Indsigt og rapporter til Simuleringstræning af angreb

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

I Simuleringstræning af angreb i Microsoft Defender for Office 365 Plan 2 eller Microsoft 365 E5 giver Microsoft indsigt og rapporter fra resultaterne af simuleringer og de tilsvarende kurser. Disse oplysninger holder dig informeret om dine brugeres status for trusselsparathed og anbefalede næste trin for bedre at forberede dine brugere på fremtidige angreb.

Indsigter og rapporter er tilgængelige på følgende placeringer på siden Simuleringstræning af angreb på Microsoft Defender-portalen:

• Indsigt:
  • Fanen Oversigt på https://security.microsoft.com/attacksimulator?viewid=overview.
  • Fanen Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
• Rapporter:
  • Rapportsiden Simulering af angreb på https://security.microsoft.com/attacksimulationreport:
    • Fanen Træningseffektivitet
    • Fanen Brugerdækning
    • Fanen Fuldførelse af oplæring
    • Fanen Gentag lovovertrædere
  • Rapporterne for igangværende og fuldførte simuleringer og oplæringskampagner: Du kan få flere oplysninger under Rapport over simulering af angreb.

I resten af denne artikel beskrives rapporter og indsigter for Simuleringstræning af angreb.

Du kan finde oplysninger om, hvordan du kommer i gang med Simuleringstræning af angreb, under Kom i gang med at bruge Simuleringstræning af angreb.

Indsigt under fanerne Oversigt og Rapporter i Simuleringstræning af angreb

Hvis du vil gå til fanen Oversigt, skal du åbne portalen Microsoft Defender på https://security.microsoft.com, gå til Mail & samarbejde>Simuleringstræning af angreb:

• Fanen Oversigt : Kontrollér, at fanen Oversigt er valgt (det er standard). Du kan også gå direkte til fanen Oversigt ved at bruge https://security.microsoft.com/attacksimulator?viewid=overview.
• Fanen Rapporter: Vælg fanen Rapporter. Du kan også gå direkte til fanen Rapporter ved at bruge https://security.microsoft.com/attacksimulationreport.

Fordelingen af indsigter under fanerne er beskrevet i følgende tabel:

Rapportér	Fanen Oversigt	Fanen Rapporter
Kort til seneste simuleringer	✔
Kortet Anbefalinger	✔
Kort til simuleringsdækning	✔	✔
Kort til fuldførelse af oplæring	✔	✔
Kortet Gentag lovovertrædere	✔	✔
Adfærdspåvirkning på kortet med kompromitteret hastighed	✔	✔

I resten af dette afsnit beskrives de oplysninger, der er tilgængelige under fanerne Oversigt og Rapporter i Simuleringstræning af angreb.

Kort til seneste simuleringer

Kortet Seneste simuleringer under fanen Oversigt viser de sidste tre simuleringer, du har oprettet eller kørt i din organisation.

Du kan vælge en simulering for at få vist detaljer.

Hvis du vælger Vis alle simuleringer , kommer du til fanen Simuleringer .

Hvis du vælger Start en simulering , startes den nye simuleringsguide. Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.

Kortet Anbefalinger

Kortet Anbefalinger under fanen Oversigt foreslår forskellige simuleringer, der skal køres.

Hvis du vælger Start, startes den nye simuleringsguide med den angivne simuleringstype automatisk valgt på siden Vælg teknik . Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.

Kort til simuleringsdækning

Kortet Simulationsdækning under fanerne Oversigt og Rapporter viser procentdelen af brugere i organisationen, der har modtaget en simulering (simulerede brugere) vs. brugere, der ikke modtog en simulering (ikke-simulerede brugere). Du kan holde markøren over en sektion i diagrammet for at se det faktiske antal brugere i hver kategori.

Hvis du vælger Vis rapport over simuleringsdækning , kommer du til fanen Brugerdækning for simuleringsrapporten Angreb.

Hvis du vælger Start simulering for ikke-simulerede brugere, startes den nye simuleringsguide, hvor de brugere, der ikke modtog simuleringen, automatisk vælges på siden Målbruger . Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.

