Kom i gang med å bruke Opplæring med simulert angrep

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I organisasjoner med Microsoft Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5), kan du bruke Opplæring med simulert angrep i Microsoft Defender portal for å kjøre realistiske angrepsscenarioer i organisasjonen. Disse simulerte angrepene kan hjelpe deg med å identifisere og finne sårbare brukere før et reelt angrep påvirker bunnlinjen. Les denne artikkelen for å finne ut mer.

Se denne korte videoen for å lære mer om Opplæring med simulert angrep.

Obs!

Opplæring med simulert angrep erstatter den gamle Attack Simulator v1-opplevelsen som var tilgjengelig i Security & Compliance Center ved Threat Management>Attack simulator eller https://protection.office.com/attacksimulator.

Hva må du vite før du begynner?

  • Opplæring med simulert angrep krever en Microsoft 365 E5- eller Microsoft Defender for Office 365 Plan 2-lisens. Hvis du vil ha mer informasjon om lisensieringskrav, kan du se Lisensieringsvilkår.

  • Opplæring med simulert angrep støtter lokale postbokser, men med redusert rapporteringsfunksjonalitet. Hvis du vil ha mer informasjon, kan du se Rapporteringsproblemer med lokale postbokser.

  • Hvis du vil åpne Microsoft Defender-portalen, går du til https://security.microsoft.com. Opplæring med simulert angrep er tilgjengelig på e-post og samarbeid>Opplæring med simulert angrep. Hvis du vil gå direkte til Opplæring med simulert angrep, bruker https://security.microsoft.com/attacksimulatordu .

  • Hvis du vil ha mer informasjon om tilgjengeligheten av Opplæring med simulert angrep på tvers av ulike Microsoft 365-abonnementer, kan du se Microsoft Defender for Office 365 tjenestebeskrivelse.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Det finnes ingen tilsvarende PowerShell-cmdleter for Opplæring med simulert angrep.

  • Angrepssimulering og opplæringsrelaterte data lagres sammen med andre kundedata for Microsoft 365-tjenester. Hvis du vil ha mer informasjon, kan du se Microsoft 365-dataplasseringer. Opplæring med simulert angrep er tilgjengelig i følgende områder: APC, EUR og NAM. Land innenfor disse områdene der Opplæring med simulert angrep er tilgjengelig inkluderer ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE og ZAF.

    Obs!

    ZAF, ARE og DEU er heller ikke de nyeste tilleggene. Alle funksjoner unntatt rapportert e-posttelemetri vil være tilgjengelige i disse områdene. Vi jobber med å aktivere funksjonene og varsler kundene våre så snart rapportert e-posttelemetri blir tilgjengelig.

  • Fra og med september 2023 er Opplæring med simulert angrep tilgjengelig i Microsoft 365 GCC- og GCC High-miljøer, men enkelte avanserte funksjoner er ikke tilgjengelige i GCC High (for eksempel nyttelastautomatisering, anbefalte nyttelaster, den anslåtte kompromitterte satsen). Hvis organisasjonen har Office 365 G5 GCC eller Microsoft Defender for Office 365 (Plan 2) for government, kan du bruke Opplæring med simulert angrep som beskrevet i denne artikkelen. Opplæring med simulert angrep er ennå ikke tilgjengelig i DoD-miljøer.

Obs!

Opplæring med simulert angrep tilbyr et delsett av funksjoner til E3-kunder som en prøveversjon. Prøvetilbudet inneholder muligheten til å bruke en credential harvest nyttelast og muligheten til å velge 'ISA Phishing' eller 'Mass Market Phishing' opplæringsopplevelser. Ingen andre funksjoner er en del av prøveversjonen av E3.

Simuleringer

Phishing er en generell betegnelse for e-postangrep som prøver å stjele sensitiv informasjon i meldinger som ser ut til å være fra legitime eller klarerte avsendere. Phishing er en del av et delsett av teknikker vi klassifiserer som sosial teknikk.

I Opplæring med simulert angrep er flere typer sosial ingeniørteknikk tilgjengelige:

  • Legitimasjonsinnhøsting: En angriper sender mottakeren en melding som inneholder en URL-adresse. Når mottakeren klikker på nettadressen, sendes de til et nettsted som vanligvis viser en dialogboks der brukeren blir bedt om brukernavn og passord. Målsiden er vanligvis tema for å representere et velkjent nettsted for å kunne bygge tillit til brukeren.

  • Vedlegg til skadelig programvare: En angriper sender mottakeren en melding som inneholder et vedlegg. Når mottakeren åpner vedlegget, kjøres tilfeldig kode (for eksempel en makro) på brukerens enhet for å hjelpe angriperen med å installere ekstra kode eller ytterligere entrench seg selv.

