Microsoft Teams in Angriffssimulationstraining
Wichtig
Die Angriffssimulationstraining von Microsoft Teams befindet sich derzeit in der privaten Vorschau, und die Aufnahme für diese Vorschauversion ist jetzt geschlossen. Die Informationen in diesem Artikel können geändert werden.
In Organisationen mit Microsoft Defender for Office 365 Plan 2 oder Microsoft Defender XDR können Administratoren jetzt Angriffssimulationstraining verwenden, um simulierte Phishingnachrichten in Microsoft Teams zu übermitteln. Weitere Informationen zum Training der Angriffssimulation finden Sie unter Erste Schritte mit Angriffssimulationstraining in Defender for Office 365.
Das Hinzufügen von Teams in Angriffssimulationstraining wirkt sich auf die folgenden Features aus:
Nutzlastautomatisierungen, Endbenutzerbenachrichtigungen, Anmeldeseiten und Zielseiten sind von Teams in Angriffssimulationstraining nicht betroffen.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Teams-Simulationskonfiguration
Hinweis
Derzeit gelten die Schritte in diesem Abschnitt nur, wenn Ihr organization in der privaten Vorschau von Angriffssimulationstraining für Teams registriert ist.
Zusätzlich zur Aktivierung der Benutzerberichterstellung für Teams-Nachrichten, wie unter Einstellungen für vom Benutzer gemeldete Nachrichten in Microsoft Teams beschrieben, müssen Sie auch die Teams-Konten konfigurieren, die als Quellen für Simulationsnachrichten in Angriffssimulationstraining verwendet werden können. Führen Sie zum Konfigurieren der Konten die folgenden Schritte aus:
Identifizieren oder erstellen Sie einen Benutzer, der Mitglied der Rollen "Globaler Administrator*", "Sicherheitsadministrator" oder "Angriffssimulationsadministrator" in Microsoft Entra ID ist. Weisen Sie eine Microsoft 365-, Office 365-, Microsoft Teams Essentials-, Microsoft 365 Business Basic- oder Microsoft 365 Business Standard-Lizenz für Microsoft Teams zu. Sie müssen das Kennwort kennen.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Öffnen Sie mithilfe des Kontos aus Schritt 1 das Microsoft Defender-Portal unterhttps://security.microsoft.com, und wechseln Sie zur Registerkarte Email & Zusammenarbeit>Angriffssimulationstraining>Einstellungen. Oder verwenden Sie https://security.microsoft.com/attacksimulator?viewid=setting, um direkt zur Registerkarte Einstellungen zu wechseln.
Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Teams-Simulationskonfiguration die Option Manager-Benutzerkonten aus.
Wählen Sie im geöffneten Flyout der Teams-Simulationskonfigurationtoken generieren aus. Lesen Sie die Informationen im Bestätigungsdialogfeld, und wählen Sie dann Ich stimme zu aus.
Wählen Sie wieder auf der Registerkarte Einstellungen im Abschnitt Teams-Simulationskonfiguration die Option Manager-Benutzerkonten aus, um das Flyout der Teams-Simulationskonfiguration erneut zu öffnen. Das Benutzerkonto, in dem Sie angemeldet waren, wird jetzt im Abschnitt Benutzerkonten angezeigt, die für Teams-Phishing verfügbar sind .
Um einen Benutzer aus der Liste zu entfernen, aktivieren Sie das Kontrollkästchen neben dem Anzeigenamenwert, ohne auf eine andere Stelle in der Zeile zu klicken. Wählen Sie die aktion Löschen aus, die angezeigt wird, und klicken Sie dann im Bestätigungsdialogfeld auf Löschen.
Um zu verhindern, dass das Konto in Teams-Simulationen verwendet wird, aber den verknüpften Simulationsverlauf für das Konto beibehalten soll, aktivieren Sie das Kontrollkästchen neben dem Anzeigenamenwert, ohne auf eine andere Stelle in der Zeile zu klicken. Wählen Sie die aktion Deaktivieren aus, die angezeigt wird.
Änderungen in Simulationen für Microsoft Teams
Teams führt die folgenden Änderungen beim Anzeigen und Erstellen von Simulationen ein, wie unter Simulieren eines Phishingangriffs mit Angriffssimulationstraining in Defender for Office 365 beschrieben:
Auf der Registerkarte Simulationen unter https://security.microsoft.com/attacksimulator?viewid=simulationszeigt die Spalte Plattform den Wert Teams für Simulationen an, die Teams-Nachrichten verwenden.