Kort til fuldførelse af oplæring

Kortet Oplæringsfuldførelse under fanerne Oversigt og Rapporter organiserer procentdelen af brugere, der har modtaget kurser baseret på resultaterne af simuleringer, i følgende kategorier:

• Afsluttet
• Igangværende
• Ukomplet

Du kan holde markøren over en sektion i diagrammet for at se det faktiske antal brugere i hver kategori.

Hvis du vælger Vis rapport over oplæringsfuldførelse , kommer du til fanen Oplæringsfuldførelse for rapporten Simulering af angreb.

Kortet Gentag lovovertrædere

Kortet Repeat offenders under fanerne Overview og Reports viser oplysninger om gentagne lovovertrædere. En gentaget gerningsmand er en bruger, der blev kompromitteret af flere simuleringer. Standardnummeret for fortløbende simuleringer er to, men du kan ændre værdien under fanen Indstillinger i Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=setting. Du kan få flere oplysninger under Konfigurer grænsen for gentagelsesovertræder.

Diagrammet organiserer gentagne data for lovovertræderen efter simuleringstype:

• Alle
• Vedhæftet malware
• Link til malware
• Høst af legitimationsoplysninger
• Link i vedhæftede filer
• Drev efter URL-adresse

Hvis du vælger Vis rapport over gentagelsesovertrædere , kommer du til fanen Gentag lovovertrædere for rapporten Simulering af angreb.

Adfærdspåvirkning på kortet med kompromitteret hastighed

Kortet Funktionsmådes indvirkning på kompromitteret sats under fanerne Oversigt og Rapporter viser, hvordan dine brugere reagerede på dine simuleringer sammenlignet med de historiske data i Microsoft 365. Du kan bruge denne indsigt til at spore status for brugeres trusselsparathed ved at køre flere simuleringer mod de samme grupper af brugere.

Diagramdataene viser følgende oplysninger:

• Faktisk kompromisrate: Den faktiske procentdel af personer, der blev kompromitteret af simuleringen (faktiske brugere kompromitteret/det samlede antal brugere i din organisation, der modtog simuleringen).
• Forudsagt kompromitteret hastighed: Historiske data på tværs af Microsoft 365, der forudsiger procentdelen af personer, der vil blive kompromitteret af denne simulering. Hvis du vil vide mere om pcr'en (Forudsagt kompromisrate), skal du se Forudsagt kompromisrate.

Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske procentværdier.

Hvis du vil se en detaljeret rapport, skal du vælge Få vist simuleringer og rapporten over træningseffektivitet. Denne rapport er forklaret senere i denne artikel.

Rapport over simulering af angreb

Du kan åbne simuleringsrapporten angreb fra fanen Oversigt ved at vælge vis ... rapporthandlinger , der er tilgængelige på nogle af kortene under fanerne Oversigt og Rapporter , som er beskrevet i denne artikel. Hvis du vil gå direkte til rapportsiden for simulering af angreb , skal du bruge https://security.microsoft.com/attacksimulationreport

Fanen Oplæringseffektivitet for rapporten over simulering af angreb

Fanen Træningseffektivitet vælges som standard på rapportsiden Simulering af angreb . Denne fane indeholder de samme oplysninger, som er tilgængelige på kortet Funktionsmådepåvirkning på kompromitteret sats , med yderligere kontekst fra selve simuleringen.

Diagrammet viser den faktiske kompromitterede sats og den forudsagte kompromisrate. Hvis du peger på en sektion i diagrammet, vises de faktiske procentværdier for.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere simuleringerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

• Simuleringsnavn
• Simuleringsteknik
• Simuleringstaktik
• Forudsagt kompromitteret sats
• Faktisk kompromitteret sats
• Samlet antal brugere, der er målrettet
• Antal brugere, der klikkes på

Brug søgefeltet til at filtrere resultaterne efter simuleringsnavn eller simuleringsteknik. Jokertegn understøttes ikke.

Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).

Fanen Brugerdækning for rapporten over simulering af angreb

Under fanen Brugerdækning vises de simulerede brugere og ikke-simulerede brugere i diagrammet. Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske værdier.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

• Brugernavn
• Mailadresse
• Inkluderet i simulering
• Dato for seneste simulering
• Sidste simuleringsresultat
• Antal klikkede
• Antal kompromitterede

Brug søgefeltet til at filtrere resultaterne efter brugernavn eller mailadresse. Jokertegn understøttes ikke.

Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).

Fanen Oplæringsfuldførelse for rapporten over simulering af angreb

Under fanen Oplæringsfuldførelse viser diagrammet antallet af fuldførte, igangværende og ufuldstændige simuleringer. Hvis du holder markøren over en sektion i diagrammet, vises de faktiske værdier.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

• Brugernavn
• Mailadresse
• Inkluderet i simulering
• Dato for seneste simulering
• Sidste simuleringsresultat
• Navnet på den seneste fuldførte oplæring
• Dato for færdiggørelse
• Alle træninger

Vælg Filtrer for at filtrere diagrammet og detaljetabellen efter statusværdierne for træningerne: Fuldført, Igangværende eller Alle.

Når du er færdig med at konfigurere filtrene, skal du vælge Anvend, Annuller eller Ryd filtre.

Brug søgefeltet til at filtrere resultaterne efter brugernavn eller mailadresse. Jokertegn understøttes ikke.

Hvis du vælger knappen Eksportér rapport , vises status for oprettelse af rapporter som en procentdel af fuldført. I den dialogboks, der åbnes, kan du vælge at åbne den .csv fil, gemme den .csv fil og huske markeringen.

Fanen Gentag lovovertrædere for rapporten over simulering af angreb

En gentaget gerningsmand er en bruger, der blev kompromitteret af flere simuleringer. Standardnummeret for fortløbende simuleringer er to, men du kan ændre værdien under fanen Indstillinger i Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=setting. Du kan få flere oplysninger under Konfigurer grænsen for gentagelsesovertræder.

På fanen Repeat offenders viser diagrammet antallet af brugere af gentagelsesovertrædere og simulerede brugere.

Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske værdier.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

• Bruger: Brugerens navn.

• Simuleringstyper: Type af simuleringer, hvor brugeren var involveret.

• Simuleringer: Navnet på simuleringer, hvor brugeren var involveret.

• Mailadresse: Brugerens mailadresse.

• Seneste antal gentagelser: Seneste antal kompromiser for brugere, der er kategoriseret som gentagne lovovertrædere. Hvis grænsen for gentagelsesovertræderen f.eks. er indstillet til 3, og en bruger blev kompromitteret i tre simuleringer efter hinanden, er det seneste antal gentagelser 3. Hvis brugeren blev kompromitteret i 4 simuleringer efter hinanden, er det seneste antal gentagelser 4. Hvis brugeren blev kompromitteret i to simuleringer efter hinanden, er værdien I/T. Det seneste antal gentagelser indstilles til 0 (I/T), hver gang flaget for en gentagelsesovertrædende nulstilles (hvilket betyder, at brugeren består en simulering).

• Gentagelsesforseelser: Medtager det antal gange, en bruger blev klassificeret som en gentagelsesforbryder. Det kan f.eks. være:

  • Brugeren blev klassificeret som en gentagelse lovovertræder i første par simuleringer (de blev kompromitteret 3 på hinanden følgende gange, hvor gentagelse lovovertræderen tærskel er 2).
  • Brugeren blev klassificeret som "ren" efter at have bestået en simulering.
  • Brugeren blev klassificeret som en gentagelse lovovertræder i de næste par simuleringer (de blev kompromitteret 4 på hinanden følgende gange, hvor gentagelse lovovertræderen tærskel er 2).

  I disse tilfælde er antallet af gentagne forseelser sat til 2. Antallet opdateres, hver gang en bruger anses for at være en gentagelsesovertræder.

• Efternavn for simulering

• Sidste simuleringsresultat

• Senest tildelt oplæring

• Status for seneste oplæring

Vælg Filter for at filtrere diagrammet og detaljetabellen efter en eller flere værdier for simuleringstype:

• Høst af legitimationsoplysninger
• Vedhæftet malware
• Link i vedhæftet fil
• Link til malware

Når du er færdig med at konfigurere filtrene, skal du vælge Anvend, Annuller eller Ryd filtre.

Brug søgefeltet til at filtrere resultaterne efter en af kolonneværdierne. Jokertegn understøttes ikke.

Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).

