提示
您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能? 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在具有 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中的組織中,您可以使用 Microsoft Defender 入口網站中的 攻擊模擬訓練 來執行實際的攻擊案例會。 這些模擬攻擊可以幫助您在真正的攻擊影響您的利潤之前識別和找到易受攻擊的用戶。
本文說明攻擊模擬訓練的基本概念。
觀看這段簡短影片,以深入瞭解攻擊模擬訓練。
注意事項
攻擊模擬訓練 會取代威脅管理>攻擊模擬器https://protection.office.com/attacksimulator或 的安全性 & 合規性中心中可用的舊攻擊模擬器 v1 體驗。
開始之前有哪些須知?
攻擊模擬訓練需要 Microsoft 365 E5 或適用於 Office 365 的 Microsoft Defender 方案 2 授權。 如需授權需求的詳細資訊,請參閱 授權條款。
攻擊模擬訓練支援內部部署信箱,但報告功能會減少。 如需詳細資訊,請參閱 報告內部部署信箱的問題。
若要開啟 Microsoft Defender 入口網站,請移至 https://security.microsoft.com。 攻擊模擬訓練可在 Email and collaboration>攻擊模擬訓練取得。 若要直接前往攻擊模擬訓練,請使用 https://security.microsoft.com/attacksimulator。
如需不同 Microsoft 365 訂用帳戶之間攻擊模擬訓練可用性的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 服務描述。
您必須先獲指派權限,才能執行本文中的程序。 您有下列選項:
Microsoft Entra 許可權:您需要下列其中一個角色的成員資格:
- 全域管理員¹
- 安全性系統管理員
- 攻擊模擬管理員²:創建和管理攻擊模擬活動的各個方面。
- 攻擊承載作者²:建立管理員稍後可以啟動的攻擊承載。
- Security Operator 和 Security Reader³:檢視攻擊模擬活動的各個層面。
重要事項
¹ Microsoft 強烈提倡最低權限原則。 僅為帳戶指派執行其任務所需的最低權限,有助於降低安全風險並加強組織的整體保護。 全域管理員是高度許可權的角色,您應該將其限制為緊急情況或當您無法使用其他角色時。
² 目前不支援在Microsoft Defender入口網站中Email &共同作業權限中將使用者新增至此角色群組。
攻擊有效負載作者的成員在攻擊模擬訓練中具有下列限制:
- 他們無法建立或編輯模擬、訓練活動、模擬自動化或承載自動化。
- 他們無法變更全域設定。
- 他們無法變更內容 (例如通知) ,但可以變更承載。
- 他們無法檢視租用戶模擬報告、彙總報告、模擬自動化記錄或承載自動化記錄。
³ Security Operator 和 Security Reader 的成員在攻擊模擬訓練中有以下限制:
- 他們無法建立或編輯模擬、訓練活動、模擬自動化或承載自動化。
- 他們無法變更全域設定。
- 他們無法變更內容 (例如租用戶承載或通知) 。
- 他們可以透過具有使用者範圍的讀取 API 存取資料,但無法使用寫入 API。
沒有攻擊模擬訓練的對應 PowerShell Cmdlet。
攻擊模擬和定型相關數據會與 Microsoft 365 服務的其他客戶數據一起儲存。 如需詳細資訊,請參閱 Microsoft 365 資料位置。 攻擊模擬訓練可在以下區域使用:APC、EUR 和 NAM。 這些地區內提供攻擊模擬訓練的國家/地區包括 ARE、AUS、BRA、CAN、CHE、DEU、ESP、FRA、GBR、IDN、IND、ISR、ITA、JPN、KOR、LAM、MEX、NOR、NZL、POL、QAT、SGP、SWE、TWN 和 ZAF。
注意事項
NOR、ZAF、ARE 和 DEU 是最新添加的。 除了報告的電子郵件遙測之外,所有功能都可以在這些區域中使用。 我們正在努力啟用這些功能,一旦報告的電子郵件遙測可用,我們就會通知客戶。
攻擊模擬訓練 適用於 Microsoft 365 GCC、GCC High 和 DoD 環境,但某些進階功能無法在 GCC High 和 DoD (中使用,例如承載自動化、建議承載、預測的入侵速率) 。 如果您的組織有 Microsoft 365 G5、Office 365 G5 或 適用於 Office 365 的 Microsoft Defender (Plan 2) for Government,您可以使用本文所述的攻擊模擬訓練。
注意事項
攻擊模擬訓練會為 E3 客戶提供功能子集作為試用。 試用產品包含使用 Credential Harvest 有效負載的能力,以及選擇「ISA 網路釣魚」或「大眾市場網路釣魚」培訓體驗的能力。 E3 試用產品中沒有其他功能。
模擬
攻擊模擬訓練中的模擬是向使用者傳遞真實但無害的網路釣魚訊息的整體活動。 模擬的基本元素是:
- 誰收到模擬網路釣魚訊息以及時間表。
