Innsikt og rapporter for angrepssimuleringsopplæring
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Microsoft gir innsikt og rapporter fra resultatene av simuleringer og tilsvarende opplæringer i attack simulation training i Microsoft Defender for Office 365 Plan 2 eller Microsoft 365 E5. Denne informasjonen holder deg informert om fremdriften for trusselberedskapen til brukerne, og anbefalte neste trinn for bedre å forberede brukerne for fremtidige angrep.
Innsikt og rapporter er tilgjengelige på følgende steder på opplæringssiden for angrepssimulering i Microsoft Defender-portalen:
- Innsikt:
- Oversikt-fanen på https://security.microsoft.com/attacksimulator?viewid=overview.
- Kategorien Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
- Rapporter:
- Rapportsiden For angrepssimulering på https://security.microsoft.com/attacksimulationreport:
- Rapportene for pågående og fullførte simuleringer og opplæringskampanjer: Hvis du vil ha mer informasjon, kan du se rapporten Om angrepssimulering.
Resten av denne artikkelen beskriver rapportene og innsiktene for opplæring i angrepssimulering.
Hvis du vil ha informasjon om hvordan du kommer i gang med angrepssimuleringstrening, kan du se Komme i gang med angrepssimuleringstrening.
Innsikt i oversikts- og rapportfanene for angrepssimuleringsopplæring
Hvis du vil gå til Oversikt-fanen, åpner du Microsoft Defender-portalen på https://security.microsoft.com, går til E-& samarbeid>– Angrepssimuleringsopplæring:
- Oversikt-fanen : Kontroller at Oversikt-fanen er valgt (det er standard). Du kan også gå direkte til Oversikt-fanen ved å bruke https://security.microsoft.com/attacksimulator?viewid=overview.
- Rapporter-fanen: Velg Rapporter-fanen. Du kan også gå direkte til Rapporter-fanen ved å bruke .https://security.microsoft.com/attacksimulationreport
Distribusjonen av innsikt på fanene er beskrevet i tabellen nedenfor:
Rapport | Oversikt-fanen | Rapporter-fanen |
---|---|---|
Kort med nylige simuleringer | ✔ | |
Anbefalingskort | ✔ | |
Simuleringsdekningskort | ✔ | ✔ |
Kort for fullføring av opplæring | ✔ | ✔ |
Gjenta lovbryterkort | ✔ | ✔ |
Innvirkning på virkemåte på kort med risikosats | ✔ | ✔ |
Resten av denne delen beskriver informasjonen som er tilgjengelig på oversikts- og rapportfanene for angrepssimuleringstrening.
Kort med nylige simuleringer
Nylige simuleringer-kortet på Oversikt-fanen viser de tre siste simuleringene du opprettet eller kjørte i organisasjonen.
Du kan velge en simulering for å vise detaljer.
Hvis du velger Vis alle simuleringer , kommer du til Simuleringer-fanen .
Å velge Launch en simulering starter den nye simuleringsveiviseren. Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.
Anbefalingskort
Anbefalinger-kortet på Oversikt-fanen foreslår ulike typer simuleringer å kjøre.
Når du velger Start, starter nå den nye simuleringsveiviseren med den angitte simuleringstypen automatisk valgt på siden Velg teknikk . Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.
Simuleringsdekningskort
Simuleringsdekningskortet på fanene Oversikt og Rapporter viser prosentandelen av brukere i organisasjonen som mottok en simulering (simulerte brukere) kontra brukere som ikke mottok en simulering (ikke-simulerte brukere). Du kan holde pekeren over en inndeling i diagrammet for å se det faktiske antallet brukere i hver kategori.
Hvis du velger Vis dekningsrapport for simulering , kommer du til brukerdekningsfanen for rapporten Angrepssimulering.
Valg av Launch-simulering for ikke-simulerte brukere starter den nye simuleringsveiviseren der brukerne som ikke mottok simuleringen, automatisk velges på målbrukersiden . Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.
