Freigeben über


Erkenntnisse und Berichte für Angriffssimulationstraining

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Angriffssimulationstraining in Microsoft Defender for Office 365 Plan 2 oder Microsoft 365 E5 liefert Microsoft Erkenntnisse und Berichte aus den Ergebnissen von Simulationen und den entsprechenden Schulungen. Diese Informationen halten Sie über den Fortschritt der Bedrohungsbereitschaft Ihrer Benutzer auf dem Laufenden und werden als nächste Schritte empfohlen, um Ihre Benutzer besser auf zukünftige Angriffe vorzubereiten.

Einblicke und Berichte sind an den folgenden Speicherorten auf der Seite Angriffssimulationstraining im Microsoft Defender-Portal verfügbar:

Im weiteren Verlauf dieses Artikels werden die Berichte und Erkenntnisse für Angriffssimulationstraining beschrieben.

Informationen zu den ersten Schritten zu Angriffssimulationstraining finden Sie unter Erste Schritte mit Angriffssimulationstraining.

Einblicke auf den Registerkarten "Übersicht" und "Berichte" von Angriffssimulationstraining

Um zur Registerkarte Übersicht zu wechseln, öffnen Sie das Microsoft Defender-Portal unter https://security.microsoft.com, wechseln Sie zu Email & Zusammenarbeit>Angriffssimulationstraining:

Die Verteilung von Erkenntnissen auf den Registerkarten wird in der folgenden Tabelle beschrieben:

Bericht Registerkarte „Übersicht“ Registerkarte "Berichte"
Aktuelle Simulationen Karte
Empfehlungen Karte
Karte für die Simulationsabdeckung
Karte
Wiederholungstäter Karte
Auswirkungen des Verhaltens auf Karte

Im weiteren Verlauf dieses Abschnitts werden die Informationen beschrieben, die auf den Registerkarten Übersicht und Berichte von Angriffssimulationstraining verfügbar sind.

Aktuelle Simulationen Karte

Im Karte Zuletzt verwendete Simulationen auf der Registerkarte Übersicht werden die letzten drei Simulationen angezeigt, die Sie in Ihrem organization erstellt oder ausgeführt haben.

Sie können eine Simulation auswählen, um Details anzuzeigen.

Wenn Sie Alle Simulationen anzeigen auswählen , gelangen Sie zur Registerkarte Simulationen .

Wenn Sie Simulation starten auswählen , wird der neue Simulations-Assistent gestartet. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender for Office 365.

Die zuletzt verwendeten Simulationen Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal.

Empfehlungen Karte

Die Karte Empfehlungen auf der Registerkarte Übersicht schlägt verschiedene Arten von Simulationen vor, die ausgeführt werden sollen.

Wenn Sie Jetzt starten auswählen , wird der neue Simulations-Assistent mit dem angegebenen Simulationstyp gestartet, der automatisch auf der Seite Technik auswählen ausgewählt ist. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender for Office 365.

Die Empfehlungen Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal.

Karte für die Simulationsabdeckung

Die Karte "Simulation" auf den Registerkarten "Übersicht" und "Berichte" zeigt den Prozentsatz der Benutzer in Ihrem organization, die eine Simulation erhalten haben (simulierte Benutzer) im Vergleich zu Benutzern, die keine Simulation erhalten haben (nicht simulierte Benutzer). Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.

Wenn Sie Simulationsbericht anzeigen auswählen , gelangen Sie zur Registerkarte Benutzerabdeckung für den Bericht Angriffssimulation.

Wenn Sie Simulation für nicht simulierte Benutzer starten auswählen, wird der neue Simulations-Assistent gestartet, in dem die Benutzer, die die Simulation nicht erhalten haben, automatisch auf der Seite Zielbenutzer ausgewählt werden. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender for Office 365.

Im Microsoft Defender-Portal Angriffssimulationstraining auf der Registerkarte Übersicht die Karte Simulationsabdeckung.

