Dela via


Insikter och rapporter för Övning av attacksimulering

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Övning av attacksimulering i Microsoft Defender för Office 365 plan 2 eller Microsoft 365 E5 tillhandahåller Microsoft insikter och rapporter från resultatet av simuleringar och motsvarande utbildningar. Den här informationen håller dig informerad om hotberedskapsförloppet för dina användare och rekommenderar nästa steg för att bättre förbereda användarna för framtida attacker.

Insikter och rapporter är tillgängliga på följande platser på Övning av attacksimulering-sidan i Microsoft Defender-portalen:

Resten av den här artikeln beskriver rapporter och insikter för Övning av attacksimulering.

Information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.

Insikter på flikarna Översikt och Rapporter i Övning av attacksimulering

Om du vill gå till fliken Översikt öppnar du Microsoft Defender-portalen på https://security.microsoft.comoch går till Email & samarbete>Övning av attacksimulering:

Fördelningen av insikter på flikarna beskrivs i följande tabell:

Rapport Fliken Översikt Fliken Rapporter
Kort för senaste simuleringar
Kort för rekommendationer
Kort för simuleringstäckning
Kort för träningsslut
Kortet Upprepa gärningspersoner
Beteendepåverkan på kortet för intrångsfrekvens

Resten av det här avsnittet beskriver den information som är tillgänglig på flikarna Översikt och Rapporter i Övning av attacksimulering.

Kort för senaste simuleringar

Kortet Senaste simuleringar på fliken Översikt visar de tre senaste simuleringarna som du skapade eller körde i din organisation.

Du kan välja en simulering för att visa information.

Om du väljer Visa alla simuleringar kommer du till fliken Simuleringar .

Om du väljer Starta en simulering startas den nya simuleringsguiden. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Senaste simuleringar på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kort för rekommendationer

Kortet Rekommendationer på fliken Översikt föreslår olika typer av simuleringar som ska köras.

Om du väljer Starta startar nu den nya simuleringsguiden med den angivna simuleringstypen automatiskt markerad på sidan Välj teknik . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Rekommendationer på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kort för simuleringstäckning

Kortet Simuleringstäckning på flikarna Översikt och Rapporter visar procentandelen användare i organisationen som fick en simulering (simulerade användare) jämfört med användare som inte fick någon simulering (icke-simulerade användare). Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.

Om du väljer Visa simuleringstäckningsrapport kommer du till fliken Användartäckning för rapporten attacksimulering.

Om du väljer Starta simulering för icke-simulerade användare startar den nya simuleringsguiden där de användare som inte tog emot simuleringen automatiskt väljs på sidan Målanvändare . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Simuleringstäckning på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kort för träningsslut

Kortet Träningsslut på flikarna Översikt och Rapporter organiserar procentandelen användare som fått utbildningar baserat på resultatet av simuleringar i följande kategorier:

  • Fullbordad
  • Pågår
  • Ofullständig

Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.

Om du väljer Visa rapport om slutförande av träning kommer du till fliken Träningsavslut för rapporten för attacksimulering.

Kortet Träningsslut på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kortet Upprepa gärningspersoner

Kortet Upprepa brottslingar på flikarna Översikt och Rapporter visar information om återfallsförbrytare. En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.

Diagrammet organiserar upprepningsförbrytardata efter simuleringstyp:

  • Alla
  • Bifogad kod för skadlig kod
  • Länk till skadlig kod
  • Skörd av autentiseringsuppgifter
  • Länk i bifogade filer
  • Enhets-URL

Om du väljer Visa rapport om återfallsförbrytare kommer du till fliken Upprepa brottslingar för rapporten för attacksimulering.

Kortet Upprepa brottslingar på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen

Beteendepåverkan på kortet för intrångsfrekvens

Beteendepåverkan på kortet för intrångsfrekvens på flikarna Översikt och Rapporter visar hur användarna svarade på dina simuleringar jämfört med historiska data i Microsoft 365. Du kan använda dessa insikter för att spåra förloppet i användarnas hotberedskap genom att köra flera simuleringar mot samma grupper av användare.

Diagramdata visar följande information:

  • Faktisk komprometteringsfrekvens: Den faktiska procentandelen personer som komprometterades av simuleringen (faktiska användare komprometterade/totalt antal användare i organisationen som tog emot simuleringen).
  • Förväntad kompromissfrekvens: Historiska data i Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av den här simuleringen. Mer information om den förväntade kompromissfrekvensen (PCR) finns i Förväntad kompromissfrekvens.

