Microsoft Defender for Office 365 cung cấp chương trình huấn luyện mô phỏng tấn công nếu bạn có giấy phép sử dụng Microsoft Defender for Office 365 Plan 2 (giấy phép bổ sung hoặc được bao gồm trong các gói đăng ký như Microsoft 365 E5). Không cần đến các phần mềm mô phỏng tấn công lừa đảo của bên thứ ba, chương trình huấn luyện mô phỏng tấn công này có thể dễ dàng thiết lập trong cổng thông tin Defender.
Bài viết này tập trung nhiều hơn vào phần người dùng của mô phỏng tấn công và là phần mở rộng của tài liệu Microsoft Learn, vốn đã cung cấp giải thích khá đầy đủ về cách thiết lập mô phỏng tấn công trong cổng Defender. Hãy cùng Tri Thức Software tìm hiểu cách thực hiện trong bài viết dưới đây.
Yêu cầu
1: Giấy phép cần thiết
Tất cả người dùng mục tiêu phải có Microsoft Defender for Office 365 Plan 2 (giấy phép bổ sung hoặc được bao gồm trong các gói đăng ký như Microsoft 365 E5).
2: Nút báo cáo tin nhắn
Bạn nên bắt đầu bằng cách cho phép người dùng báo cáo các tin nhắn email từ mô phỏng cuộc tấn công bằng nút Báo cáo tích hợp sẵn, đây là yêu cầu bắt buộc cho khóa đào tạo này. Nếu bạn chưa làm, hãy kích hoạt nút Báo cáo tích hợp sẵn.
LƯU Ý : Nếu bạn vẫn đang sử dụng các tiện ích bổ sung Microsoft Report Message hoặc Report Phishing, hãy cân nhắc chuyển sang sử dụng nút báo cáo tích hợp sẵn . Các tiện ích bổ sung này có các lỗ hổng bảo mật khiến chúng không an toàn cho tổ chức của bạn và sẽ bị loại bỏ dần theo thời gian.
Các tin nhắn được báo cáo sẽ xuất hiện trong mục “Người dùng báo cáo” trên trang “Bài gửi”, hộp thư báo cáo của bạn và hiển thị trong báo cáo mô phỏng.
3: Quyền hạn cần thiết
Vị trí yêu cầu: Quản trị viên mô phỏng tấn công
Người dùng ở vị trí này có thể xử lý mọi khía cạnh của mô phỏng tấn công, bao gồm tạo, khởi chạy, lên lịch và xem xét kết quả. Họ có quyền truy cập đầy đủ vào tất cả các mô phỏng trong hệ thống.
Vai trò này có sẵn trong cổng thông tin Microsoft Defender hoặc trong Entra ID (ví dụ: thông qua PIM).
4: Xóa thẻ bên ngoài cho địa chỉ thông báo mặc định của người dùng cuối
Sau khi người dùng nhấp vào liên kết và/hoặc đăng nhập vào trang web lừa đảo, họ sẽ nhận được một email từ [địa chỉ email] [email protected]. Hãy loại trừ địa chỉ email hoặc tên miền này khỏi cấu hình gắn thẻ bên ngoài của bạn ( quy tắc luồng thư Exchange Online hoặc tính năng gắn thẻ email bên ngoài của Exchange Online ).
5: Bật tính năng kiểm toán
Để huấn luyện mô phỏng tấn công có khả năng báo cáo, cần phải kích hoạt chức năng kiểm toán.
- Kết nối với Exchange Online PowerShell
- Kích hoạt tính năng Tùy chỉnh Tổ chức bằng cách chạy lệnh sau:
Enable-OrganizationCustomization - Sau đó, chạy lệnh PowerShell sau để bật tính năng ghi nhật ký:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Các yếu tố cơ bản của một mô phỏng là:
- Các kỹ thuật tấn công phi kỹ thuật (ví dụ: thu thập thông tin đăng nhập)
- Payloads: Các email và trang web lừa đảo mà bạn sử dụng để khởi chạy các mô phỏng.
