Indsigt og rapporter til Simuleringstræning af angreb
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
I Simuleringstræning af angreb i Microsoft Defender for Office 365 Plan 2 eller Microsoft 365 E5 giver Microsoft indsigt og rapporter fra resultaterne af simuleringer og de tilsvarende kurser. Disse oplysninger holder dig informeret om dine brugeres status for trusselsparathed og anbefalede næste trin for bedre at forberede dine brugere på fremtidige angreb.
Indsigter og rapporter er tilgængelige på følgende placeringer på siden Simuleringstræning af angreb på Microsoft Defender-portalen:
- Indsigt:
- Fanen Oversigt på https://security.microsoft.com/attacksimulator?viewid=overview.
- Fanen Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
- Rapporter:
- Rapportsiden Simulering af angreb på https://security.microsoft.com/attacksimulationreport:
- Rapporterne for igangværende og fuldførte simuleringer og oplæringskampagner: Du kan få flere oplysninger under Rapport over simulering af angreb.
I resten af denne artikel beskrives rapporter og indsigter for Simuleringstræning af angreb.
Du kan finde oplysninger om, hvordan du kommer i gang med Simuleringstræning af angreb, under Kom i gang med at bruge Simuleringstræning af angreb.
Indsigt under fanerne Oversigt og Rapporter i Simuleringstræning af angreb
Hvis du vil gå til fanen Oversigt, skal du åbne portalen Microsoft Defender på https://security.microsoft.com, gå til Mail & samarbejde>Simuleringstræning af angreb:
- Fanen Oversigt : Kontrollér, at fanen Oversigt er valgt (det er standard). Du kan også gå direkte til fanen Oversigt ved at bruge https://security.microsoft.com/attacksimulator?viewid=overview.
- Fanen Rapporter: Vælg fanen Rapporter. Du kan også gå direkte til fanen Rapporter ved at bruge https://security.microsoft.com/attacksimulationreport.
Fordelingen af indsigter under fanerne er beskrevet i følgende tabel:
Rapportér | Fanen Oversigt | Fanen Rapporter |
---|---|---|
Kort til seneste simuleringer | ✔ | |
Kortet Anbefalinger | ✔ | |
Kort til simuleringsdækning | ✔ | ✔ |
Kort til fuldførelse af oplæring | ✔ | ✔ |
Kortet Gentag lovovertrædere | ✔ | ✔ |
Adfærdspåvirkning på kortet med kompromitteret hastighed | ✔ | ✔ |
I resten af dette afsnit beskrives de oplysninger, der er tilgængelige under fanerne Oversigt og Rapporter i Simuleringstræning af angreb.
Kort til seneste simuleringer
Kortet Seneste simuleringer under fanen Oversigt viser de sidste tre simuleringer, du har oprettet eller kørt i din organisation.
Du kan vælge en simulering for at få vist detaljer.
Hvis du vælger Vis alle simuleringer , kommer du til fanen Simuleringer .
Hvis du vælger Start en simulering , startes den nye simuleringsguide. Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.
Kortet Anbefalinger
Kortet Anbefalinger under fanen Oversigt foreslår forskellige simuleringer, der skal køres.
Hvis du vælger Start, startes den nye simuleringsguide med den angivne simuleringstype automatisk valgt på siden Vælg teknik . Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.
Kort til simuleringsdækning
Kortet Simulationsdækning under fanerne Oversigt og Rapporter viser procentdelen af brugere i organisationen, der har modtaget en simulering (simulerede brugere) vs. brugere, der ikke modtog en simulering (ikke-simulerede brugere). Du kan holde markøren over en sektion i diagrammet for at se det faktiske antal brugere i hver kategori.
Hvis du vælger Vis rapport over simuleringsdækning , kommer du til fanen Brugerdækning for simuleringsrapporten Angreb.
Hvis du vælger Start simulering for ikke-simulerede brugere, startes den nye simuleringsguide, hvor de brugere, der ikke modtog simuleringen, automatisk vælges på siden Målbruger . Du kan få flere oplysninger under Simuler et phishing-angreb i Defender for Office 365.
