適用於 攻擊模擬訓練的深入解析和報告
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在 適用於 Office 365 的 Microsoft Defender 方案 2 或 Microsoft 365 E5 攻擊模擬訓練 中,Microsoft提供模擬結果和對應定型的深入解析和報告。 此資訊可讓您掌握使用者的威脅整備進度,並建議後續步驟讓您的使用者做好未來攻擊的準備。
深入解析和報告位於 Microsoft Defender 入口網站中 [攻擊模擬訓練] 頁面的下列位置:
- 見解:
- 位於 的 [概觀 ] 索引標籤 https://security.microsoft.com/attacksimulator?viewid=overview。
- 位於的 [報表] 索引標籤 https://security.microsoft.com/attacksimulator?viewid=reports。
- 報告:
- 位於 的攻擊模擬報告頁面https://security.microsoft.com/attacksimulationreport:
- 進行中和已完成模擬和訓練活動的報表:如需詳細資訊,請參閱 攻擊模擬報告。
本文的其餘部分將說明 攻擊模擬訓練 的報告和深入解析。
如需 攻擊模擬訓練 入門資訊,請參閱開始使用 攻擊模擬訓練。
攻擊模擬訓練 之 [概觀] 和 [報表] 索引卷標上的深入解析
若要移至 [概觀] 索引標籤,請在 https://security.microsoft.com開啟 Microsoft Defender 入口網站,移至 Email & 共同作業>攻擊模擬訓練:
- 概觀 索引標籤:確認已選取 [ 概觀 ] 索引卷標 (它是預設) 。 或者,若要直接移至 [ 概觀] 索引 標籤,請使用 https://security.microsoft.com/attacksimulator?viewid=overview。
- 報 表索引標籤:選取 [ 報表] 索引標籤 。或者,若要直接移至 [ 報表] 索引 標籤,請使用 https://security.microsoft.com/attacksimulationreport。
下表說明索引標籤上的深入解析分佈:
報告 | 概觀索引標籤 | [報表] 索引標籤 |
---|---|---|
最近的模擬卡片 | ✔ | |
建議卡片 | ✔ | |
模擬涵蓋範圍卡片 | ✔ | ✔ |
訓練完成卡片 | ✔ | ✔ |
重複使用卡片 | ✔ | ✔ |
對入侵率卡的行為影響 | ✔ | ✔ |
本節的其餘部分說明 攻擊模擬訓練 之 [概觀] 和 [報表] 索引標籤上可用的資訊。
最近的模擬卡片
[概觀] 索引標籤上的 [最近的模擬] 卡片會顯示您在組織中建立或執行的最後三個模擬。
您可以選取模擬來檢視詳細數據。
選 取 [檢視所有模擬] 會帶您前往 [ 模擬] 索引標籤 。
選 取 [啟動模擬 ] 會啟動新的模擬精靈。 如需詳細資訊,請參閱模擬 適用於 Office 365 的 Defender 中的網路釣魚攻擊。
建議卡片
[概觀] 索引標籤上的 [建議] 卡片會建議要執行的不同模擬類型。
選 取 [啟動] 現在 會啟動新的模擬精靈,並在 [ 選取技術 ] 頁面上自動選取指定的模擬類型。 如需詳細資訊,請參閱模擬 適用於 Office 365 的 Defender 中的網路釣魚攻擊。
模擬涵蓋範圍卡片
[概觀] 和 [報告] 索引卷標上的 [模擬涵蓋範圍] 卡片會顯示組織中收到模擬 (模擬使用者) 與未收到模擬 (非模擬使用者) 使用者的百分比。 您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際用戶數目。
選 取 [檢視模擬涵蓋範圍報告 ] 會帶您前往 攻擊模擬報告的 [使用者涵蓋範圍] 索引標籤。
為非模擬使用者選取 [啟動模擬] 會啟動新的模擬精靈,在 [目標使用者] 頁面上會自動選取未收到仿真的使用者。 如需詳細資訊,請參閱模擬 適用於 Office 365 的 Defender 中的網路釣魚攻擊。
訓練完成卡片
[概觀] 和 [報表] 索引卷標上的 [訓練完成] 卡片會根據模擬結果,將接收訓練的使用者百分比組織為下列類別:
- 已完成
- 進行中。
- 不完全的
