Sdílet prostřednictvím


Přehledy a sestavy pro Simulační nácvik útoku

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V Simulační nácvik útoku v Microsoft Defender pro Office 365 Plan 2 nebo Microsoft 365 E5 microsoft poskytuje přehledy a sestavy z výsledků simulací a odpovídajících trénování. Tyto informace vás budou informovat o průběhu připravenosti vašich uživatelů na hrozby a doporučí další kroky k lepší přípravě uživatelů na budoucí útoky.

Přehledy a sestavy jsou k dispozici v následujících umístěních na stránce Simulační nácvik útoku na portálu Microsoft Defender:

Zbytek tohoto článku popisuje sestavy a přehledy pro Simulační nácvik útoku.

Úvodní informace o Simulační nácvik útoku najdete v tématu Začínáme používat Simulační nácvik útoku.

Přehledy na kartách Přehled a Sestavy Simulační nácvik útoku

Pokud chcete přejít na kartu Přehled, otevřete portál Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráci>Simulační nácvik útoku:

Rozdělení přehledů na kartách je popsáno v následující tabulce:

Sestava Karta Přehled Karta Sestavy
Karta nedávných simulací
Karta Doporučení
Karta pokrytí simulace
Karta dokončení školení
Karta opakovat pachatele
Dopad chování na kartu sazby ohrožení zabezpečení

Zbývající část této části popisuje informace, které jsou k dispozici na kartách Přehled a Sestavy Simulační nácvik útoku.

Karta nedávných simulací

Karta Nedávné simulace na kartě Přehled zobrazuje poslední tři simulace, které jste vytvořili nebo spustili ve vaší organizaci.

Můžete vybrat simulaci a zobrazit podrobnosti.

Výběrem možnosti Zobrazit všechny simulace přejdete na kartu Simulace .

Výběrem možnosti Spustit simulaci spustíte nového průvodce simulací. Další informace najdete v tématu Simulace útoku phishing v Defender pro Office 365.

Karta Nedávné simulace na kartě Přehled v Simulační nácvik útoku na portálu Microsoft Defender.

Karta Doporučení

Karta Doporučení na kartě Přehled navrhuje různé typy simulací, které se mají spustit.

Výběrem možnosti Spustit spustíte nového průvodce simulací se zadaným typem simulace automaticky vybraným na stránce Vybrat techniku . Další informace najdete v tématu Simulace útoku phishing v Defender pro Office 365.

Karta Doporučení na kartě Přehled v Simulační nácvik útoku na portálu Microsoft Defender.

Karta pokrytí simulace

Karta Pokrytí simulace na kartách Přehled a Sestavy zobrazuje procento uživatelů ve vaší organizaci, kteří obdrželi simulaci (simulování uživatelé), a uživatelů, kteří simulaci neobdrželi (nesimulovali uživatele). Když najedete myší na oddíl v grafu, zobrazí se skutečný počet uživatelů v každé kategorii.

Výběrem možnosti Zobrazit sestavu pokrytí simulace se dostanete na kartu Pokrytí uživatele pro sestavu simulace útoku.

Výběrem možnosti Spustit simulaci pro nesimulované uživatele se spustí průvodce novou simulací, kde se na stránce Cílový uživatel automaticky vyberou uživatelé, kteří simulaci neobdrželi. Další informace najdete v tématu Simulace útoku phishing v Defender pro Office 365.

Karta Pokrytí simulace na kartě Přehled v Simulační nácvik útoku na portálu Microsoft Defender.

Karta dokončení školení

Karta Dokončení trénování na kartách Přehled a Sestavy uspořádá procenta uživatelů, kteří dostali školení na základě výsledků simulací, do následujících kategorií:

  • Hotový
  • Probíhá
  • Neúplný

Když najedete myší na oddíl v grafu, zobrazí se skutečný počet uživatelů v každé kategorii.

Výběrem možnosti Zobrazit sestavu dokončení trénování přejdete na kartu Dokončení trénování pro sestavu simulace útoku.

