Informazioni dettagliate e report per Formazione con simulazione degli attacchi
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
In Formazione con simulazione degli attacchi in Microsoft Defender per Office 365 Piano 2 o Microsoft 365 E5, Microsoft fornisce informazioni dettagliate e report sui risultati delle simulazioni e dei training corrispondenti. Queste informazioni consentono di essere informati sullo stato di preparazione delle minacce degli utenti e di consigliare i passaggi successivi per preparare meglio gli utenti agli attacchi futuri.
Le informazioni dettagliate e i report sono disponibili nelle posizioni seguenti nella pagina Formazione con simulazione degli attacchi nel portale di Microsoft Defender:
- Intuizioni:
- La scheda Panoramica in https://security.microsoft.com/attacksimulator?viewid=overview.
- La scheda Report in https://security.microsoft.com/attacksimulator?viewid=reports.
- Rapporti:
- Pagina del report di simulazione degli attacchi all'indirizzo https://security.microsoft.com/attacksimulationreport:
- Report per simulazioni e campagne di training in corso e completate: per altre informazioni, vedere Report sulla simulazione degli attacchi.
Il resto di questo articolo descrive i report e le informazioni dettagliate per Formazione con simulazione degli attacchi.
Per informazioni introduttive sulla Formazione con simulazione degli attacchi, vedi Introduzione all'uso della Formazione con simulazione degli attacchi.
Informazioni dettagliate sulle schede Panoramica e Report di Formazione con simulazione degli attacchi
Per passare alla scheda Panoramica, aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com, passare a Email & collaborazione>Formazione con simulazione degli attacchi:
- Scheda Panoramica : verificare che la scheda Panoramica sia selezionata (è l'impostazione predefinita). In alternativa, per passare direttamente alla scheda Panoramica , usare https://security.microsoft.com/attacksimulator?viewid=overview.
- Scheda Report : selezionare la scheda Report . In alternativa, per passare direttamente alla scheda Report , usare https://security.microsoft.com/attacksimulationreport.
La distribuzione di informazioni dettagliate nelle schede è descritta nella tabella seguente:
Report | Scheda Panoramica | Scheda Report |
---|---|---|
Scheda Simulazioni recenti | ✔ | |
Scheda Raccomandazioni | ✔ | |
Scheda di copertura della simulazione | ✔ | ✔ |
Scheda di completamento del training | ✔ | ✔ |
Carta recidiva dei trasgressori | ✔ | ✔ |
Impatto del comportamento sulla scheda della velocità di compromissione | ✔ | ✔ |
Il resto di questa sezione descrive le informazioni disponibili nelle schede Panoramica e Report di Formazione con simulazione degli attacchi.
Scheda Simulazioni recenti
La scheda Simulazioni recenti nella scheda Panoramica mostra le ultime tre simulazioni create o eseguite nell'organizzazione.
È possibile selezionare una simulazione per visualizzare i dettagli.
Selezionando Visualizza tutte le simulazioni si passa alla scheda Simulazioni .
Selezionando Avvia una simulazione viene avviata la nuova procedura guidata di simulazione. Per altre informazioni, vedi Simula un attacco di phishing in Defender per Office 365.
Scheda Raccomandazioni
La scheda Raccomandazioni nella scheda Panoramica suggerisce diversi tipi di simulazioni da eseguire.
Selezionando Avvia viene avviata la nuova procedura guidata di simulazione con il tipo di simulazione specificato selezionato automaticamente nella pagina Seleziona tecnica . Per altre informazioni, vedi Simula un attacco di phishing in Defender per Office 365.
Scheda di copertura della simulazione
La scheda Copertura di simulazione nelle schede Panoramica e Report mostra la percentuale di utenti dell'organizzazione che hanno ricevuto una simulazione (utenti simulati) rispetto agli utenti che non hanno ricevuto una simulazione (utenti non simulati). È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare il numero effettivo di utenti in ogni categoria.
Selezionando Visualizza report di copertura della simulazione si passa alla scheda Copertura utente per il report di simulazione degli attacchi.
Selezionando Avvia simulazione per utenti non simulati viene avviata la nuova procedura guidata di simulazione in cui gli utenti che non hanno ricevuto la simulazione vengono selezionati automaticamente nella pagina Utente di destinazione . Per altre informazioni, vedi Simula un attacco di phishing in Defender per Office 365.
