Del via


Indsigt og rapporter til Simuleringstræning af angreb

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

I Simuleringstræning af angreb i Microsoft Defender for Office 365 Plan 2 eller Microsoft 365 E5 giver Microsoft indsigt og rapporter fra resultaterne af simuleringer og de tilsvarende kurser. Disse oplysninger holder dig informeret om dine brugeres status for trusselsparathed og anbefalede næste trin for bedre at forberede dine brugere på fremtidige angreb.

Indsigter og rapporter er tilgængelige på følgende placeringer på siden Simuleringstræning af angreb på Microsoft Defender-portalen:

I resten af denne artikel beskrives rapporter og indsigter for Simuleringstræning af angreb.

Du kan finde oplysninger om, hvordan du kommer i gang med Simuleringstræning af angreb, under Kom i gang med at bruge Simuleringstræning af angreb.

Indsigt under fanerne Oversigt og Rapporter i Simuleringstræning af angreb

Hvis du vil gå til fanen Oversigt, skal du åbne portalen Microsoft Defender på https://security.microsoft.com, gå til Mail & samarbejde>Simuleringstræning af angreb:

Fordelingen af indsigter under fanerne er beskrevet i følgende tabel:

Rapportér Fanen Oversigt Fanen Rapporter
Kort til seneste simuleringer
Kortet Anbefalinger
Kort til simuleringsdækning
Kort til fuldførelse af oplæring
Kortet Gentag lovovertrædere
Adfærdspåvirkning på kortet med kompromitteret hastighed

I resten af dette afsnit beskrives de oplysninger, der er tilgængelige under fanerne Oversigt og Rapporter i Simuleringstræning af angreb.

Kort til seneste simuleringer

Kortet Seneste simuleringer under fanen Oversigt viser de sidste tre simuleringer, du har oprettet eller kørt i din organisation.

Du kan vælge en simulering for at få vist detaljer.

Hvis du vælger Vis alle simuleringer , kommer du til fanen Simuleringer .

Hvis du vælger Start en simulering , startes den nye simuleringsguide. Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.

Kortet Seneste simuleringer under fanen Oversigt i Simuleringstræning af angreb på portalen Microsoft Defender.

Kortet Anbefalinger

Kortet Anbefalinger under fanen Oversigt foreslår forskellige simuleringer, der skal køres.

Hvis du vælger Start, startes den nye simuleringsguide med den angivne simuleringstype automatisk valgt på siden Vælg teknik . Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.

Kortet Anbefalinger under fanen Oversigt i Simuleringstræning af angreb på portalen Microsoft Defender.

Kort til simuleringsdækning

Kortet Simulationsdækning under fanerne Oversigt og Rapporter viser procentdelen af brugere i organisationen, der har modtaget en simulering (simulerede brugere) vs. brugere, der ikke modtog en simulering (ikke-simulerede brugere). Du kan holde markøren over en sektion i diagrammet for at se det faktiske antal brugere i hver kategori.

Hvis du vælger Vis rapport over simuleringsdækning , kommer du til fanen Brugerdækning for simuleringsrapporten Angreb.

Hvis du vælger Start simulering for ikke-simulerede brugere, startes den nye simuleringsguide, hvor de brugere, der ikke modtog simuleringen, automatisk vælges på siden Målbruger . Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.

Kortet Simuleringsdækning under fanen Oversigt i Simuleringstræning af angreb på portalen Microsoft Defender.

Kort til fuldførelse af oplæring

Kortet Oplæringsfuldførelse under fanerne Oversigt og Rapporter organiserer procentdelen af brugere, der har modtaget kurser baseret på resultaterne af simuleringer, i følgende kategorier:

  • Afsluttet
  • Igangværende
  • Ukomplet

Du kan holde markøren over en sektion i diagrammet for at se det faktiske antal brugere i hver kategori.

Hvis du vælger Vis rapport over oplæringsfuldførelse , kommer du til fanen Oplæringsfuldførelse for rapporten Simulering af angreb.

Kortet Oplæringsfuldførelse under fanen Oversigt i Simuleringstræning af angreb på portalen Microsoft Defender.