Simuleringsrapport i Simuleringstræning af angreb

Simuleringsrapporten viser detaljer om igangværende eller fuldførte simuleringer (værdien Status er i gang eller Fuldført). Hvis du vil have vist simuleringsrapporten, skal du bruge en af følgende metoder:

• På fanen Oversigt på siden Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=overviewskal du vælge en simulering på kortet Seneste simuleringer.

  

• På fanen Simuleringer på siden Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=simulationsskal du vælge en simulering ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. Du kan få flere oplysninger under Få vist simuleringsrapporter.

  • På fanen Oplæring på siden Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=trainingcampaignskal du vælge træningskampagnen ved hjælp af en af følgende metoder:
  • Klik et vilkårligt sted i den anden række end afkrydsningsfeltet ud for navnet.
  • Markér afkrydsningsfeltet ud for navnet, og vælg derefter Vis rapport.

  Du kan få flere oplysninger under Få vist rapporter over træningskampagner.

Den rapportside, der åbnes, indeholder fanerne Rapport, **Brugere og Detaljer , der indeholder oplysninger om simuleringen. I resten af dette afsnit beskrives den indsigt og de rapporter, der er tilgængelige under fanen Rapport .

Afsnittene under fanen Rapport for en simulering er beskrevet i følgende underafsnit.

Du kan finde flere oplysninger om fanerne Brugere og Detaljer under følgende links.

• Simuleringer:
  • Fanen Brugere
  • Fanen Detaljer
• Oplæringskampagner:
  • Fanen Brugere
  • Fanen Detaljer

Rapportering for QR-kodesimuleringer

Du kan vælge nyttedata for QR-kode, der skal bruges i simuleringer. QR-koden erstatter den phishing-URL-adresse som nyttedata, der bruges i simuleringsmailen. Du kan få flere oplysninger under Nyttedata for QR-kode.

Da QR-koder er en anden type phishing-URL-adresse, forbliver brugerhændelser omkring læse-, slette-, kompromis- og klikhændelser de samme. Scanning af QR-koden åbner f.eks. phishing-URL-adressen, så hændelsen spores som en klikhændelse. De eksisterende mekanismer til sporing af kompromitterede, slettede og rapporthændelser forbliver de samme.

Hvis du eksporterer en simuleringsrapport til en CSV-fil, er kolonnen EmailLinkClicked_ClickSource tilgængelig med følgende værdier:

• PhishingURL: Brugeren klikkede på phishinglinket i simuleringsmailen.
• QRCode: Brugeren scannede QR-koden i simuleringsmailmeddelelsen.

Andre målepunkter, f.eks. læsninger, kompromiser, sletninger og rapporterede meddelelser, spores fortsat uden yderligere opdateringer. Du kan få flere oplysninger i appendiksafsnittet senere i denne artikel.

Simuleringsrapport for simuleringer

I dette afsnit beskrives oplysningerne i simuleringsrapporten for almindelige simuleringer (ikke oplæringskampagner).

Sektionen Simuleringseffekt i rapporten til simuleringer

Afsnittet Effekt af simulering under fanen Rapport ** for en simulering viser antallet og procentdelen af kompromitterede brugere og brugere, der har rapporteret meddelelsen.

Hvis du peger på en sektion i diagrammet, vises de faktiske tal for hver kategori.

Vælg Vis kompromitterede brugere for at gå til fanen Brugere i rapporten, hvor resultaterne filtreres efter kompromitteret: Ja.

Vælg Vis brugere, der har rapporteret for at gå til fanen Brugere i rapporten, hvor resultaterne filtreres efter Rapporteret meddelelse: Ja.

Alle brugeraktivitetsafsnit i rapporten til simuleringer

Afsnittet Alle brugeraktivitet under fanen Rapport ** for en simulering viser tal for de mulige resultater af simuleringen. Oplysningerne varierer afhængigt af simuleringstypen. Det kan f.eks. være:

• Klik på meddelelseslink eller link til vedhæftet fil, der er klikket på , eller vedhæftet fil er åbnet
• Angivne legitimationsoplysninger
• Læs meddelelse
• Slettet meddelelse
• Besvaret på meddelelse
• Videresendt meddelelse
• Fraværende

Vælg Vis alle brugere for at gå til fanen Brugere i rapporten, hvor resultaterne ikke er filtreret.

