攻击模拟训练的见解和报告
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在Microsoft Defender for Office 365计划 2 或Microsoft 365 E5的攻击模拟训练中,Microsoft提供模拟结果和相应训练的见解和报告。 此信息可让你随时了解用户的威胁准备进度,并建议采取后续步骤来更好地为用户将来的攻击做好准备。
见解和报表在Microsoft Defender门户中的“攻击模拟训练”页上的以下位置提供:
- 见解:
- 报告:
- 攻击模拟报告页位于 https://security.microsoft.com/attacksimulationreport:
- 正在进行的和已完成的模拟和训练活动的报告:有关详细信息,请参阅 攻击模拟报告。
本文的其余部分介绍攻击模拟训练的报告和见解。
有关攻击模拟训练的入门信息,请参阅开始使用 攻击模拟训练。
攻击模拟训练的“概述”和“报表”选项卡上的见解
若要转到“概述”选项卡,请在 中打开Microsoft Defender门户https://security.microsoft.com,转到Email &协作>攻击模拟训练:
- “概述”选项卡:验证是否选择了“概述”选项卡, (它是默认) 。 或者,若要直接转到“ 概述 ”选项卡,请使用 https://security.microsoft.com/attacksimulator?viewid=overview。
- “报表”选项卡:选择“报表”选项卡。或者,若要直接转到“报表”选项卡,请使用 https://security.microsoft.com/attacksimulationreport。
下表介绍了选项卡上见解的分布情况:
报告 | “概述”选项卡 | 报告选项卡 |
---|---|---|
最近的模拟卡 | ✔ | |
建议卡 | ✔ | |
模拟覆盖卡 | ✔ | ✔ |
训练完成卡 | ✔ | ✔ |
重复犯罪卡 | ✔ | ✔ |
行为对泄露率卡的影响 | ✔ | ✔ |
本部分的其余部分介绍攻击模拟训练的“概述”和“报告”选项卡上提供的信息。
最近的模拟卡
“概述”选项卡上的“最近模拟卡显示你在组织中创建或运行的最近三个模拟。
可以选择模拟来查看详细信息。
选择“ 查看所有模拟” 将转到“ 模拟 ”选项卡。
选择“ 启动模拟 ”将启动新的模拟向导。 有关详细信息,请参阅模拟Defender for Office 365中的钓鱼攻击。
建议卡
“概述”选项卡上的“建议”卡建议运行不同类型的模拟。
选择“ 启动”现在 启动新的模拟向导,其中“ 选择技术 ”页上自动选择了指定的模拟类型。 有关详细信息,请参阅模拟Defender for Office 365中的钓鱼攻击。
模拟覆盖卡
“概述”和“报告”选项卡上的“模拟覆盖卡”显示组织中收到模拟 (模拟用户) 与未收到模拟的用户 (非模拟用户) 的百分比。 可以将鼠标悬停在图表中的某个部分上,以查看每个类别中的实际用户数。
选择“ 查看模拟覆盖率报告 ”可转到 攻击模拟报告的“用户覆盖率”选项卡。
选择“ 为非模拟用户启动模拟 ”将启动新的模拟向导,其中未收到模拟的用户将在 “目标用户 ”页上自动选中。 有关详细信息,请参阅模拟Defender for Office 365中的钓鱼攻击。
训练完成卡
“概述”和“报告”选项卡上的“训练完成卡根据模拟结果将接受训练的用户的百分比组织为以下类别:
- 已完成
- 正在进行
- 不完全的
可以将鼠标悬停在图表中的某个部分上,以查看每个类别中的实际用户数。
选择“ 查看训练完成报告 ”会将你转到 “攻击模拟”报告的“训练完成”选项卡。
重复犯罪卡
“概述”和“报告”选项卡上的“重复犯罪者”卡显示有关重复罪犯的信息。 重复犯罪者是连续模拟所危害的用户。 连续模拟的默认数目为 2,但可以在 处更改攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting的“设置”选项卡上的值。 有关详细信息,请参阅 配置重复犯罪者阈值。