- Tải trọng toàn cầu: Bao gồm các tải trọng tích hợp sẵn, chẳng hạn như
Keep Office 365 Passwordtải trọng - Nội dung tải trọng của người thuê: Có thể được điền bằng các nội dung tải trọng tùy chỉnh (email lừa đảo tự tạo).
- Tôi có một số mẫu HTML tùy chỉnh có sẵn trên kho lưu trữ GitHub của mình, bạn cứ thoải mái sử dụng. Nội dung HTML có thể được sao chép và dán trực tiếp vào phần Cấu hình Payload. Đối với các payload tùy chỉnh, bạn có thể sử dụng các thẻ động có sẵn như `
${firstName}<head>` và `<head>${phishingUrl}`. Bạn có thể tìm thấy danh sách đầy đủ các thẻ động trong phần Payload tùy chỉnh trên Microsoft Learn.
- Tôi có một số mẫu HTML tùy chỉnh có sẵn trên kho lưu trữ GitHub của mình, bạn cứ thoải mái sử dụng. Nội dung HTML có thể được sao chép và dán trực tiếp vào phần Cấu hình Payload. Đối với các payload tùy chỉnh, bạn có thể sử dụng các thẻ động có sẵn như `
- Tải trọng toàn cầu: Bao gồm các tải trọng tích hợp sẵn, chẳng hạn như
LƯU Ý: Hình ảnh bạn sử dụng trong nội dung gửi đến người dùng có thể bị chặn với thông báo rằng người gửi không nằm trong danh sách Người gửi an toàn của Outlook. Điều này xảy ra theo mặc định vì Outlook được cấu hình để chặn việc tự động tải xuống hình ảnh trong tin nhắn từ Internet.
- Trang đăng nhập : Trang đăng nhập giả mạo nhằm mục đích thu thập thông tin đăng nhập và sử dụng kỹ thuật chèn liên kết trong tệp đính kèm.
- Trang đăng nhập toàn cầu: Bao gồm các trang đăng nhập tích hợp sẵn, chẳng hạn như trang đăng nhập Microsoft.
- Trang đăng nhập dành cho người thuê: Bao gồm các trang đăng nhập tùy chỉnh, chẳng hạn như trang đăng nhập Microsoft tùy chỉnh với thương hiệu của công ty.
- Trang đích lừa đảo (Phish Landing Pages): Cung cấp bài học kinh nghiệm cho người dùng sau khi bị lừa đảo.
- Trang đích lừa đảo toàn cầu : Bao gồm các trang đích lừa đảo được tích hợp sẵn
- Trang đích lừa đảo khách thuê : Bao gồm các trang đích tùy chỉnh, chẳng hạn như có thương hiệu của công ty.
- Thông báo cho người dùng cuối
- Thông báo toàn cầu: Bao gồm các thông báo tích hợp sẵn cho người dùng cuối được gửi từ
[email protected] - Thông báo cho người thuê nhà: Bao gồm các thông báo tùy chỉnh cho người dùng cuối để xây dựng thương hiệu và thiết lập địa chỉ người gửi khác với hộp thư nội bộ.
- Thông báo toàn cầu: Bao gồm các thông báo tích hợp sẵn cho người dùng cuối được gửi từ
LƯU Ý : Hình ảnh bạn sử dụng trong thông báo cho người dùng cuối có thể bị chặn kèm theo thông báo rằng người gửi không nằm trong danh sách Người gửi an toàn của Outlook. Điều này xảy ra theo mặc định vì Outlook được cấu hình để chặn việc tự động tải xuống hình ảnh trong tin nhắn từ Internet.
- Người dùng mục tiêu: Ai sẽ nhận được tin nhắn giả mạo lừa đảo và theo lịch trình nào?
- Tất cả người dùng hoặc người dùng và nhóm cụ thể
- Tất cả người dùng đều là tất cả hộp thư (người dùng và dùng chung) và tài nguyên (phòng họp và thiết bị) trong Exchange Online.
- Các nhóm được hỗ trợ: Microsoft 365 (tĩnh và động), danh sách phân phối (chỉ tĩnh) và bảo mật được kích hoạt qua email (chỉ tĩnh).