Kort til fuldførelse af oplæring
Kortet Oplæringsfuldførelse under fanerne Oversigt og Rapporter organiserer procentdelen af brugere, der har modtaget kurser baseret på resultaterne af simuleringer, i følgende kategorier:
- Afsluttet
- Igangværende
- Ukomplet
Du kan holde markøren over en sektion i diagrammet for at se det faktiske antal brugere i hver kategori.
Hvis du vælger Vis rapport over oplæringsfuldførelse , kommer du til fanen Oplæringsfuldførelse for rapporten Simulering af angreb.
Kortet Gentag lovovertrædere
Kortet Repeat offenders under fanerne Overview og Reports viser oplysninger om gentagne lovovertrædere. En gentaget gerningsmand er en bruger, der blev kompromitteret af flere simuleringer. Standardnummeret for fortløbende simuleringer er to, men du kan ændre værdien under fanen Indstillinger i Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=setting. Du kan få flere oplysninger under Konfigurer grænsen for gentagelsesovertræder.
Diagrammet organiserer gentagne data for lovovertræderen efter simuleringstype:
- Alle
- Vedhæftet malware
- Link til malware
- Høst af legitimationsoplysninger
- Link i vedhæftede filer
- Drev efter URL-adresse
Hvis du vælger Vis rapport over gentagelsesovertrædere , kommer du til fanen Gentag lovovertrædere for rapporten Simulering af angreb.
Adfærdspåvirkning på kortet med kompromitteret hastighed
Kortet Funktionsmådes indvirkning på kompromitteret sats under fanerne Oversigt og Rapporter viser, hvordan dine brugere reagerede på dine simuleringer sammenlignet med de historiske data i Microsoft 365. Du kan bruge denne indsigt til at spore status for brugeres trusselsparathed ved at køre flere simuleringer mod de samme grupper af brugere.
Diagramdataene viser følgende oplysninger:
- Faktisk kompromisrate: Den faktiske procentdel af personer, der blev kompromitteret af simuleringen (faktiske brugere kompromitteret/det samlede antal brugere i din organisation, der modtog simuleringen).
- Forudsagt kompromitteret hastighed: Historiske data på tværs af Microsoft 365, der forudsiger procentdelen af personer, der vil blive kompromitteret af denne simulering. Hvis du vil vide mere om pcr'en (Forudsagt kompromisrate), skal du se Forudsagt kompromisrate.
Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske procentværdier.
Hvis du vil se en detaljeret rapport, skal du vælge Få vist simuleringer og rapporten over træningseffektivitet. Denne rapport er forklaret senere i denne artikel.
Rapport over simulering af angreb
Du kan åbne simuleringsrapporten angreb fra fanen Oversigt ved at vælge vis ... rapporthandlinger , der er tilgængelige på nogle af kortene under fanerne Oversigt og Rapporter , som er beskrevet i denne artikel. Hvis du vil gå direkte til rapportsiden for simulering af angreb , skal du bruge https://security.microsoft.com/attacksimulationreport
Fanen Oplæringseffektivitet for rapporten over simulering af angreb
Fanen Træningseffektivitet vælges som standard på rapportsiden Simulering af angreb . Denne fane indeholder de samme oplysninger, som er tilgængelige på kortet Funktionsmådepåvirkning på kompromitteret sats , med yderligere kontekst fra selve simuleringen.
Diagrammet viser den faktiske kompromitterede sats og den forudsagte kompromisrate. Hvis du peger på en sektion i diagrammet, vises de faktiske procentværdier for.
I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere simuleringerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.
- Simuleringsnavn
- Simuleringsteknik
- Simuleringstaktik
- Forudsagt kompromitteret sats
- Faktisk kompromitteret sats
- Samlet antal brugere, der er målrettet
- Antal brugere, der klikkes på
Brug søgefeltet til at filtrere resultaterne efter simuleringsnavn eller simuleringsteknik. Jokertegn understøttes ikke.
Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).
Fanen Brugerdækning for rapporten over simulering af angreb
Under fanen Brugerdækning vises de simulerede brugere og ikke-simulerede brugere i diagrammet. Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske værdier.
I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.
- Brugernavn
- Mailadresse
- Inkluderet i simulering
- Dato for seneste simulering
- Sidste simuleringsresultat
- Antal klikkede
- Antal kompromitterede
Brug søgefeltet til at filtrere resultaterne efter brugernavn eller mailadresse. Jokertegn understøttes ikke.
Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).
Fanen Oplæringsfuldførelse for rapporten over simulering af angreb
Under fanen Oplæringsfuldførelse viser diagrammet antallet af fuldførte, igangværende og ufuldstændige simuleringer. Hvis du holder markøren over en sektion i diagrammet, vises de faktiske værdier.
I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.
- Brugernavn
- Mailadresse
- Inkluderet i simulering
- Dato for seneste simulering
- Sidste simuleringsresultat
- Navnet på den seneste fuldførte oplæring
- Dato for færdiggørelse
- Alle træninger
Vælg Filtrer for at filtrere diagrammet og detaljetabellen efter statusværdierne for træningerne: Fuldført, Igangværende eller Alle.
Når du er færdig med at konfigurere filtrene, skal du vælge Anvend, Annuller eller Ryd filtre.
Brug søgefeltet til at filtrere resultaterne efter brugernavn eller mailadresse. Jokertegn understøttes ikke.
Hvis du vælger knappen Eksportér rapport , vises status for oprettelse af rapporter som en procentdel af fuldført. I den dialogboks, der åbnes, kan du vælge at åbne den .csv fil, gemme den .csv fil og huske markeringen.
Fanen Gentag lovovertrædere for rapporten over simulering af angreb
En gentaget gerningsmand er en bruger, der blev kompromitteret af flere simuleringer. Standardnummeret for fortløbende simuleringer er to, men du kan ændre værdien under fanen Indstillinger i Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=setting. Du kan få flere oplysninger under Konfigurer grænsen for gentagelsesovertræder.
På fanen Repeat offenders viser diagrammet antallet af brugere af gentagelsesovertrædere og simulerede brugere.
Hvis du holder markøren over et datapunkt i diagrammet, vises de faktiske værdier.
I detaljetabellen under diagrammet vises følgende oplysninger. Du kan sortere oplysningerne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret.
- Bruger
- Simuleringstyper
- Simuleringer
- Mailadresse
- Antal seneste gentagelser
- Gentag lovovertrædelser
- Efternavn for simulering
- Sidste simuleringsresultat
- Senest tildelt oplæring
- Status for seneste oplæring
Vælg Filter for at filtrere diagrammet og detaljetabellen efter en eller flere værdier for simuleringstype:
- Høst af legitimationsoplysninger
- Vedhæftet malware
- Link i vedhæftet fil
- Link til malware
Når du er færdig med at konfigurere filtrene, skal du vælge Anvend, Annuller eller Ryd filtre.
Brug søgefeltet til at filtrere resultaterne efter en af kolonneværdierne. Jokertegn understøttes ikke.
Brug knappen Eksportér rapport til at gemme oplysningerne i en CSV-fil. Standardfilnavnet er Simuleringsrapport for angreb – Microsoft Defender.csv, og standardplaceringen er den lokale mappe Downloads. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. rapport over simulering af angreb – Microsoft Defender (1).csv).
Simuleringsrapport i Simuleringstræning af angreb
Simuleringsrapporten viser detaljer om igangværende eller fuldførte simuleringer (værdien Status er i gang eller Fuldført). Hvis du vil have vist simuleringsrapporten, skal du bruge en af følgende metoder:
På fanen Oversigt på siden Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=overviewskal du vælge en simulering på kortet Seneste simuleringer.
På fanen Simuleringer på siden Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=simulationsskal du vælge en simulering ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. Du kan få flere oplysninger under Få vist simuleringsrapporter.