Afsnittet Leveringsstatus i rapporten til simuleringer

Afsnittet Leveringsstatus under fanen Rapport ** for en simulering viser tallene for de mulige leveringsstatusser for simuleringsmeddelelsen. Det kan f.eks. være:

• Meddelelse blev modtaget
• Meddelelse om positiv forstærkning blev leveret
• Der er kun leveret simuleringsmeddelelse

Vælg Vis de brugere, som meddelelsesleveringen mislykkedes til, under fanen Brugere i rapporten, hvor resultaterne filtreres efter levering af simuleringsmeddelelse: Leveringen mislykkedes.

Vælg Vis udeladte brugere eller grupper for at åbne et pop op-vindue for udeladte brugere eller grupper , der viser de brugere eller grupper, der blev udelukket fra simuleringen.

Afsnittet Oplæringsfuldførelse i rapporten til simuleringer

I afsnittet Oplæringsfuldførelse på siden med simuleringsoplysninger kan du se de oplæringer, der kræves til simuleringen, og hvor mange brugere der har gennemført træningerne.

Hvis der ikke blev inkluderet nogen oplæringer i simuleringen, er den eneste værdi i dette afsnit Oplæringer ikke var en del af denne simulering.

Første & gennemsnitlige forekomstsektion i rapporten til simuleringer

Afsnittet Første & gennemsnitlige forekomst under fanen Rapport ** for en simulering viser oplysninger om, hvor lang tid det tog at udføre bestemte handlinger i simuleringen. Det kan f.eks. være:

• Der blev klikket på det første link
• Der blev klikket på et gns. link
• Første angivne legitimationsoplysninger
• Gennemsnitligt antal angivne legitimationsoplysninger

Afsnittet Anbefalinger i rapporten til simuleringer

Afsnittet Anbefalinger under fanen Rapport** for en simulering viser anbefalinger til brug af Simuleringstræning af angreb som en hjælp til at beskytte din organisation.

Simuleringsrapport for oplæringskampagner

I dette afsnit beskrives oplysningerne i simuleringsrapporten for oplæringskampagner (ikke simuleringer).

Klassificering af oplæringsfuldførelse i rapporten til oplæringskampagner

I afsnittet Klassificering af fuldførelse af oplæring under fanen Rapport ** for en træningskampagne vises oplysninger om de fuldførte træningsmoduler i træningskampagnen.

Oversigt over oplæring i rapporten til oplæringskampagner

I afsnittet Oversigt over fuldførelse af oplæring under fanen Rapport ** for en træningskampagne bruges søjlediagrammer, der viser forløbet af tildelte brugere via alle træningsmoduler i kampagnen (antal brugere/samlet antal brugere):

• Afsluttet
• Igangværende
• Ikke startet
• Ikke fuldført
• Tidligere tildelt

Du kan holde markøren over en sektion i diagrammet for at se den faktiske procentdel i hver kategori.

Alle brugeraktivitetsafsnit i rapporten til oplæringskampagner

I afsnittet Alle brugeraktivitet under fanen Rapport ** for en træningskampagne bruges der en søjlediagram til at vise, hvordan de vigtigste personer modtog en oplæringsmeddelelse (antal brugere/samlet antal brugere).

Du kan holde markøren over en sektion i diagrammet for at se de faktiske tal i hver kategori.

Tillæg

Når du eksporterer oplysninger fra rapporterne, indeholder CSV-filen flere oplysninger end det, der vises i rapporten, selvom du har vist alle kolonner. Felterne er beskrevet i følgende tabel.

Tip

Kontrollér, at alle tilgængelige kolonner i rapporten er synlige, før du eksporterer, for at få maksimalt antal oplysninger.