Kortet Gentag lovovertrædere

Kortet Repeat offenders under fanerne Overview og Reports viser oplysninger om gentagne lovovertrædere. En gentaget gerningsmand er en bruger, der blev kompromitteret af flere simuleringer. Standardnummeret for fortløbende simuleringer er to, men du kan ændre værdien under fanen Indstillinger i Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=setting. Du kan få flere oplysninger under Konfigurer grænsen for gentagelsesovertræder.

Diagrammet organiserer gentagne data for lovovertræderen efter simuleringstype:

  • Alle
  • Vedhæftet malware
  • Link til malware
  • Høst af legitimationsoplysninger
  • Link i vedhæftede filer
  • Drev efter URL-adresse

Hvis du vælger Vis rapport over gentagelsesovertrædere , kommer du til fanen Gentag lovovertrædere for rapporten Simulering af angreb.

Kortet Repeat offenders under fanen Overview i Simuleringstræning af angreb på portalen Microsoft Defender

Adfærdspåvirkning på kortet med kompromitteret hastighed

Kortet Funktionsmådes indvirkning på kompromitteret sats under fanerne Oversigt og Rapporter viser, hvordan dine brugere reagerede på dine simuleringer sammenlignet med de historiske data i Microsoft 365. Du kan bruge denne indsigt til at spore status for brugeres trusselsparathed ved at køre flere simuleringer mod de samme grupper af brugere.

Diagramdataene viser følgende oplysninger:

  • Faktisk kompromisrate: Den faktiske procentdel af personer, der blev kompromitteret af simuleringen (faktiske brugere kompromitteret/det samlede antal brugere i din organisation, der modtog simuleringen).
  • Forudsagt kompromitteret hastighed: Historiske data på tværs af Microsoft 365, der forudsiger procentdelen af personer, der vil blive kompromitteret af denne simulering. Hvis du vil vide mere om pcr'en (Forudsagt kompromisrate), skal du se Forudsagt kompromisrate.

Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske procentværdier.

Hvis du vil se en detaljeret rapport, skal du vælge Få vist simuleringer og rapporten over træningseffektivitet. Denne rapport er forklaret senere i denne artikel.

Kortet Funktionsmåde påvirker kompromitteret sats under fanen Oversigt i Simuleringstræning af angreb på portalen Microsoft Defender.

Rapport over simulering af angreb

Du kan åbne simuleringsrapporten angreb fra fanen Oversigt ved at vælge vis ... rapporthandlinger , der er tilgængelige på nogle af kortene under fanerne Oversigt og Rapporter , som er beskrevet i denne artikel. Hvis du vil gå direkte til rapportsiden for simulering af angreb , skal du bruge https://security.microsoft.com/attacksimulationreport

Fanen Oplæringseffektivitet for rapporten over simulering af angreb

Fanen Træningseffektivitet vælges som standard på rapportsiden Simulering af angreb . Denne fane indeholder de samme oplysninger, som er tilgængelige på kortet Funktionsmådepåvirkning på kompromitteret sats , med yderligere kontekst fra selve simuleringen.

Fanen Træningseffektivitet i rapporten om simulering af angreb på portalen Microsoft Defender.

Diagrammet viser den faktiske kompromitterede sats og den forudsagte kompromisrate. Hvis du peger på en sektion i diagrammet, vises de faktiske procentværdier for.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere simuleringerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

  • Simuleringsnavn
  • Simuleringsteknik
  • Simuleringstaktik
  • Forudsagt kompromitteret sats
  • Faktisk kompromitteret sats
  • Samlet antal brugere, der er målrettet
  • Antal brugere, der klikkes på

Brug søgefeltet til at filtrere resultaterne efter simuleringsnavn eller simuleringsteknik. Jokertegn understøttes ikke.

Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).

Fanen Brugerdækning for rapporten over simulering af angreb

Under fanen Brugerdækning vises de simulerede brugere og ikke-simulerede brugere i diagrammet. Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske værdier.