Karte

Im Karte "Training" auf den Registerkarten "Übersicht" und "Berichte" werden die Prozentsätze der Benutzer, die Schulungen erhalten haben, basierend auf den Ergebnissen von Simulationen in den folgenden Kategorien organisiert:

  • Abgeschlossen
  • In Bearbeitung
  • Unvollständig

Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.

Wenn Sie Bericht zum Abschluss des Trainings anzeigen auswählen, gelangen Sie zur Registerkarte Trainingsabschluss für den Angriffssimulationsbericht.

Der Trainingsabschluss Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal.

Wiederholungstäter Karte

Die Karte Wiederholungstäter auf den Registerkarten Übersicht und Berichte zeigt die Informationen zu Wiederholungstätern an. Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen von Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.

Das Diagramm organisiert wiederholte Täterdaten nach Simulationstyp:

  • All
  • Schadsoftwareanlage
  • Link zu Schadsoftware
  • Ernte von Anmeldeinformationen
  • Verknüpfen in Anlagen
  • Drive-by-URL

Wenn Sie Wiederholungstäterbericht anzeigen auswählen, gelangen Sie zur Registerkarte Wiederholungstäter für den Angriffssimulationsbericht.

Die Wiederholungstäter Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal

Auswirkungen des Verhaltens auf Karte

Die Karte Verhaltensauswirkung auf die Gefährdungsrate auf den Registerkarten Übersicht und Berichte zeigt, wie Ihre Benutzer im Vergleich zu den Verlaufsdaten in Microsoft 365 auf Ihre Simulationen reagiert haben. Sie können diese Erkenntnisse verwenden, um den Fortschritt bei der Bedrohungsbereitschaft von Benutzern nachzuverfolgen, indem Sie mehrere Simulationen für die gleichen Benutzergruppen ausführen.

Die Diagrammdaten zeigen die folgenden Informationen an:

  • Tatsächliche Gefährdungsrate: Der tatsächliche Prozentsatz der Personen, die von der Simulation kompromittiert wurden (tatsächliche Benutzer kompromittiert / Gesamtzahl der Benutzer in Ihrem organization, die die Simulation erhalten haben).
  • Vorhergesagte Kompromittierungsrate: Verlaufsdaten in Microsoft 365, die den Prozentsatz der Personen vorhersagt, die von dieser Simulation kompromittiert werden. Weitere Informationen zur vorhergesagten Kompromittierungsrate (PREDICTED Compromise Rate, PCR) finden Sie unter Vorhersage der Kompromittierungsrate.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Prozentwerte angezeigt.

Um einen detaillierten Bericht anzuzeigen, wählen Sie Simulationen und Training wirksamkeitsbericht anzeigen aus. Dieser Bericht wird weiter unten in diesem Artikel erläutert.

Die Auswirkungen des Verhaltens auf die Kompromittierungsrate Karte auf der Registerkarte Übersicht in Angriffssimulationstraining im Microsoft Defender-Portal.

Angriffssimulationsbericht

Sie können den Angriffssimulationsbericht auf der Registerkarte Übersicht öffnen, indem Sie die Option Ansicht ... auswählen. Berichtsaktionen , die auf einigen der Karten auf den Registerkarten Übersicht und Berichte verfügbar sind, die in diesem Artikel beschrieben werden. Um direkt zur Berichtsseite Angriffssimulation zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulationreport

Registerkarte "Trainingseffizienz" für den Angriffssimulationsbericht

Die Registerkarte Wirksamkeit des Trainings ist standardmäßig auf der Seite Angriffssimulationsbericht ausgewählt. Diese Registerkarte enthält die gleichen Informationen, die auch im Karte Auswirkungen von Verhalten auf die Gefährdungsrate verfügbar sind, mit zusätzlichem Kontext aus der Simulation selbst.

Die Registerkarte Trainingseffizienz im Angriffssimulationsbericht im Microsoft Defender-Portal.

