次の方法で共有


攻撃シミュレーション トレーニングの分析情報とレポート

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Microsoft Defender for Office 365 Plan 2 または Microsoft 365 E5 の攻撃シミュレーション トレーニングでは、Microsoft はシミュレーションの結果と対応するトレーニングから分析情報とレポートを提供します。 この情報により、ユーザーの脅威の準備の進行状況が通知され、今後の攻撃に対してユーザーをより適切に準備するための次の手順が推奨されます。

分析情報とレポートは、Microsoft Defender ポータルの [攻撃シミュレーション トレーニング] ページの次の場所で使用できます。

この記事の残りの部分では、攻撃シミュレーション トレーニングのレポートと分析情報について説明します。

攻撃シミュレーション トレーニングを開始するには、「攻撃シミュレーション トレーニングの使用を始める」を参照してください。

攻撃シミュレーション トレーニングの [概要] タブと [レポート] タブに関する分析情報

[概要] タブに移動するには、https://security.microsoft.comでMicrosoft Defender ポータルを開き、[Email &コラボレーション] に移動します>攻撃シミュレーション トレーニング

タブの分析情報の分布については、次の表を参照してください。

レポート [概要] タブ [レポート] タブ
最近のシミュレーションカード
推奨事項カード
シミュレーション カバレッジ カード
トレーニング完了カード
犯罪者カードを繰り返す
侵害率カードに対する動作への影響

このセクションの残りの部分では、攻撃シミュレーション トレーニングの [概要] タブと [レポート] タブで使用できる情報について説明します。

最近のシミュレーションカード

[概要] タブの [最近のシミュレーション] カードには、organizationで作成または実行した最後の 3 つのシミュレーションが表示されます。

シミュレーションを選択して詳細を表示できます。

[ すべてのシミュレーションを表示 ] を選択すると、[ シミュレーション ] タブに移動します。

[ シミュレーションの起動] を 選択すると、新しいシミュレーション ウィザードが起動します。 詳細については、「Defender for Office 365でのフィッシング攻撃のシミュレート」を参照してください。

[最近のシミュレーション] は、Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブにカードされます。

推奨事項カード

[概要] タブの [推奨事項] カードでは、実行するさまざまな種類のシミュレーションが提案されます。

[起動] を選択すると、指定したシミュレーションの種類が [手法の選択] ページで自動的に選択された新しいシミュレーション ウィザードが開始されます。 詳細については、「Defender for Office 365でのフィッシング攻撃のシミュレート」を参照してください。

Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [推奨事項] カード。

シミュレーション カバレッジ カード

[概要] タブと [レポート] タブの [シミュレーション カバレッジ] カードには、シミュレーション (シミュレートされたユーザー) を受け取ったorganizationのユーザーの割合と、シミュレーションを受け取らなかったユーザー (シミュレートされていないユーザー) が表示されます。 グラフ内のセクションにカーソルを合わせると、各カテゴリの実際のユーザー数を確認できます。

[ シミュレーション カバレッジ レポートの表示 ] を選択すると、 攻撃シミュレーション レポートの [ユーザー カバレッジ] タブに移動します

シミュレートされていないユーザーに対して [シミュレーションの起動] を選択すると、新しいシミュレーション ウィザードが開始され、シミュレーションを受け取らなかったユーザーが [ターゲット ユーザー] ページで自動的に選択されます。 詳細については、「Defender for Office 365でのフィッシング攻撃のシミュレート」を参照してください。

シミュレーション カバレッジは、Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブにカードします。

トレーニング完了カード

[概要] タブと [レポート] タブの [トレーニング完了] カードは、シミュレーションの結果に基づいてトレーニングを受けたユーザーの割合を次のカテゴリに分類します。