Kort for fullføring av opplæring
Fullføringskortet for opplæring på fanene Oversikt og Rapporter organiserer prosentandelen av brukere som mottok opplæring basert på resultatene av simuleringer i følgende kategorier:
- Fullført
- Pågår
- Ufullstendig
Du kan holde pekeren over en inndeling i diagrammet for å se det faktiske antallet brukere i hver kategori.
Hvis du velger Vis fullføringsrapport for opplæring , kommer du til fullføringsfanen for Opplæring for rapporten om angrepssimulering.
Gjenta lovbryterkort
Kortet Gjenta lovbrytere på fanene Oversikt og Rapporter viser informasjon om gjentatte lovbrytere. En gjentatt lovbryter er en bruker som ble kompromittert av påfølgende simuleringer. Standardantallet for påfølgende simuleringer er to, men du kan endre verdien på Innstillinger-fanen i Angrepssimuleringstrening på https://security.microsoft.com/attacksimulator?viewid=setting. Hvis du vil ha mer informasjon, kan du se Konfigurere terskelen for gjentatt lovbryter.
Diagrammet organiserer gjentatte lovbryterdata etter simuleringstype:
- Alle
- Vedlegg til skadelig programvare
- Koble til skadelig programvare
- Innhøsting av legitimasjon
- Kobling i vedlegg
- Url-adresse for drive-by
Hvis du velger Vis gjentatt lovbryterrapport , kommer du til Gjenta lovbrytere-fanen for angrepssimuleringsrapporten.
Innvirkning på virkemåte på kort med risikosats
Innvirkningen på virkemåte på kompromissratekortet på fanene Oversikt og Rapporter viser hvordan brukerne reagerte på simuleringene sammenlignet med historiske data i Microsoft 365. Du kan bruke denne innsikten til å spore fremdriften i brukernes trusselberedskap ved å kjøre flere simuleringer mot de samme brukergruppene.
Diagramdataene viser følgende informasjon:
- Faktisk kompromissrate: Den faktiske prosentandelen av personer som ble kompromittert av simuleringen (faktiske brukere kompromitterte / totalt antall brukere i organisasjonen som mottok simuleringen).
- Forventet kompromissrate: Historiske data på tvers av Microsoft 365 som forutsier prosentandelen av personer som vil bli kompromittert av denne simuleringen. Hvis du vil lære mer om den forventede kompromissraten (PCR), kan du se Prognose for kompromissrate.
Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske prosentverdiene.
Hvis du vil se en detaljert rapport, velger du Vis simuleringer og kalkumuler effektrapport. Denne rapporten forklares senere i denne artikkelen.
Angrepssimuleringsrapport
Du kan åpne rapporten Angrepssimulering fra Oversikt-fanen ved å velge Vis ... rapporthandlinger som er tilgjengelige på noen av kortene på fanene Oversikt og Rapporter som er beskrevet i denne artikkelen. Hvis du vil gå direkte til rapportsiden for angrepssimulering , bruker du https://security.microsoft.com/attacksimulationreport
Treningseffekt-fanen for Angrepssimulering-rapporten
Fanen For kalkumuleringseffekt velges som standard på rapportsiden for angrepssimulering. Denne fanen gir den samme informasjonen som er tilgjengelig i virkemåtens innvirkning på kompromissratekortet , med ytterligere kontekst fra selve simuleringen.
Diagrammet viser den faktiske kompromitterte renten og prognoseraten for kompromisser. Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske prosentverdiene for.
Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere simuleringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.
- Simuleringsnavn
- Simuleringsteknikk
- Simuleringstaktikk
- Forventet kompromittert rente
- Faktisk kompromittert rente
- Totalt antall brukere som er målrettet
- Antall klikkede brukere
Bruk søkeboksen til å filtrere resultatene etter simuleringsnavn eller simuleringsteknikk. Jokertegn støttes ikke.
Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).
Brukerdekning-fanen for angrepssimuleringsrapporten
Diagrammet viser simulerte brukere og ikke-simulerte brukere i kategorien Brukerdekning. Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske verdiene.
Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.
- Brukernavn
- E-postadresse
- Inkludert i simulering
- Dato for siste simulering
- Siste simuleringsresultat
- Antall klikk
- Antall kompromitterte
Bruk søkeboksen til å filtrere resultatene etter brukernavn eller e-postadresse. Jokertegn støttes ikke.
Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).
Fullføringsfane for opplæring for angrepssimuleringsrapporten
Diagrammet viser antall fullførte, pågående og ufullstendige simuleringer på fanen Fullføring av opplæring. Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske verdiene.
Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.
- Brukernavn
- E-postadresse
- Inkludert i simulering
- Dato for siste simulering
- Siste simuleringsresultat
- Navnet på den nyeste opplæringen er fullført
- Dato fullført
- Alle opplæringer
Velg Filter for å filtrere diagrammet og detaljtabellen etter statusverdier for opplæringene: Fullført, Pågår eller Alle.
Når du er ferdig med å konfigurere filtrene, velger du Bruk, Avbryt eller Fjern filtre.
Bruk søkeboksen til å filtrere resultatene etter brukernavn eller e-postadresse. Jokertegn støttes ikke.
Hvis du velger Eksporter rapport-knappen , vises rapportgenereringsfremdriften som en prosentdel fullført. I dialogboksen som åpnes, kan du velge å åpne .csv-filen, lagre .csv-filen og huske det merkede området.
Gjenta lovbrytere-fanen for angrepssimuleringsrapporten
En gjentatt lovbryter er en bruker som ble kompromittert av påfølgende simuleringer. Standardantallet for påfølgende simuleringer er to, men du kan endre verdien på Innstillinger-fanen i Angrepssimuleringstrening på https://security.microsoft.com/attacksimulator?viewid=setting. Hvis du vil ha mer informasjon, kan du se Konfigurere terskelen for gjentatt lovbryter.
Diagrammet viser antall gjentatte lovbrytere og simulerte brukere på fanen Gjenta lovbrytere.
Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske verdiene.
Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.
- Bruker
- Simuleringstyper
- Simuleringer
- E-postadresse
- Siste antall gjentakelser
- Gjenta lovbrudd
- Etternavn på simulering
- Siste simuleringsresultat
- Siste tilordnede opplæring
- Siste opplæringsstatus
Velg Filter for å filtrere diagrammet og detaljtabellen etter én eller flere simuleringstypeverdier:
- Innhøsting av legitimasjon
- Vedlegg til skadelig programvare
- Kobling i vedlegg
- Koble til skadelig programvare
Når du er ferdig med å konfigurere filtrene, velger du Bruk, Avbryt eller Fjern filtre.
Bruk søkeboksen til å filtrere resultatene etter noen av kolonneverdiene. Jokertegn støttes ikke.
Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).
Simuleringsrapport i angrepssimuleringstrening
Simuleringsrapporten viser detaljene om pågående eller fullførte simuleringer ( statusverdienpågår eller fullført). Bruk en av følgende metoder for å vise simuleringsrapporten:
Velg en simulering fra nylige simuleringer-kortet på Oversikt-fanen på siden For angrepssimulering på https://security.microsoft.com/attacksimulator?viewid=overview.
Velg en simulering ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet på Simuleringer-fanen på siden for angrepssimulering på https://security.microsoft.com/attacksimulator?viewid=simulations. Hvis du vil ha mer informasjon, kan du se Vis simuleringsrapporter.
- Velg opplæringskampanjen ved hjelp av én av følgende metoder på Opplæring-fanen på opplæringssiden for angrepssimulering på https://security.microsoft.com/attacksimulator?viewid=trainingcampaign:
- Klikk hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.
- Merk av for navnet, og velg
deretter Vis rapport.
Hvis du vil ha mer informasjon, kan du se Vis opplæringskampanjerapporter.
