Erkenntnisse und Berichte für das Training zur Angriffssimulation

• Gilt für:

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In der Angriffssimulationsschulung in Microsoft Defender für Office 365 Plan 2 oder Microsoft 365 E5 bietet Microsoft Erkenntnisse und Berichte aus den Ergebnissen von Simulationen und den entsprechenden Schulungen. Diese Informationen halten Sie über den Fortschritt der Bedrohungsbereitschaft Ihrer Benutzer auf dem Laufenden und werden als nächste Schritte empfohlen, um Ihre Benutzer besser auf zukünftige Angriffe vorzubereiten.

Erkenntnisse und Berichte sind an den folgenden Stellen auf der Seite Angriffssimulationstraining im Microsoft Defender-Portal verfügbar:

• Einblicke:
  • Die Registerkarte Übersicht unter https://security.microsoft.com/attacksimulator?viewid=overview.
  • Die Registerkarte Berichte unter https://security.microsoft.com/attacksimulator?viewid=reports.
• Berichte:
  • Die Seite angriffssimulationsbericht unter https://security.microsoft.com/attacksimulationreport:
    • Registerkarte "Wirksamkeit des Trainings"
    • Registerkarte "Benutzerabdeckung"
    • Registerkarte "Trainingsabschluss"
    • Registerkarte "Wiederholungstäter"
  • Die Berichte zu laufenden und abgeschlossenen Simulationen und Trainingskampagnen: Weitere Informationen finden Sie unter Angriffssimulationsbericht.

Im weiteren Verlauf dieses Artikels werden die Berichte und Erkenntnisse für das Training der Angriffssimulation beschrieben.

Informationen zu den ersten Schritten zum Training der Angriffssimulation finden Sie unter Erste Schritte mit dem Angriffssimulationstraining.

Einblicke auf die Registerkarten "Übersicht" und "Berichte" des Trainings zur Angriffssimulation

Um zur Registerkarte Übersicht zu wechseln, öffnen Sie das Microsoft Defender-Portal unter https://security.microsoft.com, wechseln Sie zu E-Mail & Zusammenarbeit>Angriffssimulationstraining:

• Registerkarte "Übersicht": Überprüfen Sie, ob die Registerkarte "Übersicht" ausgewählt ist (dies ist die Standardeinstellung). Oder verwenden Sie https://security.microsoft.com/attacksimulator?viewid=overview, um direkt zur Registerkarte Übersicht zu wechseln.
• Registerkarte Berichte: Wählen Sie die Registerkarte Berichte aus. Oder verwenden Sie https://security.microsoft.com/attacksimulationreport, um direkt zur Registerkarte Berichte zu wechseln.

Die Verteilung von Erkenntnissen auf den Registerkarten wird in der folgenden Tabelle beschrieben:

Bericht	Registerkarte „Übersicht“	Registerkarte "Berichte"
Karte "Aktuelle Simulationen"	✔
Empfehlungskarte	✔
Simulationsabdeckungskarte	✔	✔
Karte zum Abschluss des Trainings	✔	✔
Wiederholungstäterkarte	✔	✔
Auswirkungen des Verhaltens auf die Karte mit der Kompromittierungsrate	✔	✔

Im restlichen Teil dieses Abschnitts werden die Informationen beschrieben, die auf den Registerkarten Übersicht und Berichte des Angriffssimulationstrainings verfügbar sind.

Karte "Aktuelle Simulationen"

Auf der Karte Zuletzt verwendete Simulationen auf der Registerkarte Übersicht werden die letzten drei Simulationen angezeigt, die Sie in Ihrer Organisation erstellt oder ausgeführt haben.

Sie können eine Simulation auswählen, um Details anzuzeigen.

Wenn Sie Alle Simulationen anzeigen auswählen , gelangen Sie zur Registerkarte Simulationen .

Wenn Sie Simulation starten auswählen , wird der neue Simulations-Assistent gestartet. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender für Office 365.

Empfehlungskarte

Die Karte Empfehlungen auf der Registerkarte Übersicht schlägt verschiedene Arten von Simulationen vor, die ausgeführt werden sollen.

