如何在 Microsoft 365 中运行攻击模拟训练

Microsoft 365 中的攻击模拟训练允许您创建测试攻击电子邮件（例如网络钓鱼尝试）并将其发送给最终用户。然后，用户将在不知不觉中接受测试他们对此类攻击的准备情况。

在这篇文章中，我们将介绍如何在 Microsoft 365 中设置攻击模拟训练以及最终用户的体验。

使用攻击模拟训练需要什么许可证？

首先，要访问 Microsoft 365 中的攻击模拟训练刀片，我们的租户需要包含适当的许可证。这些许可证将分配给任何将从该服务中受益的用户。

使用该功能所需的最低许可证是Defender for Office 365 计划 2。 Defender for Office 365 计划 2 可以作为独立许可证购买，也可以包含在 Office 365 E5、Office 365 A5 和 Microsoft 365 E5 中。

使用攻击模拟训练需要什么权限？

在 Microsoft 365 中创建和启动攻击模拟所需的最低权限级别是攻击模拟管理员角色。其他角色包括：

• 全局管理员：如果您只需要访问攻击模拟训练功能，请勿为自己分配此角色。这将使您能够访问整个 Microsoft 365 租户
• 安全管理员：此角色将为您提供所有安全功能的访问权限，而不仅仅是攻击模拟培训。
• 攻击模拟管理员：这将允许您创建和管理攻击模拟活动的各个方面。
• 攻击负载作者：您可以创建管理员可以启动的攻击负载。

在创建攻击模拟之前

您需要确保为您的组织启用审核！否则，您将无法查看模拟报告，并且可能无法从测试中获得任何有效数据。幸运的是，这很容易做到。

1. 首先打开 Microsoft Purview 合规门户（以前的合规中心）。 https://compliance.microsoft.com/
2. 从左侧菜单中选择审核。您会在屏幕顶部看到一个大的蓝色框，上面写着： 开始记录用户和管理员活动。单击此按钮并根据提示选择“是”。

更改最多可能需要 60 分钟才能在您的组织中生效。

如何创建和运行攻击模拟

让我们直接从 Microsoft 365 Defender 门户创建第一个攻击模拟。

1. 登录到 Microsoft 365 Defender 门户：https://security.microsoft.com/

2.从左侧菜单中选择攻击模拟训练。

3. 选择模拟。

4. 单击启动模拟。

5. 选择您希望在模拟中使用的技术。您将看到 6 种不同的技术：

• 凭据收集：传统的网络钓鱼测试，鼓励用户单击链接并输入登录凭据
• 恶意软件附件：电子邮件将包含恶意附件，我们会鼓励您的用户打开该附件。
• 附件中的链接：上述内容的混合，用户将收到非恶意附件，但其中包含恶意链接。
• 恶意软件链接：电子邮件将包含附件链接，以试图逃避恶意软件扫描，而不是将恶意附件附加到电子邮件中。
• Drive-by URL：电子邮件中将包含一个链接，如果单击该链接，网页将尝试启动一些恶意代码。
• OAuth 同意图：恶意行为者在 Azure 中创建了恶意应用程序。该电子邮件将尝试诱骗用户同意应用程序通过电子邮件中嵌入的链接访问其数据。

6.为您的模拟选择一个有意义的名称并输入描述。例如：

• 名称：财务部 - 凭证收集活动
• 描述：财务部门的凭据收集活动。由詹姆斯于 2022 年 8 月 6 日创建。

这样，任何其他遇到模拟的人都会清楚地知道其目的、创建时间和创建者。

7. 选择与您的目标用户相关的负载。这里的想法是使用最有可能与他们经常收到的电子邮件相匹配的活动。在我的场景中，我将选择文档共享有效负载，然后单击“下一步”。

如果没有与您的目标用户相关的负载，您可以选择创建负载来设计您自己的负载。

为了帮助您决定有效负载，您可以使用发送测试功能。这是我在执行测试时收到的信息。

8. 选择您的目标用户。您可以选择将模拟发送给组织中的所有用户或特定用户和组。

9.在分配培训页面上，您可以选择要求用户在被其中一封电子邮件困扰时完成培训。如果不需要培训，您也可以选择“无”；如果您使用 Knowbe4 等第三方培训平台，则可以参考自定义 URL。

