Аналитика и отчеты для обучения симуляции атак

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 2

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В рамках обучения моделированию атак в Microsoft Defender для Office 365 (план 2) или Microsoft 365 E5 корпорация Майкрософт предоставляет аналитические сведения и отчеты по результатам моделирования и соответствующие учебные курсы. Эта информация информирует вас о ходе подготовки пользователей к угрозам и рекомендует дальнейшие действия для лучшей подготовки пользователей к будущим атакам.

Аналитические сведения и отчеты доступны в следующих местах на странице обучения имитации атак на портале Microsoft Defender:

• Идеи:
  • Вкладка Обзор на странице https://security.microsoft.com/attacksimulator?viewid=overview.
  • Вкладка Отчеты в https://security.microsoft.com/attacksimulator?viewid=reports.
• Отчеты:
  • Страница отчета об имитации атак по адресу https://security.microsoft.com/attacksimulationreport:
    • Вкладка "Эффективность обучения"
    • Вкладка "Охват пользователей"
    • Вкладка "Завершение обучения"
    • Вкладка "Повторные правонарушители"
  • Отчеты о ходе и завершенных симуляциях и обучающих кампаниях. Дополнительные сведения см. в статье Отчет об имитации атак.

В оставшейся части этой статьи описаны отчеты и аналитические сведения для обучения симуляции атак.

Сведения о подготовке к работе с имитацией атак см. в статье Начало работы с обучением симуляции атак.

Аналитические сведения на вкладках "Обзор" и "Отчеты" в обучении по имитации атак

Чтобы перейти на вкладку Обзор, откройте портал Microsoft Defender по адресу , перейдите в https://security.microsoft.comраздел Электронная почта & обучениесимуляции атак совместной работы>:

• Вкладка Обзор. Убедитесь, что выбрана вкладка Обзор (по умолчанию). Или, чтобы перейти непосредственно на вкладку Обзор , используйте https://security.microsoft.com/attacksimulator?viewid=overview.
• Вкладка Отчеты. Выберите вкладку Отчеты. Или, чтобы перейти непосредственно на вкладку Отчеты, используйте https://security.microsoft.com/attacksimulationreport.

Распределение аналитических сведений на вкладках описано в следующей таблице:

Отчет	Вкладка "Обзор"	Вкладка "Отчеты"
Карточка последних симуляций	✔
Карточка рекомендаций	✔
Карта покрытия имитации	✔	✔
Карточка завершения обучения	✔	✔
Карточка "Повторные правонарушители"	✔	✔
Влияние поведения на карту ставки компрометации	✔	✔

В оставшейся части этого раздела описываются сведения, доступные на вкладках Обзор и Отчеты обучения имитации атак.

Карточка последних симуляций

На карточке Последние симуляции на вкладке Обзор отображаются последние три симуляции, созданные или запущенные в организации.

Для просмотра сведений можно выбрать имитацию.

Выбрав Просмотреть все симуляции, вы перейдете на вкладку Симуляции .

При выборе параметра Запустить симуляцию запускается новый мастер моделирования. Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Карточка рекомендаций

На карточке Рекомендации на вкладке Обзор предлагаются различные типы симуляции для выполнения.

При выборе параметра Запустить теперь запускается мастер моделирования с указанным типом имитации, автоматически выбранным на странице Выбор метода . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Карта покрытия имитации

На карточке покрытия имитации на вкладках Обзор и Отчеты отображается процент пользователей в организации, которые получили симуляцию (имитированные пользователи), и пользователей, которые не получили имитацию (неимитированные пользователи). Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.

Если выбрать Просмотреть отчет о покрытии симуляции , вы перейдете на вкладку Охват пользователя для отчета об имитации атак.

При выборе запуска имитации для неимитированных пользователей запускается мастер моделирования, в котором пользователи, которые не получили имитацию, автоматически выбираются на странице Целевой пользователь . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Карточка завершения обучения

Карточка завершения обучения на вкладках Обзор и Отчеты упорядочивает процент пользователей, прошедших обучение, на основе результатов моделирования, в следующие категории:

• Выполнено
• Выполняется
• Неполный

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.

Если выбрать Просмотреть отчет о завершении обучения , вы перейдете на вкладку Завершение обучения для отчета о симуляции атаки.

Карточка "Повторные правонарушители"

На карточке "Повторные правонарушители" на вкладках "Обзор" и "Отчеты" отображается информация о повторных правонарушителях. Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но можно изменить значение на вкладке Параметры обучения имитации атак по адресу https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.

