Insikter och rapporter för Övning av attacksimulering
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
I Övning av attacksimulering i Microsoft Defender för Office 365 plan 2 eller Microsoft 365 E5 tillhandahåller Microsoft insikter och rapporter från resultatet av simuleringar och motsvarande utbildningar. Den här informationen håller dig informerad om hotberedskapsförloppet för dina användare och rekommenderar nästa steg för att bättre förbereda användarna för framtida attacker.
Insikter och rapporter är tillgängliga på följande platser på Övning av attacksimulering-sidan i Microsoft Defender-portalen:
- Insikter:
- Fliken Översikt på https://security.microsoft.com/attacksimulator?viewid=overview.
- Fliken Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
- Rapporter:
- Rapportsidan för attacksimulering på https://security.microsoft.com/attacksimulationreport:
- Rapporterna för pågående och slutförda simuleringar och utbildningskampanjer: Mer information finns i rapporten om attacksimulering.
Resten av den här artikeln beskriver rapporter och insikter för Övning av attacksimulering.
Information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.
Insikter på flikarna Översikt och Rapporter i Övning av attacksimulering
Om du vill gå till fliken Översikt öppnar du Microsoft Defender-portalen på https://security.microsoft.comoch går till Email & samarbete>Övning av attacksimulering:
- Fliken Översikt : Kontrollera att fliken Översikt är markerad (det är standardinställningen). Om du vill gå direkt till fliken Översikt använder du https://security.microsoft.com/attacksimulator?viewid=overview.
- Fliken Rapporter: Välj fliken Rapporter. Om du vill gå direkt till fliken Rapporter använder du https://security.microsoft.com/attacksimulationreport.
Fördelningen av insikter på flikarna beskrivs i följande tabell:
Rapport | Fliken Översikt | Fliken Rapporter |
---|---|---|
Kort för senaste simuleringar | ✔ | |
Kort för rekommendationer | ✔ | |
Kort för simuleringstäckning | ✔ | ✔ |
Kort för träningsslut | ✔ | ✔ |
Kortet Upprepa gärningspersoner | ✔ | ✔ |
Beteendepåverkan på kortet för intrångsfrekvens | ✔ | ✔ |
Resten av det här avsnittet beskriver den information som är tillgänglig på flikarna Översikt och Rapporter i Övning av attacksimulering.
Kort för senaste simuleringar
Kortet Senaste simuleringar på fliken Översikt visar de tre senaste simuleringarna som du skapade eller körde i din organisation.
Du kan välja en simulering för att visa information.
Om du väljer Visa alla simuleringar kommer du till fliken Simuleringar .
Om du väljer Starta en simulering startas den nya simuleringsguiden. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.
Kort för rekommendationer
Kortet Rekommendationer på fliken Översikt föreslår olika typer av simuleringar som ska köras.
Om du väljer Starta startar nu den nya simuleringsguiden med den angivna simuleringstypen automatiskt markerad på sidan Välj teknik . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.
Kort för simuleringstäckning
Kortet Simuleringstäckning på flikarna Översikt och Rapporter visar procentandelen användare i organisationen som fick en simulering (simulerade användare) jämfört med användare som inte fick någon simulering (icke-simulerade användare). Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.
Om du väljer Visa simuleringstäckningsrapport kommer du till fliken Användartäckning för rapporten attacksimulering.
Om du väljer Starta simulering för icke-simulerade användare startar den nya simuleringsguiden där de användare som inte tog emot simuleringen automatiskt väljs på sidan Målanvändare . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.
Kort för träningsslut
Kortet Träningsslut på flikarna Översikt och Rapporter organiserar procentandelen användare som fått utbildningar baserat på resultatet av simuleringar i följande kategorier:
- Avslutade
- Pågår
- Ofullständig
Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.
Om du väljer Visa rapport om slutförande av träning kommer du till fliken Träningsavslut för rapporten för attacksimulering.
Kortet Upprepa gärningspersoner
Kortet Upprepa brottslingar på flikarna Översikt och Rapporter visar information om återfallsförbrytare. En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.
Diagrammet organiserar upprepningsförbrytardata efter simuleringstyp:
- Alla
- Bifogad kod för skadlig kod
- Länk till skadlig kod
- Skörd av autentiseringsuppgifter
- Länk i bifogade filer
- Enhets-URL
Om du väljer Visa rapport om återfallsförbrytare kommer du till fliken Upprepa brottslingar för rapporten för attacksimulering.
Beteendepåverkan på kortet för intrångsfrekvens
Beteendepåverkan på kortet för intrångsfrekvens på flikarna Översikt och Rapporter visar hur användarna svarade på dina simuleringar jämfört med historiska data i Microsoft 365. Du kan använda dessa insikter för att spåra förloppet i användarnas hotberedskap genom att köra flera simuleringar mot samma grupper av användare.
