攻击模拟训练的见解和报告

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

在 Microsoft Defender for Office 365 计划 2 或 Microsoft 365 E5 的攻击模拟训练中,Microsoft提供模拟结果和相应训练的见解和报告。 此信息可让你随时了解用户的威胁准备进度,并建议采取后续步骤来更好地为用户将来的攻击做好准备。

Microsoft Defender 门户中 的“攻击模拟训练 ”页上的以下位置提供了见解和报告:

本文的其余部分介绍攻击模拟训练的报告和见解。

有关攻击模拟训练的入门信息,请参阅 开始使用攻击模拟训练

攻击模拟训练的“概述”和“报告”选项卡上的见解

若要转到“ 概述 ”选项卡,请在 中打开 Microsoft Defender 门户 https://security.microsoft.com,转到 电子邮件 & 协作>攻击模拟训练

下表介绍了选项卡上见解的分布情况:

报告 “概述”选项卡 报告选项卡
最近的模拟卡片
建议卡
模拟覆盖范围卡
训练完成卡
重复犯罪者卡片
行为对泄露率卡的影响

本部分的其余部分介绍攻击模拟训练的“ 概述 ”和“ 报告 ”选项卡上提供的信息。

最近的模拟卡片

概述”选项卡上的“最近模拟”卡片显示你在组织中创建或运行的最近三个模拟。

可以选择模拟来查看详细信息。

选择“ 查看所有模拟” 将转到“ 模拟 ”选项卡。

选择“ 启动模拟 ”将启动新的模拟向导。 有关详细信息,请参阅 在 Defender for Office 365 中模拟网络钓鱼攻击

Microsoft Defender 门户中“攻击模拟训练”中“概述”选项卡上的“最近模拟”卡片。

建议卡

概述”选项卡上的“建议”卡建议不同类型的模拟运行。

选择“ 启动”现在 启动新的模拟向导,其中“ 选择技术 ”页上自动选择了指定的模拟类型。 有关详细信息,请参阅 在 Defender for Office 365 中模拟网络钓鱼攻击

Microsoft Defender 门户中“攻击模拟训练”中“概述”选项卡上的“建议”卡。

模拟覆盖范围卡

概述”和“报告”选项卡上的“模拟覆盖率”卡显示组织中收到模拟 (模拟用户) 与未收到模拟 (非模拟用户) 的用户的百分比。 可以将鼠标悬停在图表中的某个部分上,以查看每个类别中的实际用户数。

选择“ 查看模拟覆盖率报告 ”可转到 攻击模拟报告的“用户覆盖率”选项卡

选择“ 为非模拟用户启动模拟 ”将启动新的模拟向导,其中未收到模拟的用户将在 “目标用户 ”页上自动选中。 有关详细信息,请参阅 在 Defender for Office 365 中模拟网络钓鱼攻击

Microsoft Defender 门户中“攻击模拟训练”中“概述”选项卡上的“模拟覆盖率”卡。

训练完成卡

概述”和“报告”选项卡上的“培训完成”卡根据模拟结果将接受培训的用户的百分比组织为以下类别:

  • 已完成
  • 正在进行
  • 不完全的

可以将鼠标悬停在图表中的某个部分上,以查看每个类别中的实际用户数。

选择“ 查看训练完成报告 ”会将你转到 “攻击模拟”报告的“训练完成”选项卡

Microsoft Defender 门户中“攻击模拟训练”中“概述”选项卡上的“训练完成卡”。

重复犯罪者卡片

概述”和“报告”选项卡上的“重复罪犯”卡片显示有关重复罪犯的信息。 重复犯罪者是连续模拟所危害的用户。 连续模拟的默认数目为 2,但可以在 处更改攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting“设置”选项卡上的值。 有关详细信息,请参阅 配置重复犯罪者阈值

该图表按 模拟类型组织重复犯罪者数据:

  • 全部
  • 恶意软件附件
  • 指向恶意软件的链接
  • Credential Harvest
  • 附件中的链接
  • 驾驶 URL

选择“ 查看重复犯罪者报告 ”可转到 “攻击模拟报告”的“重复犯罪者”选项卡

Microsoft Defender 门户中“攻击模拟训练”中“概述”选项卡上的“重复犯罪者”卡片

行为对泄露率卡的影响

与 Microsoft 365 中的历史数据相比,“概述”和“报告”选项卡上的“行为对泄露率的影响”卡显示用户对模拟的响应情况。 可以通过针对同一用户组运行多个模拟来使用这些见解来跟踪用户威胁就绪情况的进度。

图表数据显示以下信息:

  • 实际泄露率:受模拟攻击的实际百分比 (实际用户已泄露/组织中收到模拟) 的用户总数。
  • 预测泄露率:跨 Microsoft 365 的历史数据,用于预测此模拟将受到攻击的人员的百分比。 若要详细了解预测的入侵率 (PCR) ,请参阅 预测的入侵率

如果将鼠标悬停在图表中的数据点上,则会显示实际百分比值。

若要查看详细报告,请选择“ 查看模拟和训练效果报告”。 本文稍后将对此报表进行说明。

Microsoft Defender 门户中攻击模拟训练中的“概述”选项卡上的行为对入侵率的影响卡。

攻击模拟报告

可以通过选择“查看...”,从“概述”选项卡打开攻击模拟报告。报告本文所述的“概述”和“报表”选项卡上的某些卡片上可用的操作。 若要直接转到 “攻击模拟报告 ”页,请使用 https://security.microsoft.com/attacksimulationreport

“攻击模拟”报表的“训练效果”选项卡

默认情况下,“攻击模拟报告”页上选择了“训练效果”选项卡。 此选项卡提供的行为 对泄露率的影响 卡中提供的相同信息,以及模拟本身的其他上下文。

Microsoft Defender 门户中“攻击模拟”报表中的“训练效果”选项卡。

此图表显示 实际泄露率预测泄露率。 如果将鼠标悬停在图表中的某个部分上,将显示的实际百分比值。

图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对模拟进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • 模拟名称
  • 模拟技术
  • 模拟策略
  • 预测的泄露率
  • 实际泄露率
  • 目标用户总数
  • 单击的用户计数

使用“ 搜索 ”框可按 模拟名称模拟技术筛选结果。 不支持通配符。

使用“ 导出报表 ”按钮将信息保存到 CSV 文件。 默认文件名为“攻击模拟报告 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如攻击模拟报告 - Microsoft Defender (1) .csv) 。

攻击模拟报告的用户覆盖率选项卡

在“用户覆盖率”选项卡上,图表显示模拟用户和非模拟用户。 如果将鼠标悬停在图表中的数据点上,则会显示实际值。

Microsoft Defender 门户中“攻击模拟”报表中的“用户覆盖率”选项卡。

图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对信息进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • Username
  • 电子邮件地址
  • 包含在模拟中
  • 上次模拟的日期
  • 上次模拟结果
  • 单击的计数
  • 已泄露的计数

使用“ 搜索 ”框按 用户名电子邮件地址筛选结果。 不支持通配符。

使用“ 导出报表 ”按钮将信息保存到 CSV 文件。 默认文件名为“攻击模拟报告 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如攻击模拟报告 - Microsoft Defender (1) .csv) 。

“攻击模拟”报表的“训练完成”选项卡

在“ 训练完成 ”选项卡上,图表显示 “已完成”、“ 正在进行”“不完整 ”模拟的数目。 如果将鼠标悬停在图表中的某个部分上,将显示实际值。

Microsoft Defender 门户中“攻击模拟”报表中的“训练完成”选项卡。

图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对信息进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • Username
  • 电子邮件地址
  • 包含在模拟中
  • 上次模拟的日期
  • 上次模拟结果
  • 最近完成的训练的名称
  • 完成日期
  • 所有训练

选择“筛选,按训练的“状态”值筛选图表和详细信息表:“已完成”、“正在进行”“全部”。

完成筛选器配置后,选择“应用”、“取消”清除筛选器”。

使用“ 搜索 ”框按 用户名电子邮件地址筛选结果。 不支持通配符。

如果选择“ 导出报表 ”按钮,则报表生成进度将显示为完成的百分比。 在打开的对话框中,可以选择打开 .csv 文件,保存 .csv 文件,并记住所选内容。

“攻击模拟”报表的“重复犯罪者”选项卡

重复犯罪者是连续模拟所危害的用户。 连续模拟的默认数目为 2,但可以在 处更改攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting“设置”选项卡上的值。 有关详细信息,请参阅 配置重复犯罪者阈值