Feltnavn	Beskrivelse
Brugernavn	Brugernavnet for den bruger, der udførte aktiviteten.
UserMail	Mailadressen på den bruger, der udførte aktiviteten.
Kompromitteret	Angiver, om brugeren blev kompromitteret. Værdierne er Ja eller Nej.
AttachmentOpened_TimeStamp	Da nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware .
AttachmentOpened_Browser	Når nyttedata for vedhæftede filer blev åbnet i en webbrowser i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent.
AttachmentOpened_IP	IP-adressen, hvor nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent.
AttachmentOpened_Device	Den enhed, hvor nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent.
AttachmentLinkClicked_TimeStamp	Da der blev klikket på nyttedata for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer.
AttachmentLinkClicked_Browser	Den webbrowser, der blev brugt til at klikke på nyttedataene for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer . Disse oplysninger kommer fra UserAgent.
AttachmentLinkClicked_IP	Den IP-adresse, hvor der blev klikket på nyttedataene for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer. Disse oplysninger kommer fra UserAgent.
AttachmentLinkClicked_Device	Den enhed, hvor der blev klikket på nyttedata for linket til vedhæftede filer i link i simuleringer af vedhæftede filer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_TimeStamp	Når der blev klikket på linkets nyttedata i Credential Harvest, link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer.
EmailLinkClicked_Browser	Den webbrowser, der blev brugt til at klikke på linkets nyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_IP	IP-adressen, hvor der blev klikket på linkets nyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_Device	Den enhed, hvor der blev klikket på linknyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_ClickSource	Angiver, om nyttedatalinket blev valgt ved at klikke på en URL-adresse eller scanne en QR-kode i Credential Harvest, link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Værdier er PhishingURL eller QRCode.
CredSupplied_TimeStamp(kompromitteret)	Da brugeren indtastede sine legitimationsoplysninger.
CredSupplied_Browser	Den webbrowser, der blev brugt, da brugeren indtastede sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent.
CredSupplied_IP	DEN IP-adresse, hvor brugeren har angivet sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent.
CredSupplied_Device	Den enhed, hvor brugeren har angivet sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Når simuleringsmailmeddelelsen blev leveret til brugeren.
MessageRead_TimeStamp	Da simuleringsmeddelelsen blev læst.
MessageDeleted_TimeStamp	Da simuleringsmeddelelsen blev slettet.
MessageReplied_TimeStamp	Når brugeren besvarede simuleringsmeddelelsen.
MessageForwarded_TimeStamp	Når brugeren videresendte simuleringsmeddelelsen.
OutOfOfficeDays	Bestemmer, om brugeren er fraværende. Disse oplysninger kommer fra indstillingen Autosvar i Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Når den positive forstærkning besked blev leveret til brugeren.
PositiveReinforcementMessageFailed_TimeStamp	Når meddelelsen om positiv forstærkning ikke blev leveret til brugeren.
JustSimulationMessageDelivered_TimeStamp	Når simuleringsmeddelelsen blev leveret til brugeren som en del af en simulering uden oplæring tildelt (der blev ikke valgt oplæring på siden Tildel oplæring i den nye simuleringsguide).
JustSimulationMessageFailed_TimeStamp	Når simuleringsmailen ikke blev leveret til brugeren, og simuleringen ikke havde fået tildelt nogen oplæring.
TrainingAssignmentMessageDelivered_TimeStamp	Når meddelelsen om oplæringstildeling blev leveret til brugeren. Denne værdi er tom, hvis der ikke blev tildelt nogen oplæringer i simuleringen.
TrainingAssignmentMessageFailed_TimeStamp	Når meddelelsen om tildeling af oplæring ikke blev leveret til brugeren. Denne værdi er tom, hvis der ikke blev tildelt nogen oplæringer i simuleringen.
FailedToDeliverEmail_TimeStamp	Når simuleringsmailmeddelelsen ikke blev leveret til brugeren.
Seneste simuleringsaktivitet	Den sidste simuleringsaktivitet for brugeren (uanset om brugeren bestod eller blev kompromitteret).
Tildelte kurser	Listen over oplæringer, der er tildelt brugeren som en del af simuleringen.
Fuldførte kurser	Listen over oplæringer, som brugeren har fuldført som en del af simuleringen.
Oplæringsstatus	Den aktuelle status for oplæringer for brugeren som en del af simuleringen.
Phishing rapporteret den	Da brugeren rapporterede simuleringsmeddelelsen som phishing.
Afdeling	Egenskabsværdien for brugerens afdeling i Microsoft Entra ID på simuleringstidspunktet.
Firma	Brugerens egenskabsværdi Firma i Microsoft Entra ID på simuleringstidspunktet.
Titel	Brugerens egenskabsværdi Title i Microsoft Entra ID på simuleringstidspunktet.
Office	Brugerens Office-egenskabsværdi i Microsoft Entra ID på simuleringstidspunktet.
By	Brugerens egenskabsværdi By i Microsoft Entra ID på simuleringstidspunktet.
Land	Brugerens egenskabsværdi Country i Microsoft Entra ID på simuleringstidspunktet.
Bestyrer	Brugerens egenskabsværdi Manager i Microsoft Entra ID på simuleringstidspunktet.

