Innsikt og rapporter for angrepssimuleringsopplæring

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Microsoft gir innsikt og rapporter fra resultatene av simuleringer og tilsvarende opplæringer i attack simulation training i Microsoft Defender for Office 365 Plan 2 eller Microsoft 365 E5. Denne informasjonen holder deg informert om fremdriften for trusselberedskapen til brukerne, og anbefalte neste trinn for bedre å forberede brukerne for fremtidige angrep.

Innsikt og rapporter er tilgjengelige på følgende steder på opplæringssiden for angrepssimulering i Microsoft Defender-portalen:

• Innsikt:
  • Oversikt-fanen på https://security.microsoft.com/attacksimulator?viewid=overview.
  • Kategorien Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
• Rapporter:
  • Rapportsiden For angrepssimulering på https://security.microsoft.com/attacksimulationreport:
    • Fanen Treningseffekt
    • Brukerdekning-fanen
    • Fullføringsfane for opplæring
    • Fanen Gjenta lovbrytere
  • Rapportene for pågående og fullførte simuleringer og opplæringskampanjer: Hvis du vil ha mer informasjon, kan du se rapporten Om angrepssimulering.

Resten av denne artikkelen beskriver rapportene og innsiktene for opplæring i angrepssimulering.

Hvis du vil ha informasjon om hvordan du kommer i gang med angrepssimuleringstrening, kan du se Komme i gang med angrepssimuleringstrening.

Innsikt i oversikts- og rapportfanene for angrepssimuleringsopplæring

Hvis du vil gå til Oversikt-fanen, åpner du Microsoft Defender-portalen på https://security.microsoft.com, går til E-& samarbeid>– Angrepssimuleringsopplæring:

• Oversikt-fanen : Kontroller at Oversikt-fanen er valgt (det er standard). Du kan også gå direkte til Oversikt-fanen ved å bruke https://security.microsoft.com/attacksimulator?viewid=overview.
• Rapporter-fanen: Velg Rapporter-fanen. Du kan også gå direkte til Rapporter-fanen ved å bruke .https://security.microsoft.com/attacksimulationreport

Distribusjonen av innsikt på fanene er beskrevet i tabellen nedenfor:

Rapport	Oversikt-fanen	Rapporter-fanen
Kort med nylige simuleringer	✔
Anbefalingskort	✔
Simuleringsdekningskort	✔	✔
Kort for fullføring av opplæring	✔	✔
Gjenta lovbryterkort	✔	✔
Innvirkning på virkemåte på kort med risikosats	✔	✔

Resten av denne delen beskriver informasjonen som er tilgjengelig på oversikts- og rapportfanene for angrepssimuleringstrening.

Kort med nylige simuleringer

Nylige simuleringer-kortet på Oversikt-fanen viser de tre siste simuleringene du opprettet eller kjørte i organisasjonen.

Du kan velge en simulering for å vise detaljer.

Hvis du velger Vis alle simuleringer , kommer du til Simuleringer-fanen .

Å velge Launch en simulering starter den nye simuleringsveiviseren. Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.

Anbefalingskort

Anbefalinger-kortet på Oversikt-fanen foreslår ulike typer simuleringer å kjøre.

Når du velger Start, starter nå den nye simuleringsveiviseren med den angitte simuleringstypen automatisk valgt på siden Velg teknikk . Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.

Simuleringsdekningskort

Simuleringsdekningskortet på fanene Oversikt og Rapporter viser prosentandelen av brukere i organisasjonen som mottok en simulering (simulerte brukere) kontra brukere som ikke mottok en simulering (ikke-simulerte brukere). Du kan holde pekeren over en inndeling i diagrammet for å se det faktiske antallet brukere i hver kategori.

Hvis du velger Vis dekningsrapport for simulering , kommer du til brukerdekningsfanen for rapporten Angrepssimulering.

Valg av Launch-simulering for ikke-simulerte brukere starter den nye simuleringsveiviseren der brukerne som ikke mottok simuleringen, automatisk velges på målbrukersiden . Hvis du vil ha mer informasjon, kan du se Simulere et phishing-angrep i Defender for Office 365.

