Insikter och rapporter för Övning av attacksimulering
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I Övning av attacksimulering i Microsoft Defender för Office 365 plan 2 eller Microsoft 365 E5 tillhandahåller Microsoft insikter och rapporter från resultatet av simuleringar och motsvarande utbildningar. Den här informationen håller dig informerad om hotberedskapsförloppet för dina användare och rekommenderar nästa steg för att bättre förbereda användarna för framtida attacker.
Insikter och rapporter är tillgängliga på följande platser på Övning av attacksimulering-sidan i Microsoft Defender-portalen:
- Insikter:
- Fliken Översikt på https://security.microsoft.com/attacksimulator?viewid=overview.
- Fliken Rapporter på https://security.microsoft.com/attacksimulator?viewid=reports.
- Rapporter:
- Rapportsidan för attacksimulering på https://security.microsoft.com/attacksimulationreport:
- Rapporterna för pågående och slutförda simuleringar och utbildningskampanjer: Mer information finns i rapporten om attacksimulering.
Resten av den här artikeln beskriver rapporter och insikter för Övning av attacksimulering.
Information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.
Insikter på flikarna Översikt och Rapporter i Övning av attacksimulering
Om du vill gå till fliken Översikt öppnar du Microsoft Defender-portalen på https://security.microsoft.comoch går till Email & samarbete>Övning av attacksimulering:
- Fliken Översikt : Kontrollera att fliken Översikt är markerad (det är standardinställningen). Om du vill gå direkt till fliken Översikt använder du https://security.microsoft.com/attacksimulator?viewid=overview.
- Fliken Rapporter: Välj fliken Rapporter. Om du vill gå direkt till fliken Rapporter använder du https://security.microsoft.com/attacksimulationreport.
Fördelningen av insikter på flikarna beskrivs i följande tabell:
Rapport | Fliken Översikt | Fliken Rapporter |
---|---|---|
Kort för senaste simuleringar | ✔ | |
Kort för rekommendationer | ✔ | |
Kort för simuleringstäckning | ✔ | ✔ |
Kort för träningsslut | ✔ | ✔ |
Kortet Upprepa gärningspersoner | ✔ | ✔ |
Beteendepåverkan på kortet för intrångsfrekvens | ✔ | ✔ |
Resten av det här avsnittet beskriver den information som är tillgänglig på flikarna Översikt och Rapporter i Övning av attacksimulering.
Kort för senaste simuleringar
Kortet Senaste simuleringar på fliken Översikt visar de tre senaste simuleringarna som du skapade eller körde i din organisation.
Du kan välja en simulering för att visa information.
Om du väljer Visa alla simuleringar kommer du till fliken Simuleringar .
Om du väljer Starta en simulering startas den nya simuleringsguiden. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.
Kort för rekommendationer
Kortet Rekommendationer på fliken Översikt föreslår olika typer av simuleringar som ska köras.
Om du väljer Starta startar nu den nya simuleringsguiden med den angivna simuleringstypen automatiskt markerad på sidan Välj teknik . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.
Kort för simuleringstäckning
Kortet Simuleringstäckning på flikarna Översikt och Rapporter visar procentandelen användare i organisationen som fick en simulering (simulerade användare) jämfört med användare som inte fick någon simulering (icke-simulerade användare). Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.
Om du väljer Visa simuleringstäckningsrapport kommer du till fliken Användartäckning för rapporten attacksimulering.
Om du väljer Starta simulering för icke-simulerade användare startar den nya simuleringsguiden där de användare som inte tog emot simuleringen automatiskt väljs på sidan Målanvändare . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.
Kort för träningsslut
Kortet Träningsslut på flikarna Översikt och Rapporter organiserar procentandelen användare som fått utbildningar baserat på resultatet av simuleringar i följande kategorier:
- Fullbordad
- Pågår
- Ofullständig
Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.
Om du väljer Visa rapport om slutförande av träning kommer du till fliken Träningsavslut för rapporten för attacksimulering.
Kortet Upprepa gärningspersoner
Kortet Upprepa brottslingar på flikarna Översikt och Rapporter visar information om återfallsförbrytare. En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.
Diagrammet organiserar upprepningsförbrytardata efter simuleringstyp:
- Alla
- Bifogad kod för skadlig kod
- Länk till skadlig kod
- Skörd av autentiseringsuppgifter
- Länk i bifogade filer
- Enhets-URL
Om du väljer Visa rapport om återfallsförbrytare kommer du till fliken Upprepa brottslingar för rapporten för attacksimulering.