Karta Dokončení trénování na kartě Přehled v Simulační nácvik útoku na portálu Microsoft Defender.

Karta opakovat pachatele

Karta Opakovat pachatele na kartách Přehled a Sestavy zobrazuje informace o opakovaných pachatelích. Opakovaným pachatelem je uživatel, který byl ohrožen po sobě jdoucími simulacemi. Výchozí počet po sobě jdoucích simulací je dvě, ale hodnotu můžete změnit na kartě Nastavení Simulační nácvik útoku na adrese https://security.microsoft.com/attacksimulator?viewid=setting. Další informace najdete v tématu Konfigurace prahové hodnoty opakování pachatele.

Graf uspořádá opakující se data o pachatelích podle typu simulace:

  • Vše
  • Příloha malwaru
  • Odkaz na malware
  • Credential Harvest
  • Odkaz v přílohách
  • Adresa URL pro nájezdy

Výběrem možnosti Zobrazit sestavu opakovaného pachatele přejdete na kartu Opakovat pachatele pro sestavu simulace útoku.

Karta Opakovat pachatele na kartě Přehled v Simulační nácvik útoku na portálu Microsoft Defender

Dopad chování na kartu sazby ohrožení zabezpečení

Karta Dopad chování na míru ohrožení na kartách Přehled a Sestavy ukazuje, jak vaši uživatelé reagovali na simulace v porovnání s historickými daty v Microsoftu 365. Tyto přehledy můžete použít ke sledování průběhu připravenosti uživatelů na hrozby spuštěním více simulací se stejnými skupinami uživatelů.

V datech grafu se zobrazují následující informace:

  • Skutečná míra ohrožení zabezpečení: Skutečné procento lidí, kteří byli simulací ohroženi (ohrožení zabezpečení skutečných uživatelů / celkový počet uživatelů ve vaší organizaci, kteří simulaci obdrželi).
  • Predikovaná míra ohrožení zabezpečení: Historická data v Microsoftu 365, která předpovídají procento lidí, kteří budou touto simulací ohroženi. Další informace o predikované míře ohrožení zabezpečení (PCR) najdete v tématu Predikovaná míra ohrožení zabezpečení.

Pokud najedete myší na datový bod v grafu, zobrazí se skutečné procentuální hodnoty.

Pokud chcete zobrazit podrobnou sestavu, vyberte Zobrazit simulace a trénování sestavy účinnosti. Tato sestava je vysvětlena dále v tomto článku.

Karta Dopad chování na míru ohrožení na kartě Přehled v Simulační nácvik útoku na portálu Microsoft Defender.

Sestava simulace útoku

Sestavu simulace útoku můžete otevřít na kartě Přehled výběrem možnosti Zobrazit ... akce sestavy, které jsou k dispozici na některých kartách na kartách Přehled a Sestavy popsané v tomto článku. Pokud chcete přejít přímo na stránku sestavy simulace útoku , použijte https://security.microsoft.com/attacksimulationreport

Karta efektivity trénování pro sestavu simulace útoku

Na stránce sestavy simulace útoku je ve výchozím nastavení vybrána karta Efektivita trénování. Tato karta obsahuje stejné informace, které jsou k dispozici na kartě Behavior impact on compromise rate (Dopad chování na míru ohrožení ) a další kontext ze samotné simulace.

Karta Účinnost trénování v sestavě simulace útoku na portálu Microsoft Defender.

Graf zobrazuje skutečnou míru ohrožení zabezpečení a míru předpokládaného ohrožení zabezpečení. Pokud najedete myší na oddíl v grafu, zobrazí se skutečné procentuální hodnoty pro.

V tabulce podrobností pod grafem jsou uvedené následující informace. Simulace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.

  • Název simulace
  • Technika simulace
  • Simulační taktika
  • Predikovaná míra ohrožení zabezpečení
  • Skutečná míra ohrožení zabezpečení
  • Celkový počet cílových uživatelů
  • Počet klikaných uživatelů

Pomocí vyhledávacího pole vyfiltrujte výsledky podle názvu simulace nebo techniky simulace. Zástupné cardy se nepodporují.

