Inzichten en rapporten voor training voor aanvalssimulatie

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In training voor aanvalssimulatie in Microsoft Defender voor Office 365 Plan 2 of Microsoft 365 E5 biedt Microsoft inzichten en rapporten van de resultaten van simulaties en de bijbehorende trainingen. Deze informatie houdt u op de hoogte van de voortgang van de bedreigingsgereedheid van uw gebruikers en aanbevolen volgende stappen om uw gebruikers beter voor te bereiden op toekomstige aanvallen.

Inzichten en rapporten zijn beschikbaar op de volgende locaties op de pagina training voor aanvalssimulatie in de Microsoft Defender portal:

• Inzichten:
  • Het tabblad Overzicht op https://security.microsoft.com/attacksimulator?viewid=overview.
  • Het tabblad Rapporten op https://security.microsoft.com/attacksimulator?viewid=reports.
• Rapporten:
  • De rapportpagina voor aanvalssimulatie op https://security.microsoft.com/attacksimulationreport:
    • Tabblad Werkzaamheid van training
    • Tabblad Gebruikersdekking
    • Tabblad Training voltooid
    • Tabblad Recidivisten
  • De rapporten voor actieve en voltooide simulaties en trainingscampagnes: zie Rapport over aanvalssimulatie voor meer informatie.

In de rest van dit artikel worden de rapporten en inzichten voor training voor aanvalssimulatie beschreven.

Zie Aan de slag met training voor aanvalssimulatie voor informatie over training voor aanvalssimulatie.

Inzichten op de tabbladen Overzicht en Rapporten van training voor aanvalssimulatie

Als u naar het tabblad Overzicht wilt gaan, opent u de Microsoft Defender portal op https://security.microsoft.com, gaat u naar Email & samenwerking>training voor aanvalssimulatie:

• Tabblad Overzicht : controleer of het tabblad Overzicht is geselecteerd (dit is de standaardinstelling). Als u rechtstreeks naar het tabblad Overzicht wilt gaan, gebruikt u https://security.microsoft.com/attacksimulator?viewid=overview.
• Tabblad Rapporten : selecteer het tabblad Rapporten . Als u rechtstreeks naar het tabblad Rapporten wilt gaan, gebruikt u https://security.microsoft.com/attacksimulationreport.

De distributie van inzichten op de tabbladen wordt beschreven in de volgende tabel:

Rapport	Tabblad Overzicht	Tabblad Rapporten
Kaart recente simulaties	✔
Aanbevelingenkaart	✔
Simulatiedekkingskaart	✔	✔
Voltooiingskaart training	✔	✔
Kaart recidivisten	✔	✔
Invloed op gedrag op de kaart met de inbreukfrequentie	✔	✔

In de rest van deze sectie wordt de informatie beschreven die beschikbaar is op de tabbladen Overzicht en Rapporten van training voor aanvalssimulatie.

Kaart recente simulaties

Op de kaart Recente simulaties op het tabblad Overzicht ziet u de laatste drie simulaties die u in uw organisatie hebt gemaakt of uitgevoerd.

U kunt een simulatie selecteren om details weer te geven.

Als u Alle simulaties weergeven selecteert , gaat u naar het tabblad Simulaties .

Als u Een simulatie starten selecteert, wordt de nieuwe simulatiewizard gestart. Zie Een phishing-aanval simuleren in Defender voor Office 365 voor meer informatie.

Aanbevelingenkaart

Op de kaart Aanbevelingen op het tabblad Overzicht worden verschillende typen simulaties voorgesteld om uit te voeren.

Als u Nu Starten selecteert, wordt de nieuwe simulatiewizard gestart, waarbij het opgegeven simulatietype automatisch is geselecteerd op de pagina Techniek selecteren . Zie Een phishing-aanval simuleren in Defender voor Office 365 voor meer informatie.

Simulatiedekkingskaart

De simulatiedekkingskaart op de tabbladen Overzicht en Rapporten toont het percentage gebruikers in uw organisatie dat een simulatie heeft ontvangen (gesimuleerde gebruikers) versus gebruikers die geen simulatie hebben ontvangen (niet-gesimuleerde gebruikers). U kunt de muisaanwijzer over een sectie in de grafiek bewegen om het werkelijke aantal gebruikers in elke categorie te zien.