Kort for fullføring av opplæring

Fullføringskortet for opplæring på fanene Oversikt og Rapporter organiserer prosentandelen av brukere som mottok opplæring basert på resultatene av simuleringer i følgende kategorier:

• Fullført
• Pågår
• Ufullstendig

Du kan holde pekeren over en inndeling i diagrammet for å se det faktiske antallet brukere i hver kategori.

Hvis du velger Vis fullføringsrapport for opplæring , kommer du til fullføringsfanen for Opplæring for rapporten om angrepssimulering.

Gjenta lovbryterkort

Kortet Gjenta lovbrytere på fanene Oversikt og Rapporter viser informasjon om gjentatte lovbrytere. En gjentatt lovbryter er en bruker som ble kompromittert av påfølgende simuleringer. Standardantallet for påfølgende simuleringer er to, men du kan endre verdien på Innstillinger-fanen i Angrepssimuleringstrening på https://security.microsoft.com/attacksimulator?viewid=setting. Hvis du vil ha mer informasjon, kan du se Konfigurere terskelen for gjentatt lovbryter.

Diagrammet organiserer gjentatte lovbryterdata etter simuleringstype:

• Alle
• Vedlegg til skadelig programvare
• Koble til skadelig programvare
• Innhøsting av legitimasjon
• Kobling i vedlegg
• Url-adresse for drive-by

Hvis du velger Vis gjentatt lovbryterrapport , kommer du til Gjenta lovbrytere-fanen for angrepssimuleringsrapporten.

Innvirkning på virkemåte på kort med risikosats

Innvirkningen på virkemåte på kompromissratekortet på fanene Oversikt og Rapporter viser hvordan brukerne reagerte på simuleringene sammenlignet med historiske data i Microsoft 365. Du kan bruke denne innsikten til å spore fremdriften i brukernes trusselberedskap ved å kjøre flere simuleringer mot de samme brukergruppene.

Diagramdataene viser følgende informasjon:

• Faktisk kompromissrate: Den faktiske prosentandelen av personer som ble kompromittert av simuleringen (faktiske brukere kompromitterte / totalt antall brukere i organisasjonen som mottok simuleringen).
• Forventet kompromissrate: Historiske data på tvers av Microsoft 365 som forutsier prosentandelen av personer som vil bli kompromittert av denne simuleringen. Hvis du vil lære mer om den forventede kompromissraten (PCR), kan du se Prognose for kompromissrate.

Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske prosentverdiene.

Hvis du vil se en detaljert rapport, velger du Vis simuleringer og kalkumuler effektrapport. Denne rapporten forklares senere i denne artikkelen.

Angrepssimuleringsrapport

Du kan åpne rapporten Angrepssimulering fra Oversikt-fanen ved å velge Vis ... rapporthandlinger som er tilgjengelige på noen av kortene på fanene Oversikt og Rapporter som er beskrevet i denne artikkelen. Hvis du vil gå direkte til rapportsiden for angrepssimulering , bruker du https://security.microsoft.com/attacksimulationreport

Treningseffekt-fanen for Angrepssimulering-rapporten

Fanen For kalkumuleringseffekt velges som standard på rapportsiden for angrepssimulering. Denne fanen gir den samme informasjonen som er tilgjengelig i virkemåtens innvirkning på kompromissratekortet , med ytterligere kontekst fra selve simuleringen.

Diagrammet viser den faktiske kompromitterte renten og prognoseraten for kompromisser. Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske prosentverdiene for.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere simuleringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Simuleringsnavn
• Simuleringsteknikk
• Simuleringstaktikk
• Forventet kompromittert rente
• Faktisk kompromittert rente
• Totalt antall brukere som er målrettet
• Antall klikkede brukere

Bruk søkeboksen til å filtrere resultatene etter simuleringsnavn eller simuleringsteknikk. Jokertegn støttes ikke.

Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).

Brukerdekning-fanen for angrepssimuleringsrapporten

Diagrammet viser simulerte brukere og ikke-simulerte brukere i kategorien Brukerdekning. Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske verdiene.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Brukernavn
• E-postadresse
• Inkludert i simulering
• Dato for siste simulering
• Siste simuleringsresultat
• Antall klikk
• Antall kompromitterte

Bruk søkeboksen til å filtrere resultatene etter brukernavn eller e-postadresse. Jokertegn støttes ikke.

Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).

Fullføringsfane for opplæring for angrepssimuleringsrapporten

Diagrammet viser antall fullførte, pågående og ufullstendige simuleringer på fanen Fullføring av opplæring. Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske verdiene.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Brukernavn
• E-postadresse
• Inkludert i simulering
• Dato for siste simulering
• Siste simuleringsresultat
• Navnet på den nyeste opplæringen er fullført
• Dato fullført
• Alle opplæringer

Velg Filter for å filtrere diagrammet og detaljtabellen etter statusverdier for opplæringene: Fullført, Pågår eller Alle.

Når du er ferdig med å konfigurere filtrene, velger du Bruk, Avbryt eller Fjern filtre.

Bruk søkeboksen til å filtrere resultatene etter brukernavn eller e-postadresse. Jokertegn støttes ikke.

Hvis du velger Eksporter rapport-knappen , vises rapportgenereringsfremdriften som en prosentdel fullført. I dialogboksen som åpnes, kan du velge å åpne .csv-filen, lagre .csv-filen og huske det merkede området.

Gjenta lovbrytere-fanen for angrepssimuleringsrapporten

En gjentatt lovbryter er en bruker som ble kompromittert av påfølgende simuleringer. Standardantallet for påfølgende simuleringer er to, men du kan endre verdien på Innstillinger-fanen i Angrepssimuleringstrening på https://security.microsoft.com/attacksimulator?viewid=setting. Hvis du vil ha mer informasjon, kan du se Konfigurere terskelen for gjentatt lovbryter.

Diagrammet viser antall gjentatte lovbrytere og simulerte brukere på fanen Gjenta lovbrytere.

Hvis du holder pekeren over et datapunkt i diagrammet, vises de faktiske verdiene.

Detaljtabellen nedenfor diagrammet viser følgende informasjon. Du kan sortere informasjonen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt.

• Bruker
• Simuleringstyper
• Simuleringer
• E-postadresse
• Siste antall gjentakelser
• Gjenta lovbrudd
• Etternavn på simulering
• Siste simuleringsresultat
• Siste tilordnede opplæring
• Siste opplæringsstatus

Velg Filter for å filtrere diagrammet og detaljtabellen etter én eller flere simuleringstypeverdier:

• Innhøsting av legitimasjon
• Vedlegg til skadelig programvare
• Kobling i vedlegg
• Koble til skadelig programvare

Når du er ferdig med å konfigurere filtrene, velger du Bruk, Avbryt eller Fjern filtre.

Bruk søkeboksen til å filtrere resultatene etter noen av kolonneverdiene. Jokertegn støttes ikke.

Bruk Eksporter rapport-knappen til å lagre informasjonen i en CSV-fil. Standard filnavn er Angrepssimuleringsrapport – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel angrepssimuleringsrapport – Microsoft Defender (1).csv).

Simuleringsrapport i angrepssimuleringstrening

Simuleringsrapporten viser detaljene om pågående eller fullførte simuleringer ( statusverdienpågår eller fullført). Bruk en av følgende metoder for å vise simuleringsrapporten:

• Velg en simulering fra nylige simuleringer-kortet på Oversikt-fanen på siden For angrepssimulering på https://security.microsoft.com/attacksimulator?viewid=overview.

  

• Velg en simulering ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet på Simuleringer-fanen på siden for angrepssimulering på https://security.microsoft.com/attacksimulator?viewid=simulations. Hvis du vil ha mer informasjon, kan du se Vis simuleringsrapporter.

  • Velg opplæringskampanjen ved hjelp av én av følgende metoder på Opplæring-fanen på opplæringssiden for angrepssimulering på https://security.microsoft.com/attacksimulator?viewid=trainingcampaign:
  • Klikk hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.
  • Merk av for navnet, og velg deretter Vis rapport.

  Hvis du vil ha mer informasjon, kan du se Vis opplæringskampanjerapporter.

Rapportsiden som åpnes, inneholder fanene Rapport, **Brukere og Detaljer som inneholder informasjon om simuleringen. Resten av denne delen beskriver innsiktene og rapportene som er tilgjengelige på Rapport-fanen.

