Erkenntnisse und Berichte für Angriffssimulationstraining

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Angriffssimulationstraining in Microsoft Defender for Office 365 Plan 2 oder Microsoft 365 E5 liefert Microsoft Erkenntnisse und Berichte aus den Ergebnissen von Simulationen und den entsprechenden Schulungen. Diese Informationen halten Sie über den Fortschritt der Bedrohungsbereitschaft Ihrer Benutzer auf dem Laufenden und werden als nächste Schritte empfohlen, um Ihre Benutzer besser auf zukünftige Angriffe vorzubereiten.

Einblicke und Berichte sind an den folgenden Speicherorten auf der Seite Angriffssimulationstraining im Microsoft Defender-Portal verfügbar:

  • Die Registerkarte Übersicht .
  • Der Simulationsbericht für laufende oder abgeschlossene Simulationen, den Sie im Karte zuletzt verwendete Simulationen auf der Registerkarte Übersicht oder auf der Registerkarte Simulationen auswählen.

Im weiteren Verlauf dieses Artikels werden die verfügbaren Informationen beschrieben.

Informationen zu den ersten Schritten zu Angriffssimulationstraining finden Sie unter Erste Schritte mit Angriffssimulationstraining.

Einblicke und Berichte auf der Registerkarte "Übersicht" von Angriffssimulationstraining

Um zur Registerkarte Übersicht zu wechseln, öffnen Sie das Microsoft Defender-Portal unter https://security.microsoft.com, wechseln Sie zu Email & Zusammenarbeit>Angriffssimulationstraining und überprüfen Sie, ob die Registerkarte Übersicht ausgewählt ist (standard). Um direkt zur Registerkarte Übersicht auf der Seite Angriffssimulationstraining zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulator?viewid=overview.

Im weiteren Verlauf dieses Abschnitts werden die Informationen beschrieben, die auf der Registerkarte Übersicht von Angriffssimulationstraining verfügbar sind.

Aktuelle Simulationen Karte

Im Karte Zuletzt verwendete Simulationen auf der Registerkarte Übersicht werden die letzten drei Simulationen angezeigt, die Sie in Ihrem organization erstellt oder ausgeführt haben.

Sie können eine Simulation auswählen, um Details anzuzeigen.

Wenn Sie Alle Simulationen anzeigen auswählen , gelangen Sie zur Registerkarte Simulationen .

Wenn Sie Simulation starten auswählen , wird der neue Simulations-Assistent gestartet. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender for Office 365.

Aktuelle Simulationen Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal

Empfehlungen Karte

Die Karte Empfehlungen auf der Registerkarte Übersicht schlägt verschiedene Arten von Simulationen vor, die ausgeführt werden sollen.

Wenn Sie Jetzt starten auswählen , wird der neue Simulations-Assistent mit dem angegebenen Simulationstyp gestartet, der automatisch auf der Seite Technik auswählen ausgewählt ist. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender for Office 365.

Empfehlungen Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal

Karte für die Simulationsabdeckung

Die Karte Simulation auf der Registerkarte Übersicht zeigt den Prozentsatz der Benutzer in Ihrem organization, die eine Simulation erhalten haben (simulierte Benutzer) im Vergleich zu Benutzern, die keine Simulation erhalten haben (nicht simulierte Benutzer). Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.

Wenn Sie Simulation für nicht simulierte Benutzer starten auswählen, wird der neue Simulations-Assistent gestartet, in dem die Benutzer, die die Simulation nicht erhalten haben, automatisch auf der Seite Zielbenutzer ausgewählt werden. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender for Office 365.

Wenn Sie Simulationsbericht anzeigen auswählen , gelangen Sie zur Registerkarte Benutzerabdeckung für den Bericht Angriffssimulation.

Die Karte der Simulationsabdeckung auf der Registerkarte

Karte

Die Karte Training abgeschlossen auf der Registerkarte Übersicht organisiert die Prozentsätze der Benutzer, die Schulungen erhalten haben, basierend auf den Ergebnissen von Simulationen in den folgenden Kategorien:

  • Abgeschlossen
  • In Bearbeitung
  • Unvollständig

Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.

Wenn Sie Bericht zum Abschluss des Trainings anzeigen auswählen, gelangen Sie zur Registerkarte Trainingsabschluss für den Angriffssimulationsbericht.

Wiederholungstäter Karte

Im Karte Wiederholungstäter auf der Registerkarte Übersicht werden die Informationen zu Wiederholungstätern angezeigt. Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen von Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.

Das Diagramm organisiert wiederholte Täterdaten nach Simulationstyp:

  • All
  • Schadsoftwareanlage
  • Link zu Schadsoftware
  • Ernte von Anmeldeinformationen
  • Verknüpfen in Anlagen
  • Drive-by-URL

Wenn Sie Wiederholungstäterbericht anzeigen auswählen, gelangen Sie zur Registerkarte Wiederholungstäter für den Angriffssimulationsbericht.