Als u Simulatiedekkingsrapport weergeven selecteert, gaat u naar het tabblad Gebruikersdekking voor het rapport Aanvalssimulatie.

Als u Simulatie starten voor niet-gesimuleerde gebruikers selecteert, wordt de nieuwe simulatiewizard gestart, waarbij de gebruikers die de simulatie niet hebben ontvangen, automatisch worden geselecteerd op de pagina Doelgebruiker . Zie Een phishing-aanval simuleren in Defender voor Office 365 voor meer informatie.

Voltooiingskaart training

De voltooiingskaart Training op de tabbladen Overzicht en Rapporten ordent de percentages gebruikers die trainingen hebben ontvangen op basis van de resultaten van simulaties in de volgende categorieën:

• Volbracht
• Wordt uitgevoerd
• Onvolledig

U kunt de muisaanwijzer over een sectie in de grafiek bewegen om het werkelijke aantal gebruikers in elke categorie te zien.

Als u Voltooiingsrapport voor training weergeven selecteert, gaat u naar het tabblad Voltooiing van training voor het rapport Aanvalssimulatie.

Kaart recidivisten

Op de kaart Recidivisten op het tabblad Overzicht en Rapporten ziet u de informatie over recidivisten. Een recidief is een gebruiker die is gecompromitteerd door opeenvolgende simulaties. Het standaard aantal opeenvolgende simulaties is twee, maar u kunt de waarde wijzigen op het tabblad Instellingen van training voor aanvalssimulatie op https://security.microsoft.com/attacksimulator?viewid=setting. Zie De drempelwaarde voor recidivisten configureren voor meer informatie.

In de grafiek worden de recidiversgegevens ingedeeld op simulatietype:

• Alle
• Malware-bijlage
• Koppeling naar malware
• Referentieoogst
• Koppeling in bijlagen
• Drive-by-URL

Als u Recidivistenrapport weergeven selecteert, gaat u naar het tabblad Recidivisten voor het rapport Aanvalssimulatie.

Invloed op gedrag op de kaart met de inbreukfrequentie

De kaart Gedragsimpact op de tabbladen Overzicht en Rapporten laat zien hoe uw gebruikers op uw simulaties hebben gereageerd in vergelijking met de historische gegevens in Microsoft 365. U kunt deze inzichten gebruiken om de voortgang van de bedreigingsgereedheid van gebruikers bij te houden door meerdere simulaties uit te voeren voor dezelfde groepen gebruikers.

De grafiekgegevens bevatten de volgende informatie:

• Werkelijke mate van inbreuk: het werkelijke percentage personen dat is gecompromitteerd door de simulatie (werkelijke gebruikers gecompromitteerd/totaal aantal gebruikers in uw organisatie dat de simulatie heeft ontvangen).
• Voorspelde inbreukfrequentie: historische gegevens in Microsoft 365 die het percentage mensen voorspellen dat door deze simulatie wordt gecompromitteerd. Zie Voorspelde inbreukpercentage voor meer informatie over de voorspelde inbreukfrequentie (PCR).

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, worden de werkelijke percentagewaarden weergegeven.

Als u een gedetailleerd rapport wilt bekijken, selecteert u Simulaties en trainingseffectiviteitsrapport weergeven. Dit rapport wordt verderop in dit artikel uitgelegd.

Rapport over aanvalssimulatie

U kunt het rapport Aanvalssimulatie openen op het tabblad Overzicht door weergave ... rapportacties die beschikbaar zijn op sommige kaarten op de tabbladen Overzicht en Rapporten die in dit artikel worden beschreven. Als u rechtstreeks naar de rapportpagina aanvalssimulatie wilt gaan, gebruikt u https://security.microsoft.com/attacksimulationreport

Tabblad Effectiviteit van training voor het rapport Aanvalssimulatie

Het tabblad Werkzaamheid trainen is standaard geselecteerd op de rapportpagina Aanvalssimulatie . Dit tabblad bevat dezelfde informatie die beschikbaar is in de kaart Gedragsimpact op inbreukfrequentie , met aanvullende context van de simulatie zelf.

In de grafiek ziet u het percentage werkelijke inbreuk en het percentage voorspelde compromissen. Als u de muisaanwijzer op een sectie in de grafiek plaatst, worden de werkelijke percentagewaarden voor weergegeven.

In de detailtabel onder de grafiek ziet u de volgende informatie. U kunt de simulaties sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd.

