Innsikt og rapporter for Opplæring med simulert angrep

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I Opplæring med simulert angrep i Microsoft Defender for Office 365 Plan 2 eller Microsoft 365 E5 gir Microsoft innsikt og rapporter fra resultatene av simuleringer og tilsvarende opplæringer. Denne informasjonen holder deg informert om fremdriften for trusselberedskapen til brukerne, og anbefalte neste trinn for bedre å forberede brukerne for fremtidige angrep.

Innsikt og rapporter er tilgjengelige på følgende plasseringer på Opplæring med simulert angrep-siden i Microsoft Defender-portalen:

• Innsikt:
  • Oversikt-fanen på https://security.microsoft.com/attacksimulator?viewid=overview.
  • Kategorien Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
• Rapporter:
  • Rapportsiden For angrepssimulering på https://security.microsoft.com/attacksimulationreport:
    • Fanen Treningseffekt
    • Brukerdekning-fanen
    • Fullføringsfane for opplæring
    • Fanen Gjenta lovbrytere
  • Rapportene for pågående og fullførte simuleringer og opplæringskampanjer: Hvis du vil ha mer informasjon, kan du se rapporten Om angrepssimulering.

Resten av denne artikkelen beskriver rapportene og innsiktene for Opplæring med simulert angrep.

Hvis du vil ha informasjon om hvordan du kommer i gang med Opplæring med simulert angrep, kan du se Komme i gang med å bruke Opplæring med simulert angrep.

Innsikt i kategoriene Oversikt og Rapporter i Opplæring med simulert angrep

Hvis du vil gå til Oversikt-fanen, åpner du Microsoft Defender portalen på https://security.microsoft.com, går til E-post & samarbeid>Opplæring med simulert angrep:

• Oversikt-fanen : Kontroller at Oversikt-fanen er valgt (det er standard). Du kan også gå direkte til Oversikt-fanen ved å bruke https://security.microsoft.com/attacksimulator?viewid=overview.
• Rapporter-fanen: Velg Rapporter-fanen. Du kan også gå direkte til Rapporter-fanen ved å bruke .https://security.microsoft.com/attacksimulationreport

Distribusjonen av innsikt på fanene er beskrevet i tabellen nedenfor:

Rapport	Oversikt-fanen	Rapporter-fanen
Kort med nylige simuleringer	✔
Anbefalingskort	✔
Simuleringsdekningskort	✔	✔
Kort for fullføring av opplæring	✔	✔
Gjenta lovbryterkort	✔	✔
Innvirkning på virkemåte på kort med risikosats	✔	✔

Resten av denne delen beskriver informasjonen som er tilgjengelig på fanene Oversikt og Rapporter i Opplæring med simulert angrep.

Kort med nylige simuleringer

Nylige simuleringer-kortet på Oversikt-fanen viser de tre siste simuleringene du opprettet eller kjørte i organisasjonen.

Du kan velge en simulering for å vise detaljer.

Hvis du velger Vis alle simuleringer , kommer du til Simuleringer-fanen .

Å velge Launch en simulering starter den nye simuleringsveiviseren. Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.

Anbefalingskort

Anbefalinger-kortet på Oversikt-fanen foreslår ulike typer simuleringer å kjøre.

Når du velger Start, starter nå den nye simuleringsveiviseren med den angitte simuleringstypen automatisk valgt på siden Velg teknikk . Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.

Simuleringsdekningskort

Simuleringsdekningskortet på fanene Oversikt og Rapporter viser prosentandelen av brukere i organisasjonen som mottok en simulering (simulerte brukere) kontra brukere som ikke mottok en simulering (ikke-simulerte brukere). Du kan holde pekeren over en inndeling i diagrammet for å se det faktiske antallet brukere i hver kategori.

Hvis du velger Vis dekningsrapport for simulering , kommer du til brukerdekningsfanen for rapporten Angrepssimulering.

Valg av Launch-simulering for ikke-simulerte brukere starter den nye simuleringsveiviseren der brukerne som ikke mottok simuleringen, automatisk velges på målbrukersiden . Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.