  • Completed
  • 処理中
  • 不完全

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際のユーザー数を確認できます。

[ トレーニング完了レポートの表示 ] を選択すると、 攻撃シミュレーション レポートの [トレーニング完了] タブに移動します

Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [トレーニングの完了] カード。

犯罪者カードを繰り返す

[概要] タブと [レポート] タブの [繰り返し違反者] カードには、繰り返し違反者に関する情報が表示されます。 繰り返し違反者は、連続するシミュレーションによって侵害されたユーザーです。 連続するシミュレーションの既定の数は 2 ですが、https://security.microsoft.com/attacksimulator?viewid=settingの攻撃シミュレーション トレーニングの [設定] タブで値を変更できます。 詳細については、「 繰り返し違反者のしきい値を構成する」を参照してください。

グラフは、 シミュレーションの種類別に繰り返し違反データを整理します。

  • All
  • マルウェアの添付ファイル
  • マルウェアへのリンク
  • 資格情報の収集
  • 添付ファイル内のリンク
  • ドライブバイ URL

[ 繰り返し違反者レポートの表示 ] を選択すると、 攻撃シミュレーション レポートの [繰り返し違反者] タブに移動します

Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [繰り返し違反者] カード

侵害率カードに対する動作への影響

[概要] タブと [レポート] タブの [侵害率に対する動作の影響] カードは、ユーザーが Microsoft 365 の履歴データと比較してシミュレーションにどのように応答したかを示します。 これらの分析情報を使用すると、同じユーザー グループに対して複数のシミュレーションを実行することで、ユーザーの脅威の準備状況の進行状況を追跡できます。

グラフ データには、次の情報が表示されます。

  • 実際の侵害率: シミュレーションによって侵害されたユーザーの実際の割合 (実際のユーザーが、シミュレーションを受けたorganizationのユーザーの合計数)。
  • 予測された侵害率: このシミュレーションによって侵害されるユーザーの割合を予測する Microsoft 365 全体の履歴データ。 予測された侵害率 (PCR) の詳細については、「 予測された侵害率」を参照してください。

グラフ内のデータ ポイントにカーソルを合わせると、実際のパーセンテージ値が表示されます。

詳細なレポートを表示するには、[ シミュレーションとトレーニング効果レポートの表示] を選択します。 このレポートについては、 この記事の後半で説明します

Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [侵害率に対する動作の影響] カード。

攻撃シミュレーション レポート

[概要] タブで [表示] を選択すると、攻撃シミュレーション レポートを開くことができますこの記事で説明する [概要] タブと [レポート] タブの一部のカードで使用できるレポート アクション。 攻撃シミュレーション レポート ページに直接移動するには、https://security.microsoft.com/attacksimulationreport

攻撃シミュレーション レポートの [トレーニング効果] タブ

攻撃シミュレーション レポート ページでは、[トレーニングの有効性] タブが既定で選択されています。 このタブには、[侵害率に対する動作の影響] カードで使用できるのと同じ情報と、シミュレーション自体からの追加のコンテキストが表示されます。

Microsoft Defender ポータルの攻撃シミュレーション レポートの [トレーニングの有効性] タブ。

グラフには、[ 実際の侵害率 ] と [ 予測された侵害率] が表示されます。 グラフ内のセクションにカーソルを合わせると、 の実際のパーセンテージ値が表示されます。

グラフの下の詳細表は、次の情報を示しています。 使用可能な列ヘッダーをクリックすると、シミュレーションを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • シミュレーション名
  • シミュレーション手法
  • シミュレーションの戦術
  • 侵害率の予測
  • 実際の侵害率
  • 対象となるユーザーの総数
  • クリックされたユーザーの数

[ 検索 ] ボックスを使用して、 シミュレーション名 または シミュレーション手法で結果をフィルター処理します。 ワイルドカードはサポートされていません。

[レポートの エクスポート ] ボタンを使用して、情報を CSV ファイルに保存します。 既定のファイル名は攻撃シミュレーション レポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、攻撃シミュレーション レポート - Microsoft Defender (1).csv)。