Wenn Sie Jetzt starten auswählen , wird der neue Simulations-Assistent mit dem angegebenen Simulationstyp gestartet, der automatisch auf der Seite Technik auswählen ausgewählt ist. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender für Office 365.

Simulationsabdeckungskarte

Die Karte "Simulationsabdeckung " auf den Registerkarten "Übersicht " und " Berichte " zeigt den Prozentsatz der Benutzer in Ihrer Organisation an, die eine Simulation erhalten haben (simulierte Benutzer) im Vergleich zu Benutzern, die keine Simulation erhalten haben (nicht simulierte Benutzer). Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.

Wenn Sie Simulationsbericht anzeigen auswählen , gelangen Sie zur Registerkarte Benutzerabdeckung für den Bericht Angriffssimulation.

Wenn Sie Simulation für nicht simulierte Benutzer starten auswählen, wird der neue Simulations-Assistent gestartet, in dem die Benutzer, die die Simulation nicht erhalten haben, automatisch auf der Seite Zielbenutzer ausgewählt werden. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender für Office 365.

Karte zum Abschluss des Trainings

Auf der Karte "Trainingsabschluss " auf den Registerkarten "Übersicht " und " Berichte " werden die Prozentsätze der Benutzer, die Schulungen erhalten haben, basierend auf den Ergebnissen von Simulationen in die folgenden Kategorien unterteilt:

• Abgeschlossen
• In Bearbeitung
• Unvollständig

Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.

Wenn Sie Bericht zum Abschluss des Trainings anzeigen auswählen, gelangen Sie zur Registerkarte Trainingsabschluss für den Angriffssimulationsbericht.

Wiederholungstäterkarte

Auf der Karte Wiederholungstäter auf den Registerkarten Übersicht und Berichte werden die Informationen zu Wiederholungstätern angezeigt. Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen des Angriffssimulationstrainings unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.

Das Diagramm organisiert wiederholte Täterdaten nach Simulationstyp:

• All
• Schadsoftwareanlage
• Link zu Schadsoftware
• Ernte von Anmeldeinformationen
• Verknüpfen in Anlagen
• Drive-by-URL

Wenn Sie Wiederholungstäterbericht anzeigen auswählen, gelangen Sie zur Registerkarte Wiederholungstäter für den Angriffssimulationsbericht.

Auswirkungen des Verhaltens auf die Karte mit der Kompromittierungsrate

Die Karte Auswirkungen auf die Kompromittierungsrate auf den Registerkarten Übersicht und Berichte zeigt, wie Ihre Benutzer im Vergleich zu den Verlaufsdaten in Microsoft 365 auf Ihre Simulationen reagiert haben. Sie können diese Erkenntnisse verwenden, um den Fortschritt bei der Bedrohungsbereitschaft von Benutzern nachzuverfolgen, indem Sie mehrere Simulationen für die gleichen Benutzergruppen ausführen.

Die Diagrammdaten zeigen die folgenden Informationen an:

• Tatsächliche Gefährdungsrate: Der tatsächliche Prozentsatz der Personen, die von der Simulation kompromittiert wurden (tatsächliche Benutzer kompromittiert / Gesamtzahl der Benutzer in Ihrer Organisation, die die Simulation erhalten haben).
• Vorhergesagte Kompromittierungsrate: Verlaufsdaten in Microsoft 365, die den Prozentsatz der Personen vorhersagt, die von dieser Simulation kompromittiert werden. Weitere Informationen zur vorhergesagten Kompromittierungsrate (PREDICTED Compromise Rate, PCR) finden Sie unter Vorhersage der Kompromittierungsrate.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Prozentwerte angezeigt.

Um einen detaillierten Bericht anzuzeigen, wählen Sie Simulationen und Training wirksamkeitsbericht anzeigen aus. Dieser Bericht wird weiter unten in diesem Artikel erläutert.

