Jaa

Hyökkäyssimulaatiokoulutus merkitykselliset tiedot ja raportit

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft tarjoaa Microsoft Defender for Office 365 palvelupaketin 2 tai Microsoft 365 E5 Hyökkäyssimulaatiokoulutus merkityksellisiä tietoja ja raportteja simulaatioiden ja vastaavien harjoitusten tuloksista. Nämä tiedot pitävät sinut ajan tasalla käyttäjiesi uhkavalmiuden edistymisestä ja suosittelevat seuraavia vaiheita käyttäjien valmistautumiseksi tuleviin hyökkäyksiin.

Merkitykselliset tiedot ja raportit ovat käytettävissä seuraavissa sijainneissa Hyökkäyssimulaatiokoulutus sivulla Microsoft Defender-portaalissa:

Tämän artikkelin loppuosassa kuvataan Hyökkäyssimulaatiokoulutus raportteja ja merkityksellisiä tietoja.

Lisätietoja Hyökkäyssimulaatiokoulutus käytön aloittamisesta on artikkelissa Hyökkäyssimulaatiokoulutus käytön aloittaminen.

Merkitykselliset tiedot Hyökkäyssimulaatiokoulutus Yleiskatsaus- ja Raportit-välilehdillä

Jos haluat siirtyä Yleiskatsaus-välilehteen, avaa Microsoft Defender-portaali osoitteessa https://security.microsoft.com, siirry kohtaan Sähköposti & yhteistyö>Hyökkäyssimulaatiokoulutus:

Välilehdissä olevien merkityksellisten tietojen jakauma on kuvattu seuraavassa taulukossa:

Raportti Yleiskatsaus-välilehti Raportit-välilehti
Viimeisimmät simuloinnit -kortti
Recommendations-kortti
Simuloinnin kattavuuskortti
Koulutuksen täydennyskortti
Rikoksentekijöiden toistaminen -kortti
Käyttäytyminen vaikuttaa kompromissiprosenttikorttiin

Tämän osan loppuosassa kuvataan tiedot, jotka ovat saatavilla Hyökkäyssimulaatiokoulutus Yleiskatsaus- ja Raportit-välilehdissä.

Viimeisimmät simuloinnit -kortti

Viimeisimmät simulaatiot -kortti Yleiskatsaus-välilehdellä näyttää kolme viimeistä simulaatiota, jotka olet luonut tai ajanut organisaatiossasi.

Voit valita simulaation tietojen tarkastelemiseksi.

Kun valitset Näytä kaikki simulaatiot , siirryt Simulaatiot-välilehteen .

Käynnistä simulaatio -vaihtoehdon valitseminen käynnistää uuden simulointitoiminnon. Lisätietoja on artikkelissa Tietojenkalasteluhyökkäyksen simulointi Defender for Office 365.

Viimeisimmät simuloinnit -kortti Hyökkäyssimulaatiokoulutus Yleiskatsaus-välilehdellä Microsoft Defender portaalissa.

Recommendations-kortti

Yleiskatsaus-välilehden Recommendations-kortissa ehdotetaan erilaisia simulaatioita suoritettavaksi.

Käynnistä-vaihtoehdon valitseminen käynnistää nyt uuden ohjatun simulointitoiminnon, jonka määritetty simulointityyppi valitaan automaattisesti Valitse tekniikka -sivulla. Lisätietoja on artikkelissa Tietojenkalasteluhyökkäyksen simulointi Defender for Office 365.

Yleiskatsaus-välilehden Suositukset-kortti Hyökkäyssimulaatiokoulutus Microsoft Defender portaalissa.

Simuloinnin kattavuuskortti

Yleiskatsaus- ja Raportit-välilehtien Simulaatio-kattavuus-kortissa näkyy niiden käyttäjien prosenttiosuus organisaatiossasi, jotka saivat simuloinnin (simuloidut käyttäjät) verrattuna käyttäjiin, jotka eivät saaneet simulaatiota (simuloimattomat käyttäjät). Voit siirtää hiiren osoittimen kaavion osan päälle nähdäksesi kunkin luokan käyttäjien todellisen määrän.

Valitsemalla Näytä simuloinnin kattavuusraportti siirryt Hyökkäyssimulaatioraportin Käyttäjän kattavuus -välilehteen.

Käynnistä simuloimattomien käyttäjien käynnistyssimulaatio -vaihtoehdon valitseminen käynnistää uuden ohjatun simulointitoiminnon, jossa simulointia vastaanottamattomat käyttäjät valitaan automaattisesti Kohdekäyttäjä-sivulla. Lisätietoja on artikkelissa Tietojenkalasteluhyökkäyksen simulointi Defender for Office 365.

Simulaation kattavuuskortti Hyökkäyssimulaatiokoulutus Yleiskatsaus-välilehdellä Microsoft Defender portaalissa.

