Microsoft 365 Attack Simulation – Hướng dẫn thiết lập mô phỏng đầy đủ

Microsoft 365 Attack Simulation – Hướng dẫn thiết lập đầy đủ

Những mô phỏng này rất quan trọng vì:

• Hầu hết các vụ xâm phạm dữ liệu đều xuất phát từ lỗi của con người, chứ không phải do lỗi hệ thống.
• Người dùng thường tin tưởng những email trông quen thuộc.
• Những ví dụ thực tế hiệu quả hơn nhiều so với đào tạo lý thuyết.

Với các mô phỏng, bạn có thể phát hiện sớm các hành vi rủi ro, cung cấp đào tạo có mục tiêu và đo lường mức độ sẵn sàng của tổ chức.

Hướng dẫn này cung cấp cho bạn quy trình thiết lập từng bước rõ ràng, cùng với các phương pháp hay nhất và những lỗi thường gặp cần tránh – để bạn có thể tự tin thực hiện các mô phỏng tấn công Microsoft 365 hiệu quả.

Yêu cầu cấp phép

Khóa đào tạo mô phỏng tấn công Microsoft 365 yêu cầu Microsoft Defender for Office 365 Plan 2.

Nó được bao gồm trong:

• Microsoft 365 E5
• Office 365 E5
• Bảo mật Microsoft 365 E5
• Gói Defender for Office 365 Plan 2 (giấy phép độc lập)

Nếu tổ chức của bạn sử dụng Microsoft 365 E3 hoặc gói khác không có Gói 2, tính năng Mô phỏng tấn công sẽ không xuất hiện.

Lưu ý: Quản trị viên có thể sử dụng bản dùng thử 90 ngày của Defender for Office 365 Plan 2 để kiểm tra tất cả các tính năng liên quan nếu cần.

Bạn cũng cần có vai trò phù hợp để tạo hoặc chạy mô phỏng.
Các vai trò sau đây có quyền truy cập cần thiết:

• Quản trị viên toàn cầu: quyền truy cập đầy đủ
• Quản trị viên bảo mật: quyền truy cập bảo mật đầy đủ
• Quản trị viên mô phỏng tấn công: có thể tạo và khởi chạy các mô phỏng.
• Tác giả tải trọng tấn công: có thể tạo tải trọng nhưng không thể chạy chiến dịch.

Nên sử dụng các vai trò mô phỏng tấn công chuyên dụng khi bạn muốn tuân thủ nguyên tắc quyền truy cập tối thiểu.

Chức năng ghi nhật ký kiểm toán thống nhất phải được bật để hoạt động mô phỏng hiển thị trong báo cáo.
Nếu chức năng ghi nhật ký kiểm toán bị tắt, các hành động của người dùng – chẳng hạn như mở email hoặc nhấp vào liên kết – sẽ không được ghi lại.

Để bật tính năng ghi nhật ký kiểm tra:

1. Truy cập cổng thông tin Microsoft Purview Compliance.
2. Kiểm toán công khai
3. Chọn Bắt đầu ghi lại hoạt động của người dùng và quản trị viên.

Điều này đảm bảo tất cả các sự kiện mô phỏng và phản hồi của người dùng được theo dõi chính xác.

1. Truy cập Bảng điều khiển mô phỏng tấn công

1. 1. Đăng nhập vào cổng thông tin Microsoft 365 Defender : truy cập https://security.microsoft.com.
   2. Vào mục Email & Cộng tác → Huấn luyện mô phỏng tấn công → Mô phỏng.

Trong mục Mô phỏng, hãy nhấp vào “+ Khởi chạy mô phỏng”.

2. Chọn một kỹ thuật tấn công phi kỹ thuật (Social Engineering)

Chọn loại tấn công:

• Thu thập thông tin đăng nhập: Trang đăng nhập giả mạo để đánh cắp thông tin đăng nhập.
• Tệp đính kèm độc hại: Email chứa tệp tin độc hại.
• Liên kết trong tệp đính kèm: Liên kết lừa đảo bên trong một tập tin.
• Liên kết đến phần mềm độc hại: Liên kết dẫn đến trang tải xuống chứa nội dung độc hại.
• URL tấn công tự động: Chuyển hướng đến một trang web bị xâm nhập.
• Cấp quyền OAuth: Yêu cầu cấp quyền từ ứng dụng độc hại.
• Hướng dẫn chi tiết: Chỉ dành cho mục đích đào tạo qua email.

Hầu hết các bài kiểm tra lừa đảo đều bắt đầu bằng việc thu thập thông tin đăng nhập.