Beteendepåverkan på kortet för intrångsfrekvens
Beteendepåverkan på kortet för intrångsfrekvens på flikarna Översikt och Rapporter visar hur användarna svarade på dina simuleringar jämfört med historiska data i Microsoft 365. Du kan använda dessa insikter för att spåra förloppet i användarnas hotberedskap genom att köra flera simuleringar mot samma grupper av användare.
Diagramdata visar följande information:
- Faktisk komprometteringsfrekvens: Den faktiska procentandelen personer som komprometterades av simuleringen (faktiska användare komprometterade/totalt antal användare i organisationen som tog emot simuleringen).
- Förväntad kompromissfrekvens: Historiska data i Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av den här simuleringen. Mer information om den förväntade kompromissfrekvensen (PCR) finns i Förväntad kompromissfrekvens.
Om du hovra över en datapunkt i diagrammet visas de faktiska procentvärdena.
Om du vill se en detaljerad rapport väljer du Visa simuleringar och träningseffektrapport. Den här rapporten förklaras senare i den här artikeln.
Rapport om attacksimulering
Du kan öppna rapporten attacksimulering på fliken Översikt genom att välja Visa ... rapportåtgärder som är tillgängliga på några av korten på flikarna Översikt och Rapporter som beskrivs i den här artikeln. Om du vill gå direkt till rapportsidan för attacksimulering använder du https://security.microsoft.com/attacksimulationreport
Fliken Träningseffekt för rapporten om attacksimulering
Fliken Träningseffekt väljs som standard på rapportsidan för attacksimulering . Den här fliken innehåller samma information som är tillgänglig i beteendepåverkan på kortet för komprometteringsfrekvens , med ytterligare kontext från själva simuleringen.
Diagrammet visar den faktiska komprometterade hastigheten och den förväntade kompromissfrekvensen. Om du hovra över ett avsnitt i diagrammet visas de faktiska procentvärdena för.
Informationstabellen under diagrammet visar följande information. Du kan sortera simuleringarna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Simuleringsnamn
- Simuleringsteknik
- Simuleringstaktik
- Förutsagd komprometterad hastighet
- Faktisk komprometterad hastighet
- Totalt antal användare som är mål för
- Antal klickade användare
Använd sökrutan för att filtrera resultaten efter simuleringsnamn eller simuleringsteknik. Jokertecken stöds inte.
Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).
Fliken Användartäckning för rapporten för attacksimulering
På fliken Användartäckning visar diagrammet simulerade användare och icke-simulerade användare. Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.
Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Användarnamn
- E-postadress
- Ingår i simulering
- Datum för senaste simulering
- Senaste simuleringsresultat
- Antal klickade
- Antal komprometterade
Använd sökrutan för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.
Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).
Fliken Träningsslut för rapporten för attacksimulering
På fliken Träningsslut visar diagrammet antalet slutförda, pågående och ofullständiga simuleringar. Om du hovra över ett avsnitt i diagrammet visas de faktiska värdena.
Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
- Användarnamn
- E-postadress
- Ingår i simulering
- Datum för senaste simulering
- Senaste simuleringsresultat
- Namnet på den senaste träningen som har slutförts
- Datumet har slutförts
- Alla utbildningar
Välj Filtrera för att filtrera diagrammet och informationstabellen efter statusvärdena för träningarna: Slutförd, Pågår eller Alla.
När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.
Använd sökrutan för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.
Om du väljer knappen Exportera rapport visas förloppet för rapportgenerering som en procentandel av slutförande. I dialogrutan som öppnas kan du välja att öppna .csv-filen, spara .csv-filen och komma ihåg markeringen.
Fliken Upprepa brottslingar för rapporten om attacksimulering
En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.
På fliken Upprepa brottslingar visar diagrammet antalet användare av upprepad gärningsperson och simulerade användare.
Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.
Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.
Användare: Användarens namn.
Simuleringstyper: Typ av simuleringar där användaren var inblandad.
Simuleringar: Namnet på simuleringar där användaren var inblandad.
Email adress: användarens Email adress.