Kort for fullføring av opplæring

Fullføringskortet for opplæring på fanene Oversikt og Rapporter organiserer prosentandelen av brukere som mottok opplæring basert på resultatene av simuleringer i følgende kategorier:

• Fullført
• Pågår
• Ufullstendig

Du kan holde pekeren over en inndeling i diagrammet for å se det faktiske antallet brukere i hver kategori.

Hvis du velger Vis fullføringsrapport for opplæring , kommer du til fullføringsfanen for Opplæring for rapporten om angrepssimulering.

Gjenta lovbryterkort

Kortet Gjenta lovbrytere på fanene Oversikt og Rapporter viser informasjon om gjentatte lovbrytere. En gjentatt lovbryter er en bruker som ble kompromittert av påfølgende simuleringer. Standard antall etterfølgende simuleringer er to, men du kan endre verdien på Innstillinger-fanen i Opplæring med simulert angrep på https://security.microsoft.com/attacksimulator?viewid=setting. Hvis du vil ha mer informasjon, kan du se Konfigurere terskelen for gjentatt lovbryter.

Diagrammet organiserer gjentatte lovbryterdata etter simuleringstype:

• Alle
• Vedlegg til skadelig programvare
• Koble til skadelig programvare
• Innhøsting av legitimasjon
• Kobling i vedlegg
• Url-adresse for drive-by

Hvis du velger Vis gjentatt lovbryterrapport , kommer du til Gjenta lovbrytere-fanen for angrepssimuleringsrapporten.

Innvirkning på virkemåte på kort med risikosats

Innvirkningen på virkemåte på kompromissratekortet på fanene Oversikt og Rapporter viser hvordan brukerne reagerte på simuleringene sammenlignet med historiske data i Microsoft 365. Du kan bruke denne innsikten til å spore fremdriften i brukernes trusselberedskap ved å kjøre flere simuleringer mot de samme brukergruppene.

Diagramdataene viser følgende informasjon:

• Faktisk kompromissrate: Den faktiske prosentandelen av personer som ble kompromittert av simuleringen (faktiske brukere kompromitterte / totalt antall brukere i organisasjonen som mottok simuleringen).
• Forventet kompromissrate: Historiske data på tvers av Microsoft 365 som forutsier prosentandelen av personer som vil bli kompromittert av denne simuleringen. Hvis du vil lære mer om den forventede kompromissraten (PCR), kan du se Prognose for kompromissrate.

Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske prosentverdiene.

Hvis du vil se en detaljert rapport, velger du Vis simuleringer og kalkumuler effektrapport. Denne rapporten forklares senere i denne artikkelen.

Angrepssimuleringsrapport

Du kan åpne rapporten Angrepssimulering fra Oversikt-fanen ved å velge Vis ... rapporthandlinger som er tilgjengelige på noen av kortene på fanene Oversikt og Rapporter som er beskrevet i denne artikkelen. Hvis du vil gå direkte til rapportsiden for angrepssimulering , bruker du https://security.microsoft.com/attacksimulationreport

Treningseffekt-fanen for Angrepssimulering-rapporten

Fanen For kalkumuleringseffekt velges som standard på rapportsiden for angrepssimulering. Denne fanen gir den samme informasjonen som er tilgjengelig i virkemåtens innvirkning på kompromissratekortet , med ytterligere kontekst fra selve simuleringen.

Diagrammet viser den faktiske kompromitterte renten og prognoseraten for kompromisser. Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske prosentverdiene for.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere simuleringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Simuleringsnavn
• Simuleringsteknikk
• Simuleringstaktikk
• Forventet kompromittert rente
• Faktisk kompromittert rente
• Totalt antall brukere som er målrettet
• Antall klikkede brukere

Bruk søkeboksen til å filtrere resultatene etter simuleringsnavn eller simuleringsteknikk. Jokertegn støttes ikke.

Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).

Brukerdekning-fanen for angrepssimuleringsrapporten

Diagrammet viser simulerte brukere og ikke-simulerte brukere i kategorien Brukerdekning. Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske verdiene.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Brukernavn
• E-postadresse
• Inkludert i simulering
• Dato for siste simulering
• Siste simuleringsresultat
• Antall klikk
• Antall kompromitterte

Bruk søkeboksen til å filtrere resultatene etter brukernavn eller e-postadresse. Jokertegn støttes ikke.

Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).