Om du hovra över en datapunkt i diagrammet visas de faktiska procentvärdena.

Om du vill se en detaljerad rapport väljer du Visa simuleringar och träningseffektrapport. Den här rapporten förklaras senare i den här artikeln.

Beteendepåverkan på kortet för intrångsfrekvens på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Rapport om attacksimulering

Du kan öppna rapporten attacksimulering på fliken Översikt genom att välja Visa ... rapportåtgärder som är tillgängliga på några av korten på flikarna Översikt och Rapporter som beskrivs i den här artikeln. Om du vill gå direkt till rapportsidan för attacksimulering använder du https://security.microsoft.com/attacksimulationreport

Fliken Träningseffekt för rapporten om attacksimulering

Fliken Träningseffekt väljs som standard på rapportsidan för attacksimulering . Den här fliken innehåller samma information som är tillgänglig i beteendepåverkan på kortet för komprometteringsfrekvens , med ytterligare kontext från själva simuleringen.

Fliken Träningseffekt i rapporten om attacksimulering i Microsoft Defender-portalen.

Diagrammet visar den faktiska komprometterade hastigheten och den förväntade kompromissfrekvensen. Om du hovra över ett avsnitt i diagrammet visas de faktiska procentvärdena för.

Informationstabellen under diagrammet visar följande information. Du kan sortera simuleringarna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Simuleringsnamn
  • Simuleringsteknik
  • Simuleringstaktik
  • Förutsagd komprometterad hastighet
  • Faktisk komprometterad hastighet
  • Totalt antal användare som är mål för
  • Antal klickade användare

Använd sökrutan för att filtrera resultaten efter simuleringsnamn eller simuleringsteknik. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Fliken Användartäckning för rapporten för attacksimulering

På fliken Användartäckning visar diagrammet simulerade användare och icke-simulerade användare. Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.

Fliken Användartäckning i rapporten attacksimulering i Microsoft Defender-portalen.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användarnamn
  • E-postadress
  • Ingår i simulering
  • Datum för senaste simulering
  • Senaste simuleringsresultat
  • Antal klickade
  • Antal komprometterade

Använd sökrutan för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Fliken Träningsslut för rapporten för attacksimulering

På fliken Träningsslut visar diagrammet antalet slutförda, pågående och ofullständiga simuleringar. Om du hovra över ett avsnitt i diagrammet visas de faktiska värdena.

Fliken Träningsslut i rapporten attacksimulering i Microsoft Defender-portalen.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användarnamn
  • E-postadress
  • Ingår i simulering
  • Datum för senaste simulering
  • Senaste simuleringsresultat
  • Namnet på den senaste träningen som har slutförts
  • Datumet har slutförts
  • Alla utbildningar

Välj Filtrera för att filtrera diagrammet och informationstabellen efter statusvärdena för träningarna: Slutförd, Pågår eller Alla.

När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.

Använd sökrutan för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.

Om du väljer knappen Exportera rapport visas förloppet för rapportgenerering som en procentandel av slutförande. I dialogrutan som öppnas kan du välja att öppna .csv-filen, spara .csv-filen och komma ihåg markeringen.

Fliken Upprepa brottslingar för rapporten om attacksimulering

En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.

På fliken Upprepa brottslingar visar diagrammet antalet användare av upprepad gärningsperson och simulerade användare.

Fliken Upprepa brottslingar i rapporten om attacksimulering i Microsoft Defender-portalen.

Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användare: Användarens namn.

  • Simuleringstyper: Typ av simuleringar där användaren var inblandad.

  • Simuleringar: Namnet på simuleringar där användaren var inblandad.

  • Email adress: användarens Email adress.

  • Senaste upprepningsantalet: Senaste antalet kompromisser för användare som kategoriserats som återfallsförbrytare. Om tröskelvärdet för upprepad gärningsperson till exempel är inställt på 3 och en användare har komprometterats i tre på varandra följande simuleringar är det senaste antalet upprepningar 3. Om användaren komprometterades i 4 på varandra följande simuleringar är det senaste antalet upprepningar 4. Om användaren komprometterades i två på varandra följande simuleringar, värdet N/A. Det senaste antalet upprepningar anger till 0 (N/A), varje gång en flagga för upprepad gärningsperson återställs (vilket innebär att användaren skickar en simulering).