Pomocí tlačítka Exportovat sestavu uložte informace do souboru CSV. Výchozí název souboru je Sestava simulace útoku – Microsoft Defender.csv a výchozím umístěním je místní složka Stažené soubory. Pokud exportovaná sestava již v tomto umístění existuje, název souboru se zvýší (například sestava simulace útoku – Microsoft Defender (1).csv).

Karta Pokrytí uživatele pro sestavu simulace útoku

Na kartě Pokrytí uživatele graf zobrazuje simulované uživatele a nesimulované uživatele. Pokud najedete myší na datový bod v grafu, zobrazí se skutečné hodnoty.

Karta Pokrytí uživatelem v sestavě simulace útoku na portálu Microsoft Defender.

V tabulce podrobností pod grafem jsou uvedené následující informace. Informace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.

  • Uživatelské jméno
  • E-mailová adresa
  • Součástí simulace
  • Datum poslední simulace
  • Výsledek poslední simulace
  • Počet kliknutí
  • Počet ohrožených

Pomocí vyhledávacího pole můžete filtrovat výsledky podle uživatelského jména nebo Email adresy. Zástupné cardy se nepodporují.

Pomocí tlačítka Exportovat sestavu uložte informace do souboru CSV. Výchozí název souboru je Sestava simulace útoku – Microsoft Defender.csv a výchozím umístěním je místní složka Stažené soubory. Pokud exportovaná sestava již v tomto umístění existuje, název souboru se zvýší (například sestava simulace útoku – Microsoft Defender (1).csv).

Karta dokončení trénování pro sestavu simulace útoku

Na kartě Dokončení trénování se v grafu zobrazuje počet dokončených, probíhajících a neúplných simulací. Pokud najedete myší na oddíl v grafu, zobrazí se skutečné hodnoty.

Karta Dokončení trénování v sestavě simulace útoku na portálu Microsoft Defender.

V tabulce podrobností pod grafem jsou uvedené následující informace. Informace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.

  • Uživatelské jméno
  • E-mailová adresa
  • Součástí simulace
  • Datum poslední simulace
  • Výsledek poslední simulace
  • Název posledního dokončeného trénování
  • Datum dokončení
  • Všechna školení

Vyberte Filtr a vyfiltrujte tabulku s podrobnostmi podle hodnot Stavu trénování: Dokončeno, Probíhá nebo Vše.

Po dokončení konfigurace filtrů vyberte Použít, Zrušit nebo Vymazat filtry.

Pomocí vyhledávacího pole můžete filtrovat výsledky podle uživatelského jména nebo Email adresy. Zástupné cardy se nepodporují.

Pokud vyberete tlačítko Exportovat sestavu, průběh generování sestavy se zobrazí jako procento dokončení. V dialogovém okně, které se otevře, se můžete rozhodnout otevřít soubor .csv, uložit soubor .csv a výběr si zapamatovat.

Karta Opakovat pachatele pro sestavu simulace útoku

Opakovaným pachatelem je uživatel, který byl ohrožen po sobě jdoucími simulacemi. Výchozí počet po sobě jdoucích simulací je dvě, ale hodnotu můžete změnit na kartě Nastavení Simulační nácvik útoku na adrese https://security.microsoft.com/attacksimulator?viewid=setting. Další informace najdete v tématu Konfigurace prahové hodnoty opakování pachatele.

Na kartě Opakovat pachatele graf zobrazuje počet uživatelů Opakování pachatelů a Simulovaných uživatelů.

Karta Opakovat pachatele v sestavě simulace útoku na portálu Microsoft Defender.

Pokud najedete myší na datový bod v grafu, zobrazí se skutečné hodnoty.

V tabulce podrobností pod grafem jsou uvedené následující informace. Informace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.

  • Uživatel: Jméno uživatele.

  • Typy simulací: Typ simulací, ve kterých byl uživatel zapojen.

  • Simulace: Název simulací, ve kterých byl uživatel zapojen.