Scheda di completamento del training
La scheda Completamento training nelle schede Panoramica e Report organizza le percentuali di utenti che hanno ricevuto training in base ai risultati delle simulazioni nelle categorie seguenti:
- Operazione completata
- In corso
- Incompleto
È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare il numero effettivo di utenti in ogni categoria.
Se si seleziona Visualizza il report di completamento del training , si passa alla scheda Training completion (Completamento training) per il report di simulazione degli attacchi.
Carta recidiva dei trasgressori
La scheda Recidivi nelle schede Panoramica e Report mostra le informazioni sui trasgressori ripetuti. Un recidivo è un utente che è stato compromesso da simulazioni consecutive. Il numero predefinito di simulazioni consecutive è due, ma è possibile modificare il valore nella scheda Impostazioni della Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=setting. Per altre informazioni, vedi Configura la soglia di recidivi.
Il grafico organizza i dati dei recidivi in base al tipo di simulazione:
- Tutto
- Allegato malware
- Collegamento a malware
- Raccolta credenziali
- Collegamento negli allegati
- URL dannoso
Se si seleziona Visualizza report di recidiva , si passa alla scheda Recidivi per il report di simulazione degli attacchi.
Impatto del comportamento sulla scheda della velocità di compromissione
La scheda Impatto del comportamento sulla frequenza di compromissione nelle schede Panoramica e Report mostra come gli utenti hanno risposto alle simulazioni rispetto ai dati cronologici di Microsoft 365. È possibile usare queste informazioni dettagliate per tenere traccia dello stato di preparazione delle minacce degli utenti eseguendo più simulazioni con gli stessi gruppi di utenti.
I dati del grafico mostrano le informazioni seguenti:
- Tasso di compromissione effettivo: percentuale effettiva di persone compromesse dalla simulazione (utenti effettivi compromessi/numero totale di utenti dell'organizzazione che hanno ricevuto la simulazione).
- Velocità di compromissione stimata: dati cronologici in Microsoft 365 che stimano la percentuale di persone che verranno compromesse da questa simulazione. Per altre informazioni sulla velocità di compromissione stimata, vedere Velocità di compromissione stimata.
Se si passa il puntatore del mouse su un punto dati nel grafico, vengono visualizzati i valori percentuali effettivi.
Per visualizzare un report dettagliato, selezionare Visualizza simulazioni e report sull'efficacia del training. Questo report è illustrato più avanti in questo articolo.
Report di simulazione degli attacchi
È possibile aprire il report di simulazione degli attacchi dalla scheda Panoramica selezionando Visualizza ... azioni di report disponibili in alcune schede delle schede Panoramica e Report descritte in questo articolo. Per passare direttamente alla pagina del report di simulazione degli attacchi , usare https://security.microsoft.com/attacksimulationreport
Scheda dell'efficacia del training per il report di simulazione degli attacchi
La scheda Efficacia del training è selezionata per impostazione predefinita nella pagina del report di simulazione degli attacchi . Questa scheda fornisce le stesse informazioni disponibili nella scheda Impatto del comportamento sulla frequenza di compromissione , con un contesto aggiuntivo della simulazione stessa.
Il grafico mostra la velocità effettiva compromessa e la velocità di compromissione prevista. Se si passa il puntatore su una sezione del grafico, vengono visualizzati i valori percentuali effettivi per .
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le simulazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.
- Nome della simulazione
- Tecnica di simulazione
- Tattiche di simulazione
- Velocità compromessa stimata
- Tasso effettivo compromesso
- Totale utenti di destinazione
- Numero di utenti su cui è stato fatto clic
Utilizzare la casella Di ricerca per filtrare i risultati in base al nome della simulazione o alla tecnica di simulazione. I caratteri jolly non sono supportati.
Usare il pulsante Esporta report per salvare le informazioni in un file CSV. Il nome file predefinito è Report di simulazione attacchi - Microsoft Defender.csv e il percorso predefinito è la cartella Download locale. Se in tale percorso esiste già un report esportato, il nome del file viene incrementato, ad esempio report di simulazione degli attacchi Microsoft Defender (1).csv.
