obs!

Övning av attacksimulering erbjuder en delmängd funktioner till E3-kunder som en utvärderingsversion. Utvärderingserbjudandet innehåller möjligheten att använda en nyttolast för autentiseringsuppgifter och möjligheten att välja träningsupplevelser för ISA Phishing eller Mass Market Phishing. Inga andra funktioner ingår i E3-utvärderingserbjudandet.

Simuleringar

En simulering i Övning av attacksimulering är den övergripande kampanjen som levererar realistiska men ofarliga nätfiskemeddelanden till användarna. De grundläggande elementen i en simulering är:

  • Vem får det simulerade nätfiskemeddelandet och enligt vilket schema.
  • Utbildning som användarna får baserat på deras åtgärd eller brist på åtgärd (för både korrekta och felaktiga åtgärder) för det simulerade nätfiskemeddelandet.
  • Nyttolasten som används i det simulerade nätfiskemeddelandet (en länk eller en bifogad fil) och sammansättningen av nätfiskemeddelandet (till exempel paket som levereras, problem med ditt konto eller så vann du ett pris).
  • Den sociala teknik som används. Nyttolasten och den sociala tekniktekniken är nära besläktade.

I Övning av attacksimulering finns flera typer av tekniker för social teknik tillgängliga. Förutom instruktioner har dessa tekniker granskats från MITRE ATT-&CK-ramverket®. Olika nyttolaster är tillgängliga för olika tekniker.

Följande tekniker för social ingenjörskonst finns tillgängliga:

  • Skörd av autentiseringsuppgifter: En angripare skickar ett meddelande till mottagaren som innehåller en länk*. När mottagaren klickar på länken tas de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.

  • Bifogad kod: En angripare skickar ett meddelande till mottagaren som innehåller en bifogad fil. När mottagaren öppnar den bifogade filen körs godtycklig kod (till exempel ett makro) på användarens enhet för att hjälpa angriparen att installera ytterligare kod eller ytterligare befästa sig själva.

  • Länk i bifogad fil: Den här tekniken är en hybrid av en autentiseringsuppgiftsskörd. En angripare skickar ett meddelande till mottagaren som innehåller en länk i en bifogad fil. När mottagaren öppnar den bifogade filen och klickar på länken tas de till en webbplats som vanligtvis visar en dialogruta där användaren uppmanas att ange användarnamn och lösenord. Vanligtvis är målsidan tema för att representera en välkänd webbplats för att skapa förtroende för användaren.

  • Länk till skadlig kod*: En angripare skickar ett meddelande till mottagaren som innehåller en länk till en bifogad fil på en välkänd fildelningswebbplats (till exempel SharePoint Online eller Dropbox). När mottagaren klickar på länken öppnas den bifogade filen och godtycklig kod (till exempel ett makro) körs på användarens enhet för att hjälpa angriparen att installera ytterligare kod eller ytterligare befästa sig själva.

  • Drive-by-URL*: En angripare skickar ett meddelande till mottagaren som innehåller en länk. När mottagaren klickar på länken tas de till en webbplats som försöker köra bakgrundskod. Den här bakgrundskoden försöker samla in information om mottagaren eller distribuera godtycklig kod på enheten. Vanligtvis är målwebbplatsen en välkänd webbplats som har komprometterats eller en klon av en välkänd webbplats. Kännedom om webbplatsen hjälper till att övertyga användaren om att länken är säker att klicka på. Denna teknik är också känd som en vattenhålsattack.

  • Beviljande av OAuth-medgivande*: En angripare skapar en skadlig Azure Application som försöker få åtkomst till data. Programmet skickar en e-postbegäran som innehåller en länk. När mottagaren klickar på länken ber programmets mekanism för beviljande av medgivande om åtkomst till data (till exempel användarens inkorg).

  • Instruktionsguide: En undervisningsguide som innehåller instruktioner för användare (till exempel hur du rapporterar nätfiskemeddelanden).

* Länken kan vara en URL eller en QR-kod.