您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際用戶數目。
選 取 [檢視訓練完成報告 ] 會帶您前往 攻擊模擬報告的 [訓練完成] 索引卷標。
重複使用卡片
[概觀] 和 [報表] 索引標籤上的 [重複使用] 卡片會顯示重複使用量的相關信息。 重複的語句是因連續模擬而遭入侵的使用者。 連續仿真的預設數目為 2,但您可以在 攻擊模擬訓練 的 https://security.microsoft.com/attacksimulator?viewid=setting[設定] 索引標籤上變更值。 如需詳細資訊, 請參閱設定重複的閾值。
圖表會依 模擬類型組織重複的重複資料:
- 全部
- 惡意代碼附件
- 連結至惡意代碼
- 認證收集
- 附件中的連結
- 依磁碟驅動器 URL
選 取 [檢視重複的報 表] 會帶您前往 [攻擊模擬] 報表的 [重複執行] 索引標籤。
對入侵率卡的行為影響
[概觀] 和 [報表] 索引卷標上的 [入侵率卡片的行為影響] 會顯示相較於 Microsoft 365 中歷史數據,您的使用者如何回應您的模擬。 您可以使用這些深入解析,針對相同的使用者群組執行多個模擬,以追蹤使用者威脅整備的進度。
圖表資料會顯示下列資訊:
- 實際入侵率:模擬入侵者的實際百分比 (實際使用者遭到入侵/貴組織中收到模擬) 的用戶總數。
- 預測的入侵率:Microsoft 365 的歷史數據,可預測此模擬將遭入侵的人員百分比。 若要深入瞭解 PCR) (預測的入侵率,請參閱 預測的入侵率。
如果您將滑鼠停留在圖表中的數據點上,則會顯示實際百分比值。
若要查看詳細報告,請選 取 [檢視模擬和訓練效力報告]。 本文稍後會說明此報告。
攻擊模擬報告
您可以選取 [檢視...],從 [概觀] 索引卷標開啟攻擊模擬報告報表動作,可在本文所述 [概觀] 和 [報表] 索引標籤上的某些卡片上使用。 若要直接移至 攻擊模擬報告 頁面,請使用 https://security.microsoft.com/attacksimulationreport
攻擊模擬報告的訓練效力索引標籤
預設會在 [攻擊模擬報告] 頁面上選取 [訓練效力] 索引標籤。 此索引標籤提供與對 入侵率 卡片的行為影響中所提供的相同資訊,以及模擬本身的其他內容。
此圖表會顯示 實際入侵率 和預測的 入侵率。 如果您將滑鼠停留在圖表中的區段上,則會顯示的實際百分比值。
圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的數據列標頭來排序模擬。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。
- 模擬名稱
- 模擬技術
- 模擬策略
- 預測的遭入侵率
- 實際遭入侵率
- 目標用戶總數
- 點選的用戶計數
使用 [ 搜尋] 方 塊,依 模擬名稱 或 模擬技術篩選結果。 不支援萬用字元。
使用 [匯出報表] 按鈕將資訊儲存至 CSV 檔案。 默認檔名是攻擊模擬報告 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置,則檔名會遞增 (例如攻擊模擬報告 - Microsoft Defender (1) .csv) 。
攻擊模擬報告的使用者涵蓋範圍索引標籤
在 [ 使用者涵蓋範圍] 索 引標籤上,圖表會顯示 [模擬使用者 ] 和 [非模擬使用者]。 如果您將滑鼠停留在圖表中的數據點上,則會顯示實際值。
圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的資料列標頭來排序資訊。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。
- Username
- 電子郵件地址
- 包含在模擬中
- 上次模擬日期
- 上次模擬結果
- 已點選的計數
- 遭入侵的計數
使用 [搜尋] 方塊,依使用者名稱或 Email 位址篩選結果。 不支援萬用字元。
使用 [匯出報表] 按鈕將資訊儲存至 CSV 檔案。 默認檔名是攻擊模擬報告 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置,則檔名會遞增 (例如攻擊模擬報告 - Microsoft Defender (1) .csv) 。
攻擊模擬報告的訓練完成索引標籤