Fanen Brugerdækning i rapporten over simulering af angreb på portalen Microsoft Defender.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

  • Brugernavn
  • Mailadresse
  • Inkluderet i simulering
  • Dato for seneste simulering
  • Sidste simuleringsresultat
  • Antal klikkede
  • Antal kompromitterede

Brug søgefeltet til at filtrere resultaterne efter brugernavn eller mailadresse. Jokertegn understøttes ikke.

Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).

Fanen Oplæringsfuldførelse for rapporten over simulering af angreb

Under fanen Oplæringsfuldførelse viser diagrammet antallet af fuldførte, igangværende og ufuldstændige simuleringer. Hvis du holder markøren over en sektion i diagrammet, vises de faktiske værdier.

Fanen Fuldførelse af oplæring i rapporten over simulering af angreb på portalen Microsoft Defender.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

  • Brugernavn
  • Mailadresse
  • Inkluderet i simulering
  • Dato for seneste simulering
  • Sidste simuleringsresultat
  • Navnet på den seneste fuldførte oplæring
  • Dato for færdiggørelse
  • Alle træninger

Vælg Filtrer for at filtrere diagrammet og detaljetabellen efter statusværdierne for træningerne: Fuldført, Igangværende eller Alle.

Når du er færdig med at konfigurere filtrene, skal du vælge Anvend, Annuller eller Ryd filtre.

Brug søgefeltet til at filtrere resultaterne efter brugernavn eller mailadresse. Jokertegn understøttes ikke.

Hvis du vælger knappen Eksportér rapport , vises status for oprettelse af rapporter som en procentdel af fuldført. I den dialogboks, der åbnes, kan du vælge at åbne den .csv fil, gemme den .csv fil og huske markeringen.

Fanen Gentag lovovertrædere for rapporten over simulering af angreb

En gentaget gerningsmand er en bruger, der blev kompromitteret af flere simuleringer. Standardnummeret for fortløbende simuleringer er to, men du kan ændre værdien under fanen Indstillinger i Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=setting. Du kan få flere oplysninger under Konfigurer grænsen for gentagelsesovertræder.

På fanen Repeat offenders viser diagrammet antallet af brugere af gentagelsesovertrædere og simulerede brugere.

Fanen Repeat offenders i rapporten over simulering af angreb på portalen Microsoft Defender.

Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske værdier.

I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.

  • Bruger
  • Simuleringstyper
  • Simuleringer
  • Mailadresse
  • Antal seneste gentagelser
  • Gentag lovovertrædelser
  • Efternavn for simulering
  • Sidste simuleringsresultat
  • Senest tildelt oplæring
  • Status for seneste oplæring

Vælg Filter for at filtrere diagrammet og detaljetabellen efter en eller flere værdier for simuleringstype:

  • Høst af legitimationsoplysninger
  • Vedhæftet malware
  • Link i vedhæftet fil
  • Link til malware

Når du er færdig med at konfigurere filtrene, skal du vælge Anvend, Annuller eller Ryd filtre.

Brug søgefeltet til at filtrere resultaterne efter en af kolonneværdierne. Jokertegn understøttes ikke.

Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).

Simuleringsrapport i Simuleringstræning af angreb

Simuleringsrapporten viser detaljer om igangværende eller fuldførte simuleringer (værdien Status er i gang eller Fuldført). Hvis du vil have vist simuleringsrapporten, skal du bruge en af følgende metoder:

Den rapportside, der åbnes, indeholder fanerne Rapport, **Brugere og Detaljer , der indeholder oplysninger om simuleringen. I resten af dette afsnit beskrives den indsigt og de rapporter, der er tilgængelige under fanen Rapport .

Afsnittene under fanen Rapport for en simulering er beskrevet i følgende underafsnit.

Du kan finde flere oplysninger om fanerne Brugere og Detaljer under følgende links.

Rapportering for QR-kodesimuleringer

Tip

Nyttedata for QR-kode findes i øjeblikket som prøveversion, er ikke tilgængelige i alle organisationer og kan ændres.

Du kan vælge nyttedata for QR-kode, der skal bruges i simuleringer. QR-koden erstatter den phishing-URL-adresse som nyttedata, der bruges i simuleringsmailen. Du kan få flere oplysninger under Nyttedata for QR-kode.

