Поделиться через


Аналитические сведения и отчеты для Обучение эмуляции атак

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В Обучение эмуляции атак в Microsoft Defender для Office 365 плана 2 или Microsoft 365 E5 корпорация Майкрософт предоставляет аналитические сведения и отчеты по результатам моделирования и соответствующих учебных курсов. Эта информация информирует вас о ходе подготовки пользователей к угрозам и рекомендует дальнейшие действия для лучшей подготовки пользователей к будущим атакам.

Аналитические сведения и отчеты доступны в следующих расположениях на странице Обучение эмуляции атак на портале Microsoft Defender:

В оставшейся части этой статьи описываются отчеты и аналитические сведения для Обучение эмуляции атак.

Сведения о начале работы с Обучение эмуляции атак см. в статье Начало работы с Обучение эмуляции атак.

Аналитические сведения на вкладках "Обзор" и "Отчеты" Обучение эмуляции атак

Чтобы перейти на вкладку Обзор, откройте портал Microsoft Defender по адресу https://security.microsoft.com, перейдите к разделу Email & совместной работы>Обучение эмуляции атак:

Распределение аналитических сведений на вкладках описано в следующей таблице:

Отчет Вкладка "Обзор" Вкладка "Отчеты"
Последние карта моделирования
Рекомендации карта
Карта покрытия имитации
Карта завершения обучения
Повторные правонарушители карта
Влияние поведения на скорость компрометации карта

В оставшейся части этого раздела описываются сведения, доступные на вкладках Обзор и Отчеты Обучение эмуляции атак.

Последние карта моделирования

В карта Последние симуляции на вкладке Обзор отображаются последние три симуляции, созданные или запущенные в организации.

Для просмотра сведений можно выбрать имитацию.

Выбрав Просмотреть все симуляции, вы перейдете на вкладку Симуляции .

При выборе параметра Запустить симуляцию запускается новый мастер моделирования. Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Последние симуляции карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender.

Рекомендации карта

В карта Рекомендации на вкладке Обзор предлагаются различные типы моделирования для выполнения.

При выборе параметра Запустить теперь запускается мастер моделирования с указанным типом имитации, автоматически выбранным на странице Выбор метода . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Рекомендации карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender.

Карта покрытия имитации

В карта покрытия имитации на вкладках Обзор и Отчеты отображается процент пользователей в организации, которые получили имитацию (имитированные пользователи), и пользователей, которые не получили симуляцию (неимитированные пользователи). Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.

Если выбрать Просмотреть отчет о покрытии симуляции , вы перейдете на вкладку Охват пользователя для отчета об имитации атак.

При выборе запуска имитации для неимитированных пользователей запускается мастер моделирования, в котором пользователи, которые не получили имитацию, автоматически выбираются на странице Целевой пользователь . Дополнительные сведения см. в статье Имитация фишинговой атаки в Defender для Office 365.

Покрытие имитации карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender.

Карта завершения обучения

Карта завершения обучения на вкладках Обзор и Отчеты упорядочивает процент пользователей, прошедших обучение, на основе результатов моделирования, в следующие категории:

  • Выполнено
  • Выполняется
  • Неполный

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактическое количество пользователей в каждой категории.

Если выбрать Просмотреть отчет о завершении обучения , вы перейдете на вкладку Завершение обучения для отчета о симуляции атаки.

Завершение обучения карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender.

Повторные правонарушители карта

На вкладках Обзор и Отчеты карта "Повторные правонарушители" отображается информация о повторных правонарушителях. Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но вы можете изменить значение на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.

Диаграмма упорядочивает данные о повторных нарушителях по типу моделирования:

  • Все
  • Вложение вредоносных программ
  • Ссылка на вредоносные программы
  • Сбор учетных данных
  • Ссылка во вложениях
  • URL-адрес диска

Если выбрать Просмотреть отчет о повторяющихся правонарушителях , вы перейдете на вкладку Повторные правонарушители для отчета о симуляции атак.

Карта

Влияние поведения на скорость компрометации карта

В разделе Влияние поведения на скорость компрометации карта на вкладках Обзор и Отчеты показано, как пользователи отреагировали на моделирование по сравнению с историческими данными в Microsoft 365. Эти аналитические сведения можно использовать для отслеживания хода подготовки пользователей к угрозам путем выполнения нескольких симуляций для одной и той же группы пользователей.

На диаграмме отображаются следующие сведения:

  • Фактическая частота компрометации. Фактический процент пользователей, которые были скомпрометированы имитацией (фактические пользователи скомпрометировали / общее число пользователей в организации, которые получили имитацию).
  • Прогнозируемая скорость компрометации. Исторические данные в Microsoft 365, которые предсказывают процент людей, которые будут скомпрометированы в связи с этим моделированием. Дополнительные сведения о прогнозируемой скорости компрометации (PCR) см. в разделе Прогнозируемая скорость компрометации.

При наведении указателя мыши на точку данных на диаграмме отображаются фактические процентные значения.

Чтобы просмотреть подробный отчет, выберите Просмотреть отчет об эффективности моделирования и обучения. Этот отчет описан далее в этой статье.