  • Email adresa: Email adresa uživatele.

  • Nejnovější počet opakování: Nejnovější počet ohrožení zabezpečení pro uživatele zařazené do kategorie opakujících se pachatelů. Pokud je například prahová hodnota opakování pachatele nastavená na 3 a uživatel byl ohrožen ve 3 po sobě jdoucích simulacích, pak je poslední počet opakování 3. Pokud byl uživatel ohrožen ve 4 po sobě jdoucích simulacích, je nejnovější počet opakování 4. Pokud došlo k ohrožení zabezpečení uživatele ve dvou po sobě jdoucích simulacích, hodnota není k dispozici. Nejnovější počet opakování se nastaví na 0 (N/A) při každém resetování příznaku opakovaného pachatele (to znamená, že uživatel projde simulací).

  • Opakované trestné činy: Zahrnuje počet, kolikrát byl uživatel klasifikován jako opakovaný pachatel. Příklady:

    • Uživatel byl v několika prvních simulacích klasifikován jako opakující se pachatel (byl ohrožen třikrát po sobě, kde je prahová hodnota opakovaného pachatele 2).
    • Uživatel byl po dokončení simulace klasifikován jako "čistý".
    • Uživatel byl v několika dalších simulacích klasifikován jako opakovaný pachatel (byl ohrožen 4 po sobě jdoucími časy, kde je prahová hodnota opakovaného pachatele 2).

    V těchto případech je počet opakovaných trestných činů nastaven na 2. Počet se aktualizuje pokaždé, když je uživatel považován za opakovaného pachatele.

  • Příjmení simulace

  • Výsledek poslední simulace

  • Poslední přiřazené trénování

  • Stav posledního trénování

Vyberte Filtr , pokud chcete graf a tabulku podrobností filtrovat podle jedné nebo více hodnot typu simulace:

  • Credential Harvest
  • Příloha malwaru
  • Odkaz v příloze
  • Odkaz na malware

Po dokončení konfigurace filtrů vyberte Použít, Zrušit nebo Vymazat filtry.

Pomocí vyhledávacího pole vyfiltrujte výsledky podle libovolné hodnoty sloupce. Zástupné cardy se nepodporují.

Pomocí tlačítka Exportovat sestavu uložte informace do souboru CSV. Výchozí název souboru je Sestava simulace útoku – Microsoft Defender.csv a výchozím umístěním je místní složka Stažené soubory. Pokud exportovaná sestava již v tomto umístění existuje, název souboru se zvýší (například sestava simulace útoku – Microsoft Defender (1).csv).

Sestava simulace v Simulační nácvik útoku

Sestava simulace zobrazuje podrobnosti o probíhajících nebo dokončených simulacích (hodnota Stav je Probíhající nebo Dokončeno). K zobrazení sestavy simulace použijte některou z následujících metod:

Stránka sestavy, která se otevře, obsahuje karty Sestava, **Uživatelé a Podrobnosti , které obsahují informace o simulaci. Zbývající část této části popisuje přehledy a sestavy, které jsou k dispozici na kartě Sestava .

Oddíly na kartě Sestava pro simulaci jsou popsány v následujících pododdílech.

Další informace o kartách Uživatelé a Podrobnosti najdete na následujících odkazech.

Generování sestav pro simulace kódu QR

Můžete vybrat datové části kódu QR, které se mají použít v simulacích. Kód QR nahradí adresu URL útoku phishing jako datovou část, která se používá v e-mailové zprávě simulace. Další informace najdete v tématu Datové části kódu QR.

Vzhledem k tomu, že kódy QR jsou jiným typem adresy URL útoku phishing, zůstanou uživatelské události kolem událostí čtení, odstranění, ohrožení zabezpečení a kliknutí stejné. Například při skenování kódu QR se otevře adresa URL útoku phishing, takže se událost sleduje jako událost kliknutí. Stávající mechanismy pro sledování událostí ohrožení zabezpečení, odstranění a událostí sestav zůstávají stejné.