Rapportsiden som åpnes, inneholder fanene Rapport, **Brukere og Detaljer som inneholder informasjon om simuleringen. Resten av denne delen beskriver innsiktene og rapportene som er tilgjengelige på Rapport-fanen.
Avsnittene på Rapport-fanen for en simulering er beskrevet i følgende underdeler.
Hvis du vil ha mer informasjon om fanene Brukere og Detaljer , kan du se følgende koblinger.
- Simuleringer:
- Opplæringskampanjer:
Simuleringsrapport for simuleringer
Denne delen beskriver informasjonen i simuleringsrapporten for vanlige simuleringer (ikke opplæringskampanjer).
Seksjon for simuleringspåvirkning i rapporten for simuleringer
Delen om simuleringsinnvirkning på rapportfanen** for en simulering viser antall og prosent av kompromitterte brukere og brukere som rapporterte meldingen.
Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske tallene for hver kategori.
Velg Vis kompromitterte brukere for å gå til Brukere-fanen i rapporten der resultatene filtreres av Kompromittert: Ja.
Velg Vis brukere som rapporterte å gå til Brukere-fanen i rapporten der resultatene filtreres etter rapportert melding: Ja.
Delen All brukeraktivitet i rapporten for simuleringer
Delen All brukeraktivitet på rapportfanen** for en simulering viser tall for mulige resultater av simuleringen. Informasjonen varierer basert på simuleringstypen. Eksempel:
- Klikket meldingskobling eller Vedlegg-kobling klikket eller Vedlegg åpnet
- Angitt legitimasjon
- Lese melding
- Slettet melding
- Svart på melding
- Videresendt melding
- Fraværende
Velg Vis alle brukere for å gå til Fanefanen Brukere i rapporten der resultatene er ufiltrert.
Delen Leveringsstatus i rapporten for simuleringer
Leveringsstatus-delen på Rapport-fanen** for en simulering viser tallene for mulige leveringsstatuser for simuleringsmeldingen. Eksempel:
- Mottatt melding
- Positiv forsterkningsmelding levert
- Bare simuleringsmelding levert
Velg Vis brukere som meldingsleveringen ikke kunne gå til Fanefanen Brukere i rapporten der resultatene filtreres etter levering av simuleringsmeldinger: Kan ikke levere.
Velg Vis utelatte brukere eller grupper for å åpne undermenyen Ekskluderte brukere eller grupper som viser brukerne eller gruppene som ble ekskludert fra simuleringen.
Seksjon for fullføring av opplæring i rapporten for simuleringer
Delen om fullføring av opplæring på siden for simuleringsdetaljer viser opplæringene som kreves for simuleringen, og hvor mange brukere som fullførte opplæringene.
Hvis ingen opplæringer ble inkludert i simuleringen, er den eneste verdien i denne delen Opplæringer ikke en del av denne simuleringen.
Første & gjennomsnittsforekomstinndeling i rapporten for simuleringer
Inndelingen Første & gjennomsnittsforekomst på rapportfanen ** for en simulering viser informasjon om tiden det tok å gjøre spesifikke handlinger i simuleringen. Eksempel:
- Første kobling klikket
- Gjsn. kobling klikket
- Første legitimasjon angitt
- Gjennomsnittslegitimasjon angitt
Anbefalinger-delen i rapporten for simuleringer
Anbefalinger-delen på rapportfanen** for en simulering viser anbefalinger for bruk av angrepssimuleringsopplæring for å sikre organisasjonen.
Simuleringsrapport for opplæringskampanjer
Denne delen beskriver informasjonen i simuleringsrapporten for opplæringskampanjer (ikke simuleringer).
Delen Om fullføring av opplæring i rapporten for opplæringskampanjer
Delen Om fullføring av opplæring i rapportfanen ** for en opplæringskampanje viser informasjon om de fullførte opplæringsmodulene i opplæringskampanjen.
