共用方式為


攻擊模擬訓練的深入解析和報告

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

在適用於 Office 365 Microsoft Defender 方案 2 或 Microsoft 365 E5 中的攻擊模擬訓練中,Microsoft提供模擬結果和對應訓練的深入解析和報告。 此資訊可讓您掌握使用者的威脅整備進度,並建議後續步驟讓您的使用者做好未來攻擊的準備。

深入解析和報告位於下列位置,位於 Microsoft Defender 入口網站的 [攻擊模擬訓練 ] 頁面上:

本文的其餘部分將說明攻擊模擬訓練的報告和深入解析。

如需攻擊模擬訓練的入門資訊,請 參閱開始使用攻擊模擬訓練

攻擊模擬訓練之 [概觀] 和 [報告] 索引卷標的深入解析

若要移至 [ 概觀] 索引 卷標,請在 https://security.microsoft.com開啟 Microsoft Defender 入口網站,移至 電子郵件 & 共同作業>攻擊模擬訓練

下表說明索引標籤上的深入解析分佈:

報告 概觀索引標籤 [報表] 索引標籤
最近的模擬卡片
建議卡片
模擬涵蓋範圍卡片
訓練完成卡片
重複使用卡片
對入侵率卡的行為影響

本節的其餘部分說明攻擊模擬訓練的 [ 概觀 ] 和 [ 報告 ] 索引標籤上可用的資訊。

最近的模擬卡片

[概] 索引標籤上的 [最近的模擬] 卡片會顯示您在組織中建立或執行的最後三個模擬。

您可以選取模擬來檢視詳細數據。

取 [檢視所有模擬] 會帶您前往 [ 模擬] 索引標籤

取 [啟動模擬 ] 會啟動新的模擬精靈。 如需詳細資訊,請參閱 在適用於 Office 365 的 Defender 中模擬網路釣魚攻擊

Microsoft Defender 入口網站中攻擊模擬訓練中 [概觀] 索引卷標上的 [最近使用的模擬] 卡片。

建議卡片

[概觀] 索引標籤上的 [建議] 卡片會建議要執行的不同模擬類型。

取 [啟動] 現在 會啟動新的模擬精靈,並在 [ 選取技術 ] 頁面上自動選取指定的模擬類型。 如需詳細資訊,請參閱 在適用於 Office 365 的 Defender 中模擬網路釣魚攻擊

Microsoft Defender 入口網站中 [攻擊模擬訓練] 中 [概觀] 索引卷標上的 [建議] 卡片。

模擬涵蓋範圍卡片

[概觀] 和 [報告] 索引卷標上的 [模擬涵蓋範圍] 卡片會顯示組織中收到模擬 (模擬使用者) 與未收到模擬 (非模擬使用者) 使用者的百分比。 您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際用戶數目。

取 [檢視模擬涵蓋範圍報告 ] 會帶您前往 攻擊模擬報告的 [使用者涵蓋範圍] 索引標籤

為非模擬使用者選取 [啟動模擬] 會啟動新的模擬精靈,在 [目標使用者] 頁面上會自動選取未收到仿真的使用者。 如需詳細資訊,請參閱 在適用於 Office 365 的 Defender 中模擬網路釣魚攻擊

Microsoft Defender 入口網站中攻擊模擬訓練中 [概觀] 索引卷標上的 [模擬涵蓋範圍] 卡片。

訓練完成卡片

[概觀] 和 [表] 索引卷標上的 [訓練完成] 卡片會根據模擬結果,將接收訓練的使用者百分比組織為下列類別:

  • 已完成
  • 進行中。
  • 不完全的

您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際用戶數目。

取 [檢視訓練完成報告 ] 會帶您前往 攻擊模擬報告的 [訓練完成] 索引卷標

Microsoft Defender 入口網站中 ,[攻擊模擬訓練] 中 [概觀] 索引標籤上的 [訓練完成] 卡片。

重複使用卡片

[概觀] 和 [表] 索引標籤上的 [重複使用] 卡片會顯示重複使用量的相關信息。 重複的語句是因連續模擬而遭入侵的使用者。 連續仿真的預設數目為兩個,但您可以在 攻擊模擬訓練的 [ 設定 ] 索引卷標上變更值 https://security.microsoft.com/attacksimulator?viewid=setting。 如需詳細資訊, 請參閱設定重複的閾值

圖表會依 模擬類型組織重複的重複資料:

  • 全部
  • 惡意代碼附件
  • 連結至惡意代碼
  • 認證收集
  • 附件中的連結
  • 依磁碟驅動器 URL

取 [檢視重複的報 表] 會帶您前往 [攻擊模擬] 報表的 [重複執行] 索引標籤

Microsoft Defender 入口網站中攻擊模擬訓練中 [概觀] 索引卷標上的 [重複使用] 卡片

對入侵率卡的行為影響

[概觀] 和 [表] 索引卷標上的 [入侵率卡片的行為影響] 會顯示相較於 Microsoft 365 中歷史數據,您的使用者如何回應您的模擬。 您可以使用這些深入解析,針對相同的使用者群組執行多個模擬,以追蹤使用者威脅整備的進度。

圖表資料會顯示下列資訊:

  • 實際入侵率:模擬入侵者的實際百分比 (實際使用者遭到入侵/貴組織中收到模擬) 的用戶總數。
  • 預測的入侵率:Microsoft 365 的歷史數據,可預測此模擬將遭入侵的人員百分比。 若要深入瞭解 PCR) (預測的入侵率,請參閱 預測的入侵率

如果您將滑鼠停留在圖表中的數據點上,則會顯示實際百分比值。

若要查看詳細報告,請選 取 [檢視模擬和訓練效力報告]本文稍後會說明此報告。

Microsoft Defender 入口網站中攻擊模擬訓練中 [概觀] 索引卷標上對入侵率卡片的行為影響。

攻擊模擬報告

您可以選取 [檢視...],從 [概觀] 索引卷標開啟攻擊模擬報告報表動作,可在本文所述 [概觀] 和 [表] 索引標籤上的某些卡片上使用。 若要直接移至 攻擊模擬報告 頁面,請使用 https://security.microsoft.com/attacksimulationreport

攻擊模擬報告的訓練效力索引標籤

預設會在 [攻擊模擬報告] 頁面上選取 [訓練效力] 索引標籤。 此索引標籤提供與對 入侵率 卡片的行為影響中所提供的相同資訊,以及模擬本身的其他內容。

Microsoft Defender 入口網站中 [攻擊模擬] 報告中的 [訓練效力] 索引標籤。

此圖表會顯示 實際入侵率 和預測的 入侵率。 如果您將滑鼠停留在圖表中的區段上,則會顯示的實際百分比值。

圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的數據列標頭來排序模擬。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。

  • 模擬名稱
  • 模擬技術
  • 模擬策略
  • 預測的遭入侵率
  • 實際遭入侵率
  • 目標用戶總數
  • 點選的用戶計數

使用 [ 搜尋] 方 塊,依 模擬名稱模擬技術篩選結果。 不支援萬用字元。

使用 [匯報表] 按鈕將資訊儲存至 CSV 檔案。 默認檔名是攻擊模擬報告 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置,則檔名會遞增 (例如攻擊模擬報告 - Microsoft Defender (1) .csv) 。

攻擊模擬報告的使用者涵蓋範圍索引標籤

在 [ 使用者涵蓋範圍] 索 引標籤上,圖表會顯示 [模擬使用者 ] 和 [非模擬使用者]。 如果您將滑鼠停留在圖表中的數據點上,則會顯示實際值。

Microsoft Defender 入口網站中 [攻擊模擬] 報告中的 [用戶涵蓋範圍] 索引標籤。

圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的資料列標頭來排序資訊。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。