Koulutuksen täydennyskortti

Yleiskatsaus- ja Raportit-välilehtien Koulutuksen suoritus -kortti järjestää harjoittamisen saaneiden käyttäjien prosenttiosuudet simulaatioiden tulosten perusteella seuraaviin luokkiin:

  • Valmis
  • Liikkeellä
  • Puutteellinen

Voit siirtää hiiren osoittimen kaavion osan päälle nähdäksesi kunkin luokan käyttäjien todellisen määrän.

Valitsemalla Näytä harjoittamisen valmistumisraportti pääset Hyökkäyssimulaatioraportin Harjoittaminen-valmistumisvälilehteen.

Koulutuksen täydennyskortti Hyökkäyssimulaatiokoulutus Yleiskatsaus-välilehdellä Microsoft Defender portaalissa.

Rikoksentekijöiden toistaminen -kortti

Yleiskatsaus- ja Raportit-välilehtienToista rikoksentekijät -kortissa näytetään toistuvia rikoksentekijöitä koskevat tiedot. Toistuva rikollinen on käyttäjä, joka vaarantui peräkkäisissä simulaatioissa. Peräkkäisten simulaatioiden oletusmäärä on kaksi, mutta voit muuttaa arvoa Hyökkäyssimulaatiokoulutus Asetukset-välilehdellä kohdassa https://security.microsoft.com/attacksimulator?viewid=setting. Lisätietoja on artikkelissa Toistuvan rikoksentekijän raja-arvon määrittäminen.

Kaavio järjestää toistuvan rikoksentekijän tiedot simulointityypin mukaan:

  • Kaikki
  • Haittaohjelmaliite
  • Linkki haittaohjelmistoon
  • Tunnistetietojen kerääminen
  • Linkki liitteissä
  • Url-drive-by-osoite

Kun valitset Näytä toistuvien rikoksentekijöiden raportti , siirryt Hyökkäyssimulaatioraportin Toista rikoksentekijät -välilehteen.

Toista rikoksentekijät -kortti Hyökkäyssimulaatiokoulutus Yleiskatsaus-välilehdellä Microsoft Defender-portaalissa

Käyttäytyminen vaikuttaa kompromissiprosenttikorttiin

Yleiskatsaus- ja Raportit-välilehtienToiminta-vaikutus kompromissitaajuuskorttiin näyttää, miten käyttäjät ovat reagoineet simulaatioihisi Verrattuna Microsoft 365:n historiallisiin tietoihin. Näiden merkityksellisten tietojen avulla voit seurata käyttäjien uhkavalmiutta suorittamalla useita simulaatioita samoja käyttäjäryhmiä vastaan.

Kaavion tiedot näyttävät seuraavat tiedot:

  • Todellinen kompromissiprosentti: Niiden ihmisten todellinen prosenttiosuus, jotka simulointi vaaransi (todelliset käyttäjät vaarantuivat / simuloinnin saaneiden käyttäjien kokonaismäärä organisaatiossasi).
  • Ennustettu kompromissiaste: Microsoft 365:n historialliset tiedot, jotka ennustavat niiden ihmisten prosenttiosuutta, jotka tämän simulaation vuoksi vaarantuvat. Lisätietoja ennustetun kompromissiprosentin (PCR) käytöstä on kohdassa Ennustettu kompromissiprosentti.

Jos viet hiiren osoittimen kaavion arvopisteen päälle, todelliset prosenttiarvot näytetään.

Jos haluat nähdä yksityiskohtaisen raportin, valitse Näytä simulaatiot ja koulutuksen tehoraportti. Tämä raportti selitetään myöhemmin tässä artikkelissa.

Toiminta vaikuttaa kompromissitaajuuskorttiin Hyökkäyssimulaatiokoulutus Yleiskatsaus-välilehdellä Microsoft Defender portaalissa.

Hyökkäyssimulaatioraportti

Voit avata Hyökkäyssimulointi-raportinYleiskatsaus-välilehdestä valitsemalla Näytä ... raporttitoiminnot, jotka ovat käytettävissä joissakin korteissa Yleiskatsaus- ja Raportit-välilehdissä, jotka on kuvattu tässä artikkelissa. Jos haluat siirtyä suoraan Hyökkäyssimulaatio-raporttisivulle , käytä https://security.microsoft.com/attacksimulationreport

Hyökkäyssimulaatioraportin tehon harjoittamisen välilehti

Koulutuksen teho -välilehti on oletusarvoisesti valittuna Hyökkäyssimulaatio-raporttisivulla. Tämä välilehti tarjoaa samat tiedot, jotka ovat saatavilla Toimintavaikutuksen vaikutus kompromissinopeus -kortissa , sekä lisäkontekstin itse simuloinnista.

Hyökkäyssimulaatioraportin koulutuksen teho -välilehti Microsoft Defender portaalissa.