  • Upprepade brott: Omfattar antalet gånger en användare klassificerades som en återfallsförbrytare. Till exempel:

    • Användaren klassificerades som en upprepad gärningsman i de första simuleringarna (de komprometterades 3 gånger i följd, där tröskelvärdet för upprepad gärningsman är 2).
    • Användaren klassificerades som "ren" efter att ha klarat en simulering.
    • Användaren klassificerades som en upprepad gärningsman i de följande simuleringarna (de komprometterades 4 gånger i följd, där tröskelvärdet för upprepad gärningsman är 2).

    I dessa fall är antalet upprepade brott inställt på 2. Antalet uppdateras varje gång en användare betraktas som en återfallsförbrytare.

  • Namn på senaste simulering

  • Senaste simuleringsresultat

  • Senaste utbildning tilldelad

  • Senaste träningsstatus

Välj Filter för att filtrera diagrammet och informationstabellen efter ett eller flera simuleringstypvärden:

  • Skörd av autentiseringsuppgifter
  • Bifogad kod för skadlig kod
  • Länk i bifogad fil
  • Länk till skadlig kod

När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.

Använd sökrutan för att filtrera resultatet efter något av kolumnvärdena. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Simuleringsrapport i Övning av attacksimulering

Simuleringsrapporten visar information om pågående eller slutförda simuleringar ( statusvärdet är Pågår eller Slutfört). Om du vill visa simuleringsrapporten använder du någon av följande metoder:

Rapportsidan som öppnas innehåller flikarna Rapport, **Användare och Information som innehåller information om simuleringen. Resten av det här avsnittet beskriver de insikter och rapporter som är tillgängliga på fliken Rapport .

Avsnitten på fliken Rapport för en simulering beskrivs i följande underavsnitt.

Mer information om flikarna Användare och information finns i följande länkar.

Rapportering för QR-kodsimuleringar

Du kan välja QR-kodnyttolaster som ska användas i simuleringar. QR-koden ersätter nätfiske-URL:en som den nyttolast som används i simuleringsmeddelandet. Mer information finns i QR-kodnyttolaster.

Eftersom QR-koder är en annan typ av nätfiske-URL förblir användarhändelserna för läsning, borttagning, komprodettering och klickhändelser desamma. Genom att till exempel skanna QR-koden öppnas nätfiske-URL:en, så händelsen spåras som en klickhändelse. De befintliga mekanismerna för att spåra kompromisser, borttagningar och rapporthändelser förblir desamma.

Om du exporterar en simuleringsrapport till en CSV-fil är kolumnen EmailLinkClicked_ClickSource tillgänglig med följande värden:

  • PhishingURL: Användaren klickade på nätfiskelänken i simuleringsmeddelandet.
  • QRCode: Användaren skannade QR-koden i simuleringsmeddelandet.

Andra mått som läsningar, kompromisser, borttagningar och rapporterade meddelanden fortsätter att spåras utan ytterligare uppdateringar. Mer information finns i avsnittet Bilaga senare i den här artikeln.

Simuleringsrapport för simuleringar

I det här avsnittet beskrivs informationen i simuleringsrapporten för regelbundna simuleringar (inte träningskampanjer).

Fliken Rapport i simuleringsrapporten i Övning av attacksimulering.

Avsnittet om simuleringspåverkan i rapporten för simuleringar

Avsnittet Simuleringspåverkan på fliken Rapport ** för en simulering visar antalet och procentandelen komprometterade användare och användare som rapporterade meddelandet.

Om du hovra över ett avsnitt i diagrammet visas de faktiska siffrorna för varje kategori.

Välj Visa komprometterade användare för att gå till fliken Användare i rapporten där resultaten filtreras efter Komprometterad: Ja.

Välj Visa användare som rapporterade att gå till fliken Användare i rapporten där resultaten filtreras efter rapporterat meddelande: Ja.

Avsnittet Simuleringspåverkan på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet All användaraktivitet i rapporten för simuleringar

Avsnittet All user activity (All user activity ) på fliken Rapport ** för en simulering visar siffror för de möjliga utfallen av simuleringen. Informationen varierar beroende på simuleringstyp. Till exempel:

  • Klickade på meddelandelänken eller länken Bifogad fil klickade eller den bifogade filen öppnades
  • Angivna autentiseringsuppgifter
  • Läs meddelande
  • Meddelande borttaget
  • Svarade på meddelande
  • Vidarebefordrat meddelande
  • Frånvaro

Välj Visa alla användare för att gå till fliken Användare i rapporten där resultatet är ofiltrerat.