• Simulatienaam
• Simulatietechniek
• Simulatietactieken
• Voorspelde gecompromitteerde snelheid
• Werkelijke gecompromitteerde snelheid
• Totaal aantal gebruikers dat is getarget
• Aantal gebruikers waarop is geklikt

Gebruik het zoekvak om de resultaten te filteren op simulatienaam of simulatietechniek. Jokertekens worden niet ondersteund.

Gebruik de knop Rapport exporteren om de gegevens op te slaan in een CSV-bestand. De standaardnaam is Aanvalssimulatierapport - Microsoft Defender.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld Rapport aanvalssimulatie - Microsoft Defender (1).csv).

Tabblad Gebruikersdekking voor het rapport Aanvalssimulatie

Op het tabblad Gebruikersdekking toont de grafiek gesimuleerde gebruikers en niet-gesimuleerde gebruikers. Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, worden de werkelijke waarden weergegeven.

In de detailtabel onder de grafiek ziet u de volgende informatie. U kunt de gegevens sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd.

• Gebruikersnaam
• E-mailadres
• Opgenomen in simulatie
• Datum van laatste simulatie
• Laatste simulatieresultaat
• Aantal geklikte
• Aantal gecompromitteerde

Gebruik het vak Zoeken om de resultaten te filteren op gebruikersnaam of Email adres. Jokertekens worden niet ondersteund.

Gebruik de knop Rapport exporteren om de gegevens op te slaan in een CSV-bestand. De standaardnaam is Aanvalssimulatierapport - Microsoft Defender.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld Rapport aanvalssimulatie - Microsoft Defender (1).csv).

Tabblad Training voltooid voor het rapport Aanvalssimulatie

Op het tabblad Training voltooid toont de grafiek het aantal voltooide, in uitvoering enonvolledige simulaties. Als u de muisaanwijzer op een sectie in de grafiek plaatst, worden de werkelijke waarden weergegeven.

In de detailtabel onder de grafiek ziet u de volgende informatie. U kunt de gegevens sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd.

• Gebruikersnaam
• E-mailadres
• Opgenomen in simulatie
• Datum van laatste simulatie
• Laatste simulatieresultaat
• Naam van meest recent voltooide training
• Datum voltooid
• Alle trainingen

Selecteer Filteren om de grafiek- en detailtabel te filteren op de statuswaarden van de trainingen: Voltooid, Wordt uitgevoerd of Alles.

Wanneer u klaar bent met het configureren van de filters, selecteert u Filters toepassen, Annuleren of Wissen.

Gebruik het vak Zoeken om de resultaten te filteren op gebruikersnaam of Email adres. Jokertekens worden niet ondersteund.

Als u de knop Rapport exporteren selecteert, wordt de voortgang van het genereren van rapporten weergegeven als een percentage van voltooid. In het dialoogvenster dat wordt geopend, kunt u ervoor kiezen om het .csv-bestand te openen, het .csv bestand op te slaan en de selectie te onthouden.

Tabblad Herhaalde overtreders voor het rapport Aanvalssimulatie

Een recidief is een gebruiker die is gecompromitteerd door opeenvolgende simulaties. Het standaard aantal opeenvolgende simulaties is twee, maar u kunt de waarde wijzigen op het tabblad Instellingen van training voor aanvalssimulatie op https://security.microsoft.com/attacksimulator?viewid=setting. Zie De drempelwaarde voor recidivisten configureren voor meer informatie.

Op het tabblad Recidivisten ziet u in de grafiek het aantal recidivisten en gesimuleerde gebruikers.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, worden de werkelijke waarden weergegeven.

In de detailtabel onder de grafiek ziet u de volgende informatie. U kunt de gegevens sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd.

• Gebruiker: naam van de gebruiker.

• Simulatietypen: type simulaties waarbij de gebruiker betrokken was.

• Simulaties: naam van simulaties waarbij de gebruiker betrokken was.

• Email adres: Email adres van de gebruiker.