Fullføringsfane for opplæring for angrepssimuleringsrapporten

Diagrammet viser antall fullførte, pågående og ufullstendige simuleringer på fanen Fullføring av opplæring. Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske verdiene.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Brukernavn
• E-postadresse
• Inkludert i simulering
• Dato for siste simulering
• Siste simuleringsresultat
• Navnet på den nyeste opplæringen er fullført
• Dato fullført
• Alle opplæringer

Velg Filter for å filtrere diagrammet og detaljtabellen etter statusverdier for opplæringene: Fullført, Pågår eller Alle.

Når du er ferdig med å konfigurere filtrene, velger du Bruk, Avbryt eller Fjern filtre.

Bruk søkeboksen til å filtrere resultatene etter brukernavn eller e-postadresse. Jokertegn støttes ikke.

Hvis du velger Eksporter rapport-knappen , vises rapportgenereringsfremdriften som en prosentdel fullført. I dialogboksen som åpnes, kan du velge å åpne .csv-filen, lagre .csv-filen og huske det merkede området.

Gjenta lovbrytere-fanen for angrepssimuleringsrapporten

En gjentatt lovbryter er en bruker som ble kompromittert av påfølgende simuleringer. Standard antall etterfølgende simuleringer er to, men du kan endre verdien på Innstillinger-fanen i Opplæring med simulert angrep på https://security.microsoft.com/attacksimulator?viewid=setting. Hvis du vil ha mer informasjon, kan du se Konfigurere terskelen for gjentatt lovbryter.

Diagrammet viser antall gjentatte lovbrytere og simulerte brukere på fanen Gjenta lovbrytere.

Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske verdiene.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Bruker: Navnet på brukeren.

• Simuleringstyper: Type simuleringer der brukeren var involvert.

• Simuleringer: Navnet på simuleringer der brukeren var involvert.

• E-postadresse: Brukerens e-postadresse.

• Siste antall gjentakelser: Siste antall kompromisser for brukere kategorisert som gjentatte lovbrytere. Hvis for eksempel terskelen for gjentatt lovbryter er satt til 3, og en bruker ble kompromittert i tre påfølgende simuleringer, er det siste antallet gjentakelser 3. Hvis brukeren ble kompromittert i 4 påfølgende simuleringer, er det siste gjentakelsesantallet 4. Hvis brukeren ble kompromittert i to påfølgende simuleringer, så verdien I/T. Det siste antallet gjentakelser settes til 0 (I/T), hver gang et gjentatt lovbryterflagg tilbakestilles (noe som betyr at brukeren består en simulering).

• Gjenta lovbrudd: Inkluderer antall ganger en bruker ble klassifisert som en gjentatt lovbryter. Eksempel:

  • Brukeren ble klassifisert som en gjentakende lovbryter i de første simuleringene (de ble kompromittert 3 ganger på rad, hvor gjentatt lovbryterters terskel er 2).
  • Brukeren ble klassifisert som "ren" etter å ha bestått en simulering.
  • Brukeren ble klassifisert som en gjentatt lovbryter i de neste simuleringene (de ble kompromittert 4 ganger på rad, hvor gjentatt lovbryterters terskel er 2).

  I disse tilfellene er antall gjentatte lovbrudd satt til 2. Antallet oppdateres hver gang en bruker regnes som en gjentakende lovbryter.

• Etternavn på simulering

• Siste simuleringsresultat

• Siste tilordnede opplæring

• Siste opplæringsstatus

Velg Filter for å filtrere diagrammet og detaljtabellen etter én eller flere simuleringstypeverdier:

• Innhøsting av legitimasjon
• Vedlegg til skadelig programvare
• Kobling i vedlegg
• Koble til skadelig programvare

Når du er ferdig med å konfigurere filtrene, velger du Bruk, Avbryt eller Fjern filtre.

Bruk søkeboksen til å filtrere resultatene etter noen av kolonneverdiene. Jokertegn støttes ikke.

Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).

Simuleringsrapport i Opplæring med simulert angrep

Simuleringsrapporten viser detaljene om pågående eller fullførte simuleringer ( statusverdienpågår eller fullført). Bruk en av følgende metoder for å vise simuleringsrapporten:

• Velg en simulering fra Nylig brukte simuleringer-kortet på Oversikt-fanen på Opplæring med simulert angrep-siden på https://security.microsoft.com/attacksimulator?viewid=overview.