攻撃シミュレーション レポートの [ユーザー カバレッジ] タブ

[ ユーザー カバレッジ ] タブのグラフには、[ シミュレートされたユーザー ] と [ シミュレートされていないユーザー] が表示されます。 グラフ内のデータ ポイントにカーソルを合わせると、実際の値が表示されます。

Microsoft Defender ポータルの攻撃シミュレーション レポートの [ユーザー カバレッジ] タブ。

グラフの下の詳細表は、次の情報を示しています。 情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • Username
  • 電子メール アドレス
  • シミュレーションに含まれる
  • 前回のシミュレーションの日付
  • 最後のシミュレーション結果
  • クリックされた数
  • 侵害された数

[検索] ボックスを使用して、ユーザー名またはEmailアドレスで結果をフィルター処理します。 ワイルドカードはサポートされていません。

[レポートの エクスポート ] ボタンを使用して、情報を CSV ファイルに保存します。 既定のファイル名は攻撃シミュレーション レポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、攻撃シミュレーション レポート - Microsoft Defender (1).csv)。

攻撃シミュレーション レポートの [トレーニング完了] タブ

[ トレーニング完了 ] タブのグラフには、[ 完了]、[ 進行中]、[ 不完全な シミュレーション] の数が表示されます。 グラフ内のセクションにカーソルを合わせると、実際の値が表示されます。

Microsoft Defender ポータルの攻撃シミュレーション レポートの [トレーニング完了] タブ。

グラフの下の詳細表は、次の情報を示しています。 情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • Username
  • 電子メール アドレス
  • シミュレーションに含まれる
  • 前回のシミュレーションの日付
  • 最後のシミュレーション結果
  • 完了した最新のトレーニングの名前
  • 完了日
  • すべてのトレーニング

[ Filter] を選択して、トレーニングの [状態] 値 ( [完了]、[ 進行中]、または [すべて]) でグラフと詳細テーブルをフィルター処理します。

フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。

[検索] ボックスを使用して、ユーザー名またはEmailアドレスで結果をフィルター処理します。 ワイルドカードはサポートされていません。

[レポートのエクスポート] ボタン選択すると、レポート生成の進行状況が完了の割合として表示されます。 開いたダイアログで、.csv ファイルを開き、.csv ファイルを保存し、選択内容を覚えておくことができます。

攻撃シミュレーション レポートの [繰り返し違反者] タブ

繰り返し違反者は、連続するシミュレーションによって侵害されたユーザーです。 連続するシミュレーションの既定の数は 2 ですが、https://security.microsoft.com/attacksimulator?viewid=settingの攻撃シミュレーション トレーニングの [設定] タブで値を変更できます。 詳細については、「 繰り返し違反者のしきい値を構成する」を参照してください。

[ 繰り返し違反者 ] タブのグラフには、 繰り返し違反者ユーザーシミュレートされたユーザーの数が表示されます。

Microsoft Defender ポータルの攻撃シミュレーション レポートの [繰り返し違反者] タブ。

グラフ内のデータ ポイントにカーソルを合わせると、実際の値が表示されます。

グラフの下の詳細表は、次の情報を示しています。 情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • ユーザー: ユーザーの名前。

  • シミュレーションの種類: ユーザーが関与していたシミュレーションの種類。

  • シミュレーション: ユーザーが関与していたシミュレーションの名前。

  • Emailアドレス: ユーザーのアドレスEmail。

  • 最新の繰り返し数: 繰り返し違反者として分類されたユーザーの侵害の最新の数。 たとえば、繰り返し違反者のしきい値が 3 に設定されていて、ユーザーが 3 回連続したシミュレーションで侵害された場合、最新の繰り返し回数は 3 です。 ユーザーが 4 回連続したシミュレーションで侵害された場合、最新の繰り返し数は 4 です。 ユーザーが 2 つの連続したシミュレーションで侵害された場合、値 N/A。 最新の繰り返し回数は、繰り返し違反フラグがリセットされるたびに 0 (N/A) に設定されます (ユーザーがシミュレーションに合格することを意味します)。