Kaavio näyttää todellisen vaarantumisprosentin ja ennustetun kompromissiprosentin. Jos pidät hiiren osoitinta kaavion osan päällä, näytetään kaavion todelliset prosenttiarvot.

Kaavion alla olevassa tietotaulukossa näkyvät seuraavat tiedot. Voit lajitella simulaatiot napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.

  • Simuloinnin nimi
  • Simulointitekniikka
  • Simulaatiotaktiikat
  • Ennustettu vaarantunut nopeus
  • Toteutunut vaarantunut korko
  • Kohteena olevien käyttäjien kokonaismäärä
  • Napsautettuja käyttäjiä

Suodata tulokset simulaation nimen tai simulointitekniikan mukaan hakuruudun avulla. Yleismerkkejä ei tueta.

Tallenna tiedot CSV-tiedostoon Vie raportti -painikkeella. Oletustiedostonimi on Attack-simulointiraportti – Microsoft Defender.csv, ja oletussijainti on paikallinen Lataukset-kansio. Jos kyseisessä sijainnissa on jo viety raportti, tiedostonimi kasvaa (esimerkiksi Hyökkäyssimulointiraportti - Microsoft Defender (1) .csv).

Hyökkäyssimulaatioraportin käyttäjien kattavuus -välilehti

Käyttäjän kattavuus -välilehdellä kaavio näyttää simuloidut käyttäjät ja simuloimattomat käyttäjät. Jos viet hiiren osoittimen kaavion arvopisteen päälle, todelliset arvot näytetään.

Hyökkäyssimulaatioraportin Käyttäjän kattavuus -välilehti Microsoft Defender portaalissa.

Kaavion alla olevassa tietotaulukossa näkyvät seuraavat tiedot. Voit lajitella tiedot napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.

  • Käyttäjänimi
  • Sähköpostiosoite
  • Sisältyy simulointiin
  • Viimeisen simuloinnin päivämäärä
  • Viimeisin simulointitulos
  • Napsautettu määrä
  • Vaarantuneiden määrä

Käytä hakuruutua tulosten suodattamiseen käyttäjänimen tai sähköpostiosoitteen mukaan. Yleismerkkejä ei tueta.

Tallenna tiedot CSV-tiedostoon Vie raportti -painikkeella. Oletustiedostonimi on Attack-simulointiraportti – Microsoft Defender.csv, ja oletussijainti on paikallinen Lataukset-kansio. Jos kyseisessä sijainnissa on jo viety raportti, tiedostonimi kasvaa (esimerkiksi Hyökkäyssimulointiraportti - Microsoft Defender (1) .csv).

Hyökkäyssimulaatioraportin harjoittamisen suoritusvälilehti

Koulutuksen suorittaminen -välilehdessä kaavio näyttää Suoritettujen, Keskeneräisten ja keskeneräisten simulaatioiden määrän. Jos pidät hiiren osoitinta kaavion osan päällä, todelliset arvot tulevat näkyviin.

Hyökkäyssimulaatioraportin Harjoittaminen-täydennysvälilehti Microsoft Defender portaalissa.

Kaavion alla olevassa tietotaulukossa näkyvät seuraavat tiedot. Voit lajitella tiedot napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.

  • Käyttäjänimi
  • Sähköpostiosoite
  • Sisältyy simulointiin
  • Viimeisen simuloinnin päivämäärä
  • Viimeisin simulointitulos
  • Viimeisimmän suoritetun koulutuksen nimi
  • Valmistumispäivä
  • Kaikki harjoitukset

Valitse Suodata , jos haluat suodattaa kaavion ja tietotaulukon harjoittamisen Tila-arvojen mukaan: Valmis, Käynnissä tai Kaikki.

Kun olet määrittänut suodattimet, valitse Käytä, Peruuta tai Tyhjennä suodattimet.

Käytä hakuruutua tulosten suodattamiseen käyttäjänimen tai sähköpostiosoitteen mukaan. Yleismerkkejä ei tueta.

Jos valitset Vie raportti -painikkeen, raportin luomisen edistyminen näkyy prosenttiosuutena kokonaistuloksista. Avautuvassa valintaikkunassa voit avata .csv-tiedoston, tallentaa .csv -tiedoston ja muistaa valinnan.

Hyökkäyssimulaatioraportin Toistuvat rikoksentekijät -välilehti

Toistuva rikollinen on käyttäjä, joka vaarantui peräkkäisissä simulaatioissa. Peräkkäisten simulaatioiden oletusmäärä on kaksi, mutta voit muuttaa arvoa Hyökkäyssimulaatiokoulutus Asetukset-välilehdellä kohdassa https://security.microsoft.com/attacksimulator?viewid=setting. Lisätietoja on artikkelissa Toistuvan rikoksentekijän raja-arvon määrittäminen.

Toista rikoksentekijät -välilehdellä kaavio näyttää toistuvien rikoksentekijöiden käyttäjien ja simuloitujen käyttäjien määrän.