  

• Velg en simulering på Simuleringer-fanen på Opplæring med simulert angrep-siden ved https://security.microsoft.com/attacksimulator?viewid=simulationså klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet. Hvis du vil ha mer informasjon, kan du se Vis simuleringsrapporter.

  • Velg opplæringskampanjen ved hjelp av én av følgende metoder på fanen Opplæring på Opplæring med simulert angrep-siden på https://security.microsoft.com/attacksimulator?viewid=trainingcampaign:
  • Klikk hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.
  • Merk av for navnet, og velg deretter Vis rapport.

  Hvis du vil ha mer informasjon, kan du se Vis opplæringskampanjerapporter.

Rapportsiden som åpnes, inneholder fanene Rapport, **Brukere og Detaljer som inneholder informasjon om simuleringen. Resten av denne delen beskriver innsiktene og rapportene som er tilgjengelige på Rapport-fanen.

Avsnittene på Rapport-fanen for en simulering er beskrevet i følgende underdeler.

Hvis du vil ha mer informasjon om fanene Brukere og Detaljer , kan du se følgende koblinger.

• Simuleringer:
  • Brukere-fanen
  • Detaljer-fanen
• Opplæringskampanjer:
  • Brukere-fanen
  • Detaljer-fanen

Rapportering for QR-kodesimuleringer

Du kan velge QR-kodenyttelaster som skal brukes i simuleringer. QR-koden erstatter nettadressen for phishing som nyttelasten som brukes i e-postmeldingen for simulering. Hvis du vil ha mer informasjon, kan du se QR-kodenyttelaster.

Fordi QR-koder er en annen type phishing-nettadresse, forblir brukerhendelser rundt lesing, sletting, kompromiss og klikkhendelser den samme. Hvis du for eksempel skanner QR-koden, åpnes phishing-nettadressen, slik at hendelsen spores som en klikkhendelse. De eksisterende mekanismene for sporing av kompromisser, slettinger og rapporthendelser forblir de samme.

Hvis du eksporterer en simuleringsrapport til en CSV-fil, er den EmailLinkClicked_ClickSource kolonnen tilgjengelig med følgende verdier:

• PhishingURL: Brukeren klikket på phishing-koblingen i e-postmeldingen for simulering.
• QRCode: Brukeren skannet QR-koden i e-postmeldingen om simulering.

Andre måledata som leser, kompromisser, slettinger og rapporterte meldinger spores fortsatt uten ytterligere oppdateringer. Hvis du vil ha mer informasjon, tilleggsdelen senere i denne artikkelen.

Simuleringsrapport for simuleringer

Denne delen beskriver informasjonen i simuleringsrapporten for vanlige simuleringer (ikke opplæringskampanjer).

Seksjon for simuleringspåvirkning i rapporten for simuleringer

Delen om simuleringsinnvirkning på rapportfanen** for en simulering viser antall og prosent av kompromitterte brukere og brukere som rapporterte meldingen.

Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske tallene for hver kategori.

Velg Vis kompromitterte brukere for å gå til Brukere-fanen i rapporten der resultatene filtreres av Kompromittert: Ja.

Velg Vis brukere som rapporterte å gå til Brukere-fanen i rapporten der resultatene filtreres etter rapportert melding: Ja.

Delen All brukeraktivitet i rapporten for simuleringer

Delen All brukeraktivitet på rapportfanen** for en simulering viser tall for mulige resultater av simuleringen. Informasjonen varierer basert på simuleringstypen. Eksempel:

• Klikket meldingskobling eller Vedlegg-kobling klikket eller Vedlegg åpnet
• Angitt legitimasjon
• Lese melding
• Slettet melding
• Svart på melding
• Videresendt melding
• Fraværende

Velg Vis alle brukere for å gå til Fanefanen Brukere i rapporten der resultatene er ufiltrert.

Delen Leveringsstatus i rapporten for simuleringer

Leveringsstatus-delen på Rapport-fanen** for en simulering viser tallene for mulige leveringsstatuser for simuleringsmeldingen. Eksempel:

• Mottatt melding
• Positiv forsterkningsmelding levert
• Bare simuleringsmelding levert

Velg Vis brukere som meldingsleveringen ikke kunne gå til Fanefanen Brukere i rapporten der resultatene filtreres etter levering av simuleringsmeldinger: Kan ikke levere.