• Laatste aantal herhalingen: laatste aantal compromissen voor gebruikers die zijn gecategoriseerd als recidivisten. Als de drempelwaarde voor recidief bijvoorbeeld is ingesteld op 3 en een gebruiker is gecompromitteerd in drie opeenvolgende simulaties, is het meest recente aantal herhalingen 3. Als de gebruiker in vier opeenvolgende simulaties is gecompromitteerd, is het laatste aantal herhalingen 4. Als de gebruiker is gecompromitteerd in 2 opeenvolgende simulaties, dan is de waarde N/B. Het meest recente aantal herhalingen wordt ingesteld op 0 (N/B), telkens wanneer een recidiversvlag opnieuw wordt ingesteld (wat betekent dat de gebruiker een simulatie doorgeeft).

• Herhaalde overtredingen: bevat het aantal keren dat een gebruiker is geclassificeerd als recidivisten. Bijvoorbeeld:

  • De gebruiker is geclassificeerd als recidivisten in de eerste paar simulaties (ze zijn drie opeenvolgende keren gecompromitteerd, waarbij de drempelwaarde voor recidivisten 2 is).
  • De gebruiker is geclassificeerd als 'schoon' na het doorgeven van een simulatie.
  • De gebruiker is geclassificeerd als recidivisten in de volgende simulaties (ze zijn 4 opeenvolgende keren gecompromitteerd, waarbij de drempelwaarde voor recidivisten 2 is).

  In deze gevallen wordt het aantal herhalingsdelicten ingesteld op 2. Het aantal wordt telkens bijgewerkt wanneer een gebruiker wordt beschouwd als een recidivistent.

• Naam van achtersimulatie

• Laatste simulatieresultaat

• Laatste training toegewezen

• Laatste trainingsstatus

Selecteer Filteren om de grafiek- en detailtabel te filteren op een of meer simulatietypewaarden:

• Referentieoogst
• Malware-bijlage
• Koppeling in bijlage
• Koppeling naar malware

Wanneer u klaar bent met het configureren van de filters, selecteert u Filters toepassen, Annuleren of Wissen.

Gebruik het vak Zoeken om de resultaten te filteren op een van de kolomwaarden. Jokertekens worden niet ondersteund.

Gebruik de knop Rapport exporteren om de gegevens op te slaan in een CSV-bestand. De standaardnaam is Aanvalssimulatierapport - Microsoft Defender.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld Rapport aanvalssimulatie - Microsoft Defender (1).csv).

Simulatierapport in training voor aanvalssimulatie

Het simulatierapport toont de details van actieve of voltooide simulaties (de statuswaarde is In uitvoering of Voltooid). Gebruik een van de volgende methoden om het simulatierapport weer te geven:

• Selecteer op het tabblad Overzicht van de pagina training voor aanvalssimulatie op https://security.microsoft.com/attacksimulator?viewid=overvieween simulatie op de kaart Recente simulaties.

  

• Selecteer op het tabblad Simulaties van de pagina training voor aanvalssimulatie op https://security.microsoft.com/attacksimulator?viewid=simulationseen simulatie door ergens in de rij te klikken, behalve het selectievakje naast de naam. Zie Simulatierapporten weergeven voor meer informatie.

  • Selecteer op het tabblad Training van de pagina training voor aanvalssimulatie de https://security.microsoft.com/attacksimulator?viewid=trainingcampaigntrainingscampagne met behulp van een van de volgende methoden:
  • Klik op een andere plaats in de rij dan het selectievakje naast de naam.
  • Schakel het selectievakje naast de naam in en selecteer rapport weergeven.

  Zie Trainingscampagnerapporten weergeven voor meer informatie.

De rapportpagina die wordt geopend, bevat de tabbladen Rapport, **Gebruikers en Details met informatie over de simulatie. In de rest van deze sectie worden de inzichten en rapporten beschreven die beschikbaar zijn op het tabblad Rapport .

De secties op het tabblad Rapport voor een simulatie worden beschreven in de volgende subsecties.

Zie de volgende koppelingen voor meer informatie over de tabbladen Gebruikers en Details .

• Simulaties:
  • Tabblad Gebruikers
  • Tabblad Details
• Trainingscampagnes:
  • Tabblad Gebruikers
  • Tabblad Details

Rapportage voor QR-codesimulaties

U kunt nettoladingen van QR-code selecteren om te gebruiken in simulaties. De QR-code vervangt de phishing-URL als de nettolading die wordt gebruikt in het e-mailbericht van de simulatie. Zie NETTOLADINGEN VAN QR-code voor meer informatie.