Aktivitetsavsnittet Alla användare på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet Leveransstatus i rapporten för simuleringar

Avsnittet Leveransstatus på fliken Rapport ** för en simulering visar numren för möjliga leveransstatusar för simuleringsmeddelandet. Till exempel:

  • Meddelandet har tagits emot
  • Positivt förstärkningsmeddelande levererat
  • Bara simuleringsmeddelande levererat

Välj Visa användare som meddelandeleveransen inte kunde gå till fliken Användare i rapporten där resultaten filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.

Välj Visa exkluderade användare eller grupper för att öppna en utfälld utfällning för exkluderade användare eller grupper som visar de användare eller grupper som har exkluderats från simuleringen.

Avsnittet Leveransstatus på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet om träningsavslut i rapporten för simuleringar

Avsnittet Träningsavslut på sidan med simuleringsinformation visar de utbildningar som krävs för simuleringen och hur många användare som slutförde utbildningarna.

Om inga utbildningar inkluderades i simuleringen är det enda värdet i det här avsnittet att Utbildningar inte ingick i den här simuleringen.

Avsnittet Träningsslut på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet första & genomsnittlig instans i rapporten för simuleringar

Avsnittet Första & genomsnittlig instans på fliken Rapport ** för en simulering visar information om den tid det tog att utföra specifika åtgärder i simuleringen. Till exempel:

  • Första länken klickade
  • Genomsnittlig länk klickade
  • Första angivna autentiseringsuppgifterna
  • Genomsnittlig angiven autentiseringsuppgift

Avsnittet Första & genomsnittlig instans på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet Rekommendationer i rapporten för simuleringar

Avsnittet Rekommendationer på fliken Rapport** för en simulering visar rekommendationer för att använda Övning av attacksimulering för att skydda din organisation.

Avsnittet Rekommendationer på fliken Rapport i en simuleringsrapport för en simulering.

Simuleringsrapport för utbildningskampanjer

Det här avsnittet beskriver informationen i simuleringsrapporten för träningskampanjer (inte simuleringar).

Fliken Rapport i träningskampanjrapporten i Övning av attacksimulering.

Avsnitt om klassificering av utbildningsslut i rapporten för utbildningskampanjer

Avsnittet Klassificering av utbildningsslut på fliken Rapport ** för en träningskampanj visar information om de slutförda utbildningsmodulerna i kampanjen Utbildning.

Avsnittet Klassificering av utbildningsslut på fliken Rapport i rapporten Träningskampanj i Övning av attacksimulering.

Sammanfattning av utbildningsavslut i rapporten för utbildningskampanjer

Sammanfattningsavsnittet Träningsslut på fliken Rapport** för en träningskampanj använder stapeldiagram som visar statusen för tilldelade användare via alla träningsmoduler i kampanjen (antal användare/totalt antal användare):

  • Fullbordad
  • Pågår
  • Inte startad
  • Inte slutfört
  • Tidigare tilldelad

Du kan hovra över ett avsnitt i diagrammet för att se den faktiska procentandelen i varje kategori.

Sammanfattningsavsnittet Träningsslut på fliken Rapport i rapporten Träningskampanj i Övning av attacksimulering.

Avsnittet All användaraktivitet i rapporten för träningskampanjer

I avsnittet All user activity (All user activity ) på fliken Rapport ** för en träningskampanj används ett stapeldiagram för att visa hur huvudpersonerna har fått träningsavisering (antal användare/totalt antal användare).

Du kan hovra över ett avsnitt i diagrammet för att se de faktiska talen i varje kategori.

Avsnittet Alla användaraktiviteter på fliken Rapport i rapporten Träningskampanj i Övning av attacksimulering.

Bilaga

När du exporterar information från rapporterna innehåller CSV-filen mer information än vad som visas i rapporten, även om alla kolumner visas. Fälten beskrivs i följande tabell.

Tips

För maximal information kontrollerar du att alla tillgängliga kolumner i rapporten är synliga innan du exporterar.