- 使用者根據其動作或缺乏動作而獲得的訓練 (正確和不正確的動作) 模擬網路釣魚訊息。
- 模擬網路釣魚訊息中使用的 承載 (連結或附件) ,以及網路釣魚訊息的組成 (例如,包裹已送達、帳戶問題或您贏得獎品) 。
- 使用的 社會工程技術 。 有效載荷和社會工程技術密切相關。
在攻擊模擬訓練中,可以使用多種類型的社會工程技術。 除了 操作指南之外,這些技術都是從 MITRE ATT&CK® 架構策劃的。 不同的有效負載可用於不同的技術。
可以使用以下社會工程技術:
憑證收集:攻擊者向收件者傳送包含連結*的訊息。 當收件者點擊連結時,他們會被帶到一個網站,該網站通常會顯示一個對話框,要求使用者輸入使用者名稱和密碼。 通常,目標頁面的主題是代表知名網站,以建立對用戶的信任。
惡意軟體附件:攻擊者向收件者傳送包含附件的郵件。 例如,當收件者開啟附件時,任意程式碼 (,巨集) 會在使用者的裝置上執行,以協助攻擊者安裝其他程式碼或進一步鞏固自己。
附件中的連結:此技術是憑證收集的混合體。 攻擊者會傳送一封郵件給收件者,其中包含附件內的連結。 當收件者開啟附件並點擊連結時,他們會被帶到一個網站,該網站通常會顯示一個對話框,詢問使用者輸入使用者名稱和密碼。 通常,目標頁面的主題是代表知名網站,以建立對用戶的信任。
惡意軟體*連結:攻擊者向收件者傳送一封訊息,其中包含指向知名檔案共用網站 (例如 SharePoint 或 Dropbox) 上的附件的連結。 當收件者點擊連結時,附件就會打開,並且任意程式碼 (例如,巨集) 會在使用者的裝置上運行,以幫助攻擊者安裝其他程式碼或進一步鞏固自己。
依 URL *開機:攻擊者會傳送包含連結的訊息給收件者。 當收件者點擊連結時,他們會被帶到一個嘗試執行背景程式碼的網站。 此背景程式碼試圖收集有關收件者的資訊或在其裝置上部署任意程式碼。 通常,目標網站是已遭到入侵的知名網站或知名網站的克隆。 熟悉網站有助於讓用戶相信點擊該連結是安全的。 這種技術也稱為 水坑攻擊。
OAuth 同意授與*:攻擊者會建立惡意 Azure 應用程式,以尋求取得資料的存取權。 應用程式會傳送包含連結的電子郵件要求。 當收件者按一下連結時,應用程式的同意授予機制會要求存取資料,例如使用者的收件匣) (。
操作指南:教學指南,其中包含使用者指示 (例如如何) 檢舉網路釣魚訊息。
* 該鏈接可以是 URL 或二維碼。
下表列出攻擊模擬訓練所使用的 URL:
https://www.attemplate.com |
https://www.exportants.it |
https://www.resetts.it |
https://www.bankmenia.com |
https://www.exportants.org |
https://www.resetts.org |
https://www.bankmenia.de |
https://www.financerta.com |
https://www.salarytoolint.com |
https://www.bankmenia.es |
https://www.financerta.de |
https://www.salarytoolint.net |
https://www.bankmenia.fr |
https://www.financerta.es |
https://www.securembly.com |
https://www.bankmenia.it |
https://www.financerta.fr |
https://www.securembly.de |
https://www.bankmenia.org |
https://www.financerta.it |
https://www.securembly.es |
https://www.banknown.de |
https://www.financerta.org |
https://www.securembly.fr |
https://www.banknown.es |
https://www.financerts.com |
https://www.securembly.it |
https://www.banknown.fr |
https://www.financerts.de |
https://www.securembly.org |
https://www.banknown.it |
https://www.financerts.es |
https://www.securetta.de |
https://www.banknown.org |
https://www.financerts.fr |
https://www.securetta.es |
https://www.browsersch.com |
https://www.financerts.it |
https://www.securetta.fr |
https://www.browsersch.de |
https://www.financerts.org |
https://www.securetta.it |
https://www.browsersch.es |
https://www.hardwarecheck.net |