  • Username
  • 電子郵件地址
  • 包含在模擬中
  • 上次模擬日期
  • 上次模擬結果
  • 已點選的計數
  • 遭入侵的計數

使用 [ 搜尋] 方塊,依 [用戶名稱 ] 或 [ 電子郵件位址] 篩選結果。 不支援萬用字元。

使用 [匯報表] 按鈕將資訊儲存至 CSV 檔案。 默認檔名是攻擊模擬報告 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置,則檔名會遞增 (例如攻擊模擬報告 - Microsoft Defender (1) .csv) 。

攻擊模擬報告的訓練完成索引標籤

在 [ 定型完成 ] 索引卷標上,圖表會顯示 [ 已完成]、[ 進行中] 和 [ 未完成 的模擬] 數目。 如果您將滑鼠停留在圖表中的區段上,則會顯示實際值。

Microsoft Defender 入口網站中 [攻擊模擬] 報告中的 [訓練完成] 索引標籤。

圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的資料列標頭來排序資訊。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。

  • Username
  • 電子郵件地址
  • 包含在模擬中
  • 上次模擬日期
  • 上次模擬結果
  • 最近完成的訓練名稱
  • 完成日期
  • 所有訓練

選取 [篩選 ] 以依訓練的 [狀態 ] 值篩選圖表和詳細數據表:[ 已完成]、[ 進行中] 或 [ 全部]

當您完成設定篩選時,請選取 [用]、[取消] 或 [清除篩選]

使用 [ 搜尋] 方塊,依 [用戶名稱 ] 或 [ 電子郵件位址] 篩選結果。 不支援萬用字元。

如果您選取 [匯出 報表] 按鈕,報表產生進度會顯示為完成百分比。 在開啟的對話框中,您可以選擇開啟 .csv 檔案、儲存 .csv 檔案,並記住選取專案。

重複攻擊模擬報表的 [重複使用] 索引標籤

重複的語句是因連續模擬而遭入侵的使用者。 連續仿真的預設數目為兩個,但您可以在 攻擊模擬訓練的 [ 設定 ] 索引卷標上變更值 https://security.microsoft.com/attacksimulator?viewid=setting。 如需詳細資訊, 請參閱設定重複的閾值

在 [ 重複使用] 索引標籤 上,圖表會顯示 重複的使用者模擬用戶的數目。

Microsoft Defender 入口網站中 [攻擊模擬] 報告中的 [重複使用] 索引標籤。

如果您將滑鼠停留在圖表中的數據點上,則會顯示實際值。

圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的資料列標頭來排序資訊。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。

  • 使用者
  • 模擬類型
  • 類比
  • 電子郵件地址
  • 上次重複計數
  • 重複攻擊
  • 上次模擬名稱
  • 上次模擬結果
  • 上次指派的訓練
  • 上次定型狀態

選取 [篩選 ] 以依一或多個模擬類型值篩選圖表和詳細資料資料表:

  • 認證收集
  • 惡意代碼附件
  • 附件中的連結
  • 連結至惡意代碼

當您完成設定篩選時,請選取 [用]、[取消] 或 [清除篩選]

使用 [ 搜尋] 方 塊,依任何數據行值篩選結果。 不支援萬用字元。

使用 [匯報表] 按鈕將資訊儲存至 CSV 檔案。 默認檔名是攻擊模擬報告 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置,則檔名會遞增 (例如攻擊模擬報告 - Microsoft Defender (1) .csv) 。

攻擊模擬定型中的模擬報告

模擬報告會顯示進行中或已完成模擬報告, ([狀態 ] 值為 [ 進行中 ] 或 [ 已完成 ]) 。 若要檢視模擬報告,請使用下列任何方法:

開啟的報表頁面包含包含模擬相關信息的 [報表]、[使用者] 和 [ 詳細 數據] 索引標籤。 本節的其餘部分說明 [報表] 索引卷標上可用的深入解析和 表。

下列小節說明模擬之 [ 表] 索引標籤上的區段。

如需 [ 使用者 和詳細數據] 索引標籤的 詳細 資訊,請參閱下列連結。

模擬模擬報告

本節描述一般模擬報告中的資訊, (不是 訓練活動) 。

攻擊模擬定型中模擬報告中的 [報表] 索引標籤。

模擬報表中的模擬影響區段

仿真的 [報表] 索引標籤上的 [模擬影響] 區段會顯示已遭入侵的使用者和回報訊息的用戶數目和百分比。

如果您將滑鼠停留在圖表中的區段上,則會顯示每個類別的實際數位。

取 [檢視遭入侵的使用者 ] 以移至報表中的 [使用者] 索 引標籤, 其中的結果會依 [ 遭入侵] 篩選:[是]

取 [檢視報告的使用者 ] 以移至報表中的 [使用者] 索 引標籤, 其中的結果會依 [ 報告] 訊息篩選:[是]

模擬報表之 [報表] 索引標籤上的 [模擬影響] 區段,用於模擬。

報表中用於仿真的所有用戶活動區段

仿真的 [報表] 索引標籤上的 [所有用戶活動] 區段會顯示模擬可能結果的數位。 信息會根據模擬類型而有所不同。 例如:

  • 已點選郵件連結已按下附件連結已開啟附件
  • 提供的認證
  • 讀取訊息
  • 已刪除訊息
  • 回復訊息
  • 轉寄的訊息
  • 不在辦公室

取 [檢視所有使用者] 以移至報表中未篩選結果的 [使用者] 索引標籤。

模擬報表之 [報表] 索引標籤上的 [所有用戶活動] 區段,用於模擬。

模擬報表中的傳遞狀態區段

仿真的 [表] 索引標籤上的 [傳遞狀態] 區段會顯示模擬訊息可能傳遞狀態的數位。 例如:

  • 已成功接收訊息
  • 正增強式訊息已傳遞
  • 只傳遞模擬訊息

取 [檢視訊息傳遞無法傳送至的使用者 ] 索引卷 ,在報表中, 模擬訊息傳遞會篩選結果:無法傳遞

取 [檢視排除的使用者或群組] 以開啟 [ 排除的使用者或群組 ] 飛出視窗,以顯示從模擬中排除的使用者或群組。

模擬報表之 [報表] 索引標籤上的 [傳遞狀態] 區段,用於模擬。

用於模擬之報表中的定型完成區段

模擬詳細數據頁面上的 [ 訓練完成 ] 區段會顯示模擬所需的訓練,以及有多少使用者已完成訓練。

如果模擬中未包含任何定型,本節中唯一的值就是 訓練不是此仿真的一部分

模擬報表之 [報表] 索引卷標上的 [定型完成] 區段,用於模擬。

報表中用於仿真的第一個 & 平均實例區段

仿 真的 [報表] 索引卷 標上的 [第一個 & 平均實例] 區段會顯示在模擬中執行特定動作所花費時間的相關信息。 例如:

  • 按兩下第一個連結
  • 按兩下 [平均] 連結
  • 輸入的第一個認證
  • 輸入的認證

模擬報表之 [報表] 索引卷標上的 [第一個 & 平均實例] 區段,用於模擬。

報表中仿真的建議區段

仿真的 [報告] 索引標籤上的 [建議] 區段會顯示使用攻擊模擬訓練來協助保護組織的建議。

模擬報表之 [報表] 索引卷標上的 [建議] 區段,用於模擬。

訓練活動的模擬報告

本節說明訓練活動模擬報告中的資訊, (非 模擬) 。

攻擊模擬訓練中訓練活動報告中的 [報告] 索引標籤。

訓練活動報告中的訓練完成分類區段

訓練活動 [報告] 索引標籤上的 [訓練完成分類] 區段會顯示訓練活動中已完成訓練模組的相關信息。

攻擊模擬訓練中訓練活動報表中 [報告] 索引卷標上的 [訓練完成分類] 區段。

訓練活動報告中的訓練完成摘要一節

訓練活動 [報告] 索引標籤上的 [訓練完成摘要] 區段會使用條形圖,顯示透過營銷活動中所有訓練模組指派使用者的進度 (用戶數目/用戶總數) :