Pokud exportujete sestavu simulace do souboru CSV, bude k dispozici sloupec EmailLinkClicked_ClickSource s následujícími hodnotami:

  • PhishingURL: Uživatel v e-mailové zprávě simulace klikl na odkaz útoku phishing.
  • QRCode: Uživatel naskenuje kód QR v e-mailové zprávě simulace.

Ostatní metriky, jako jsou čtení, ohrožení zabezpečení, odstranění a nahlášené zprávy, se dál sledují bez jakýchkoli dalších aktualizací. Další informace najdete v části Příloha dále v tomto článku.

Sestava simulace pro simulace

Tato část popisuje informace v sestavě simulace pro pravidelné simulace (ne školicí kampaně).

Karta Sestava v sestavě simulace v Simulační nácvik útoku.

Část Dopad simulace v sestavě pro simulace

Část Dopad simulace na kartě Sestava ** pro simulaci zobrazuje počet a procento ohrožených uživatelů a uživatelů, kteří zprávu nahlásili .

Pokud najedete myší na oddíl v grafu, zobrazí se skutečná čísla pro každou kategorii.

Vyberte Zobrazit ohrožené uživatele a přejděte na kartu Uživatelé v sestavě, kde jsou výsledky filtrované podle ohrožení zabezpečení: Ano.

Výběrem možnosti Zobrazit nahlášené uživatele přejděte na kartu Uživatelé v sestavě, kde se výsledky filtrují podle nahlášené zprávy: Ano.

Část Dopad simulace na kartě Sestava sestavy simulace pro simulaci.

Všechny aktivity uživatelů v sestavě pro simulace

Část Všechny aktivity uživatelů na kartě Sestava ** pro simulaci zobrazuje čísla možných výsledků simulace. Informace se liší v závislosti na typu simulace. Příklady:

  • Kliklo se na odkaz na zprávu, odkaz příloha nebo příloha se otevřela.
  • Zadané přihlašovací údaje
  • Přečtení zprávy
  • Odstraněná zpráva
  • Odpověď na zprávu
  • Přeposlaná zpráva
  • Mimo kancelář

Vyberte Zobrazit všechny uživatele a přejděte na kartu Uživatelé v sestavě, kde jsou výsledky nefiltrované.

Část Aktivita Všichni uživatelé na kartě Sestava sestavy simulace pro simulaci.

Část Stav doručení v sestavě pro simulace

Část Stav doručení na kartě Sestava ** pro simulaci zobrazuje čísla možných stavů doručení zprávy simulace. Příklady:

  • Zpráva se úspěšně přijala.
  • Pozitivní zpráva o posílení doručena
  • Doručena pouze zpráva simulace

Vyberte Zobrazit uživatele, kterým se nepodařilo doručit zprávu , a přejděte tak na kartu Uživatelé v sestavě, kde jsou výsledky filtrované podle doručení zprávy simulace: Nepodařilo se doručit.

Výběrem možnosti Zobrazit vyloučené uživatele nebo skupiny otevřete vysouvací panel Vyloučení uživatelé nebo skupiny , který zobrazuje uživatele nebo skupiny vyloučené z simulace.

Oddíl Stav doručení na kartě Sestava sestavy simulace pro simulaci.

Část dokončení trénování v sestavě pro simulace

Oddíl Dokončení trénování na stránce podrobností simulace zobrazuje trénování, která jsou pro simulaci nutná, a počet uživatelů, kteří trénování dokončili.

Pokud do simulace nebyla zahrnuta žádná trénování, jedinou hodnotou v této části je Trénování nebylo součástí této simulace.

Část Dokončení trénování na kartě Sestava sestavy simulace pro simulaci

První & části průměrné instance v sestavě pro simulace

Část První & průměrné instance na kartě Sestava ** pro simulaci zobrazuje informace o době potřebné k provádění konkrétních akcí v simulaci. Příklady:

  • První kliknutí na odkaz
  • Avg. link clicked
  • První zadané přihlašovací údaje
  • Zadané prům. přihlašovací údaje

The First & average instance section on the Report tab of a simulation report for a simulation.