Scheda Copertura utente per il report di simulazione degli attacchi
Nella scheda Copertura utente il grafico mostra gli utenti simulati e gli utenti non simulati. Se si passa il puntatore del mouse su un punto dati nel grafico, vengono visualizzati i valori effettivi.
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le informazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.
- Username
- Indirizzo di posta elettronica
- Incluso nella simulazione
- Data dell'ultima simulazione
- Ultimo risultato della simulazione
- Numero di clic
- Numero di elementi compromessi
Utilizzare la casella di ricerca per filtrare i risultati in base a nome utente o indirizzo Email. I caratteri jolly non sono supportati.
Usare il pulsante Esporta report per salvare le informazioni in un file CSV. Il nome file predefinito è Report di simulazione attacchi - Microsoft Defender.csv e il percorso predefinito è la cartella Download locale. Se in tale percorso esiste già un report esportato, il nome del file viene incrementato, ad esempio report di simulazione degli attacchi Microsoft Defender (1).csv.
Scheda di completamento del training per il report di simulazione degli attacchi
Nella scheda Completamento training il grafico mostra il numero di simulazioni completate, in corso e incomplete . Se si passa il puntatore su una sezione del grafico, vengono visualizzati i valori effettivi.
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le informazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.
- Username
- Indirizzo di posta elettronica
- Incluso nella simulazione
- Data dell'ultima simulazione
- Ultimo risultato della simulazione
- Nome del training più recente completato
- Data di completamento
- Tutti i training
Selezionare Filtro per filtrare il grafico e la tabella dei dettagli in base ai valori Status dei training: Completed, In progress o All.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Utilizzare la casella di ricerca per filtrare i risultati in base a nome utente o indirizzo Email. I caratteri jolly non sono supportati.
Se selezioni il pulsanteEsporta report, lo stato di avanzamento della generazione del report viene visualizzato come percentuale di completamento. Nella finestra di dialogo visualizzata è possibile scegliere di aprire il file .csv, salvare il file .csv e ricordare la selezione.
Scheda Ripeti trasgressori per il report di simulazione degli attacchi
Un recidivo è un utente che è stato compromesso da simulazioni consecutive. Il numero predefinito di simulazioni consecutive è due, ma è possibile modificare il valore nella scheda Impostazioni della Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=setting. Per altre informazioni, vedi Configura la soglia di recidivi.
Nella scheda Recidivi il grafico mostra il numero di utenti recidivi e utenti simulati.
Se si passa il puntatore del mouse su un punto dati nel grafico, vengono visualizzati i valori effettivi.
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti. È possibile ordinare le informazioni facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.
Utente: nome dell'utente.
Tipi di simulazione: tipo di simulazioni in cui l'utente è stato coinvolto.
Simulazioni: nome delle simulazioni in cui l'utente è stato coinvolto.
Email indirizzo: Email indirizzo dell'utente.
Conteggio delle ripetizioni più recenti: conteggio più recente delle compromissioni per gli utenti classificati come trasgressori ripetuti. Ad esempio, se la soglia del recidivo è impostata su 3 e un utente è stato compromesso in 3 simulazioni consecutive, il numero di ripetizioni più recente è 3. Se l'utente è stato compromesso in 4 simulazioni consecutive, il numero di ripetizioni più recente è 4. Se l'utente è stato compromesso in 2 simulazioni consecutive, il valore N/D. Il numero di ripetizioni più recente viene impostato su 0 (N/D), ogni volta che viene reimpostato un flag di recidiva (ovvero l'utente supera una simulazione).
Ripetizione di reati: include il numero di volte in cui un utente è stato classificato come recidivo. Ad esempio:
- L'utente è stato classificato come recidivo nelle prime simulazioni (sono state compromesse 3 volte consecutive, dove la soglia del recidivo è 2).
- L'utente è stato classificato come "pulito" dopo aver superato una simulazione.
- L'utente è stato classificato come recidivo nelle prossime simulazioni (sono state compromesse 4 volte consecutive, dove la soglia del recidivo è 2).
In questi casi, il numero di reati ripetuti è impostato su 2. Il conteggio viene aggiornato ogni volta che un utente viene considerato un recidivo.