Den måde, som brugeraktivitetssignaler registreres på, beskrives i følgende tabel.

Mark	Beskrivelse	Beregningslogik
DownloadAttachment	En bruger har downloadet den vedhæftede fil.	Signalet kommer fra klienten (f.eks. Outlook eller Word).
Åbnet vedhæftet fil	En bruger har åbnet den vedhæftede fil.	Signalet kommer fra klienten (f.eks. Outlook eller Word).
Læs meddelelse	Brugeren læste simuleringsmeddelelsen.	Signaler, der læses af meddelelser, kan opleve problemer i følgende scenarier: Brugeren rapporterede meddelelsen som phishing i Outlook uden at forlade læseruden, og Markér elementer som læst, når de vises i læseruden , var ikke konfigureret (standard). Brugeren rapporterede den ulæste meddelelse som phishing i Outlook, meddelelsen blev slettet, og Markér meddelelser som læst, når de blev slettet , var ikke konfigureret (standard).
Fraværende	Bestemmer, om brugeren er fraværende.	Beregnes i øjeblikket af indstillingen Autosvar fra Outlook.
Kompromitteret bruger	Brugeren blev kompromitteret. Kompromissignalet varierer afhængigt af teknikken til social engineering.	Høst af legitimationsoplysninger: Brugeren har angivet sine legitimationsoplysninger på logonsiden (legitimationsoplysninger gemmes ikke af Microsoft).¹ Vedhæftet malware: Brugeren åbnede den vedhæftede fil med nyttedata og valgte Aktivér redigering i beskyttet visning. Link i vedhæftet fil: Brugeren har åbnet den vedhæftede fil og angivet sine legitimationsoplysninger, efter at der er klikket på nyttedatalinket. Link til malware: Brugeren klikkede på nyttedatalinket og indtastede sine legitimationsoplysninger. Drev efter URL-adresse: Brugeren har klikket på nyttedatalinket (det er ikke nødvendigt at angive legitimationsoplysninger).¹ OAuth Consent Grant: Brugeren klikkede på nyttedatalinket og accepterede prompten om at dele tilladelser.¹
Link til klikket meddelelse	Brugeren klikkede på nyttedatalinket i simuleringsmeddelelsen.	URL-adressen i simuleringen er entydig for hver bruger, hvilket gør det muligt at spore individuelle brugeraktivitet. Filtreringstjenester fra tredjepart eller videresendelse af mail kan føre til falske positiver. Du kan få flere oplysninger under Jeg kan se klik eller kompromittere hændelser fra brugere, der insisterer på, at de ikke klikkede på linket i simuleringsmeddelelsen, ELLER jeg kan se klik inden for et par sekunder efter levering for mange brugere (falske positiver). Hvad sker der?
Videresendt meddelelse	Brugeren videresendte meddelelsen.
Besvaret på meddelelse	Brugeren har svaret på meddelelsen.
Slettet meddelelse	Brugeren slettede meddelelsen.	Signalet kommer fra brugerens Outlook-aktivitet. Hvis brugeren rapporterer meddelelsen som phishing, kan meddelelsen blive flyttet til mappen Slettet post, som identificeres som en sletning.
Tildelte tilladelser	Brugeren delte tilladelser i en OAuth Consent Grant-simulering.

¹ Det klikkede link kan være en valgt URL-adresse eller en scannet QR-kode.

Relaterede links

Kom i gang med at bruge kursus i angrebssimulering

Opret en simulering af phishingangreb

oprette en nyttedata til oplæring af dine personer