Dela via

Insikter och rapporter för träning av attacksimulering

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I utbildning i attacksimulering i Microsoft Defender för Office 365 Plan 2 eller Microsoft 365 E5 tillhandahåller Microsoft insikter och rapporter från resultatet av simuleringar och motsvarande utbildningar. Den här informationen håller dig informerad om hotberedskapsförloppet för dina användare och rekommenderar nästa steg för att bättre förbereda användarna för framtida attacker.

Insikter och rapporter är tillgängliga på följande platser på träningssidan för attacksimulering i Microsoft Defender-portalen:

Resten av den här artikeln beskriver rapporter och insikter för träning av attacksimulering.

Information om hur du kommer igång med träning av attacksimulering finns i Komma igång med att använda träning för attacksimulering.

Insikter på flikarna Översikt och Rapporter i träning med attacksimulering

Om du vill gå till fliken Översikt öppnar du Microsoft Defender-portalen på https://security.microsoft.com, går till Utbildning för e-post & samarbete>attacksimulering:

Fördelningen av insikter på flikarna beskrivs i följande tabell:

Rapport Fliken Översikt Fliken Rapporter
Kort för senaste simuleringar
Kort för rekommendationer
Kort för simuleringstäckning
Kort för träningsslut
Kortet Upprepa gärningspersoner
Beteendepåverkan på kortet för intrångsfrekvens

Resten av det här avsnittet beskriver den information som är tillgänglig på flikarna Översikt och Rapporter i träning av attacksimulering.

Kort för senaste simuleringar

Kortet Senaste simuleringar på fliken Översikt visar de tre senaste simuleringarna som du skapade eller körde i din organisation.

Du kan välja en simulering för att visa information.

Om du väljer Visa alla simuleringar kommer du till fliken Simuleringar .

Om du väljer Starta en simulering startas den nya simuleringsguiden. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Senaste simuleringar på fliken Översikt i Träning av attacksimulering i Microsoft Defender-portalen.

Kort för rekommendationer

Kortet Rekommendationer på fliken Översikt föreslår olika typer av simuleringar som ska köras.

Om du väljer Starta startar nu den nya simuleringsguiden med den angivna simuleringstypen automatiskt markerad på sidan Välj teknik . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Rekommendationer på fliken Översikt i Träning av attacksimulering i Microsoft Defender-portalen.

Kort för simuleringstäckning

Kortet Simuleringstäckning på flikarna Översikt och Rapporter visar procentandelen användare i organisationen som fick en simulering (simulerade användare) jämfört med användare som inte fick någon simulering (icke-simulerade användare). Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.

Om du väljer Visa simuleringstäckningsrapport kommer du till fliken Användartäckning för rapporten attacksimulering.

Om du väljer Starta simulering för icke-simulerade användare startar den nya simuleringsguiden där de användare som inte tog emot simuleringen automatiskt väljs på sidan Målanvändare . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Simuleringstäckning på fliken Översikt i Träning av attacksimulering i Microsoft Defender-portalen.

Kort för träningsslut

Kortet Träningsslut på flikarna Översikt och Rapporter organiserar procentandelen användare som fått utbildningar baserat på resultatet av simuleringar i följande kategorier:

  • Fullbordad
  • Pågår
  • Ofullständig

Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.

Om du väljer Visa rapport om slutförande av träning kommer du till fliken Träningsavslut för rapporten för attacksimulering.

Kortet Träningsslut på fliken Översikt i Träning av attacksimulering i Microsoft Defender-portalen.

Kortet Upprepa gärningspersoner

Kortet Upprepa brottslingar på flikarna Översikt och Rapporter visar information om återfallsförbrytare. En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Träning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.

Diagrammet organiserar upprepningsförbrytardata efter simuleringstyp:

  • Alla
  • Bifogad kod för skadlig kod
  • Länk till skadlig kod
  • Skörd av autentiseringsuppgifter
  • Länk i bifogade filer
  • Enhets-URL

Om du väljer Visa rapport om återfallsförbrytare kommer du till fliken Upprepa brottslingar för rapporten för attacksimulering.

Kortet Upprepa brottslingar på fliken Översikt i Träning av attacksimulering i Microsoft Defender-portalen

Beteendepåverkan på kortet för intrångsfrekvens

Beteendepåverkan på kortet för intrångsfrekvens på flikarna Översikt och Rapporter visar hur användarna svarade på dina simuleringar jämfört med historiska data i Microsoft 365. Du kan använda dessa insikter för att spåra förloppet i användarnas hotberedskap genom att köra flera simuleringar mot samma grupper av användare.