在 [ 定型完成 ] 索引卷標上,圖表會顯示 [ 已完成]、[ 進行中] 和 [ 未完成 的模擬] 數目。 如果您將滑鼠停留在圖表中的區段上,則會顯示實際值。
圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的資料列標頭來排序資訊。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。
- Username
- 電子郵件地址
- 包含在模擬中
- 上次模擬日期
- 上次模擬結果
- 最近完成的訓練名稱
- 完成日期
- 所有訓練
選取 [篩選 ] 以依訓練的 [狀態 ] 值篩選圖表和詳細數據表:[ 已完成]、[ 進行中] 或 [ 全部]。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
使用 [搜尋] 方塊,依使用者名稱或 Email 位址篩選結果。 不支援萬用字元。
如果您選取 [匯出 報表] 按鈕,報表產生進度會顯示為完成百分比。 在開啟的對話框中,您可以選擇開啟 .csv 檔案、儲存 .csv 檔案,並記住選取專案。
重複攻擊模擬報表的 [重複使用] 索引標籤
重複的語句是因連續模擬而遭入侵的使用者。 連續仿真的預設數目為 2,但您可以在 攻擊模擬訓練 的 https://security.microsoft.com/attacksimulator?viewid=setting[設定] 索引標籤上變更值。 如需詳細資訊, 請參閱設定重複的閾值。
在 [ 重複使用] 索引標籤 上,圖表會顯示 重複的使用者 和 模擬用戶的數目。
如果您將滑鼠停留在圖表中的數據點上,則會顯示實際值。
圖表下方的詳細數據表會顯示下列資訊。 您可以按下可用的資料列標頭來排序資訊。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設,會選取所有可用的數據行。
使用者:用戶的名稱。
模擬類型:涉及用戶的模擬類型。
模擬:涉及使用者的模擬名稱。
Email 位址:使用者的 Email 位址。
最新的重複計數:使用者的最新入侵計數,分類為重複的重複。 例如,如果重複的閾值設定為 3,而且使用者在連續 3 次模擬中遭到入侵,則最新的重複計數為 3。 如果用戶在連續 4 次模擬中遭到入侵,則最新的重複計數為 4。 如果使用者在 2 次連續模擬中遭到入侵,則值為 N/A。 最新的重複計數會設定為 0 (N/A) ,每次重設重複旗標 (表示使用者會傳遞模擬) 。
重複使用:包括使用者被歸類為重複響應的次數。 例如:
- 在前幾個模擬中,用戶被歸類為重複 (他們連續遭到入侵 3 次,其中重複的閾值為 2) 。
- 用戶在傳遞模擬後已分類為「乾淨」。
- 在接下來的幾個模擬中,用戶被歸類為重複 (他們連續遭到入侵 4 次,其中重複的閾值為 2) 。
在這些情況下,重複的重複次數會設定為 2。 每次將使用者視為重複的序列時,計數就會更新。
上次模擬名稱
上次模擬結果
上次指派的訓練
上次定型狀態
選取 [篩選 ] 以依一或多個模擬類型值篩選圖表和詳細資料資料表:
- 認證收集
- 惡意代碼附件
- 附件中的連結
- 連結至惡意代碼
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
使用 [ 搜尋] 方 塊,依任何數據行值篩選結果。 不支援萬用字元。
使用 [匯出報表] 按鈕將資訊儲存至 CSV 檔案。 默認檔名是攻擊模擬報告 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置,則檔名會遞增 (例如攻擊模擬報告 - Microsoft Defender (1) .csv) 。
攻擊模擬訓練 中的模擬報告
模擬報告會顯示進行中或已完成模擬報告, ([狀態 ] 值為 [ 進行中 ] 或 [ 已完成 ]) 。 若要檢視模擬報告,請使用下列任何方法:
在 的 [攻擊模擬訓練] 頁面的 [概觀] 索引卷標上https://security.microsoft.com/attacksimulator?viewid=overview,從 [最近的模擬] 卡片中選取模擬。
在 的 [攻擊模擬訓練] 頁面的 [模擬] 索引卷標上https://security.microsoft.com/attacksimulator?viewid=simulations,按兩下名稱旁邊複選框以外的數據列中的任何位置,選取模擬。 如需詳細資訊,請 參閱檢視模擬報告。