该图表按 模拟类型组织重复犯罪者数据:
- 全部
- 恶意软件附件
- 指向恶意软件的链接
- Credential Harvest
- 附件中的链接
- 驾驶 URL
选择“ 查看重复犯罪者报告 ”可转到 “攻击模拟报告”的“重复犯罪者”选项卡。
行为对泄露率卡的影响
“概述”和“报告”选项卡上的行为对泄露率的影响卡显示与 Microsoft 365 中的历史数据相比,用户对模拟的响应方式。 可以通过针对同一用户组运行多个模拟来使用这些见解来跟踪用户威胁就绪情况的进度。
图表数据显示以下信息:
- 实际泄露率:受模拟攻击的实际百分比 (实际用户已泄露/组织中收到模拟) 的用户总数。
- 预测泄露率:跨 Microsoft 365 的历史数据,用于预测此模拟将受到攻击的人员的百分比。 若要详细了解预测的入侵率 (PCR) ,请参阅 预测的入侵率。
如果将鼠标悬停在图表中的数据点上,则会显示实际百分比值。
若要查看详细报告,请选择“ 查看模拟和训练效果报告”。 本文稍后将对此报表进行说明。
攻击模拟报告
可以通过选择“查看...”,从“概述”选项卡打开攻击模拟报告。报告本文所述的“概述”和“报表”选项卡上的某些卡片上可用的操作。 若要直接转到 “攻击模拟报告 ”页,请使用 https://security.microsoft.com/attacksimulationreport
“攻击模拟”报表的“训练效果”选项卡
默认情况下,“攻击模拟报告”页上选择了“训练效果”选项卡。 此选项卡提供的行为对入侵率的影响卡中提供的相同信息,以及模拟本身的其他上下文。
此图表显示 实际泄露率 和 预测泄露率。 如果将鼠标悬停在图表中的某个部分上,将显示的实际百分比值。
图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对模拟进行排序。 选择“自定义列”以更改显示的列。 默认情况下,选择所有可用列。
- 模拟名称
- 模拟技术
- 模拟策略
- 预测的泄露率
- 实际泄露率
- 目标用户总数
- 单击的用户计数
使用“ 搜索 ”框可按 模拟名称 或 模拟技术筛选结果。 不支持通配符。
使用“ 导出报表 ”按钮将信息保存到 CSV 文件。 默认文件名为“攻击模拟报告 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如攻击模拟报告 - Microsoft Defender (1) .csv) 。
攻击模拟报告的用户覆盖率选项卡
在“用户覆盖率”选项卡上,图表显示模拟用户和非模拟用户。 如果将鼠标悬停在图表中的数据点上,则会显示实际值。
图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对信息进行排序。 选择“自定义列”以更改显示的列。 默认情况下,选择所有可用列。
- Username
- 电子邮件地址
- 包含在模拟中
- 上次模拟的日期
- 上次模拟结果
- 单击的计数
- 已泄露的计数
使用“搜索”框可按用户名或Email地址筛选结果。 不支持通配符。
使用“ 导出报表 ”按钮将信息保存到 CSV 文件。 默认文件名为“攻击模拟报告 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如攻击模拟报告 - Microsoft Defender (1) .csv) 。
“攻击模拟”报表的“训练完成”选项卡
在“ 训练完成 ”选项卡上,图表显示 “已完成”、“ 正在进行”和 “不完整 ”模拟的数目。 如果将鼠标悬停在图表中的某个部分上,将显示实际值。
图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对信息进行排序。 选择“自定义列”以更改显示的列。 默认情况下,选择所有可用列。
- Username
- 电子邮件地址
- 包含在模拟中
- 上次模拟的日期
- 上次模拟结果
- 最近完成的训练的名称
- 完成日期
- 所有训练