Влияние поведения на скорость компрометации карта на вкладке Обзор в Обучение эмуляции атак на портале Microsoft Defender.

Отчет о симуляции атак

Отчет о симуляции атак можно открыть на вкладке Обзор, выбрав вид ... действия отчета, доступные на некоторых карточках на вкладках Обзор и Отчеты, описанных в этой статье. Чтобы перейти непосредственно на страницу отчета об имитации атак , используйте https://security.microsoft.com/attacksimulationreport

Вкладка "Эффективность обучения" для отчета о симуляции атак

Вкладка Эффективность обучения выбрана по умолчанию на странице отчета об имитации атак . Эта вкладка содержит те же сведения, которые доступны в разделе Влияние поведения на скорость компрометации карта, с дополнительным контекстом из самого моделирования.

Вкладка Эффективность обучения в отчете об имитации атак на портале Microsoft Defender.

На диаграмме показаны фактическая скорость компрометации и прогнозируемая скорость компрометации. При наведении указателя мыши на раздел диаграммы отображаются фактические процентные значения для.

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать имитации, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

  • Имя имитации
  • Метод моделирования
  • Тактика моделирования
  • Прогнозируемые скомпрометированные показатели
  • Фактическая скомпрометированная скорость
  • Общее число целевых пользователей
  • Число пользователей, щелкнув

Используйте поле Поиск, чтобы отфильтровать результаты по имени имитации или методу моделирования. Подстановочные знаки не поддерживаются.

Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).

Вкладка "Охват пользователей" для отчета об имитации атак

На вкладке Охват пользователей на диаграмме показаны имитированные пользователи и неимитированные пользователи. При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.

Вкладка

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

  • Username
  • Адрес электронной почты
  • Входит в симуляцию
  • Дата последнего моделирования
  • Последний результат моделирования
  • Количество щелчков
  • Число скомпрометированных

Используйте поле Поиск, чтобы отфильтровать результаты по имени пользователя или Email адресу. Подстановочные знаки не поддерживаются.

Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).

Вкладка "Завершение обучения" для отчета об имитации атаки

На вкладке Завершение обучения на диаграмме показано количество симуляций Завершено, Выполняется и Не завершено . При наведении указателя мыши на раздел диаграммы отображаются фактические значения.

Вкладка

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

  • Username
  • Адрес электронной почты
  • Входит в симуляцию
  • Дата последнего моделирования
  • Последний результат моделирования
  • Имя последнего завершенного обучения
  • Дата завершения
  • Все учебные курсы

Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по значениям состояния обучения: Завершено, Выполняется или Все.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Используйте поле Поиск, чтобы отфильтровать результаты по имени пользователя или Email адресу. Подстановочные знаки не поддерживаются.

Если нажать кнопку Экспорт отчета , ход создания отчета будет отображаться в процентах от завершения. В открывшемся диалоговом окне можно открыть файл .csv, сохранить файл .csv и запомнить выбранный фрагмент.

Вкладка "Повторные нарушители" для отчета о симуляции атак

Повторный нарушитель — это пользователь, который был скомпрометирован последовательными симуляциями. Число последовательных симуляций по умолчанию — два, но вы можете изменить значение на вкладке Параметры Обучение эмуляции атак в https://security.microsoft.com/attacksimulator?viewid=setting. Дополнительные сведения см. в разделе Настройка порога повторного нарушения.

На вкладке Повторные правонарушители на диаграмме показано количество пользователей с повторными правонарушителями и имитированных пользователей.

Вкладка Повторные нарушители в отчете о симуляции атак на портале Microsoft Defender.

При наведении указателя мыши на точку данных на диаграмме отображаются фактические значения.

В таблице сведений под диаграммой показаны следующие сведения. Вы можете отсортировать сведения, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы.

  • Пользователь: имя пользователя.

  • Типы моделирования: тип моделирования, в котором был задействован пользователь.

  • Имитации. Имя имитаций, в которых был задействован пользователь.

  • Email адрес: Email адрес пользователя.

  • Последнее число повторов: последнее число компрометации для пользователей, классифицированных как повторные правонарушители. Например, если для порога повторного нарушения установлено значение 3, а пользователь был скомпрометирован в трех последовательных симуляциях, то последнее число повторов равно 3. Если пользователь был скомпрометирован в 4 последовательных симуляции, последнее число повторов равно 4. Если пользователь был скомпрометирован в двух последовательных симуляциях, то значение N/Д. Последнее число повторов задает значение 0 (Н/Д) при каждом сбросе флага повторного нарушителя (это означает, что пользователь проходит имитацию).

  • Повторные преступления: включает количество случаев, когда пользователь был классифицирован как повторяющийся правонарушитель. Например:

    • Пользователь был классифицирован как повторяющийся правонарушитель в первых нескольких симуляциях (они были скомпрометированы 3 раза подряд, где порог повторного правонарушителя составляет 2).
    • Пользователь был классифицирован как "чистый" после прохождения моделирования.
    • Пользователь был классифицирован как повторяющийся преступник в следующих нескольких симуляциях (они были скомпрометированы 4 раза подряд, где порог повторного правонарушителя составляет 2).