Url:erna som används av Övning av attacksimulering visas i följande tabell:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Obs!

Kontrollera tillgängligheten för den simulerade nätfiske-URL:en i dina webbläsare som stöds innan du använder URL:en i en nätfiskekampanj. Mer information finns i URL:er för nätfiskesimulering som blockeras av Googles säkra surfning.

Skapa simuleringar

Anvisningar om hur du skapar och startar simuleringar finns i Simulera en nätfiskeattack.

Landningssidan i simuleringen är den plats där användarna går när de öppnar nyttolasten. När du skapar en simulering väljer du den landningssida som ska användas. Du kan välja från inbyggda landningssidor, anpassade landningssidor som du redan har skapat eller skapa en ny landningssida som du kan använda när simuleringen skapas. Information om hur du skapar landningssidor finns i Landningssidor i Övning av attacksimulering.

Slutanvändarmeddelanden i simuleringen skickar periodiska påminnelser till användare (till exempel träningstilldelning och påminnelsemeddelanden). Du kan välja från inbyggda meddelanden, anpassade meddelanden som du redan har skapat eller skapa nya meddelanden som ska användas när simuleringen skapas. Information om hur du skapar meddelanden finns i Slutanvändarmeddelanden för Övning av attacksimulering.

Tips

Simuleringsautomatiseringar ger följande förbättringar jämfört med traditionella simuleringar:

  • Simuleringsautomatiseringar kan innehålla flera tekniker för social teknik och relaterade nyttolaster (simuleringar innehåller bara en).
  • Simuleringsautomatiseringar stöder automatiska schemaläggningsalternativ (mer än bara startdatum och slutdatum i simuleringar).

Mer information finns i Simuleringsautomatiseringar för Övning av attacksimulering.

Nyttolaster

Även om Övning av attacksimulering innehåller många inbyggda nyttolaster för de tillgängliga teknikerna för social teknik kan du skapa anpassade nyttolaster för att bättre passa dina affärsbehov, inklusive kopiering och anpassning av en befintlig nyttolast. Du kan skapa nyttolaster när som helst innan du skapar simuleringen eller när du skapar simuleringen. Information om hur du skapar nyttolaster finns i Skapa en anpassad nyttolast för Övning av attacksimulering.

I simuleringar som använder tekniker för skörd av autentiseringsuppgifter eller länk i sociala tekniker för bifogade filer är inloggningssidor en del av nyttolasten som du väljer. Inloggningssidan är den webbsida där användarna anger sina autentiseringsuppgifter. Varje tillämplig nyttolast använder en standardinloggningssida, men du kan ändra inloggningssidan som används. Du kan välja från inbyggda inloggningssidor, anpassade inloggningssidor som du redan har skapat eller skapa en ny inloggningssida som du kan använda när simuleringen skapas eller nyttolasten skapas. Information om hur du skapar inloggningssidor finns i Inloggningssidor i Övning av attacksimulering.

Den bästa utbildningsupplevelsen för simulerade nätfiskemeddelanden är att göra dem så nära verkliga nätfiskeattacker som din organisation kan uppleva. Vad händer om du kan samla in och använda ofarliga versioner av verkliga nätfiskemeddelanden som har identifierats i Microsoft 365 och använda dem i simulerade nätfiskekampanjer? Du kan med nyttolastautomatiseringar (kallas även nyttolastskörd). Information om hur du skapar nyttolastautomatiseringar finns i Nyttolastautomatiseringar för Övning av attacksimulering.

Övning av attacksimulering stöder även användning av QR-koder i nyttolaster. Du kan välja från listan över inbyggda QR-kodnyttolaster, eller så kan du skapa anpassade QR-kodnyttolaster. Mer information finns i QR-kodnyttolaster i Övning av attacksimulering.