Wenn Sie auf der Registerkarte Simulationen die Option Simulation starten auswählen, um eine Simulation zu erstellen, lautet die erste Seite des Assistenten für neue Simulationen Bereitstellungsplattform auswählen, auf der Sie Microsoft Teams auswählen können. Wenn Sie Microsoft Teams auswählen, werden die folgenden Änderungen am Rest des neuen Simulations-Assistenten vorgenommen:
Auf der Seite Technik auswählen sind die folgenden Social Engineering-Techniken nicht verfügbar:
- Schadsoftwareanlage
- Link in Anlage
- Anleitung
Auf der Seite Namenssimulation sind der Abschnitt Microsoft Teams-Konto des Absenders auswählen und der Link Benutzerkonto auswählen vorhanden. Wählen Sie Benutzerkonto auswählen aus, um das Konto zu suchen, das als Quelle für die Teams-Nachricht verwendet werden soll.
Die Liste der Benutzer stammt aus dem Abschnitt Teams-Simulationskonfiguration auf der Registerkarte Einstellungen von Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=setting. Das Konfigurieren von Konten wird weiter oben in diesem Artikel im Abschnitt Konfiguration der Teams-Simulation beschrieben.
Auf der Seite Nutzlast und Anmeldung auswählen werden standardmäßig keine Nutzlasten aufgeführt, da keine integrierten Nutzlasten für Teams vorhanden sind. Sie müssen eine Nutzlast für die Kombination aus Teams und der von Ihnen ausgewählten Social Engineering-Technik erstellen.
Die Unterschiede beim Erstellen von Nutzlasten für Teams werden im Abschnitt Änderungen an Nutzlasten für Microsoft Teams in diesem Artikel beschrieben.
Auf der Seite Zielbenutzer unterscheiden sich die folgenden Einstellungen für Teams:
- Wie auf der Seite erwähnt, sind Gastbenutzer in Teams von Simulationen ausgeschlossen.
Andere Einstellungen im Zusammenhang mit Simulationen sind für Teams-Nachrichten identisch, wie in den vorhandenen Inhalten für E-Mail-Nachrichten beschrieben.
Änderungen an Nutzlasten für Microsoft Teams
Unabhängig davon, ob Sie eine Nutzlast auf der Seite Nutzlasten der Registerkarte Inhaltsbibliothek oder auf der Seite Nutzlast und Anmeldeseite auswählen im assistenten für die neue Simulation erstellen, führt Teams die folgenden Änderungen zum Anzeigen und Erstellen von Nutzlasten ein, wie unter Nutzlasten in Angriffssimulationstraining in Defender for Office 365 beschrieben:
Auf den Registerkarten Globale Nutzlasten und Mandantennutzlasten auf der Registerkarte " Nutzlasten " der Registerkarte "Inhaltsbibliothek " unter wird in https://security.microsoft.com/attacksimulator?viewid=contentlibraryder Spalte Plattform der Wert Teams für Nutzlasten angezeigt, die Teams-Nachrichten verwenden.
Wenn Sie Filter auswählen, um die Liste der vorhandenen Nutzlasten zu filtern, ist ein Abschnitt Plattform verfügbar, in dem Sie Email und Teams auswählen können.
Wie bereits beschrieben, gibt es keine integrierten Nutzlasten für Teams. Wenn Sie also auf der Registerkarte Globale Nutzlasten nach Status>Teams filtern, ist die Liste leer.
Wenn Sie auf der Registerkarte Mandantennutzlasten die Option Nutzlast erstellen auswählen, um eine Nutzlast zu erstellen, lautet die erste Seite des Assistenten für neue Nutzlasten Select type where you can select Teams.If you select a payload select a payload to create a payload, to create a payload, the first page of the new payload wizard is Select type where you can select Teams. Wenn Sie Teams auswählen, werden die folgenden Änderungen am Rest des Assistenten für neue Nutzlasten eingeführt:
Auf der Seite "Technik auswählen " sind die Techniken "Schadsoftwareanlage " und "Link" in "Attachment Social Engineering" für Teams nicht verfügbar.