Das Diagramm zeigt die tatsächliche kompromittierte Rate und die vorhergesagte Kompromittierungsrate. Wenn Sie mit dem Mauszeiger auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Prozentwerte für angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Simulationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

  • Simulationsname
  • Simulationstechnik
  • Simulationstaktiken
  • Vorhergesagte Kompromittierungsrate
  • Tatsächliche kompromittierte Rate
  • Gesamtanzahl der Benutzer, die als Ziel verwendet werden
  • Anzahl der benutzer, auf die geklickt wurde

Verwenden Sie das Suchfeld , um die Ergebnisse nach Simulationsname oder Simulationstechnik zu filtern. Platzhalter werden nicht unterstützt.

Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Angriffssimulationsbericht – Microsoft Defender (1).csv).

Registerkarte "Benutzerabdeckung" für den Bericht "Angriffssimulation"

Auf der Registerkarte Benutzerabdeckung zeigt das Diagramm die simulierten undnicht simulierten Benutzer. Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Registerkarte Benutzerabdeckung im Bericht angriffssimulation im Microsoft Defender-Portal.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

  • Username
  • E-Mail-Adresse
  • In der Simulation enthalten
  • Datum der letzten Simulation
  • Letztes Simulationsergebnis
  • Anzahl der Angeklickten
  • Anzahl der kompromittierten

Verwenden Sie das Suchfeld, um die Ergebnisse nach Benutzername oder Email Adresse zu filtern. Platzhalter werden nicht unterstützt.

Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Angriffssimulationsbericht – Microsoft Defender (1).csv).

Registerkarte "Trainingsabschluss" für den Angriffssimulationsbericht

Auf der Registerkarte Trainingsabschluss zeigt das Diagramm die Anzahl der Simulationen Abgeschlossen, In Bearbeitung und Unvollständig an. Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Registerkarte Trainingsabschluss im Angriffssimulationsbericht im Microsoft Defender-Portal.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

  • Username
  • E-Mail-Adresse
  • In der Simulation enthalten
  • Datum der letzten Simulation
  • Letztes Simulationsergebnis
  • Name der zuletzt abgeschlossenen Schulung
  • Abgeschlossenes Datum
  • Alle Schulungen

Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach den Statuswerten der Trainings zu filtern: Abgeschlossen, In Bearbeitung oder Alle.

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Verwenden Sie das Suchfeld, um die Ergebnisse nach Benutzername oder Email Adresse zu filtern. Platzhalter werden nicht unterstützt.

Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.

Registerkarte "Wiederholungstäter" für den Angriffssimulationsbericht

Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen von Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.

Auf der Registerkarte Wiederholungstäter zeigt das Diagramm die Anzahl von Wiederholungstäterbenutzern und simulierten Benutzern an.

Die Registerkarte Wiederholungstäter im Angriffssimulationsbericht im Microsoft Defender-Portal.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.

  • Benutzer
  • Simulationstypen
  • Simulationen
  • E-Mail-Adresse
  • Anzahl der letzten Wiederholungen
  • Wiederholungsdelikte
  • Name der letzten Simulation
  • Letztes Simulationsergebnis
  • Letzte zugewiesene Schulung
  • Letzte status

Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach einem oder mehreren Simulationstypwerten zu filtern:

  • Ernte von Anmeldeinformationen
  • Schadsoftwareanlage
  • Link in Anlage
  • Link zu Schadsoftware

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Verwenden Sie das Suchfeld , um die Ergebnisse nach einem der Spaltenwerte zu filtern. Platzhalter werden nicht unterstützt.

Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Angriffssimulationsbericht – Microsoft Defender (1).csv).

Simulationsbericht in Angriffssimulationstraining

Der Simulationsbericht zeigt die Details der laufenden oder abgeschlossenen Simulationen an (der Wert Status lautet In Bearbeitung oder Abgeschlossen). Verwenden Sie eine der folgenden Methoden, um den Simulationsbericht anzuzeigen:

Die berichtsseitige Seite, die geöffnet wird, enthält die Registerkarten Bericht, **Benutzer und Details , die Informationen zur Simulation enthalten. Im restlichen Teil dieses Abschnitts werden die Erkenntnisse und Berichte beschrieben, die auf der Registerkarte Bericht verfügbar sind.

