適用於 攻擊模擬訓練的承載自動化
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在 Microsoft 365 E5 或 適用於 Office 365 的 Microsoft Defender 方案 2 的 攻擊模擬訓練 中,承載自動化 (也稱為承載收集) 收集組織中使用者所報告之真實世界網路釣魚攻擊的資訊。 您可以指定網路釣魚攻擊中要尋找的條件 (例如收件者、社交工程技術或寄件者資訊) 。
承載自動化會模擬來自攻擊的訊息和承載,並將它們儲存為自定義承載,並在承載名稱中包含標識碼。 然後,您可以在模擬或自動化中使用收集到的承載,自動對目標用戶啟動無害的模擬。
如需如何收集承載自動化的詳細資訊,請參閱本文結尾的 附錄 一節。
如需有關 攻擊模擬訓練 的入門資訊,請參閱開始使用 攻擊模擬訓練。
若要查看您建立的任何現有承載自動化,請在 https://security.microsoft.com開啟 Microsoft Defender 入口網站,移至 Email & 共同作業>攻擊模擬訓練>[自動] 索引卷標>,然後選取 [承載自動化]。 若要直接移至您可以在其中選取 [承載自動化] 的 [自動化] 索引標籤,請使用 https://security.microsoft.com/attacksimulator?viewid=automations。
每個承載自動化都會顯示下列資訊。 您可以按下可用的數據列標頭來排序承載自動化。
- 自動化名稱
- 類型:值為 Payload。
- 收集的專案
- 上次修改日期
- 狀態:值為 Ready 或 Draft。
提示
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 從檢視中移除數據行。
- 縮小網頁瀏覽器。
建立承載自動化
若要建立承載自動化,請執行下列步驟:
在 Microsoft Defender 入口網站中https://security.microsoft.com/,移至 Email & 共同>作業 攻擊模擬訓練>自動載入自動化索引標籤>。 若要直接移至您可以在其中選取 [承載自動化] 的 [自動化] 索引標籤,請使用 https://security.microsoft.com/attacksimulator?viewid=automations。
在 [ 承載自動化] 頁面上,選取 [
建立自動化 ] 以啟動新的承載自動化精靈。![Microsoft Defender 入口網站中 攻擊模擬訓練 中 [承載自動化] 索引卷標上的 [建立模擬] 按鈕](media/attack-sim-training-sim-automations-create.png)
注意事項
在新承載自動化精靈命名承載自動化之後的任何時間點,您都可以選取 [儲存 並關閉 ] 以儲存進度,並在稍後繼續設定承載自動化。 不完整的承載自動化在 [自動化] 索引標籤的 [承載自動化] 中有 [狀態] 值 [草稿]。您可以選取承載自動化,然後按兩下
[編輯自動化],以從您離開的地方開始。目前,由於數據收集限制,GCC 環境中未啟用承載收集。
在 [ 自動化名稱] 頁面上,設定下列設定:
- 名稱:輸入承載自動化的唯一描述性名稱。
- 描述:輸入承載自動化的選擇性詳細描述。
當您在 [ 自動化名稱 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 執行條件] 頁面上,選取決定自動化執行時間的實際網路釣魚攻擊條件。
選取
[新增條件] ,然後從下列其中一個條件中選取:- 不能。 營銷活動中目標使用者的:在出現的方塊中,設定下列設定:
- 等於、 小於、 大於、 小於或等於或 大於或等於。
- 輸入值:網路釣魚活動的目標用戶數目。
-
具有特定網路釣魚技術的活動:在出現的方塊中,選取其中一個可用的值:
- 認證收集
- 惡意代碼附件
- 附件中的連結
- 連結至惡意代碼
- 操作指南
- 特定寄件者網域:在出現的方塊中,輸入寄件者電子郵件域值 (例如,contoso.com) 。
- 特定寄件者名稱:在出現的方塊中,輸入寄件人名稱值。
- 特定寄件者電子郵件:在出現的方塊中,輸入寄件者電子郵件位址。
- 特定使用者和群組收件者:在出現的方塊中,開始輸入使用者或群組的名稱或電子郵件位址。 出現時,請選取它。
您只能使用每個條件一次。 多個條件 (<Condition1> 和 <Condition2>) 使用 AND 邏輯。