Delen Fullføring av opplæringssammendrag i rapporten for opplæringskampanjer
Delen Fullføringssammendrag for opplæring på Rapport-fanen ** for en opplæringskampanje bruker stolpegrafer som viser fremdriften til tilordnede brukere gjennom alle opplæringsmoduler i kampanjen (antall brukere / totalt antall brukere):
- Fullført
- Pågår
- Ikke startet
- Ikke fullført
- Tidligere tilordnet
Du kan holde pekeren over en inndeling i diagrammet for å se den faktiske prosentandelen i hver kategori.
Delen All brukeraktivitet i rapporten for opplæringskampanjer
Delen All brukeraktivitet på Rapport-fanen** for en opplæringskampanje bruker en stolpediagram for å vise hvordan hovedpersoner har mottatt opplæringsvarsel (antall brukere / totalt antall brukere).
Du kan holde pekeren over en inndeling i diagrammet for å se de faktiske tallene i hver kategori.
Tillegg
Når du eksporterer informasjon fra rapportene, inneholder CSV-filen mer informasjon enn det som vises i rapporten, selv om du har alle kolonnene vist. Feltene er beskrevet i tabellen nedenfor.
Tips
Hvis du vil ha maksimal informasjon, må du kontrollere at alle tilgjengelige kolonner i rapporten er synlige før du eksporterer.
Feltnavn | Beskrivelse |
---|---|
Brukernavn | Brukernavnet til brukeren som gjorde aktiviteten. |
UserMail | E-postadressen til brukeren som gjorde aktiviteten. |
Kompromittert | Angir om brukeren ble kompromittert. Verdiene er Ja eller Nei. |
AttachmentOpened_TimeStamp | Når vedlegget ble åpnet. |
AttachmentOpened_Browser | Når vedlegget ble åpnet i en nettleser. Denne informasjonen kommer fra UserAgent. |
AttachmentOpened_IP | IP-adressen der vedlegget ble åpnet. Denne informasjonen kommer fra UserAgent. |
AttachmentOpened_Device | Enheten der vedlegget ble åpnet. Denne informasjonen kommer fra UserAgent. |
AttachmentLinkClicked_TimeStamp | Når vedleggskoblingen ble klikket. |
AttachmentLinkClicked_Browser | Nettleseren som ble brukt til å klikke vedleggskoblingen. Denne informasjonen kommer fra UserAgent. |
AttachmentLinkClicked_IP | IP-adressen der vedleggskoblingen ble klikket. Denne informasjonen kommer fra UserAgent. |
AttachmentLinkClicked_Device | Enheten der vedleggskoblingen ble klikket. Denne informasjonen kommer fra UserAgent. |
CredSupplied_TimeStamp(kompromittert) | Når brukeren skrev inn legitimasjonen sin. |
CredSupplied_Browser | Nettleseren som ble brukt da brukeren skrev inn legitimasjonen. Denne informasjonen kommer fra UserAgent. |
CredSupplied_IP | IP-adressen der brukeren skrev inn legitimasjonen sin. Denne informasjonen kommer fra UserAgent. |
CredSupplied_Device | Enheten der brukeren skrev inn legitimasjonen sin. Denne informasjonen kommer fra UserAgent. |
SuccessfullyDeliveredEmail_TimeStamp | Da e-postmeldingen om simulering ble levert til brukeren. |
MessageRead_TimeStamp | Da simuleringsbudskapet ble lest. |
MessageDeleted_TimeStamp | Da simuleringsmeldingen ble slettet. |
MessageReplied_TimeStamp | Da brukeren svarte på simuleringsmeldingen. |
MessageForwarded_TimeStamp | Da brukeren videresendte simuleringsmeldingen. |
OutOfOfficeDays | Bestemmer om brukeren er fraværende. Denne informasjonen kommer fra innstillingen Automatiske svar i Outlook. |
PositiveReinforcementMessageDelivered_TimeStamp | Når den positive forsterkningsmeldingen ble levert til brukeren. |
PositiveReinforcementMessageFailed_TimeStamp | Når den positive forsterkningsmeldingen ikke ble levert til brukeren. |
JustSimulationMessageDelivered_TimeStamp | Da simuleringsmeldingen ble levert til brukeren som en del av en simulering uten tildelt opplæring (ingen opplæring ble valgt på siden Tilordne opplæring i den nye simuleringsveiviseren). |