3. Đặt tên cho chiến dịch mô phỏng của bạn

          Nhập một tên đơn giản, rõ ràng, ví dụ như: “Thu thập thông tin đăng nhập toàn công ty – Tháng 11 năm 2025”

Thêm mô tả ngắn nếu cần.
Điều này giúp quản lý nhiều chiến dịch khác nhau một cách hiệu quả.

4. Chọn trang đăng nhập và nội dung tấn công lừa đảo.

Chọn mẫu email mà người dùng sẽ nhận được:

• Xem các gói phần mềm toàn cầu của Microsoft
• Xem trước mẫu
• Hãy gửi một email thử nghiệm đến chính mình.
• Tạo tải trọng tùy chỉnh nếu cần.

Nếu kỹ thuật này yêu cầu nhập thông tin đăng nhập, hãy chọn trang đăng nhập phù hợp.

5. Xác định người dùng hoặc nhóm mục tiêu

Chọn người sẽ nhận được mô phỏng:

• Người dùng cụ thể
• Nhóm Microsoft 365
• Các nhóm động để nhắm mục tiêu theo vai trò hoặc phòng ban
• Các điều khoản loại trừ tùy chọn

Tài khoản khách được tự động loại trừ.

6. Phân công đào tạo cho người dùng dễ bị tổn thương (Tùy chọn)

Hãy chọn điều gì sẽ xảy ra nếu người dùng mắc bẫy mô phỏng:

• Tự động phân công đào tạo (khuyến nghị)
• Chọn thủ công các mô-đun đào tạo
• Chuyển hướng đến URL tùy chỉnh
• Không có đào tạo

Đặt thời hạn hoàn thành khóa đào tạo (7, 15 hoặc 30 ngày).

7. Tùy chỉnh trang đích của Phish

Chọn những gì người dùng sẽ thấy sau khi nhấp chuột:

• Trang đích mặc định
• Trang tùy chỉnh hoặc URL tùy chỉnh

Tùy chọn bật chỉ báo nội dung lừa đảo để làm nổi bật các dấu hiệu lừa đảo mà người dùng đã bỏ sót.

8. Cấu hình thông báo cho người dùng cuối

Hãy quyết định xem người dùng có nhận được tin nhắn theo dõi hay không:

• Không có thông báo
• Thông báo mặc định của Microsoft (được khuyến nghị)
• Thông báo tùy chỉnh

Bạn có thể trì hoãn việc gửi email khen ngợi cho đến sau khi chiến dịch kết thúc để tránh tiết lộ thông tin cho người khác.

9. Lên lịch khởi chạy mô phỏng

• Thời gian bắt đầu (ngay bây giờ hoặc theo lịch trình)
• Thời gian (1–30 ngày)
• Nếu có thể, tính năng gửi email theo khu vực sẽ được hỗ trợ , đảm bảo người dùng nhận được email trong giờ làm việc.

Khoảng thời gian 5-7 ngày là phù hợp cho hầu hết các xét nghiệm.

10. Đánh giá và ra mắt

Kiểm tra cài đặt của bạn, tùy chọn gửi một bản ghi thử nghiệm, sau đó chọn Khởi chạy .
Quá trình mô phỏng sẽ bắt đầu ngay lập tức hoặc vào thời gian đã lên lịch.

Khởi chạy mô phỏng chỉ là bước đầu tiên.
Theo dõi và phân tích kết quả mới là nơi tạo ra giá trị thực sự.
Dưới đây là các bước ngắn gọn, dễ thực hiện để kiểm tra tiến độ và trích xuất những thông tin hữu ích.

Giám sát thời gian thực trong suốt chiến dịch

Cách xem:

• Đăng nhập vào Microsoft 365 Defender → Huấn luyện mô phỏng tấn công → Mô phỏng .

• Nhấp vào chiến dịch đang chạy của bạn để mở bảng điều khiển.

Những gì bạn sẽ thấy (cập nhật gần như theo thời gian thực):

• Tác động của mô phỏng – số liệu bị sai lệch so với số liệu được báo cáo.
• Tất cả hoạt động của người dùng – lượt nhấp chuột, thông tin đăng nhập, báo cáo, xóa.
• Trạng thái gửi – đã gửi, đang chờ xử lý hoặc gửi không thành công.