Velg Vis utelatte brukere eller grupper for å åpne undermenyen Ekskluderte brukere eller grupper som viser brukerne eller gruppene som ble ekskludert fra simuleringen.

Seksjon for fullføring av opplæring i rapporten for simuleringer

Delen om fullføring av opplæring på siden for simuleringsdetaljer viser opplæringene som kreves for simuleringen, og hvor mange brukere som fullførte opplæringene.

Hvis ingen opplæringer ble inkludert i simuleringen, er den eneste verdien i denne delen Opplæringer ikke en del av denne simuleringen.

Første & gjennomsnittsforekomstinndeling i rapporten for simuleringer

Inndelingen Første & gjennomsnittsforekomst på rapportfanen ** for en simulering viser informasjon om tiden det tok å gjøre spesifikke handlinger i simuleringen. Eksempel:

• Første kobling klikket
• Gjsn. kobling klikket
• Første legitimasjon angitt
• Gjennomsnittslegitimasjon angitt

Anbefalinger-delen i rapporten for simuleringer

Anbefalinger-delen på rapportfanen** for en simulering viser anbefalinger for bruk av Opplæring med simulert angrep for å sikre organisasjonen.

Simuleringsrapport for opplæringskampanjer

Denne delen beskriver informasjonen i simuleringsrapporten for opplæringskampanjer (ikke simuleringer).

Delen Om fullføring av opplæring i rapporten for opplæringskampanjer

Delen Om fullføring av opplæring i rapportfanen ** for en opplæringskampanje viser informasjon om de fullførte opplæringsmodulene i opplæringskampanjen.

Delen Fullføring av opplæringssammendrag i rapporten for opplæringskampanjer

Delen Fullføringssammendrag for opplæring på Rapport-fanen ** for en opplæringskampanje bruker stolpegrafer som viser fremdriften til tilordnede brukere gjennom alle opplæringsmoduler i kampanjen (antall brukere / totalt antall brukere):

• Fullført
• Pågår
• Ikke startet
• Ikke fullført
• Tidligere tilordnet

Du kan holde pekeren over en inndeling i diagrammet for å se den faktiske prosentandelen i hver kategori.

Delen All brukeraktivitet i rapporten for opplæringskampanjer

Delen All brukeraktivitet på Rapport-fanen** for en opplæringskampanje bruker en stolpediagram for å vise hvordan hovedpersoner har mottatt opplæringsvarsel (antall brukere / totalt antall brukere).

Du kan holde pekeren over en inndeling i diagrammet for å se de faktiske tallene i hver kategori.

Tillegg

Når du eksporterer informasjon fra rapportene, inneholder CSV-filen mer informasjon enn det som vises i rapporten, selv om du har alle kolonnene vist. Feltene er beskrevet i tabellen nedenfor.

Tips

Hvis du vil ha maksimal informasjon, må du kontrollere at alle tilgjengelige kolonner i rapporten er synlige før du eksporterer.