Cognome della simulazione
Ultimo risultato della simulazione
Ultimo training assegnato
Stato ultimo training
Selezionare Filtro per filtrare il grafico e la tabella dei dettagli in base a uno o più valori del tipo di simulazione:
- Raccolta credenziali
- Allegato malware
- Collegamento in allegato.
- Collegamento a malware
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Utilizzare la casella Di ricerca per filtrare i risultati in base a uno qualsiasi dei valori di colonna. I caratteri jolly non sono supportati.
Usare il pulsante Esporta report per salvare le informazioni in un file CSV. Il nome file predefinito è Report di simulazione attacchi - Microsoft Defender.csv e il percorso predefinito è la cartella Download locale. Se in tale percorso esiste già un report esportato, il nome del file viene incrementato, ad esempio report di simulazione degli attacchi Microsoft Defender (1).csv.
Report di simulazione in Formazione con simulazione degli attacchi
Il report di simulazione mostra i dettagli delle simulazioni in corso o completate (il valore Stato è In corso o Completato). Per visualizzare il report di simulazione, usare uno dei metodi seguenti:
Nella scheda Panoramica della pagina Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=overviewselezionare una simulazione dalla scheda Simulazioni recenti.
Nella scheda Simulazioni della pagina Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=simulationsselezionare una simulazione facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Per altre informazioni, vedere Visualizzare i report di simulazione.
- Nella scheda Training della pagina Formazione con simulazione degli attacchi in https://security.microsoft.com/attacksimulator?viewid=trainingcampaignselezionare la campagna di training usando uno dei metodi seguenti:
- Fare clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome.
- Selezionare la casella di controllo accanto al nome e quindi selezionare Visualizza report.
Per altre informazioni, vedere Visualizzare i report delle campagne di training.
La pagina del report visualizzata contiene le schede Report, **Utenti e Dettagli che contengono informazioni sulla simulazione. Il resto di questa sezione descrive le informazioni dettagliate e i report disponibili nella scheda Report .
Le sezioni della scheda Report per una simulazione sono descritte nelle sottosezioni seguenti.
Per altre informazioni sulle schede Utenti e Dettagli , vedere i collegamenti seguenti.
- Simulazioni:
- Campagne di formazione:
Creazione di report per simulazioni di codice a matrice
È possibile selezionare payload di codice a matrice da usare nelle simulazioni. Il codice a matrice sostituisce l'URL di phishing come payload usato nel messaggio di posta elettronica di simulazione. Per altre informazioni, vedere Payload del codice a matrice.
Poiché i codici a matrice sono un tipo diverso di URL di phishing, gli eventi utente relativi agli eventi di lettura, eliminazione, compromissione e clic rimangono invariati. Ad esempio, l'analisi del codice a matrice apre l'URL di phishing, in modo che l'evento venga registrato come evento click. I meccanismi esistenti per tenere traccia degli eventi di compromissione, eliminazione e report rimangono invariati.
Se si esporta un report di simulazione in un file CSV, la colonna EmailLinkClicked_ClickSource è disponibile con i valori seguenti:
-
PhishingURL
: l'utente ha fatto clic sul collegamento di phishing nel messaggio di posta elettronica di simulazione. -
QRCode
: l'utente ha analizzato il codice a matrice nel messaggio di posta elettronica di simulazione.
Altre metriche come letture, compromissioni, eliminazioni e messaggi segnalati continuano a essere rilevate senza altri aggiornamenti. Per altre informazioni, vedere la sezione Appendice più avanti in questo articolo.
Report di simulazione per le simulazioni
Questa sezione descrive le informazioni nel report di simulazione per simulazioni regolari (non campagne di training).
Sezione Impatto della simulazione nel report per le simulazioni
La sezione Impatto della simulazione nella scheda Report ** per una simulazione mostra il numero e la percentuale di utenti compromessi e utenti che hanno segnalato il messaggio.
Se si passa il puntatore su una sezione del grafico, vengono visualizzati i numeri effettivi per ogni categoria.
Selezionare Visualizza utenti compromessi per passare alla scheda Utenti del report in cui i risultati vengono filtrati in base a Compromessi: Sì.
Selezionare Visualizza utenti che hanno segnalato di passare alla scheda Utenti del report in cui i risultati vengono filtrati in base al messaggio Segnalato: Sì.
