Condividi tramite


Informazioni dettagliate e report per Formazione con simulazione degli attacchi

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

In Formazione con simulazione degli attacchi in Microsoft Defender per Office 365 Piano 2 o Microsoft 365 E5, Microsoft fornisce informazioni dettagliate e report sui risultati delle simulazioni e dei training corrispondenti. Queste informazioni consentono di essere informati sullo stato di preparazione delle minacce degli utenti e di consigliare i passaggi successivi per preparare meglio gli utenti agli attacchi futuri.

Le informazioni dettagliate e i report sono disponibili nelle posizioni seguenti nella pagina Formazione con simulazione degli attacchi nel portale di Microsoft Defender:

Il resto di questo articolo descrive i report e le informazioni dettagliate per Formazione con simulazione degli attacchi.

Per informazioni introduttive sulla Formazione con simulazione degli attacchi, vedi Introduzione all'uso della Formazione con simulazione degli attacchi.

Informazioni dettagliate sulle schede Panoramica e Report di Formazione con simulazione degli attacchi

Per passare alla scheda Panoramica, aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com, passare a Email & collaborazione>Formazione con simulazione degli attacchi:

La distribuzione di informazioni dettagliate nelle schede è descritta nella tabella seguente:

Report Scheda Panoramica Scheda Report
Scheda Simulazioni recenti
Scheda Raccomandazioni
Scheda di copertura della simulazione
Scheda di completamento del training
Carta recidiva dei trasgressori
Impatto del comportamento sulla scheda della velocità di compromissione

Il resto di questa sezione descrive le informazioni disponibili nelle schede Panoramica e Report di Formazione con simulazione degli attacchi.

Scheda Simulazioni recenti

La scheda Simulazioni recenti nella scheda Panoramica mostra le ultime tre simulazioni create o eseguite nell'organizzazione.

È possibile selezionare una simulazione per visualizzare i dettagli.

Selezionando Visualizza tutte le simulazioni si passa alla scheda Simulazioni .

Selezionando Avvia una simulazione viene avviata la nuova procedura guidata di simulazione. Per altre informazioni, vedi Simula un attacco di phishing in Defender per Office 365.

Scheda Simulazioni recenti nella scheda Panoramica in Formazione con simulazione degli attacchi nel portale di Microsoft Defender.

Scheda Raccomandazioni

La scheda Raccomandazioni nella scheda Panoramica suggerisce diversi tipi di simulazioni da eseguire.

Selezionando Avvia viene avviata la nuova procedura guidata di simulazione con il tipo di simulazione specificato selezionato automaticamente nella pagina Seleziona tecnica . Per altre informazioni, vedi Simula un attacco di phishing in Defender per Office 365.

Scheda Raccomandazioni nella scheda Panoramica in Formazione con simulazione degli attacchi nel portale di Microsoft Defender.

Scheda di copertura della simulazione

La scheda Copertura di simulazione nelle schede Panoramica e Report mostra la percentuale di utenti dell'organizzazione che hanno ricevuto una simulazione (utenti simulati) rispetto agli utenti che non hanno ricevuto una simulazione (utenti non simulati). È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare il numero effettivo di utenti in ogni categoria.

Selezionando Visualizza report di copertura della simulazione si passa alla scheda Copertura utente per il report di simulazione degli attacchi.

Selezionando Avvia simulazione per utenti non simulati viene avviata la nuova procedura guidata di simulazione in cui gli utenti che non hanno ricevuto la simulazione vengono selezionati automaticamente nella pagina Utente di destinazione . Per altre informazioni, vedi Simula un attacco di phishing in Defender per Office 365.

Scheda Copertura di simulazione nella scheda Panoramica in Formazione con simulazione degli attacchi nel portale di Microsoft Defender.

Scheda di completamento del training

La scheda Completamento training nelle schede Panoramica e Report organizza le percentuali di utenti che hanno ricevuto training in base ai risultati delle simulazioni nelle categorie seguenti:

  • Operazione completata
  • In corso
  • Incompleto

È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare il numero effettivo di utenti in ogni categoria.