Feltnavn	Beskrivelse
Brukernavn	Brukernavnet til brukeren som gjorde aktiviteten.
UserMail	E-postadressen til brukeren som gjorde aktiviteten.
Kompromittert	Angir om brukeren ble kompromittert. Verdiene er Ja eller Nei.
AttachmentOpened_TimeStamp	Når vedlegget nyttelast ble åpnet i Malware Attachment simuleringer.
AttachmentOpened_Browser	Når vedlegget nyttelast ble åpnet i en nettleser i Malware Attachment simuleringer. Denne informasjonen kommer fra UserAgent.
AttachmentOpened_IP	IP-adressen der nyttelasten for vedlegg ble åpnet i simuleringer av vedlegg for skadelig programvare . Denne informasjonen kommer fra UserAgent.
AttachmentOpened_Device	Enheten der nyttelasten for vedlegg ble åpnet i simuleringer av skadelig programvarevedlegg . Denne informasjonen kommer fra UserAgent.
AttachmentLinkClicked_TimeStamp	Når vedleggskoblingen nyttelast ble klikket i Link in Attachment simuleringer.
AttachmentLinkClicked_Browser	Nettleseren som ble brukt til å klikke vedleggskoblingen nyttelast i Link in Attachment simuleringer. Denne informasjonen kommer fra UserAgent.
AttachmentLinkClicked_IP	IP-adressen der nyttelasten for vedleggskoblingen ble klikket på i Link in Attachment simulations. Denne informasjonen kommer fra UserAgent.
AttachmentLinkClicked_Device	Enheten der vedleggskoblingen nyttelast ble klikket i Link in Attachment simuleringer. Denne informasjonen kommer fra UserAgent.
EmailLinkClicked_TimeStamp	Når nyttelasten for koblingen ble klikket i Credential Harvest, link til skadelig programvare, Drive-by-url og OAuth Consent Grant simuleringer.
EmailLinkClicked_Browser	Nettleseren som ble brukt til å klikke på nyttelasten for koblingen i Credential Harvest, Link to Malware, Drive-by-url og OAuth Consent Grant simuleringer. Denne informasjonen kommer fra UserAgent.
EmailLinkClicked_IP	IP-adressen der nyttelasten for koblingen ble klikket i Credential Harvest, Link to Malware, Drive-by-url og OAuth Consent Grant simuleringer. Denne informasjonen kommer fra UserAgent.
EmailLinkClicked_Device	Enheten der nyttelasten for koblingen ble klikket i Credential Harvest, Link to Malware, Drive-by-url og OAuth Consent Grant simuleringer. Denne informasjonen kommer fra UserAgent.
EmailLinkClicked_ClickSource	Om nyttelastkoblingen ble valgt ved å klikke på en nettadresse eller skanne en QR-kode i Credential Harvest, Link to Malware, Drive-by-url og OAuth Consent Grant simuleringer. Verdiene er PhishingURL eller QRCode.
CredSupplied_TimeStamp(kompromittert)	Når brukeren skrev inn legitimasjonen sin.
CredSupplied_Browser	Nettleseren som ble brukt da brukeren skrev inn legitimasjonen. Denne informasjonen kommer fra UserAgent.
CredSupplied_IP	IP-adressen der brukeren skrev inn legitimasjonen sin. Denne informasjonen kommer fra UserAgent.
CredSupplied_Device	Enheten der brukeren skrev inn legitimasjonen sin. Denne informasjonen kommer fra UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Da e-postmeldingen om simulering ble levert til brukeren.
MessageRead_TimeStamp	Da simuleringsbudskapet ble lest.
MessageDeleted_TimeStamp	Da simuleringsmeldingen ble slettet.
MessageReplied_TimeStamp	Da brukeren svarte på simuleringsmeldingen.
MessageForwarded_TimeStamp	Da brukeren videresendte simuleringsmeldingen.
OutOfOfficeDays	Bestemmer om brukeren er fraværende. Denne informasjonen kommer fra innstillingen Automatiske svar i Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Når den positive forsterkningsmeldingen ble levert til brukeren.
PositiveReinforcementMessageFailed_TimeStamp	Når den positive forsterkningsmeldingen ikke ble levert til brukeren.
JustSimulationMessageDelivered_TimeStamp	Da simuleringsmeldingen ble levert til brukeren som en del av en simulering uten tildelt opplæring (ingen opplæring ble valgt på siden Tilordne opplæring i den nye simuleringsveiviseren).
JustSimulationMessageFailed_TimeStamp	Når simuleringsmeldingen ikke ble levert til brukeren, og simuleringen ikke hadde noen opplæringer tildelt.
TrainingAssignmentMessageDelivered_TimeStamp	Når opplæringstildelingsmeldingen ble levert til brukeren. Denne verdien er tom hvis ingen opplæringer ble tilordnet i simuleringen.
TrainingAssignmentMessageFailed_TimeStamp	Når opplæringstildelingsmeldingen ikke ble levert til brukeren. Denne verdien er tom hvis ingen opplæringer ble tilordnet i simuleringen.
FailedToDeliverEmail_TimeStamp	Når simuleringsmeldingen ikke ble levert til brukeren.
Siste simuleringsaktivitet	Den siste simuleringsaktiviteten til brukeren (enten de passerte eller ble kompromittert).
Tilordnede opplæringer	Listen over opplæringer tilordnet brukeren som en del av simuleringen.
Fullførte opplæringer	Listen over opplæringer fullført av brukeren som en del av simuleringen.
Opplæringsstatus	Den nåværende statusen for opplæringer for brukeren som en del av simuleringen.
Phishing rapportert på	Når brukeren rapporterte simuleringsmeldingen som phishing.
Avdeling	Brukerens avdeling eiendom verdi i Microsoft Entra ID på tidspunktet for simulering.
Firma	Brukerens firmaeiendomsverdi i Microsoft Entra ID på simuleringstidspunktet.
Tittel	Brukerens tittelegenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.
Office	Brukerens Office-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.
By	Brukerens City eiendomsverdi i Microsoft Entra ID på tidspunktet for simulering.
Land	Brukerens land eiendomsverdi i Microsoft Entra ID på tidspunktet for simulering.
Leder	Brukerens leders egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.