在“ 重复犯罪者 ”选项卡上,图表显示 “重复犯罪者”用户 数和 “模拟用户数”。

Microsoft Defender 门户中的攻击模拟报告中的“重复犯罪者”选项卡。

如果将鼠标悬停在图表中的数据点上,则会显示实际值。

图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对信息进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列。

  • 用户
  • 模拟类型
  • 模拟
  • 电子邮件地址
  • 上次重复计数
  • 重复进攻
  • 上次模拟名称
  • 上次模拟结果
  • 上次分配的训练
  • 上次训练状态

选择“筛选,按一个或多个模拟类型值筛选图表和详细信息表:

  • Credential Harvest
  • 恶意软件附件
  • 附件中的链接
  • 指向恶意软件的链接

完成筛选器配置后,选择“应用”、“取消”清除筛选器”。

使用“ 搜索 ”框可按任何列值筛选结果。 不支持通配符。

使用“ 导出报表 ”按钮将信息保存到 CSV 文件。 默认文件名为“攻击模拟报告 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如攻击模拟报告 - Microsoft Defender (1) .csv) 。

攻击模拟训练中的模拟报告

模拟报告显示正在进行或已完成的模拟的详细信息, (“状态” 值为“ 正在进行” 或“ 已完成) ”。 若要查看模拟报告,请使用以下任一方法:

打开的报表页包含 “报表”、“用户”和“ 详细信息 ”选项卡,其中包含有关模拟的信息。 本部分的其余部分介绍“报表”选项卡上提供的见解和 报表

以下小节介绍了模拟的“ 报表 ”选项卡上的部分。

有关“ 用户 ”和“ 详细信息 ”选项卡的详细信息,请参阅以下链接。

模拟的模拟报表

本部分介绍常规模拟的模拟报告中的信息, (而不是 训练活动) 。

攻击模拟训练中的模拟报表中的“报告”选项卡。

用于模拟的报表中的“模拟影响”部分

模拟的“报告”选项卡上的“模拟影响”部分显示已泄露用户报告邮件的用户的数量和百分比。

如果将鼠标悬停在图表中的某个部分上,将显示每个类别的实际数字。

选择“ 查看已泄露的用户 ”,转到报表中的 “用户”选项卡 ,其中的结果按 “已泄露:是”进行筛选。

选择“ 查看报告的用户 ”,转到报表中的 “用户”选项卡 ,其中的结果按“ 报告”消息进行筛选:“是”。

模拟报表的“报告”选项卡上的“模拟影响”部分。

报表中用于模拟的所有用户活动部分

模拟的“报告”选项卡上的“所有用户活动”部分显示模拟可能结果的数字。 信息因模拟类型而异。 例如:

  • 单击的邮件链接附件链接单击附件打开
  • 提供的凭据
  • 读取消息
  • 已删除消息
  • 已答复邮件
  • 转发的邮件
  • Out of office - 外出

选择“ 查看所有用户 ”,转到未筛选结果的报表中的 “用户”选项卡

模拟报表的“报告”选项卡上的“所有用户活动”部分。

用于模拟的报表中的“传递状态”部分

模拟的“报告”选项卡上的“传递状态”部分显示模拟消息可能传递状态的数字。 例如:

  • 已成功接收消息
  • 传递的正强化消息
  • 只传递了模拟消息

选择“ 查看消息传递失败的用户 ”,转到报表中的 “用户”选项卡 ,其中的结果按 模拟消息传递:无法传递

选择“ 查看排除的用户或组 ”以打开“ 排除的用户或组 ”浮出控件,其中显示从模拟中排除的用户或组。

模拟报表的“报告”选项卡上的“交付状态”部分。

用于模拟的报表中的训练完成部分

模拟详细信息页上的 “训练完成 ”部分显示模拟所需的训练,以及完成训练的用户数。

如果模拟中未包含任何训练,则本部分中的唯一值是 训练不是此模拟的一部分

模拟报表的“报告”选项卡上的“训练完成”部分。

报表中用于模拟的第一个 & 平均实例部分

模拟的“报告”选项卡上的“第一个 & 平均实例”部分显示有关在模拟中执行特定操作所花费的时间的信息。 例如:

  • 已单击第一个链接
  • 已单击平均链接
  • 输入的第一个凭据
  • 输入的平均值凭据

模拟报表的“报表”选项卡上的“第一 & 平均实例”部分。

用于模拟的报表中的“建议”部分

模拟的“报告”选项卡上的“建议”部分显示有关使用攻击模拟训练来帮助保护组织的建议。

模拟报表的“报告”选项卡上的“建议”部分。

培训活动模拟报告

本部分介绍培训活动模拟报告中的信息, (而不是 模拟) 。

攻击模拟训练中“训练活动”报表中的“报告”选项卡。

培训活动报表中的培训完成分类部分

培训活动的“报告”选项卡上的“培训完成分类”部分显示有关培训活动中已完成的培训模块的信息。

攻击模拟训练中“训练活动”报表中“报表”选项卡上的“训练完成分类”部分。

培训活动报告中的培训完成摘要部分

培训活动报告”选项卡上的“培训完成摘要”部分使用条形图显示已分配用户通过市场活动中的所有培训模块的进度 (用户数/用户总数) :

  • 已完成
  • 正在进行
  • 未启动
  • 未完成
  • 以前分配的

可以将鼠标悬停在图表中的某个部分上,以查看每个类别的实际百分比。

攻击模拟训练中“培训活动”报表中“报告”选项卡上的“培训完成摘要”部分。

培训市场活动报告中的“所有用户活动”部分

培训市场活动的“报告”选项卡上的“所有用户活动”部分使用条形图显示主要人员如何成功接收培训通知 (用户数/) 用户总数。

可以将鼠标悬停在图表中的某个部分上,以查看每个类别的实际数字。

攻击模拟训练中“训练活动”报表中“报告”选项卡上的“所有用户活动”部分。

附录

从报表中导出信息时,即使已显示所有列,CSV 文件所包含的信息也比报表中显示的信息更多。 下表介绍了这些字段。

提示

有关最大信息,请在导出之前验证报表中的所有可用列是否可见。

字段名称 说明
UserName 执行活动的用户的用户名。
UserMail 执行活动的用户的电子邮件地址。
妥协 指示用户是否遭到入侵。 值为“是”或“否”。
AttachmentOpened_TimeStamp 打开附件时。
AttachmentOpened_Browser 在 Web 浏览器中打开附件时。 此信息来自 UserAgent。
AttachmentOpened_IP 打开附件的 IP 地址。 此信息来自 UserAgent。
AttachmentOpened_Device 打开附件的设备。 此信息来自 UserAgent。
AttachmentLinkClicked_TimeStamp 单击附件链接时。
AttachmentLinkClicked_Browser 用于单击附件链接的 Web 浏览器。 此信息来自 UserAgent。
AttachmentLinkClicked_IP 单击附件链接的 IP 地址。 此信息来自 UserAgent。
AttachmentLinkClicked_Device 单击附件链接的设备。 此信息来自 UserAgent。
CredSupplied_TimeStamp (泄露) 当用户输入其凭据时。
CredSupplied_Browser 用户输入凭据时使用的 Web 浏览器。 此信息来自 UserAgent。
CredSupplied_IP 用户输入其凭据的 IP 地址。 此信息来自 UserAgent。
CredSupplied_Device 用户输入其凭据的设备。 此信息来自 UserAgent。
SuccessfullyDeliveredEmail_TimeStamp 将模拟电子邮件发送给用户时。
MessageRead_TimeStamp 读取模拟消息时。
MessageDeleted_TimeStamp 删除模拟消息时。
MessageReplied_TimeStamp 当用户回复模拟消息时。
MessageForwarded_TimeStamp 当用户转发模拟消息时。
OutOfOfficeDays 确定用户是否外出。 此信息来自 Outlook 中的“自动答复”设置。
PositiveReinforcementMessageDelivered_TimeStamp 将正强化消息传递给用户时。