Die Abschnitte auf der Registerkarte Bericht für eine Simulation werden in den folgenden Unterabschnitten beschrieben.

Weitere Informationen zu den Registerkarten Benutzer und Details finden Sie unter den folgenden Links.

Berichterstellung für QR-Codesimulationen

Tipp

QR-Codenutzlasten befinden sich derzeit in der Vorschauphase, sind nicht in allen Organisationen verfügbar und können sich ändern.

Sie können QR-Codenutzlasten auswählen, die in Simulationen verwendet werden sollen. Der QR-Code ersetzt die Phishing-URL als Nutzlast, die in der Simulations-E-Mail-Nachricht verwendet wird. Weitere Informationen finden Sie unter QR-Codenutzlasten.

Da ES sich bei QR-Codes um einen anderen Typ einer Phishing-URL handelt, bleiben Benutzerereignisse rund um Lese-, Lösch-, Kompromittierungs- und Klickereignisse gleich. Wenn Sie beispielsweise den QR-Code überprüfen, wird die Phishing-URL geöffnet, sodass das Ereignis als Klickereignis nachverfolgt wird. Die vorhandenen Mechanismen zum Nachverfolgen von Kompromittierungs-, Lösch- und Berichtsereignissen bleiben unverändert.

Wenn Sie einen Simulationsbericht in eine CSV-Datei exportieren, ist die spalte EmailLinkClicked_ClickSource mit den folgenden Werten verfügbar:

  • PhishingURL: Der Benutzer hat in der Simulations-E-Mail-Nachricht auf den Phishing-Link geklickt.
  • QRCode: Der Benutzer hat den QR-Code in der E-Mail-Nachricht der Simulation gescannt.

Andere Metriken wie Lesevorgänge, Kompromittierungen, Löschvorgänge und gemeldete Nachrichten werden weiterhin ohne zusätzliche Updates nachverfolgt. Weitere Informationen finden Sie weiter unten in diesem Artikel im Anhang .

Simulationsbericht für Simulationen

In diesem Abschnitt werden die Informationen im Simulationsbericht für reguläre Simulationen (nicht für Trainingskampagnen) beschrieben.

Die Registerkarte Bericht im Simulationsbericht in Angriffssimulationstraining.

Abschnitt "Auswirkungen der Simulation" im Bericht für Simulationen

Der Abschnitt Auswirkungen der Simulation auf der Registerkarte Bericht ** für eine Simulation zeigt die Anzahl und den Prozentsatz der kompromittierten Benutzer und Benutzer, die die Nachricht gemeldet haben .

Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Zahlen für jede Kategorie angezeigt.

Wählen Sie Gefährdete Benutzer anzeigen aus, um zur Registerkarte Benutzer im Bericht zu wechseln, auf der die Ergebnisse nach Kompromittiert: Ja gefiltert werden.

Wählen Sie Benutzer anzeigen aus, die gemeldet haben , um zur Registerkarte Benutzer im Bericht zu wechseln, auf der die Ergebnisse nach Gemeldeter Meldung gefiltert werden: Ja.

Der Abschnitt

Abschnitt "Alle Benutzeraktivitäten" im Bericht für Simulationen

Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht ** für eine Simulation zeigt Zahlen für die möglichen Ergebnisse der Simulation an. Die Informationen variieren je nach Simulationstyp. Zum Beispiel:

  • Geklickter Nachrichtenlink oder Anlagenlink oderGeöffnete Anlage
  • Angegebene Anmeldeinformationen
  • Nachricht lesen
  • Nachricht gelöscht
  • Antwort auf Nachricht
  • Weitergeleitete Nachricht
  • Abwesenheit

Wählen Sie Alle Benutzer anzeigen aus, um zur Registerkarte Benutzer in dem Bericht zu wechseln, auf dem die Ergebnisse ungefiltert sind.