- På fanen Oplæring på siden Simuleringstræning af angreb på https://security.microsoft.com/attacksimulator?viewid=trainingcampaignskal du vælge træningskampagnen ved hjælp af en af følgende metoder:
- Klik et vilkårligt sted i den anden række end afkrydsningsfeltet ud for navnet.
- Markér afkrydsningsfeltet ud for navnet, og vælg derefter Vis rapport.
Du kan få flere oplysninger under Få vist rapporter over træningskampagner.
Den rapportside, der åbnes, indeholder fanerne Rapport, **Brugere og Detaljer , der indeholder oplysninger om simuleringen. I resten af dette afsnit beskrives den indsigt og de rapporter, der er tilgængelige under fanen Rapport .
Afsnittene under fanen Rapport for en simulering er beskrevet i følgende underafsnit.
Du kan finde flere oplysninger om fanerne Brugere og Detaljer under følgende links.
- Simuleringer:
- Oplæringskampagner:
Rapportering for QR-kodesimuleringer
Tip
Nyttedata for QR-kode findes i øjeblikket som prøveversion, er ikke tilgængelige i alle organisationer og kan ændres.
Du kan vælge nyttedata for QR-kode, der skal bruges i simuleringer. QR-koden erstatter den phishing-URL-adresse som nyttedata, der bruges i simuleringsmailen. Du kan få flere oplysninger under Nyttedata for QR-kode.
Da QR-koder er en anden type phishing-URL-adresse, forbliver brugerhændelser omkring læse-, slette-, kompromis- og klikhændelser de samme. Scanning af QR-koden åbner f.eks. phishing-URL-adressen, så hændelsen spores som en klikhændelse. De eksisterende mekanismer til sporing af kompromitterede, slettede og rapporthændelser forbliver de samme.
Hvis du eksporterer en simuleringsrapport til en CSV-fil, er kolonnen EmailLinkClicked_ClickSource tilgængelig med følgende værdier:
-
PhishingURL
: Brugeren klikkede på phishinglinket i simuleringsmailen. -
QRCode
: Brugeren scannede QR-koden i simuleringsmailmeddelelsen.
Andre målepunkter, f.eks. læsninger, kompromiser, sletninger og rapporterede meddelelser, spores fortsat uden yderligere opdateringer. Du kan få flere oplysninger i appendiksafsnittet senere i denne artikel.
Simuleringsrapport for simuleringer
I dette afsnit beskrives oplysningerne i simuleringsrapporten for almindelige simuleringer (ikke oplæringskampagner).
Sektionen Simuleringseffekt i rapporten til simuleringer
Afsnittet Effekt af simulering under fanen Rapport ** for en simulering viser antallet og procentdelen af kompromitterede brugere og brugere, der har rapporteret meddelelsen.
Hvis du peger på en sektion i diagrammet, vises de faktiske tal for hver kategori.
Vælg Vis kompromitterede brugere for at gå til fanen Brugere i rapporten, hvor resultaterne filtreres efter kompromitteret: Ja.
Vælg Vis brugere, der har rapporteret for at gå til fanen Brugere i rapporten, hvor resultaterne filtreres efter Rapporteret meddelelse: Ja.
Alle brugeraktivitetsafsnit i rapporten til simuleringer
Afsnittet Alle brugeraktivitet under fanen Rapport ** for en simulering viser tal for de mulige resultater af simuleringen. Oplysningerne varierer afhængigt af simuleringstypen. Det kan f.eks. være:
- Klik på meddelelseslink eller link til vedhæftet fil, der er klikket på , eller vedhæftet fil er åbnet
- Angivne legitimationsoplysninger
- Læs meddelelse
- Slettet meddelelse
- Besvaret på meddelelse
- Videresendt meddelelse
- Fraværende
Vælg Vis alle brugere for at gå til fanen Brugere i rapporten, hvor resultaterne ikke er filtreret.
