攻击模拟训练的见解和报告

项目
03/26/2024
适用于:

✅ Microsoft Defender for Office 365 Plan 2

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。在此处了解谁可以注册和试用条款。

在 Microsoft Defender for Office 365 计划 2 或 Microsoft 365 E5 攻击模拟训练中，Microsoft 提供了来自模拟结果和相应训练的见解和报告。此信息可让你随时了解用户的威胁准备进度，并建议采取后续步骤来更好地为用户将来的攻击做好准备。

见解和报表在Microsoft Defender门户中的“攻击模拟训练”页上的以下位置提供：

见解：
- 中的https://security.microsoft.com/attacksimulator?viewid=overview“概述”选项卡。
- 位于的https://security.microsoft.com/attacksimulator?viewid=reports“报表”选项卡。
报告：
- 攻击模拟报告页位于 https://security.microsoft.com/attacksimulationreport：
- 正在进行的和已完成的模拟和训练活动的报告：有关详细信息，请参阅攻击模拟报告。

本文的其余部分介绍攻击模拟训练的报告和见解。

有关攻击模拟训练的入门信息，请参阅开始使用攻击模拟训练。

攻击模拟训练的“概述”和“报表”选项卡上的见解

若要转到“概述”选项卡，请在中打开Microsoft Defender门户https://security.microsoft.com，转到Email &协作>攻击模拟训练：

“概述”选项卡：验证是否选择了“概述”选项卡， (它是默认) 。或者，若要直接转到“ 概述 ”选项卡，请使用 https://security.microsoft.com/attacksimulator?viewid=overview。
“报表”选项卡：选择“报表”选项卡。或者，若要直接转到“报表”选项卡，请使用 https://security.microsoft.com/attacksimulationreport。

下表介绍了选项卡上见解的分布情况：

报告	“概述”选项卡	报告选项卡
最近的模拟卡	✔
建议卡	✔
模拟覆盖卡	✔	✔
训练完成卡	✔	✔
重复犯罪卡	✔	✔
行为对泄露率卡的影响	✔	✔

本部分的其余部分介绍攻击模拟训练的“概述”和“报告”选项卡上提供的信息。

建议卡

“概述”选项卡上的“建议”卡建议运行不同类型的模拟。

选择“ 启动”现在 启动新的模拟向导，其中“ 选择技术 ”页上自动选择了指定的模拟类型。有关详细信息，请参阅模拟Defender for Office 365中的钓鱼攻击。

模拟覆盖卡

“概述”和“报告”选项卡上的“模拟覆盖卡”显示组织中收到模拟 (模拟用户) 与未收到模拟的用户 (非模拟用户) 的百分比。可以将鼠标悬停在图表中的某个部分上，以查看每个类别中的实际用户数。

选择“ 查看模拟覆盖率报告 ”可转到攻击模拟报告的“用户覆盖率”选项卡。

选择“ 为非模拟用户启动模拟 ”将启动新的模拟向导，其中未收到模拟的用户将在 “目标用户 ”页上自动选中。有关详细信息，请参阅模拟Defender for Office 365中的钓鱼攻击。

训练完成卡

“概述”和“报告”选项卡上的“训练完成卡根据模拟结果将接受训练的用户的百分比组织为以下类别：

已完成
正在进行
完整

可以将鼠标悬停在图表中的某个部分上，以查看每个类别中的实际用户数。

选择“ 查看训练完成报告 ”会将你转到 “攻击模拟”报告的“训练完成”选项卡。

重复犯罪卡

“概述”和“报告”选项卡上的“重复犯罪者”卡显示有关重复罪犯的信息。 重复犯罪者是连续模拟所危害的用户。连续模拟的默认数目为 2，但可以在处更改攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting的“设置”选项卡上的值。有关详细信息，请参阅配置重复犯罪者阈值。

该图表按模拟类型组织重复犯罪者数据：

全部
恶意软件附件
指向恶意软件的链接
Credential Harvest
附件中的链接
驾驶 URL

选择“ 查看重复犯罪者报告 ”可转到 “攻击模拟报告”的“重复犯罪者”选项卡。

行为对泄露率卡的影响

“概述”和“报告”选项卡上卡的行为对入侵率的影响显示用户与 Microsoft 365 中的历史数据相比对模拟的响应情况。可以通过针对同一用户组运行多个模拟来使用这些见解来跟踪用户威胁就绪情况的进度。

图表数据显示以下信息：

实际泄露率：受模拟攻击的实际百分比 (实际用户已泄露/组织中收到模拟) 的用户总数。
预测泄露率：Microsoft 365 的历史数据，用于预测将受到此模拟攻击的用户的百分比。若要详细了解预测的入侵率 (PCR) ，请参阅预测的入侵率。

