Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Im Training für Angriffssimulationen in Microsoft 365 E5 oder Microsoft Defender für Office 365 Plan 2 erfassen Automatisierungen für Nutzdaten (auch als Nutzdatenerfassung bezeichnet) Informationen aus realen Phishingangriffen, die von Benutzern in Ihrer Organisation gemeldet wurden. Sie können die Bedingungen angeben, die bei Phishingangriffen gesucht werden sollen (z. B. Empfänger, Social Engineering-Technik oder Absenderinformationen).
Die Nutzlastautomatisierung imitiert die Nachrichten und Nutzlasten des Angriffs und speichert sie als benutzerdefinierte Nutzlasten mit Bezeichnern im Nutzlastnamen. Anschließend können Sie die ernteten Nutzlasten in Simulationen oder Automatisierungen verwenden, um automatisch harmlose Simulationen für Zielbenutzer zu starten.
Nutzlastautomatisierungen basieren auf E-Mail-Nachrichten, die Defender for Office 365 als Phishingkampagnen identifiziert werden. Geeignete Nutzdaten werden aus von Benutzern gemeldeten Nachrichten extrahiert, die im Posteingang zugestellt, als Phishing gemeldet und von Microsoft als Phishing bestätigt wurden. Weitere Informationen finden Sie unter Wie Payload-Automatisierungen Payloads erfassen.
Informationen zu den ersten Schritten zu Angriffssimulationstraining finden Sie unter Erste Schritte mit Angriffssimulationstraining.
Um vorhandene Nutzlastautomatisierungen anzuzeigen, die Sie erstellt haben, öffnen Sie das Microsoft Defender-Portal unter
Die folgenden Informationen werden für jede Nutzlastautomatisierung angezeigt. Sie können die Nutzlastautomatisierungen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.
- Name der Automatisierung
- Typ: Der Wert ist Payload.
- Gesammelte Elemente
- Zuletzt geändert
- Status: Der Wert ist Bereit oder Entwurf.
Tipp
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Entfernen Sie Spalten aus der Ansicht.
- Verkleinern Sie die Ansicht in Ihrem Webbrowser.
Erstellen von Nutzlastautomatisierungen
Führen Sie die folgenden Schritte aus, um eine Nutzlastautomatisierung zu erstellen:
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.com/zu E-Mail und Zusammenarbeit>Training für Angriffssimulation>zur Registerkarte Automatisierungen>Nutzlastautomatisierungen. Um direkt zur Registerkarte Automatisierungen zu wechseln, auf der Sie Nutzlastautomatisierungen auswählen können, verwenden Sie https://security.microsoft.com/attacksimulator?viewid=automations.
Wählen Sie auf der Seite Nutzlastautomatisierungen die Option
Automatisierung erstellen aus, um den Assistenten für die Automatisierung neuer Nutzlasten zu starten.Hinweis
Ab dem Zeitpunkt, an dem Sie die Nutzlastautomatisierung im Assistenten für die neue Nutzlastautomatisierung benennen, können Sie Speichern und schließen auswählen, um den Fortschritt zu speichern und die Konfiguration der Nutzlastautomatisierung später fortzusetzen. Die unvollständige Nutzlastautomatisierung weist den StatuswertEntwurf in Nutzlastautomatisierungen auf der Registerkarte Automatisierungen auf. Sie können dort fortfahren, wo Sie aufgehört haben, indem Sie die Nutzlastautomatisierung auswählen und auf
Automatisierung bearbeiten klicken.Derzeit ist das Sammeln von Nutzdaten in GCC-Umgebungen aufgrund von Datensammlungseinschränkungen nicht aktiviert.
Konfigurieren Sie auf der Seite Automation-Name die folgenden Einstellungen:
- Name: Geben Sie einen eindeutigen, beschreibenden Namen für die Nutzlastautomatisierung ein.
- Beschreibung: Geben Sie optional eine ausführliche Beschreibung für die Nutzlastautomatisierung ein.
Wenn Sie auf der Seite Automation-Name fertig sind, wählen Sie Weiter aus.
Wählen Sie auf der Seite Ausführungsbedingungen die Bedingungen des tatsächlichen Phishingangriffs aus, der bestimmt, wann die Automatisierung ausgeführt wird.