Hyökkäyssimulointiraportin Toista rikoksentekijät -välilehti Microsoft Defender portaalissa.

Jos viet hiiren osoittimen kaavion arvopisteen päälle, todelliset arvot näytetään.

Kaavion alla olevassa tietotaulukossa näkyvät seuraavat tiedot. Voit lajitella tiedot napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.

  • Käyttäjä: Käyttäjän nimi.

  • Simulointityypit: Simulaatiotyypit, joissa käyttäjä oli osallisena.

  • Simulaatiot: Simulaatioiden nimi, joissa käyttäjä oli osallisena.

  • Sähköpostiosoite: Käyttäjän sähköpostiosoite.

  • Viimeisin toistomäärä: Viimeisin määrä kompromisseja käyttäjille, jotka on luokiteltu toistuville rikoksentekijöille. Jos esimerkiksi rikoksen toistamisen raja-arvoksi on asetettu 3 ja käyttäjälle on asetettu vaarantuminen 3 peräkkäisessä simulaatiossa, viimeisin toistojen määrä on 3. Jos käyttäjä vaarantui 4 peräkkäisessä simulaatiossa, viimeisin toistomäärä on 4. Jos käyttäjä vaarantui 2 peräkkäisessä simulaatiossa, arvo N/A. Viimeisin toistojen määrä asettaa arvoon 0 (N/A), joka kerta, kun toistuvan rikoksentekijän merkintä nollataan (eli käyttäjä läpäisee simulaation).

  • Toistuvat rikokset: Sisältää, kuinka monta kertaa käyttäjä on luokiteltu toistuvaksi rikoksentekijäksi. Esimerkki:

    • Käyttäjä luokiteltiin toistuvaksi rikoksentekijäksi ensimmäisissä simulaatioissa (ne vaarantuivat kolme kertaa peräkkäin, jolloin rikoksen toistamisen raja-arvo on 2).
    • Käyttäjä luokiteltiin "puhtaaksi" simulaation välittämisen jälkeen.
    • Käyttäjä luokiteltiin toistuvaksi rikoksentekijäksi seuraavissa simulaatioissa (ne vaarantuivat neljä kertaa peräkkäin, kun rikoksen toistamisen raja-arvo on 2).

    Näissä tapauksissa toistuvien rikosten määräksi on asetettu 2. Määrä päivittyy aina, kun käyttäjää pidetään toistuvana rikoksentekijänä.

  • Sukusimuloinnin nimi

  • Viimeisin simulointitulos

  • Viimeksi määritetty koulutus

  • Viimeisimmän koulutuksen tila

Valitse Suodata , jos haluat suodattaa kaavion ja tietotaulukon yhden tai useamman simulointityypin arvon mukaan:

  • Tunnistetietojen kerääminen
  • Haittaohjelmaliite
  • Linkki liitetiedostossa
  • Linkki haittaohjelmistoon

Kun olet määrittänut suodattimet, valitse Käytä, Peruuta tai Tyhjennä suodattimet.

Käytä Haku-ruutua tulosten suodattamiseen jonkin sarakearvon mukaan. Yleismerkkejä ei tueta.

Tallenna tiedot CSV-tiedostoon Vie raportti -painikkeella. Oletustiedostonimi on Attack-simulointiraportti – Microsoft Defender.csv, ja oletussijainti on paikallinen Lataukset-kansio. Jos kyseisessä sijainnissa on jo viety raportti, tiedostonimi kasvaa (esimerkiksi Hyökkäyssimulointiraportti - Microsoft Defender (1) .csv).

Simulointiraportti Hyökkäyssimulaatiokoulutus

Simulointiraportti näyttää keskeneräisten tai suoritettujen simulaatioiden tiedot ( Tila-arvo on käynnissä tai Valmis). Jos haluat tarkastella simulointiraporttia, käytä mitä tahansa seuraavista menetelmistä:

Näyttöön avautuva raporttisivu sisältää Raportti-, **Käyttäjät- ja Tiedot-välilehdet , jotka sisältävät tietoja simuloinnista. Tämän osion loppuosassa kuvataan merkitykselliset tiedot ja raportit, jotka ovat käytettävissä Raportti-välilehdellä.

Simuloinnin Raportti-välilehden osiot on kuvattu seuraavissa alakohdissa.

Lisätietoja Käyttäjät- ja Tiedot-välilehdistä on seuraavissa linkeissä.

QR-koodisimulaatioiden raportointi

Voit valita simulaatioissa käytettäviä QR-koodin hyötykuormat. QR-koodi korvaa tietojenkalastelun URL-osoitteen hyötykuormana, jota käytetään simulointisähköpostiviestissä. Lisätietoja on artikkelissa QR-koodin tiedot.