Se si seleziona Visualizza il report di completamento del training , si passa alla scheda Training completion (Completamento training) per il report di simulazione degli attacchi.

Scheda completamento training nella scheda Panoramica in Formazione con simulazione degli attacchi nel portale di Microsoft Defender.

Carta recidiva dei trasgressori

La scheda Recidivi nelle schede Panoramica e Report mostra le informazioni sui trasgressori ripetuti. Un recidivo è un utente che è stato compromesso da simulazioni consecutive. Il numero predefinito di simulazioni consecutive è due, ma è possibile modificare il valore nella scheda Impostazioni della Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=setting. Per altre informazioni, vedi Configura la soglia di recidivi.

Il grafico organizza i dati dei recidivi in base al tipo di simulazione:

  • Tutto
  • Allegato malware
  • Collegamento a malware
  • Raccolta credenziali
  • Collegamento negli allegati
  • URL dannoso

Se si seleziona Visualizza report di recidiva , si passa alla scheda Recidivi per il report di simulazione degli attacchi.

Scheda Ripeti trasgressori nella scheda Panoramica in Formazione con simulazione degli attacchi nel portale di Microsoft Defender

Impatto del comportamento sulla scheda della velocità di compromissione

La scheda Impatto del comportamento sulla frequenza di compromissione nelle schede Panoramica e Report mostra come gli utenti hanno risposto alle simulazioni rispetto ai dati cronologici di Microsoft 365. È possibile usare queste informazioni dettagliate per tenere traccia dello stato di preparazione delle minacce degli utenti eseguendo più simulazioni con gli stessi gruppi di utenti.

I dati del grafico mostrano le informazioni seguenti:

  • Tasso di compromissione effettivo: percentuale effettiva di persone compromesse dalla simulazione (utenti effettivi compromessi/numero totale di utenti dell'organizzazione che hanno ricevuto la simulazione).
  • Velocità di compromissione stimata: dati cronologici in Microsoft 365 che stimano la percentuale di persone che verranno compromesse da questa simulazione. Per altre informazioni sulla velocità di compromissione stimata, vedere Velocità di compromissione stimata.

Se si passa il puntatore del mouse su un punto dati nel grafico, vengono visualizzati i valori percentuali effettivi.

Per visualizzare un report dettagliato, selezionare Visualizza simulazioni e report sull'efficacia del training. Questo report è illustrato più avanti in questo articolo.

La scheda Impatto del comportamento sulla velocità di compromissione nella scheda Panoramica in Formazione con simulazione degli attacchi nel portale di Microsoft Defender.

Report di simulazione degli attacchi

È possibile aprire il report di simulazione degli attacchi dalla scheda Panoramica selezionando Visualizza ... azioni di report disponibili in alcune schede delle schede Panoramica e Report descritte in questo articolo. Per passare direttamente alla pagina del report di simulazione degli attacchi , usare https://security.microsoft.com/attacksimulationreport

Scheda dell'efficacia del training per il report di simulazione degli attacchi

La scheda Efficacia del training è selezionata per impostazione predefinita nella pagina del report di simulazione degli attacchi . Questa scheda fornisce le stesse informazioni disponibili nella scheda Impatto del comportamento sulla frequenza di compromissione , con un contesto aggiuntivo della simulazione stessa.

Scheda Efficacia del training nel report di simulazione degli attacchi nel portale di Microsoft Defender.

Il grafico mostra la velocità effettiva compromessa e la velocità di compromissione prevista. Se si passa il puntatore su una sezione del grafico, vengono visualizzati i valori percentuali effettivi per .

La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le simulazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.