Avsnittene på Rapport-fanen for en simulering er beskrevet i følgende underdeler.

Hvis du vil ha mer informasjon om fanene Brukere og Detaljer , kan du se følgende koblinger.

• Simuleringer:
  • Brukere-fanen
  • Detaljer-fanen
• Opplæringskampanjer:
  • Brukere-fanen
  • Detaljer-fanen

Simuleringsrapport for simuleringer

Denne delen beskriver informasjonen i simuleringsrapporten for vanlige simuleringer (ikke opplæringskampanjer).

Seksjon for simuleringspåvirkning i rapporten for simuleringer

Delen om simuleringsinnvirkning på rapportfanen** for en simulering viser antall og prosent av kompromitterte brukere og brukere som rapporterte meldingen.

Hvis du holder pekeren over en inndeling i diagrammet, vises de faktiske tallene for hver kategori.

Velg Vis kompromitterte brukere for å gå til Brukere-fanen i rapporten der resultatene filtreres av Kompromittert: Ja.

Velg Vis brukere som rapporterte å gå til Brukere-fanen i rapporten der resultatene filtreres etter rapportert melding: Ja.

Delen All brukeraktivitet i rapporten for simuleringer

Delen All brukeraktivitet på rapportfanen** for en simulering viser tall for mulige resultater av simuleringen. Informasjonen varierer basert på simuleringstypen. Eksempel:

• Klikket meldingskobling eller Vedlegg-kobling klikket eller Vedlegg åpnet
• Angitt legitimasjon
• Lese melding
• Slettet melding
• Svart på melding
• Videresendt melding
• Fraværende

Velg Vis alle brukere for å gå til Fanefanen Brukere i rapporten der resultatene er ufiltrert.

Delen Leveringsstatus i rapporten for simuleringer

Leveringsstatus-delen på Rapport-fanen** for en simulering viser tallene for mulige leveringsstatuser for simuleringsmeldingen. Eksempel:

• Mottatt melding
• Positiv forsterkningsmelding levert
• Bare simuleringsmelding levert

Velg Vis brukere som meldingsleveringen ikke kunne gå til Fanefanen Brukere i rapporten der resultatene filtreres etter levering av simuleringsmeldinger: Kan ikke levere.

Velg Vis utelatte brukere eller grupper for å åpne undermenyen Ekskluderte brukere eller grupper som viser brukerne eller gruppene som ble ekskludert fra simuleringen.

Seksjon for fullføring av opplæring i rapporten for simuleringer

Delen om fullføring av opplæring på siden for simuleringsdetaljer viser opplæringene som kreves for simuleringen, og hvor mange brukere som fullførte opplæringene.

Hvis ingen opplæringer ble inkludert i simuleringen, er den eneste verdien i denne delen Opplæringer ikke en del av denne simuleringen.

Første & gjennomsnittsforekomstinndeling i rapporten for simuleringer

Inndelingen Første & gjennomsnittsforekomst på rapportfanen ** for en simulering viser informasjon om tiden det tok å gjøre spesifikke handlinger i simuleringen. Eksempel:

• Første kobling klikket
• Gjsn. kobling klikket
• Første legitimasjon angitt
• Gjennomsnittslegitimasjon angitt

Anbefalinger-delen i rapporten for simuleringer

Anbefalinger-delen på rapportfanen** for en simulering viser anbefalinger for bruk av angrepssimuleringsopplæring for å sikre organisasjonen.

Simuleringsrapport for opplæringskampanjer

Denne delen beskriver informasjonen i simuleringsrapporten for opplæringskampanjer (ikke simuleringer).

Delen Om fullføring av opplæring i rapporten for opplæringskampanjer

Delen Om fullføring av opplæring i rapportfanen ** for en opplæringskampanje viser informasjon om de fullførte opplæringsmodulene i opplæringskampanjen.

Delen Fullføring av opplæringssammendrag i rapporten for opplæringskampanjer

Delen Fullføringssammendrag for opplæring på Rapport-fanen ** for en opplæringskampanje bruker stolpegrafer som viser fremdriften til tilordnede brukere gjennom alle opplæringsmoduler i kampanjen (antall brukere / totalt antall brukere):

• Fullført
• Pågår
• Ikke startet
• Ikke fullført
• Tidligere tilordnet

Du kan holde pekeren over en inndeling i diagrammet for å se den faktiske prosentandelen i hver kategori.