Koska QR-koodit ovat eri tyyppinen tietojen kalastelun URL-osoite, lukemisen, poistamisen, kompromissien ja napsautustapahtumien ympärillä olevat käyttäjätapahtumat pysyvät samoina. Esimerkiksi QR-koodin skannaaminen avaa tietojenkalastelun URL-osoitteen, joten tapahtumaa seurataan napsautustapahtumana. Olemassa olevat mekanismit kompromissien, poistojen ja raporttitapahtumien seuraamiseksi pysyvät samoina.

Jos viet simulointiraportin CSV-tiedostoon, EmailLinkClicked_ClickSource-sarake on käytettävissä seuraavilla arvoilla:

  • PhishingURL: Käyttäjä napsautti tietojenkalastelulinkkiä simulointisähköpostiviestissä.
  • QRCode: Käyttäjä skannasi QR-koodin simulointisähköpostiviestissä.

Muita mittareita, kuten lukemia, kompromisseja, poistoja ja raportoituja viestejä, seurataan edelleen ilman lisäpäivityksiä. Lisätietoja on tämän artiklan myöhemmässä lisäysosiossa .

Simulointiraportti simulaatioille

Tässä osiossa kuvataan säännöllisten simulaatioiden (ei koulutuskampanjoiden) simulointiraportin tiedot.

Simulointiraportin Raportti-välilehti Hyökkäyssimulaatiokoulutus.

Simuloinnin vaikutusosio raportissa simulaatioita varten

Simuloinnin vaikutus -osiossa Raportti-välilehdessä** näytetään viestistä ilmoittaneiden vaarantuneiden käyttäjien ja käyttäjien määrä ja prosenttiosuus.

Jos pidät hiiren osoitinta kaavion osan päällä, näet kunkin luokan todelliset luvut.

Valitse Näytä vaarantuneet käyttäjät siirtyäksesi raportin Käyttäjät-välilehteen , jossa tulokset suodatetaan vaarantuneen mukaan: Kyllä.

Valitse Näytä käyttäjät, jotka ilmoittivat siirtyvän Käyttäjät-välilehdelle raportissa, jossa tulokset suodatetaan Ilmoitetut-viestillä: Kyllä.

Simuloinnin vaikutus -osio simulointiraportin Raportti-välilehdellä simulointia varten.

Raportin kaikki käyttäjien toiminta -osa simulointeja varten

Kaikki käyttäjän toiminta -osio Raportti-välilehdessä ** simulaatiolle näyttää luvut simuloinnin mahdollisista tuloksista. Tiedot vaihtelevat simulointityypin mukaan. Esimerkki:

  • Napsautettu viestilinkki tai liitelinkki napsautetaan tai liite avattuna
  • Annetut tunnistetiedot
  • Lue viesti
  • Poistettu viesti
  • Vastasi viestiin
  • Välitetty viesti
  • Poissa

Valitse Näytä kaikki käyttäjät , jos haluat siirtyä Käyttäjät-välilehdelle raportissa, jossa tulokset ovat suodattamattomia.

Simulointiraportin Raportti-välilehden Kaikkien käyttäjien toiminta -osio.

Simulointeja koskeva raportin toimituksen tila -osio

Simuloinnin Toimituksentila -osiossa Raportti-välilehdessä** näytetään simulointiviestin mahdollisten toimitustilojen numerot. Esimerkki:

  • Viestin vastaanotto onnistui
  • Toimitettu positiivinen vahvistusviesti
  • Vain simulointiviesti toimitettu

Valitse Näytä käyttäjät, joille viestin toimitus epäonnistui . Siirry raportin Käyttäjät-välilehdelle , jossa tulokset suodatetaan simulointiviestin toimituksen mukaan: Toimittaminen epäonnistui.

Valitse Näytä pois jätetyt käyttäjät tai ryhmät avataksesi pois jätetyt käyttäjät tai ryhmät -pikaikkunan, joka näyttää simuloinnin ulkopuolelle jätetyt käyttäjät tai ryhmät.

Simulointiraportin Raportin välilehden Toimituksen tila -osio.

Simulaatioraportin koulutuksen täydennysosa

Simuloinnin tietosivun Koulutuksen suorittaminen -osiossa näytetään simuloinnissa tarvittavat harjoitukset ja se, kuinka moni käyttäjä on suorittanut koulutuksen.

Jos simulointiin ei sisältyneet koulutusta, ainoa arvo tässä osiossa on , että harjoitukset eivät olleet osa tätä simulointia.

Simulointiraportin Raportti-välilehden Koulutuksen suorittaminen -osio.

Raportin ensimmäinen & keskimääräinen esiintymäosa simulointeja varten

Ensimmäinen & keskimääräinen esiintymä -osio raporttivälilehdellä** näyttää tietoja ajasta, joka kesti tiettyjen toimintojen suorittamiseen simuloinnissa. Esimerkki:

  • Napsautettiin ensimmäistä linkkiä
  • Keskim. linkki napsautettu
  • Ensimmäinen tunnistetieto annettu
  • Annettu keskimääräinen tunnistetieto

Ensimmäinen & keskimääräinen esiintymä -osio simulointiraportin Raportti-välilehdellä simulointia varten.