Kết quả mô phỏng chi tiết & Báo cáo

Sau (hoặc trong khi) chạy mô phỏng, hãy mở chi tiết mô phỏng và xem lại:

• Tab Người dùng – các hành động và trạng thái đào tạo của từng người dùng (ai đã nhấp chuột, ai đã gửi, ai đã báo cáo).
• Chi tiết/Tổng quan – dữ liệu đã sử dụng, thời gian bắt đầu/kết thúc, email đã gửi, sự cố khi gửi.
• Các chỉ số quan trọng cần theo dõi :
  • Tỷ lệ thỏa hiệp – % số người mắc bẫy.
  • Tỷ lệ báo cáo – % số người đã báo cáo email.
  • Các vấn đề về giao hàng – địa chỉ bị loại trừ hoặc không được giao hàng.
  • Người tái phạm – những người dùng thất bại nhiều lần trong các bài tập.

Những hiểu biết tổng hợp từ nhiều mô phỏng

Đối với các chương trình đang diễn ra, hãy sử dụng phần tổng quan/báo cáo để theo dõi xu hướng:

• Độ bao phủ – % số tổ chức đã được kiểm tra.
• Xu hướng – Tỷ lệ thỏa hiệp theo thời gian.
• Hoàn thành khóa đào tạo – phần trăm hoàn thành sau khi nhận nhiệm vụ.
• Những người tái phạm nhiều lần – những người cần được quan tâm đặc biệt.
• Câu hỏi quan trọng nhất: Số lượt nhấp chuột có đang giảm và số lượng báo cáo có đang tăng lên không?

Những quan điểm tổng hợp này cho thấy liệu các chương trình nâng cao nhận thức có hiệu quả hay cần điều chỉnh.

Giải thích kết quả và các bước tiếp theo

Biến dữ liệu thành hành động cụ thể:

• Tỷ lệ thỏa hiệp cao: tăng tần suất đào tạo, thực hiện các chiến dịch nhắm mục tiêu và thông báo ngắn gọn cho các nhà quản lý.
• Tỷ lệ báo cáo thấp: hướng dẫn quy trình báo cáo và khen thưởng/khuyến khích những người báo cáo xuất sắc.
• Tăng đột biến số lượng bệnh nhân trong từng phòng ban: hãy tổ chức các khóa đào tạo chuyên sâu cho các nhóm đó.
• Đối với những người tái phạm: hãy lên lịch huấn luyện cá nhân hoặc đào tạo bắt buộc.
• Hãy ăn mừng những thành công: công khai ghi nhận tỷ lệ báo cáo được cải thiện.

Một bài mô phỏng tấn công lừa đảo hiệu quả không chỉ đơn thuần là về cài đặt quản trị.
Nó còn liên quan đến việc hiểu được những gì nhân viên sẽ thấy.
Điều này giúp bạn dự đoán các câu hỏi, hỗ trợ người dùng và thiết kế các bài mô phỏng chân thực hơn.

Video dưới đây minh họa góc nhìn của người dùng cuối về mô phỏng tấn công lừa đảo an ninh mạng của chúng tôi – cho thấy chính xác email mô phỏng xuất hiện như thế nào, người dùng có thể tương tác với nó ra sao và điều gì xảy ra khi người dùng bị đánh dấu là đã bị xâm phạm trong quá trình thử nghiệm.

Người dùng sẽ nhận được email dựa trên nội dung bạn đã chọn.
Email này sẽ trông có vẻ hợp pháp và thường mang tính khẩn cấp – ví dụ:

• “Bạn có 5 tin nhắn đang bị cách ly – hãy nhấp vào để bỏ cách ly.”
• “Có những tin nhắn mã hóa chưa đọc đang chờ bạn xử lý.”

Người gửi có thể trông quen thuộc hoặc hơi khác (đôi khi sử dụng tên miền tương tự).
Khi người dùng tương tác:

• Nếu họ nhấp vào liên kết, họ sẽ được chuyển đến trang đăng nhập giả mạo.
• Nếu họ nhập thông tin đăng nhập: không có gì nguy hại xảy ra – hệ thống chỉ đơn giản ghi lại hành động của họ.
• Nếu họ mở một tệp đính kèm độc hại: nó sẽ mô phỏng kịch bản phần mềm độc hại mà không thực hiện bất kỳ hành động thực tế nào.

Sau khi thất bại trong quá trình mô phỏng, người dùng sẽ được hiển thị trang đích mà bạn đã cấu hình.
Trang này giải thích rằng đó chỉ là một quá trình mô phỏng và hướng dẫn họ những manh mối nào đã bỏ sót.

Lời trấn an quan trọng:
Những email này an toàn, không lây nhiễm vào thiết bị và không thu thập mật khẩu thật – chỉ thu thập hành vi người dùng.