如果将鼠标悬停在图表中的数据点上，则会显示实际百分比值。

若要查看详细报告，请选择“ 查看模拟和训练效果报告”。本文稍后将对此报表进行说明。

攻击模拟报告

可以通过选择“查看...”，从“概述”选项卡打开攻击模拟报告。报告本文所述的“概述”和“报表”选项卡上的某些卡片上可用的操作。若要直接转到 “攻击模拟报告 ”页，请使用 https://security.microsoft.com/attacksimulationreport

“攻击模拟”报表的“训练效果”选项卡

默认情况下，“攻击模拟报告”页上选择了“训练效果”选项卡。此选项卡提供的行为对入侵率的影响卡中提供的相同信息，以及模拟本身的其他上下文。

此图表显示 实际泄露率 和 预测泄露率。如果将鼠标悬停在图表中的某个部分上，将显示的实际百分比值。

图表下方的详细信息表显示了以下信息。可以通过单击可用的列标题对模拟进行排序。选择“自定义列”以更改显示的列。默认情况下，选择所有可用列。

模拟名称
模拟技术
模拟策略
预测的泄露率
实际泄露率
目标用户总数
单击的用户计数

使用“搜索”框按“模拟名称”或“模拟技术”筛选结果。不支持通配符。

使用“ 导出报表 ”按钮将信息保存到 CSV 文件。默认文件名为“攻击模拟报告 - Microsoft Defender.csv”，默认位置为本地“下载”文件夹。如果导出的报表已存在于该位置，则文件名 (递增，例如攻击模拟报告 - Microsoft Defender (1) .csv) 。

攻击模拟报告的用户覆盖率选项卡

在“用户覆盖率”选项卡上，图表显示模拟用户和非模拟用户。如果将鼠标悬停在图表中的数据点上，则会显示实际值。

图表下方的详细信息表显示了以下信息。可以通过单击可用的列标题对信息进行排序。选择“自定义列”以更改显示的列。默认情况下，选择所有可用列。

Username
电子邮件地址
包含在模拟中
上次模拟的日期
上次模拟结果
单击的计数
已泄露的计数

使用“搜索”框按“用户名”或“Email地址”筛选结果。不支持通配符。

“攻击模拟”报表的“训练完成”选项卡

在“ 训练完成 ”选项卡上，图表显示 “已完成”、“ 正在进行”和 “不完整 ”模拟的数目。如果将鼠标悬停在图表中的某个部分上，将显示实际值。

Username
电子邮件地址
包含在模拟中
上次模拟的日期
上次模拟结果
最近完成的训练的名称
完成日期
所有训练

选择“筛选”，按训练的“状态”值筛选图表和详细信息表：“已完成”、“正在进行”或“全部”。

完成筛选器配置后，选择“应用”、“取消”或“清除筛选器”。

使用“搜索”框按“用户名”或“Email地址”筛选结果。不支持通配符。

如果选择“ 导出报表 ”按钮，则报表生成进度将显示为完成的百分比。在打开的对话框中，可以选择打开 .csv 文件，保存 .csv 文件，并记住所选内容。

“攻击模拟”报表的“重复犯罪者”选项卡

重复犯罪者是连续模拟所危害的用户。连续模拟的默认数目为 2，但可以在处更改攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting的“设置”选项卡上的值。有关详细信息，请参阅配置重复犯罪者阈值。

在“ 重复犯罪者 ”选项卡上，图表显示 “重复犯罪者”用户 数和 “模拟用户数”。

如果将鼠标悬停在图表中的数据点上，则会显示实际值。

用户
模拟类型
模拟
电子邮件地址
上次重复计数
重复进攻
上次模拟名称
上次模拟结果
上次分配的训练
上次训练状态

选择“筛选”，按一个或多个模拟类型值筛选图表和详细信息表：

Credential Harvest
恶意软件附件
附件中的链接
指向恶意软件的链接

完成筛选器配置后，选择“应用”、“取消”或“清除筛选器”。

使用“搜索”框可按任何列值筛选结果。不支持通配符。

攻击模拟训练中的模拟报表

模拟报告显示正在进行或已完成的模拟的详细信息， (“状态” 值为“ 正在进行” 或“ 已完成) ”。若要查看模拟报告，请使用以下任一方法：

在的“攻击模拟训练”页https://security.microsoft.com/attacksimulator?viewid=overview的“概述”选项卡上，从“最近的模拟”卡选择模拟。
在 攻击模拟训练 页https://security.microsoft.com/attacksimulator?viewid=simulations的“模拟”选项卡上，单击名称旁边的检查框以外的任何位置，选择模拟。有关详细信息，请参阅查看模拟报告。
- 在 的“攻击模拟训练”页https://security.microsoft.com/attacksimulator?viewid=trainingcampaign的“培训”选项卡上，使用以下方法之一选择培训活动：
- 单击行中除名称旁边的检查框以外的任何位置。
- 选择名称旁边的检查框，然后选择“查看报表”。
有关详细信息，请参阅查看培训市场活动报告。