Raportin simulaatioita koskevat suositukset-osio

Simulaation Suositukset-osiossa Raportti-välilehdessä** näytetään suosituksia Hyökkäyssimulaatiokoulutus käytöstä organisaatiosi suojaamiseksi.

Simulointiraportin Raportti-välilehden Suositukset-osio.

Simulointiraportti koulutuskampanjoita varten

Tässä osiossa kuvataan koulutuskampanjoiden (ei simulaatioiden) simulointiraportin tiedot.

Hyökkäyssimulaatiokoulutus Harjoittaminen-kampanjaraportin Raportti-välilehti.

Koulutuksen suorittamisen luokitusosa koulutuskampanjoiden raportissa

Koulutuskampanjan Koulutuksen valmistumisen luokitus -osiossa Raportti-välilehdessä ** näytetään tietoja Koulutus-kampanjan suoritetuista koulutusmoduuleista.

Koulutuskampanjaraportin Raportti-välilehden Koulutuksen valmistumisen luokitus -osio Hyökkäyssimulaatiokoulutus.

Koulutuksen valmistumisen yhteenveto -osa koulutuskampanjoiden raportissa

Koulutuskampanjan Harjoittaminen-välilehden Koulutuksen valmistumisen yhteenveto -osiossa** käytetään palkkikaavioita, jotka osoittavat määritettyjen käyttäjien etenemisen kampanjan kaikkien koulutusmoduulien kautta (käyttäjien määrä / käyttäjien kokonaismäärä):

  • Valmis
  • Liikkeellä
  • Ei aloitettu
  • Ei valmis
  • Aiemmin määritetty

Voit siirtää hiiren osoittimen kaavion osan päälle nähdäksesi kunkin luokan todellisen prosenttiosuuden.

Harjoituskampanjaraportin Raportin raportti -välilehden Koulutuksen valmistumisen yhteenveto -osio Hyökkäyssimulaatiokoulutus.

Raportin kaikki käyttäjän toiminta -osiot koulutuskampanjoita varten

Koulutuskampanjan Kaikki käyttäjän toiminta - osiossa Raportti-välilehdessä ** näytetään palkkikaavion avulla, miten tärkeimmät henkilöt saivat koulutusilmoituksen ( käyttäjien määrä /käyttäjien kokonaismäärä).

Voit siirtää hiiren osoittimen kaavion osan päälle nähdäksesi kunkin luokan todelliset luvut.

Hyökkäyssimulaatiokoulutus Harjoittaminen-kampanjaraportin Raportti-välilehden Kaikki käyttäjän toiminta -osio.

Liite

Kun viet tietoja raporteista, CSV-tiedosto sisältää enemmän tietoja kuin mitä raportissa näytetään, vaikka kaikki sarakkeet olisivat näkyvissä. Kentät on kuvattu seuraavassa taulukossa.

Vihje

Jos haluat lisätietoja, varmista ennen viemistä, että kaikki raportin käytettävissä olevat sarakkeet ovat näkyvissä.