Da QR-koder er en anden type phishing-URL-adresse, forbliver brugerhændelser omkring læse-, slette-, kompromis- og klikhændelser de samme. Scanning af QR-koden åbner f.eks. phishing-URL-adressen, så hændelsen spores som en klikhændelse. De eksisterende mekanismer til sporing af kompromitterede, slettede og rapporthændelser forbliver de samme.

Hvis du eksporterer en simuleringsrapport til en CSV-fil, er kolonnen EmailLinkClicked_ClickSource tilgængelig med følgende værdier:

  • PhishingURL: Brugeren klikkede på phishinglinket i simuleringsmailen.
  • QRCode: Brugeren scannede QR-koden i simuleringsmailmeddelelsen.

Andre målepunkter, f.eks. læsninger, kompromiser, sletninger og rapporterede meddelelser, spores fortsat uden yderligere opdateringer. Du kan få flere oplysninger i appendiksafsnittet senere i denne artikel.

Simuleringsrapport for simuleringer

I dette afsnit beskrives oplysningerne i simuleringsrapporten for almindelige simuleringer (ikke oplæringskampagner).

Fanen Rapport i simuleringsrapporten i Simuleringstræning af angreb.

Sektionen Simuleringseffekt i rapporten til simuleringer

Afsnittet Effekt af simulering under fanen Rapport ** for en simulering viser antallet og procentdelen af kompromitterede brugere og brugere, der har rapporteret meddelelsen.

Hvis du peger på en sektion i diagrammet, vises de faktiske tal for hver kategori.

Vælg Vis kompromitterede brugere for at gå til fanen Brugere i rapporten, hvor resultaterne filtreres efter kompromitteret: Ja.

Vælg Vis brugere, der har rapporteret for at gå til fanen Brugere i rapporten, hvor resultaterne filtreres efter Rapporteret meddelelse: Ja.

Afsnittet Effekt af simulering på fanen Rapport i en simuleringsrapport for en simulering.

Alle brugeraktivitetsafsnit i rapporten til simuleringer

Afsnittet Alle brugeraktivitet under fanen Rapport ** for en simulering viser tal for de mulige resultater af simuleringen. Oplysningerne varierer afhængigt af simuleringstypen. Det kan f.eks. være:

  • Klik på meddelelseslink eller link til vedhæftet fil, der er klikket på , eller vedhæftet fil er åbnet
  • Angivne legitimationsoplysninger
  • Læs meddelelse
  • Slettet meddelelse
  • Besvaret på meddelelse
  • Videresendt meddelelse
  • Fraværende

Vælg Vis alle brugere for at gå til fanen Brugere i rapporten, hvor resultaterne ikke er filtreret.

Sektionen Alle brugeres aktivitet under fanen Rapport i en simuleringsrapport for en simulering.

Afsnittet Leveringsstatus i rapporten til simuleringer

Afsnittet Leveringsstatus under fanen Rapport ** for en simulering viser tallene for de mulige leveringsstatusser for simuleringsmeddelelsen. Det kan f.eks. være:

  • Meddelelse blev modtaget
  • Meddelelse om positiv forstærkning blev leveret
  • Der er kun leveret simuleringsmeddelelse

Vælg Vis de brugere, som meddelelsesleveringen mislykkedes til, under fanen Brugere i rapporten, hvor resultaterne filtreres efter levering af simuleringsmeddelelse: Leveringen mislykkedes.

Vælg Vis udeladte brugere eller grupper for at åbne et pop op-vindue for udeladte brugere eller grupper , der viser de brugere eller grupper, der blev udelukket fra simuleringen.

Afsnittet Leveringsstatus under fanen Rapport i en simuleringsrapport for en simulering.

Afsnittet Oplæringsfuldførelse i rapporten til simuleringer

I afsnittet Oplæringsfuldførelse på siden med simuleringsoplysninger kan du se de oplæringer, der kræves til simuleringen, og hvor mange brugere der har gennemført træningerne.