  • Nome della simulazione
  • Tecnica di simulazione
  • Tattiche di simulazione
  • Velocità compromessa stimata
  • Tasso effettivo compromesso
  • Totale utenti di destinazione
  • Numero di utenti su cui è stato fatto clic

Utilizzare la casella Di ricerca per filtrare i risultati in base al nome della simulazione o alla tecnica di simulazione. I caratteri jolly non sono supportati.

Usare il pulsante Esporta report per salvare le informazioni in un file CSV. Il nome file predefinito è Report di simulazione attacchi - Microsoft Defender.csv e il percorso predefinito è la cartella Download locale. Se in tale percorso esiste già un report esportato, il nome del file viene incrementato, ad esempio report di simulazione degli attacchi Microsoft Defender (1).csv.

Scheda Copertura utente per il report di simulazione degli attacchi

Nella scheda Copertura utente il grafico mostra gli utenti simulati e gli utenti non simulati. Se si passa il puntatore del mouse su un punto dati nel grafico, vengono visualizzati i valori effettivi.

Scheda Copertura utente nel report di simulazione degli attacchi nel portale di Microsoft Defender.

La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le informazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.

  • Username
  • Indirizzo di posta elettronica
  • Incluso nella simulazione
  • Data dell'ultima simulazione
  • Ultimo risultato della simulazione
  • Numero di clic
  • Numero di elementi compromessi

Utilizzare la casella di ricerca per filtrare i risultati in base a nome utente o indirizzo Email. I caratteri jolly non sono supportati.

Usare il pulsante Esporta report per salvare le informazioni in un file CSV. Il nome file predefinito è Report di simulazione attacchi - Microsoft Defender.csv e il percorso predefinito è la cartella Download locale. Se in tale percorso esiste già un report esportato, il nome del file viene incrementato, ad esempio report di simulazione degli attacchi Microsoft Defender (1).csv.

Scheda di completamento del training per il report di simulazione degli attacchi

Nella scheda Completamento training il grafico mostra il numero di simulazioni completate, in corso e incomplete . Se si passa il puntatore su una sezione del grafico, vengono visualizzati i valori effettivi.

Scheda Training completion (Completamento training) nel report Di simulazione attacchi nel portale di Microsoft Defender.

La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le informazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.

  • Username
  • Indirizzo di posta elettronica
  • Incluso nella simulazione
  • Data dell'ultima simulazione
  • Ultimo risultato della simulazione
  • Nome del training più recente completato
  • Data di completamento
  • Tutti i training

Selezionare Filtro per filtrare il grafico e la tabella dei dettagli in base ai valori Status dei training: Completed, In progress o All.

Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.

Utilizzare la casella di ricerca per filtrare i risultati in base a nome utente o indirizzo Email. I caratteri jolly non sono supportati.

Se selezioni il pulsanteEsporta report, lo stato di avanzamento della generazione del report viene visualizzato come percentuale di completamento. Nella finestra di dialogo visualizzata è possibile scegliere di aprire il file .csv, salvare il file .csv e ricordare la selezione.

Scheda Ripeti trasgressori per il report di simulazione degli attacchi

Un recidivo è un utente che è stato compromesso da simulazioni consecutive. Il numero predefinito di simulazioni consecutive è due, ma è possibile modificare il valore nella scheda Impostazioni della Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=setting. Per altre informazioni, vedi Configura la soglia di recidivi.

Nella scheda Recidivi il grafico mostra il numero di utenti recidivi e utenti simulati.

Scheda Ripeti trasgressori nel report Simulazione attacchi nel portale di Microsoft Defender.

Se si passa il puntatore del mouse su un punto dati nel grafico, vengono visualizzati i valori effettivi.

La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le informazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.

  • Utente: nome dell'utente.

  • Tipi di simulazione: tipo di simulazioni in cui l'utente è stato coinvolto.

  • Simulazioni: nome delle simulazioni in cui l'utente è stato coinvolto.

  • Email indirizzo: Email indirizzo dell'utente.