Senaste upprepningsantalet: Senaste antalet kompromisser för användare som kategoriserats som återfallsförbrytare. Om tröskelvärdet för upprepad gärningsperson till exempel är inställt på 3 och en användare har komprometterats i tre på varandra följande simuleringar är det senaste antalet upprepningar 3. Om användaren komprometterades i 4 på varandra följande simuleringar är det senaste antalet upprepningar 4. Om användaren komprometterades i två på varandra följande simuleringar, värdet N/A. Det senaste antalet upprepningar anger till 0 (N/A), varje gång en flagga för upprepad gärningsperson återställs (vilket innebär att användaren skickar en simulering).
Upprepade brott: Omfattar antalet gånger en användare klassificerades som en återfallsförbrytare. Till exempel:
- Användaren klassificerades som en upprepad gärningsman i de första simuleringarna (de komprometterades 3 gånger i följd, där tröskelvärdet för upprepad gärningsman är 2).
- Användaren klassificerades som "ren" efter att ha klarat en simulering.
- Användaren klassificerades som en upprepad gärningsman i de följande simuleringarna (de komprometterades 4 gånger i följd, där tröskelvärdet för upprepad gärningsman är 2).
I dessa fall är antalet upprepade brott inställt på 2. Antalet uppdateras varje gång en användare betraktas som en återfallsförbrytare.
Namn på senaste simulering
Senaste simuleringsresultat
Senaste utbildning tilldelad
Senaste träningsstatus
Välj Filter för att filtrera diagrammet och informationstabellen efter ett eller flera simuleringstypvärden:
- Skörd av autentiseringsuppgifter
- Bifogad kod för skadlig kod
- Länk i bifogad fil
- Länk till skadlig kod
När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.
Använd sökrutan för att filtrera resultatet efter något av kolumnvärdena. Jokertecken stöds inte.
Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).
Simuleringsrapport i Övning av attacksimulering
Simuleringsrapporten visar information om pågående eller slutförda simuleringar ( statusvärdet är Pågår eller Slutfört). Om du vill visa simuleringsrapporten använder du någon av följande metoder:
På fliken Översikt på sidan Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=overviewväljer du en simulering från kortet Senaste simuleringar.
På fliken Simuleringar på sidan Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=simulationsväljer du en simulering genom att klicka någon annanstans på raden än kryssrutan bredvid namnet. Mer information finns i Visa simuleringsrapporter.
- På fliken Utbildning på sidan Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=trainingcampaignväljer du träningskampanjen med någon av följande metoder:
- Klicka någonstans på raden förutom kryssrutan bredvid namnet.
- Markera kryssrutan bredvid namnet och välj sedan Visa rapport.
Mer information finns i Visa träningskampanjrapporter.
Rapportsidan som öppnas innehåller flikarna Rapport, **Användare och Information som innehåller information om simuleringen. Resten av det här avsnittet beskriver de insikter och rapporter som är tillgängliga på fliken Rapport .
Avsnitten på fliken Rapport för en simulering beskrivs i följande underavsnitt.
Mer information om flikarna Användare och information finns i följande länkar.
- Simuleringar:
- Utbildningskampanjer:
Rapportering för QR-kodsimuleringar
Du kan välja QR-kodnyttolaster som ska användas i simuleringar. QR-koden ersätter nätfiske-URL:en som den nyttolast som används i simuleringsmeddelandet. Mer information finns i QR-kodnyttolaster.
Eftersom QR-koder är en annan typ av nätfiske-URL förblir användarhändelserna för läsning, borttagning, komprodettering och klickhändelser desamma. Genom att till exempel skanna QR-koden öppnas nätfiske-URL:en, så händelsen spåras som en klickhändelse. De befintliga mekanismerna för att spåra kompromisser, borttagningar och rapporthändelser förblir desamma.
Om du exporterar en simuleringsrapport till en CSV-fil är kolumnen EmailLinkClicked_ClickSource tillgänglig med följande värden:
-
PhishingURL
: Användaren klickade på nätfiskelänken i simuleringsmeddelandet. -
QRCode
: Användaren skannade QR-koden i simuleringsmeddelandet.
Andra mått som läsningar, kompromisser, borttagningar och rapporterade meddelanden fortsätter att spåras utan ytterligare uppdateringar. Mer information finns i avsnittet Bilaga senare i den här artikeln.
Simuleringsrapport för simuleringar
I det här avsnittet beskrivs informationen i simuleringsrapporten för regelbundna simuleringar (inte träningskampanjer).