- Tất cả người dùng hoặc người dùng và nhóm cụ thể
Xây dựng chương trình huấn luyện mô phỏng tấn công
Sau khi thiết lập các yêu cầu, bạn có thể bắt đầu tạo mô phỏng tấn công trong Cổng thông tin Microsoft Defender.
- Bạn có thể tạo:
- Mô phỏng một cuộc tấn công lừa đảo (phishing)
- Các mô phỏng này kiểm tra các chính sách và quy trình bảo mật của bạn, cũng như đào tạo nhân viên để nâng cao nhận thức và giảm thiểu khả năng bị tấn công.
- Sử dụng các quy trình tự động để mô phỏng tấn công
- Việc tạo ra một mô phỏng tự động hóa tương tự như việc tạo ra một mô phỏng riêng lẻ, ngoại trừ khả năng lựa chọn nhiều kỹ thuật, tải trọng và lịch trình tự động hóa.
- Mô phỏng một cuộc tấn công lừa đảo (phishing)
- Bạn cũng có khả năng tạo ra:
- Các chiến dịch huấn luyện mô phỏng tấn công
- Thay vì tạo và thực hiện các cuộc tấn công lừa đảo giả lập dẫn đến việc đào tạo, bạn có thể tạo và chỉ định các chiến dịch đào tạo trực tiếp cho người dùng.
- Tự động hóa tải trọng cho huấn luyện mô phỏng tấn công
- Tự động hóa tải trọng, còn được gọi là thu thập tải trọng, có thể thu thập dữ liệu từ các cuộc tấn công lừa đảo thực tế được người dùng trong tổ chức của bạn báo cáo là lừa đảo (và được Microsoft xác minh là lừa đảo). Bạn có thể xác định các điều kiện cụ thể để nhận diện trong các cuộc tấn công lừa đảo, chẳng hạn như thông tin người nhận, kỹ thuật tấn công phi kỹ thuật hoặc thông tin người gửi.
- Các chiến dịch huấn luyện mô phỏng tấn công
Tự động hóa so với mô phỏng riêng lẻ
Mô phỏng tự động
Mặc dù mô phỏng tự động có thể rất phù hợp với tổ chức của bạn, nhưng vẫn có một số điểm quan trọng cần xem xét. Ví dụ, nếu bạn dự định tự động hóa một mô phỏng trong cả một năm (là thời gian tối đa cho một lịch trình tự động hóa), bạn sẽ không thể sửa đổi nội dung sau khi thiết lập ban đầu. Điều này có nghĩa là bạn sẽ bị ràng buộc bởi các lựa chọn cấu hình đã thực hiện lúc đầu.
Mô phỏng riêng lẻ
Ngược lại, các mô phỏng riêng lẻ mang lại sự linh hoạt hơn, đặc biệt nếu bạn muốn chạy các mô phỏng riêng biệt hàng tháng. Chúng cho phép điều chỉnh và tùy chỉnh giữa các chiến dịch.
Lựa chọn tải trọng
Mô phỏng tự động – Lựa chọn tải trọng:
Khi thiết lập mô phỏng tự động, bạn có hai lựa chọn cho việc chọn tải trọng:
- Chọn thủ công: Tối đa 20 gói dữ liệu, bao gồm cả gói dữ liệu chung và gói dữ liệu dành riêng cho từng người thuê.
- Ngẫu nhiên hóa: Cho phép Microsoft tự động chọn các payload.
LƯU Ý : Điều quan trọng cần lưu ý là ngay cả trong mô phỏng tự động, chỉ có một gói tin được gửi đi mỗi lần khởi chạy. Tất cả người dùng mục tiêu sẽ nhận được cùng một gói tin (email lừa đảo).
Mô phỏng riêng lẻ – Lựa chọn tải trọng:
- Mỗi mô phỏng chỉ cho phép cấu hình một tải trọng duy nhất. Để sử dụng các tải trọng, nhóm mục tiêu hoặc thời gian gửi khác nhau, bạn cần tạo các mô phỏng riêng biệt cho mỗi cấu hình.