选择“筛选”,按训练的“状态”值筛选图表和详细信息表:“已完成”、“正在进行”或“全部”。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
使用“搜索”框可按用户名或Email地址筛选结果。 不支持通配符。
如果选择“ 导出报表 ”按钮,则报表生成进度将显示为完成的百分比。 在打开的对话框中,可以选择打开 .csv 文件,保存 .csv 文件,并记住所选内容。
“攻击模拟”报表的“重复犯罪者”选项卡
重复犯罪者是连续模拟所危害的用户。 连续模拟的默认数目为 2,但可以在 处更改攻击模拟训练https://security.microsoft.com/attacksimulator?viewid=setting的“设置”选项卡上的值。 有关详细信息,请参阅 配置重复犯罪者阈值。
在“ 重复犯罪者 ”选项卡上,图表显示 “重复犯罪者”用户 数和 “模拟用户数”。
如果将鼠标悬停在图表中的数据点上,则会显示实际值。
图表下方的详细信息表显示了以下信息。 可以通过单击可用的列标题对信息进行排序。 选择“自定义列”以更改显示的列。 默认情况下,选择所有可用列。
用户:用户的名称。
模拟类型:用户参与的模拟类型。
模拟:用户参与的模拟的名称。
Email地址:用户的Email地址。
最新重复计数:分类为重复犯罪者的用户的最新危害计数。 例如,如果重复犯罪者阈值设置为 3,并且用户在连续 3 次模拟中遭到入侵,则最新的重复计数为 3。 如果用户在连续 4 次模拟中遭到入侵,则最新重复计数为 4。 如果用户在连续 2 次模拟中遭到入侵,则值为 N/A。 每次重置重复犯标志时,最新的重复计数设置为 0 (N/A) , (这意味着用户通过模拟) 。
重复犯罪:包括用户被归类为重复犯罪的次数。 例如:
- 在最初的几次模拟中,该用户被归类为重复犯罪者, (他们连续 3 次遭到入侵,其中重复犯罪者阈值为 2) 。
- 通过模拟后,用户被归类为“干净”。
- 在接下来的几次模拟中,该用户被归类为重复犯罪者, (他们连续 4 次泄露,其中重复犯罪者阈值为 2) 。
在这些情况下,重复犯罪的数量设置为 2。 每次将用户视为重复罪犯时,计数都会更新。
上次模拟名称
上次模拟结果
上次分配的训练
上次训练状态
选择“筛选”,按一个或多个模拟类型值筛选图表和详细信息表:
- Credential Harvest
- 恶意软件附件
- 附件中的链接
- 指向恶意软件的链接
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
使用“ 搜索 ”框可按任何列值筛选结果。 不支持通配符。
使用“ 导出报表 ”按钮将信息保存到 CSV 文件。 默认文件名为“攻击模拟报告 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如攻击模拟报告 - Microsoft Defender (1) .csv) 。
攻击模拟训练 中的模拟报表
模拟报告显示正在进行或已完成的模拟的详细信息, (“状态” 值为“ 正在进行” 或“ 已完成) ”。 若要查看模拟报告,请使用以下任一方法:
在 的“攻击模拟训练”页https://security.microsoft.com/attacksimulator?viewid=overview的“概述”选项卡上,从“最近的模拟”卡选择模拟。
在 攻击模拟训练 页https://security.microsoft.com/attacksimulator?viewid=simulations的“模拟”选项卡上,单击名称旁边的检查框以外的任何位置,选择模拟。 有关详细信息,请参阅 查看模拟报告。
- 在 的“攻击模拟训练”页https://security.microsoft.com/attacksimulator?viewid=trainingcampaign的“培训”选项卡上,使用以下方法之一选择培训活动:
- 单击行中除名称旁边的检查框以外的任何位置。
- 选择名称旁边的检查框,然后选择“查看报表”。
有关详细信息,请参阅 查看培训市场活动报告。