  • Kobling i vedlegg: Denne teknikken er en hybrid av en innhøsting av legitimasjon. En angriper sender mottakeren en melding som inneholder en nettadresse i et vedlegg. Når mottakeren åpner vedlegget og klikker på nettadressen, sendes de til et nettsted som vanligvis viser en dialogboks der brukeren blir bedt om brukernavn og passord. Målsiden er vanligvis tema for å representere et velkjent nettsted for å kunne bygge tillit til brukeren.

  • Kobling til skadelig programvare: En angriper sender mottakeren en melding som inneholder en kobling til et vedlegg på et velkjent fildelingsnettsted (for eksempel SharePoint Online eller Dropbox). Når mottakeren klikker på nettadressen, åpnes vedlegget, og tilfeldig kode (for eksempel en makro) kjøres på brukerens enhet for å hjelpe angriperen med å installere ekstra kode eller ytterligere entrench seg selv.

  • Drive-by-url: En angriper sender mottakeren en melding som inneholder en URL-adresse. Når mottakeren klikker på nettadressen, blir de ført til et nettsted som prøver å kjøre bakgrunnskode. Denne bakgrunnskoden prøver å samle inn informasjon om mottakeren eller distribuere tilfeldig kode på enheten. Vanligvis er målnettstedet et velkjent nettsted som har blitt kompromittert eller en klone av et velkjent nettsted. Kjennskap til nettstedet bidrar til å overbevise brukeren om at koblingen er trygg å klikke på. Denne teknikken er også kjent som et vannhullangrep.

  • OAuth Consent Grant: En angriper oppretter et ondsinnet Azure-program som søker å få tilgang til data. Programmet sender en e-postforespørsel som inneholder en nettadresse. Når mottakeren klikker på nettadressen, ber programmet om tilgang til dataene (for eksempel brukerens innboks).

URL-adressene som brukes av Opplæring med simulert angrep er beskrevet i følgende tabell:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Obs!

Kontroller tilgjengeligheten til den simulerte nettadressen for phishing i nettlesere som støttes, før du bruker nettadressen i en phishing-kampanje. Selv om vi jobber med mange leverandører av nettadresser til alltid å tillate disse simuleringsnettadressene, har vi ikke alltid full dekning (for eksempel Google Safe Browsing). De fleste leverandører gir veiledning som gjør at du alltid kan tillate bestemte nettadresser (for eksempel https://support.google.com/chrome/a/answer/7532419).

Opprett en simulering

Hvis du vil ha trinnvise instruksjoner om hvordan du oppretter og sender en ny simulering, kan du se Simulere et phishing-angrep.

Opprette en nyttelast

Hvis du vil ha trinnvise instruksjoner om hvordan du oppretter en nyttelast for bruk i en simulering, kan du se Opprette en egendefinert nyttelast for Opplæring med simulert angrep.

Få innsikt

Hvis du vil ha trinnvise instruksjoner om hvordan du får innsikt i rapportering, kan du se Få innsikt gjennom Opplæring med simulert angrep.

Forventet kompromissrate

Et av de viktigste elementene i en phishing-simulering er nyttelastutvalget. Hvis du bare sporer gjennomklikking som en måleverdi for kvalitet, er det et insentiv til å redusere klikkfrekvensen ved å velge enklere phishing-nyttelaster. Etter hvert er det mindre sannsynlig at brukeren endrer virkemåten når det kommer en ekte phishing-melding.

For å bekjempe tendensen til å bruke nyttelaster med lav klikkfrekvens og maksimere pedagogiske avkastninger, har vi opprettet et nytt stykke metadata for hver global nyttelast kalt den forventede kompromissraten (PCR).

PCR bruker historiske data på tvers av Microsoft 365 som forutsier prosentandelen av personer som vil bli kompromittert av nyttelasten. PCR er en intelligent mekanisme som er bygd på informasjon som nyttelastinnhold, kompromisssatser (aggregert og anonymisert) og nyttelastmetadata. PCR spår en mer nøyaktig potensiell kompromissrate når nyttelasten brukes i en simulering. Fordelen med PCR kommer fra å forutsi faktiske vs. spådd klikk gjennom for en gitt simulering og nyttelast.

Du kan også se gjennom den generelle ytelsen til organisasjonen ved å måle forskjellen mellom den anslåtte kompromissraten og den faktiske kompromissraten på tvers av simuleringer ved hjelp av rapporten om effekt på opplæring.

Obs!

Angrepssimulatoren bruker klarerte koblinger i Defender for Office 365 til å spore klikkdata for nettadressen i nyttelastmeldingen som sendes til målrettede mottakere av en phishing-kampanje, selv om innstillingen Spor bruker klikker i policyer for klarerte koblinger er deaktivert.