  • 繰り返し犯罪: ユーザーが繰り返し違反者として分類された回数が含まれます。 以下に例を示します。

    • ユーザーは、最初のいくつかのシミュレーションで繰り返し違反者として分類されました (繰り返し違反者のしきい値が 2 である 3 回連続して侵害されました)。
    • ユーザーは、シミュレーションに合格した後、"クリーン" として分類されました。
    • ユーザーは、次のいくつかのシミュレーションで繰り返し違反者として分類されました (繰り返し違反者のしきい値が 2 である 4 回連続して侵害されました)。

    このような場合、繰り返し犯罪の数は 2 に設定されます。 カウントは、ユーザーが繰り返し違反者と見なされるたびに更新されます。

  • 最後のシミュレーション名

  • 最後のシミュレーション結果

  • 最後に割り当てられたトレーニング

  • 最後のトレーニング状態

[ フィルター] を選択して、グラフと詳細テーブルを 1 つ以上のシミュレーションの種類の値でフィルター処理します。

  • 資格情報の収集
  • マルウェアの添付ファイル
  • 添付ファイルのリンク
  • マルウェアへのリンク

フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。

[ 検索 ] ボックスを使用して、列の値のいずれかで結果をフィルター処理します。 ワイルドカードはサポートされていません。

[レポートの エクスポート ] ボタンを使用して、情報を CSV ファイルに保存します。 既定のファイル名は攻撃シミュレーション レポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、攻撃シミュレーション レポート - Microsoft Defender (1).csv)。

攻撃シミュレーション トレーニングのシミュレーション レポート

シミュレーション レポートには、進行中または完了したシミュレーションの詳細が表示されます ( [状態] の値は [進行中] または [完了] です)。 シミュレーション レポートを表示するには、次のいずれかの方法を使用します。

開いたレポート ページには、シミュレーションに関する情報を含む レポート、**ユーザー、および 詳細 タブが含まれています。 このセクションの残りの部分では、[レポート] タブで使用できる分析情報と レポート について説明します。

シミュレーションの [ レポート ] タブのセクションについては、次のサブセクションで説明します。

[ユーザー] タブと [詳細] タブの詳細については、次のリンクを参照してください。

QR コード シミュレーションのレポート

シミュレーションで使用する QR コード ペイロードを選択できます。 QR コードは、フィッシング URL を、シミュレーション電子メール メッセージで使用されるペイロードとして置き換えます。 詳細については、「 QR コード ペイロード」を参照してください。

QR コードは異なる種類のフィッシング URL であるため、読み取り、削除、侵害、およびクリック イベントに関するユーザー イベントは変わりません。 たとえば、QR コードをスキャンするとフィッシング URL が開き、イベントはクリック イベントとして追跡されます。 侵害、削除、およびレポート イベントを追跡するための既存のメカニズムは変わりません。

シミュレーション レポートを CSV ファイルにエクスポートする場合、EmailLinkClicked_ClickSource列は次の値で使用できます。

  • PhishingURL: ユーザーは、シミュレーション電子メール メッセージのフィッシング リンクをクリックしました。
  • QRCode: ユーザーはシミュレーション電子メール メッセージで QR コードをスキャンしました。

読み取り、侵害、削除、報告されたメッセージなどのその他のメトリックは、追加の更新なしで追跡され続けます。 詳細については、この記事の「 付録」 セクションを参照してください。

シミュレーションのシミュレーション レポート

このセクションでは、( トレーニング キャンペーンではなく) 通常のシミュレーションのシミュレーション レポートの情報について説明します。

攻撃シミュレーション トレーニングのシミュレーション レポートの [レポート] タブ。

シミュレーションのレポートのシミュレーション影響セクション

シミュレーションの [レポート] タブ ** の [シミュレーションの影響] セクションには、メッセージを報告した侵害されたユーザーユーザーの数と割合が表示されます。