Diagramdata visar följande information:

  • Faktisk komprometteringsfrekvens: Den faktiska procentandelen personer som komprometterades av simuleringen (faktiska användare komprometterade/totalt antal användare i organisationen som tog emot simuleringen).
  • Förväntad kompromissfrekvens: Historiska data i Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av den här simuleringen. Mer information om den förväntade kompromissfrekvensen (PCR) finns i Förväntad kompromissfrekvens.

Om du hovra över en datapunkt i diagrammet visas de faktiska procentvärdena.

Om du vill se en detaljerad rapport väljer du Visa simuleringar och träningseffektrapport. Den här rapporten förklaras senare i den här artikeln.

Beteendepåverkan på kortet för intrångsfrekvens på fliken Översikt i Träning av attacksimulering i Microsoft Defender-portalen.

Rapport om attacksimulering

Du kan öppna rapporten attacksimulering på fliken Översikt genom att välja Visa ... rapportåtgärder som är tillgängliga på några av korten på flikarna Översikt och Rapporter som beskrivs i den här artikeln. Om du vill gå direkt till rapportsidan för attacksimulering använder du https://security.microsoft.com/attacksimulationreport

Fliken Träningseffekt för rapporten om attacksimulering

Fliken Träningseffekt väljs som standard på rapportsidan för attacksimulering . Den här fliken innehåller samma information som är tillgänglig i beteendepåverkan på kortet för komprometteringsfrekvens , med ytterligare kontext från själva simuleringen.

Fliken Träningseffektivitet i rapporten attacksimulering i Microsoft Defender-portalen.

Diagrammet visar den faktiska komprometterade hastigheten och den förväntade kompromissfrekvensen. Om du hovra över ett avsnitt i diagrammet visas de faktiska procentvärdena för.

Informationstabellen under diagrammet visar följande information. Du kan sortera simuleringarna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Simuleringsnamn
  • Simuleringsteknik
  • Simuleringstaktik
  • Förutsagd komprometterad hastighet
  • Faktisk komprometterad hastighet
  • Totalt antal användare som är mål för
  • Antal klickade användare

Använd sökrutan för att filtrera resultaten efter simuleringsnamn eller simuleringsteknik. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Fliken Användartäckning för rapporten för attacksimulering

På fliken Användartäckning visar diagrammet simulerade användare och icke-simulerade användare. Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.

Fliken Användartäckning i rapporten Attacksimulering i Microsoft Defender-portalen.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användarnamn
  • E-postadress
  • Ingår i simulering
  • Datum för senaste simulering
  • Senaste simuleringsresultat
  • Antal klickade
  • Antal komprometterade

Använd sökrutan för att filtrera resultatet efter användarnamn eller e-postadress. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Fliken Träningsslut för rapporten för attacksimulering

På fliken Träningsslut visar diagrammet antalet slutförda, pågående och ofullständiga simuleringar. Om du hovra över ett avsnitt i diagrammet visas de faktiska värdena.

Fliken Träningsslut i rapporten Attacksimulering i Microsoft Defender-portalen.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användarnamn
  • E-postadress
  • Ingår i simulering
  • Datum för senaste simulering
  • Senaste simuleringsresultat
  • Namnet på den senaste träningen som har slutförts
  • Datumet har slutförts
  • Alla utbildningar

Välj Filtrera för att filtrera diagrammet och informationstabellen efter statusvärdena för träningarna: Slutförd, Pågår eller Alla.

När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.

Använd sökrutan för att filtrera resultatet efter användarnamn eller e-postadress. Jokertecken stöds inte.

Om du väljer knappen Exportera rapport visas förloppet för rapportgenerering som en procentandel av slutförande. I dialogrutan som öppnas kan du välja att öppna .csv-filen, spara .csv-filen och komma ihåg markeringen.

Fliken Upprepa brottslingar för rapporten om attacksimulering

En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Träning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.

På fliken Upprepa brottslingar visar diagrammet antalet användare av upprepad gärningsperson och simulerade användare.

Fliken Upprepa brottslingar i rapporten om attacksimulering i Microsoft Defender-portalen.

Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användare
  • Simuleringstyper
  • Simuleringar
  • E-postadress
  • Antal senaste upprepningar
  • Upprepa brott
  • Namn på senaste simulering
  • Senaste simuleringsresultat
  • Senaste utbildning tilldelad
  • Senaste träningsstatus

Välj Filter för att filtrera diagrammet och informationstabellen efter ett eller flera simuleringstypvärden:

  • Skörd av autentiseringsuppgifter
  • Bifogad kod för skadlig kod
  • Länk i bifogad fil
  • Länk till skadlig kod

När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.