Der Abschnitt Alle Benutzeraktivität auf der Registerkarte Bericht eines Simulationsberichts für eine Simulation.

Abschnitt "Übermittlung status" im Bericht für Simulationen

Der Abschnitt Übermittlung status auf der Registerkarte Bericht** für eine Simulation zeigt die Zahlen für die möglichen Übermittlungsstatus für die Simulationsnachricht an. Zum Beispiel:

  • Nachricht erfolgreich empfangen
  • Positive Verstärkungsnachricht übermittelt
  • Nur Simulationsnachricht übermittelt

Wählen Sie Benutzer anzeigen aus, für die die Nachrichtenübermittlung nicht erfolgreich war. Wechseln Sie zur Registerkarte Benutzer im Bericht, auf der die Ergebnisse nach Simulation nachrichtenübermittlung: Fehler beim Übermitteln gefiltert werden.

Wählen Sie Ausgeschlossene Benutzer oder Gruppen anzeigen aus, um ein Flyout ausgeschlossene Benutzer oder Gruppen zu öffnen, das die Benutzer oder Gruppen anzeigt, die von der Simulation ausgeschlossen wurden.

Der Abschnitt Übermittlung status auf der Registerkarte Bericht eines Simulationsberichts für eine Simulation.

Abschnitt zum Abschluss des Trainings im Bericht für Simulationen

Im Abschnitt Trainingsabschluss auf der Seite mit den Simulationsdetails werden die für die Simulation erforderlichen Schulungen und die Anzahl der Benutzer angezeigt, die die Schulungen abgeschlossen haben.

Wenn keine Trainings in die Simulation einbezogen wurden, ist der einzige Wert in diesem Abschnitt Trainings, die nicht Teil dieser Simulation waren.

Der Abschnitt

Erster abschnitt & durchschnittlichen instance im Bericht für Simulationen

Der Abschnitt First & durchschnittlichen instance auf der Registerkarte Bericht** für eine Simulation enthält Informationen über die Zeit, die zum Ausführen bestimmter Aktionen in der Simulation benötigt wurde. Zum Beispiel:

  • Erster Link geklickt
  • Durchschn. Link geklickt
  • Erste eingegebene Anmeldeinformationen
  • Durchschn. Eingegebene Anmeldeinformationen

Der Erste & Abschnitt für die durchschnittliche instance auf der Registerkarte Bericht eines Simulationsberichts für eine Simulation.

Abschnitt "Empfehlungen" im Bericht für Simulationen

Der Abschnitt Empfehlungen auf der Registerkarte Bericht** für eine Simulation enthält Empfehlungen für die Verwendung von Angriffssimulationstraining, um Ihre organization zu schützen.

Der Abschnitt Empfehlungen auf der Registerkarte Bericht eines Simulationsberichts für eine Simulation.

Simulationsbericht für Trainingskampagnen

In diesem Abschnitt werden die Informationen im Simulationsbericht für Trainingskampagnen (keine Simulationen) beschrieben.

Die Registerkarte

Abschnitt zur Klassifizierung des Trainingsabschlusses im Bericht für Trainingskampagnen

Der Abschnitt "Trainingsabschlussklassifizierung " auf der Registerkarte Bericht ** für eine Trainingskampagne enthält Informationen zu den abgeschlossenen Trainingsmodulen in der Trainingskampagne.

Der Abschnitt

Abschnitt "Zusammenfassung des Trainingsabschlusses" im Bericht für Trainingskampagnen

Im Abschnitt Zusammenfassung des Trainingsabschlusses auf der Registerkarte Bericht ** für eine Trainingskampagne werden Balkendiagramme verwendet, die den Fortschritt der zugewiesenen Benutzer durch alle Trainingsmodule in der Kampagne (Anzahl der Benutzer/Gesamtanzahl der Benutzer) anzeigen:

  • Abgeschlossen
  • In Bearbeitung
  • Nicht gestartet
  • Nicht abgeschlossen
  • Zuvor zugewiesen

Sie können auf einen Abschnitt im Diagramm zeigen, um den tatsächlichen Prozentsatz in jeder Kategorie anzuzeigen.