Afsnittet Leveringsstatus i rapporten til simuleringer
Afsnittet Leveringsstatus under fanen Rapport ** for en simulering viser tallene for de mulige leveringsstatusser for simuleringsmeddelelsen. Det kan f.eks. være:
- Meddelelse blev modtaget
- Meddelelse om positiv forstærkning blev leveret
- Der er kun leveret simuleringsmeddelelse
Vælg Vis de brugere, som meddelelsesleveringen mislykkedes til, under fanen Brugere i rapporten, hvor resultaterne filtreres efter levering af simuleringsmeddelelse: Leveringen mislykkedes.
Vælg Vis udeladte brugere eller grupper for at åbne et pop op-vindue for udeladte brugere eller grupper , der viser de brugere eller grupper, der blev udelukket fra simuleringen.
Afsnittet Oplæringsfuldførelse i rapporten til simuleringer
I afsnittet Oplæringsfuldførelse på siden med simuleringsoplysninger kan du se de oplæringer, der kræves til simuleringen, og hvor mange brugere der har gennemført træningerne.
Hvis der ikke blev inkluderet nogen oplæringer i simuleringen, er den eneste værdi i dette afsnit Oplæringer ikke var en del af denne simulering.
Første & gennemsnitlige forekomstsektion i rapporten til simuleringer
Afsnittet Første & gennemsnitlige forekomst under fanen Rapport ** for en simulering viser oplysninger om, hvor lang tid det tog at udføre bestemte handlinger i simuleringen. Det kan f.eks. være:
- Der blev klikket på det første link
- Der blev klikket på et gns. link
- Første angivne legitimationsoplysninger
- Gennemsnitligt antal angivne legitimationsoplysninger
Afsnittet Anbefalinger i rapporten til simuleringer
Afsnittet Anbefalinger under fanen Rapport** for en simulering viser anbefalinger til brug af Simuleringstræning af angreb som en hjælp til at beskytte din organisation.
Simuleringsrapport for oplæringskampagner
I dette afsnit beskrives oplysningerne i simuleringsrapporten for oplæringskampagner (ikke simuleringer).
Klassificering af oplæringsfuldførelse i rapporten til oplæringskampagner
I afsnittet Klassificering af fuldførelse af oplæring under fanen Rapport ** for en træningskampagne vises oplysninger om de fuldførte træningsmoduler i træningskampagnen.
Oversigt over oplæring i rapporten til oplæringskampagner
I afsnittet Oversigt over fuldførelse af oplæring under fanen Rapport ** for en træningskampagne bruges søjlediagrammer, der viser forløbet af tildelte brugere via alle træningsmoduler i kampagnen (antal brugere/samlet antal brugere):
- Afsluttet
- Igangværende
- Ikke startet
- Ikke fuldført
- Tidligere tildelt
Du kan holde markøren over en sektion i diagrammet for at se den faktiske procentdel i hver kategori.
Alle brugeraktivitetsafsnit i rapporten til oplæringskampagner
I afsnittet Alle brugeraktivitet under fanen Rapport ** for en træningskampagne bruges der en søjlediagram til at vise, hvordan de vigtigste personer modtog en oplæringsmeddelelse (antal brugere/samlet antal brugere).
Du kan holde markøren over en sektion i diagrammet for at se de faktiske tal i hver kategori.
Tillæg
Når du eksporterer oplysninger fra rapporterne, indeholder CSV-filen flere oplysninger end det, der vises i rapporten, selvom du har vist alle kolonner. Felterne er beskrevet i følgende tabel.
Tip
Kontrollér, at alle tilgængelige kolonner i rapporten er synlige, før du eksporterer, for at få maksimalt antal oplysninger.