Angriffssimulationsbericht

Sie können den Angriffssimulationsbericht auf der Registerkarte Übersicht öffnen, indem Sie die Option Ansicht ... auswählen. Berichtsaktionen , die auf einigen der Karten auf den Registerkarten Übersicht und Berichte verfügbar sind, die in diesem Artikel beschrieben werden. Um direkt zur Berichtsseite Angriffssimulation zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulationreport

Registerkarte "Trainingseffizienz" für den Angriffssimulationsbericht

Die Registerkarte Wirksamkeit des Trainings ist standardmäßig auf der Seite Angriffssimulationsbericht ausgewählt. Diese Registerkarte enthält die gleichen Informationen, die in der Karte Auswirkungen auf die Kompromittierungsrate verfügbar sind, mit zusätzlichem Kontext aus der Simulation selbst.

Das Diagramm zeigt die tatsächliche kompromittierte Rate und die vorhergesagte Kompromittierungsrate. Wenn Sie mit dem Mauszeiger auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Prozentwerte für angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Simulationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

• Simulationsname
• Simulationstechnik
• Simulationstaktiken
• Vorhergesagte Kompromittierungsrate
• Tatsächliche kompromittierte Rate
• Gesamtanzahl der Benutzer, die als Ziel verwendet werden
• Anzahl der benutzer, auf die geklickt wurde

Verwenden Sie das Suchfeld , um die Ergebnisse nach Simulationsname oder Simulationstechnik zu filtern. Platzhalter werden nicht unterstützt.

Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Bericht angriffssimulation – Microsoft Defender (1).csv).

Registerkarte "Benutzerabdeckung" für den Bericht "Angriffssimulation"

Auf der Registerkarte Benutzerabdeckung zeigt das Diagramm die simulierten undnicht simulierten Benutzer. Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

• Username
• E-Mail-Adresse
• In der Simulation enthalten
• Datum der letzten Simulation
• Letztes Simulationsergebnis
• Anzahl der Angeklickten
• Anzahl der kompromittierten

Verwenden Sie das Suchfeld , um die Ergebnisse nach Benutzername oder E-Mail-Adresse zu filtern. Platzhalter werden nicht unterstützt.

Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Bericht angriffssimulation – Microsoft Defender (1).csv).

Registerkarte "Trainingsabschluss" für den Angriffssimulationsbericht

Auf der Registerkarte Trainingsabschluss zeigt das Diagramm die Anzahl der Simulationen Abgeschlossen, In Bearbeitung und Unvollständig an. Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

• Username
• E-Mail-Adresse
• In der Simulation enthalten
• Datum der letzten Simulation
• Letztes Simulationsergebnis
• Name der zuletzt abgeschlossenen Schulung
• Abgeschlossenes Datum
• Alle Schulungen

Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach den Statuswerten der Trainings zu filtern: Abgeschlossen, In Bearbeitung oder Alle.

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Verwenden Sie das Suchfeld , um die Ergebnisse nach Benutzername oder E-Mail-Adresse zu filtern. Platzhalter werden nicht unterstützt.

Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.

Registerkarte "Wiederholungstäter" für den Angriffssimulationsbericht

Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen des Angriffssimulationstrainings unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.

Auf der Registerkarte Wiederholungstäter zeigt das Diagramm die Anzahl von Wiederholungstäterbenutzern und simulierten Benutzern an.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

• Benutzer
• Simulationstypen
• Simulationen
• E-Mail-Adresse
• Anzahl der letzten Wiederholungen
• Wiederholungsdelikte
• Name der letzten Simulation
• Letztes Simulationsergebnis
• Letzte zugewiesene Schulung
• Letzter Trainingsstatus

Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach einem oder mehreren Simulationstypwerten zu filtern:

• Ernte von Anmeldeinformationen
• Schadsoftwareanlage
• Link in Anlage
• Link zu Schadsoftware

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Verwenden Sie das Suchfeld , um die Ergebnisse nach einem der Spaltenwerte zu filtern. Platzhalter werden nicht unterstützt.

Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Bericht angriffssimulation – Microsoft Defender (1).csv).

Simulationsbericht im Angriffssimulationstraining

Der Simulationsbericht zeigt die Details der laufenden oder abgeschlossenen Simulationen an (der Wert Status lautet In Bearbeitung oder Abgeschlossen). Verwenden Sie eine der folgenden Methoden, um den Simulationsbericht anzuzeigen:

• Wählen Sie auf der Registerkarte Übersicht der Seite Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=overvieweine Simulation aus der Karte Zuletzt verwendete Simulationen aus.