Delen All brukeraktivitet i rapporten for opplæringskampanjer

Delen All brukeraktivitet på Rapport-fanen** for en opplæringskampanje bruker en stolpediagram for å vise hvordan hovedpersoner har mottatt opplæringsvarsel (antall brukere / totalt antall brukere).

Du kan holde pekeren over en inndeling i diagrammet for å se de faktiske tallene i hver kategori.

Tillegg

Når du eksporterer informasjon fra rapportene, inneholder CSV-filen mer informasjon enn det som vises i rapporten, selv om du har alle kolonnene vist. Feltene er beskrevet i tabellen nedenfor.

Tips

Hvis du vil ha maksimal informasjon, må du kontrollere at alle tilgjengelige kolonner i rapporten er synlige før du eksporterer.

Feltnavn	Beskrivelse
Brukernavn	Brukernavnet til brukeren som gjorde aktiviteten.
UserMail	E-postadressen til brukeren som gjorde aktiviteten.
Kompromittert	Angir om brukeren ble kompromittert. Verdiene er Ja eller Nei.
AttachmentOpened_TimeStamp	Når vedlegget ble åpnet.
AttachmentOpened_Browser	Når vedlegget ble åpnet i en nettleser. Denne informasjonen kommer fra UserAgent.
AttachmentOpened_IP	IP-adressen der vedlegget ble åpnet. Denne informasjonen kommer fra UserAgent.
AttachmentOpened_Device	Enheten der vedlegget ble åpnet. Denne informasjonen kommer fra UserAgent.
AttachmentLinkClicked_TimeStamp	Når vedleggskoblingen ble klikket.
AttachmentLinkClicked_Browser	Nettleseren som ble brukt til å klikke vedleggskoblingen. Denne informasjonen kommer fra UserAgent.
AttachmentLinkClicked_IP	IP-adressen der vedleggskoblingen ble klikket. Denne informasjonen kommer fra UserAgent.
AttachmentLinkClicked_Device	Enheten der vedleggskoblingen ble klikket. Denne informasjonen kommer fra UserAgent.
CredSupplied_TimeStamp(kompromittert)	Når brukeren skrev inn legitimasjonen sin.
CredSupplied_Browser	Nettleseren som ble brukt da brukeren skrev inn legitimasjonen. Denne informasjonen kommer fra UserAgent.
CredSupplied_IP	IP-adressen der brukeren skrev inn legitimasjonen sin. Denne informasjonen kommer fra UserAgent.
CredSupplied_Device	Enheten der brukeren skrev inn legitimasjonen sin. Denne informasjonen kommer fra UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Da e-postmeldingen om simulering ble levert til brukeren.
MessageRead_TimeStamp	Da simuleringsbudskapet ble lest.
MessageDeleted_TimeStamp	Da simuleringsmeldingen ble slettet.
MessageReplied_TimeStamp	Da brukeren svarte på simuleringsmeldingen.
MessageForwarded_TimeStamp	Da brukeren videresendte simuleringsmeldingen.
OutOfOfficeDays	Bestemmer om brukeren er fraværende. Denne informasjonen kommer fra innstillingen Automatiske svar i Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Når den positive forsterkningsmeldingen ble levert til brukeren.
PositiveReinforcementMessageFailed_TimeStamp	Når den positive forsterkningsmeldingen ikke ble levert til brukeren.
JustSimulationMessageDelivered_TimeStamp	Da simuleringsmeldingen ble levert til brukeren som en del av en simulering uten tildelt opplæring (ingen opplæring ble valgt på siden Tilordne opplæring i den nye simuleringsveiviseren).
JustSimulationMessageFailed_TimeStamp	Når simuleringsmeldingen ikke ble levert til brukeren, og simuleringen ikke hadde noen opplæringer tildelt.
TrainingAssignmentMessageDelivered_TimeStamp	Når opplæringstildelingsmeldingen ble levert til brukeren. Denne verdien er tom hvis ingen opplæringer ble tilordnet i simuleringen.
TrainingAssignmentMessageFailed_TimeStamp	Når opplæringstildelingsmeldingen ikke ble levert til brukeren. Denne verdien er tom hvis ingen opplæringer ble tilordnet i simuleringen.
FailedToDeliverEmail_TimeStamp	Når simuleringsmeldingen ikke ble levert til brukeren.
Siste simuleringsaktivitet	Den siste simuleringsaktiviteten til brukeren (enten de passerte eller ble kompromittert).
Tilordnede opplæringer	Listen over opplæringer tilordnet brukeren som en del av simuleringen.
Fullførte opplæringer	Listen over opplæringer fullført av brukeren som en del av simuleringen..
Opplæringsstatus	Den nåværende statusen for opplæringer for brukeren som en del av simuleringen.
Phishing rapportert på	Når brukeren rapporterte simuleringsmeldingen som phishing.
Avdeling	Brukerens avdelings egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.
Firma	Brukerens firmaeiendomsverdi i Microsoft Entra ID på simuleringstidspunktet.
Tittel	Brukerens tittelegenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.
Office	Brukerens Office-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.
By	Brukerens By-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.
Land	Brukerens landeiendomsverdi i Microsoft Entra ID på simuleringstidspunktet.
Leder	Brukerens manager-egenskapsverdi i Microsoft Entra ID på simuleringstidspunktet.