JustSimulationMessageFailed_TimeStamp | Når simuleringsmeldingen ikke ble levert til brukeren, og simuleringen ikke hadde noen opplæringer tildelt. |
TrainingAssignmentMessageDelivered_TimeStamp | Når opplæringstildelingsmeldingen ble levert til brukeren. Denne verdien er tom hvis ingen opplæringer ble tilordnet i simuleringen. |
TrainingAssignmentMessageFailed_TimeStamp | Når opplæringstildelingsmeldingen ikke ble levert til brukeren. Denne verdien er tom hvis ingen opplæringer ble tilordnet i simuleringen. |
FailedToDeliverEmail_TimeStamp | Når simuleringsmeldingen ikke ble levert til brukeren. |
Siste simuleringsaktivitet | Den siste simuleringsaktiviteten til brukeren (enten de passerte eller ble kompromittert). |
Tilordnede opplæringer | Listen over opplæringer tilordnet brukeren som en del av simuleringen. |
Fullførte opplæringer | Listen over opplæringer fullført av brukeren som en del av simuleringen.. |
Opplæringsstatus | Den nåværende statusen for opplæringer for brukeren som en del av simuleringen. |
Phishing rapportert på | Når brukeren rapporterte simuleringsmeldingen som phishing. |
Avdeling | Brukerens avdelings egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet. |
Firma | Brukerens firmaeiendomsverdi i Microsoft Entra ID på simuleringstidspunktet. |
Tittel | Brukerens tittelegenskapsverdi i Microsoft Entra ID på simuleringstidspunktet. |
Office | Brukerens Office-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet. |
By | Brukerens By-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet. |
Land | Brukerens landeiendomsverdi i Microsoft Entra ID på simuleringstidspunktet. |
Leder | Brukerens manager-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet. |
Hvordan brukeraktivitetssignaler fanges opp, beskrives i tabellen nedenfor.
Felt | Beskrivelse | Beregningslogikk |
---|---|---|
DownloadAttachment | En bruker lastet ned vedlegget. | Signalet kommer fra klienten (for eksempel Outlook eller Word). |
Åpnet vedlegg | En bruker åpnet vedlegget. | Signalet kommer fra klienten (for eksempel Outlook eller Word). |
Les melding | Brukeren leste simuleringsmeldingen. | Meldingslesingssignaler kan oppleve problemer i følgende scenarioer:
|
Fraværende | Bestemmer om brukeren er fraværende. | Beregnes for øyeblikket av innstillingen automatiske svar fra Outlook. |
Kompromittert bruker | Angir om en bruker er kompromittert. Kompromisssignalene kan variere basert på angrepstypen. |
|
Klikket meldingskobling | Angir om en bruker klikket på meldingen. | Nettadressen i simuleringen er unik for hver bruker, som tillater individuell brukeraktivitetssporing. Tredjeparts filtreringstjenester eller videresending av e-post kan føre til falske positiver. Hvis du vil ha mer informasjon, kan du se klikk eller kompromisshendelser fra brukere som insisterer på at de ikke klikket på koblingen i simuleringsmeldingen. |
Videresendt melding | Angir om en bruker videresendte meldingen. | |
Svart på melding | Angir om en sluttbruker har svart på meldingen. | |
Slettet melding | Angir om en sluttbruker har slettet meldingen. | Signalet kommer fra Outlook-aktiviteten til brukeren. Hvis brukeren rapporterer meldingen som phishing, kan meldingen flyttes til Slettede elementer-mappen, som identifiseres som en sletting. |
Gitte tillatelser | Angir om en bruker delte tillatelser i et Oauth-basert angrep. |
Beslektede koblinger
Kom i gang med angrepssimuleringstrening
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for