Hvordan brukeraktivitetssignaler fanges opp, beskrives i tabellen nedenfor.

Felt	Beskrivelse	Beregningslogikk
DownloadAttachment	En bruker lastet ned vedlegget.	Signalet kommer fra klienten (for eksempel Outlook eller Word).
Åpnet vedlegg	En bruker åpnet vedlegget.	Signalet kommer fra klienten (for eksempel Outlook eller Word).
Les melding	Brukeren leste simuleringsmeldingen.	Meldingslesingssignaler kan oppleve problemer i følgende scenarioer: Brukeren rapporterte meldingen som phishing i Outlook uten å forlate leseruten, og Merk elementer som lest når de ble vist i leseruten , ble ikke konfigurert (standard). Brukeren rapporterte den uleste meldingen som phishing i Outlook, meldingen ble slettet, og Merk meldinger som lest når slettet ikke var konfigurert (standard).
Fraværende	Bestemmer om brukeren er fraværende.	Beregnes for øyeblikket av innstillingen automatiske svar fra Outlook.
Kompromittert bruker	Brukeren ble kompromittert. Kompromisssignalet varierer basert på sosial ingeniørteknikk.	Legitimasjonsinnhøsting: Brukeren skrev inn legitimasjonen sin på påloggingssiden (legitimasjon lagres ikke av Microsoft).¹ Vedlegg til skadelig programvare: Brukeren åpnet nyttelastvedlegget og valgte Aktiver redigering i beskyttet visning. Kobling i vedlegg: Brukeren åpnet vedlegget og skrev inn legitimasjonen etter å ha klikket på nyttelastkoblingen. Kobling til skadelig programvare: Brukeren klikket på nyttelastkoblingen og skrev inn legitimasjonen. Stasjon etter URL-adresse: Brukeren klikket på nyttelastkoblingen (angi legitimasjon er ikke nødvendig).¹ OAuth Consent Grant: Brukeren klikket på nyttelastkoblingen og godtok forespørselen om å dele tillatelser.¹
Klikket meldingskobling	Brukeren klikket på nyttelastkoblingen i simuleringsmeldingen.	Nettadressen i simuleringen er unik for hver bruker, som tillater individuell brukeraktivitetssporing. Tredjeparts filtreringstjenester eller videresending av e-post kan føre til falske positiver. Hvis du vil ha mer informasjon, kan du se klikk eller kompromittere hendelser fra brukere som insisterer på at de ikke klikket på koblingen i simuleringsmeldingen, ELLER jeg ser klikk innen noen få sekunder etter levering for mange brukere (falske positiver). Hva er det som foregår?
Videresendt melding	Brukeren videresendte meldingen.
Svart på melding	Brukeren svarte på meldingen.
Slettet melding	Brukeren slettet meldingen.	Signalet kommer fra Outlook-aktiviteten til brukeren. Hvis brukeren rapporterer meldingen som phishing, kan meldingen flyttes til Slettede elementer-mappen, som identifiseres som en sletting.
Gitte tillatelser	Brukeren delte tillatelser i en OAuth Consent Grant-simulering .

¹ Den klikkede koblingen kan være en valgt URL-adresse eller en skannet QR-kode.

Beslektede koblinger

Kom i gang med å bruke Opplæring med simulert angrep

Opprett en phishing-angrepssimulering

opprette en nyttelast for opplæring av personer