Sezione Tutte le attività utente nel report per le simulazioni
La sezione Tutte le attività utente nella scheda Report ** per una simulazione mostra i numeri per i possibili risultati della simulazione. Le informazioni variano in base al tipo di simulazione. Ad esempio:
- Collegamento al messaggio cliccato o collegamento allegato su cui è stato fatto clic o Allegato aperto
- Credenziali specificate
- Leggere il messaggio
- Messaggio eliminato
- Risposta al messaggio
- Messaggio inoltrato
- Fuori sede
Selezionare Visualizza tutti gli utenti per passare alla scheda Utenti del report in cui i risultati non sono filtrati.
Sezione Stato recapito nel report per le simulazioni
La sezione Stato recapito nella scheda Report ** per una simulazione mostra i numeri per i possibili stati di recapito per il messaggio di simulazione. Ad esempio:
- Messaggio ricevuto correttamente
- Messaggio di rinforzo positivo recapitato
- Messaggio di simulazione recapitato
Selezionare Visualizza gli utenti a cui il recapito dei messaggi non è riuscito a passare alla scheda Utenti del report in cui i risultati vengono filtrati in base al recapito del messaggio di simulazione: Non è stato possibile recapitare.
Selezionare Visualizza utenti o gruppi esclusi per aprire un riquadro a comparsa Utenti o gruppi esclusi che mostra gli utenti o i gruppi esclusi dalla simulazione.
Sezione completamento training nel report per le simulazioni
La sezione Completamento del training nella pagina dei dettagli della simulazione mostra i training necessari per la simulazione e il numero di utenti che hanno completato i training.
Se non sono stati inclusi training nella simulazione, l'unico valore in questa sezione è Training non faceva parte di questa simulazione.
Prima & sezione dell'istanza media nel report per le simulazioni
La sezione First & istanza media nella scheda Report ** per una simulazione mostra informazioni sul tempo impiegato per eseguire azioni specifiche nella simulazione. Ad esempio:
- Primo collegamento su cui è stato fatto clic
- Collegamento medio su cui è stato fatto clic
- Prime credenziali immesse
- Credenziale media immessa
Sezione Raccomandazioni nel report per le simulazioni
La sezione Raccomandazioni nella scheda Report** per una simulazione mostra le raccomandazioni per l'uso di Formazione con simulazione degli attacchi per proteggere l'organizzazione.
Report di simulazione per le campagne di formazione
Questa sezione descrive le informazioni nel report di simulazione per le campagne di training (non le simulazioni).
Sezione relativa alla classificazione del completamento del training nel report per le campagne di formazione
La sezione Classificazione del completamento del training nella scheda Report ** per una campagna di formazione mostra informazioni sui moduli di training completati nella campagna Di formazione.
Sezione di riepilogo del completamento della formazione nel report per le campagne di formazione
La sezione Riepilogo completamento training nella scheda Report ** per una campagna di formazione usa grafici a barre che mostrano la progressione degli utenti assegnati attraverso tutti i moduli di training nella campagna (numero di utenti/numero totale di utenti):
- Operazione completata
- In corso
- Non avviato
- Non completato
- Assegnato in precedenza
È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare la percentuale effettiva in ogni categoria.
Sezione Tutte le attività utente nel report per le campagne di formazione
La sezione Tutte le attività utente nella scheda Report ** per una campagna di formazione usa un grafico a barre per illustrare come le persone principali hanno ricevuto correttamente la notifica di training (numero di utenti/numero totale di utenti).
È possibile passare il puntatore del mouse su una sezione del grafico per visualizzare i numeri effettivi in ogni categoria.
Appendice
Quando si esportano informazioni dai report, il file CSV contiene più informazioni di quelle visualizzate nel report, anche se sono visualizzate tutte le colonne. I campi sono descritti nella tabella seguente.
Consiglio
Per informazioni massime, verificare che tutte le colonne disponibili nel report siano visibili prima dell'esportazione.