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の数値が表示されます。

[ 侵害されたユーザーの表示 ] を選択して、レポートの [ユーザー] タブ タブに移動します。結果は [侵害: はい] でフィルター処理されます。

レポートの [ユーザー] タブに移動するには、[報告されたユーザーの表示] を選択します。結果は [報告されたメッセージ: はい] でフィルター処理されます。

シミュレーションのシミュレーション レポートの [レポート] タブにある [シミュレーションの影響] セクション。

シミュレーションのレポート内のすべてのユーザー アクティビティ セクション

シミュレーションの [レポート] タブ** の [すべてのユーザー アクティビティ] セクションには、シミュレーションの可能な結果の数値が表示されます。 情報は、シミュレーションの種類によって異なります。 以下に例を示します。

  • クリックされたメッセージ リンクまたは [添付ファイル] リンクがクリックされたか、添付ファイルが開いた
  • 指定された資格情報
  • メッセージの読み取り
  • メッセージの削除
  • メッセージに返信済み
  • 転送されたメッセージ
  • 不在時

[ すべてのユーザーを表示 ] を選択して、結果がフィルター処理されないレポートの [ユーザー] タブ タブに移動します。

シミュレーションのシミュレーション レポートの [レポート] タブの [すべてのユーザー アクティビティ] セクション。

シミュレーションのレポートの配信状態セクション

シミュレーションの [レポート] タブ ** の [配信状態] セクションには、シミュレーション メッセージで使用可能な配信状態の数値が表示されます。 以下に例を示します。

  • 正常に受信されたメッセージ
  • 肯定的な強化メッセージが配信されました
  • シミュレーション メッセージの配信のみ

[ メッセージ配信に失敗したユーザーの表示 ] を選択すると、レポートの [ユーザー] タブ に移動し、結果が [シミュレーション メッセージ配信: 配信に失敗しました] でフィルター処理されます。

[ 除外されたユーザーまたはグループの表示 ] を選択して、シミュレーションから除外 されたユーザーまたはグループ を表示する [除外されたユーザーまたはグループ] ポップアップを開きます。

シミュレーションのシミュレーション レポートの [レポート] タブの [配信状態] セクション。

シミュレーションのレポートのトレーニング完了セクション

シミュレーションの詳細ページの [ トレーニングの完了 ] セクションには、シミュレーションに必要なトレーニングと、トレーニングを完了したユーザーの数が表示されます。

シミュレーションにトレーニングが含まれていない場合、このセクションの唯一の値は 、このシミュレーションの一部ではなかったトレーニングです

シミュレーションのシミュレーション レポートの [レポート] タブの [トレーニング完了] セクション。

シミュレーションのレポートの最初の & 平均インスタンス セクション

シミュレーションの [レポート] タブ** の [最初の & 平均インスタンス] セクションには、シミュレーションで特定のアクションを実行するのにかかった時間に関する情報が表示されます。 以下に例を示します。

  • 最初のリンクがクリックされました
  • [Avg. link]\(平均\) リンクがクリックされました
  • 最初に入力された資格情報
  • [Avg. credential]\(平均\) 資格情報が入力されました

シミュレーションのシミュレーション レポートの [レポート] タブにある [最初の & の平均インスタンス] セクション。

シミュレーションのレポートの [推奨事項] セクション

シミュレーションの [レポート] タブ ** の [推奨事項] セクションには、organizationのセキュリティ保護に役立つ攻撃シミュレーション トレーニングを使用するための推奨事項が表示されます。