Диаграмма упорядочивает данные о повторных нарушителях по типу моделирования:

• Все
• Вложение вредоносных программ
• Ссылка на вредоносные программы
• Сбор учетных данных
• Ссылка во вложениях
• URL-адрес диска

Если выбрать Просмотреть отчет о повторяющихся правонарушителях , вы перейдете на вкладку Повторные правонарушители для отчета о симуляции атак.

Влияние поведения на карту ставки компрометации

В карточке Влияние поведения на скорость компрометации на вкладках Обзор и Отчеты показано, как ваши пользователи отреагировали на симуляции по сравнению с историческими данными в Microsoft 365. Эти аналитические сведения можно использовать для отслеживания хода подготовки пользователей к угрозам путем выполнения нескольких симуляций для одной и той же группы пользователей.

На диаграмме отображаются следующие сведения:

• Фактическая частота компрометации. Фактический процент пользователей, которые были скомпрометированы имитацией (фактические пользователи скомпрометировали / общее число пользователей в организации, которые получили имитацию).
• Прогнозируемая скорость компрометации. Исторические данные в Microsoft 365, которые предсказывают процент людей, которые будут скомпрометированы в связи с этим моделированием. Дополнительные сведения о прогнозируемой скорости компрометации (PCR) см. в разделе Прогнозируемая скорость компрометации.

При наведении указателя мыши на точку данных на диаграмме отображаются фактические процентные значения.

Чтобы просмотреть подробный отчет, выберите Просмотреть отчет об эффективности моделирования и обучения. Этот отчет описан далее в этой статье.

Отчет о симуляции атак

Отчет о симуляции атак можно открыть на вкладке Обзор, выбрав вид ... действия отчета, доступные на некоторых карточках на вкладках Обзор и Отчеты, описанных в этой статье. Чтобы перейти непосредственно на страницу отчета об имитации атак , используйте https://security.microsoft.com/attacksimulationreport

Вкладка "Эффективность обучения" для отчета о симуляции атак

Вкладка Эффективность обучения выбрана по умолчанию на странице отчета об имитации атак . Эта вкладка содержит те же сведения, что и в карточке Влияние поведения на компрометацию, с дополнительным контекстом из самого моделирования.

На диаграмме показаны фактическая скорость компрометации и прогнозируемая скорость компрометации. При наведении указателя мыши на раздел диаграммы отображаются фактические процентные значения для.

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать имитации, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

• Имя имитации
• Метод моделирования
• Тактика моделирования
• Прогнозируемые скомпрометированные показатели
• Фактическая скомпрометированная скорость
• Общее число целевых пользователей
• Число пользователей, щелкнув

Используйте поле Поиск, чтобы отфильтровать результаты по имени имитации или методу моделирования. Подстановочные знаки не поддерживаются.

Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).

Вкладка "Охват пользователей" для отчета об имитации атак

На вкладке Охват пользователей на диаграмме показаны имитированные пользователи и неимитированные пользователи. При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

• Username
• Адрес электронной почты
• Входит в симуляцию
• Дата последнего моделирования
• Последний результат моделирования
• Количество щелчков
• Число скомпрометированных

Используйте поле Поиск, чтобы отфильтровать результаты по имени пользователя или адресу электронной почты. Подстановочные знаки не поддерживаются.

Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).

Вкладка "Завершение обучения" для отчета об имитации атаки

На вкладке Завершение обучения на диаграмме показано количество симуляций Завершено, Выполняется и Не завершено . При наведении указателя мыши на раздел диаграммы отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

• Username
• Адрес электронной почты
• Входит в симуляцию
• Дата последнего моделирования
• Последний результат моделирования
• Имя последнего завершенного обучения
• Дата завершения
• Все учебные курсы

Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по значениям состояния обучения: Завершено, Выполняется или Все.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Используйте поле Поиск, чтобы отфильтровать результаты по имени пользователя или адресу электронной почты. Подстановочные знаки не поддерживаются.

Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.

Вкладка "Повторные нарушители" для отчета о симуляции атак

Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но можно изменить значение на вкладке Параметры обучения имитации атак по адресу https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.

На вкладке Повторные правонарушители на диаграмме показано количество пользователей с повторными правонарушителями и имитированных пользователей.

При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

• Пользователь
• Типы моделирования
• Моделирования
• Адрес электронной почты
• Число последних повторов
• Повторные преступления
• Последнее имя имитации
• Последний результат моделирования
• Назначено последнее обучение
• Состояние последнего обучения

Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по одному или нескольким значениям типа имитации:

• Сбор учетных данных
• Вложение вредоносных программ
• Ссылка во вложении
• Ссылка на вредоносные программы

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Используйте поле Поиск, чтобы отфильтровать результаты по любому из значений столбцов. Подстановочные знаки не поддерживаются.

Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).

Отчет по симуляции в обучении симуляции атак

В отчете об имитации отображаются сведения о выполняющемся или завершенном симуляции (значение Состояниевыполняется или Завершено). Чтобы просмотреть отчет об имитации, используйте любой из следующих методов:

• На вкладке Обзор страницы обучения симуляции атак выберите https://security.microsoft.com/attacksimulator?viewid=overviewимитацию из карточки Последние имитации.

  

• На вкладке Имитация страницыобучения имитации атак выберите https://security.microsoft.com/attacksimulator?viewid=simulationsимитацию, щелкнув в любом месте строки, кроме флажка рядом с именем. Дополнительные сведения см. в разделе Просмотр отчетов о симуляции.

  • На вкладке Обучение на странице Обучение симуляции атак выберите https://security.microsoft.com/attacksimulator?viewid=trainingcampaignкампанию обучения с помощью любого из следующих методов:
  • Щелкните в любом месте строки, кроме флажка рядом с именем.
  • Установите флажок рядом с именем и выберите Просмотреть отчет.

  Дополнительные сведения см. в разделе Просмотр отчетов о кампании обучения.

Открывающаяся страница отчета содержит вкладки Отчет, **Пользователи и Сведения , содержащие сведения о имитации. В оставшейся части этого раздела описаны аналитические сведения и отчеты, доступные на вкладке Отчет .

Разделы на вкладке Отчет для имитации описаны в следующих подразделах.

Дополнительные сведения о вкладках Пользователи и Сведения см. по следующим ссылкам.

• Моделирования:
  • Вкладка "Пользователи"
  • Вкладка "Сведения"
• Учебные кампании:
  • Вкладка "Пользователи"
  • Вкладка "Сведения"

Отчет по симуляции для моделирования

В этом разделе описываются сведения в отчете об имитации для регулярных симуляций (не обучающих кампаний).

Раздел влияния на имитацию в отчете для моделирования

В разделе Влияние имитации на вкладке Отчет ** для имитации показано количество и процент скомпрометированных пользователей и пользователей, которые сообщили сообщение.

При наведении указателя мыши на раздел диаграммы отображаются фактические числа для каждой категории.

Выберите Просмотреть скомпрометированных пользователей , чтобы перейти на вкладку Пользователи в отчете, где результаты фильтруются по компрометации: Да.

Выберите Просмотр пользователей, которые сообщили, что нужно перейти на вкладку Пользователи в отчете, где результаты отфильтровываются по сообщению о сообщении: Да.

Раздел "Все действия пользователя" в отчете для моделирования

В разделе Все действия пользователя на вкладке Отчет ** для имитации отображаются числа возможных результатов моделирования. Сведения зависят от типа моделирования. Например:

• Щелкнув ссылку на сообщение или щелкнув ссылку для вложения , или вложение открыто
• Предоставленные учетные данные
• Чтение сообщения
• Deleted message (Удалено сообщение)
• Ответ на сообщение
• Пересылаемое сообщение
• Вне офиса

Выберите Просмотреть всех пользователей , чтобы перейти на вкладку Пользователи в отчете, где результаты не фильтруются.

Раздел состояния доставки в отчете для моделирования

В разделе Состояние доставки на вкладке Отчет ** для имитации отображаются номера возможных состояний доставки для сообщения имитации. Например:

• Сообщение успешно получено
• Доставлено положительное сообщение с подкреплением
• Доставлено простое сообщение имитации

Выберите Просмотр пользователей, которым не удалось выполнить доставку сообщений , перейдите на вкладку Пользователи в отчете, где результаты фильтруются по моделированию доставки сообщений: не удалось доставить.

Выберите Просмотреть исключенных пользователей или группы , чтобы открыть всплывающее окно Исключенные пользователи или группы , включающее пользователей или группы, которые были исключены из имитации.

Раздел завершения обучения в отчете для моделирования

В разделе Завершение обучения на странице сведений о симуляции показаны учебные курсы, необходимые для моделирования, и сколько пользователей завершили обучение.

Если обучение не было включено в симуляцию, единственное значение в этом разделе — Обучение не было частью этого моделирования.