Använd sökrutan för att filtrera resultatet efter något av kolumnvärdena. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Simuleringsrapport i träning av attacksimulering

Simuleringsrapporten visar information om pågående eller slutförda simuleringar ( statusvärdet är Pågår eller Slutfört). Om du vill visa simuleringsrapporten använder du någon av följande metoder:

Rapportsidan som öppnas innehåller flikarna Rapport, **Användare och Information som innehåller information om simuleringen. Resten av det här avsnittet beskriver de insikter och rapporter som är tillgängliga på fliken Rapport .

Avsnitten på fliken Rapport för en simulering beskrivs i följande underavsnitt.

Mer information om flikarna Användare och information finns i följande länkar.

Simuleringsrapport för simuleringar

I det här avsnittet beskrivs informationen i simuleringsrapporten för regelbundna simuleringar (inte träningskampanjer).

Fliken Rapport i simuleringsrapporten i träning av attacksimulering.

Avsnittet om simuleringspåverkan i rapporten för simuleringar

Avsnittet Simuleringspåverkan på fliken Rapport ** för en simulering visar antalet och procentandelen komprometterade användare och användare som rapporterade meddelandet.

Om du hovra över ett avsnitt i diagrammet visas de faktiska siffrorna för varje kategori.

Välj Visa komprometterade användare för att gå till fliken Användare i rapporten där resultaten filtreras efter Komprometterad: Ja.

Välj Visa användare som rapporterade att gå till fliken Användare i rapporten där resultaten filtreras efter rapporterat meddelande: Ja.

Avsnittet Simuleringspåverkan på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet All användaraktivitet i rapporten för simuleringar

Avsnittet All user activity (All user activity ) på fliken Rapport ** för en simulering visar siffror för de möjliga utfallen av simuleringen. Informationen varierar beroende på simuleringstyp. Till exempel:

  • Klickade på meddelandelänken eller länken Bifogad fil klickade eller den bifogade filen öppnades
  • Angivna autentiseringsuppgifter
  • Läs meddelande
  • Meddelande borttaget
  • Svarade på meddelande
  • Vidarebefordrat meddelande
  • Frånvaro

Välj Visa alla användare för att gå till fliken Användare i rapporten där resultatet är ofiltrerat.

Aktivitetsavsnittet Alla användare på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet Leveransstatus i rapporten för simuleringar

Avsnittet Leveransstatus på fliken Rapport ** för en simulering visar numren för möjliga leveransstatusar för simuleringsmeddelandet. Till exempel:

  • Meddelandet har tagits emot
  • Positivt förstärkningsmeddelande levererat
  • Bara simuleringsmeddelande levererat

Välj Visa användare som meddelandeleveransen inte kunde gå till fliken Användare i rapporten där resultaten filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.

Välj Visa exkluderade användare eller grupper för att öppna en utfälld utfällning för exkluderade användare eller grupper som visar de användare eller grupper som har exkluderats från simuleringen.

Avsnittet Leveransstatus på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet om träningsavslut i rapporten för simuleringar

Avsnittet Träningsavslut på sidan med simuleringsinformation visar de utbildningar som krävs för simuleringen och hur många användare som slutförde utbildningarna.

Om inga utbildningar inkluderades i simuleringen är det enda värdet i det här avsnittet att Utbildningar inte ingick i den här simuleringen.

Avsnittet Träningsslut på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet första & genomsnittlig instans i rapporten för simuleringar

Avsnittet Första & genomsnittlig instans på fliken Rapport ** för en simulering visar information om den tid det tog att utföra specifika åtgärder i simuleringen. Till exempel:

  • Första länken klickade
  • Genomsnittlig länk klickade
  • Första angivna autentiseringsuppgifterna
  • Genomsnittlig angiven autentiseringsuppgift

Avsnittet Första & genomsnittlig instans på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet Rekommendationer i rapporten för simuleringar

Avsnittet Rekommendationer på fliken Rapport ** för en simulering visar rekommendationer för att använda utbildning i attacksimulering för att skydda din organisation.

Avsnittet Rekommendationer på fliken Rapport i en simuleringsrapport för en simulering.

Simuleringsrapport för utbildningskampanjer

Det här avsnittet beskriver informationen i simuleringsrapporten för träningskampanjer (inte simuleringar).

Fliken Rapport i träningskampanjrapporten i träning av attacksimulering.

Avsnitt om klassificering av utbildningsslut i rapporten för utbildningskampanjer

Avsnittet Klassificering av utbildningsslut på fliken Rapport ** för en träningskampanj visar information om de slutförda utbildningsmodulerna i kampanjen Utbildning.