シミュレーションのシミュレーション レポートの [レポート] タブの [推奨事項] セクション。

トレーニング キャンペーンのシミュレーション レポート

このセクションでは、(シミュレーションではなく) トレーニング キャンペーンのシミュレーション レポートの情報について説明 します

攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブ。

トレーニング キャンペーンのレポートのトレーニング完了分類セクション

トレーニング キャンペーンの [レポート] タブ** の [トレーニング完了分類] セクションには、トレーニング キャンペーンで完了したトレーニング モジュールに関する情報が表示されます。

攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブの [トレーニング完了分類] セクション。

トレーニング キャンペーンのレポートのトレーニング完了の概要セクション

トレーニング キャンペーンの [レポート] タブ** の [トレーニング完了の概要] セクションでは、棒グラフを使用して、キャンペーン内のすべてのトレーニング モジュールを通じて割り当てられたユーザーの進行状況 (ユーザー数/ユーザー総数) を示します。

  • Completed
  • 処理中
  • [未開始]
  • 完了していない
  • 以前に割り当て済み

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の割合を確認できます。

攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブの [トレーニング完了の概要] セクション。

トレーニング キャンペーンのレポートのすべてのユーザー アクティビティ セクション

トレーニング キャンペーンの [レポート] タブ** の [すべてのユーザー アクティビティ] セクションでは、棒グラフを使用して、トレーニング通知を正常に受け取ったユーザーメイン方法 (ユーザー数/ユーザー総数) を示します。

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の数値を確認できます。

攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブの [すべてのユーザー アクティビティ] セクション。

付録

レポートから情報をエクスポートすると、CSV ファイルには、すべての列が表示されている場合でも、レポートに表示される情報よりも多くの情報が含まれます。 フィールドについては、次の表を参照してください。