  • Conteggio delle ripetizioni più recenti: conteggio più recente delle compromissioni per gli utenti classificati come trasgressori ripetuti. Ad esempio, se la soglia del recidivo è impostata su 3 e un utente è stato compromesso in 3 simulazioni consecutive, il numero di ripetizioni più recente è 3. Se l'utente è stato compromesso in 4 simulazioni consecutive, il numero di ripetizioni più recente è 4. Se l'utente è stato compromesso in 2 simulazioni consecutive, il valore N/D. Il numero di ripetizioni più recente viene impostato su 0 (N/D), ogni volta che viene reimpostato un flag di recidiva (ovvero l'utente supera una simulazione).

  • Ripetizione di reati: include il numero di volte in cui un utente è stato classificato come recidivo. Ad esempio:

    • L'utente è stato classificato come recidivo nelle prime simulazioni (sono state compromesse 3 volte consecutive, dove la soglia del recidivo è 2).
    • L'utente è stato classificato come "pulito" dopo aver superato una simulazione.
    • L'utente è stato classificato come recidivo nelle prossime simulazioni (sono state compromesse 4 volte consecutive, dove la soglia del recidivo è 2).

    In questi casi, il numero di reati ripetuti è impostato su 2. Il conteggio viene aggiornato ogni volta che un utente viene considerato un recidivo.

  • Cognome della simulazione

  • Ultimo risultato della simulazione

  • Ultimo training assegnato

  • Stato ultimo training

Selezionare Filtro per filtrare il grafico e la tabella dei dettagli in base a uno o più valori del tipo di simulazione:

  • Raccolta credenziali
  • Allegato malware
  • Collegamento in allegato.
  • Collegamento a malware

Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.

Utilizzare la casella Di ricerca per filtrare i risultati in base a uno qualsiasi dei valori di colonna. I caratteri jolly non sono supportati.

Usare il pulsante Esporta report per salvare le informazioni in un file CSV. Il nome file predefinito è Report di simulazione attacchi - Microsoft Defender.csv e il percorso predefinito è la cartella Download locale. Se in tale percorso esiste già un report esportato, il nome del file viene incrementato, ad esempio report di simulazione degli attacchi Microsoft Defender (1).csv.

Report di simulazione in Formazione con simulazione degli attacchi

Il report di simulazione mostra i dettagli delle simulazioni in corso o completate (il valore Stato è In corso o Completato). Per visualizzare il report di simulazione, usare uno dei metodi seguenti:

La pagina del report visualizzata contiene le schede Report, **Utenti e Dettagli che contengono informazioni sulla simulazione. Il resto di questa sezione descrive le informazioni dettagliate e i report disponibili nella scheda Report .

Le sezioni della scheda Report per una simulazione sono descritte nelle sottosezioni seguenti.

Per altre informazioni sulle schede Utenti e Dettagli , vedere i collegamenti seguenti.

Creazione di report per simulazioni di codice a matrice

È possibile selezionare payload di codice a matrice da usare nelle simulazioni. Il codice a matrice sostituisce l'URL di phishing come payload usato nel messaggio di posta elettronica di simulazione. Per altre informazioni, vedere Payload del codice a matrice.

Poiché i codici a matrice sono un tipo diverso di URL di phishing, gli eventi utente relativi agli eventi di lettura, eliminazione, compromissione e clic rimangono invariati. Ad esempio, l'analisi del codice a matrice apre l'URL di phishing, in modo che l'evento venga registrato come evento click. I meccanismi esistenti per tenere traccia degli eventi di compromissione, eliminazione e report rimangono invariati.

Se si esporta un report di simulazione in un file CSV, la colonna EmailLinkClicked_ClickSource è disponibile con i valori seguenti:

  • PhishingURL: l'utente ha fatto clic sul collegamento di phishing nel messaggio di posta elettronica di simulazione.
  • QRCode: l'utente ha analizzato il codice a matrice nel messaggio di posta elettronica di simulazione.