Der Abschnitt

Abschnitt "Alle Benutzeraktivitäten" im Bericht für Trainingskampagnen

Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht** für eine Trainingskampagne verwendet ein Balkendiagramm, um zu zeigen, wie Standard Personen eine Trainingsbenachrichtigung erfolgreich erhalten haben (Anzahl der Benutzer/Gesamtanzahl der Benutzer).

Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächlichen Zahlen in jeder Kategorie anzuzeigen.

Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht im Bericht trainingskampagne in Angriffssimulationstraining.

Anhang

Wenn Sie Informationen aus den Berichten exportieren, enthält die CSV-Datei mehr Informationen, als im Bericht angezeigt werden, auch wenn alle Spalten angezeigt werden. Die Felder werden in der folgenden Tabelle beschrieben.

Tipp

Überprüfen Sie vor dem Export, ob alle verfügbaren Spalten im Bericht sichtbar sind, um eine maximale Anzahl von Informationen zu erhalten.

Feldname Beschreibung
UserName Benutzername des Benutzers, der die Aktivität gemacht hat.
UserMail Email Adresse des Benutzers, der die Aktivität gemacht hat.
Kompromittiert Gibt an, ob der Benutzer kompromittiert wurde. Die Werte sind Ja oder Nein.
AttachmentOpened_TimeStamp Wenn die Anlagennutzlast in Simulationen von Schadsoftwareanlagen geöffnet wurde.
AttachmentOpened_Browser Wenn die Anlagennutzlast in einem Webbrowser in Simulationen zu Schadsoftwareanlagen geöffnet wurde. Diese Informationen stammen von UserAgent.
AttachmentOpened_IP Die IP-Adresse, an der die Anlagennutzlast in Simulationen zu Schadsoftwareanlagen geöffnet wurde. Diese Informationen stammen von UserAgent.
AttachmentOpened_Device Das Gerät, auf dem die Anlagennutzlast in Simulationen zu Schadsoftwareanlagen geöffnet wurde. Diese Informationen stammen von UserAgent.
AttachmentLinkClicked_TimeStamp Wenn in Anlagensimulationen auf die Nutzlast des Anlagenlinks geklickt wurde.
AttachmentLinkClicked_Browser Der Webbrowser, der verwendet wurde, um auf die Nutzlast des Anlagenlinks in Verknüpfung in Anlagensimulationen zu klicken. Diese Informationen stammen von UserAgent.
AttachmentLinkClicked_IP Die IP-Adresse, an der in Anlagensimulationen auf die Nutzlast des Anlagenlinks geklickt wurde. Diese Informationen stammen von UserAgent.
AttachmentLinkClicked_Device Das Gerät, auf dem in Anlagensimulationen auf die Nutzlast des Anlagenlinks geklickt wurde. Diese Informationen stammen von UserAgent.
EmailLinkClicked_TimeStamp Wenn in den Simulationen "Credential Harvest", "Link to Malware", "Drive-by-URL" und " OAuth Consent Grant " auf die Linknutzlast geklickt wurde.
EmailLinkClicked_Browser Der Webbrowser, der verwendet wurde, um in den Simulationen Credential Harvest, Link to Malware, Drive-by-URL und OAuth Consent Grant auf die Linknutzlast zu klicken. Diese Informationen stammen von UserAgent.
EmailLinkClicked_IP Die IP-Adresse, an der in den Simulationen "Credential Harvest", "Link to Malware", "Drive-by-URL" und "OAuth Consent Grant " auf die Linknutzlast geklickt wurde. Diese Informationen stammen von UserAgent.
EmailLinkClicked_Device Das Gerät, auf dem in den Simulationen Credential Harvest, Link to Malware, Drive-by-URL und OAuth Consent Grant auf die Linknutzlast geklickt wurde. Diese Informationen stammen von UserAgent.
EmailLinkClicked_ClickSource Ob der Nutzlastlink durch Klicken auf eine URL oder Scannen eines QR-Codes in den Simulationen Credential Harvest, Link to Malware, Drive-by-URL und OAuth Consent Grant ausgewählt wurde. Werte sind PhishingURL oder QRCode. Die Unterstützung von QR-Code befindet sich derzeit in der Vorschauphase.
