Аналитические сведения и отчеты для Обучение эмуляции атак
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
В Обучение эмуляции атак в Microsoft Defender для Office 365 плана 2 или Microsoft 365 E5 корпорация Майкрософт предоставляет аналитические сведения и отчеты по результатам моделирования и соответствующих учебных курсов. Эта информация информирует вас о ходе подготовки пользователей к угрозам и рекомендует дальнейшие действия для лучшей подготовки пользователей к будущим атакам.
Аналитические сведения и отчеты доступны в следующих расположениях на странице Обучение эмуляции атак на портале Microsoft Defender:
- Идеи:
- Вкладка Обзор на странице https://security.microsoft.com/attacksimulator?viewid=overview.
- Вкладка Отчеты в https://security.microsoft.com/attacksimulator?viewid=reports.
- Отчеты:
- Страница отчета об имитации атак по адресу https://security.microsoft.com/attacksimulationreport:
- Отчеты о ходе и завершенных симуляциях и обучающих кампаниях. Дополнительные сведения см. в статье Отчет об имитации атак.
В оставшейся части этой статьи описываются отчеты и аналитические сведения для Обучение эмуляции атак.
Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.
Аналитические сведения на вкладках "Обзор" и "Отчеты" Обучение эмуляции атак
Чтобы перейти на вкладку Обзор, откройте портал Microsoft Defender по адресу https://security.microsoft.com, перейдите к разделу Email & совместной работы>Обучение эмуляции атак:
- Вкладка Обзор. Убедитесь, что выбрана вкладка Обзор (по умолчанию). Или, чтобы перейти непосредственно на вкладку Обзор , используйте https://security.microsoft.com/attacksimulator?viewid=overview.
- Вкладка Отчеты. Выберите вкладку Отчеты. Или, чтобы перейти непосредственно на вкладку Отчеты, используйте https://security.microsoft.com/attacksimulationreport.
Распределение аналитических сведений на вкладках описано в следующей таблице:
Отчет | Вкладка "Обзор" | Вкладка "Отчеты" |
---|---|---|
Последние карта моделирования | ✔ | |
Рекомендации карта | ✔ | |
Карта покрытия имитации | ✔ | ✔ |
Карта завершения обучения | ✔ | ✔ |
Повторные правонарушители карта | ✔ | ✔ |
Влияние поведения на скорость компрометации карта | ✔ | ✔ |
В оставшейся части этого раздела описываются сведения, доступные на вкладках Обзор и Отчеты Обучение эмуляции атак.
Последние карта моделирования
В карта Последние симуляции на вкладке Обзор отображаются последние три симуляции, созданные или запущенные в организации.
Для просмотра сведений можно выбрать имитацию.
Выбрав Просмотреть все симуляции, вы перейдете на вкладку Симуляции .
При выборе параметра Запустить симуляцию запускается новый мастер моделирования. Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.
Рекомендации карта
В карта Рекомендации на вкладке Обзор предлагаются различные типы моделирования для выполнения.
При выборе параметра Запустить теперь запускается мастер моделирования с указанным типом имитации, автоматически выбранным на странице Выбор метода . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.
Карта покрытия имитации
В карта покрытия имитации на вкладках Обзор и Отчеты отображается процент пользователей в организации, которые получили имитацию (имитированные пользователи), и пользователей, которые не получили симуляцию (неимитированные пользователи). Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.
Если выбрать Просмотреть отчет о покрытии симуляции , вы перейдете на вкладку Охват пользователя для отчета об имитации атак.
При выборе запуска имитации для неимитированных пользователей запускается мастер моделирования, в котором пользователи, которые не получили имитацию, автоматически выбираются на странице Целевой пользователь . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.
Карта завершения обучения
Карта завершения обучения на вкладках Обзор и Отчеты упорядочивает процент пользователей, прошедших обучение, на основе результатов моделирования, в следующие категории:
- Выполнено
- Выполняется
- Неполной
Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.
Если выбрать Просмотреть отчет о завершении обучения , вы перейдете на вкладку Завершение обучения для отчета о симуляции атаки.
Повторные правонарушители карта
На вкладках Обзор и Отчеты карта "Повторные правонарушители" отображается информация о повторных правонарушителях. Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но вы можете изменить значение на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.
Диаграмма упорядочивает данные о повторных нарушителях по типу моделирования:
- Все
- Вложение вредоносных программ
- Ссылка на вредоносные программы
- Сбор учетных данных
- Ссылка во вложениях
- URL-адрес диска
Если выбрать Просмотреть отчет о повторяющихся правонарушителях , вы перейдете на вкладку Повторные правонарушители для отчета о симуляции атак.
Влияние поведения на скорость компрометации карта
В разделе Влияние поведения на скорость компрометации карта на вкладках Обзор и Отчеты показано, как пользователи отреагировали на моделирование по сравнению с историческими данными в Microsoft 365. Эти аналитические сведения можно использовать для отслеживания хода подготовки пользователей к угрозам путем выполнения нескольких симуляций для одной и той же группы пользователей.