Diagramdata visar följande information:
- Faktisk komprometteringsfrekvens: Den faktiska procentandelen personer som komprometterades av simuleringen (faktiska användare komprometterade/totalt antal användare i organisationen som tog emot simuleringen).
- Förväntad kompromissfrekvens: Historiska data i Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av den här simuleringen. Mer information om den förväntade kompromissfrekvensen (PCR) finns i Förväntad kompromissfrekvens.
Om du hovra över en datapunkt i diagrammet visas de faktiska procentvärdena.
Om du vill se en detaljerad rapport väljer du Visa simuleringar och träningseffektrapport. Den här rapporten förklaras senare i den här artikeln.
Rapport om attacksimulering
Du kan öppna rapporten attacksimulering på fliken Översikt genom att välja Visa ... rapportåtgärder som är tillgängliga på några av korten på flikarna Översikt och Rapporter som beskrivs i den här artikeln. Om du vill gå direkt till rapportsidan för attacksimulering använder du https://security.microsoft.com/attacksimulationreport
Fliken Träningseffekt för rapporten om attacksimulering
Fliken Träningseffekt väljs som standard på rapportsidan för attacksimulering . Den här fliken innehåller samma information som är tillgänglig i beteendepåverkan på kortet för komprometteringsfrekvens , med ytterligare kontext från själva simuleringen.
Diagrammet visar den faktiska komprometterade hastigheten och den förväntade kompromissfrekvensen. Om du hovra över ett avsnitt i diagrammet visas de faktiska procentvärdena för.
Informationstabellen under diagrammet visar följande information. Du kan sortera simuleringarna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Simuleringsnamn
- Simuleringsteknik
- Simuleringstaktik
- Förutsagd komprometterad hastighet
- Faktisk komprometterad hastighet
- Totalt antal användare som är mål för
- Antal klickade användare
Använd rutan Search för att filtrera resultaten efter simuleringsnamn eller simuleringsteknik. Jokertecken stöds inte.
Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).
Fliken Användartäckning för rapporten för attacksimulering
På fliken Användartäckning visar diagrammet simulerade användare och icke-simulerade användare. Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.
Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Användarnamn
- E-postadress
- Ingår i simulering
- Datum för senaste simulering
- Senaste simuleringsresultat
- Antal klickade
- Antal komprometterade
Använd rutan Search för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.
Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).
Fliken Träningsslut för rapporten för attacksimulering
På fliken Träningsslut visar diagrammet antalet slutförda, pågående och ofullständiga simuleringar. Om du hovra över ett avsnitt i diagrammet visas de faktiska värdena.
Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Användarnamn
- E-postadress
- Ingår i simulering
- Datum för senaste simulering
- Senaste simuleringsresultat
- Namnet på den senaste träningen som har slutförts
- Datumet har slutförts
- Alla utbildningar
Välj Filtrera för att filtrera diagrammet och informationstabellen efter statusvärdena för träningarna: Slutförd, Pågår eller Alla.
När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.
Använd rutan Search för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.
Om du väljer knappen Exportera rapport visas förloppet för rapportgenerering som en procentandel av slutförande. I dialogrutan som öppnas kan du välja att öppna .csv-filen, spara .csv-filen och komma ihåg markeringen.
Fliken Upprepa brottslingar för rapporten om attacksimulering
En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.
På fliken Upprepa brottslingar visar diagrammet antalet användare av upprepad gärningsperson och simulerade användare.
Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.
Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Användare
- Simuleringstyper
- Simuleringar
- E-postadress
- Antal senaste upprepningar
- Upprepa brott
- Namn på senaste simulering
- Senaste simuleringsresultat
- Senaste utbildning tilldelad
- Senaste träningsstatus
Välj Filter för att filtrera diagrammet och informationstabellen efter ett eller flera simuleringstypvärden:
- Skörd av autentiseringsuppgifter
- Bifogad kod för skadlig kod
- Länk i bifogad fil
- Länk till skadlig kod
När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.
Använd rutan Search för att filtrera resultatet efter något av kolumnvärdena. Jokertecken stöds inte.
Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).
Simuleringsrapport i Övning av attacksimulering
Simuleringsrapporten visar information om pågående eller slutförda simuleringar ( statusvärdet är Pågår eller Slutfört). Om du vill visa simuleringsrapporten använder du någon av följande metoder:
På fliken Översikt på sidan Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=overviewväljer du en simulering från kortet Senaste simuleringar.
På fliken Simuleringar på sidan Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=simulationsväljer du en simulering genom att klicka någon annanstans på raden än kryssrutan bredvid namnet. Mer information finns i Visa simuleringsrapporter.
- På fliken Utbildning på sidan Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=trainingcampaignväljer du träningskampanjen med någon av följande metoder:
- Klicka någonstans på raden förutom kryssrutan bredvid namnet.
- Markera kryssrutan bredvid namnet och välj sedan Visa rapport.
Mer information finns i Visa träningskampanjrapporter.