Kentän nimi Kuvaus
Käyttäjänimi Toiminnon tehneen käyttäjän käyttäjänimi.
Käyttäjäsähköposti Toiminnon tehneen käyttäjän sähköpostiosoite.
Vaarantunut Ilmaisee, käytettiinkö käyttäjää vaarantunut. Arvot ovat Kyllä tai Ei.
AttachmentOpened_TimeStamp Kun liitteen tiedot avattiin haittaohjelmaliitteiden simulaatioissa.
AttachmentOpened_Browser Kun liitteen tiedot avattiin verkkoselaimessa Haittaohjelmaliitteet-simulaatioissa . Nämä tiedot ovat peräisin UserAgentilta.
AttachmentOpened_IP IP-osoite, jossa liitteen tiedot avattiin Haittaohjelmaliitteet-simulaatioissa . Nämä tiedot ovat peräisin UserAgentilta.
AttachmentOpened_Device Laite, jossa liitteen tiedot avattiin Haittaohjelmaliite-simulaatioissa . Nämä tiedot ovat peräisin UserAgentilta.
AttachmentLinkClicked_TimeStamp Kun liitelinkin hyötykuormaa napsautettiin Liitesimulaatioiden Linkki-kohdassa .
AttachmentLinkClicked_Browser Verkkoselain, jolla napsautettiin liitelinkin hyötykuormaa liitesimulaatioiden linkissä . Nämä tiedot ovat peräisin UserAgentilta.
AttachmentLinkClicked_IP IP-osoite, jossa liitelinkin hyötykuormaa napsautettiin liitesimulaatioiden linkissä . Nämä tiedot ovat peräisin UserAgentilta.
AttachmentLinkClicked_Device Laite, jossa liitelinkin hyötykuormaa napsautettiin Liitesimulaatioiden linkki-kohdassa . Nämä tiedot ovat peräisin UserAgentilta.
EmailLinkClicked_TimeStamp Kun linkin hyötykuormaa napsautettiin tunnistetietojen keräämisessä, linkki haittaohjelmistoon, drive-by-URL-osoitteeseen ja OAuth-suostumuksen myöntämisen simulaatioihin.
EmailLinkClicked_Browser Verkkoselain, jolla napsautettiin tunnistetietojen korjuun linkkiä, linkkiä haittaohjelmistoon, drive-by-URL-osoitteeseen ja OAuth-suostumuksen myöntämisen simulaatioihin. Nämä tiedot ovat peräisin UserAgentilta.
EmailLinkClicked_IP IP-osoite, jossa linkin hyötykuormaa napsautettiin tunnistetietojen keräämisessä, linkki haittaohjelmistoon, drive-by-URL-osoitteeseen ja OAuth-suostumuksen myöntämisen simulaatioihin. Nämä tiedot ovat peräisin UserAgentilta.
EmailLinkClicked_Device Laite, jossa linkin hyötykuormaa napsautettiin tunnistetietojen sadonkorjuussa, linkitys haittaohjelmistoon, drive-by-URL-osoitteeseen ja OAuth-suostumuksen myöntämisen simulaatioihin. Nämä tiedot ovat peräisin UserAgentilta.
EmailLinkClicked_ClickSource Onko hyötykuormalinkki valittu napsauttamalla URL-osoitetta tai skannaamalla QR-koodia tunnistetietojen keräämisessä, linkittämällä haittaohjelmistoon, drive-by-URL-osoitteeseen ja OAuth-suostumuksen myöntämisen simulaatioihin. Arvot ovat PhishingURL tai QRCode.
CredSupplied_TimeStamp(vaarantunut) Kun käyttäjä on antanut tunnistetietonsa.
CredSupplied_Browser Verkkoselain, jota käytettiin, kun käyttäjä on antanut tunnistetietonsa. Nämä tiedot ovat peräisin UserAgentilta.
CredSupplied_IP IP-osoite, johon käyttäjä on antanut tunnistetietonsa. Nämä tiedot ovat peräisin UserAgentilta.
CredSupplied_Device Laite, johon käyttäjä on antanut tunnistetietonsa. Nämä tiedot ovat peräisin UserAgentilta.
SuccessfullyDeliveredEmail_TimeStamp Kun simulaatiosähköpostiviesti toimitettiin käyttäjälle.
MessageRead_TimeStamp Kun simulaatioviesti luettiin.
MessageDeleted_TimeStamp Kun simulointiviesti poistettiin.
MessageReplied_TimeStamp Kun käyttäjä vastasi simulointiviestiin.
MessageForwarded_TimeStamp Kun käyttäjä välitti simulaatioviestin.
PoissaOfficeDays Määrittää, onko käyttäjä poissa. Nämä tiedot ovat peräisin Outlookin Automaattiset vastaukset -asetuksesta.
PositiveReinforcementMessageDelivered_TimeStamp Kun positiivisen vahvistusviestin toimitettiin käyttäjälle.
PositiveReinforcementMessageFailed_TimeStamp Kun vahvistussanomaa ei voitu toimittaa käyttäjälle.
JustSimulationMessageDelivered_TimeStamp Kun simulointiviesti toimitettiin käyttäjälle osana simulointia ilman koulutusta (Uuden simulointitoiminnon Määritä harjoitus -sivulla ei valittu mitään koulutusta).
JustSimulationMessageFailed_TimeStamp Kun simulointisähköpostiviestiä ei voitu toimittaa käyttäjälle eikä simuloinnille ollut määritetty koulutusta.
TrainingAssignmentMessageDelivered_TimeStamp Kun harjoitustehtävän viesti toimitettiin käyttäjälle. Tämä arvo on tyhjä, jos simuloinnissa ei ole annettu harjoituksia.
TrainingAssignmentMessageFailed_TimeStamp Kun harjoitustehtävän sanomaa ei voitu toimittaa käyttäjälle. Tämä arvo on tyhjä, jos simuloinnissa ei ole annettu harjoituksia.
FailedToDeliverEmail_TimeStamp Kun simulointisähköpostiviestiä ei voitu toimittaa käyttäjälle.
Viimeisin simulointitoiminta Käyttäjän viimeinen simulointitoiminto (riippumatta siitä, onko käyttäjä läpäissyt vai vaarantunut).
Määritetyt koulutukset Luettelo käyttäjälle simuloinnin osana määritetyistä kouluista.
Suoritetut harjoitukset Luettelo käyttäjän suorittamista harjoituksista osana simulointia.
Koulutuksen tila Käyttäjän harjoittamisen nykyinen tila osana simulointia.
Tietojenkalastelu raportoitu Kun käyttäjä ilmoitti simulointiviestin tietojenkalasteluksi.
Osasto Käyttäjän osaston ominaisuuden arvo Microsoft Entra ID simuloinnin aikana.
Yritys Käyttäjän Yrityksen -ominaisuuden arvo Microsoft Entra ID simuloinnin aikana.
Title Käyttäjän Title-ominaisuuden arvo Microsoft Entra ID simuloinnin aikana.
Office Käyttäjän Office-ominaisuuden arvo Microsoft Entra ID simuloinnin aikana.
Kaupunki Käyttäjän City-ominaisuuden arvo Microsoft Entra ID simuloinnin aikana.
Maa Käyttäjän Country-ominaisuuden arvo Microsoft Entra ID simulointihetkellä.
Manageri Käyttäjän Manager-ominaisuuden arvo Microsoft Entra ID simuloinnin aikana.