CredSupplied_TimeStamp(Kompromittiert) Wenn der Benutzer seine Anmeldeinformationen eingegeben hat.
CredSupplied_Browser Der Webbrowser, der verwendet wurde, als der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent.
CredSupplied_IP Die IP-Adresse, an der der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent.
CredSupplied_Device Das Gerät, auf dem der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent.
SuccessfullyDeliveredEmail_TimeStamp Wenn die Simulations-E-Mail-Nachricht an den Benutzer übermittelt wurde.
MessageRead_TimeStamp Wann die Simulationsmeldung gelesen wurde.
MessageDeleted_TimeStamp Wenn die Simulationsmeldung gelöscht wurde.
MessageReplied_TimeStamp Wenn der Benutzer auf die Simulationsmeldung geantwortet hat.
MessageForwarded_TimeStamp Wenn der Benutzer die Simulationsnachricht weitergeleitet hat.
OutOfOfficeDays Bestimmt, ob der Benutzer nicht mehr im Büro ist. Diese Informationen stammen aus der Einstellung Automatische Antworten in Outlook.
PositiveReinforcementMessageDelivered_TimeStamp Wenn die positive Bestärkernachricht an den Benutzer übermittelt wurde.
PositiveReinforcementMessageFailed_TimeStamp Wenn die positive Verstärkungsmeldung nicht an den Benutzer übermittelt werden konnte.
JustSimulationMessageDelivered_TimeStamp Wenn die Simulationsnachricht im Rahmen einer Simulation ohne zugewiesene Trainings an den Benutzer übermittelt wurde (auf der Seite Training zuweisen des assistenten für neue Simulation wurde kein Training ausgewählt).
JustSimulationMessageFailed_TimeStamp Wenn die Simulations-E-Mail-Nachricht nicht an den Benutzer übermittelt werden konnte und der Simulation keine Trainings zugewiesen wurden.
TrainingAssignmentMessageDelivered_TimeStamp Wenn die Trainingszuweisungsnachricht an den Benutzer übermittelt wurde. Dieser Wert ist leer, wenn in der Simulation keine Trainings zugewiesen wurden.
TrainingAssignmentMessageFailed_TimeStamp Wenn die Trainingszuweisungsnachricht nicht an den Benutzer übermittelt werden konnte. Dieser Wert ist leer, wenn in der Simulation keine Trainings zugewiesen wurden.
FailedToDeliverEmail_TimeStamp Wenn die Simulations-E-Mail-Nachricht nicht an den Benutzer übermittelt werden konnte.
Letzte Simulationsaktivität Die letzte Simulationsaktivität des Benutzers (unabhängig davon, ob er erfolgreich war oder kompromittiert wurde).
Zugewiesene Schulungen Die Liste der Trainings, die dem Benutzer im Rahmen der Simulation zugewiesen sind.
Abgeschlossene Schulungen Die Liste der Trainings, die der Benutzer im Rahmen der Simulation absolviert hat.
Trainingsstatus Die aktuelle status von Schulungen für den Benutzer im Rahmen der Simulation.
Gemeldeter Phishing-Fehler Wenn der Benutzer die Simulationsnachricht als Phishing gemeldet hat.
Department Der Wert der Abteilungseigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Unternehmen Der Wert der Company-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Position Der Title-Eigenschaftswert des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Office Der Wert der Office-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Stadt Der Wert der City-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Land Der Wert der Country-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.
Manager Der Wert der Manager-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation.

In der folgenden Tabelle wird beschrieben, wie Benutzeraktivitätssignale erfasst werden.