  

• Wählen Sie auf der Registerkarte Simulationen der Seite Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=simulationseine Simulation aus, indem Sie an einer beliebigen Stelle in der Zeile neben dem Namen auf das Kontrollkästchen klicken. Weitere Informationen finden Sie unter Anzeigen von Simulationsberichten.

  • Wählen Sie auf der Registerkarte Training der Angriffssimulationsseite unter https://security.microsoft.com/attacksimulator?viewid=trainingcampaigndie Trainingskampagne mit einer der folgenden Methoden aus:
  • Klicken Sie auf eine beliebige Stelle in der Zeile außer dem Kontrollkästchen neben dem Namen.
  • Aktivieren Sie das Kontrollkästchen neben dem Namen, und wählen Sie dann Bericht anzeigen aus.

  Weitere Informationen finden Sie unter Anzeigen von Trainingskampagnenberichten.

Die berichtsseitige Seite, die geöffnet wird, enthält die Registerkarten Bericht, **Benutzer und Details , die Informationen zur Simulation enthalten. Im restlichen Teil dieses Abschnitts werden die Erkenntnisse und Berichte beschrieben, die auf der Registerkarte Bericht verfügbar sind.

Die Abschnitte auf der Registerkarte Bericht für eine Simulation werden in den folgenden Unterabschnitten beschrieben.

Weitere Informationen zu den Registerkarten Benutzer und Details finden Sie unter den folgenden Links.

• Simulationen:
  • Registerkarte "Benutzer"
  • Registerkarte "Details"
• Schulungskampagnen:
  • Registerkarte "Benutzer"
  • Registerkarte "Details"

Simulationsbericht für Simulationen

In diesem Abschnitt werden die Informationen im Simulationsbericht für reguläre Simulationen (nicht für Trainingskampagnen) beschrieben.

Abschnitt "Auswirkungen der Simulation" im Bericht für Simulationen

Der Abschnitt Auswirkungen der Simulation auf der Registerkarte Bericht ** für eine Simulation zeigt die Anzahl und den Prozentsatz der kompromittierten Benutzer und Benutzer, die die Nachricht gemeldet haben .

Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Zahlen für jede Kategorie angezeigt.

Wählen Sie Gefährdete Benutzer anzeigen aus, um zur Registerkarte Benutzer im Bericht zu wechseln, auf der die Ergebnisse nach Kompromittiert: Ja gefiltert werden.

Wählen Sie Benutzer anzeigen aus, die gemeldet haben , um zur Registerkarte Benutzer im Bericht zu wechseln, auf der die Ergebnisse nach Gemeldeter Meldung gefiltert werden: Ja.

Abschnitt "Alle Benutzeraktivitäten" im Bericht für Simulationen

Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht ** für eine Simulation zeigt Zahlen für die möglichen Ergebnisse der Simulation an. Die Informationen variieren je nach Simulationstyp. Zum Beispiel:

• Geklickter Nachrichtenlink oder Anlagenlink oderGeöffnete Anlage
• Angegebene Anmeldeinformationen
• Nachricht lesen
• Nachricht gelöscht
• Antwort auf Nachricht
• Weitergeleitete Nachricht
• Abwesenheit

Wählen Sie Alle Benutzer anzeigen aus, um zur Registerkarte Benutzer in dem Bericht zu wechseln, auf dem die Ergebnisse ungefiltert sind.

Abschnitt "Übermittlungsstatus" im Bericht für Simulationen

Der Abschnitt Übermittlungsstatus auf der Registerkarte Bericht ** für eine Simulation zeigt die Zahlen für die möglichen Zustellungsstatus für die Simulationsnachricht an. Zum Beispiel:

• Nachricht erfolgreich empfangen
• Positive Verstärkungsnachricht übermittelt
• Nur Simulationsnachricht übermittelt

Wählen Sie Benutzer anzeigen aus, für die die Nachrichtenübermittlung nicht erfolgreich war. Wechseln Sie zur Registerkarte Benutzer im Bericht, auf der die Ergebnisse nach Simulation nachrichtenübermittlung: Fehler beim Übermitteln gefiltert werden.