Hvordan brukeraktivitetssignaler fanges opp, beskrives i tabellen nedenfor.

Felt	Beskrivelse	Beregningslogikk
DownloadAttachment	En bruker lastet ned vedlegget.	Signalet kommer fra klienten (for eksempel Outlook eller Word).
Åpnet vedlegg	En bruker åpnet vedlegget.	Signalet kommer fra klienten (for eksempel Outlook eller Word).
Les melding	Brukeren leste simuleringsmeldingen.	Meldingslesingssignaler kan oppleve problemer i følgende scenarioer: Brukeren rapporterte meldingen som phishing i Outlook uten å forlate leseruten, og Merk elementer som lest når de ble vist i leseruten , ble ikke konfigurert (standard). Brukeren rapporterte den uleste meldingen som phishing i Outlook, meldingen ble slettet, og Merk meldinger som lest når slettet ikke var konfigurert (standard).
Fraværende	Bestemmer om brukeren er fraværende.	Beregnes for øyeblikket av innstillingen automatiske svar fra Outlook.
Kompromittert bruker	Angir om en bruker er kompromittert. Kompromisssignalene kan variere basert på angrepstypen.	Legitimasjonsinnhøsting: Brukeren angir legitimasjonen sin på påloggingssiden (legitimasjon lagres ikke av Microsoft). Vedlegg til skadelig programvare: Brukeren åpner filen og aktiverer redigering i beskyttet visning. Kobling i vedlegg: Brukeren åpner vedlegget og klikker koblingen. Kobling til skadelig programvare: Brukeren klikker på koblingen og angir legitimasjonen. Stasjon etter URL-adresse: Brukeren klikker på koblingen (det kreves ikke å angi legitimasjon). OAuth: Brukeren klikker på koblingen og godtar for å dele tillatelser.
Klikket meldingskobling	Angir om en bruker klikket på meldingen.	Nettadressen i simuleringen er unik for hver bruker, som tillater individuell brukeraktivitetssporing. Tredjeparts filtreringstjenester eller videresending av e-post kan føre til falske positiver. Hvis du vil ha mer informasjon, kan du se klikk eller kompromisshendelser fra brukere som insisterer på at de ikke klikket på koblingen i simuleringsmeldingen.
Videresendt melding	Angir om en bruker videresendte meldingen.
Svart på melding	Angir om en sluttbruker har svart på meldingen.
Slettet melding	Angir om en sluttbruker har slettet meldingen.	Signalet kommer fra Outlook-aktiviteten til brukeren. Hvis brukeren rapporterer meldingen som phishing, kan meldingen flyttes til Slettede elementer-mappen, som identifiseres som en sletting.
Gitte tillatelser	Angir om en bruker delte tillatelser i et Oauth-basert angrep.

Beslektede koblinger

Kom i gang med angrepssimuleringstrening

Opprett en phishing-angrepssimulering

opprette en nyttelast for opplæring av personer