Feltnavn | Beskrivelse |
---|---|
Brugernavn | Brugernavnet for den bruger, der udførte aktiviteten. |
UserMail | Mailadressen på den bruger, der udførte aktiviteten. |
Kompromitteret | Angiver, om brugeren blev kompromitteret. Værdierne er Ja eller Nej. |
AttachmentOpened_TimeStamp | Da nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . |
AttachmentOpened_Browser | Når nyttedata for vedhæftede filer blev åbnet i en webbrowser i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent. |
AttachmentOpened_IP | IP-adressen, hvor nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent. |
AttachmentOpened_Device | Den enhed, hvor nyttedataene for den vedhæftede fil blev åbnet i simuleringer af vedhæftede malware . Disse oplysninger kommer fra UserAgent. |
AttachmentLinkClicked_TimeStamp | Da der blev klikket på nyttedata for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer. |
AttachmentLinkClicked_Browser | Den webbrowser, der blev brugt til at klikke på nyttedataene for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer . Disse oplysninger kommer fra UserAgent. |
AttachmentLinkClicked_IP | Den IP-adresse, hvor der blev klikket på nyttedataene for linket til vedhæftede filer i Link i simuleringer af vedhæftede filer. Disse oplysninger kommer fra UserAgent. |
AttachmentLinkClicked_Device | Den enhed, hvor der blev klikket på nyttedata for linket til vedhæftede filer i link i simuleringer af vedhæftede filer. Disse oplysninger kommer fra UserAgent. |
EmailLinkClicked_TimeStamp | Når der blev klikket på linkets nyttedata i Credential Harvest, link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. |
EmailLinkClicked_Browser | Den webbrowser, der blev brugt til at klikke på linkets nyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent. |
EmailLinkClicked_IP | IP-adressen, hvor der blev klikket på linkets nyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent. |
EmailLinkClicked_Device | Den enhed, hvor der blev klikket på linknyttedata i Credential Harvest, Link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Disse oplysninger kommer fra UserAgent. |
EmailLinkClicked_ClickSource | Angiver, om nyttedatalinket blev valgt ved at klikke på en URL-adresse eller scanne en QR-kode i Credential Harvest, link til malware, Drive-by-URL og OAuth Consent Grant-simuleringer. Værdier er PhishingURL eller QRCode . Understøttelse af QR-kode er i øjeblikket en prøveversion. |
CredSupplied_TimeStamp(kompromitteret) | Da brugeren indtastede sine legitimationsoplysninger. |
CredSupplied_Browser | Den webbrowser, der blev brugt, da brugeren indtastede sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent. |
CredSupplied_IP | DEN IP-adresse, hvor brugeren har angivet sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent. |
CredSupplied_Device | Den enhed, hvor brugeren har angivet sine legitimationsoplysninger. Disse oplysninger kommer fra UserAgent. |
SuccessfullyDeliveredEmail_TimeStamp | Når simuleringsmailmeddelelsen blev leveret til brugeren. |
MessageRead_TimeStamp | Da simuleringsmeddelelsen blev læst. |
MessageDeleted_TimeStamp | Da simuleringsmeddelelsen blev slettet. |
MessageReplied_TimeStamp | Når brugeren besvarede simuleringsmeddelelsen. |
MessageForwarded_TimeStamp | Når brugeren videresendte simuleringsmeddelelsen. |
OutOfOfficeDays | Bestemmer, om brugeren er fraværende. Disse oplysninger kommer fra indstillingen Autosvar i Outlook. |
PositiveReinforcementMessageDelivered_TimeStamp | Når den positive forstærkning besked blev leveret til brugeren. |
PositiveReinforcementMessageFailed_TimeStamp | Når meddelelsen om positiv forstærkning ikke blev leveret til brugeren. |
JustSimulationMessageDelivered_TimeStamp | Når simuleringsmeddelelsen blev leveret til brugeren som en del af en simulering uden oplæring tildelt (der blev ikke valgt oplæring på siden Tildel oplæring i den nye simuleringsguide). |