Avsnittet om simuleringspåverkan i rapporten för simuleringar
Avsnittet Simuleringspåverkan på fliken Rapport ** för en simulering visar antalet och procentandelen komprometterade användare och användare som rapporterade meddelandet.
Om du hovra över ett avsnitt i diagrammet visas de faktiska siffrorna för varje kategori.
Välj Visa komprometterade användare för att gå till fliken Användare i rapporten där resultaten filtreras efter Komprometterad: Ja.
Välj Visa användare som rapporterade att gå till fliken Användare i rapporten där resultaten filtreras efter rapporterat meddelande: Ja.
Avsnittet All användaraktivitet i rapporten för simuleringar
Avsnittet All user activity (All user activity ) på fliken Rapport ** för en simulering visar siffror för de möjliga utfallen av simuleringen. Informationen varierar beroende på simuleringstyp. Till exempel:
- Klickade på meddelandelänken eller länken Bifogad fil klickade eller den bifogade filen öppnades
- Angivna autentiseringsuppgifter
- Läs meddelande
- Meddelande borttaget
- Svarade på meddelande
- Vidarebefordrat meddelande
- Frånvaro
Välj Visa alla användare för att gå till fliken Användare i rapporten där resultatet är ofiltrerat.
Avsnittet Leveransstatus i rapporten för simuleringar
Avsnittet Leveransstatus på fliken Rapport ** för en simulering visar numren för möjliga leveransstatusar för simuleringsmeddelandet. Till exempel:
- Meddelandet har tagits emot
- Positivt förstärkningsmeddelande levererat
- Bara simuleringsmeddelande levererat
Välj Visa användare som meddelandeleveransen inte kunde gå till fliken Användare i rapporten där resultaten filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.
Välj Visa exkluderade användare eller grupper för att öppna en utfälld utfällning för exkluderade användare eller grupper som visar de användare eller grupper som har exkluderats från simuleringen.
Avsnittet om träningsavslut i rapporten för simuleringar
Avsnittet Träningsavslut på sidan med simuleringsinformation visar de utbildningar som krävs för simuleringen och hur många användare som slutförde utbildningarna.
Om inga utbildningar inkluderades i simuleringen är det enda värdet i det här avsnittet att Utbildningar inte ingick i den här simuleringen.
Avsnittet första & genomsnittlig instans i rapporten för simuleringar
Avsnittet Första & genomsnittlig instans på fliken Rapport ** för en simulering visar information om den tid det tog att utföra specifika åtgärder i simuleringen. Till exempel:
- Första länken klickade
- Genomsnittlig länk klickade
- Första angivna autentiseringsuppgifterna
- Genomsnittlig angiven autentiseringsuppgift
Avsnittet Rekommendationer i rapporten för simuleringar
Avsnittet Rekommendationer på fliken Rapport** för en simulering visar rekommendationer för att använda Övning av attacksimulering för att skydda din organisation.
Simuleringsrapport för utbildningskampanjer
Det här avsnittet beskriver informationen i simuleringsrapporten för träningskampanjer (inte simuleringar).
Avsnitt om klassificering av utbildningsslut i rapporten för utbildningskampanjer
Avsnittet Klassificering av utbildningsslut på fliken Rapport ** för en träningskampanj visar information om de slutförda utbildningsmodulerna i kampanjen Utbildning.
Sammanfattning av utbildningsavslut i rapporten för utbildningskampanjer
Sammanfattningsavsnittet Träningsslut på fliken Rapport** för en träningskampanj använder stapeldiagram som visar statusen för tilldelade användare via alla träningsmoduler i kampanjen (antal användare/totalt antal användare):
- Fullbordad
- Pågår
- Inte startad
- Inte slutfört
- Tidigare tilldelad
Du kan hovra över ett avsnitt i diagrammet för att se den faktiska procentandelen i varje kategori.
Avsnittet All användaraktivitet i rapporten för träningskampanjer
I avsnittet All user activity (All user activity ) på fliken Rapport ** för en träningskampanj används ett stapeldiagram för att visa hur huvudpersonerna har fått träningsavisering (antal användare/totalt antal användare).
Du kan hovra över ett avsnitt i diagrammet för att se de faktiska talen i varje kategori.
Bilaga
När du exporterar information från rapporterna innehåller CSV-filen mer information än vad som visas i rapporten, även om alla kolumner visas. Fälten beskrivs i följande tabell.
Tips
För maximal information kontrollerar du att alla tillgängliga kolumner i rapporten är synliga innan du exporterar.