  • 已完成
  • 進行中。
  • 未啟動
  • 未完成
  • 先前指派

您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際百分比。

攻擊模擬訓練中訓練活動報表中 [報告] 索引卷標上的 [訓練完成摘要] 區段。

訓練活動報表中的所有用戶活動區段

訓練活動 [報告] 索引標籤上的 [所有用戶活動] 區段會使用條形圖來顯示主要人員如何成功收到訓練通知 (用戶數目/) 的用戶總數。

您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際數位。

攻擊模擬訓練中訓練活動報表中 [報告] 索引標籤上的 [所有用戶活動] 區段。

附錄

當您從報表匯出資訊時,CSV 檔案所包含的資訊會比報表中顯示的資訊還多,即使您已顯示所有數據行也一般。 下表說明欄位。

提示

如需最大資訊,請在匯出之前確認報表中所有可用的數據行都可見。

功能變數名稱 描述
UserName 執行活動的用戶名稱。
UserMail 執行活動的使用者電子郵件位址。
妥協 指出使用者是否遭到入侵。 值為 [是] 或 [否]。
AttachmentOpened_TimeStamp 當附件開啟時。
AttachmentOpened_Browser 在網頁瀏覽器中開啟附件時。 此資訊來自UserAgent。
AttachmentOpened_IP 已開啟附件的IP位址。 此資訊來自UserAgent。
AttachmentOpened_Device 已開啟附件的裝置。 此資訊來自UserAgent。
AttachmentLinkClicked_TimeStamp 按一下附件連結時。
AttachmentLinkClicked_Browser 用來單擊附件連結的網頁瀏覽器。 此資訊來自UserAgent。
AttachmentLinkClicked_IP 按一下附件連結的IP位址。 此資訊來自UserAgent。
AttachmentLinkClicked_Device 按一下附件連結的裝置。 此資訊來自UserAgent。
CredSupplied_TimeStamp (遭入侵的) 當使用者輸入其認證時。
CredSupplied_Browser 使用者輸入認證時所使用的網頁瀏覽器。 此資訊來自UserAgent。
CredSupplied_IP 使用者輸入其認證的IP位址。 此資訊來自UserAgent。
CredSupplied_Device 使用者輸入認證的裝置。 此資訊來自UserAgent。
SuccessfullyDeliveredEmail_TimeStamp 模擬電子郵件訊息傳遞給使用者時。
MessageRead_TimeStamp 讀取模擬訊息時。
MessageDeleted_TimeStamp 刪除模擬訊息時。
MessageReplied_TimeStamp 當使用者回復模擬訊息時。
MessageForwarded_TimeStamp 當用戶轉送模擬訊息時。
OutOfOfficeDays 判斷使用者是否不在辦公室。 此資訊來自 Outlook 中的 [自動回復] 設定。
PositiveReinforcementMessageDelivered_TimeStamp 將正增強式訊息傳遞給使用者時。
PositiveReinforcementMessageFailed_TimeStamp 當正增強式訊息無法傳遞給用戶時。
JustSimulationMessageDelivered_TimeStamp 當模擬訊息在模擬過程中傳遞給使用者,但未指派任何定型時 (在新模擬精靈的 [指派訓練] 頁面上未選取任何型) 。
JustSimulationMessageFailed_TimeStamp 當模擬電子郵件訊息無法傳遞給使用者,且模擬未指派任何定型時。
TrainingAssignmentMessageDelivered_TimeStamp 將訓練指派訊息傳遞給使用者時。 如果在模擬中未指派任何定型,則這個值是空的。
TrainingAssignmentMessageFailed_TimeStamp 當定型指派訊息無法傳遞給用戶時。 如果在模擬中未指派任何定型,則這個值是空的。
FailedToDeliverEmail_TimeStamp 當模擬電子郵件訊息無法傳遞給用戶時。
上次模擬活動 用戶的最後一個模擬活動 (他們通過或遭到入侵) 。
指派的訓練 在模擬過程中指派給用戶的訓練清單。
已完成訓練 用戶在模擬過程中完成的訓練清單。
訓練狀態 在模擬過程中,使用者的目前訓練狀態。
網路釣魚報告於 當使用者將模擬訊息回報為網路釣魚時。
部門 模擬時,Microsoft Entra ID 中使用者的 Department 屬性值。
Company 用戶在模擬時Microsoft Entra ID 中的 Company 屬性值。
標題 模擬時,使用者在 Microsoft Entra ID 中的 Title 屬性值。
Office 模擬時,使用者在 Microsoft Entra ID 中的 Office 屬性值。
鄉/鎮/市/區 模擬時,使用者在 Microsoft Entra ID 中的 City 屬性值。
國家/地區 模擬時,使用者的 Country 屬性值Microsoft Entra ID。
管理員 模擬時,Microsoft Entra ID 中使用者的 Manager 屬性值。