Hvis der ikke blev inkluderet nogen oplæringer i simuleringen, er den eneste værdi i dette afsnit Oplæringer ikke var en del af denne simulering.

Afsnittet Oplæringsfuldførelse under fanen Rapport i en simuleringsrapport for en simulering.

Første & gennemsnitlige forekomstsektion i rapporten til simuleringer

Afsnittet Første & gennemsnitlige forekomst under fanen Rapport ** for en simulering viser oplysninger om, hvor lang tid det tog at udføre bestemte handlinger i simuleringen. Det kan f.eks. være:

  • Der blev klikket på det første link
  • Der blev klikket på et gns. link
  • Første angivne legitimationsoplysninger
  • Gennemsnitligt antal angivne legitimationsoplysninger

Afsnittet Første & gennemsnitlige forekomst under fanen Rapport i en simuleringsrapport for en simulering.

Afsnittet Anbefalinger i rapporten til simuleringer

Afsnittet Anbefalinger under fanen Rapport** for en simulering viser anbefalinger til brug af Simuleringstræning af angreb som en hjælp til at beskytte din organisation.

Afsnittet Anbefalinger under fanen Rapport i en simuleringsrapport for en simulering.

Simuleringsrapport for oplæringskampagner

I dette afsnit beskrives oplysningerne i simuleringsrapporten for oplæringskampagner (ikke simuleringer).

Fanen Rapport i rapporten Oplæringskampagne i Simuleringstræning af angreb.

Klassificering af oplæringsfuldførelse i rapporten til oplæringskampagner

I afsnittet Klassificering af fuldførelse af oplæring under fanen Rapport ** for en træningskampagne vises oplysninger om de fuldførte træningsmoduler i træningskampagnen.

Afsnittet Klassificering af fuldførelse af oplæring under fanen Rapport i rapporten Oplæringskampagne i Simuleringstræning af angreb.

Oversigt over oplæring i rapporten til oplæringskampagner

I afsnittet Oversigt over fuldførelse af oplæring under fanen Rapport ** for en træningskampagne bruges søjlediagrammer, der viser forløbet af tildelte brugere via alle træningsmoduler i kampagnen (antal brugere/samlet antal brugere):

  • Afsluttet
  • Igangværende
  • Ikke startet
  • Ikke fuldført
  • Tidligere tildelt

Du kan holde markøren over en sektion i diagrammet for at se den faktiske procentdel i hver kategori.

Afsnittet Oversigt over fuldførelse af oplæring under fanen Rapport i rapporten Oplæringskampagne i Simuleringstræning af angreb.

Alle brugeraktivitetsafsnit i rapporten til oplæringskampagner

I afsnittet Alle brugeraktivitet under fanen Rapport ** for en træningskampagne bruges der en søjlediagram til at vise, hvordan de vigtigste personer modtog en oplæringsmeddelelse (antal brugere/samlet antal brugere).

Du kan holde markøren over en sektion i diagrammet for at se de faktiske tal i hver kategori.

Afsnittet Alle brugeraktivitet under fanen Rapport i rapporten Oplæringskampagne i Simuleringstræning af angreb.

Tillæg

Når du eksporterer oplysninger fra rapporterne, indeholder CSV-filen flere oplysninger end det, der vises i rapporten, selvom du har vist alle kolonner. Felterne er beskrevet i følgende tabel.

Tip

Kontrollér, at alle tilgængelige kolonner i rapporten er synlige, før du eksporterer, for at få maksimalt antal oplysninger.