Nome campo | Descrizione |
---|---|
UserName | Nome utente dell'utente che ha eseguito l'attività. |
UserMail | Email indirizzo dell'utente che ha eseguito l'attività. |
Compromessa | Indica se l'utente è stato compromesso. I valori sono Sì o No. |
AttachmentOpened_TimeStamp | Quando il payload dell'allegato è stato aperto nelle simulazioni degli allegati malware . |
AttachmentOpened_Browser | Quando il payload dell'allegato è stato aperto in un Web browser nelle simulazioni degli allegati malware . Queste informazioni provengono da UserAgent. |
AttachmentOpened_IP | Indirizzo IP in cui è stato aperto il payload dell'allegato nelle simulazioni degli allegati malware . Queste informazioni provengono da UserAgent. |
AttachmentOpened_Device | Dispositivo in cui è stato aperto il payload dell'allegato nelle simulazioni degli allegati malware . Queste informazioni provengono da UserAgent. |
AttachmentLinkClicked_TimeStamp | Quando è stato fatto clic sul payload del collegamento dell'allegato in Collegamento nelle simulazioni degli allegati . |
AttachmentLinkClicked_Browser | Web browser usato per fare clic sul payload del collegamento allegato in Simulazione collegamento in allegati . Queste informazioni provengono da UserAgent. |
AttachmentLinkClicked_IP | Indirizzo IP in cui è stato fatto clic sul payload del collegamento dell'allegato in Simulazione collegamento in allegati . Queste informazioni provengono da UserAgent. |
AttachmentLinkClicked_Device | Il dispositivo in cui è stato fatto clic sul payload del collegamento dell'allegato in Simulazione collegamento in Allegati . Queste informazioni provengono da UserAgent. |
EmailLinkClicked_TimeStamp | Quando è stato fatto clic sul payload del collegamento in Credential Harvest, Collega a Malware, Drive-by-URL e OAuth Consent Grant simulazioni. |
EmailLinkClicked_Browser | Web browser usato per fare clic sul payload del collegamento nelle simulazioni Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant . Queste informazioni provengono da UserAgent. |
EmailLinkClicked_IP | Indirizzo IP in cui è stato fatto clic sul payload del collegamento in Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant simulations.The IP address where the link payload was clicked the link payload was clicked in Credential Harvest, Link to Malware, Drive-by-URL, and OAuth Consent Grant simulations. Queste informazioni provengono da UserAgent. |
EmailLinkClicked_Device | Il dispositivo in cui è stato fatto clic sul payload del collegamento in Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant simulations.The device where the link payload was clicked the link payload was clicked in Credential Harvest, Link to Malware, Drive-by-URL, and OAuth Consent Grant simulations. Queste informazioni provengono da UserAgent. |
EmailLinkClicked_ClickSource | Se il collegamento al payload è stato selezionato facendo clic su un URL o analizzando un codice a matrice in Credential Harvest, Link to Malware, Drive-by-URL e OAuth Consent Grant simulations. I valori sono PhishingURL o QRCode . |
CredSupplied_TimeStamp(Compromesso) | Quando l'utente ha immesso le credenziali. |
CredSupplied_Browser | Web browser usato quando l'utente ha immesso le credenziali. Queste informazioni provengono da UserAgent. |
CredSupplied_IP | Indirizzo IP in cui l'utente ha immesso le credenziali. Queste informazioni provengono da UserAgent. |
CredSupplied_Device | Dispositivo in cui l'utente ha immesso le credenziali. Queste informazioni provengono da UserAgent. |
SuccessfullyDeliveredEmail_TimeStamp | Quando il messaggio di posta elettronica di simulazione è stato recapitato all'utente. |
MessageRead_TimeStamp | Quando il messaggio di simulazione è stato letto. |
MessageDeleted_TimeStamp | Quando il messaggio di simulazione è stato eliminato. |
MessageReplied_TimeStamp | Quando l'utente ha risposto al messaggio di simulazione. |
MessageForwarded_TimeStamp | Quando l'utente ha inoltrato il messaggio di simulazione. |
OutOfOfficeDays | Determina se l'utente non è in ufficio. Queste informazioni provengono dall'impostazione Risposte automatiche in Outlook. |
PositiveReinforcementMessageDelivered_TimeStamp | Quando il messaggio di rinforzo positivo è stato recapitato all'utente. |
PositiveReinforcementMessageFailed_TimeStamp | Quando il messaggio di rinforzo positivo non è stato recapitato all'utente. |