Nếu người dùng nhận ra nỗ lực lừa đảo và sử dụng nút Báo cáo lừa đảo trong Outlook:

• Hệ thống ghi nhận nó như một sự kiện đã được báo cáo .
• Chúng không được đánh dấu là đã bị xâm phạm.
• Họ sẽ không nhận nhiệm vụ huấn luyện cho chiến dịch này.
• Họ có thể nhận được email “cảm ơn vì đã báo cáo” nếu tính năng thông báo được bật.

Việc báo cáo là kết quả tốt nhất có thể đạt được và góp phần vào các chỉ số nhận diện thương hiệu của tổ chức bạn.

Nếu người dùng mắc bẫy trong bài kiểm tra mô phỏng và được giao nhiệm vụ huấn luyện:

1. Họ nhận được một email có chứa đường dẫn đến mô-đun đào tạo của mình.
2. Buổi huấn luyện thường bao gồm một video ngắn hoặc bài học tương tác về nhận thức về lừa đảo trực tuyến.
3. Sau khi hoàn thành, trạng thái của chúng sẽ tự động được cập nhật trên bảng điều khiển.
4. Nếu họ không hoàn thành khóa đào tạo, họ sẽ nhận được lời nhắc nhở dựa trên lịch trình mà bạn đã thiết lập.

Chương trình đào tạo này ngắn gọn nhưng hiệu quả – giúp người dùng hiểu điều gì đã xảy ra và cách tránh những mối đe dọa tương tự trong tương lai.

Việc mô phỏng thủ công rất hữu ích, nhưng để nâng cao nhận thức lâu dài cần có sự nhất quán.
Microsoft Defender dành cho Office 365 bao gồm tính năng Tự động hóa mô phỏng, tự động khởi chạy các cuộc tấn công giả mạo lừa đảo theo lịch trình – hàng tháng, hàng quý hoặc thậm chí ngẫu nhiên.

Điều này giúp chương trình của bạn hoạt động liên tục mà không cần tốn nhiều công sức quản trị.

Để thiết lập:

• Đăng nhập vào cổng thông tin Microsoft 365 Defender.
• Vào mục Email & Cộng tác → Huấn luyện mô phỏng tấn công → Tự động hóa
• Chọn + Tạo tự động hóa.

• Các bước còn lại tương tự như những bước chúng ta đã đề cập trước đó khi khởi chạy mô phỏng.
• Một số tính năng tự động được tích hợp trong mẫu này bao gồm:

• 1. Chọn các tải trọng bạn muốn xoay vòng.

• 2. Lập kế hoạch:

• 1. • Ngẫu nhiên – gửi các chiến dịch vào những thời điểm không thể dự đoán trước.
     • Cố định – ví dụ: thứ Hai đầu tiên của mỗi tháng

3. Bước cuối cùng, hãy chọn các ngày trong tuần để bắt đầu mô phỏng.

Lý do nên sử dụng:

Các bài tập mô phỏng định kỳ giúp củng cố nhận thức, giảm tính dễ đoán và đảm bảo mọi người dùng – bao gồm cả nhân viên mới – đều được kiểm tra theo thời gian.

Sử dụng tính năng Nhắm mục tiêu động

Tự động hóa trở nên mạnh mẽ hơn nữa khi được kết hợp với các nhóm động trong Entra ID.

Nhóm năng động

Các nhóm động được cập nhật tự động khi người dùng tham gia nhóm hoặc tổ chức.
Ví dụ:

• Nhân viên mới – nhắm đến những nhân viên trong vòng 90 ngày đầu tiên làm việc.
• Các nhóm theo từng phòng ban – Tài chính, Nhân sự, Kỹ thuật, v.v.
• Nhắm mục tiêu theo vai trò – nhân viên thường xuyên xử lý dữ liệu nhạy cảm.

Tạo nhóm động trong Entra ID , sau đó chọn nhóm đó làm nhóm mục tiêu khi xây dựng các mô phỏng hoặc tự động hóa.
Điều này đảm bảo đúng người nhận được đúng bài kiểm tra vào đúng thời điểm – mà không cần cập nhật thủ công.

Tập trung vào những người phạm tội nhiều lần

Microsoft 365 có thể gắn cờ những người dùng vi phạm nhiều lần – những người dùng thất bại nhiều lần trong các bài kiểm tra mô phỏng.

Những điểm chính:

• Bạn có thể điều chỉnh ngưỡng trong Cài đặt Mô phỏng Tấn công (ví dụ: 2 hoặc 3 lần thất bại).
• Những người dùng này có thể được nhắm mục tiêu bằng:
  • Mô phỏng tập trung
  • Đào tạo bổ sung
  • Huấn luyện cá nhân một kèm một

Điều này giúp các đội ngũ an ninh giải quyết các hành vi rủi ro từ sớm và giảm thiểu rủi ro lâu dài.