Altre metriche come letture, compromissioni, eliminazioni e messaggi segnalati continuano a essere rilevate senza altri aggiornamenti. Per altre informazioni, vedere la sezione Appendice più avanti in questo articolo.

Report di simulazione per le simulazioni

Questa sezione descrive le informazioni nel report di simulazione per simulazioni regolari (non campagne di training).

Scheda Report nel report di simulazione in Formazione con simulazione degli attacchi.

Sezione Impatto della simulazione nel report per le simulazioni

La sezione Impatto della simulazione nella scheda Report ** per una simulazione mostra il numero e la percentuale di utenti compromessi e utenti che hanno segnalato il messaggio.

Se si passa il puntatore su una sezione del grafico, vengono visualizzati i numeri effettivi per ogni categoria.

Selezionare Visualizza utenti compromessi per passare alla scheda Utenti del report in cui i risultati vengono filtrati in base a Compromessi: Sì.

Selezionare Visualizza utenti che hanno segnalato di passare alla scheda Utenti del report in cui i risultati vengono filtrati in base al messaggio Segnalato: Sì.

La sezione Impatto della simulazione nella scheda Report di un report di simulazione per una simulazione.

Sezione Tutte le attività utente nel report per le simulazioni

La sezione Tutte le attività utente nella scheda Report ** per una simulazione mostra i numeri per i possibili risultati della simulazione. Le informazioni variano in base al tipo di simulazione. Ad esempio:

  • Collegamento al messaggio cliccato o collegamento allegato su cui è stato fatto clic o Allegato aperto
  • Credenziali specificate
  • Leggere il messaggio
  • Messaggio eliminato
  • Risposta al messaggio
  • Messaggio inoltrato
  • Fuori sede

Selezionare Visualizza tutti gli utenti per passare alla scheda Utenti del report in cui i risultati non sono filtrati.

Sezione Attività Tutti gli utenti nella scheda Report di un report di simulazione per una simulazione.

Sezione Stato recapito nel report per le simulazioni

La sezione Stato recapito nella scheda Report ** per una simulazione mostra i numeri per i possibili stati di recapito per il messaggio di simulazione. Ad esempio:

  • Messaggio ricevuto correttamente
  • Messaggio di rinforzo positivo recapitato
  • Messaggio di simulazione recapitato

Selezionare Visualizza gli utenti a cui il recapito dei messaggi non è riuscito a passare alla scheda Utenti del report in cui i risultati vengono filtrati in base al recapito del messaggio di simulazione: Non è stato possibile recapitare.

Selezionare Visualizza utenti o gruppi esclusi per aprire un riquadro a comparsa Utenti o gruppi esclusi che mostra gli utenti o i gruppi esclusi dalla simulazione.

Sezione Stato recapito nella scheda Report di un report di simulazione per una simulazione.

Sezione completamento training nel report per le simulazioni

La sezione Completamento del training nella pagina dei dettagli della simulazione mostra i training necessari per la simulazione e il numero di utenti che hanno completato i training.

Se non sono stati inclusi training nella simulazione, l'unico valore in questa sezione è Training non faceva parte di questa simulazione.

Sezione Completamento training nella scheda Report di un report di simulazione per una simulazione.

Prima & sezione dell'istanza media nel report per le simulazioni

La sezione First & istanza media nella scheda Report ** per una simulazione mostra informazioni sul tempo impiegato per eseguire azioni specifiche nella simulazione. Ad esempio:

  • Primo collegamento su cui è stato fatto clic
  • Collegamento medio su cui è stato fatto clic
  • Prime credenziali immesse
  • Credenziale media immessa

La sezione First & istanza media nella scheda Report di un report di simulazione per una simulazione.

Sezione Raccomandazioni nel report per le simulazioni

La sezione Raccomandazioni nella scheda Report** per una simulazione mostra le raccomandazioni per l'uso di Formazione con simulazione degli attacchi per proteggere l'organizzazione.