На диаграмме отображаются следующие сведения:
- Фактическая частота компрометации. Фактический процент пользователей, которые были скомпрометированы имитацией (фактические пользователи скомпрометировали / общее число пользователей в организации, которые получили имитацию).
- Прогнозируемая скорость компрометации. Исторические данные в Microsoft 365, которые предсказывают процент людей, которые будут скомпрометированы в связи с этим моделированием. Дополнительные сведения о прогнозируемой скорости компрометации (PCR) см. в разделе Прогнозируемая скорость компрометации.
При наведении указателя мыши на точку данных на диаграмме отображаются фактические процентные значения.
Чтобы просмотреть подробный отчет, выберите Просмотреть отчет об эффективности моделирования и обучения. Этот отчет описан далее в этой статье.
Отчет о симуляции атак
Отчет о симуляции атак можно открыть на вкладке Обзор, выбрав вид ... действия отчета, доступные на некоторых карточках на вкладках Обзор и Отчеты, описанных в этой статье. Чтобы перейти непосредственно на страницу отчета об имитации атак , используйте https://security.microsoft.com/attacksimulationreport
Вкладка "Эффективность обучения" для отчета о симуляции атак
Вкладка Эффективность обучения выбрана по умолчанию на странице отчета об имитации атак . Эта вкладка содержит те же сведения, которые доступны в разделе Влияние поведения на скорость компрометации карта, с дополнительным контекстом из самого моделирования.
На диаграмме показаны фактическая скорость компрометации и прогнозируемая скорость компрометации. При наведении указателя мыши на раздел диаграммы отображаются фактические процентные значения для.
В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать имитации, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.
- Имя имитации
- Метод моделирования
- Тактика моделирования
- Прогнозируемые скомпрометированные показатели
- Фактическая скомпрометированная скорость
- Общее число целевых пользователей
- Число пользователей, щелкнув
Используйте поле Поиск, чтобы отфильтровать результаты по имени имитации или методу моделирования. Подстановочные знаки не поддерживаются.
Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).
Вкладка "Охват пользователей" для отчета об имитации атак
На вкладке Охват пользователей на диаграмме показаны имитированные пользователи и неимитированные пользователи. При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.
В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.
- Username
- Адрес электронной почты
- Входит в симуляцию
- Дата последнего моделирования
- Последний результат моделирования
- Количество щелчков
- Число скомпрометированных
Используйте поле Поиск, чтобы отфильтровать результаты по имени пользователя или Email адресу. Подстановочные знаки не поддерживаются.
Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).
Вкладка "Завершение обучения" для отчета об имитации атаки
На вкладке Завершение обучения на диаграмме показано количество симуляций Завершено, Выполняется и Не завершено . При наведении указателя мыши на раздел диаграммы отображаются фактические значения.
В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.
- Username
- Адрес электронной почты
- Входит в симуляцию
- Дата последнего моделирования
- Последний результат моделирования
- Имя последнего завершенного обучения
- Дата завершения
- Все учебные курсы
Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по значениям состояния обучения: Завершено, Выполняется или Все.
Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.
Используйте поле Поиск, чтобы отфильтровать результаты по имени пользователя или Email адресу. Подстановочные знаки не поддерживаются.
Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.
Вкладка "Повторные нарушители" для отчета о симуляции атак
Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но вы можете изменить значение на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.
На вкладке Повторные правонарушители на диаграмме показано количество пользователей с повторными правонарушителями и имитированных пользователей.
При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.
В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.
- Пользователь
- Типы моделирования
- Моделирования
- Адрес электронной почты
- Число последних повторов
- Повторные преступления
- Последнее имя имитации
- Последний результат моделирования
- Назначено последнее обучение
- Состояние последнего обучения
Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по одному или нескольким значениям типа имитации:
- Сбор учетных данных
- Вложение вредоносных программ
- Ссылка во вложении
- Ссылка на вредоносные программы
Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.
Используйте поле Поиск для фильтрации результатов по любым значениям столбца. Подстановочные знаки не поддерживаются.
Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).
Отчет об имитации в Обучение эмуляции атак
В отчете об имитации отображаются сведения о выполняющемся или завершенном симуляции (значение Состояниевыполняется или Завершено). Чтобы просмотреть отчет об имитации, используйте любой из следующих методов:
На вкладке Обзор на странице Обучение эмуляции атак выберите https://security.microsoft.com/attacksimulator?viewid=overviewимитацию из карта Последние имитации.
На вкладке Имитации на странице https://security.microsoft.com/attacksimulator?viewid=simulationsОбучение эмуляции атак выберите имитацию, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Дополнительные сведения см. в разделе Просмотр отчетов о симуляции.