ヒント

詳細については、エクスポートする前に、レポートで使用可能なすべての列が表示されていることを確認します。

フィールドの名前 説明
UserName アクティビティを実行したユーザーのユーザー名。
UserMail Emailアクティビティを行ったユーザーのアドレス。
セキュリティ侵害 ユーザーが侵害されたかどうかを示します。 値は [はい] または [いいえ] です。
AttachmentOpened_TimeStamp マルウェア添付ファイルシミュレーションで 添付ファイル ペイロードが開かれた場合。
AttachmentOpened_Browser マルウェア添付ファイルシミュレーションで Web ブラウザーで 添付ファイル ペイロードが開かれた場合。 この情報は UserAgent から取得されます。
AttachmentOpened_IP マルウェア添付ファイルシミュレーションで添付ファイルペイロードが開かれた IP アドレス。 この情報は UserAgent から取得されます。
AttachmentOpened_Device マルウェア添付ファイルシミュレーションで添付ファイルペイロードが開かれたデバイス。 この情報は UserAgent から取得されます。
AttachmentLinkClicked_TimeStamp 添付ファイル シミュレーションのリンクで添付 ファイル リンク ペイロードがクリックされたとき。
AttachmentLinkClicked_Browser 添付 ファイル シミュレーションのリンク で添付ファイル リンク ペイロードをクリックするために使用された Web ブラウザー。 この情報は UserAgent から取得されます。
AttachmentLinkClicked_IP 添付 ファイル シミュレーションの リンクで添付ファイル リンク ペイロードがクリックされた IP アドレス。 この情報は UserAgent から取得されます。
AttachmentLinkClicked_Device 添付 ファイル シミュレーションの リンクで添付ファイル リンク ペイロードがクリックされたデバイス。 この情報は UserAgent から取得されます。
EmailLinkClicked_TimeStamp [Credential Harvest]\(資格情報の収集\)、[マルウェアへのリンク]、[Drive-by-url]、[OAuth Consent Grant]\(OAuth 同意許可の付与\) シミュレーションでリンク ペイロードがクリックされたとき。
EmailLinkClicked_Browser Credential HarvestLink to MalwareDrive-by-urlOAuth Consent Grant シミュレーションでリンク ペイロードをクリックするために使用された Web ブラウザー。 この情報は UserAgent から取得されます。
EmailLinkClicked_IP 資格情報の収集マルウェアへのリンクDrive-by-urlOAuth Consent Grant シミュレーションでリンク ペイロードがクリックされた IP アドレス。 この情報は UserAgent から取得されます。
EmailLinkClicked_Device 資格情報の収集マルウェアへのリンクDrive-by-urlOAuth Consent Grant シミュレーションでリンク ペイロードがクリックされたデバイス。 この情報は UserAgent から取得されます。
EmailLinkClicked_ClickSource URL をクリックするか 、資格情報ハーベストで QR コードをスキャンしてペイロード リンクを選択したかどうか、 マルウェアへのリンクDrive-by-urlOAuth Consent Grant シミュレーション。 値は PhishingURL または QRCode
CredSupplied_TimeStamp(Compromised) ユーザーが資格情報を入力したとき。
CredSupplied_Browser ユーザーが資格情報を入力したときに使用された Web ブラウザー。 この情報は UserAgent から取得されます。
CredSupplied_IP ユーザーが資格情報を入力した IP アドレス。 この情報は UserAgent から取得されます。
CredSupplied_Device ユーザーが資格情報を入力したデバイス。 この情報は UserAgent から取得されます。
SuccessfullyDeliveredEmail_TimeStamp シミュレーション電子メール メッセージがユーザーに配信されたとき。
MessageRead_TimeStamp シミュレーション メッセージが読み取られたとき。
MessageDeleted_TimeStamp シミュレーション メッセージが削除されたとき。
MessageReplied_TimeStamp ユーザーがシミュレーション メッセージに返信したとき。
MessageForwarded_TimeStamp ユーザーがシミュレーション メッセージを転送したとき。
OutOfOfficeDays ユーザーが不在かどうかを判断します。 この情報は、Outlook の [自動応答] 設定から取得されます。
PositiveReinforcementMessageDelivered_TimeStamp 肯定的な強化メッセージがユーザーに配信されたとき。
PositiveReinforcementMessageFailed_TimeStamp 肯定的な強化メッセージがユーザーに配信できなかった場合。
JustSimulationMessageDelivered_TimeStamp トレーニングが割り当てられていないシミュレーションの一部としてシミュレーション メッセージがユーザーに配信されたとき (新しいシミュレーション ウィザードの [トレーニングの割り当て] ページでトレーニングが選択されていません)。
JustSimulationMessageFailed_TimeStamp シミュレーション電子メール メッセージがユーザーに配信されに失敗し、シミュレーションにトレーニングが割り当てられていない場合。
TrainingAssignmentMessageDelivered_TimeStamp トレーニング割り当てメッセージがユーザーに配信されたとき。 シミュレーションでトレーニングが割り当てられていない場合、この値は空です。
TrainingAssignmentMessageFailed_TimeStamp トレーニング割り当てメッセージがユーザーに配信できなかった場合。 シミュレーションでトレーニングが割り当てられていない場合、この値は空です。
FailedToDeliverEmail_TimeStamp シミュレーション電子メール メッセージがユーザーに配信できなかった場合。
最後のシミュレーション アクティビティ ユーザーの最後のシミュレーション アクティビティ (ユーザーが合格したか侵害されたか)。
割り当てられたトレーニング シミュレーションの一部としてユーザーに割り当てられたトレーニングの一覧。
完了したトレーニング シミュレーションの一部としてユーザーが完了したトレーニングの一覧。
トレーニングの状態 シミュレーションの一部としてのユーザーのトレーニングの現在の状態。
フィッシング報告日 ユーザーがシミュレーション メッセージをフィッシングとして報告したとき。
部署 シミュレーション時のMicrosoft Entra IDのユーザーの Department プロパティ値。
Company シミュレーション時のMicrosoft Entra IDのユーザーの Company プロパティ値。
タイトル シミュレーション時のMicrosoft Entra IDのユーザーの Title プロパティ値。
事業所 シミュレーション時のMicrosoft Entra IDでのユーザーの Office プロパティ値。
市区町村 シミュレーション時のMicrosoft Entra IDでのユーザーの City プロパティ値。
シミュレーション時のMicrosoft Entra IDのユーザーの Country プロパティ値。
Manager シミュレーション時のMicrosoft Entra IDのユーザーの Manager プロパティ値。