Seuraavassa taulukossa kuvataan, miten käyttäjän toiminnan signaalit tallennetaan.

Kenttä Kuvaus Laskentalogiikka
DownloadAttachment Käyttäjä latasi liitteen. Signaali on peräisin asiakkaalta (esimerkiksi Outlookista tai Word).
Avattu liite Käyttäjä avasi liitteen. Signaali on peräisin asiakkaalta (esimerkiksi Outlookista tai Word).
Lue viesti Käyttäjä luki simulointiviestin. Viestin lukusignaaleja saattaa esiintyä ongelmia seuraavissa tilanteissa:
  • Käyttäjä ilmoitti viestin tietojenkalasteluksi Outlookissa poistumatta lukuruudusta. Merkitse kohteet luetuiksi, kun niitä ei ole määritetty lukuruudussa (oletus).
  • Käyttäjä ilmoitti Lukematon-viestin tietojenkalasteluksi Outlookissa, viesti poistettiin ja viestin merkitsemistä luetuksi poistamisen yhteydessä ei määritetty (oletus).
Poissa Määrittää, onko käyttäjä poissa. Lasketaan tällä hetkellä Outlookin Automaattiset vastaukset -asetuksella.
Vaarantunut käyttäjä Käyttäjä on vaarantunut. Kompromissisignaali vaihtelee sosiaalisen suunnittelutekniikan mukaan.
  • Tunnistetietojen kerääminen: Käyttäjä on antanut tunnistetietonsa kirjautumissivulle (Microsoft ei tallenna tunnistetietoja).¹
  • Haittaohjelmaliite: Käyttäjä avasi tietojen liitteen ja valitsi Ota muokkaus käyttöönsuojatussa näkymässä.
  • Linkki liitteenä: Käyttäjä avasi liitteen ja syötti tunnistetietonsa napsautettuaan tietojen linkkiä.
  • Linkki Haittaohjelmistoon: Käyttäjä napsautti hyötykuormalinkkiä ja syötti tunnistetietonsa.
  • Ajoperusteinen URL-osoite: Käyttäjä napsautti hyötykuormalinkkiä (tunnistetietojen antaminen ei ole pakollista).¹
  • OAuth-suostumuksen myöntäminen: Käyttäjä napsautti hyötykuormalinkkiä ja hyväksyi kehotteen käyttöoikeuksien jakamiseen.¹
Napsautetun viestin linkki Käyttäjä napsautti simulointiviestin hyötykuormalinkkiä. Simuloinnin URL-osoite on yksilöllinen jokaiselle käyttäjälle, mikä sallii yksittäisten käyttäjien toiminnan seurannan. Kolmannen osapuolen suodatuspalvelut tai sähköpostin edelleenlähetys voivat johtaa vääriin positiivisiin puoliin. Lisätietoja on kohdassa Napsautukset tai kompromissitapahtumat käyttäjiltä, jotka väittävät, että he eivät napsauttaneet simulaatioviestin linkkiä TAI näen napsautuksia muutaman sekunnin kuluessa toimituksesta monille käyttäjille (false-positiiviset). Mitä on tekeillä?
Välitetty viesti Käyttäjä välitti viestin edelleen.
Viestiin vastattu Käyttäjä vastasi viestiin.
Poistettu viesti Käyttäjä poisti viestin. Signaali on peräisin käyttäjän Outlook-toiminnasta. Jos käyttäjä ilmoittaa viestin tietojenkalasteluksi, viesti voidaan siirtää Poistetut-kansioon, joka tunnistetaan poistoksi.
Myönnetyt käyttöoikeudet Käyttäjä jakoi käyttöoikeudet OAuth Consent Grant -simuloinnissa.

¹ Napsautuslinkki voi olla valittu URL-osoite tai skannattu QR-koodi.

Hyökkäyssimulaatiokoulutuksen käytön aloittaminen

Tietojenkalasteluhyökkäyssimulaation luominen

luo tiedot henkilösi kouluttamista varten