打开的报表页包含 “报表”、“用户”和“ 详细信息 ”选项卡,其中包含有关模拟的信息。 本部分的其余部分介绍“报表”选项卡上提供的见解和 报表 。
以下小节介绍了模拟的“ 报表 ”选项卡上的部分。
有关“ 用户 ”和“ 详细信息 ”选项卡的详细信息,请参阅以下链接。
QR 码模拟的报告
可以选择在模拟中使用的 QR 代码有效负载。 QR 代码将网络钓鱼 URL 替换为模拟电子邮件中使用的有效负载。 有关详细信息,请参阅 QR 代码有效负载。
由于 QR 码是另一种类型的钓鱼 URL,因此围绕读取、删除、泄露和单击事件的用户事件保持不变。 例如,扫描 QR 码会打开网络钓鱼 URL,以便将事件跟踪为单击事件。 跟踪泄露、删除和报告事件的现有机制保持不变。
如果将 模拟报表 导出到 CSV 文件 ,EmailLinkClicked_ClickSource列 具有以下值:
-
PhishingURL
:用户单击了模拟电子邮件中的钓鱼链接。 -
QRCode
:用户扫描了模拟电子邮件中的 QR 码。
其他指标(如读取、泄露、删除和报告消息)将继续跟踪,无需任何其他更新。 有关详细信息,请参阅本文后面的 附录 部分。
模拟的模拟报表
本部分介绍常规模拟的模拟报告中的信息, (而不是 训练活动) 。
用于模拟的报表中的“模拟影响”部分
模拟的“报告”选项卡上的“模拟影响”部分显示已泄露用户和报告邮件的用户的数量和百分比。
如果将鼠标悬停在图表中的某个部分上,将显示每个类别的实际数字。
选择“ 查看已泄露的用户 ”,转到报表中的 “用户”选项卡 ,其中的结果按 “已泄露:是”进行筛选。
选择“ 查看报告的用户 ”,转到报表中的 “用户”选项卡 ,其中的结果按“ 报告”消息进行筛选:“是”。
报表中用于模拟的所有用户活动部分
模拟的“报告”选项卡上的“所有用户活动”部分显示模拟可能结果的数字。 信息因模拟类型而异。 例如:
- 单击的邮件链接 或 附件链接单击 或 附件打开
- 提供的凭据
- 读取消息
- 已删除消息
- 已答复邮件
- 转发的邮件
- Out of office - 外出
选择“ 查看所有用户 ”,转到未筛选结果的报表中的 “用户”选项卡 。
用于模拟的报表中的“传递状态”部分
模拟的“报告”选项卡上的“传递状态”部分显示模拟消息可能传递状态的数字。 例如:
- 已成功接收消息
- 传递的正强化消息
- 只传递了模拟消息
选择“ 查看消息传递失败的用户 ”,转到报表中的 “用户”选项卡 ,其中的结果按 模拟消息传递:无法传递。
选择“ 查看排除的用户或组 ”以打开“ 排除的用户或组 ”浮出控件,其中显示从模拟中排除的用户或组。
用于模拟的报表中的训练完成部分
模拟详细信息页上的 “训练完成 ”部分显示模拟所需的训练,以及完成训练的用户数。
如果模拟中未包含任何训练,则本部分中的唯一值是 训练不是此模拟的一部分。
报表中用于模拟的第一个 & 平均实例部分
模拟的“报告”选项卡上的“第一个 & 平均实例”部分显示有关在模拟中执行特定操作所花费的时间的信息。 例如:
- 已单击第一个链接
- 已单击平均链接
- 输入的第一个凭据
- 输入的平均值凭据
用于模拟的报表中的“建议”部分
模拟的“报告”选项卡上的“建议”部分显示了有关使用攻击模拟训练来帮助保护组织的建议。
培训活动模拟报告
本部分介绍培训活动模拟报告中的信息, (而不是 模拟) 。
培训活动报表中的培训完成分类部分
培训活动的“报告”选项卡上的“培训完成分类”部分显示有关培训活动中已完成的培训模块的信息。
培训活动报告中的培训完成摘要部分
“培训活动报告”选项卡上的“培训完成摘要”部分使用条形图显示已分配用户通过市场活动中的所有培训模块的进度 (用户数/用户总数) :
- 已完成
- 正在进行
- 未启动
- 未完成
- 以前分配的
可以将鼠标悬停在图表中的某个部分上,以查看每个类别的实际百分比。
培训市场活动报告中的“所有用户活动”部分
培训市场活动的“报告”选项卡上的“所有用户活动”部分使用条形图显示main人员如何成功收到培训通知 (用户数/) 用户总数。
可以将鼠标悬停在图表中的某个部分上,以查看每个类别的实际数字。
附录