- 在 [攻擊模擬訓練] 頁面的 [訓練] 索引標籤上https://security.microsoft.com/attacksimulator?viewid=trainingcampaign,使用下列其中一種方法選取訓練活動:
- 按兩下名稱旁邊複選框以外的數據列中的任何位置。
- 選取名稱旁邊的複選框,然後選取 [ 檢視報表]。
如需詳細資訊,請 參閱檢視訓練活動報告。
開啟的報表頁面包含包含模擬相關信息的 [報表]、[使用者] 和 [ 詳細 數據] 索引標籤。 本節的其餘部分說明 [報表] 索引卷標上可用的深入解析和 報 表。
下列小節說明模擬之 [ 報 表] 索引標籤上的區段。
如需 [ 使用者 和詳細數據] 索引標籤的 詳細 資訊,請參閱下列連結。
- 類比:
- 訓練活動:
QR 程式代碼仿真的報告
您可以選取要在模擬中使用的 QR 代碼承載。 QR 代碼會將網路釣魚 URL 取代為模擬電子郵件訊息中使用的承載。 如需詳細資訊,請參閱 QR 代碼承載。
因為 QR 代碼是不同類型的網路釣魚 URL,所以讀取、刪除、入侵和點選事件周圍的使用者事件會維持不變。 例如,掃描 QR 代碼會開啟網路釣魚 URL,因此會將事件追蹤為 Click 事件。 追蹤入侵、刪除和報告事件的現有機制保持不變。
如果您將 模擬報 表匯出至 CSV 檔案, EmailLinkClicked_ClickSource 數據行可以使用下列值:
-
PhishingURL
:使用者在模擬電子郵件訊息中按兩下網路釣魚連結。 -
QRCode
:用戶已掃描模擬電子郵件訊息中的QR代碼。
讀取、入侵、刪除和報告訊息等其他計量會繼續追蹤,而不會進行任何其他更新。 如需詳細資訊,請參閱本文稍後的 附錄 一節。
模擬模擬報告
本節描述一般模擬報告中的資訊, (不是 訓練活動) 。
模擬報表中的模擬影響區段
仿真的 [報表] 索引標籤上的 [模擬影響] 區段會顯示已遭入侵的使用者和回報訊息的用戶數目和百分比。
如果您將滑鼠停留在圖表中的區段上,則會顯示每個類別的實際數位。
選 取 [檢視遭入侵的使用者 ] 以移至報表中的 [使用者] 索 引標籤, 其中的結果會依 [ 遭入侵] 篩選:[是]。
選 取 [檢視報告的使用者 ] 以移至報表中的 [使用者] 索 引標籤, 其中的結果會依 [ 報告] 訊息篩選:[是]。
報表中用於仿真的所有用戶活動區段
仿真的 [報表] 索引標籤上的 [所有用戶活動] 區段會顯示模擬可能結果的數位。 信息會根據模擬類型而有所不同。 例如:
- 已點選郵件連結 或 已按下附件連結 或 已開啟附件
- 提供的認證
- 讀取訊息
- 已刪除訊息
- 回復訊息
- 轉寄的訊息
- 不在辦公室
選取 [檢視所有使用者] 以移至報表中未篩選結果的 [使用者] 索引標籤。
模擬報表中的傳遞狀態區段
仿真的 [報表] 索引標籤上的 [傳遞狀態] 區段會顯示模擬訊息可能傳遞狀態的數位。 例如:
- 已成功接收訊息
- 正增強式訊息已傳遞
- 只傳遞模擬訊息
選 取 [檢視訊息傳遞無法傳送至的使用者 ] 索引卷 標 ,在報表中, 模擬訊息傳遞會篩選結果:無法傳遞。
選 取 [檢視排除的使用者或群組] 以開啟 [ 排除的使用者或群組 ] 飛出視窗,以顯示從模擬中排除的使用者或群組。
用於模擬之報表中的定型完成區段
模擬詳細數據頁面上的 [ 訓練完成 ] 區段會顯示模擬所需的訓練,以及有多少使用者已完成訓練。
如果模擬中未包含任何定型,本節中唯一的值就是 訓練不是此仿真的一部分。
報表中用於仿真的第一個 & 平均實例區段
仿 真的 [報表] 索引卷 標上的 [第一個 & 平均實例] 區段會顯示在模擬中執行特定動作所花費時間的相關信息。 例如:
- 按兩下第一個連結
- 按兩下 [平均] 連結
- 輸入的第一個認證
- 輸入的認證
報表中仿真的建議區段
仿真的 [報表] 索引卷標上的 [建議] 區段會顯示使用 攻擊模擬訓練 來協助保護組織的建議。
訓練活動的模擬報告
本節說明訓練活動模擬報告中的資訊, (非 模擬) 。
訓練活動報告中的訓練完成分類區段
訓練活動 [報告] 索引標籤上的 [訓練完成分類] 區段會顯示訓練活動中已完成訓練模組的相關信息。
訓練活動報告中的訓練完成摘要一節