Lựa chọn lịch trình
Mô phỏng tự động – Lựa chọn lịch trình:
Khi cấu hình lịch trình tự động hóa, bạn có hai lựa chọn:
- Lịch trình ngẫu nhiên: Có thể bắt đầu mô phỏng với thời gian gửi ngẫu nhiên. Tuy nhiên, bạn không thể giới hạn chỉ một mô phỏng mỗi tháng. Thay vào đó, bạn có thể lên lịch tối đa 10 mô phỏng mỗi năm vào những ngày cụ thể được cho phép.
- Lịch trình cố định: nơi các mô phỏng được thực hiện theo chu kỳ hàng tuần hoặc hàng tháng. Tuy nhiên, chúng sẽ luôn diễn ra vào một ngày cụ thể trong tuần hoặc tháng, và bạn không thể tùy chỉnh thời gian gửi.
LƯU Ý: Cả hai lịch trình tự động hóa đều không hỗ trợ giao hàng ngẫu nhiên trong giờ làm việc (ví dụ: từ 8:00 sáng đến 5:00 chiều, từ thứ Hai đến thứ Sáu).
Mỗi mô phỏng tự động sẽ được liệt kê trong tab Mô phỏng với quy ước đặt tên như sau:AutomatedSimulation_PayloadName [Technique]_date
Mô phỏng cá nhân – Lựa chọn lịch trình:
Mỗi mô phỏng riêng lẻ có thể được cấu hình để bắt đầu vào một thời điểm khác nhau. Bạn có thể tạo một mô phỏng riêng lẻ mới mỗi tháng và lên lịch cho nó tối đa hai tuần để chuẩn bị cho ngày ra mắt.
So sánh lịch trình mô phỏng
| Hoạt động | Lịch trình ngẫu nhiên tự động hóa | Lịch trình cố định tự động hóa | Lịch trình cá nhân |
|---|---|---|---|
| Thời gian gửi ngẫu nhiên | Đúng | KHÔNG | Đúng* |
| Hàng tháng | KHÔNG | Đúng | Đúng** |
| Thời gian gửi tĩnh | KHÔNG | KHÔNG | Đúng |
- *Mỗi mô phỏng riêng lẻ có thể được cấu hình để bắt đầu vào một thời điểm cố định cụ thể, ví dụ: trong giờ làm việc (ví dụ: từ 8:00 sáng đến 5:00 chiều, từ thứ Hai đến thứ Sáu).
- Bạn có thể tạo một mô phỏng riêng lẻ mỗi tháng và lên lịch cho nó tối đa hai tuần trước ngày ra mắt.
Các phương pháp thực hành tốt nhất của mô phỏng là:
- Mô phỏng riêng lẻ: Hãy cân nhắc tạo các mô phỏng riêng lẻ hàng tháng và lên kế hoạch hàng năm với lịch trình thay đổi ngày giờ mô phỏng mỗi tháng để giữ chân người dùng và giảm tính dễ đoán. Lưu ý rằng tất cả người dùng mục tiêu sẽ nhận được cùng một nội dung. Tuy nhiên, việc sử dụng các mô phỏng riêng lẻ hàng tháng sẽ cho phép bạn kiểm soát và linh hoạt hơn về nội dung, thời gian và mục tiêu trong suốt cả năm.
- Người dùng mục tiêu: Bao gồm tất cả người dùng Microsoft Defender for Office Plan 2 trong tổ chức của bạn bằng cách sử dụng nhóm Microsoft 365 động với cú pháp sau:
user.assignedPlans -any (assignedPlan.servicePlanId -eq "8e0c0a52-6a6c-4d40-8370-dd62790dcd70" -and assignedPlan.capabilityStatus -eq "Enabled")
servicePlanId 8e0c0a52-6a6c-4d40-8370-dd62790dcd70tương ứng với Microsoft Defender for Office Plan 2 và không thay đổi trên tất cả các tenant.