Wählen Sie Ausgeschlossene Benutzer oder Gruppen anzeigen aus, um ein Flyout ausgeschlossene Benutzer oder Gruppen zu öffnen, das die Benutzer oder Gruppen anzeigt, die von der Simulation ausgeschlossen wurden.

Abschnitt zum Abschluss des Trainings im Bericht für Simulationen

Im Abschnitt Trainingsabschluss auf der Seite mit den Simulationsdetails werden die für die Simulation erforderlichen Schulungen und die Anzahl der Benutzer angezeigt, die die Schulungen abgeschlossen haben.

Wenn keine Trainings in die Simulation einbezogen wurden, ist der einzige Wert in diesem Abschnitt Trainings, die nicht Teil dieser Simulation waren.

Erster & Abschnitt der durchschnittlichen Instanz im Bericht für Simulationen

Der Abschnitt First & durchschnittliche Instanz auf der Registerkarte Bericht ** für eine Simulation enthält Informationen über die Zeit, die zum Ausführen bestimmter Aktionen in der Simulation benötigt wurde. Zum Beispiel:

• Erster Link geklickt
• Durchschn. Link geklickt
• Erste eingegebene Anmeldeinformationen
• Durchschn. Eingegebene Anmeldeinformationen

Abschnitt "Empfehlungen" im Bericht für Simulationen

Der Abschnitt Empfehlungen auf der Registerkarte Bericht ** für eine Simulation enthält Empfehlungen für die Verwendung von Angriffssimulationstrainings, um Ihre Organisation zu schützen.

Simulationsbericht für Trainingskampagnen

In diesem Abschnitt werden die Informationen im Simulationsbericht für Trainingskampagnen (keine Simulationen) beschrieben.

Abschnitt zur Klassifizierung des Trainingsabschlusses im Bericht für Trainingskampagnen

Der Abschnitt "Trainingsabschlussklassifizierung " auf der Registerkarte Bericht ** für eine Trainingskampagne enthält Informationen zu den abgeschlossenen Trainingsmodulen in der Trainingskampagne.

Abschnitt "Zusammenfassung des Trainingsabschlusses" im Bericht für Trainingskampagnen

Im Abschnitt Zusammenfassung des Trainingsabschlusses auf der Registerkarte Bericht ** für eine Trainingskampagne werden Balkendiagramme verwendet, die den Fortschritt der zugewiesenen Benutzer durch alle Trainingsmodule in der Kampagne (Anzahl der Benutzer/Gesamtanzahl der Benutzer) anzeigen:

• Abgeschlossen
• In Bearbeitung
• Nicht gestartet
• Nicht abgeschlossen
• Zuvor zugewiesen

Sie können auf einen Abschnitt im Diagramm zeigen, um den tatsächlichen Prozentsatz in jeder Kategorie anzuzeigen.

Abschnitt "Alle Benutzeraktivitäten" im Bericht für Trainingskampagnen

Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht ** für eine Trainingskampagne verwendet ein Balkendiagramm, um zu zeigen, wie die Hauptpersonen erfolgreich eine Trainingsbenachrichtigung erhalten haben (Anzahl der Benutzer/Gesamtanzahl der Benutzer).

Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächlichen Zahlen in jeder Kategorie anzuzeigen.

Anhang

Wenn Sie Informationen aus den Berichten exportieren, enthält die CSV-Datei mehr Informationen, als im Bericht angezeigt werden, auch wenn alle Spalten angezeigt werden. Die Felder werden in der folgenden Tabelle beschrieben.

Tipp

Überprüfen Sie vor dem Export, ob alle verfügbaren Spalten im Bericht sichtbar sind, um eine maximale Anzahl von Informationen zu erhalten.