https://www.shareholds.com |
https://www.browsersch.fr |
https://www.hrsupportint.com |
https://www.sharepointen.com |
https://www.browsersch.it |
https://www.mcsharepoint.com |
https://www.sharepointin.com |
https://www.browsersch.org |
https://www.mesharepoint.com |
https://www.sharepointle.com |
https://www.docdeliveryapp.com |
https://www.officence.com |
https://www.sharesbyte.com |
https://www.docdeliveryapp.net |
https://www.officenced.com |
https://www.sharession.com |
https://www.docstoreinternal.com |
https://www.officences.com |
https://www.sharestion.com |
https://www.docstoreinternal.net |
https://www.officentry.com |
https://www.supportin.de |
https://www.doctorican.de |
https://www.officested.com |
https://www.supportin.es |
https://www.doctorican.es |
https://www.passwordle.de |
https://www.supportin.fr |
https://www.doctorican.fr |
https://www.passwordle.fr |
https://www.supportin.it |
https://www.doctorican.it |
https://www.passwordle.it |
https://www.supportres.de |
https://www.doctorican.org |
https://www.passwordle.org |
https://www.supportres.es |
https://www.doctrical.com |
https://www.payrolltooling.com |
https://www.supportres.fr |
https://www.doctrical.de |
https://www.payrolltooling.net |
https://www.supportres.it |
https://www.doctrical.es |
https://www.prizeably.com |
https://www.supportres.org |
https://www.doctrical.fr |
https://www.prizeably.de |
https://www.techidal.com |
https://www.doctrical.it |
https://www.prizeably.es |
https://www.techidal.de |
https://www.doctrical.org |
https://www.prizeably.fr |
https://www.techidal.fr |
https://www.doctricant.com |
https://www.prizeably.it |
https://www.techidal.it |
https://www.doctrings.com |
https://www.prizeably.org |
https://www.techniel.de |
https://www.doctrings.de |
https://www.prizegiveaway.net |
https://www.techniel.es |
https://www.doctrings.es |
https://www.prizegives.com |
https://www.techniel.fr |
https://www.doctrings.fr |
https://www.prizemons.com |
https://www.techniel.it |
https://www.doctrings.it |
https://www.prizesforall.com |
https://www.templateau.com |
https://www.doctrings.org |
https://www.prizewel.com |
https://www.templatent.com |
https://www.exportants.com |
https://www.prizewings.com |
https://www.templatern.com |
https://www.exportants.de |