Část Doporučení v sestavě pro simulace

Část Doporučení na kartě Sestava** pro simulaci zobrazuje doporučení pro použití Simulační nácvik útoku k zabezpečení vaší organizace.

Část Doporučení na kartě Sestava sestavy simulace pro simulaci

Sestava simulace pro školicí kampaně

Tato část popisuje informace v sestavě simulace pro trénovací kampaně (ne simulace).

Karta Sestava v sestavě trénovací kampaně v Simulační nácvik útoku.

Oddíl klasifikace dokončení trénování v sestavě pro školicí kampaně

Oddíl Klasifikace dokončení trénování na kartě Sestava ** pro trénovací kampaň zobrazuje informace o dokončených výukových modulech v rámci školicí kampaně.

Oddíl Klasifikace dokončení trénování na kartě Sestava v sestavě trénovací kampaně v Simulační nácvik útoku.

Oddíl souhrnu dokončení školení v sestavě pro školicí kampaně

Oddíl Souhrn dokončení trénování na kartě Sestava ** pro trénovací kampaň používá pruhové grafy znázorňující průběh přiřazených uživatelů ve všech trénovacích modulech v rámci kampaně (počet uživatelů / celkový počet uživatelů):

  • Hotový
  • Probíhá
  • Nespustilo se
  • Nedokončeno
  • Dříve přiřazeno

Když najedete myší na oddíl v grafu, zobrazí se skutečné procento v každé kategorii.

Oddíl Souhrn dokončení školení na kartě Sestava v sestavě trénovací kampaně v Simulační nácvik útoku.

Všechny aktivity uživatelů v sestavě pro školicí kampaně

Oddíl Všechny aktivity uživatelů na kartě Sestava ** pro kampaň Školení používá pruhový graf, který ukazuje, jak hlavní uživatelé úspěšně obdrželi oznámení o školení (počet uživatelů / celkový počet uživatelů).

Když najedete myší na oddíl v grafu, zobrazí se skutečná čísla v každé kategorii.

Část Všechny aktivity uživatelů na kartě Sestava v sestavě trénovací kampaně v Simulační nácvik útoku.

Dodatek

Při exportu informací ze sestav obsahuje soubor CSV více informací, než je uvedeno v sestavě, a to i v případě, že se zobrazí všechny sloupce. Pole jsou popsána v následující tabulce.

Tip

Pokud chcete získat maximální informace, před exportem ověřte, že jsou v sestavě viditelné všechny dostupné sloupce.