Omdat QR-codes een ander type phishing-URL zijn, blijven gebruikersevenementen rond lees-, verwijder-, inbreuk- en klik-gebeurtenissen hetzelfde. Als u bijvoorbeeld de QR-code scant, wordt de phishing-URL geopend, zodat de gebeurtenis wordt bijgehouden als een klikgebeurtenis. De bestaande mechanismen voor het bijhouden van compromissen, verwijderingen en rapport-gebeurtenissen blijven hetzelfde.

Als u een simulatierapport exporteert naar een CSV-bestand, is de kolom EmailLinkClicked_ClickSource beschikbaar met de volgende waarden:

• PhishingURL: de gebruiker heeft op de phishingkoppeling in het e-mailbericht van de simulatie geklikt.
• QRCode: De gebruiker heeft de QR-code in het e-mailbericht met simulatie gescand.

Andere metrische gegevens, zoals leesbewerkingen, compromissen, verwijderingen en gerapporteerde berichten, worden nog steeds bijgehouden zonder extra updates. Zie de sectie Bijlage verderop in dit artikel voor meer informatie.

Simulatierapport voor simulaties

In deze sectie worden de informatie in het simulatierapport voor reguliere simulaties (geen trainingscampagnes) beschreven.

Simulatie-impactsectie in het rapport voor simulaties

De sectie Simulatie-impact op het tabblad Rapport ** voor een simulatie toont het aantal en het percentage gecompromitteerde gebruikers en gebruikers die het bericht hebben gerapporteerd .

Als u de muisaanwijzer op een sectie in de grafiek plaatst, worden de werkelijke getallen voor elke categorie weergegeven.

Selecteer Gecompromitteerde gebruikers weergeven om naar het tabblad Gebruikers in het rapport te gaan, waar de resultaten worden gefilterd op Gecompromitteerd: Ja.

Selecteer Gebruikers weergeven die hebben gerapporteerd om naar het tabblad Gebruikers in het rapport te gaan, waar de resultaten worden gefilterd op Gerapporteerd bericht: Ja.

Alle gebruikersactiviteitssectie in het rapport voor simulaties

In de sectie Alle gebruikersactiviteit op het tabblad Rapport ** voor een simulatie worden getallen weergegeven voor de mogelijke resultaten van de simulatie. De informatie varieert op basis van het simulatietype. Bijvoorbeeld:

• Op berichtkoppeling of bijlagekoppeling geklikt of Bijlage geopend
• Opgegeven referenties
• Bericht lezen
• Bericht verwijderd
• Antwoord op bericht
• Doorgestuurd bericht
• Afwezigheid

Selecteer Alle gebruikers weergeven om naar het tabblad Gebruikers in het rapport te gaan waar de resultaten niet zijn gefilterd.

Sectie Leveringsstatus in het rapport voor simulaties

De sectie Bezorgingsstatus op het tabblad Rapport ** voor een simulatie toont de getallen voor de mogelijke bezorgingsstatussen voor het simulatiebericht. Bijvoorbeeld:

• Bericht is ontvangen
• Positieve versterkingsbericht afgeleverd
• Alleen simulatiebericht bezorgd

Selecteer Gebruikers weergeven aan wie de berichtbezorging is mislukt om naar het tabblad Gebruikers in het rapport te gaan, waar de resultaten worden gefilterd op bezorging van simulatieberichten: kan niet worden afgeleverd.

Selecteer Uitgesloten gebruikers of groepen weergeven om een flyout uitgesloten gebruikers of groepen te openen met de gebruikers of groepen die zijn uitgesloten van de simulatie.

Sectie Training voltooid in het rapport voor simulaties

In de sectie Training voltooid op de pagina met simulatiedetails ziet u welke trainingen vereist zijn voor de simulatie en hoeveel gebruikers de trainingen hebben voltooid.

Als er geen trainingen zijn opgenomen in de simulatie, is de enige waarde in deze sectie Trainings maakten geen deel uit van deze simulatie.

Eerste & sectie gemiddelde instantie in het rapport voor simulaties

De sectie Eerste & gemiddelde exemplaar op het tabblad Rapport ** voor een simulatie bevat informatie over de tijd die nodig was om specifieke acties in de simulatie uit te voeren. Bijvoorbeeld:

• Op de eerste koppeling is geklikt
• Gem. op de koppeling geklikt
• Eerste ingevoerde referentie
• Gem. ingevoerde referentie

Sectie Aanbevelingen in het rapport voor simulaties

De sectie Aanbevelingen op het tabblad Rapport** voor een simulatie bevat aanbevelingen voor het gebruik van training voor aanvalssimulatie om uw organisatie te beveiligen.