Wählen Sie
Bedingung hinzufügen und dann eine der folgenden Bedingungen aus:- Nein der In der Kampagne gezielten Benutzer: Konfigurieren Sie in den angezeigten Feldern die folgenden Einstellungen:
- Gleich, Kleiner als, Größer als, Kleiner als oder gleich oder Größer als oder gleich.
- Wert eingeben: Die Anzahl der Benutzer, auf die die Phishingkampagne abzielt.
-
Kampagnen mit einer bestimmten Phish-Technik: Wählen Sie in dem angezeigten Feld einen der verfügbaren Werte aus:
- Ernte von Anmeldeinformationen
- Malware-Anhang
- Link in Anlage
- Link zu Schadsoftware
- Anleitung
- Bestimmte Absenderdomäne: Geben Sie in das angezeigte Feld einen Wert für die Absender-E-Mail-Domäne ein (z. B. contoso.com).
- Bestimmter Absendername: Geben Sie in das angezeigte Feld einen Wert für den Absendernamen ein.
- Bestimmte Absender-E-Mail: Geben Sie in das angezeigte Feld eine Absender-E-Mail-Adresse ein.
- Bestimmte Benutzer- und Gruppenempfänger: Beginnen Sie in das angezeigte Feld, den Namen oder die E-Mail-Adresse des Benutzers oder der Gruppe einzugeben. Wenn sie angezeigt wird, wählen Sie sie aus.
Sie können jede Bedingung nur einmal verwenden. Mehrere Bedingungen verwenden AND-Logik (<Bedingung1> und <Bedingung2>).
Um eine weitere Bedingung hinzuzufügen, wählen Sie
Bedingung hinzufügen aus.Um eine Bedingung nach dem Hinzufügen zu entfernen, wählen Sie aus
.Wenn Sie auf der Seite Ausführungsbedingungen fertig sind, wählen Sie Weiter aus.
- Nein der In der Kampagne gezielten Benutzer: Konfigurieren Sie in den angezeigten Feldern die folgenden Einstellungen:
Auf der Seite Automatisierung überprüfen können Sie die Details ihrer Nutzlastautomatisierung überprüfen.
Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.
Wenn Sie auf der Seite Automatisierung prüfen fertig sind, wählen Sie Absenden aus.
Auf der Seite Neu erstellte Automatisierung können Sie die Links verwenden, um die Nutzlastautomatisierung zu aktivieren oder zur Seite Simulationen zu wechseln.
Wenn Sie fertig sind, wählen Sie Fertig aus.
Zurück zu Nutzlastautomatisierungen auf der Registerkarte Automatisierungen wird die von Ihnen erstellte Nutzlastautomatisierung jetzt mit dem StatuswertBereit aufgelistet.
Aktivieren oder Deaktivieren von Nutzlastautomatisierungen
Sie können Nutzlastautomatisierungen mit dem StatuswertBereit aktivieren oder deaktivieren. Sie können unvollständige Nutzlastautomatisierungen nicht mit dem StatuswertEntwurf aktivieren oder deaktivieren.
Um eine Nutzlastautomatisierung zu aktivieren, wählen Sie sie aus der Liste aus, indem Sie auf das Kontrollkästchen neben dem Namen klicken. Wählen Sie die
aktion Aktivieren aus, die angezeigt wird, und wählen Sie dann im Dialogfeld Bestätigen aus.
Um eine Nutzlastautomatisierung zu deaktivieren, wählen Sie sie aus der Liste aus, indem Sie auf das Kontrollkästchen neben dem Namen klicken. Wählen Sie die
aktion Deaktivieren aus, die angezeigt wird, und klicken Sie dann im Dialogfeld auf Bestätigen.
Ändern von Nutzlastautomatisierungen
Sie können Payload-Automatisierungen nur ändern, wenn der Status den Wert „Entwurf“ hat oder wenn sie deaktiviert sind.