Název pole Popis
Uživatelské jméno Uživatelské jméno uživatele, který aktivitu provedl.
Uživatelská pošta Email adresu uživatele, který aktivitu provedl.
Udělal kompromis Označuje, jestli došlo k ohrožení zabezpečení uživatele. Hodnoty jsou Ano nebo Ne.
AttachmentOpened_TimeStamp Kdy se datová část přílohy otevřela v simulacích příloh malwaru.
AttachmentOpened_Browser Když se datová část přílohy otevřela ve webovém prohlížeči v simulacích příloh malwaru . Tyto informace pocházejí z useragentu.
AttachmentOpened_IP IP adresa, na které se datová část přílohy otevřela v simulacích přílohy malwaru . Tyto informace pocházejí z useragentu.
AttachmentOpened_Device Zařízení, na kterém byla datová část přílohy otevřena v simulacích příloh malwaru . Tyto informace pocházejí z useragentu.
AttachmentLinkClicked_TimeStamp Při kliknutí na datovou část odkazu přílohy v simulacích propojení .
AttachmentLinkClicked_Browser Webový prohlížeč, který se použil ke kliknutí na datovou část odkazu na přílohu v simulacích Propojení v příloze . Tyto informace pocházejí z useragentu.
AttachmentLinkClicked_IP IP adresa, na kterou se kliklo na datovou část odkazu přílohy v simulacích propojení . Tyto informace pocházejí z useragentu.
AttachmentLinkClicked_Device Zařízení, na které se kliklo na datovou část odkazu přílohy v simulacích propojení . Tyto informace pocházejí z useragentu.
EmailLinkClicked_TimeStamp Po kliknutí na datovou část odkazu v simulacích o udělení souhlasu v nástroji Credential Harvest se zobrazí odkaz na malware, drive-by-url a OAuth Consent Grant .
EmailLinkClicked_Browser Webový prohlížeč, který se použil ke kliknutí na datovou část odkazu v simulacích Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Tyto informace pocházejí z useragentu.
EmailLinkClicked_IP IP adresa, na které se kliklo na datovou část odkazu v simulacích Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Tyto informace pocházejí z useragentu.
EmailLinkClicked_Device Zařízení, na které se kliklo na datovou část odkazu v simulacích Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Tyto informace pocházejí z useragentu.
EmailLinkClicked_ClickSource Jestli byl odkaz na datovou část vybrán kliknutím na adresu URL nebo naskenováním kódu QR v simulacích o udělení souhlasu v části Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Hodnoty jsou PhishingURL nebo QRCode.
CredSupplied_TimeStamp (ohroženo) Když uživatel zadal svoje přihlašovací údaje.
CredSupplied_Browser Webový prohlížeč, který byl použit, když uživatel zadal své přihlašovací údaje. Tyto informace pocházejí z useragentu.
CredSupplied_IP IP adresa, kam uživatel zadal svoje přihlašovací údaje. Tyto informace pocházejí z useragentu.
CredSupplied_Device Zařízení, do kterého uživatel zadal svoje přihlašovací údaje. Tyto informace pocházejí z useragentu.
SuccessfullyDeliveredEmail_TimeStamp Kdy byla uživateli doručena e-mailová zpráva simulace.
MessageRead_TimeStamp Kdy byla přečtená zpráva simulace.
MessageDeleted_TimeStamp Kdy byla zpráva simulace odstraněna.
MessageReplied_TimeStamp Když uživatel odpověděl na zprávu simulace.
MessageForwarded_TimeStamp Když uživatel přeposlal zprávu simulace.
OutOfOfficeDays Určuje, zda je uživatel mimo kancelář. Tyto informace pocházejí z nastavení Automatické odpovědi v Outlooku.
PositiveReinforcementMessageDelivered_TimeStamp Kdy byla uživateli doručena zpráva o pozitivním posílení.
PositiveReinforcementMessageFailed_TimeStamp Když se uživateli nepodařilo doručit zprávu o pozitivním posílení.
JustSimulationMessageDelivered_TimeStamp Když byla zpráva simulace doručena uživateli jako součást simulace bez přiřazených trénování (Na stránce Přiřadit trénování v průvodci novou simulací nebylo vybráno žádné trénování).
JustSimulationMessageFailed_TimeStamp Když se uživateli nepodařilo doručit e-mailovou zprávu simulace a simulace neměla přiřazené žádné trénování.
TrainingAssignmentMessageDelivered_TimeStamp Kdy se uživateli doručila zpráva o trénovacím přiřazení. Tato hodnota je prázdná, pokud v simulaci nebyla přiřazena žádná trénování.
TrainingAssignmentMessageFailed_TimeStamp Když se uživateli nepodařilo doručit zprávu o trénovacím přiřazení. Tato hodnota je prázdná, pokud v simulaci nebyla přiřazena žádná trénování.
FailedToDeliverEmail_TimeStamp Když se uživateli nepodařilo doručit e-mailovou zprávu simulace.
Poslední aktivita simulace Poslední simulační aktivita uživatele (bez ohledu na to, jestli uživatel prošel nebo byl ohrožen).
Přiřazená školení Seznam trénování přiřazených uživateli v rámci simulace.
Dokončené trénování Seznam trénování, která uživatel dokončil v rámci simulace.
Stav trénování Aktuální stav trénování pro uživatele v rámci simulace.
Útok phishing nahlášený Když uživatel nahlásil zprávu simulace jako phishing.
Department Hodnota vlastnosti Oddělení uživatele v Microsoft Entra ID v době simulace.
Company Hodnota vlastnosti Company uživatele v Microsoft Entra ID v době simulace.
Title Hodnota vlastnosti Title uživatele v Microsoft Entra ID v době simulace.
Office Hodnota vlastnosti Office uživatele v Microsoft Entra ID v době simulace.
Město Hodnota vlastnosti City uživatele v Microsoft Entra ID v době simulace.
Země Hodnota vlastnosti Country uživatele v Microsoft Entra ID v době simulace.
Manažer Hodnota vlastnosti Správce uživatele v Microsoft Entra ID v době simulace.