Первый & раздел среднего экземпляра в отчете для моделирования

В разделе Первый & среднего экземпляра на вкладке Отчет ** для имитации отображаются сведения о времени, необходимом для выполнения определенных действий в моделировании. Например:

• Первая ссылка нажата
• Средняя щелчок по ссылке
• Первые введенные учетные данные
• Среднее значение введенных учетных данных

Раздел рекомендаций в отчете для моделирования

В разделе Рекомендации на вкладке Отчет ** для имитации приведены рекомендации по использованию обучения имитации атак для защиты организации.

Отчет по симуляции для кампаний по обучению

В этом разделе описываются сведения в отчете об имитации кампаний по обучению (не имитации).

Раздел классификации завершения обучения в отчете для кампаний по обучению

В разделе Классификация завершения обучения на вкладке Отчет ** для кампании по обучению отображаются сведения о завершенных модулях обучения в кампании Training.

Раздел сводки по завершению обучения в отчете о кампаниях по обучению

В разделе Сводка по завершению обучения на вкладке Отчет ** для кампании обучения используются линейчатые диаграммы, показывающие прогрессирование назначенных пользователей по всем модулям обучения в кампании (количество пользователей / общее число пользователей):

• Выполнено
• Выполняется
• Не запущено.
• Не завершено
• Ранее назначенный

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактический процент в каждой категории.

Раздел "Все действия пользователей" в отчете для обучающих кампаний

В разделе Все действия пользователей на вкладке Отчет ** для кампании обучения используется линейчатая диаграмма, показыв, как основные пользователи успешно получили уведомление об обучении (количество пользователей или общее число пользователей).

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактические числа в каждой категории.

Приложение

При экспорте сведений из отчетов CSV-файл содержит больше сведений, чем в отчете, даже если отображаются все столбцы. Поля описаны в следующей таблице.

Совет

Для получения максимальной информации убедитесь, что все доступные столбцы в отчете отображаются перед экспортом.

Имя поля	Описание
UserName	Имя пользователя, который выполнил действие.
UserMail	Адрес электронной почты пользователя, который выполнил действие.
Скомпрометированы	Указывает, был ли скомпрометирован пользователь. Значения: Да или Нет.
AttachmentOpened_TimeStamp	При открытии вложения.
AttachmentOpened_Browser	При открытии вложения в веб-браузере. Эти сведения поступают от UserAgent.
AttachmentOpened_IP	IP-адрес, на котором было открыто вложение. Эти сведения поступают от UserAgent.
AttachmentOpened_Device	Устройство, на котором было открыто вложение. Эти сведения поступают от UserAgent.
AttachmentLinkClicked_TimeStamp	При щелчке ссылки на вложение.
AttachmentLinkClicked_Browser	Веб-браузер, который использовался для щелчка ссылки на вложение. Эти сведения поступают от UserAgent.
AttachmentLinkClicked_IP	IP-адрес, на котором была щелкнуна ссылка для вложения. Эти сведения поступают от UserAgent.
AttachmentLinkClicked_Device	Устройство, на котором была щелкнуна ссылка на вложение. Эти сведения поступают от UserAgent.
CredSupplied_TimeStamp(скомпрометированные)	Когда пользователь ввел свои учетные данные.
CredSupplied_Browser	Веб-браузер, который использовался при вводе пользователем своих учетных данных. Эти сведения поступают от UserAgent.
CredSupplied_IP	IP-адрес, по которому пользователь ввел свои учетные данные. Эти сведения поступают от UserAgent.
CredSupplied_Device	Устройство, на котором пользователь ввел свои учетные данные. Эти сведения поступают от UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Когда сообщение электронной почты имитации было доставлено пользователю.
MessageRead_TimeStamp	Когда считывалось сообщение имитации.
MessageDeleted_TimeStamp	При удалении сообщения имитации.
MessageReplied_TimeStamp	Когда пользователь ответил на сообщение имитации.
MessageForwarded_TimeStamp	Когда пользователь переадресовал сообщение имитации.
OutOfOfficeDays	Определяет, находится ли пользователь вне офиса. Эти сведения поступают из параметра Автоматические ответы в Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Когда пользователю было доставлено положительное сообщение с подкреплением.
PositiveReinforcementMessageFailed_TimeStamp	Если не удалось доставить пользователю сообщение о положительном подкреплении.
JustSimulationMessageDelivered_TimeStamp	Когда сообщение имитации было доставлено пользователю в рамках симуляции без назначенных тренировок (не было выбрано обучение на странице Назначение обучения мастера нового моделирования).
JustSimulationMessageFailed_TimeStamp	Когда сообщение электронной почты имитации не было доставлено пользователю, и симуляция не была назначена обучение.
TrainingAssignmentMessageDelivered_TimeStamp	Когда сообщение о назначении обучения было доставлено пользователю. Это значение пусто, если в моделировании не были назначены учебные курсы.
TrainingAssignmentMessageFailed_TimeStamp	Не удалось доставить пользователю сообщение о назначении обучения. Это значение пусто, если в моделировании не были назначены учебные курсы.
FailedToDeliverEmail_TimeStamp	Если не удалось доставить пользователю сообщение электронной почты имитации.
Последнее действие моделирования	Последнее действие имитации пользователя (было ли передано или было скомпрометировано).
Назначенные учебные курсы	Список учебных занятий, назначенных пользователю в рамках имитации.
Завершенные учебные курсы	Список учебных занятий, выполненных пользователем в рамках имитации.
Состояние обучения	Текущее состояние обучения для пользователя в рамках моделирования.
Сообщается о фишинге	Когда пользователь сообщил о симуляции сообщения как фишинговом.
Отдел	Значение свойства Отдела пользователя в идентификаторе Microsoft Entra на момент моделирования.
Организация	Значение свойства Company пользователя в идентификаторе Microsoft Entra на момент моделирования.
Название	Значение свойства Title пользователя в идентификаторе Microsoft Entra во время моделирования.
Office	Значение свойства Office пользователя в идентификаторе Microsoft Entra на момент моделирования.
Город	Значение свойства City пользователя в идентификаторе Microsoft Entra на момент моделирования.
Страна	Значение свойства country пользователя в идентификаторе Microsoft Entra на момент моделирования.
Директор	Значение свойства Диспетчера пользователя в идентификаторе Microsoft Entra на момент моделирования.