下表說明如何擷取用戶活動訊號。

欄位 描述 計算邏輯
DownloadAttachment 用戶已下載附件。 訊號來自用戶端 (,例如 Outlook 或 Word) 。
開啟的附件 用戶開啟附件。 訊號來自用戶端 (,例如 Outlook 或 Word) 。
讀取訊息 用戶讀取模擬訊息。 在下列案例中,訊息讀取訊號可能會遇到問題:
  • 使用者在 Outlook 中將訊息回報為網路釣魚,但未離開閱讀窗格,且 在 [讀取窗格] 中檢視時 ,未將專案標示為讀取未設定 (預設) 。
  • 使用者在 Outlook 中將未讀取的郵件回報為網路釣魚、郵件已刪除,且未 (預設) 設定刪除 時將訊息標示為已讀 取。
郵件答錄機 判斷使用者是否不在辦公室。 目前由 Outlook 的 [自動回復] 設定計算。
遭入侵的使用者 指出使用者是否遭到入侵。 入侵訊號可能會根據攻擊類型而有所不同。
  • 認證收集:使用者會在登入頁面中輸入其認證, (認證不會由Microsoft) 储存。
  • 惡意代碼附件:用戶會開啟檔案,並在受保護的檢視中啟用編輯。
  • 附件中的連結:用戶會開啟附件,然後按兩下連結。
  • 連結至惡意代碼:用戶按兩下連結並輸入其認證。
  • 依 URL 驅動:使用者在輸入認證 (按兩下連結,不需要) 。
  • OAuth:使用者按兩下連結並接受共享許可權。
按兩下的訊息連結 指出使用者是否按兩下訊息。 模擬中的 URL 對於每個使用者都是唯一的,可讓您追蹤個別的用戶活動。 第三方篩選服務或電子郵件轉寄可能會導致誤判。 如需詳細資訊, 請參閱我在模擬訊息中看到來自使用者的點擊或入侵事件,這些使用者並不按兩下連結
轉寄的訊息 指出使用者是否已轉送訊息。
已回復訊息 指出終端使用者是否已回覆訊息。
已刪除訊息 指出終端使用者是否已刪除訊息。 訊號來自使用者的 Outlook 活動。 如果使用者將訊息報告為網路釣魚,則訊息可能會移至 [已刪除的郵件] 資料夾,該資料夾會識別為刪除。
授與的權限 指出使用者是否在以 Oauth 為基礎的攻擊中共享許可權。

開始使用攻擊模擬訓練

建立網路釣魚攻擊模擬

建立承載來訓練您的人員