Feldname	Beschreibung
UserName	Benutzername des Benutzers, der die Aktivität gemacht hat.
UserMail	E-Mail-Adresse des Benutzers, der die Aktivität gemacht hat.
Kompromittiert	Gibt an, ob der Benutzer kompromittiert wurde. Die Werte sind Ja oder Nein.
AttachmentOpened_TimeStamp	Wenn die Anlage geöffnet wurde.
AttachmentOpened_Browser	Wenn die Anlage in einem Webbrowser geöffnet wurde. Diese Informationen stammen von UserAgent.
AttachmentOpened_IP	Die IP-Adresse, an der die Anlage geöffnet wurde. Diese Informationen stammen von UserAgent.
AttachmentOpened_Device	Das Gerät, auf dem die Anlage geöffnet wurde. Diese Informationen stammen von UserAgent.
AttachmentLinkClicked_TimeStamp	Wenn auf den Anlagelink geklickt wurde.
AttachmentLinkClicked_Browser	Der Webbrowser, der verwendet wurde, um auf den Anlagelink zu klicken. Diese Informationen stammen von UserAgent.
AttachmentLinkClicked_IP	Die IP-Adresse, an der auf den Anlagelink geklickt wurde. Diese Informationen stammen von UserAgent.
AttachmentLinkClicked_Device	Das Gerät, auf das auf den Anlagelink geklickt wurde. Diese Informationen stammen von UserAgent.
CredSupplied_TimeStamp(Kompromittiert)	Wenn der Benutzer seine Anmeldeinformationen eingegeben hat.
CredSupplied_Browser	Der Webbrowser, der verwendet wurde, als der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent.
CredSupplied_IP	Die IP-Adresse, an der der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent.
CredSupplied_Device	Das Gerät, auf dem der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Wenn die Simulations-E-Mail-Nachricht an den Benutzer übermittelt wurde.
MessageRead_TimeStamp	Wann die Simulationsmeldung gelesen wurde.
MessageDeleted_TimeStamp	Wenn die Simulationsmeldung gelöscht wurde.
MessageReplied_TimeStamp	Wenn der Benutzer auf die Simulationsmeldung geantwortet hat.
MessageForwarded_TimeStamp	Wenn der Benutzer die Simulationsnachricht weitergeleitet hat.
OutOfOfficeDays	Bestimmt, ob der Benutzer nicht mehr im Büro ist. Diese Informationen stammen aus der Einstellung Automatische Antworten in Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Wenn die positive Bestärkernachricht an den Benutzer übermittelt wurde.
PositiveReinforcementMessageFailed_TimeStamp	Wenn die positive Verstärkungsmeldung nicht an den Benutzer übermittelt werden konnte.
JustSimulationMessageDelivered_TimeStamp	Wenn die Simulationsnachricht im Rahmen einer Simulation ohne zugewiesene Trainings an den Benutzer übermittelt wurde (auf der Seite Training zuweisen des assistenten für neue Simulation wurde kein Training ausgewählt).
JustSimulationMessageFailed_TimeStamp	Wenn die Simulations-E-Mail-Nachricht nicht an den Benutzer übermittelt werden konnte und der Simulation keine Trainings zugewiesen wurden.
TrainingAssignmentMessageDelivered_TimeStamp	Wenn die Trainingszuweisungsnachricht an den Benutzer übermittelt wurde. Dieser Wert ist leer, wenn in der Simulation keine Trainings zugewiesen wurden.
TrainingAssignmentMessageFailed_TimeStamp	Wenn die Trainingszuweisungsnachricht nicht an den Benutzer übermittelt werden konnte. Dieser Wert ist leer, wenn in der Simulation keine Trainings zugewiesen wurden.
FailedToDeliverEmail_TimeStamp	Wenn die Simulations-E-Mail-Nachricht nicht an den Benutzer übermittelt werden konnte.
Letzte Simulationsaktivität	Die letzte Simulationsaktivität des Benutzers (unabhängig davon, ob er erfolgreich war oder kompromittiert wurde).
Zugewiesene Schulungen	Die Liste der Trainings, die dem Benutzer im Rahmen der Simulation zugewiesen sind.
Abgeschlossene Schulungen	Die Liste der Trainings, die der Benutzer im Rahmen der Simulation abgeschlossen hat.
Trainingsstatus	Der aktuelle Status von Schulungen für den Benutzer im Rahmen der Simulation.
Gemeldeter Phishing-Fehler	Wenn der Benutzer die Simulationsnachricht als Phishing gemeldet hat.
Department	Der Wert der Abteilungseigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Unternehmen	Der Wert der Company-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Position	Der Title-Eigenschaftswert des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Office	Der Office-Eigenschaftswert des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Stadt	Der Wert der City-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Land	Der Wert der Country-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Manager	Der Wert der Manager-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.