訓練活動 [報告] 索引標籤上的 [訓練完成摘要] 區段會使用條形圖,顯示透過營銷活動中所有訓練模組指派使用者的進度 (用戶數目/用戶總數) :
- 已完成
- 進行中。
- 未啟動
- 未完成
- 先前指派
您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際百分比。
訓練活動報表中的所有用戶活動區段
訓練活動 [報告] 索引標籤上的 [所有用戶活動] 區段會使用條形圖來顯示主要人員如何成功收到訓練通知 (用戶數目/) 的用戶總數。
您可以將滑鼠停留在圖表中的區段上,以查看每個類別中的實際數位。
附錄
當您從報表匯出資訊時,CSV 檔案所包含的資訊會比報表中顯示的資訊還多,即使您已顯示所有數據行也一般。 下表說明欄位。
提示
如需最大資訊,請在匯出之前確認報表中所有可用的數據行都可見。
功能變數名稱 | 描述 |
---|---|
UserName | 執行活動的用戶名稱。 |
UserMail | Email 執行活動的用戶位址。 |
妥協 | 指出使用者是否遭到入侵。 值為 [是] 或 [否]。 |
AttachmentOpened_TimeStamp | 在 惡意代碼附 件模擬中開啟附件承載時。 |
AttachmentOpened_Browser | 在惡意代碼附件模擬中於網頁瀏覽器中開啟附 件 承載時。 此資訊來自UserAgent。 |
AttachmentOpened_IP | 在 惡意代碼附 件模擬中開啟附件承載的IP位址。 此資訊來自UserAgent。 |
AttachmentOpened_Device | 在 惡意代碼附 件模擬中開啟附件承載的裝置。 此資訊來自UserAgent。 |
AttachmentLinkClicked_TimeStamp | 在附件模擬中的 [連結] 中按下附件 連結承載時。 |
AttachmentLinkClicked_Browser | 用來單擊附件模擬中 連結中 附件連結承載的網頁瀏覽器。 此資訊來自UserAgent。 |
AttachmentLinkClicked_IP | 在附件模擬中的 [連結] 中 ,按下附件連結承載的IP位址。 此資訊來自UserAgent。 |
AttachmentLinkClicked_Device | 在附件模擬中的 [連結] 中 ,按下附件連結承載的裝置。 此資訊來自UserAgent。 |
EmailLinkClicked_TimeStamp | 在 [ 認證收集]、[ 惡意代碼連結]、[ 依 URL 的磁碟驅動器] 和 [ OAuth 同意授 與] 模擬中按兩下鏈接承載時。 |
EmailLinkClicked_Browser | 用來單擊 [ 認證收集]、[惡意 代碼連結]、[依 URL 的磁碟驅動器] 和 [ OAuth 同意授 與] 仿真的鏈接承載的網頁瀏覽器。 此資訊來自UserAgent。 |
EmailLinkClicked_IP | 在 [ 認證收集]、[惡意 代碼連結]、[ 依 URL 的磁碟驅動器] 和 [ OAuth 同意授 與] 模擬中,按兩下鏈接承載的 IP 位址。 此資訊來自UserAgent。 |
EmailLinkClicked_Device | 在 [ 認證收集]、[惡意 代碼連結]、[ 依 URL 的磁碟驅動器] 和 [ OAuth 同意授 與] 模擬中按兩下鏈接承載的裝置。 此資訊來自UserAgent。 |
EmailLinkClicked_ClickSource | 是否已選取承載連結,方法是單擊 URL 或掃描認證 收集中的 QR 代碼、 惡意代碼連結、 依 URL 的磁碟驅動器,以及 OAuth 同意授與 模擬。 值為 PhishingURL 或 QRCode 。 |
CredSupplied_TimeStamp (遭入侵的) | 當使用者輸入其認證時。 |
CredSupplied_Browser | 使用者輸入認證時所使用的網頁瀏覽器。 此資訊來自UserAgent。 |
CredSupplied_IP | 使用者輸入其認證的IP位址。 此資訊來自UserAgent。 |
CredSupplied_Device | 使用者輸入認證的裝置。 此資訊來自UserAgent。 |
SuccessfullyDeliveredEmail_TimeStamp | 模擬電子郵件訊息傳遞給使用者時。 |
MessageRead_TimeStamp | 讀取模擬訊息時。 |