La sezione Raccomandazioni della scheda Report di un report di simulazione per una simulazione.

Report di simulazione per le campagne di formazione

Questa sezione descrive le informazioni nel report di simulazione per le campagne di training (non le simulazioni).

Scheda Report nel report della campagna Di formazione in Formazione con simulazione degli attacchi.

Sezione relativa alla classificazione del completamento del training nel report per le campagne di formazione

La sezione Classificazione del completamento del training nella scheda Report ** per una campagna di formazione mostra informazioni sui moduli di training completati nella campagna Di formazione.

Sezione Classificazione del completamento del training nella scheda Report nel report della campagna Training in Formazione con simulazione degli attacchi.

Sezione di riepilogo del completamento della formazione nel report per le campagne di formazione

La sezione Riepilogo completamento training nella scheda Report ** per una campagna di formazione usa grafici a barre che mostrano la progressione degli utenti assegnati attraverso tutti i moduli di training nella campagna (numero di utenti/numero totale di utenti):

  • Operazione completata
  • In corso
  • Non avviato
  • Non completato
  • Assegnato in precedenza

È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare la percentuale effettiva in ogni categoria.

La sezione Riepilogo completamento training nella scheda Report nel report della campagna Training in Formazione con simulazione degli attacchi.

Sezione Tutte le attività utente nel report per le campagne di formazione

La sezione Tutte le attività utente nella scheda Report ** per una campagna di formazione usa un grafico a barre per illustrare come le persone principali hanno ricevuto correttamente la notifica di training (numero di utenti/numero totale di utenti).

È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare i numeri effettivi in ogni categoria.

Sezione Tutte le attività utente nella scheda Report nel report della campagna Di formazione in Formazione con simulazione degli attacchi.

Appendice

Quando si esportano informazioni dai report, il file CSV contiene più informazioni di quelle visualizzate nel report, anche se sono visualizzate tutte le colonne. I campi sono descritti nella tabella seguente.

Consiglio

Per informazioni massime, verificare che tutte le colonne disponibili nel report siano visibili prima dell'esportazione.