In der folgenden Tabelle wird beschrieben, wie Benutzeraktivitätssignale erfasst werden.

Feld	Beschreibung	Berechnungslogik
DownloadAttachment	Ein Benutzer hat die Anlage heruntergeladen.	Das Signal stammt vom Client (z. B. Outlook oder Word).
Geöffnete Anlage	Ein Benutzer hat die Anlage geöffnet.	Das Signal stammt vom Client (z. B. Outlook oder Word).
Nachricht lesen	Der Benutzer liest die Simulationsmeldung.	Nachrichtenlesesignale können in den folgenden Szenarien probleme auftreten: Der Benutzer hat die Nachricht als Phishing in Outlook gemeldet, ohne den Lesebereich zu verlassen, und Elemente als gelesen markieren, wenn sie im Lesebereich angezeigt werden, war nicht konfiguriert (Standard). Der Benutzer hat die ungelesene Nachricht als Phishing in Outlook gemeldet, die Nachricht wurde gelöscht, und Nachrichten als gelesen markieren, wenn gelöscht wurde nicht konfiguriert (Standard).
Abwesend	Bestimmt, ob der Benutzer nicht mehr im Büro ist.	Wird derzeit von der Einstellung Automatische Antworten aus Outlook berechnet.
Kompromittierter Benutzer	Gibt an, ob ein Benutzer kompromittiert wurde. Die Kompromittierungssignale können je nach Angriffstyp variieren.	Credential Harvest: Der Benutzer gibt seine Anmeldeinformationen auf der Anmeldeseite ein (Anmeldeinformationen werden nicht von Microsoft gespeichert). Schadsoftwareanlage: Der Benutzer öffnet die Datei und aktiviert die Bearbeitung in der geschützten Ansicht. Link in Anlage: Der Benutzer öffnet die Anlage und klickt auf den Link. Link zu Schadsoftware: Der Benutzer klickt auf den Link und gibt seine Anmeldeinformationen ein. Laufwerk nach URL: Der Benutzer klickt auf den Link (die Eingabe der Anmeldeinformationen ist nicht erforderlich). OAuth: Der Benutzer klickt auf den Link und akzeptiert die Freigabeberechtigungen.
Geklickter Nachrichtenlink	Gibt an, ob ein Benutzer auf die Nachricht geklickt hat.	Die URL in der Simulation ist für jeden Benutzer eindeutig, sodass die Aktivitätsnachverfolgung einzelner Benutzer möglich ist. Filterdienste von Drittanbietern oder die E-Mail-Weiterleitung können zu falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Ich sehe Klicks oder Kompromittierungsereignisse von Benutzern, die darauf bestehen, dass sie nicht auf den Link in der Simulationsmeldung geklickt haben.
Weitergeleitete Nachricht	Gibt an, ob ein Benutzer die Nachricht weitergeleitet hat.
Antwort auf Nachricht	Gibt an, ob ein Endbenutzer auf die Nachricht geantwortet hat.
Nachricht gelöscht	Gibt an, ob ein Endbenutzer die Nachricht gelöscht hat.	Das Signal stammt aus der Outlook-Aktivität des Benutzers. Wenn der Benutzer die Nachricht als Phishing meldet, wird die Nachricht möglicherweise in den Ordner Gelöschte Elemente verschoben, der als Löschvorgang identifiziert wird.
Gewährte Berechtigungen	Gibt an, ob ein Benutzer berechtigungen bei einem Oauth-basierten Angriff freigegeben hat.

Links zu verwandten Themen

Erste Schritte mit dem Angriffssimulationstraining

Erstellen einer Phishingangriffssimulation

Erstellen einer Nutzlast zum Trainieren Ihrer Mitarbeiter