Аналитические сведения и отчеты для Обучение эмуляции атак

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В Обучение эмуляции атак в Microsoft Defender для Office 365 плана 2 или Microsoft 365 E5 корпорация Майкрософт предоставляет аналитические сведения и отчеты по результатам моделирования и соответствующих учебных курсов. Эта информация информирует вас о ходе подготовки пользователей к угрозам и рекомендует дальнейшие действия для лучшей подготовки пользователей к будущим атакам.

Аналитические сведения и отчеты доступны в следующих расположениях на странице Обучение эмуляции атак на портале Microsoft Defender:

  • Вкладка Обзор .
  • Отчет о симуляции для выполняющихся или завершенных симуляций, который вы выбираете в карта Последние симуляции на вкладке Обзор или на вкладке Моделирование.

Остальная часть этой статьи описывает доступные сведения.

Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Аналитика и отчеты на вкладке Обзор Обучение эмуляции атак

Чтобы перейти на вкладку Обзор, откройте портал Microsoft Defender по адресу https://security.microsoft.com, перейдите в раздел Email & совместной работы>Обучение эмуляции атак и убедитесь, что выбрана вкладка Обзор (по умолчанию). Чтобы перейти непосредственно на вкладку Обзор на странице Обучение эмуляции атак, используйте .https://security.microsoft.com/attacksimulator?viewid=overview

В оставшейся части этого раздела описываются сведения, доступные на вкладке Обзор Обучение эмуляции атак.

Последние карта моделирования

В карта Последние симуляции на вкладке Обзор отображаются последние три симуляции, созданные или запущенные в организации.

Для просмотра сведений можно выбрать имитацию.

Выбрав Просмотреть все симуляции, вы перейдете на вкладку Симуляции .

При выборе параметра Запустить симуляцию запускается новый мастер моделирования. Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Последние симуляции карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender

Рекомендации карта

В карта Рекомендации на вкладке Обзор предлагаются различные типы моделирования для выполнения.

При выборе параметра Запустить теперь запускается мастер моделирования с указанным типом имитации, автоматически выбранным на странице Выбор метода . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Рекомендации карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender

Карта покрытия имитации

В карта Покрытия имитации на вкладке Обзор отображается процент пользователей в организации, которые получили имитацию (имитированные пользователи), и пользователи, которые не получили имитацию (неимулированные пользователи). Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.

При выборе запуска имитации для неимитированных пользователей запускается мастер моделирования, в котором пользователи, которые не получили имитацию, автоматически выбираются на странице Целевой пользователь . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Если выбрать Просмотреть отчет о покрытии симуляции , вы перейдете на вкладку Охват пользователя для отчета об имитации атак.

Покрытие имитации карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender

Карта завершения обучения

Карта Завершения обучения на вкладке Обзор упорядочивает процент пользователей, прошедших обучение, на основе результатов моделирования, в следующие категории:

  • Выполнено
  • Выполняется
  • Неполной

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.

Если выбрать Просмотреть отчет о завершении обучения , вы перейдете на вкладку Завершение обучения для отчета о симуляции атаки.

Повторные правонарушители карта

В карта "Повторные правонарушители" на вкладке "Обзор" отображаются сведения о рецидивистах. Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но вы можете изменить значение на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.

Диаграмма упорядочивает данные о повторных нарушителях по типу моделирования:

  • Все
  • Вложение вредоносных программ
  • Ссылка на вредоносные программы
  • Сбор учетных данных
  • Ссылка во вложениях
  • URL-адрес диска

Если выбрать Просмотреть отчет о повторяющихся правонарушителях , вы перейдете на вкладку Повторные правонарушители для отчета о симуляции атак.

Влияние поведения на скорость компрометации карта

В разделе Влияние поведения на скорость компрометации карта на вкладке Обзор показано, как пользователи отреагировали на симуляции по сравнению с историческими данными в Microsoft 365. Эти аналитические сведения можно использовать для отслеживания хода подготовки пользователей к угрозам путем выполнения нескольких симуляций для одной и той же группы пользователей.