Avsnittet Klassificering av träningskomplettering på fliken Rapport i rapporten Träningskampanj i träning av attacksimulering.

Sammanfattning av utbildningsavslut i rapporten för utbildningskampanjer

Sammanfattningsavsnittet Träningsslut på fliken Rapport** för en träningskampanj använder stapeldiagram som visar statusen för tilldelade användare via alla träningsmoduler i kampanjen (antal användare/totalt antal användare):

  • Fullbordad
  • Pågår
  • Inte startad
  • Inte slutfört
  • Tidigare tilldelad

Du kan hovra över ett avsnitt i diagrammet för att se den faktiska procentandelen i varje kategori.

Sammanfattningsavsnittet Träningsslut på fliken Rapport i rapporten Träningskampanj i Träning i Träning av attacksimulering.

Avsnittet All användaraktivitet i rapporten för träningskampanjer

I avsnittet All user activity (All user activity ) på fliken Rapport ** för en träningskampanj används ett stapeldiagram för att visa hur huvudpersonerna har fått träningsavisering (antal användare/totalt antal användare).

Du kan hovra över ett avsnitt i diagrammet för att se de faktiska talen i varje kategori.

Avsnittet All user activity (All user activity) på fliken Rapport i rapporten Träningskampanj i Attacksimuleringsträning.

Bilaga

När du exporterar information från rapporterna innehåller CSV-filen mer information än vad som visas i rapporten, även om alla kolumner visas. Fälten beskrivs i följande tabell.

Tips

För maximal information kontrollerar du att alla tillgängliga kolumner i rapporten är synliga innan du exporterar.

Fältnamn Beskrivning
Användarnamn Användarnamn för användaren som utförde aktiviteten.
UserMail E-postadress till den användare som utförde aktiviteten.
Äventyras Anger om användaren har komprometterats. Värdena är Ja eller Nej.
AttachmentOpened_TimeStamp När den bifogade filen öppnades.
AttachmentOpened_Browser När den bifogade filen öppnades i en webbläsare. Den här informationen kommer från UserAgent.
AttachmentOpened_IP IP-adressen där den bifogade filen öppnades. Den här informationen kommer från UserAgent.
AttachmentOpened_Device Enheten där den bifogade filen öppnades. Den här informationen kommer från UserAgent.
AttachmentLinkClicked_TimeStamp När länken för den bifogade filen klickades.
AttachmentLinkClicked_Browser Webbläsaren som användes för att klicka på länken för den bifogade filen. Den här informationen kommer från UserAgent.
AttachmentLinkClicked_IP IP-adressen där länken till den bifogade filen klickades. Den här informationen kommer från UserAgent.
AttachmentLinkClicked_Device Enheten där länken till den bifogade filen klickades. Den här informationen kommer från UserAgent.
CredSupplied_TimeStamp(komprometterad) När användaren har angett sina autentiseringsuppgifter.
CredSupplied_Browser Webbläsaren som användes när användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent.
CredSupplied_IP IP-adressen där användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent.
CredSupplied_Device Enheten där användaren angav sina autentiseringsuppgifter. Den här informationen kommer från UserAgent.
SuccessfullyDeliveredEmail_TimeStamp När simuleringens e-postmeddelande levererades till användaren.
MessageRead_TimeStamp När simuleringsmeddelandet lästes.
MessageDeleted_TimeStamp När simuleringsmeddelandet togs bort.
MessageReplied_TimeStamp När användaren svarade på simuleringsmeddelandet.
MessageForwarded_TimeStamp När användaren vidarebefordrade simuleringsmeddelandet.
OutOfOfficeDays Avgör om användaren är arbetslös. Den här informationen kommer från inställningen Automatiska svar i Outlook.
PositiveReinforcementMessageDelivered_TimeStamp När det positiva förstärkningsmeddelandet levererades till användaren.
PositiveReinforcementMessageFailed_TimeStamp När det positiva förstärkningsmeddelandet inte kunde levereras till användaren.
JustSimulationMessageDelivered_TimeStamp När simuleringsmeddelandet levererades till användaren som en del av en simulering utan tilldelade utbildningar (Ingen utbildning valdes på sidan Tilldela utbildning i den nya simuleringsguiden).
JustSimulationMessageFailed_TimeStamp När simuleringsmeddelandet inte kunde levereras till användaren och simuleringen inte hade några tilldelade utbildningar.
TrainingAssignmentMessageDelivered_TimeStamp När meddelandet om träningstilldelning levererades till användaren. Det här värdet är tomt om inga utbildningar har tilldelats i simuleringen.
TrainingAssignmentMessageFailed_TimeStamp När meddelandet om träningstilldelning inte kunde levereras till användaren. Det här värdet är tomt om inga utbildningar har tilldelats i simuleringen.
FailedToDeliverEmail_TimeStamp När simuleringsmeddelandet inte kunde levereras till användaren.
Senaste simuleringsaktivitet Den senaste simuleringsaktiviteten för användaren (oavsett om de godkändes eller komprometterades).
Tilldelade utbildningar Listan över utbildningar som tilldelats användaren som en del av simuleringen.
Slutförda utbildningar Listan över utbildningar som slutförts av användaren som en del av simuleringen..
Träningsstatus Aktuell status för utbildningar för användaren som en del av simuleringen.
Nätfiske rapporterat på När användaren rapporterade simuleringsmeddelandet som nätfiske.
Department Användarens avdelningsegenskapsvärde i Microsoft Entra-ID vid tidpunkten för simuleringen.
Company Användarens företagsegenskapsvärde i Microsoft Entra-ID vid tidpunkten för simuleringen.
Rubrik Användarens egenskapsvärde För rubrik i Microsoft Entra-ID vid tidpunkten för simuleringen.
Office Användarens Office-egenskapsvärde i Microsoft Entra-ID vid tidpunkten för simuleringen.
Ort Användarens cityegenskapsvärde i Microsoft Entra-ID vid tidpunkten för simuleringen.
Land Användarens egenskapsvärde Land i Microsoft Entra-ID vid tidpunkten för simuleringen.
Föreståndare Användarens manager-egenskapsvärde i Microsoft Entra-ID vid tidpunkten för simuleringen.