- На вкладке Обучение на странице Обучение эмуляции атак по https://security.microsoft.com/attacksimulator?viewid=trainingcampaignадресу выберите кампанию обучения, используя один из следующих методов:
- Щелкните в любом месте строки, кроме поля проверка рядом с именем.
- Выберите поле проверка рядом с именем и выберите Просмотреть отчет.
Дополнительные сведения см. в разделе Просмотр отчетов о кампании обучения.
Открывающаяся страница отчета содержит вкладки Отчет, **Пользователи и Сведения , содержащие сведения о имитации. В оставшейся части этого раздела описаны аналитические сведения и отчеты, доступные на вкладке Отчет .
Разделы на вкладке Отчет для имитации описаны в следующих подразделах.
Дополнительные сведения о вкладках Пользователи и Сведения см. по следующим ссылкам.
- Моделирования:
- Учебные кампании:
Отчет по симуляции для моделирования
В этом разделе описываются сведения в отчете об имитации для регулярных симуляций (не обучающих кампаний).
Раздел влияния на имитацию в отчете для моделирования
В разделе Влияние имитации на вкладке Отчет ** для имитации показано количество и процент скомпрометированных пользователей и пользователей, которые сообщили сообщение.
При наведении указателя мыши на раздел диаграммы отображаются фактические числа для каждой категории.
Выберите Просмотреть скомпрометированных пользователей , чтобы перейти на вкладку Пользователи в отчете, где результаты фильтруются по компрометации: Да.
Выберите Просмотр пользователей, которые сообщили, что нужно перейти на вкладку Пользователи в отчете, где результаты отфильтровываются по сообщению о сообщении: Да.
Раздел "Все действия пользователя" в отчете для моделирования
В разделе Все действия пользователя на вкладке Отчет ** для имитации отображаются числа возможных результатов моделирования. Сведения зависят от типа моделирования. Например:
- Щелкнув ссылку на сообщение или щелкнув ссылку для вложения , или вложение открыто
- Предоставленные учетные данные
- Чтение сообщения
- Deleted message (Удалено сообщение)
- Ответ на сообщение
- Пересылаемое сообщение
- Вне офиса
Выберите Просмотреть всех пользователей , чтобы перейти на вкладку Пользователи в отчете, где результаты не фильтруются.
Раздел состояния доставки в отчете для моделирования
В разделе Состояние доставки на вкладке Отчет ** для имитации отображаются номера возможных состояний доставки для сообщения имитации. Например:
- Сообщение успешно получено
- Доставлено положительное сообщение с подкреплением
- **Просто доставлено сообщение имитации
Выберите Просмотр пользователей, которым не удалось выполнить доставку сообщений , перейдите на вкладку Пользователи в отчете, где результаты фильтруются по моделированию доставки сообщений: не удалось доставить.
Выберите Просмотреть исключенных пользователей или группы , чтобы открыть всплывающее окно Исключенные пользователи или группы , включающее пользователей или группы, которые были исключены из имитации.
Раздел завершения обучения в отчете для моделирования
В разделе Завершение обучения на странице сведений о симуляции показаны учебные курсы, необходимые для моделирования, и сколько пользователей завершили обучение.
Если обучение не было включено в симуляцию, единственное значение в этом разделе — Обучение не было частью этого моделирования.
Первый & раздел среднего экземпляра в отчете для моделирования
В разделе Первый & среднего экземпляра на вкладке Отчет ** для имитации отображаются сведения о времени, необходимом для выполнения определенных действий в моделировании. Например:
- Первая ссылка нажата
- Средняя щелчок по ссылке
- Первые введенные учетные данные
- Среднее значение введенных учетных данных
Раздел рекомендаций в отчете для моделирования
В разделе Рекомендации на вкладке Отчет** для имитации приведены рекомендации по использованию Обучение эмуляции атак для защиты организации.
Отчет по симуляции для кампаний по обучению
В этом разделе описываются сведения в отчете об имитации кампаний по обучению (не имитации).
Раздел классификации завершения обучения в отчете для кампаний по обучению
В разделе Классификация завершения обучения на вкладке Отчет ** для кампании по обучению отображаются сведения о завершенных модулях обучения в кампании Training.
Раздел сводки по завершению обучения в отчете о кампаниях по обучению
В разделе Сводка по завершению обучения на вкладке Отчет ** для кампании обучения используются линейчатые диаграммы, показывающие прогрессирование назначенных пользователей по всем модулям обучения в кампании (количество пользователей / общее число пользователей):
- Выполнено
- Выполняется
- Не запущено.
- Не завершено
- Ранее назначенный
Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактический процент в каждой категории.
Раздел "Все действия пользователей" в отчете для обучающих кампаний
В разделе Все действия пользователей на вкладке Отчет** для кампании обучения используется линейчатая диаграмма, показывая, как main пользователи успешно получили уведомление об обучении (количество пользователей или общее число пользователей).
Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактические числа в каждой категории.
Дополнительные ссылки
Начало использования обучения симуляции атаки
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по