На диаграмме отображаются следующие сведения:

  • Прогнозируемая скорость компрометации. Исторические данные в Microsoft 365, которые предсказывают процент людей, которые будут скомпрометированы в связи с этим моделированием. Дополнительные сведения о прогнозируемой скорости компрометации (PCR) см. в разделе Прогнозируемая скорость компрометации.

  • Фактическая частота компрометации. Фактический процент пользователей, которые были скомпрометированы имитацией (фактические пользователи скомпрометировали / общее число пользователей в организации, которые получили имитацию).

При наведении указателя мыши на точку данных на диаграмме отображаются фактические процентные значения.

На карта также отображаются следующие сводные сведения:

  • пользователи, менее подверженные фишингу. Разница между фактическим числом пользователей, скомпрометированных имитацией атаки, и прогнозируемой скоростью компрометации. Это число пользователей с меньшей вероятностью будет скомпрометировано аналогичными атаками в будущем.
  • x% лучше прогнозируемого показателя. Указывает, как пользователи в целом выполняли действия в отличие от прогнозируемой скорости компрометации.

Влияние поведения на скорость компрометации карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender

Чтобы просмотреть более подробный отчет, выберите Просмотр отчета об эффективности моделирования и обучения. Этот отчет описан далее в этой статье.

Отчет о симуляции атак

Отчет о симуляции атак можно открыть на вкладке Обзор, щелкнув Вид ... кнопки отчетов, доступные в некоторых карточках, описанных в этой статье. Чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/attacksimulationreport

Вкладка "Эффективность обучения" для отчета о симуляции атак

На странице Отчет о симуляции атак по умолчанию выбрана вкладка Эффективность обучения . Эта вкладка содержит те же сведения, которые доступны в разделе Влияние поведения на скорость компрометации карта, с дополнительным контекстом из самого моделирования.

Вкладка

На диаграмме показаны прогнозируемая скорость компрометации и Фактическая скорость компрометации. При наведении указателя мыши на раздел диаграммы отображаются фактические процентные значения для.

В таблице сведений под диаграммой показаны следующие сведения:

  • Имя имитации
  • Метод моделирования
  • Тактика моделирования
  • Прогнозируемые скомпрометированные показатели
  • Фактическая скомпрометированная скорость
  • Общее число целевых пользователей
  • Число пользователей, щелкнув

Вы можете отсортировать результаты, нажав на доступный заголовок столбца.

Выберите Настроить столбцы , чтобы удалить отображаемые столбцы. По завершении нажмите кнопку Применить.

Используйте поле поиска, чтобы отфильтровать результаты по имени имитации или методу моделирования. Подстановочные знаки не поддерживаются.

Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.

Вкладка "Охват пользователей" для отчета об имитации атак

Вкладка

На вкладке Охват пользователей на диаграмме показаны имитированные пользователи и неимитированные пользователи. При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения:

  • Username
  • Адрес электронной почты
  • Входит в симуляцию
  • Дата последнего моделирования
  • Последний результат моделирования
  • Количество щелчков
  • Число скомпрометированных

Вы можете отсортировать результаты, нажав на доступный заголовок столбца. Выберите Настроить столбцы , чтобы удалить отображаемые столбцы.

Используйте поле поиска, чтобы отфильтровать результаты по имени пользователя или Email адресу. Подстановочные знаки не поддерживаются.

Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.

Вкладка "Завершение обучения" для отчета об имитации атаки

Вкладка

На вкладке Завершение обучения на диаграмме показано количество симуляций Завершено, Выполняется и Не завершено . При наведении указателя мыши на раздел диаграммы отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения:

  • Username
  • Адрес электронной почты
  • Входит в симуляцию
  • Дата последнего моделирования
  • Последний результат моделирования
  • Имя последнего завершенного обучения
  • Дата завершения
  • Все учебные курсы

Вы можете отсортировать результаты, нажав на доступный заголовок столбца. Выберите Настроить столбцы , чтобы удалить отображаемые столбцы.

Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по значениям состояния обучения: Завершено, Выполняется или Все.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Используйте поле поиска, чтобы отфильтровать результаты по имени пользователя или Email адресу. Подстановочные знаки не поддерживаются.

Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.

Вкладка "Повторные нарушители" для отчета о симуляции атак

Вкладка Повторные нарушители в отчете о симуляции атак на портале Microsoft Defender

Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но вы можете изменить значение на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.

На вкладке Повторные правонарушители на диаграмме данные о повторных правонарушителях упорядочиваются по типу моделирования:

  • Все
  • Сбор учетных данных
  • Вложение вредоносных программ
  • Ссылка во вложении
  • Ссылка на вредоносные программы
  • URL-адрес диска

При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения:

  • Пользователь
  • Число повторов
  • Типы моделирования
  • Моделирования

Вы можете отсортировать результаты, нажав на доступный заголовок столбца. Выберите Настроить столбцы , чтобы удалить отображаемые столбцы.

Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по некоторым или всем значениям типа имитации:

  • Сбор учетных данных
  • Вложение вредоносных программ
  • Ссылка во вложении
  • Ссылка на вредоносные программы

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Используйте поле поиска, чтобы отфильтровать результаты по любому из значений столбцов. Подстановочные знаки не поддерживаются.

Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.

Отчет об имитации в Обучение эмуляции атак

Чтобы просмотреть сведения о выполняющемся или завершенном симуляции, используйте один из следующих методов:

Открывающаяся страница содержит вкладки Отчет, Пользователи и Сведения , содержащие сведения о симуляции. В оставшейся части этого раздела описаны аналитические сведения и отчеты, доступные на вкладке Отчет .

Дополнительные сведения о вкладках Пользователи и Сведения см. в разделе Просмотр сведений о симуляции.

Раздел влияния на имитацию

В разделе Влияние на моделирование на странице сведений об имитации показано, сколько пользователей было полностью обмануно симуляцией и общее число пользователей в имитации. Отображаемые сведения зависят от типа имитации. Например:

  • Ссылки: введенные учетные данные и Не введены учетные данные.

    Раздел Влияние на имитацию для сведений о симуляции, связанном со ссылками

  • Вложения: открытое вложение и не открытое вложение.

    Сведения о симуляции, связанном с вложениями, см. в разделе Влияние на имитацию

При наведении указателя мыши на раздел диаграммы отображаются фактические числа для каждой категории.

Раздел "Все действия пользователей"

В разделе Все действия пользователя на странице сведений об имитации отображаются числа возможных результатов моделирования. Отображаемые сведения зависят от типа имитации. Например:

  • SuccessfullyDeliveredEmail

  • ReportedEmail: сколько пользователей сообщило о симуляции сообщения как подозрительном.

  • Ссылки:

    • EmailLinkClicked: количество пользователей, щелкнув ссылку в сообщении имитации.

    • CredSupplied: щелкнув ссылку, сколько пользователей предоставили свои учетные данные.

      Раздел Все действия пользователей для сведений о симуляции, связанном со ссылками

  • Вложения:

    • AttachmentOpened: количество пользователей, открывших вложение в сообщении имитации.

      Раздел Все действия пользователей для сведений об имитации, связанной с вложением

Раздел завершения обучения

В разделе Завершение обучения на странице сведений об имитации показаны учебные курсы, необходимые для имитации, и сколько пользователей прошли обучение.

Сведения о симуляции, связанной с вложением, см. в разделе

В разделе Рекомендуемые действия на странице сведений о симуляции отображаются рекомендуемые действия из Microsoft Secure Score и влияние, с помощью которых действие будет влиять на оценку безопасности. Эти рекомендации основаны на полезных данных, которые использовались в имитации, и помогут защитить пользователей и вашу среду. Если выбрать действие "Улучшение " из списка, вы перейдете в расположение для реализации предлагаемого действия.

Раздел Действий с рекомендациями о Обучение эмуляции атак

Начало использования обучения симуляции атаки

Создание имитации фишинговых атак

создание полезных данных для обучения сотрудников