Feltnavn Beskrivelse
Brugernavn Brugernavnet for den bruger, der udførte aktiviteten.
UserMail Mailadressen på den bruger, der udførte aktiviteten.
Kompromitteret Angiver, om brugeren blev kompromitteret. Værdierne er Ja eller Nej.
AttachmentOpened_TimeStamp Da nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware .
AttachmentOpened_Browser Når nyttedata for vedhæftede filer blev åbnet i en webbrowser i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent.
AttachmentOpened_IP IP-adressen, hvor nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent.
AttachmentOpened_Device Den enhed, hvor nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent.
AttachmentLinkClicked_TimeStamp Da der blev klikket på nyttedata for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer.
AttachmentLinkClicked_Browser Den webbrowser, der blev brugt til at klikke på nyttedataene for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer . Disse oplysninger kommer fra UserAgent.
AttachmentLinkClicked_IP Den IP-adresse, hvor der blev klikket på nyttedataene for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer. Disse oplysninger kommer fra UserAgent.
AttachmentLinkClicked_Device Den enhed, hvor der blev klikket på nyttedata for linket til vedhæftede filer i link i simuleringer af vedhæftede filer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_TimeStamp Når der blev klikket på linkets nyttedata i Credential Harvest, link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer.
EmailLinkClicked_Browser Den webbrowser, der blev brugt til at klikke på linkets nyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_IP IP-adressen, hvor der blev klikket på linkets nyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_Device Den enhed, hvor der blev klikket på linknyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent.
EmailLinkClicked_ClickSource Angiver, om nyttedatalinket blev valgt ved at klikke på en URL-adresse eller scanne en QR-kode i Credential Harvest, link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Værdier er PhishingURL eller QRCode. Understøttelse af QR-kode er i øjeblikket en prøveversion.
CredSupplied_TimeStamp(kompromitteret) Da brugeren indtastede sine legitimationsoplysninger.
CredSupplied_Browser Den webbrowser, der blev brugt, da brugeren indtastede sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent.
CredSupplied_IP DEN IP-adresse, hvor brugeren har angivet sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent.
CredSupplied_Device Den enhed, hvor brugeren har angivet sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent.
SuccessfullyDeliveredEmail_TimeStamp Når simuleringsmailmeddelelsen blev leveret til brugeren.
MessageRead_TimeStamp Da simuleringsmeddelelsen blev læst.
MessageDeleted_TimeStamp Da simuleringsmeddelelsen blev slettet.
MessageReplied_TimeStamp Når brugeren besvarede simuleringsmeddelelsen.
MessageForwarded_TimeStamp Når brugeren videresendte simuleringsmeddelelsen.
OutOfOfficeDays Bestemmer, om brugeren er fraværende. Disse oplysninger kommer fra indstillingen Autosvar i Outlook.
PositiveReinforcementMessageDelivered_TimeStamp Når den positive forstærkning besked blev leveret til brugeren.
PositiveReinforcementMessageFailed_TimeStamp Når meddelelsen om positiv forstærkning ikke blev leveret til brugeren.
JustSimulationMessageDelivered_TimeStamp Når simuleringsmeddelelsen blev leveret til brugeren som en del af en simulering uden oplæring tildelt (der blev ikke valgt oplæring på siden Tildel oplæring i den nye simuleringsguide).
JustSimulationMessageFailed_TimeStamp Når simuleringsmailen ikke blev leveret til brugeren, og simuleringen ikke havde fået tildelt nogen oplæring.
TrainingAssignmentMessageDelivered_TimeStamp Når meddelelsen om oplæringstildeling blev leveret til brugeren. Denne værdi er tom, hvis der ikke blev tildelt nogen oplæringer i simuleringen.
TrainingAssignmentMessageFailed_TimeStamp Når meddelelsen om tildeling af oplæring ikke blev leveret til brugeren. Denne værdi er tom, hvis der ikke blev tildelt nogen oplæringer i simuleringen.
FailedToDeliverEmail_TimeStamp Når simuleringsmailmeddelelsen ikke blev leveret til brugeren.
Seneste simuleringsaktivitet Den sidste simuleringsaktivitet for brugeren (uanset om brugeren bestod eller blev kompromitteret).
Tildelte kurser Listen over oplæringer, der er tildelt brugeren som en del af simuleringen.
Fuldførte kurser Listen over oplæringer, som brugeren har fuldført som en del af simuleringen.
Oplæringsstatus Den aktuelle status for oplæringer for brugeren som en del af simuleringen.
Phishing rapporteret den Da brugeren rapporterede simuleringsmeddelelsen som phishing.
Afdeling Egenskabsværdien for brugerens afdeling i Microsoft Entra ID på simuleringstidspunktet.
Firma Brugerens egenskabsværdi Firma i Microsoft Entra ID på simuleringstidspunktet.
Titel Brugerens egenskabsværdi Title i Microsoft Entra ID på simuleringstidspunktet.
Office Brugerens Office-egenskabsværdi i Microsoft Entra ID på simuleringstidspunktet.
By Brugerens egenskabsværdi By i Microsoft Entra ID på simuleringstidspunktet.
Land Brugerens egenskabsværdi Country i Microsoft Entra ID på simuleringstidspunktet.
Bestyrer Brugerens egenskabsværdi Manager i Microsoft Entra ID på simuleringstidspunktet.