Nome campo Descrizione
UserName Nome utente dell'utente che ha eseguito l'attività.
UserMail Email indirizzo dell'utente che ha eseguito l'attività.
Compromessa Indica se l'utente è stato compromesso. I valori sono Sì o No.
AttachmentOpened_TimeStamp Quando il payload dell'allegato è stato aperto nelle simulazioni degli allegati malware .
AttachmentOpened_Browser Quando il payload dell'allegato è stato aperto in un Web browser nelle simulazioni degli allegati malware . Queste informazioni provengono da UserAgent.
AttachmentOpened_IP Indirizzo IP in cui è stato aperto il payload dell'allegato nelle simulazioni degli allegati malware . Queste informazioni provengono da UserAgent.
AttachmentOpened_Device Dispositivo in cui è stato aperto il payload dell'allegato nelle simulazioni degli allegati malware . Queste informazioni provengono da UserAgent.
AttachmentLinkClicked_TimeStamp Quando è stato fatto clic sul payload del collegamento dell'allegato in Collegamento nelle simulazioni degli allegati .
AttachmentLinkClicked_Browser Web browser usato per fare clic sul payload del collegamento allegato in Simulazione collegamento in allegati . Queste informazioni provengono da UserAgent.
AttachmentLinkClicked_IP Indirizzo IP in cui è stato fatto clic sul payload del collegamento dell'allegato in Simulazione collegamento in allegati . Queste informazioni provengono da UserAgent.
AttachmentLinkClicked_Device Il dispositivo in cui è stato fatto clic sul payload del collegamento dell'allegato in Simulazione collegamento in Allegati . Queste informazioni provengono da UserAgent.
EmailLinkClicked_TimeStamp Quando è stato fatto clic sul payload del collegamento in Credential Harvest, Collega a Malware, Drive-by-URL e OAuth Consent Grant simulazioni.
EmailLinkClicked_Browser Web browser usato per fare clic sul payload del collegamento nelle simulazioni Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant . Queste informazioni provengono da UserAgent.
EmailLinkClicked_IP Indirizzo IP in cui è stato fatto clic sul payload del collegamento in Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant simulations.The IP address where the link payload was clicked the link payload was clicked in Credential Harvest, Link to Malware, Drive-by-URL, and OAuth Consent Grant simulations. Queste informazioni provengono da UserAgent.
EmailLinkClicked_Device Il dispositivo in cui è stato fatto clic sul payload del collegamento in Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant simulations.The device where the link payload was clicked the link payload was clicked in Credential Harvest, Link to Malware, Drive-by-URL, and OAuth Consent Grant simulations. Queste informazioni provengono da UserAgent.
EmailLinkClicked_ClickSource Se il collegamento al payload è stato selezionato facendo clic su un URL o analizzando un codice a matrice in Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant simulations. I valori sono PhishingURL o QRCode.
CredSupplied_TimeStamp(Compromesso) Quando l'utente ha immesso le credenziali.
CredSupplied_Browser Web browser usato quando l'utente ha immesso le credenziali. Queste informazioni provengono da UserAgent.
CredSupplied_IP Indirizzo IP in cui l'utente ha immesso le credenziali. Queste informazioni provengono da UserAgent.
CredSupplied_Device Dispositivo in cui l'utente ha immesso le credenziali. Queste informazioni provengono da UserAgent.
SuccessfullyDeliveredEmail_TimeStamp Quando il messaggio di posta elettronica di simulazione è stato recapitato all'utente.
MessageRead_TimeStamp Quando il messaggio di simulazione è stato letto.
MessageDeleted_TimeStamp Quando il messaggio di simulazione è stato eliminato.
MessageReplied_TimeStamp Quando l'utente ha risposto al messaggio di simulazione.
MessageForwarded_TimeStamp Quando l'utente ha inoltrato il messaggio di simulazione.
OutOfOfficeDays Determina se l'utente non è in ufficio. Queste informazioni provengono dall'impostazione Risposte automatiche in Outlook.
PositiveReinforcementMessageDelivered_TimeStamp Quando il messaggio di rinforzo positivo è stato recapitato all'utente.
PositiveReinforcementMessageFailed_TimeStamp Quando il messaggio di rinforzo positivo non è stato recapitato all'utente.
JustSimulationMessageDelivered_TimeStamp Quando il messaggio di simulazione è stato recapitato all'utente come parte di una simulazione senza training assegnati (nessun training è stato selezionato nella pagina Assegna training della nuova procedura guidata di simulazione).
JustSimulationMessageFailed_TimeStamp Quando il messaggio di posta elettronica di simulazione non è stato recapitato all'utente e alla simulazione non sono stati assegnati training.
TrainingAssignmentMessageDelivered_TimeStamp Quando il messaggio di assegnazione del training è stato recapitato all'utente. Questo valore è vuoto se non sono stati assegnati training nella simulazione.
TrainingAssignmentMessageFailed_TimeStamp Quando il messaggio di assegnazione del training non è stato recapitato all'utente. Questo valore è vuoto se non sono stati assegnati training nella simulazione.
FailedToDeliverEmail_TimeStamp Quando il messaggio di posta elettronica di simulazione non è stato recapitato all'utente.
Ultima attività di simulazione L'ultima attività di simulazione dell'utente (sia che siano state passate o compromesse).
Training assegnati Elenco di training assegnati all'utente come parte della simulazione.
Training completati Elenco di training completati dall'utente come parte della simulazione.
Stato training Stato corrente dei training per l'utente nell'ambito della simulazione.
Phishing segnalato su Quando l'utente ha segnalato il messaggio di simulazione come phishing.
Reparto Il valore della proprietà Department dell'utente in Microsoft Entra ID al momento della simulazione.
Company Il valore della proprietà Company dell'utente in Microsoft Entra ID al momento della simulazione.
Titolo Il valore della proprietà Title dell'utente in Microsoft Entra ID al momento della simulazione.
Office Il valore della proprietà Office dell'utente in Microsoft Entra ID al momento della simulazione.
Città Il valore della proprietà City dell'utente in Microsoft Entra ID al momento della simulazione.
Paese Il valore della proprietà Country dell'utente in Microsoft Entra ID al momento della simulazione.
Manager Il valore della proprietà Manager dell'utente in Microsoft Entra ID al momento della simulazione.