Rapportsidan som öppnas innehåller flikarna Rapport, **Användare och Information som innehåller information om simuleringen. Resten av det här avsnittet beskriver de insikter och rapporter som är tillgängliga på fliken Rapport .
Avsnitten på fliken Rapport för en simulering beskrivs i följande underavsnitt.
Mer information om flikarna Användare och information finns i följande länkar.
- Simuleringar:
- Utbildningskampanjer:
Simuleringsrapport för simuleringar
I det här avsnittet beskrivs informationen i simuleringsrapporten för regelbundna simuleringar (inte träningskampanjer).
Avsnittet om simuleringspåverkan i rapporten för simuleringar
Avsnittet Simuleringspåverkan på fliken Rapport ** för en simulering visar antalet och procentandelen komprometterade användare och användare som rapporterade meddelandet.
Om du hovra över ett avsnitt i diagrammet visas de faktiska siffrorna för varje kategori.
Välj Visa komprometterade användare för att gå till fliken Användare i rapporten där resultaten filtreras efter Komprometterad: Ja.
Välj Visa användare som rapporterade att gå till fliken Användare i rapporten där resultaten filtreras efter rapporterat meddelande: Ja.
Avsnittet All användaraktivitet i rapporten för simuleringar
Avsnittet All user activity (All user activity ) på fliken Rapport ** för en simulering visar siffror för de möjliga utfallen av simuleringen. Informationen varierar beroende på simuleringstyp. Till exempel:
- Klickade på meddelandelänken eller länken Bifogad fil klickade eller den bifogade filen öppnades
- Angivna autentiseringsuppgifter
- Läs meddelande
- Meddelande borttaget
- Svarade på meddelande
- Vidarebefordrat meddelande
- Frånvaro
Välj Visa alla användare för att gå till fliken Användare i rapporten där resultatet är ofiltrerat.
Avsnittet Leveransstatus i rapporten för simuleringar
Avsnittet Leveransstatus på fliken Rapport ** för en simulering visar numren för möjliga leveransstatusar för simuleringsmeddelandet. Till exempel:
- Meddelandet har tagits emot
- Positivt förstärkningsmeddelande levererat
- **Bara simuleringsmeddelande levereras
Välj Visa användare som meddelandeleveransen inte kunde gå till fliken Användare i rapporten där resultaten filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.
Välj Visa exkluderade användare eller grupper för att öppna en utfälld utfällning för exkluderade användare eller grupper som visar de användare eller grupper som har exkluderats från simuleringen.
Avsnittet om träningsavslut i rapporten för simuleringar
Avsnittet Träningsavslut på sidan med simuleringsinformation visar de utbildningar som krävs för simuleringen och hur många användare som slutförde utbildningarna.
Om inga utbildningar inkluderades i simuleringen är det enda värdet i det här avsnittet att Utbildningar inte ingick i den här simuleringen.
Avsnittet första & genomsnittlig instans i rapporten för simuleringar
Avsnittet Första & genomsnittlig instans på fliken Rapport ** för en simulering visar information om den tid det tog att utföra specifika åtgärder i simuleringen. Till exempel:
- Första länken klickade
- Genomsnittlig länk klickade
- Första angivna autentiseringsuppgifterna
- Genomsnittlig angiven autentiseringsuppgift
Avsnittet Rekommendationer i rapporten för simuleringar
Avsnittet Rekommendationer på fliken Rapport** för en simulering visar rekommendationer för att använda Övning av attacksimulering för att skydda din organisation.
Simuleringsrapport för utbildningskampanjer
Det här avsnittet beskriver informationen i simuleringsrapporten för träningskampanjer (inte simuleringar).
Avsnitt om klassificering av utbildningsslut i rapporten för utbildningskampanjer
Avsnittet Klassificering av utbildningsslut på fliken Rapport ** för en träningskampanj visar information om de slutförda utbildningsmodulerna i kampanjen Utbildning.
Sammanfattning av utbildningsavslut i rapporten för utbildningskampanjer
Sammanfattningsavsnittet Träningsslut på fliken Rapport** för en träningskampanj använder stapeldiagram som visar statusen för tilldelade användare via alla träningsmoduler i kampanjen (antal användare/totalt antal användare):
- Avslutade
- Pågår
- Inte startad
- Inte slutfört
- Tidigare tilldelad
Du kan hovra över ett avsnitt i diagrammet för att se den faktiska procentandelen i varje kategori.
Avsnittet All användaraktivitet i rapporten för träningskampanjer
I avsnittet All user activity (All user activity ) på fliken Rapport ** för en träningskampanj används ett stapeldiagram för att visa hur huvudpersonerna har fått träningsavisering (antal användare/totalt antal användare).
Du kan hovra över ett avsnitt i diagrammet för att se de faktiska talen i varje kategori.
Relaterade länkar
Kom igång med Attack simuleringsträning
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för