Simulatierapport voor trainingscampagnes

In deze sectie worden de informatie in het simulatierapport voor trainingscampagnes (geen simulaties) beschreven.

Sectie Over de voltooiing van de training in het rapport voor trainingscampagnes

De sectie Training voltooid classificatie op het tabblad Rapport ** voor een trainingscampagne bevat informatie over de voltooide trainingsmodules in de trainingscampagne.

Overzicht van de voltooiing van de training in het rapport voor trainingscampagnes

In de sectie Overzicht van trainingsvoltooiing op het tabblad Rapport ** voor een trainingscampagne worden staafdiagrammen gebruikt die de voortgang van toegewezen gebruikers in alle trainingsmodules in de campagne weergeven (aantal gebruikers/totaal aantal gebruikers):

• Volbracht
• Wordt uitgevoerd
• Niet gestart
• Niet voltooid
• Eerder toegewezen

U kunt de muisaanwijzer over een sectie in de grafiek bewegen om het werkelijke percentage in elke categorie te bekijken.

Alle gebruikersactiviteiten in het rapport voor trainingscampagnes

In de sectie Alle gebruikersactiviteit op het tabblad Rapport ** voor een trainingscampagne wordt een staafdiagram gebruikt om te laten zien hoe belangrijke personen een trainingsmelding hebben ontvangen (aantal gebruikers/totaal aantal gebruikers).

U kunt de muisaanwijzer over een sectie in de grafiek bewegen om de werkelijke getallen in elke categorie te bekijken.

Bijlage

Wanneer u gegevens uit de rapporten exporteert, bevat het CSV-bestand meer informatie dan wat in het rapport wordt weergegeven, zelfs als alle kolommen worden weergegeven. De velden worden beschreven in de volgende tabel.

Tip

Controleer voor maximale informatie of alle beschikbare kolommen in het rapport zichtbaar zijn voordat u exporteert.