Fältnamn Beskrivning
Användarnamn Användarnamn för användaren som utförde aktiviteten.
UserMail Email adressen till användaren som utförde aktiviteten.
Äventyras Anger om användaren har komprometterats. Värdena är Ja eller Nej.
AttachmentOpened_TimeStamp När nyttolasten för den bifogade filen öppnades i simuleringar av bifogade filer för skadlig kod .
AttachmentOpened_Browser När nyttolasten för den bifogade filen öppnades i en webbläsare i simuleringar av bifogade filer för skadlig kod . Den här informationen kommer från UserAgent.
AttachmentOpened_IP IP-adressen där nyttolasten för den bifogade filen öppnades i simuleringar av bifogade filer för skadlig kod . Den här informationen kommer från UserAgent.
AttachmentOpened_Device Enheten där nyttolasten för den bifogade filen öppnades i simuleringar av bifogade filer för skadlig kod . Den här informationen kommer från UserAgent.
AttachmentLinkClicked_TimeStamp När nyttolasten för den bifogade filens länk klickades på i Länka i simuleringar av bifogade filer .
AttachmentLinkClicked_Browser Webbläsaren som användes för att klicka på nyttolasten för länken för bifogade filer i Simuleringar av bifogade filer . Den här informationen kommer från UserAgent.
AttachmentLinkClicked_IP IP-adressen där nyttolasten för den bifogade filens länk klickades på i Länka i simuleringar av bifogade filer . Den här informationen kommer från UserAgent.
AttachmentLinkClicked_Device Enheten där nyttolasten för den bifogade filens länk klickades på i Länka i simuleringar av bifogade filer . Den här informationen kommer från UserAgent.
EmailLinkClicked_TimeStamp När länknyttolasten klickades i Skörd av autentiseringsuppgifter, länka till skadlig kod, enhets-för-url och OAuth-medgivande bevilja simuleringar.
EmailLinkClicked_Browser Webbläsaren som användes för att klicka på länkens nyttolast i Skörd av autentiseringsuppgifter, Länk till skadlig kod, Enhets-för-URL och OAuth-medgivande bevilja simuleringar. Den här informationen kommer från UserAgent.
EmailLinkClicked_IP IP-adressen där länkens nyttolast klickades i Skörd av autentiseringsuppgifter, Länk till skadlig kod, Enhets-för-URL och OAuth-medgivande bevilja simuleringar. Den här informationen kommer från UserAgent.
EmailLinkClicked_Device Enheten där länkens nyttolast klickades i Skörd av autentiseringsuppgifter, länk till skadlig kod, enhets-för-URL och OAuth-medgivandebeviljandesimuleringar . Den här informationen kommer från UserAgent.
EmailLinkClicked_ClickSource Om nyttolastlänken har valts genom att klicka på en URL eller genomsöka en QR-kod i skörd av autentiseringsuppgifter, länka till skadlig kod, enhets-för-url och OAuth-medgivandebeviljandesimuleringar . Värden är PhishingURL eller QRCode.
CredSupplied_TimeStamp(komprometterad) När användaren har angett sina autentiseringsuppgifter.
CredSupplied_Browser Webbläsaren som användes när användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent.
CredSupplied_IP IP-adressen där användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent.
CredSupplied_Device Enheten där användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent.
SuccessfullyDeliveredEmail_TimeStamp När simuleringens e-postmeddelande levererades till användaren.
MessageRead_TimeStamp När simuleringsmeddelandet lästes.
MessageDeleted_TimeStamp När simuleringsmeddelandet togs bort.
MessageReplied_TimeStamp När användaren svarade på simuleringsmeddelandet.
MessageForwarded_TimeStamp När användaren vidarebefordrade simuleringsmeddelandet.
OutOfOfficeDays Avgör om användaren är arbetslös. Den här informationen kommer från inställningen Automatiska svar i Outlook.
PositiveReinforcementMessageDelivered_TimeStamp När det positiva förstärkningsmeddelandet levererades till användaren.
PositiveReinforcementMessageFailed_TimeStamp När det positiva förstärkningsmeddelandet inte kunde levereras till användaren.
JustSimulationMessageDelivered_TimeStamp När simuleringsmeddelandet levererades till användaren som en del av en simulering utan tilldelade utbildningar (Ingen utbildning valdes på sidan Tilldela utbildning i den nya simuleringsguiden).
JustSimulationMessageFailed_TimeStamp När simuleringsmeddelandet inte kunde levereras till användaren och simuleringen inte hade några tilldelade utbildningar.
TrainingAssignmentMessageDelivered_TimeStamp När meddelandet om träningstilldelning levererades till användaren. Det här värdet är tomt om inga utbildningar har tilldelats i simuleringen.
TrainingAssignmentMessageFailed_TimeStamp När meddelandet om träningstilldelning inte kunde levereras till användaren. Det här värdet är tomt om inga utbildningar har tilldelats i simuleringen.
FailedToDeliverEmail_TimeStamp När simuleringsmeddelandet inte kunde levereras till användaren.
Senaste simuleringsaktivitet Den senaste simuleringsaktiviteten för användaren (oavsett om de godkändes eller komprometterades).
Tilldelade utbildningar Listan över utbildningar som tilldelats användaren som en del av simuleringen.
Slutförda utbildningar Listan över utbildningar som slutförts av användaren som en del av simuleringen.
Träningsstatus Aktuell status för utbildningar för användaren som en del av simuleringen.
Nätfiske rapporterat på När användaren rapporterade simuleringsmeddelandet som nätfiske.
Department Användarens egenskapsvärde avdelning i Microsoft Entra ID vid tidpunkten för simuleringen.
Company Användarens företagsegenskapsvärde i Microsoft Entra ID vid tidpunkten för simuleringen.
Rubrik Användarens egenskapsvärde För rubrik i Microsoft Entra ID vid tidpunkten för simuleringen.
Office Användarens Office-egenskapsvärde i Microsoft Entra ID vid tidpunkten för simuleringen.
Ort Användarens egenskapsvärde stad i Microsoft Entra ID vid tidpunkten för simuleringen.
Land Användarens egenskapsvärde land i Microsoft Entra ID vid tidpunkten för simuleringen.
Föreståndare Användarens egenskapsvärde i Microsoft Entra ID vid tidpunkten för simuleringen.