Die Seite Nutzlast konfigurieren enthält die folgenden Änderungen für Teams:
- Abschnitt "Absenderdetails ": Die einzige verfügbare Einstellung für Teams ist das Chatthema , in dem Sie eine Kachel für die Teams-Nachricht eingeben.
- Der letzte Abschnitt heißt nicht Email Nachricht, funktioniert aber für Teams-Nachrichten genauso wie für E-Mail-Nachrichten:
- Es gibt eine Schaltfläche "Teams-Nachricht importieren ", um eine vorhandene Nur-Text-Nachrichtendatei zu importieren, die als Ausgangspunkt verwendet werden kann.
- Die Steuerelemente "Dynamisches Tag" und "Phishinglink " sind auf der Registerkarte "Text " und die Registerkarte "Code " wie bei E-Mail-Nachrichten verfügbar.
Andere Einstellungen im Zusammenhang mit Nutzlasten sind für Teams-Nachrichten identisch, wie in den vorhandenen Inhalten für E-Mail-Nachrichten beschrieben.
Änderungen an Simulationsautomatisierungen für Microsoft Teams
Teams führt die folgenden Änderungen an der Anzeige und Erstellung von Simulationsautomatisierungen ein, wie unter Simulationsautomatisierungen für Angriffssimulationstraining beschrieben:
Auf der Seite Simulationsautomatisierungen auf der Registerkarte Automatisierungen unter https://security.microsoft.com/attacksimulator?viewid=automationssind auch die folgenden Spalten verfügbar:
- Typ: Derzeit ist dieser Wert immer Social Engineering.
- Plattform: Zeigt den Wert Teams für Nutzlastautomatisierungen an, die Teams-Nachrichten oder Email für Nutzlastautomatisierungen verwenden, die E-Mail-Nachrichten verwenden.
Wenn Sie auf der Seite Simulationsautomatisierungen die Option Automatisierung erstellen auswählen, um eine Simulationsautomatisierung zu erstellen, lautet die erste Seite des Assistenten für die neue Simulationsautomatisierung Bereitstellungsplattform auswählen, auf der Sie Teams auswählen können. Wenn Sie Teams auswählen, werden die folgenden Änderungen am Rest des neuen Simulationsautomatisierungs-Assistenten vorgenommen:
Auf der Seite Automation-Name sind die folgenden Einstellungen für Teams im Abschnitt Methode auswählen zum Auswählen von Absenderkonten verfügbar:
- Manuell auswählen: Dieser Wert ist standardmäßig ausgewählt. Wählen Sie im Abschnitt Microsoft Teams-Konto des Absenders auswählen die Option Benutzerkonto auswählen aus, um das Konto zu suchen, das als Quelle für die Teams-Nachricht verwendet werden soll.
- Randomize: Wählen Sie zufällig aus den verfügbaren Konten aus, die als Quelle für die Teams-Nachricht verwendet werden sollen.
Auf der Seite Social Engineering-Techniken auswählen sind die Schadsoftwareanlagen und -links in Attachment Social Engineering-Techniken für Teams nicht verfügbar.
Auf der Seite Nutzlasten und Anmeldung auswählen werden standardmäßig keine Nutzlasten aufgeführt, da keine integrierten Nutzlasten für Teams vorhanden sind. Möglicherweise müssen Sie eine Nutzlast für die Kombination aus Teams und den von Ihnen ausgewählten Social Engineering-Techniken erstellen.
Die Unterschiede beim Erstellen von Nutzlasten für Teams werden im Abschnitt Änderungen an Nutzlasten für Microsoft Teams in diesem Artikel beschrieben.
Auf der Seite Zielbenutzer unterscheiden sich die folgenden Einstellungen für Teams:
- Wie auf der Seite erwähnt, können Simulationsautomatisierungen, die Teams verwenden, maximal 1.000 Benutzer ansprechen.
- Wenn Sie Nur bestimmte Benutzer und Gruppen einschließen auswählen, ist City kein verfügbarer Filter im Abschnitt Benutzer nach Kategorie filtern .
Andere Einstellungen im Zusammenhang mit Simulationsautomatisierungen sind für Teams-Nachrichten identisch, wie in den vorhandenen Inhalten für E-Mail-Nachrichten beschrieben.