Veldnaam	Beschrijving
Gebruikersnaam	Gebruikersnaam van de gebruiker die de activiteit heeft gedaan.
UserMail	Email adres van de gebruiker die de activiteit heeft gedaan.
Gecompromitteerd	Geeft aan of de gebruiker is gehackt. Waarden zijn Ja of Nee.
AttachmentOpened_TimeStamp	Wanneer de nettolading van de bijlage werd geopend in Simulaties van malwarebijlagen .
AttachmentOpened_Browser	Wanneer de nettolading van de bijlage werd geopend in een webbrowser in Simulaties van malwarebijlagen . Deze informatie is afkomstig van UserAgent.
AttachmentOpened_IP	Het IP-adres waar de nettolading van de bijlage is geopend in simulaties van malwarebijlagen . Deze informatie is afkomstig van UserAgent.
AttachmentOpened_Device	Het apparaat waarop de nettolading van de bijlage is geopend in simulaties van malwarebijlagen . Deze informatie is afkomstig van UserAgent.
AttachmentLinkClicked_TimeStamp	Wanneer op de nettolading van de bijlagekoppeling is geklikt in Koppeling in bijlagesimulaties .
AttachmentLinkClicked_Browser	De webbrowser die is gebruikt om te klikken op de nettolading van de bijlagekoppeling in Koppeling in bijlagesimulaties . Deze informatie is afkomstig van UserAgent.
AttachmentLinkClicked_IP	Het IP-adres waarop op de nettolading van de bijlagekoppeling is geklikt in Koppeling in bijlagesimulaties . Deze informatie is afkomstig van UserAgent.
AttachmentLinkClicked_Device	Het apparaat waarop op de nettolading van de bijlagekoppeling is geklikt in Koppeling in bijlagesimulaties . Deze informatie is afkomstig van UserAgent.
EmailLinkClicked_TimeStamp	Wanneer op de nettolading van de koppeling is geklikt in Referentieoogst, Koppeling met malware, Drive-by-url en OAuth Consent Grant-simulaties .
EmailLinkClicked_Browser	De webbrowser die is gebruikt om te klikken op de nettolading van de koppeling in Credential Harvest, Koppeling naar malware, Drive-by-URL en OAuth Consent Grant-simulaties . Deze informatie is afkomstig van UserAgent.
EmailLinkClicked_IP	Het IP-adres waarop op de nettolading van de koppeling is geklikt in Credential Harvest, Link to Malware, Drive-by-URL en OAuth Consent Grant-simulaties . Deze informatie is afkomstig van UserAgent.
EmailLinkClicked_Device	Het apparaat waarop op de nettolading van de koppeling is geklikt in Credential Harvest, Koppeling met malware, Drive-by-URL en OAuth Consent Grant-simulaties . Deze informatie is afkomstig van UserAgent.
EmailLinkClicked_ClickSource	Of de nettoladingkoppeling is geselecteerd door op een URL te klikken of een QR-code te scannen in Credential Harvest, Koppeling met malware, Drive-by-url en OAuth Consent Grant-simulaties . Waarden zijn PhishingURL of QRCode.
CredSupplied_TimeStamp(Gecompromitteerd)	Wanneer de gebruiker zijn of haar referenties heeft ingevoerd.
CredSupplied_Browser	De webbrowser die is gebruikt toen de gebruiker zijn referenties invoerde. Deze informatie is afkomstig van UserAgent.
CredSupplied_IP	Het IP-adres waar de gebruiker zijn referenties heeft ingevoerd. Deze informatie is afkomstig van UserAgent.
CredSupplied_Device	Het apparaat waarop de gebruiker zijn referenties heeft ingevoerd. Deze informatie is afkomstig van UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Wanneer het e-mailbericht van de simulatie aan de gebruiker is bezorgd.
MessageRead_TimeStamp	Wanneer het simulatiebericht is gelezen.
MessageDeleted_TimeStamp	Wanneer het simulatiebericht is verwijderd.
MessageReplied_TimeStamp	Wanneer de gebruiker heeft gereageerd op het simulatiebericht.
MessageForwarded_TimeStamp	Wanneer de gebruiker het simulatiebericht heeft doorgestuurd.
OutOfOfficeDays	Bepaalt of de gebruiker afwezig is. Deze informatie is afkomstig van de instelling Automatische antwoorden in Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Wanneer het positieve versterkingsbericht aan de gebruiker is bezorgd.
PositiveReinforcementMessageFailed_TimeStamp	Wanneer het positieve versterkingsbericht niet bij de gebruiker is bezorgd.
JustSimulationMessageDelivered_TimeStamp	Wanneer het simulatiebericht aan de gebruiker is bezorgd als onderdeel van een simulatie waaraan geen trainingen zijn toegewezen (er is geen training geselecteerd op de pagina Training toewijzen van de nieuwe simulatiewizard).
JustSimulationMessageFailed_TimeStamp	Wanneer het e-mailbericht van de simulatie niet is bezorgd bij de gebruiker en er geen trainingen aan de simulatie zijn toegewezen.
TrainingAssignmentMessageDelivered_TimeStamp	Wanneer het bericht van de trainingstoewijzing aan de gebruiker is bezorgd. Deze waarde is leeg als er geen trainingen zijn toegewezen in de simulatie.
TrainingAssignmentMessageFailed_TimeStamp	Wanneer het bericht over de trainingstoewijzing niet bij de gebruiker is bezorgd. Deze waarde is leeg als er geen trainingen zijn toegewezen in de simulatie.
FailedToDeliverEmail_TimeStamp	Wanneer het e-mailbericht van de simulatie niet bij de gebruiker is bezorgd.
Laatste simulatieactiviteit	De laatste simulatieactiviteit van de gebruiker (ongeacht of deze is geslaagd of gecompromitteerd).
Toegewezen trainingen	De lijst met trainingen die aan de gebruiker zijn toegewezen als onderdeel van de simulatie.
Voltooide trainingen	De lijst met trainingen die door de gebruiker zijn voltooid als onderdeel van de simulatie.
Trainingsstatus	De huidige status van trainingen voor de gebruiker als onderdeel van de simulatie.
Phishing gerapporteerd op	Wanneer de gebruiker het simulatiebericht als phishing heeft gerapporteerd.
Department	De waarde van de eigenschap Afdeling van de gebruiker in Microsoft Entra ID op het moment van simulatie.
Company	De waarde van de bedrijfseigenschap van de gebruiker in Microsoft Entra ID op het moment van simulatie.
Titel	De eigenschapswaarde Titel van de gebruiker in Microsoft Entra ID op het moment van simulatie.
Kantoor	De waarde van de Office-eigenschap van de gebruiker in Microsoft Entra ID op het moment van simulatie.
Plaats	De waarde van de eigenschap Plaats van de gebruiker in Microsoft Entra ID op het moment van simulatie.
Land	De waarde van de eigenschap Land van de gebruiker in Microsoft Entra ID op het moment van simulatie.
Directeur	De waarde van de eigenschap Manager van de gebruiker in Microsoft Entra ID op het moment van simulatie.