如果您决定启用培训，请确保选择截止日期。我将在“模拟结束后 30 天”留下我的。 但请注意，截止日期不会强制您的用户参加培训，而是由您来管理和审查。

10. 着陆页是用户在培训中遇到困难时首先看到的东西。我将选择使用 Microsoft 默认登陆页面，因为这很简单。不过，您还可以选择设计自己的登陆页面或引用自定义 URL。

您还可以使用自己的自定义徽标嵌入到页面中，重要的是，您将能够向电子邮件添加有效负载指示器，以帮助用户识别他们做错了什么。

使用预览面板查看登陆页面：

11. 您应该选择发送最终用户通知。 我建议您使用 Microsoft 默认选项。

当您选择 Microsoft 默认通知时，您将看到选择了 3 种通知类型。第一个是用户在报告网络钓鱼尝试时将收到的通知，当他们这样做时，他们将收到积极的强化以确认他们做出了正确的决定。下面的另外 2 条通知是针对培训的。当培训可用时，它们将被发送给用户，并在用户尚未完成在线培训时提醒他们。

对于发送偏好，我建议您将正向强化通知设置为活动结束后发送，否则，他们可能会倾向于告诉其他人任何可疑电子邮件都是测试，从而导致模拟结果不准确。

对于训练提醒，您应该将最频繁的设置设置为每周两次。如果用户未通过测试，应立即进行培训，这一点至关重要。他们还可能在没有接受培训的情况下违反了网络安全政策。

12.您可以在启动详细信息页面上决定立即启动模拟还是在特定时间启动模拟。

您应该根据您的业务性质配置希望模拟结束的天数。这是为了确保所有适用的用户都会遇到某种形式的模拟电子邮件，并为他们提供足够的时间来采取行动或不采取行动！

我建议启用区域感知时区传送。

13.最后，检查您的模拟设置并单击提交。

用户体验

了解用户在这次活动中可能会遇到什么非常重要，因此我亲自启动了它来进行演示。

模拟开始后，每个目标用户都会收到如下电子邮件：

一旦打开，它可能看起来像这样：

如果用户单击恶意的“在 Teams 中打开”链接，他们将被定向到查看链接的 Microsoft 365 登录页面。如果不幸的是，他们尝试使用凭据登录，他们将被重定向到以下页面。

在收到上述通知后不久，用户将在收件箱中收到另一封电子邮件，其中包含在线培训的链接。

审查您的攻击模拟活动

现在您已经创建了营销活动，您可以通过从模拟选项卡中选择它来查看其进展情况。

这就是您将看到的。

重要的是要知道，如果用户在模拟测试期间受到损害，模拟影响将立即更新。

我对运行 Microsoft 攻击模拟的建议

不要为整个公司运行单一模拟。如果您的员工被分为“小组”或“房间”，您应该只向该房间中的一个人发送一种类型的模拟电子邮件。如果一名用户提醒其直接团队的其他成员，您可能无法获得准确的结果。

在适当的时间发送模拟电子邮件。如果员工在某些时候离开办公桌，请将电子邮件安排在他们返回办公桌之前到达，这样它们就会位于收件箱的顶部，而不会被错过。

确保模拟电子邮件相关。这应该很容易理解，向财务团队发送财务电子邮件，向仓库团队发送电子邮件，向那些总是忘记电子邮件的人发送密码重置电子邮件。

确保模拟电子邮件相关。 第 2 部分。这是最重要的一点。对我有很大帮助的是查看我们的支持服务台并利用我们的一些用户痛点来精心设计定制模拟活动。

你的目标是欺骗你的员工，因为真正的攻击不会被阻止！

概括

感谢您花时间阅读我的帖子！运行攻击模拟是帮助增强组织安全态势的重要一步。它将有助于确定是否需要更全面的用户培训，或者可以帮助您证明在网络安全方面额外支出的合理性。