Auswirkungen des Verhaltens auf Karte

Die Karte Verhalten auswirkungen auf die Kompromittierungsrate auf der Registerkarte Übersicht zeigt, wie Ihre Benutzer auf Ihre Simulationen im Vergleich zu den Verlaufsdaten in Microsoft 365 reagiert haben. Sie können diese Erkenntnisse verwenden, um den Fortschritt bei der Bedrohungsbereitschaft von Benutzern nachzuverfolgen, indem Sie mehrere Simulationen für die gleichen Benutzergruppen ausführen.

Die Diagrammdaten zeigen die folgenden Informationen an:

  • Vorhergesagte Kompromittierungsrate: Verlaufsdaten in Microsoft 365, die den Prozentsatz der Personen vorhersagt, die von dieser Simulation kompromittiert werden. Weitere Informationen zur vorhergesagten Kompromittierungsrate (PREDICTED Compromise Rate, PCR) finden Sie unter Vorhersage der Kompromittierungsrate.

  • Tatsächliche Gefährdungsrate: Der tatsächliche Prozentsatz der Personen, die von der Simulation kompromittiert wurden (tatsächliche Benutzer kompromittiert / Gesamtzahl der Benutzer in Ihrem organization, die die Simulation erhalten haben).

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Prozentwerte angezeigt.

Die folgenden Zusammenfassenden Informationen werden auch auf der Karte angezeigt:

  • Benutzer, die weniger anfällig für Phishing sind: Der Unterschied zwischen der tatsächlichen Anzahl der Benutzer, die durch den simulierten Angriff kompromittiert wurden, und der vorhergesagten Gefährdungsrate. Diese Anzahl von Benutzern ist in Zukunft weniger wahrscheinlich durch ähnliche Angriffe kompromittiert.
  • x% besser als vorhergesagte Rate: Gibt an, wie benutzer im Gegensatz zur vorhergesagten Gefährdungsrate insgesamt abgerechnet haben.

Auswirkungen des Verhaltens auf die Kompromittierungsrate Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal

Um einen ausführlicheren Bericht anzuzeigen, wählen Sie Simulationen und Trainingswirksamkeitenbericht anzeigen aus. Dieser Bericht wird weiter unten in diesem Artikel erläutert.

Angriffssimulationsbericht

Sie können den Angriffssimulationsbericht auf der Registerkarte Übersicht öffnen, indem Sie auf die Ansicht ... Berichtsschaltflächen , die in einigen der in diesem Artikel beschriebenen Karten verfügbar sind. Um direkt zum Bericht zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulationreport

Registerkarte "Trainingseffizienz" für den Angriffssimulationsbericht

Auf der Seite Angriffssimulationsbericht ist standardmäßig die Registerkarte Wirksamkeit des Trainings ausgewählt. Diese Registerkarte enthält die gleichen Informationen, die auch im Karte Auswirkungen von Verhalten auf die Gefährdungsrate verfügbar sind, mit zusätzlichem Kontext aus der Simulation selbst.

Registerkarte

Das Diagramm zeigt die Vorhergesagte Kompromittierungsrate und die tatsächliche kompromittierte Rate. Wenn Sie mit dem Mauszeiger auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Prozentwerte für angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:

  • Simulationsname
  • Simulationstechnik
  • Simulationstaktiken
  • Vorhergesagte Kompromittierungsrate
  • Tatsächliche kompromittierte Rate
  • Gesamtanzahl der Benutzer, die als Ziel verwendet werden
  • Anzahl der benutzer, auf die geklickt wurde

Sie können die Ergebnisse sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen. Wenn Sie fertig sind, wählen Sie Übernehmen aus.

Verwenden Sie das Suchfeld , um die Ergebnisse nach Simulationsname oder Simulationstechnik zu filtern. Platzhalter werden nicht unterstützt.

Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.

Registerkarte "Benutzerabdeckung" für den Bericht "Angriffssimulation"

Registerkarte

Auf der Registerkarte Benutzerabdeckung zeigt das Diagramm die simulierten undnicht simulierten Benutzer. Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:

  • Username
  • E-Mail-Adresse
  • In der Simulation enthalten
  • Datum der letzten Simulation
  • Letztes Simulationsergebnis
  • Anzahl der Angeklickten
  • Anzahl der kompromittierten

Sie können die Ergebnisse sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen.

Verwenden Sie das Suchfeld, um die Ergebnisse nach Benutzername oder Email Adresse zu filtern. Platzhalter werden nicht unterstützt.

Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.

Registerkarte "Trainingsabschluss" für den Angriffssimulationsbericht

Registerkarte

Auf der Registerkarte Trainingsabschluss zeigt das Diagramm die Anzahl der Simulationen Abgeschlossen, In Bearbeitung und Unvollständig an. Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:

  • Username
  • E-Mail-Adresse
  • In der Simulation enthalten
  • Datum der letzten Simulation
  • Letztes Simulationsergebnis
  • Name der zuletzt abgeschlossenen Schulung
  • Abgeschlossenes Datum
  • Alle Schulungen

Sie können die Ergebnisse sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen.

Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach den Statuswerten der Trainings zu filtern: Abgeschlossen, In Bearbeitung oder Alle.

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Verwenden Sie das Suchfeld, um die Ergebnisse nach Benutzername oder Email Adresse zu filtern. Platzhalter werden nicht unterstützt.

Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.

Registerkarte "Wiederholungstäter" für den Angriffssimulationsbericht

Die Registerkarte Wiederholungstäter im Angriffssimulationsbericht im Microsoft Defender-Portal

Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen von Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.

Auf der Registerkarte Wiederholungstäter organisiert das Diagramm Wiederholungstäterdaten nach Simulationstyp:

  • All
  • Ernte von Anmeldeinformationen
  • Schadsoftwareanlage
  • Link in Anlage
  • Link zu Schadsoftware
  • Drive-by-URL

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:

  • Benutzer
  • Wiederholungsanzahl
  • Simulationstypen
  • Simulationen

Sie können die Ergebnisse sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen.

Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach einigen oder allen Simulationstypwerten zu filtern:

  • Ernte von Anmeldeinformationen
  • Schadsoftwareanlage
  • Link in Anlage
  • Link zu Schadsoftware

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Verwenden Sie das Suchfeld , um die Ergebnisse nach einem der Spaltenwerte zu filtern. Platzhalter werden nicht unterstützt.

Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.

Simulationsbericht in Angriffssimulationstraining

Verwenden Sie eine der folgenden Methoden, um die Details der laufenden oder abgeschlossenen Simulationen anzuzeigen:

Die seite, die geöffnet wird, enthält die Registerkarten Bericht, Benutzer und Details , die Informationen zur Simulation enthalten. Im restlichen Teil dieses Abschnitts werden die Erkenntnisse und Berichte beschrieben, die auf der Registerkarte Bericht verfügbar sind.

Ausführliche Informationen zu den Registerkarten Benutzer und Details finden Sie unter Anzeigen von Simulationsdetails.

Abschnitt "Auswirkungen der Simulation"

Im Abschnitt Auswirkungen der Simulation auf der Seite mit den Simulationsdetails wird angezeigt, wie viele Benutzer durch die Simulation vollständig ausgetrickst wurden und wie viele Benutzer in der Simulation insgesamt sind. Die angezeigten Informationen variieren je nach Simulationstyp. Zum Beispiel:

  • Links: Anmeldeinformationen eingegeben und Anmeldeinformationen nicht eingegeben.

    Abschnitt

  • Anlagen: Anlage geöffnet und Anlage nicht geöffnet.

    Im Abschnitt

Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Zahlen für jede Kategorie angezeigt.

Abschnitt "Alle Benutzeraktivitäten"

Im Abschnitt Alle Benutzeraktivitäten auf der Seite mit den Simulationsdetails werden Zahlen für die möglichen Ergebnisse der Simulation angezeigt. Die angezeigten Informationen variieren je nach Simulationstyp. Zum Beispiel:

  • SuccessfullyDeliveredEmail

  • ReportedEmail: Gibt an, wie viele Benutzer die Simulationsnachricht als verdächtig gemeldet haben.

  • Links:

    • EmailLinkClicked: Gibt an, wie viele Benutzer auf den Link in der Simulationsnachricht geklickt haben.

    • CredSupplied: Nachdem Sie auf den Link geklickt haben, wie viele Benutzer ihre Anmeldeinformationen angegeben haben.

      Der Abschnitt

  • Anlagen:

    • AttachmentOpened: Gibt an, wie viele Benutzer die Anlage in der Simulationsnachricht geöffnet haben.

      Der Abschnitt

Abschnitt zum Abschluss der Schulung

Im Abschnitt Zum Abschluss des Trainings auf der Seite mit den Simulationsdetails werden die Für die Simulation erforderlichen Schulungen und die Anzahl der Benutzer angezeigt, die die Schulungen abgeschlossen haben.

Abschnitt

Im Abschnitt Empfohlene Aktionen auf der Seite mit den Simulationsdetails werden Die Empfehlungsaktionen der Microsoft-Sicherheitsbewertung und die Auswirkungen der Aktion auf Ihre Sicherheitsbewertung angezeigt. Diese Empfehlungen basieren auf der Nutzlast, die in der Simulation verwendet wurde, und tragen zum Schutz Ihrer Benutzer und Ihrer Umgebung bei. Wenn Sie eine Verbesserungsaktion aus der Liste auswählen, gelangen Sie zum Speicherort, an dem sie die vorgeschlagene Aktion implementieren können.

Abschnitt

Erste Schritte mit dem Angriffssimulationstraining

Erstellen einer Phishingangriffssimulation

Erstellen einer Nutzlast zum Trainieren Ihrer Mitarbeiter