打开的报表页包含 “报表”、“用户”和“ 详细信息 ”选项卡，其中包含有关模拟的信息。本部分的其余部分介绍“报表”选项卡上提供的见解和报表。

以下小节介绍了模拟的“ 报表 ”选项卡上的部分。

有关“ 用户 ”和“ 详细信息 ”选项卡的详细信息，请参阅以下链接。

模拟：
- “用户”选项卡
- “详细信息”选项卡
培训活动：
- “用户”选项卡
- “详细信息”选项卡

模拟的模拟报表

本部分介绍常规模拟的模拟报告中的信息， (而不是训练活动) 。

用于模拟的报表中的“模拟影响”部分

模拟的“报告”选项卡上的“模拟影响”部分显示已泄露用户和报告邮件的用户的数量和百分比。

如果将鼠标悬停在图表中的某个部分上，将显示每个类别的实际数字。

选择“ 查看已泄露的用户 ”，转到报表中的 “用户”选项卡，其中的结果按 “已泄露：是”进行筛选。

选择“ 查看报告的用户 ”，转到报表中的 “用户”选项卡，其中的结果按“ 报告”消息进行筛选：“是”。

报表中用于模拟的所有用户活动部分

模拟的“报告”选项卡上的“所有用户活动”部分显示模拟可能结果的数字。信息因模拟类型而异。例如：

单击的邮件链接 或 附件链接单击 或 附件打开
提供的凭据
读取消息
已删除消息
已答复邮件
转发的邮件
Out of office －外出

选择“ 查看所有用户 ”，转到未筛选结果的报表中的 “用户”选项卡。

用于模拟的报表中的“传递状态”部分

模拟的“报告”选项卡上的“传递状态”部分显示模拟消息可能传递状态的数字。例如：

已成功接收消息
传递的正强化消息
**只传递了模拟消息

选择“ 查看消息传递失败的用户 ”，转到报表中的 “用户”选项卡，其中的结果按 模拟消息传递：无法传递。

选择“ 查看排除的用户或组 ”以打开“ 排除的用户或组 ”浮出控件，其中显示从模拟中排除的用户或组。

用于模拟的报表中的训练完成部分

模拟详细信息页上的 “训练完成 ”部分显示模拟所需的训练，以及完成训练的用户数。

如果模拟中未包含任何训练，则本部分中的唯一值是 训练不是此模拟的一部分。

报表中用于模拟的第一个 & 平均实例部分

模拟的“报告”选项卡上的“第一个 & 平均实例”部分显示有关在模拟中执行特定操作所花费的时间的信息。例如：

已单击第一个链接
已单击平均链接
输入的第一个凭据
输入的平均值凭据

用于模拟的报表中的“建议”部分

模拟的“报告”选项卡上的“建议”部分显示了有关使用攻击模拟训练来帮助保护组织的建议。

培训活动模拟报告

本部分介绍培训活动模拟报告中的信息， (而不是模拟) 。

培训活动报表中的培训完成分类部分

培训活动的“报告”选项卡上的“培训完成分类”部分显示有关培训活动中已完成的培训模块的信息。

培训活动报告中的培训完成摘要部分

“培训活动报告”选项卡上的“培训完成摘要”部分使用条形图显示已分配用户通过市场活动中的所有培训模块的进度 (用户数/用户总数) ：

已完成
正在进行
未启动
未完成
以前分配的

可以将鼠标悬停在图表中的某个部分上，以查看每个类别的实际百分比。

培训市场活动报告中的“所有用户活动”部分

培训市场活动的“报告”选项卡上的“所有用户活动”部分使用条形图显示main人员如何成功收到培训通知 (用户数/) 用户总数。

可以将鼠标悬停在图表中的某个部分上，以查看每个类别的实际数字。

开始使用攻击模拟培训

创建钓鱼攻击模拟

创建用于培训人员的有效负载

攻击模拟训练的见解和报告

攻击模拟训练的“概述”和“报表”选项卡上的见解

最近的模拟卡