https://www.resetts.de |
https://www.windocyte.com |
https://www.exportants.es |
https://www.resetts.es |
|
https://www.exportants.fr |
https://www.resetts.fr |
注意事項
在網路釣魚行銷活動中使用模擬網路釣魚網址之前,請先檢查支援的網路瀏覽器中模擬網路釣魚網址的可用性。 如需詳細資訊,請參閱 Google 安全瀏覽封鎖的網路釣魚模擬網址。
建立模擬
如需如何建立和啟動模擬的指示,請參閱 模擬網路釣魚攻擊。
模擬中的 登陸頁面 是使用者開啟承載時前往的位置。 建立模擬時,您可以選取要使用的登陸頁面。 您可以從內建登陸頁面、已建立的自訂登陸頁面中選取,也可以建立新的登陸頁面,以便在建立模擬期間使用。 若要建立登陸頁面,請參閱 攻擊模擬訓練中的登陸頁面。
模擬中的一般使用者通知會定期傳送提醒給使用者 (例如訓練指派和提醒通知) 。 您可以從內建通知、已建立的自訂通知中選取,也可以建立新通知以在建立模擬期間使用。 若要建立通知,請參閱 攻擊模擬訓練的使用者通知。
提示
與傳統模擬相比,模擬自動化提供了以下改進:
- 模擬自動化可以包括多種社會工程技術和相關承載 (模擬僅包含一個) 。
- 模擬自動化支援自動排程選項, (模擬) 中的開始日期和結束日期。
如需詳細資訊,請參閱 攻擊模擬訓練的模擬自動化。
承載
雖然攻擊模擬訓練包含許多適用於可用社會工程技術的內建承載,但您可以建立自訂承載以更符合您的業務需求,包括複製和自訂現有承載。 您可以在建立模擬之前或建立模擬期間隨時建立承載。 若要建立承載,請參閱 建立攻擊模擬訓練的自訂承載。
在使用 「認證收集」 或「 附件中的連結 」社交工程技術的模擬中, 登入頁面 是您選取的承載的一部分。 登入頁面是使用者輸入其認證的網頁。 每個適用的承載都會使用預設登入頁面,但您可以變更所使用的登入頁面。 您可以從內建登入頁面、已建立的自訂登入頁面中選取,也可以建立新的登入頁面,以便在建立模擬或承載期間使用。 若要建立登入頁面,請參閱 攻擊模擬訓練中的登入頁面。
模擬網路釣魚訊息的最佳訓練體驗是讓它們盡可能接近您的組織可能遇到的真實網路釣魚攻擊。 如果您可以擷取並使用 Microsoft 365 中偵測到的真實世界網路釣魚訊息的無害版本,並在模擬網路釣魚活動中使用它們,該怎麼辦? 您可以透過 有效負載自動化 (也稱為 有效負載收集) 。 若要建立承載自動化,請參閱攻擊模擬訓練的承載自動化。
攻擊模擬訓練也支援在有效負載中使用二維碼。 您可以從內建 QR 碼有效負載清單中進行選擇,也可以建立自訂 QR 碼有效負載。 如需詳細資訊,請參閱攻擊模擬訓練中的 QR 碼承載。
報告和見解
建立並啟動模擬之後,您需要查看其進展情況。 例如:
- 大家收到了嗎?
- 誰對模擬網路釣魚訊息及其中的有效負載執行了什麼操作 (刪除、報告、開啟有效負載、輸入憑證等 ) 。
- 誰完成了指定的培訓。
攻擊模擬訓練的深入解析和報告中說明了攻擊模擬訓練的可用報告和深入解析。
預測的入侵率
您經常需要為特定受眾量身打造模擬網路釣魚活動。 如果網路釣魚訊息太接近完美,幾乎每個人都會被它愚弄。 如果太可疑,沒有就會被它忽悠。 而且,一些用戶認為難以識別的網絡釣魚消息被其他用戶認為很容易識別。 那麼如何取得平衡呢?
PCR) (預測的妥協率表示在模擬中使用有效負載時的潛在有效性。 PCR 會使用 Microsoft 365 中的智慧型歷程記錄資料來預測將受到承載危害的人員百分比。 例如:
- 承載內容。
- 來自其他模擬的匯總和匿名入侵率。
- 承載中繼資料。
PCR 可讓您比較網路釣魚模擬的預測點擊率與實際點擊率。 您也可以使用此資料來查看您的組織與預測結果相比的效能。
承載的 PCR 資訊可在您檢視和選取承載的位置,以及下列報告和深入解析中使用:
提示
攻擊模擬器會使用適用於 Office 365 的 Defender 中的安全連結,以安全地追蹤傳送至網路釣魚活動目標收件者之承載訊息中 URL 的點擊數據,即使安全連結原則中的 [追蹤使用者點擊] 設定已關閉也一樣。
沒有技巧的訓練
傳統的網路釣魚模擬會向使用者提供可疑訊息和以下目標:
- 讓使用者將訊息報告為可疑訊息。
- 在使用者點擊或啟動模擬惡意承載並放棄其憑證後提供訓練。
但是,有時您不想等到使用者採取正確或不正確的動作後再為他們提供培訓。 攻擊模擬訓練提供下列功能,可略過等待,直接進行訓練:
訓練活動:訓練活動是目標使用者的僅限訓練指派。 您可以直接指派訓練,而不需要讓使用者進行模擬測試。 培訓活動可以輕鬆進行每月網路安全意識培訓等學習課程。 如需詳細資訊,請參閱 攻擊模擬訓練中的訓練活動。
模擬中的操作指南:以 操作指南 社交工程技術為基礎的模擬不會嘗試測試使用者。 操作指南是一種輕量級的學習體驗,使用者可以直接在收件匣中檢視。 例如,下列內建操作 指南 承載可供使用,您可以建立自己的 (,包括 複製和自訂現有承載) :
- 教學指南:如何檢舉釣魚訊息
- 教學指南:如何識別和報告二維碼釣魚訊息
提示
攻擊模擬訓練為 QR 碼型攻擊提供下列內建訓練選項:
- 培訓模塊:
- 惡意數位二維碼
- 惡意列印的二維碼
- 模擬操作指南: 教學指南:如何識別和報告二維碼網路釣魚訊息