Hur användaraktivitetssignaler samlas in beskrivs i följande tabell.

Fält Beskrivning Beräkningslogik
DownloadAttachment En användare laddade ned den bifogade filen. Signalen kommer från klienten (till exempel Outlook eller Word).
Öppnad bifogad fil En användare öppnade den bifogade filen. Signalen kommer från klienten (till exempel Outlook eller Word).
Läs meddelande Användaren läste simuleringsmeddelandet. Det kan uppstå problem med meddelandeläsningssignaler i följande scenarier:
  • Användaren rapporterade meddelandet som nätfiske i Outlook utan att lämna läsfönstret och Markera objekt som lästa när de visades i läsfönstret har inte konfigurerats (standard).
  • Användaren rapporterade det olästa meddelandet som nätfiske i Outlook, meddelandet togs bort och Markera meddelanden som lästa när de togs bort har inte konfigurerats (standard).
Frånvaro Avgör om användaren är arbetslös. Beräknas för närvarande av inställningen Automatiska svar från Outlook.
Komprometterad användare Användaren har komprometterats. Kompromisssignalen varierar beroende på den sociala tekniktekniken.
  • Skörd av autentiseringsuppgifter: Användaren angav sina autentiseringsuppgifter på inloggningssidan (autentiseringsuppgifterna lagras inte av Microsoft).²
  • Bifogad kod: Användaren öppnade den bifogade nyttolasten och valde Aktivera redigering i skyddad vy.
  • Länk i bifogad fil: Användaren öppnade den bifogade filen och angav sina autentiseringsuppgifter efter att ha klickat på nyttolastlänken.
  • Länk till skadlig kod: Användaren klickade på nyttolastlänken och angav sina autentiseringsuppgifter.
  • Enhet efter URL: Användaren klickade på nyttolastlänken (det krävs inte att ange autentiseringsuppgifter).
  • OAuth-medgivande: Användaren klickade på nyttolastlänken och accepterade uppmaningen att dela behörigheter.²
Klickade på meddelandelänk Användaren klickade på nyttolastlänken i simuleringsmeddelandet. URL:en i simuleringen är unik för varje användare, vilket tillåter aktivitetsspårning för enskilda användare. Filtreringstjänster från tredje part eller vidarebefordran av e-post kan leda till falska positiva identifieringar. Mer information finns i Jag ser klick eller kompromettera händelser från användare som insisterar på att de inte klickade på länken i simuleringsmeddelandet ELLER jag ser klick inom några sekunder efter leverans för många användare (falska positiva identifieringar). Vad är det som händer?
Vidarebefordrat meddelande Användaren vidarebefordrade meddelandet.
Svarade på meddelande Användaren svarade på meddelandet.
Meddelande borttaget Användaren tog bort meddelandet. Signalen kommer från Outlook-aktiviteten för användaren. Om användaren rapporterar meddelandet som nätfiske kan meddelandet flyttas till mappen Borttaget, som identifieras som en borttagning.
Beviljade behörigheter Användardelade behörigheter i en OAuth-medgivande bevilja simulering.

² Den klickade länken kan vara en vald URL eller en skannad QR-kod.

Kom igång med Attack simuleringsträning

Skapa en simulering av nätfiskeattacker

skapa en nyttolast för att utbilda ditt folk