ユーザー アクティビティシグナルのキャプチャ方法については、次の表を参照してください。

フィールド 説明 計算ロジック
DownloadAttachment ユーザーが添付ファイルをダウンロードしました。 シグナルはクライアントから送信されます (Outlook やWordなど)。
開かれた添付ファイル ユーザーが添付ファイルを開いた。 シグナルはクライアントから送信されます (Outlook やWordなど)。
メッセージの読み取り ユーザーはシミュレーション メッセージを読み取ります。 メッセージ読み取りシグナルでは、次のシナリオで問題が発生する可能性があります。
  • ユーザーは閲覧ウィンドウを離れずに Outlook でメッセージをフィッシングとして報告し、 閲覧ウィンドウで表示したときにアイテムを開封済みとしてマーク する (既定値) は構成されていません。
  • ユーザーは、Outlook で未読メッセージをフィッシングとして報告し、メッセージが削除され、 削除されたときにメッセージを開封済みとしてマーク する (既定) が構成されていません。
外出中 ユーザーが不在かどうかを判断します。 現在、Outlook の [自動応答] 設定によって計算されます。
侵害されたユーザー ユーザーが侵害されました。 侵害シグナルは、ソーシャル エンジニアリング手法によって異なります。
  • 資格情報の収集: ユーザーはログイン ページで資格情報を入力しました (資格情報は Microsoft によって保存されません)。¹
  • マルウェアの添付ファイル: ユーザーがペイロードの添付ファイルを開き、[保護されたビュー編集を有効にする] を選択しました。
  • [添付ファイル内のリンク]: ユーザーが添付ファイルを開き、ペイロード リンクをクリックした後に資格情報を入力しました。
  • マルウェアへのリンク: ユーザーがペイロード リンクをクリックし、資格情報を入力しました。
  • [URL でドライブ]: ユーザーがペイロード リンクをクリックしました (資格情報の入力は必要ありません)。¹
  • OAuth 同意付与: ユーザーはペイロード リンクをクリックし、アクセス許可を共有するためのプロンプトを受け入れた。¹
クリックされたメッセージ リンク ユーザーがシミュレーション メッセージのペイロード リンクをクリックしました。 シミュレーションの URL はユーザーごとに一意であり、個々のユーザー アクティビティの追跡が可能です。 サード パーティのフィルタリング サービスまたは電子メール転送は、誤検知につながる可能性があります。 詳細については、「 シミュレーション メッセージでリンクをクリックしなかったと主張するユーザーからのクリックまたは侵害イベントが表示されるか、多くのユーザーに対して数秒以内にクリック数が表示される (誤検知) 」を参照してください。どうなっているのですか。
転送されたメッセージ ユーザーがメッセージを転送しました。
メッセージに返信しました ユーザーがメッセージに返信しました。
メッセージの削除 ユーザーがメッセージを削除しました。 シグナルは、ユーザーの Outlook アクティビティから取得されます。 ユーザーがメッセージをフィッシングとして報告した場合、メッセージは削除済みアイテム フォルダーに移動される可能性があります。これは削除として識別されます。
付与されるアクセス許可 OAuth 同意付与シミュレーションでのユーザー共有アクセス許可。

¹ クリックしたリンクには、選択した URL またはスキャンされた QR コードを指定できます。

攻撃シミュレーション トレーニングの使用を開始する

フィッシング攻撃シミュレーションを作成する

ユーザーをトレーニングするためのペイロードを作成する