Feld Beschreibung Berechnungslogik
DownloadAttachment Ein Benutzer hat die Anlage heruntergeladen. Das Signal stammt vom Client (z. B. Outlook oder Word).
Geöffnete Anlage Ein Benutzer hat die Anlage geöffnet. Das Signal stammt vom Client (z. B. Outlook oder Word).
Nachricht lesen Der Benutzer liest die Simulationsmeldung. Nachrichtenlesesignale können in den folgenden Szenarien probleme auftreten:
  • Der Benutzer hat die Nachricht als Phishing in Outlook gemeldet, ohne den Lesebereich zu verlassen, und Elemente als gelesen markieren, wenn sie im Lesebereich angezeigt werden, war nicht konfiguriert (Standard).
  • Der Benutzer hat die ungelesene Nachricht als Phishing in Outlook gemeldet, die Nachricht wurde gelöscht, und Nachrichten als gelesen markieren, wenn gelöscht wurde nicht konfiguriert (Standard).
Abwesend Bestimmt, ob der Benutzer nicht mehr im Büro ist. Wird derzeit von der Einstellung Automatische Antworten aus Outlook berechnet.
Kompromittierter Benutzer Der Benutzer wurde kompromittiert. Das Kompromisssignal variiert je nach Social Engineering-Technik.
  • Credential Harvest: Der Benutzer hat seine Anmeldeinformationen auf der Anmeldeseite eingegeben (Anmeldeinformationen werden nicht von Microsoft gespeichert).¹
  • Schadsoftwareanlage: Der Benutzer hat die Nutzlastanlage geöffnet und Bearbeitung in geschützter Ansichtaktivieren ausgewählt.
  • Link in Anlage: Der Benutzer hat die Anlage geöffnet und seine Anmeldeinformationen eingegeben, nachdem er auf den Nutzlastlink geklickt hat.
  • Link zu Schadsoftware: Der Benutzer hat auf den Nutzlastlink geklickt und seine Anmeldeinformationen eingegeben.
  • Laufwerk nach URL: Der Benutzer hat auf den Nutzlastlink geklickt (die Eingabe von Anmeldeinformationen ist nicht erforderlich).¹
  • OAuth-Zustimmungsgewährung: Der Benutzer hat auf den Nutzlastlink geklickt und die Aufforderung zum Freigeben von Berechtigungen akzeptiert.¹
Geklickter Nachrichtenlink Der Benutzer hat in der Simulationsnachricht auf den Nutzlastlink geklickt. Die URL in der Simulation ist für jeden Benutzer eindeutig, sodass die Aktivitätsnachverfolgung einzelner Benutzer möglich ist. Filterdienste von Drittanbietern oder die E-Mail-Weiterleitung können zu falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Ich sehe Klicks oder Kompromittierungsereignisse von Benutzern, die darauf bestehen, dass sie nicht auf den Link in der Simulationsmeldung geklickt haben.
Weitergeleitete Nachricht Der Benutzer hat die Nachricht weitergeleitet.
Antwort auf Nachricht Der Benutzer hat auf die Nachricht geantwortet.
Nachricht gelöscht Der Benutzer hat die Nachricht gelöscht. Das Signal stammt aus der Outlook-Aktivität des Benutzers. Wenn der Benutzer die Nachricht als Phishing meldet, wird die Nachricht möglicherweise in den Ordner Gelöschte Elemente verschoben, der als Löschvorgang identifiziert wird.
Gewährte Berechtigungen Die benutzerseitig freigegebenen Berechtigungen in einer OAuth-Zustimmungserteilungssimulation .

¹ Der angeklickte Link kann eine ausgewählte URL oder ein gescannter QR-Code sein (QR-Code-Unterstützung in Angriffssimulationstraining befindet sich derzeit in der Vorschau).

Erste Schritte mit dem Angriffssimulationstraining

Erstellen einer Phishingangriffssimulation

Erstellen einer Nutzlast zum Trainieren Ihrer Mitarbeiter