Nếu bạn muốn nhắm mục tiêu vào một bộ phận cụ thể, chẳng hạn như bộ phận Nhân sự, bạn có thể sử dụng cú pháp sau:
(user.department -eq "HR")
LƯU Ý : Người dùng có thể xuất hiện trong báo cáo FailedToDeliverEmailvì họ bị chặn đăng nhập. Đây là hiện tượng bình thường và bạn có thể lọc bỏ họ khỏi báo cáo.
- Đào tạo : Bằng cách kích hoạt tính năng đào tạo trong quá trình mô phỏng tấn công, Microsoft có thể chỉ định các khóa học và mô-đun được tùy chỉnh dựa trên kết quả mô phỏng và đào tạo trước đó của người dùng thông qua các lộ trình học tập. Quá trình đào tạo dựa trên tương tác của người dùng, cụ thể là việc họ đã nhấp chuột và gửi thông tin đăng nhập hay chưa. Một người dùng bị xâm phạm có thể nhận được hai buổi đào tạo. Bạn có thể chọn các chiến dịch đào tạo độc lập và tắt tính năng đào tạo trong quá trình mô phỏng tấn công. Tuy nhiên, cách tiếp cận này sẽ không linh hoạt bằng các lộ trình học tập được cung cấp thông qua các chiến dịch đào tạo trong quá trình mô phỏng tấn công.
Tiến trình mô phỏng cuộc tấn công
Chúng ta sẽ đi sâu vào mô phỏng thu thập thông tin đăng nhập, một trong số nhiều kỹ thuật tấn công phi kỹ thuật (social engineering) để lựa chọn. Hãy tạo mô phỏng thu thập thông tin đăng nhập bằng cách làm theo các bước do Microsoft cung cấp để mô phỏng một cuộc tấn công lừa đảo (phishing) và chọn payload toàn cục: Keep Office 365 Password. Sau khi hoàn thành, bạn sẽ có một mô phỏng đang diễn ra.
Sau đó, quá trình mô phỏng cuộc tấn công bắt đầu bằng việc người dùng nhận được email lừa đảo lấy thông tin đăng nhập với nội dung độc hại đã được chọn.
Người dùng có thể nhấp vào liên kết, thao tác này sẽ tạo kết nối ra trang Đăng nhập đã chọn.
Trang đăng nhập:
Nếu người dùng đăng nhập, họ sẽ được chuyển đến trang đích lừa đảo, nơi cung cấp cho người dùng một bài học sau khi bị lừa đảo.
Trang đích của Phish:
Sau khi người dùng nhấp vào liên kết và đăng nhập, họ sẽ nhận được một email [email protected]cho mỗi hành động cần thiết để hoàn thành khóa đào tạo.
LƯU Ý : Bạn nên xóa thẻ External khỏi email thông báo. Để làm vậy, hãy chạy lệnh cmdlet Set-ExternalInOutlook -AllowList @{Add="attacksimulationtraining.com"}bằng cách sử dụng mô-đun Exchange Online PowerShell. Bạn cũng có thể sử dụng thông báo Tenant để thay đổi nội dung hoặc địa chỉ người gửi.
Liên kết này sẽ đưa người dùng đến cổng thông tin Defender để hoàn thành các khóa học tại đây https://security.microsoft.com/trainingassignments. Nếu khóa đào tạo có sẵn bằng ngôn ngữ mặc định của người dùng tại đây https://myaccount.microsoft.com/settingsandprivacy/language, nó sẽ tự động được cung cấp bằng ngôn ngữ đó.
Báo cáo mô phỏng cho phép bạn phân tích hiệu suất của người dùng trong quá trình mô phỏng cuộc tấn công.
Kết luận
Mặc dù có các biện pháp bảo mật tiên tiến, các thủ đoạn lừa đảo trực tuyến vẫn tiếp tục phát triển, khiến việc phát hiện mọi nỗ lực trở nên khó khăn. Do đó, nâng cao nhận thức của người dùng là rất quan trọng vì người dùng đóng vai trò then chốt trong việc xác định và tránh các mối đe dọa tiềm tàng. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