Hur användaraktivitetssignaler samlas in beskrivs i följande tabell.

Fält Beskrivning Beräkningslogik
DownloadAttachment En användare laddade ned den bifogade filen. Signalen kommer från klienten (till exempel Outlook eller Word).
Öppnad bifogad fil En användare öppnade den bifogade filen. Signalen kommer från klienten (till exempel Outlook eller Word).
Läs meddelande Användaren läste simuleringsmeddelandet. Det kan uppstå problem med meddelandeläsningssignaler i följande scenarier:
  • Användaren rapporterade meddelandet som nätfiske i Outlook utan att lämna läsfönstret och Markera objekt som lästa när de visades i läsfönstret har inte konfigurerats (standard).
  • Användaren rapporterade det olästa meddelandet som nätfiske i Outlook, meddelandet togs bort och Markera meddelanden som lästa när de togs bort har inte konfigurerats (standard).
Frånvaro Avgör om användaren är arbetslös. Beräknas för närvarande av inställningen Automatiska svar från Outlook.
Komprometterad användare Anger om en användare har komprometterats. Kompromisssignalerna kan variera beroende på attacktyp.
  • Skörd av autentiseringsuppgifter: Användaren anger sina autentiseringsuppgifter på inloggningssidan (autentiseringsuppgifter lagras inte av Microsoft).
  • Bifogad kod: Användaren öppnar filen och aktiverar redigering i skyddad vy.
  • Länk i bifogad fil: Användaren öppnar den bifogade filen och klickar på länken.
  • Länk till skadlig kod: Användaren klickar på länken och anger sina autentiseringsuppgifter.
  • Enhet efter URL: Användaren klickar på länken (det krävs inte att ange autentiseringsuppgifter).
  • OAuth: Användaren klickar på länken och accepterar att dela behörigheter.
Klickade på meddelandelänk Anger om en användare klickade på meddelandet. URL:en i simuleringen är unik för varje användare, vilket tillåter aktivitetsspårning för enskilda användare. Filtreringstjänster från tredje part eller vidarebefordran av e-post kan leda till falska positiva identifieringar. Mer information finns i Jag ser klick eller kompromettera händelser från användare som insisterar på att de inte klickade på länken i simuleringsmeddelandet.
Vidarebefordrat meddelande Anger om en användare vidarebefordrade meddelandet.
Svarade på meddelande Anger om en slutanvändare har svarat på meddelandet.
Meddelande borttaget Anger om en slutanvändare har tagit bort meddelandet. Signalen kommer från Outlook-aktiviteten för användaren. Om användaren rapporterar meddelandet som nätfiske kan meddelandet flyttas till mappen Borttaget, som identifieras som en borttagning.
Beviljade behörigheter Anger om en användare har delat behörigheter i en Oauth-baserad attack.

Kom igång med Attack simuleringsträning

Skapa en simulering av nätfiskeattacker

skapa en nyttolast för att utbilda ditt folk