Den måde, som brugeraktivitetssignaler registreres på, beskrives i følgende tabel.

Mark Beskrivelse Beregningslogik
DownloadAttachment En bruger har downloadet den vedhæftede fil. Signalet kommer fra klienten (f.eks. Outlook eller Word).
Åbnet vedhæftet fil En bruger har åbnet den vedhæftede fil. Signalet kommer fra klienten (f.eks. Outlook eller Word).
Læs meddelelse Brugeren læste simuleringsmeddelelsen. Signaler, der læses af meddelelser, kan opleve problemer i følgende scenarier:
  • Brugeren rapporterede meddelelsen som phishing i Outlook uden at forlade læseruden, og Markér elementer som læst, når de vises i læseruden , var ikke konfigureret (standard).
  • Brugeren rapporterede den ulæste meddelelse som phishing i Outlook, meddelelsen blev slettet, og Markér meddelelser som læst, når de blev slettet , var ikke konfigureret (standard).
Fraværende Bestemmer, om brugeren er fraværende. Beregnes i øjeblikket af indstillingen Autosvar fra Outlook.
Kompromitteret bruger Brugeren blev kompromitteret. Kompromissignalet varierer afhængigt af teknikken til social engineering.
  • Høst af legitimationsoplysninger: Brugeren har angivet sine legitimationsoplysninger på logonsiden (legitimationsoplysninger gemmes ikke af Microsoft).¹
  • Vedhæftet malware: Brugeren åbnede den vedhæftede fil med nyttedata og valgte Aktivér redigering i beskyttet visning.
  • Link i vedhæftet fil: Brugeren har åbnet den vedhæftede fil og angivet sine legitimationsoplysninger, efter at der er klikket på nyttedatalinket.
  • Link til malware: Brugeren klikkede på nyttedatalinket og indtastede sine legitimationsoplysninger.
  • Drev efter URL-adresse: Brugeren har klikket på nyttedatalinket (det er ikke nødvendigt at angive legitimationsoplysninger).¹
  • OAuth Consent Grant: Brugeren klikkede på nyttedatalinket og accepterede prompten om at dele tilladelser.¹
Link til klikket meddelelse Brugeren klikkede på nyttedatalinket i simuleringsmeddelelsen. URL-adressen i simuleringen er entydig for hver bruger, hvilket gør det muligt at spore individuelle brugeraktivitet. Filtreringstjenester fra tredjepart eller videresendelse af mail kan føre til falske positiver. Du kan få flere oplysninger under Jeg kan se klik eller kompromittere hændelser fra brugere, der insisterer på, at de ikke klikkede på linket i simuleringsmeddelelsen.
Videresendt meddelelse Brugeren videresendte meddelelsen.
Besvaret på meddelelse Brugeren har svaret på meddelelsen.
Slettet meddelelse Brugeren slettede meddelelsen. Signalet kommer fra brugerens Outlook-aktivitet. Hvis brugeren rapporterer meddelelsen som phishing, kan meddelelsen blive flyttet til mappen Slettet post, som identificeres som en sletning.
Tildelte tilladelser Brugeren delte tilladelser i en OAuth Consent Grant-simulering.

¹ Det klikkede link kan være en valgt URL-adresse eller en scannet QR-kode (understøttelse af QR-kode i Simuleringstræning af angreb er i øjeblikket en prøveversion).

Kom i gang med at bruge kursus i angrebssimulering

Opret en simulering af phishingangreb

oprette en nyttedata til oplæring af dine personer