MessageDeleted_TimeStamp | 刪除模擬訊息時。 |
MessageReplied_TimeStamp | 當使用者回復模擬訊息時。 |
MessageForwarded_TimeStamp | 當用戶轉送模擬訊息時。 |
OutOfOfficeDays | 判斷使用者是否不在辦公室。 此資訊來自 Outlook 中的 [自動回復] 設定。 |
PositiveReinforcementMessageDelivered_TimeStamp | 將正增強式訊息傳遞給使用者時。 |
PositiveReinforcementMessageFailed_TimeStamp | 當正增強式訊息無法傳遞給用戶時。 |
JustSimulationMessageDelivered_TimeStamp | 當模擬訊息在模擬過程中傳遞給使用者,但未指派任何定型時 (在新模擬精靈的 [指派訓練] 頁面上未選取任何定型) 。 |
JustSimulationMessageFailed_TimeStamp | 當模擬電子郵件訊息無法傳遞給使用者,且模擬未指派任何定型時。 |
TrainingAssignmentMessageDelivered_TimeStamp | 將訓練指派訊息傳遞給使用者時。 如果在模擬中未指派任何定型,則這個值是空的。 |
TrainingAssignmentMessageFailed_TimeStamp | 當定型指派訊息無法傳遞給用戶時。 如果在模擬中未指派任何定型,則這個值是空的。 |
FailedToDeliverEmail_TimeStamp | 當模擬電子郵件訊息無法傳遞給用戶時。 |
上次模擬活動 | 用戶的最後一個模擬活動 (他們通過或遭到入侵) 。 |
指派的訓練 | 在模擬過程中指派給用戶的訓練清單。 |
已完成訓練 | 用戶在模擬過程中完成的訓練清單。 |
訓練狀態 | 在模擬過程中,使用者的目前訓練狀態。 |
網路釣魚報告於 | 當使用者將模擬訊息回報為網路釣魚時。 |
部門 | 模擬時,用戶在 Microsoft Entra ID 中的 Department 屬性值。 |
Company | 模擬時,用戶在 Microsoft Entra ID 中的 Company 屬性值。 |
標題 | 模擬時,使用者在 Microsoft Entra ID 中的 Title 屬性值。 |
Office | 模擬時,使用者在 Microsoft Entra ID 中的 Office 屬性值。 |
鄉/鎮/市/區 | 模擬時,使用者在 Microsoft Entra ID 中的 City 屬性值。 |
國家/地區 | 模擬時,使用者在 Microsoft Entra ID 中的 Country 屬性值。 |
管理員 | 模擬時,使用者在 Microsoft Entra ID 中的 Manager 屬性值。 |
下表說明如何擷取用戶活動訊號。
欄位 | 描述 | 計算邏輯 |
---|---|---|
DownloadAttachment | 用戶已下載附件。 | 訊號來自用戶端 (,例如 Outlook 或 Word) 。 |
開啟的附件 | 用戶開啟附件。 | 訊號來自用戶端 (,例如 Outlook 或 Word) 。 |
讀取訊息 | 用戶讀取模擬訊息。 | 在下列案例中,訊息讀取訊號可能會遇到問題:
|
郵件答錄機 | 判斷使用者是否不在辦公室。 | 目前由 Outlook 的 [自動回復] 設定計算。 |
遭入侵的使用者 | 使用者遭到入侵。 入侵訊號會根據社交工程技術而有所不同。 |
|
按兩下的訊息連結 | 使用者在模擬訊息中按兩下承載連結。 | 模擬中的 URL 對於每個使用者都是唯一的,可讓您追蹤個別的用戶活動。 第三方篩選服務或電子郵件轉寄可能會導致誤判。 如需詳細資訊, 請參閱我在模擬訊息中看到來自用戶的點擊或入侵事件,或我在傳遞後幾秒內看到許多用戶的點擊 (誤判) 。這是怎麼回事? |
轉寄的訊息 | 用戶轉寄了訊息。 | |
已回復訊息 | 使用者回復了訊息。 | |
已刪除訊息 | 使用者已刪除訊息。 | 訊號來自使用者的 Outlook 活動。 如果使用者將訊息報告為網路釣魚,則訊息可能會移至 [已刪除的郵件] 資料夾,該資料夾會識別為刪除。 |
授與的權限 | OAuth 同意授與模擬中的用戶共享許可權。 |
¹ 點選的連結可以是選取的 URL 或掃描的 QR 代碼。