从报表中导出信息时,即使已显示所有列,CSV 文件所包含的信息也比报表中显示的信息更多。 下表介绍了这些字段。
提示
有关最大信息,请在导出之前验证报表中的所有可用列是否可见。
字段名称 | 说明 |
---|---|
UserName | 执行活动的用户的用户名。 |
UserMail | Email执行活动的用户的地址。 |
妥协 | 指示用户是否遭到入侵。 值为“是”或“否”。 |
AttachmentOpened_TimeStamp | 在恶意软件附件模拟中打开 附件 有效负载时。 |
AttachmentOpened_Browser | 在恶意软件附件模拟中的 Web 浏览器中打开 附件 有效负载时。 此信息来自 UserAgent。 |
AttachmentOpened_IP | 在 恶意软件 附件模拟中打开附件有效负载的 IP 地址。 此信息来自 UserAgent。 |
AttachmentOpened_Device | 在 恶意软件 附件模拟中打开附件有效负载的设备。 此信息来自 UserAgent。 |
AttachmentLinkClicked_TimeStamp | 在附件模拟中的链接 中单击附件链接 有效负载时。 |
AttachmentLinkClicked_Browser | 用于在附件模拟中的链接中单击 附件链接 有效负载的 Web 浏览器。 此信息来自 UserAgent。 |
AttachmentLinkClicked_IP | 在 附件模拟中的 链接中单击附件链接有效负载的 IP 地址。 此信息来自 UserAgent。 |
AttachmentLinkClicked_Device | 在“附件模拟中的链接” 中 单击附件链接有效负载的设备。 此信息来自 UserAgent。 |
EmailLinkClicked_TimeStamp | 在 Credential Harvest、 Link to Malware、 Drive-by-url 和 OAuth 同意授予 模拟中单击链接有效负载时。 |
EmailLinkClicked_Browser | 用于在 Credential Harvest、 Link to Malware、 Drive-by-url 和 OAuth Consent Grant 模拟中单击链接有效负载的 Web 浏览器。 此信息来自 UserAgent。 |
EmailLinkClicked_IP | 在 Credential Harvest、 Link to Malware、 Drive-by-url 和 OAuth 同意授予 模拟中单击链接有效负载的 IP 地址。 此信息来自 UserAgent。 |
EmailLinkClicked_Device | 在 Credential Harvest、 Link to Malware、 Drive-by-url 和 OAuth 同意授予 模拟中单击链接有效负载的设备。 此信息来自 UserAgent。 |
EmailLinkClicked_ClickSource | 是否通过单击 URL 或扫描 凭据收获中的 QR 码、 恶意软件链接、 逐 URL 和 OAuth 同意授予 模拟来选择有效负载链接。
PhishingURL 值为 或 QRCode 。 |
CredSupplied_TimeStamp (泄露) | 当用户输入其凭据时。 |
CredSupplied_Browser | 用户输入凭据时使用的 Web 浏览器。 此信息来自 UserAgent。 |
CredSupplied_IP | 用户输入其凭据的 IP 地址。 此信息来自 UserAgent。 |
CredSupplied_Device | 用户输入其凭据的设备。 此信息来自 UserAgent。 |
SuccessfullyDeliveredEmail_TimeStamp | 将模拟电子邮件发送给用户时。 |
MessageRead_TimeStamp | 读取模拟消息时。 |
MessageDeleted_TimeStamp | 删除模拟消息时。 |