Fältnamn | Beskrivning |
---|---|
Användarnamn | Användarnamn för användaren som utförde aktiviteten. |
UserMail | Email adressen till användaren som utförde aktiviteten. |
Äventyras | Anger om användaren har komprometterats. Värdena är Ja eller Nej. |
AttachmentOpened_TimeStamp | När nyttolasten för den bifogade filen öppnades i simuleringar av bifogade filer för skadlig kod . |
AttachmentOpened_Browser | När nyttolasten för den bifogade filen öppnades i en webbläsare i simuleringar av bifogade filer för skadlig kod . Den här informationen kommer från UserAgent. |
AttachmentOpened_IP | IP-adressen där nyttolasten för den bifogade filen öppnades i simuleringar av bifogade filer för skadlig kod . Den här informationen kommer från UserAgent. |
AttachmentOpened_Device | Enheten där nyttolasten för den bifogade filen öppnades i simuleringar av bifogade filer för skadlig kod . Den här informationen kommer från UserAgent. |
AttachmentLinkClicked_TimeStamp | När nyttolasten för den bifogade filens länk klickades på i Länka i simuleringar av bifogade filer . |
AttachmentLinkClicked_Browser | Webbläsaren som användes för att klicka på nyttolasten för länken för bifogade filer i Simuleringar av bifogade filer . Den här informationen kommer från UserAgent. |
AttachmentLinkClicked_IP | IP-adressen där nyttolasten för den bifogade filens länk klickades på i Länka i simuleringar av bifogade filer . Den här informationen kommer från UserAgent. |
AttachmentLinkClicked_Device | Enheten där nyttolasten för den bifogade filens länk klickades på i Länka i simuleringar av bifogade filer . Den här informationen kommer från UserAgent. |
EmailLinkClicked_TimeStamp | När länknyttolasten klickades i Skörd av autentiseringsuppgifter, länka till skadlig kod, enhets-för-url och OAuth-medgivande bevilja simuleringar. |
EmailLinkClicked_Browser | Webbläsaren som användes för att klicka på länkens nyttolast i Skörd av autentiseringsuppgifter, Länk till skadlig kod, Enhets-för-URL och OAuth-medgivande bevilja simuleringar. Den här informationen kommer från UserAgent. |
EmailLinkClicked_IP | IP-adressen där länkens nyttolast klickades i Skörd av autentiseringsuppgifter, Länk till skadlig kod, Enhets-för-URL och OAuth-medgivande bevilja simuleringar. Den här informationen kommer från UserAgent. |
EmailLinkClicked_Device | Enheten där länkens nyttolast klickades i Skörd av autentiseringsuppgifter, länk till skadlig kod, enhets-för-URL och OAuth-medgivandebeviljandesimuleringar . Den här informationen kommer från UserAgent. |
EmailLinkClicked_ClickSource | Om nyttolastlänken har valts genom att klicka på en URL eller genomsöka en QR-kod i skörd av autentiseringsuppgifter, länka till skadlig kod, enhets-för-url och OAuth-medgivandebeviljandesimuleringar . Värden är PhishingURL eller QRCode . |
CredSupplied_TimeStamp(komprometterad) | När användaren har angett sina autentiseringsuppgifter. |
CredSupplied_Browser | Webbläsaren som användes när användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent. |
CredSupplied_IP | IP-adressen där användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent. |
CredSupplied_Device | Enheten där användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent. |
SuccessfullyDeliveredEmail_TimeStamp | När simuleringens e-postmeddelande levererades till användaren. |
MessageRead_TimeStamp | När simuleringsmeddelandet lästes. |
MessageDeleted_TimeStamp | När simuleringsmeddelandet togs bort. |
MessageReplied_TimeStamp | När användaren svarade på simuleringsmeddelandet. |
MessageForwarded_TimeStamp | När användaren vidarebefordrade simuleringsmeddelandet. |
OutOfOfficeDays | Avgör om användaren är arbetslös. Den här informationen kommer från inställningen Automatiska svar i Outlook. |
PositiveReinforcementMessageDelivered_TimeStamp | När det positiva förstärkningsmeddelandet levererades till användaren. |
PositiveReinforcementMessageFailed_TimeStamp | När det positiva förstärkningsmeddelandet inte kunde levereras till användaren. |