Způsob zaznamenávání signálů aktivit uživatelů je popsán v následující tabulce.

:----- Popis Logika výpočtu
DownloadAttachment Uživatel přílohu stáhl. Signál pochází z klienta (například z Outlooku nebo Word).
Otevřená příloha Uživatel přílohu otevřel. Signál pochází z klienta (například z Outlooku nebo Word).
Přečíst zprávu Uživatel si přečetl zprávu simulace. U signálů čtení zpráv může docházet k problémům v následujících scénářích:
  • Uživatel nahlásil zprávu v Outlooku jako útok phishing, aniž by opustil podokno čtení, a Označit položky jako přečtené při zobrazení v podokně čtení není nakonfigurované (výchozí).
  • Uživatel nahlásil nepřečtené zprávy v Outlooku jako phishing, zpráva se odstranila a označit zprávy jako přečtené, když odstranění nebylo nakonfigurované (výchozí).
Mimo kancelář Určuje, zda je uživatel mimo kancelář. Aktuálně počítáno nastavením Automatické odpovědi z Outlooku.
Ohrožený uživatel Uživatel byl ohrožen. Signál kompromisu se liší v závislosti na technice sociálního inženýrství.
  • Credential Harvest: Uživatel zadal své přihlašovací údaje na přihlašovací stránce (přihlašovací údaje microsoft neukládá).¹
  • Příloha malwaru: Uživatel otevřel přílohu datové části a vybral možnost Povolit úpravy v chráněném zobrazení.
  • Odkaz v příloze: Uživatel otevřel přílohu a po kliknutí na odkaz na datovou část zadal svoje přihlašovací údaje.
  • Odkaz na malware: Uživatel klikl na odkaz na datovou část a zadal své přihlašovací údaje.
  • Řídit podle adresy URL: Uživatel klikl na odkaz na datovou část (zadání přihlašovacích údajů se nevyžaduje).¹
  • Udělení souhlasu OAuth: Uživatel klikl na odkaz na datovou část a přijal výzvu ke sdílení oprávnění.¹
Odkaz na zprávu, na kterou se kliklo Uživatel ve zprávě simulace klikl na odkaz na datovou část. Adresa URL v simulaci je jedinečná pro každého uživatele, což umožňuje sledování aktivit jednotlivých uživatelů. Služby filtrování třetích stran nebo přeposílání e-mailů můžou vést k falešně pozitivním výsledkům. Další informace najdete v článku Zobrazují se kliknutí nebo události ohrožení zabezpečení od uživatelů, kteří trvají na tom, že neklikli na odkaz ve zprávě simulace, NEBO se u mnoha uživatelů zobrazují kliknutí během několika sekund od doručení (falešně pozitivní výsledky). Co se děje?
Přeposlaná zpráva Uživatel zprávu přeposlal.
Odpověď na zprávu Uživatel na zprávu odpověděl.
Odstraněná zpráva Uživatel zprávu odstranil. Signál pochází z aktivity aplikace Outlook uživatele. Pokud uživatel zprávu nahlásí jako phishing, může se zpráva přesunout do složky Odstraněná pošta, která je označená jako odstraněná.
Udělená oprávnění Uživatel sdílel oprávnění v simulaci udělení souhlasu OAuth .

¹ Odkazem, na který jste klikli, může být vybraná adresa URL nebo naskenovaný kód QR.

Začínáme s používáním trénování simulace útoku

Vytvoření simulace útoku phishing

vytvoření datové části pro trénování vašich lidí