若要新增另一個條件,請選取 [
新增條件]。若要在新增條件之後移除條件,請選擇
。當您在 [ 執行條件 ] 頁面上完成時,請選取 [ 下一步]。
- 不能。 營銷活動中目標使用者的:在出現的方塊中,設定下列設定:
在 [ 檢閱自動化 ] 頁面上,您可以檢閱承載自動化的詳細數據。
您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
當您在 [ 檢閱自動化 ] 頁面上完成時,請選取 [ 提交]。
在 [ 新自動化建立的 ] 頁面上,您可以使用鏈接來開啟承載自動化,或移至 [模擬] 頁面。
當您完成時,請選取 [ 完成]。
回到 [自動化] 索引標籤中的 [承載自動化],您建立的承載自動化現在會以 [狀態] 值 [就緒] 列出。
![Microsoft Defender 入口網站中 攻擊模擬訓練 中 [承載自動化] 索引卷標上的 [建立模擬] 按鈕](media/attack-sim-training-sim-automations-create.png#lightbox)
開啟或關閉承載自動化
您可以使用 [狀態 ] 值 [ 就緒] 來開啟或關閉承載自動化。 您無法使用 [狀態 ] 值 [ 草稿] 開啟或關閉不完整的承載自動化。
若要開啟承載自動化,請按下名稱旁邊的複選框,從清單中選取它。 選取出現的 
[開啟 ] 動作,然後在對話框中選取 [ 確認 ]。
若要關閉承載自動化,請按下名稱旁邊的複選框,從清單中選取它。 選取出現的 [關閉] 動作,然後在對話框中選取 [ 確認 ]。
修改承載自動化
您只能使用 [狀態 ] 值 [草稿 ] 或 [已關閉] 來修改承載自動化。
若要在 [承載自動化] 頁面上修改現有的承載 自動化 ,請執行下列其中一個步驟:
- 選取名稱旁邊的複選框,從清單中選取承載自動化。 選取出現的 [編輯自動化 ] 動作。
- 按兩下資料列中除了複選框以外的任何位置,即可從清單中選取承載自動化。 在開啟的詳細數據飛出視窗中,於 [一般] 索引卷標上,選取 [名稱]、[描述] 或 [執行條件] 區段中的 [編輯]。
隨即開啟承載自動化精靈,其中包含所選承載自動化的設定和值。 這些步驟與 建立承載自動化 一節中所述的步驟相同。
拿掉承載自動化
若要移除承載自動化,請按兩下複選框,從清單中選取承載自動化。 選取出現的 [刪除 ] 動作,然後在對話框中選取 [ 確認 ]。
檢視承載自動化詳細數據
針對 [ 狀態 ] 值為 [ 就緒] 的承載自動化,請按下名稱旁邊複選框以外的數據列中的任何位置,從 [ 承載自動化 ] 頁面選取承載。 開啟的詳細資料飛出視窗包含下列資訊:
承載自動化名稱和收集的項目數目。
一般 索引標籤:
- 上次修改日期
- 類型:值為 Payload。
- 名稱、 描述和 執行條件 區段:選取 [編輯 ] 以在相關頁面上開啟承載自動化精靈。
執行歷程記錄索引 標籤:此索引標籤僅適用於具有 [狀態 ] 值 [ 就緒] 的承載自動化。
顯示使用承載自動化之模擬執行歷程記錄的相關信息。
![承載自動化詳細數據飛出視窗中的 [執行歷程記錄] 索引標籤。](media/attack-sim-training-payload-automations-details-run-history.png)
![承載自動化詳細數據飛出視窗中的 [執行歷程記錄] 索引標籤。](media/attack-sim-training-payload-automations-details-run-history.png#lightbox)
提示
若要查看其他承載自動化的詳細數據,而不需離開詳細數據飛出視窗,請使用
飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
附錄
承載自動化依賴由 適用於 Office 365 的 Defender 識別為營銷活動的電子郵件訊息:
將 訊息標示為網路釣魚 的系統管理員不會產生承載收集。
承載自動化需要存取原始承載,其中可能包含符合下列準則的使用者報告訊息:
- 訊息已傳遞至收件匣 (誤判) 。
- 使用者將訊息回報為網路釣魚。
- 回報的訊息是由使用者或系統 管理員直接從 提交入口網站) 提交至Microsoft (,Microsoft判斷訊息為網路釣魚。
如果訊息符合本文稍早所述的承載自動化準則,則會收集合格的承載, (建立承載自動化) 中的步驟 4。