JustSimulationMessageFailed_TimeStamp | Når simuleringsmailen ikke blev leveret til brugeren, og simuleringen ikke havde fået tildelt nogen oplæring. |
TrainingAssignmentMessageDelivered_TimeStamp | Når meddelelsen om oplæringstildeling blev leveret til brugeren. Denne værdi er tom, hvis der ikke blev tildelt nogen oplæringer i simuleringen. |
TrainingAssignmentMessageFailed_TimeStamp | Når meddelelsen om tildeling af oplæring ikke blev leveret til brugeren. Denne værdi er tom, hvis der ikke blev tildelt nogen oplæringer i simuleringen. |
FailedToDeliverEmail_TimeStamp | Når simuleringsmailmeddelelsen ikke blev leveret til brugeren. |
Seneste simuleringsaktivitet | Den sidste simuleringsaktivitet for brugeren (uanset om brugeren bestod eller blev kompromitteret). |
Tildelte kurser | Listen over oplæringer, der er tildelt brugeren som en del af simuleringen. |
Fuldførte kurser | Listen over oplæringer, som brugeren har fuldført som en del af simuleringen. |
Oplæringsstatus | Den aktuelle status for oplæringer for brugeren som en del af simuleringen. |
Phishing rapporteret den | Da brugeren rapporterede simuleringsmeddelelsen som phishing. |
Afdeling | Egenskabsværdien for brugerens afdeling i Microsoft Entra ID på simuleringstidspunktet. |
Firma | Brugerens egenskabsværdi Firma i Microsoft Entra ID på simuleringstidspunktet. |
Titel | Brugerens egenskabsværdi Title i Microsoft Entra ID på simuleringstidspunktet. |
Office | Brugerens Office-egenskabsværdi i Microsoft Entra ID på simuleringstidspunktet. |
By | Brugerens egenskabsværdi By i Microsoft Entra ID på simuleringstidspunktet. |
Land | Brugerens egenskabsværdi Country i Microsoft Entra ID på simuleringstidspunktet. |
Bestyrer | Brugerens egenskabsværdi Manager i Microsoft Entra ID på simuleringstidspunktet. |
Den måde, som brugeraktivitetssignaler registreres på, beskrives i følgende tabel.
Mark | Beskrivelse | Beregningslogik |
---|---|---|
DownloadAttachment | En bruger har downloadet den vedhæftede fil. | Signalet kommer fra klienten (f.eks. Outlook eller Word). |
Åbnet vedhæftet fil | En bruger har åbnet den vedhæftede fil. | Signalet kommer fra klienten (f.eks. Outlook eller Word). |
Læs meddelelse | Brugeren læste simuleringsmeddelelsen. | Signaler, der læses af meddelelser, kan opleve problemer i følgende scenarier:
|
Fraværende | Bestemmer, om brugeren er fraværende. | Beregnes i øjeblikket af indstillingen Autosvar fra Outlook. |
Kompromitteret bruger | Brugeren blev kompromitteret. Kompromissignalet varierer afhængigt af teknikken til social engineering. |
|
Link til klikket meddelelse | Brugeren klikkede på nyttedatalinket i simuleringsmeddelelsen. | URL-adressen i simuleringen er entydig for hver bruger, hvilket gør det muligt at spore individuelle brugeraktivitet. Filtreringstjenester fra tredjepart eller videresendelse af mail kan føre til falske positiver. Du kan få flere oplysninger under Jeg kan se klik eller kompromittere hændelser fra brugere, der insisterer på, at de ikke klikkede på linket i simuleringsmeddelelsen. |
Videresendt meddelelse | Brugeren videresendte meddelelsen. | |
Besvaret på meddelelse | Brugeren har svaret på meddelelsen. | |
Slettet meddelelse | Brugeren slettede meddelelsen. | Signalet kommer fra brugerens Outlook-aktivitet. Hvis brugeren rapporterer meddelelsen som phishing, kan meddelelsen blive flyttet til mappen Slettet post, som identificeres som en sletning. |
Tildelte tilladelser | Brugeren delte tilladelser i en OAuth Consent Grant-simulering. |
¹ Det klikkede link kan være en valgt URL-adresse eller en scannet QR-kode (understøttelse af QR-kode i Simuleringstræning af angreb er i øjeblikket en prøveversion).
Relaterede links
Kom i gang med at bruge kursus i angrebssimulering