JustSimulationMessageDelivered_TimeStamp | När simuleringsmeddelandet levererades till användaren som en del av en simulering utan tilldelade utbildningar (Ingen utbildning valdes på sidan Tilldela utbildning i den nya simuleringsguiden). |
JustSimulationMessageFailed_TimeStamp | När simuleringsmeddelandet inte kunde levereras till användaren och simuleringen inte hade några tilldelade utbildningar. |
TrainingAssignmentMessageDelivered_TimeStamp | När meddelandet om träningstilldelning levererades till användaren. Det här värdet är tomt om inga utbildningar har tilldelats i simuleringen. |
TrainingAssignmentMessageFailed_TimeStamp | När meddelandet om träningstilldelning inte kunde levereras till användaren. Det här värdet är tomt om inga utbildningar har tilldelats i simuleringen. |
FailedToDeliverEmail_TimeStamp | När simuleringsmeddelandet inte kunde levereras till användaren. |
Senaste simuleringsaktivitet | Den senaste simuleringsaktiviteten för användaren (oavsett om de godkändes eller komprometterades). |
Tilldelade utbildningar | Listan över utbildningar som tilldelats användaren som en del av simuleringen. |
Slutförda utbildningar | Listan över utbildningar som slutförts av användaren som en del av simuleringen. |
Träningsstatus | Aktuell status för utbildningar för användaren som en del av simuleringen. |
Nätfiske rapporterat på | När användaren rapporterade simuleringsmeddelandet som nätfiske. |
Department | Användarens egenskapsvärde avdelning i Microsoft Entra ID vid tidpunkten för simuleringen. |
Company | Användarens företagsegenskapsvärde i Microsoft Entra ID vid tidpunkten för simuleringen. |
Rubrik | Användarens egenskapsvärde För rubrik i Microsoft Entra ID vid tidpunkten för simuleringen. |
Office | Användarens Office-egenskapsvärde i Microsoft Entra ID vid tidpunkten för simuleringen. |
Ort | Användarens egenskapsvärde stad i Microsoft Entra ID vid tidpunkten för simuleringen. |
Land | Användarens egenskapsvärde land i Microsoft Entra ID vid tidpunkten för simuleringen. |
Föreståndare | Användarens egenskapsvärde i Microsoft Entra ID vid tidpunkten för simuleringen. |
Hur användaraktivitetssignaler samlas in beskrivs i följande tabell.
Fält | Beskrivning | Beräkningslogik |
---|---|---|
DownloadAttachment | En användare laddade ned den bifogade filen. | Signalen kommer från klienten (till exempel Outlook eller Word). |
Öppnad bifogad fil | En användare öppnade den bifogade filen. | Signalen kommer från klienten (till exempel Outlook eller Word). |
Läs meddelande | Användaren läste simuleringsmeddelandet. | Det kan uppstå problem med meddelandeläsningssignaler i följande scenarier:
|
Frånvaro | Avgör om användaren är arbetslös. | Beräknas för närvarande av inställningen Automatiska svar från Outlook. |
Komprometterad användare | Användaren har komprometterats. Kompromisssignalen varierar beroende på den sociala tekniktekniken. |
|
Klickade på meddelandelänk | Användaren klickade på nyttolastlänken i simuleringsmeddelandet. | URL:en i simuleringen är unik för varje användare, vilket tillåter aktivitetsspårning för enskilda användare. Filtreringstjänster från tredje part eller vidarebefordran av e-post kan leda till falska positiva identifieringar. Mer information finns i Jag ser klick eller kompromettera händelser från användare som insisterar på att de inte klickade på länken i simuleringsmeddelandet ELLER jag ser klick inom några sekunder efter leverans för många användare (falska positiva identifieringar). Vad är det som händer? |
Vidarebefordrat meddelande | Användaren vidarebefordrade meddelandet. | |
Svarade på meddelande | Användaren svarade på meddelandet. | |
Meddelande borttaget | Användaren tog bort meddelandet. | Signalen kommer från Outlook-aktiviteten för användaren. Om användaren rapporterar meddelandet som nätfiske kan meddelandet flyttas till mappen Borttaget, som identifieras som en borttagning. |
Beviljade behörigheter | Användardelade behörigheter i en OAuth-medgivande bevilja simulering. |
² Den klickade länken kan vara en vald URL eller en skannad QR-kod.
Relaterade länkar
Kom igång med Attack simuleringsträning