Rapporter och insikter

När du har skapat och starta simuleringen måste du se hur det går. Till exempel:

  • Fick alla det?
  • Vem har gjort vad med det simulerade nätfiskemeddelandet och nyttolasten i det (ta bort, rapportera, öppna nyttolasten, ange autentiseringsuppgifter osv.).
  • Vem som slutförde den tilldelade utbildningen.

Tillgängliga rapporter och insikter för Övning av attacksimulering beskrivs i Insikter och rapporter för Övning av attacksimulering.

Förväntad kompromissfrekvens

Du behöver ofta skräddarsy en simulerad nätfiskekampanj för specifika målgrupper. Om nätfiskemeddelandet är för nära perfekt kommer nästan alla att luras av det. Om det är för misstänkt, kommer ingen att luras av det. Och de nätfiskemeddelanden som vissa användare anser vara svåra att identifiera anses vara lätta att identifiera av andra användare. Så hur gör man för att hitta en balans?

Den förväntade kompromissfrekvensen (PCR) anger den potentiella effektiviteten när nyttolasten används i en simulering. PCR använder intelligenta historiska data i Microsoft 365 för att förutsäga procentandelen personer som kommer att komprometteras av nyttolasten. Till exempel:

  • Nyttolastinnehåll.
  • Aggregerade och anonymiserade kompromissfrekvenser från andra simuleringar.
  • Nyttolastmetadata.

Med PCR kan du jämföra de förutsagda och faktiska klickfrekvenserna för dina nätfiskesimuleringar. Du kan också använda dessa data för att se hur din organisation presterar jämfört med förutsagda resultat.

PCR-information för en nyttolast är tillgänglig oavsett var du visar och väljer nyttolaster, och i följande rapporter och insikter:

Tips

Attacksimulatorn använder säkra länkar i Defender för Office 365 för att på ett säkert sätt spåra klickdata för URL:en i nyttolastmeddelandet som skickas till målmottagare av en nätfiskekampanj, även om inställningen Spåra användares klick i principer för säkra länkar är inaktiverad.

Träning utan trick

Traditionella nätfiskesimuleringar presenterar användare med misstänkta meddelanden och följande mål:

  • Få användarna att rapportera meddelandet som misstänkt.
  • Tillhandahåll utbildning när användarna klickar på eller startar den simulerade skadliga nyttolasten och ger upp sina autentiseringsuppgifter.

Men ibland vill du inte vänta på att användarna ska vidta korrekta eller felaktiga åtgärder innan du ger dem utbildning. Övning av attacksimulering innehåller följande funktioner för att hoppa över väntan och gå direkt till träning:

  • Utbildningskampanjer: En utbildningskampanj är ett utbildningsuppdrag för målanvändare. Du kan tilldela utbildning direkt utan att sätta användarna i test av en simulering. Utbildningskampanjer gör det enkelt att genomföra utbildningssessioner som månatlig utbildning om cybersäkerhetsmedvetenhet. Mer information finns i Utbildningskampanjer i Övning av attacksimulering.

    Tips

    Utbildningsmoduler används i utbildningskampanjer, men du kan också använda träningsmoduler när du tilldelar utbildning i regelbundna simuleringar.

  • Instruktioner i simuleringar: Simuleringar som baseras på instruktioner för social teknik försöker inte testa användare. En instruktioner-guide är en enkel inlärningsupplevelse som användarna kan visa direkt i inkorgen. Följande inbyggda instruktionsguidenyttolaster är till exempel tillgängliga och du kan skapa egna (inklusive kopiering och anpassning av en befintlig nyttolast):

    • Undervisningsguide: Så här rapporterar du nätfiskemeddelanden
    • Undervisningsguide: Så här identifierar och rapporterar du QR-nätfiskemeddelanden

Tips

Övning av attacksimulering innehåller följande inbyggda utbildningsalternativ för QR-kodbaserade attacker:

  • Utbildningsmoduler:
    • Skadliga digitala QR-koder
    • Skadliga utskrivna QR-koder
  • Instruktioner i simuleringar: Undervisningsguide: Så här identifierar och rapporterar du QR-nätfiskemeddelanden