La modalità di acquisizione dei segnali dell'attività utente è descritta nella tabella seguente.

Campo Descrizione Logica di calcolo
DownloadAttachment Un utente ha scaricato l'allegato. Il segnale proviene dal client (ad esempio, Outlook o Word).
Allegato aperto Un utente ha aperto l'allegato. Il segnale proviene dal client (ad esempio, Outlook o Word).
Messaggio di lettura L'utente legge il messaggio di simulazione. I segnali di lettura dei messaggi potrebbero riscontrare problemi negli scenari seguenti:
  • L'utente ha segnalato il messaggio come phishing in Outlook senza uscire dal riquadro di lettura e contrassegnare gli elementi come letti quando visualizzati nel riquadro di lettura non è stato configurato (impostazione predefinita).
  • L'utente ha segnalato il messaggio non letto come phishing in Outlook, il messaggio è stato eliminato e contrassegna i messaggi come letti quando l'eliminazione non è stata configurata (impostazione predefinita).
Fuori sede Determina se l'utente non è in ufficio. Attualmente calcolato dall'impostazione Risposte automatiche di Outlook.
Utente compromesso L'utente è stato compromesso. Il segnale di compromissione varia in base alla tecnica di ingegneria sociale.
  • Raccolta credenziali: l'utente ha immesso le credenziali nella pagina di accesso (le credenziali non sono archiviate da Microsoft).¹
  • Allegato malware: l'utente ha aperto l'allegato del payload e ha selezionato Abilita modifica nella visualizzazione protetta.
  • Collegamento in Allegato: l'utente ha aperto l'allegato e ha immesso le credenziali dopo aver fatto clic sul collegamento al payload.
  • Collegamento a Malware: l'utente ha fatto clic sul collegamento del payload e ha immesso le credenziali.
  • Unità in base all'URL: l'utente ha fatto clic sul collegamento del payload (non è necessario immettere le credenziali).¹
  • Concessione del consenso OAuth: l'utente ha fatto clic sul collegamento del payload e ha accettato la richiesta di condivisione delle autorizzazioni.¹
Collegamento messaggio cliccato L'utente ha fatto clic sul collegamento payload nel messaggio di simulazione. L'URL nella simulazione è univoco per ogni utente, che consente il rilevamento delle attività dei singoli utenti. I servizi di filtro di terze parti o l'inoltro della posta elettronica possono causare falsi positivi. Per altre informazioni, vedere I see clicks or compromise events from users who insist they't click the link in the simulation message OR I see clicks within a few seconds of delivery for many users (false positives). Cosa sta succedendo?
Messaggio inoltrato L'utente ha inoltrato il messaggio.
Risposta al messaggio L'utente ha risposto al messaggio.
Messaggio eliminato L'utente ha eliminato il messaggio. Il segnale proviene dall'attività di Outlook dell'utente. Se l'utente segnala il messaggio come phishing, il messaggio potrebbe essere spostato nella cartella Posta eliminata, identificata come eliminazione.
Autorizzazioni concesse Autorizzazioni condivise dall'utente in una simulazione di concessione del consenso OAuth .

¹ Il collegamento selezionato può essere un URL selezionato o un codice a matrice analizzato.

Introduzione alla formazione sull’uso di Simulatore di attacchi

Crea una simulazione di attacchi di phishing

creare un payload per il training delle persone