PositiveReinforcementMessageFailed_TimeStamp 无法向用户传递正强化消息时。
JustSimulationMessageDelivered_TimeStamp 当模拟消息作为模拟的一部分传递给用户时,未分配训练 (新模拟向导的“分配训练”页上) 选择了“没有训练”。
JustSimulationMessageFailed_TimeStamp 当模拟电子邮件无法传递给用户,并且模拟未分配任何训练时。
TrainingAssignmentMessageDelivered_TimeStamp 将训练分配消息传递给用户时。 如果未在模拟中分配任何训练,则此值为空。
TrainingAssignmentMessageFailed_TimeStamp 训练分配消息无法传递给用户时。 如果未在模拟中分配任何训练,则此值为空。
FailedToDeliverEmail_TimeStamp 无法向用户传递模拟电子邮件时。
上次模拟活动 用户的最后一个模拟活动 (他们是否通过或被入侵) 。
分配的训练 作为模拟的一部分分配给用户的训练列表。
已完成的训练 用户作为模拟的一部分完成的训练列表。
训练状态 作为模拟的一部分的用户训练的当前状态。
网络钓鱼报告 当用户将模拟消息报告为钓鱼时。
部门 模拟时用户的 Department 属性值Microsoft Entra ID。
Company 模拟时,用户的公司属性值Microsoft Entra ID。
标题 模拟时,用户的 Title 属性值Microsoft Entra ID。
Office 模拟时,用户的 Office 属性值Microsoft Entra ID。
城市 模拟时用户的 City 属性值Microsoft Entra ID。
国家/地区 模拟时,用户的国家/地区属性值Microsoft Entra ID。
Manager 模拟时,用户的 Manager 属性值Microsoft Entra ID。

下表介绍了如何捕获用户活动信号。

字段 说明 计算逻辑
DownloadAttachment 用户下载了附件。 信号来自客户端 (,例如 Outlook 或 Word) 。
打开的附件 用户打开了附件。 信号来自客户端 (,例如 Outlook 或 Word) 。
读取消息 用户读取模拟消息。 在以下情况下,消息读取信号可能会遇到问题:
  • 用户在 Outlook 中将邮件报告为网络钓鱼而不离开阅读窗格,在 阅读窗格中查看时未将项目标记为已读 , (默认) 。
  • 用户在 Outlook 中将未读邮件报告为钓鱼邮件,邮件已删除,删除邮件时未将 邮件标记为已读 , (默认) 。
外出 确定用户是否外出。 当前由 Outlook 中的“自动答复”设置计算。
泄露的用户 指示用户是否遭到入侵。 泄露信号可能因攻击类型而异。
  • Credential Harvest:用户在登录页中输入其凭据, (凭据不由Microsoft) 存储。
  • 恶意软件附件:用户打开文件,并在受保护的视图中启用编辑。
  • 附件中的链接:用户打开附件,然后单击链接。
  • 指向恶意软件的链接:用户单击该链接并输入其凭据。
  • 按 URL 驱动:用户单击链接 (不需要输入凭据) 。
  • OAuth:用户单击链接并接受共享权限。
已单击的消息链接 指示用户是否单击了消息。 模拟中的 URL 对于每个用户都是唯一的,这允许单个用户活动跟踪。 第三方筛选服务或电子邮件转发可能会导致误报。 有关详细信息,请参阅 我看到用户坚持未单击模拟消息中的链接的点击或泄露事件
转发的邮件 指示用户是否转发了消息。
已答复邮件 指示最终用户是否已回复邮件。
已删除消息 指示最终用户是否删除了消息。 信号来自用户的 Outlook 活动。 如果用户将邮件报告为钓鱼邮件,则邮件可能会移动到“已删除邮件”文件夹,该文件夹标识为删除。
授予的权限 指示用户在基于 Oauth 的攻击中是否共享了权限。

开始使用攻击模拟培训

创建钓鱼攻击模拟

创建用于培训人员的有效负载