JustSimulationMessageDelivered_TimeStamp | Quando il messaggio di simulazione è stato recapitato all'utente come parte di una simulazione senza training assegnati (nessun training è stato selezionato nella pagina Assegna training della nuova procedura guidata di simulazione). |
JustSimulationMessageFailed_TimeStamp | Quando il messaggio di posta elettronica di simulazione non è stato recapitato all'utente e alla simulazione non sono stati assegnati training. |
TrainingAssignmentMessageDelivered_TimeStamp | Quando il messaggio di assegnazione del training è stato recapitato all'utente. Questo valore è vuoto se non sono stati assegnati training nella simulazione. |
TrainingAssignmentMessageFailed_TimeStamp | Quando il messaggio di assegnazione del training non è stato recapitato all'utente. Questo valore è vuoto se non sono stati assegnati training nella simulazione. |
FailedToDeliverEmail_TimeStamp | Quando il messaggio di posta elettronica di simulazione non è stato recapitato all'utente. |
Ultima attività di simulazione | L'ultima attività di simulazione dell'utente (sia che siano state passate o compromesse). |
Training assegnati | Elenco di training assegnati all'utente come parte della simulazione. |
Training completati | Elenco di training completati dall'utente come parte della simulazione. |
Stato training | Stato corrente dei training per l'utente nell'ambito della simulazione. |
Phishing segnalato su | Quando l'utente ha segnalato il messaggio di simulazione come phishing. |
Reparto | Il valore della proprietà Department dell'utente in Microsoft Entra ID al momento della simulazione. |
Company | Il valore della proprietà Company dell'utente in Microsoft Entra ID al momento della simulazione. |
Titolo | Il valore della proprietà Title dell'utente in Microsoft Entra ID al momento della simulazione. |
Office | Il valore della proprietà Office dell'utente in Microsoft Entra ID al momento della simulazione. |
Città | Il valore della proprietà City dell'utente in Microsoft Entra ID al momento della simulazione. |
Paese | Il valore della proprietà Country dell'utente in Microsoft Entra ID al momento della simulazione. |
Manager | Il valore della proprietà Manager dell'utente in Microsoft Entra ID al momento della simulazione. |
La modalità di acquisizione dei segnali dell'attività utente è descritta nella tabella seguente.
Campo | Descrizione | Logica di calcolo |
---|---|---|
DownloadAttachment | Un utente ha scaricato l'allegato. | Il segnale proviene dal client (ad esempio, Outlook o Word). |
Allegato aperto | Un utente ha aperto l'allegato. | Il segnale proviene dal client (ad esempio, Outlook o Word). |
Messaggio di lettura | L'utente legge il messaggio di simulazione. | I segnali di lettura dei messaggi potrebbero riscontrare problemi negli scenari seguenti:
|
Fuori sede | Determina se l'utente non è in ufficio. | Attualmente calcolato dall'impostazione Risposte automatiche di Outlook. |
Utente compromesso | L'utente è stato compromesso. Il segnale di compromissione varia in base alla tecnica di ingegneria sociale. |
|
Collegamento messaggio cliccato | L'utente ha fatto clic sul collegamento payload nel messaggio di simulazione. | L'URL nella simulazione è univoco per ogni utente, che consente il rilevamento delle attività dei singoli utenti. I servizi di filtro di terze parti o l'inoltro della posta elettronica possono causare falsi positivi. Per altre informazioni, vedere I see clicks or compromise events from users who insist they't click the link in the simulation message OR I see clicks within a few seconds of delivery for many users (false positives). Cosa sta succedendo? |
Messaggio inoltrato | L'utente ha inoltrato il messaggio. | |
Risposta al messaggio | L'utente ha risposto al messaggio. | |
Messaggio eliminato | L'utente ha eliminato il messaggio. | Il segnale proviene dall'attività di Outlook dell'utente. Se l'utente segnala il messaggio come phishing, il messaggio potrebbe essere spostato nella cartella Posta eliminata, identificata come eliminazione. |
Autorizzazioni concesse | Autorizzazioni condivise dall'utente in una simulazione di concessione del consenso OAuth . |
¹ Il collegamento selezionato può essere un URL selezionato o un codice a matrice analizzato.
Collegamenti correlati
Introduzione alla formazione sull’uso di Simulatore di attacchi