Führen Sie einen der folgenden Schritte aus, um eine vorhandene Nutzlastautomatisierung auf der Seite Nutzlastautomatisierungen zu ändern:
- Wählen Sie die Nutzlastautomatisierung aus der Liste aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Wählen Sie die Aktion
Automatisierung bearbeiten aus, die angezeigt wird. - Wählen Sie die Nutzlastautomatisierung aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile mit Ausnahme des Kontrollkästchens klicken. Wählen Sie im daraufhin geöffneten Details-Flyout auf der Registerkarte Allgemein in den Abschnitten Name, Beschreibung oder Ausführungsbedingungen die Option Bearbeiten aus.
Der Nutzlastautomatisierungs-Assistent wird mit den Einstellungen und Werten der ausgewählten Nutzlastautomatisierung geöffnet. Der Assistent verwendet dieselben Seiten: Automatisierungsname (Name und Beschreibung), Ausführungsbedingungen (Kriterien für Phishingangriffe) und Automatisierung überprüfen (prüfen und senden). Ausführliche Beschreibungen der einzelnen Seiten finden Sie unter Erstellen von Nutzlastautomatisierungen.
Payload-Automatisierungen entfernen
Warning
Dieser Vorgang kann nicht rückgängig gemacht werden. Wenn Sie eine Nutzlastautomatisierung löschen, werden auch alle gesammelten Nutzlasten und der Ausführungsverlauf für diese Automatisierung gelöscht.
Um eine Nutzlastautomatisierung zu entfernen, wählen Sie sie aus der Liste aus, indem Sie auf das Kontrollkästchen klicken. Wählen Sie die
aktion Löschen aus, die angezeigt wird, und klicken Sie dann im Dialogfeld auf Bestätigen.
Anzeigen von Details zur Nutzlastautomatisierung
Zum Anzeigen von Details muss die Nutzlastautomatisierung den Statuswert"Ready" aufweisen. Klicken Sie auf der Seite " Nutzlastautomatisierungs" auf eine beliebige Stelle in der Anderen Zeile als dem Kontrollkästchen. Ein Detail-Flyout wird mit den folgenden Informationen geöffnet:
Der Automatisierungsname und die Anzahl der erfassten Elemente.
Registerkarte Allgemein:
- Zuletzt geändert
- Typ: Der Wert ist Payload.
- Abschnitte "Name", "Beschreibung" und " Bedingungen ausführen ": Wählen Sie "Bearbeiten" aus, um den Assistenten für diese Seite zu öffnen.
Registerkarte "Ausführungsverlauf": Nur verfügbar, wenn StatusBereit ist.
Zeigt den Verlauf der Ausführung von Simulationen an, die diese Automatisierung verwendet haben.
Tipp
Um Details zu anderen Nutzlastautomatisierungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie
Vorheriges Element und Nächstes Element oben im Flyout.
Anhang: Wie Payload-Automatisierungen Payloads erfassen
Die Nutzlastautomatisierung basiert auf E-Mail-Nachrichten, die von Defender für Office 365 als Kampagnen identifiziert werden:
Das Markieren von Nachrichten als Phishing durch Administratoren führt nicht zur Erfassung von Schadinhalten.
Die Nutzlastautomatisierung benötigt Zugriff auf die unformatierte Nutzlast. Die unformatierte Nutzlast ist der ursprüngliche E-Mail-Inhalt, einschließlich Kopfzeilen, Textkörper, Links und Anlagen. Unformatierte Nutzlasten stammen aus vom Benutzer gemeldeten Nachrichten, die die folgenden Kriterien erfüllen:
- Die Nachricht wurde an den Posteingang übermittelt (falsch negativ).
- Der Benutzer hat die Nachricht als Phishing gemeldet.
- Die Nachricht wurde an Microsoft (vom Benutzer oder von einem Administrator aus dem Übermittlungsportal) gesendet. Microsoft dann bestätigt, dass die Nachricht Phishing war.
Payloads werden erfasst, wenn Nachrichten die für die Automatisierung festgelegten Ausführungsbedingungen erfüllen. Beispiele hierfür sind die Anzahl der Benutzer, Phishingtechnik, Absenderdomäne oder bestimmte Empfänger. Ausführliche Informationen finden Sie in Schritt 4 in "Erstellen von Nutzlastautomatisierungen".
Verwandte Inhalte
Erste Schritte mit dem Angriffssimulationstraining
Simulationsautomatisierungen für Angriffssimulationstraining
Gewinnen Sie Erkenntnisse durch Angriffssimulationsschulungen