Способ отслеживания сигналов активности пользователей описан в следующей таблице.

Поле	Описание	Логика вычислений
DownloadAttachment	Пользователь скачал вложение.	Сигнал поступает от клиента (например, Outlook или Word).
Открытое вложение	Пользователь открыл вложение.	Сигнал поступает от клиента (например, Outlook или Word).
Чтение сообщения	Пользователь считывает сообщение имитации.	Сигналы чтения сообщений могут столкнуться с проблемами в следующих сценариях: Пользователь сообщил, что сообщение было фишинговым в Outlook, не выходя из области чтения, и пометка элементов как прочитанных при просмотре в области чтения не настроена (по умолчанию). Пользователь сообщил непрочитанное сообщение как фишинговое в Outlook, сообщение было удалено и помечает сообщения как прочитанные, когда удаление не настроено (по умолчанию).
Нет на месте	Определяет, находится ли пользователь вне офиса.	В настоящее время вычисляется с помощью параметра Автоматические ответы в Outlook.
Скомпрометированный пользователь	Указывает, был ли скомпрометирован пользователь. Сигналы компрометации могут отличаться в зависимости от типа атаки.	Сбор учетных данных. Пользователь вводит свои учетные данные на странице входа (учетные данные не хранятся корпорацией Майкрософт). Вложение вредоносных программ. Пользователь открывает файл и включает редактирование в защищенном представлении. Ссылка во вложении. Пользователь открывает вложение и щелкает ссылку. Ссылка на вредоносные программы. Пользователь щелкает ссылку и вводит свои учетные данные. Диск по URL-адресу: пользователь щелкает ссылку (вводить учетные данные не требуется). OAuth: пользователь щелкает ссылку и принимает разрешения на общий доступ.
Ссылка на сообщение	Указывает, щелкнул ли пользователь сообщение.	URL-адрес в моделировании уникален для каждого пользователя, что позволяет отслеживать действия отдельных пользователей. Сторонние службы фильтрации или пересылка электронной почты могут привести к ложноположительным результатам. Дополнительные сведения см. в разделе Я вижу события щелчков или компрометации от пользователей, которые настаивают на том, что они не нажимали ссылку в сообщении имитации.
Пересылаемое сообщение	Указывает, перенаправил ли пользователь сообщение.
Ответ на сообщение	Указывает, ответил ли конечный пользователь на сообщение.
Deleted message (Удалено сообщение)	Указывает, удалил ли сообщение конечный пользователь.	Сигнал поступает от действий пользователя в Outlook. Если пользователь сообщает сообщение как фишинговое, сообщение может быть перемещено в папку "Удаленные", которая определяется как удаление.
Предоставляемые разрешения	Указывает, имеет ли пользователь общие разрешения при атаке на основе Oauth.

Дополнительные ссылки

Начало использования обучения симуляции атаки

Создание имитации фишинговых атак

создание полезных данных для обучения сотрудников