MessageReplied_TimeStamp | 当用户回复模拟消息时。 |
MessageForwarded_TimeStamp | 当用户转发模拟消息时。 |
OutOfOfficeDays | 确定用户是否外出。 此信息来自 Outlook 中的“自动答复”设置。 |
PositiveReinforcementMessageDelivered_TimeStamp | 将正强化消息传递给用户时。 |
PositiveReinforcementMessageFailed_TimeStamp | 无法向用户传递正强化消息时。 |
JustSimulationMessageDelivered_TimeStamp | 当模拟消息作为模拟的一部分传递给用户时,未分配训练 (新模拟向导的“分配训练”页上) 选择了“没有训练”。 |
JustSimulationMessageFailed_TimeStamp | 当模拟电子邮件无法传递给用户,并且模拟未分配任何训练时。 |
TrainingAssignmentMessageDelivered_TimeStamp | 将训练分配消息传递给用户时。 如果未在模拟中分配任何训练,则此值为空。 |
TrainingAssignmentMessageFailed_TimeStamp | 训练分配消息无法传递给用户时。 如果未在模拟中分配任何训练,则此值为空。 |
FailedToDeliverEmail_TimeStamp | 无法向用户传递模拟电子邮件时。 |
上次模拟活动 | 用户的最后一个模拟活动 (他们是否通过或被入侵) 。 |
分配的训练 | 作为模拟的一部分分配给用户的训练列表。 |
已完成的训练 | 用户作为模拟的一部分完成的训练列表。 |
训练状态 | 作为模拟的一部分的用户训练的当前状态。 |
网络钓鱼报告 | 当用户将模拟消息报告为钓鱼时。 |
部门 | 模拟时,Microsoft Entra ID中的用户的 Department 属性值。 |
公司 | 模拟时用户的公司属性值Microsoft Entra ID。 |
标题 | 模拟时,用户在 Microsoft Entra ID 中的 Title 属性值。 |
Office | 在模拟时,用户的 Office 属性值Microsoft Entra ID。 |
市/县 | 模拟时用户的 City 属性值Microsoft Entra ID。 |
国家/地区 | 模拟时用户的国家/地区属性值Microsoft Entra ID。 |
Manager | 在模拟时,Microsoft Entra ID中的用户的 Manager 属性值。 |
下表介绍了如何捕获用户活动信号。
字段 | 说明 | 计算逻辑 |
---|---|---|
DownloadAttachment | 用户下载了附件。 | 信号来自客户端 (,例如 Outlook 或 Word) 。 |
打开的附件 | 用户打开了附件。 | 信号来自客户端 (,例如 Outlook 或 Word) 。 |
读取消息 | 用户读取模拟消息。 | 在以下情况下,消息读取信号可能会遇到问题:
|
外出 | 确定用户是否外出。 | 当前由 Outlook 中的“自动答复”设置计算。 |
泄露的用户 | 用户已泄露。 妥协信号因社会工程技术而异。 |
|
已单击的消息链接 | 用户单击了模拟消息中的有效负载链接。 | 模拟中的 URL 对于每个用户都是唯一的,这允许单个用户活动跟踪。 第三方筛选服务或电子邮件转发可能会导致误报。 有关详细信息,请参阅 我看到用户坚持未单击模拟消息中的链接的点击或泄露事件,或者我看到许多用户在传递后的几秒钟内单击 (误报) 。这是怎么回事? |
转发的邮件 | 用户转发了消息。 | |
已答复邮件 | 用户答复了邮件。 | |
已删除消息 | 用户删除了该消息。 | 信号来自用户的 Outlook 活动。 如果用户将邮件报告为钓鱼邮件,则邮件可能会移动到“已删除邮件”文件夹,该文件夹标识为删除。 |
授予的权限 | 用户在 OAuth 同意授予 模拟中共享权限。 |
¹ 单击的链接可以是所选 URL 或扫描的 QR 码。