In de volgende tabel wordt beschreven hoe signalen van gebruikersactiviteit worden vastgelegd.

Veld	Beschrijving	Berekeningslogica
DownloadAttachment	Een gebruiker heeft de bijlage gedownload.	Het signaal is afkomstig van de client (bijvoorbeeld Outlook of Word).
Geopende bijlage	Een gebruiker heeft de bijlage geopend.	Het signaal is afkomstig van de client (bijvoorbeeld Outlook of Word).
Bericht lezen	De gebruiker heeft het simulatiebericht gelezen.	Signalen voor het lezen van berichten kunnen problemen ondervinden in de volgende scenario's: De gebruiker heeft het bericht gerapporteerd als phishing in Outlook zonder het leesvenster te verlaten en Items markeren als gelezen bij weergave in het leesvenster was niet geconfigureerd (standaard). De gebruiker heeft het ongelezen bericht gerapporteerd als phishing in Outlook, het bericht is verwijderd en Berichten markeren als gelezen bij verwijderen is niet geconfigureerd (standaard).
Afwezigheid	Bepaalt of de gebruiker afwezig is.	Momenteel berekend door de instelling Automatische antwoorden vanuit Outlook.
Gecompromitteerde gebruiker	De gebruiker is gecompromitteerd. Het compromissignaal varieert op basis van de social engineering-techniek.	Referentieoogst: de gebruiker heeft zijn referenties ingevoerd op de aanmeldingspagina (referenties worden niet opgeslagen door Microsoft).¹ Malware-bijlage: de gebruiker heeft de nettoladingbijlage geopend en Bewerken inschakelen geselecteerd in de beveiligde weergave. Koppeling in bijlage: de gebruiker heeft de bijlage geopend en zijn referenties ingevoerd nadat hij op de nettoladingkoppeling heeft geklikt. Koppeling naar malware: de gebruiker heeft op de nettoladingkoppeling geklikt en zijn/haar referenties ingevoerd. Drive by URL: de gebruiker heeft op de nettoladingkoppeling geklikt (het invoeren van referenties is niet vereist).¹ OAuth-toestemming verlenen: de gebruiker heeft op de nettoladingkoppeling geklikt en de prompt om machtigingen te delen geaccepteerd.¹
Op berichtkoppeling geklikt	De gebruiker heeft op de nettoladingkoppeling in het simulatiebericht geklikt.	De URL in de simulatie is uniek voor elke gebruiker, waardoor afzonderlijke gebruikersactiviteiten kunnen worden bijgehouden. Filterservices van derden of het doorsturen van e-mail kunnen leiden tot fout-positieven. Zie Ik zie klikken of inbreuk op gebeurtenissen van gebruikers die erop staan dat ze niet op de koppeling in het simulatiebericht hebben geklikt of ik zie klikken binnen een paar seconden na levering voor veel gebruikers (fout-positieven). Wat gebeurt er?
Doorgestuurd bericht	De gebruiker heeft het bericht doorgestuurd.
Antwoord op bericht	De gebruiker heeft op het bericht gereageerd.
Bericht verwijderd	De gebruiker heeft het bericht verwijderd.	Het signaal is afkomstig van de Outlook-activiteit van de gebruiker. Als de gebruiker het bericht als phishing meldt, wordt het bericht mogelijk verplaatst naar de map Verwijderde items, die wordt geïdentificeerd als een verwijdering.
Verleende machtigingen	De gebruiker heeft machtigingen gedeeld in een OAuth Consent Grant-simulatie .

¹ De geklikte koppeling kan een geselecteerde URL of een gescande QR-code zijn.

Gerelateerde koppelingen

Aan de slag met aanvalssimulatietraining

Een simulatie van een phishing-aanval maken

een nettolading maken voor het trainen van uw mensen