    В этих случаях число повторных преступлений устанавливается в 2. Счетчик обновляется каждый раз, когда пользователь считается повторным нарушителем.

  • Последнее имя имитации

  • Последний результат моделирования

  • Назначено последнее обучение

  • Состояние последнего обучения

Выберите Фильтр , чтобы отфильтровать таблицу диаграммы и сведений по одному или нескольким значениям типа имитации:

  • Сбор учетных данных
  • Вложение вредоносных программ
  • Ссылка во вложении
  • Ссылка на вредоносные программы

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Используйте поле Поиск, чтобы отфильтровать результаты по любому из значений столбцов. Подстановочные знаки не поддерживаются.

Используйте кнопку Экспорт отчета , чтобы сохранить сведения в CSV-файл. Имя файла по умолчанию — Отчет о имитации атак — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортированный отчет уже существует в этом расположении, имя файла увеличивается (например, отчет об имитации атак — Microsoft Defender (1).csv).

Отчет об имитации в Обучение эмуляции атак

В отчете об имитации отображаются сведения о выполняющемся или завершенном симуляции (значение Состояниевыполняется или Завершено). Чтобы просмотреть отчет об имитации, используйте любой из следующих методов:

Открывающаяся страница отчета содержит вкладки Отчет, **Пользователи и Сведения , содержащие сведения о имитации. В оставшейся части этого раздела описаны аналитические сведения и отчеты, доступные на вкладке Отчет .

Разделы на вкладке Отчет для имитации описаны в следующих подразделах.

Дополнительные сведения о вкладках Пользователи и Сведения см. по следующим ссылкам.

Создание отчетов для моделирования QR-кода

Вы можете выбрать полезные данные QR-кода для использования в симуляции. QR-код заменяет URL-адрес фишинга в качестве полезных данных, используемых в сообщении электронной почты имитации. Дополнительные сведения см. в разделе Полезные данные QR-кода.

Так как QR-коды — это другой тип URL-адреса фишинга, события пользователей, связанные с событиями чтения, удаления, компрометации и щелчка, остаются неизменными. Например, при сканировании QR-кода открывается URL-адрес фишинга, поэтому событие отслеживается как событие щелчка. Существующие механизмы отслеживания компрометации, удаления и событий отчета остаются неизменными.

При экспорте отчета об имитации в CSV-файл EmailLinkClicked_ClickSource столбец будет доступен со следующими значениями:

  • PhishingURL: пользователь щелкнул ссылку фишинга в симуляционном сообщении электронной почты.
  • QRCode: пользователь сканировал QR-код в симуляционном сообщении электронной почты.

Другие метрики, такие как чтение, компрометация, удаление и сообщаемые сообщения, по-прежнему отслеживаются без каких-либо дополнительных обновлений. Дополнительные сведения см. в разделе Приложения далее в этой статье.

Отчет по симуляции для моделирования

В этом разделе описываются сведения в отчете об имитации для регулярных симуляций (не обучающих кампаний).

Вкладка Отчет в отчете об имитации в Обучение эмуляции атак.

Раздел влияния на имитацию в отчете для моделирования

В разделе Влияние имитации на вкладке Отчет ** для имитации показано количество и процент скомпрометированных пользователей и пользователей, которые сообщили сообщение.

При наведении указателя мыши на раздел диаграммы отображаются фактические числа для каждой категории.

Выберите Просмотреть скомпрометированных пользователей , чтобы перейти на вкладку Пользователи в отчете, где результаты фильтруются по компрометации: Да.

Выберите Просмотр пользователей, которые сообщили, что нужно перейти на вкладку Пользователи в отчете, где результаты отфильтровываются по сообщению о сообщении: Да.

Раздел Влияние имитации на вкладке Отчет отчета об имитации для имитации.

Раздел "Все действия пользователя" в отчете для моделирования

В разделе Все действия пользователя на вкладке Отчет ** для имитации отображаются числа возможных результатов моделирования. Сведения зависят от типа моделирования. Например:

  • Щелкнув ссылку на сообщение или щелкнув ссылку для вложения , или вложение открыто
  • Предоставленные учетные данные
  • Чтение сообщения
  • Deleted message (Удалено сообщение)
  • Ответ на сообщение
  • Пересылаемое сообщение
  • Вне офиса

Выберите Просмотреть всех пользователей , чтобы перейти на вкладку Пользователи в отчете, где результаты не фильтруются.

Раздел Действия всех пользователей на вкладке Отчет отчета об имитации для имитации.

Раздел состояния доставки в отчете для моделирования

В разделе Состояние доставки на вкладке Отчет ** для имитации отображаются номера возможных состояний доставки для сообщения имитации. Например:

  • Сообщение успешно получено
  • Доставлено положительное сообщение с подкреплением
  • Доставлено простое сообщение имитации

Выберите Просмотр пользователей, которым не удалось выполнить доставку сообщений , перейдите на вкладку Пользователи в отчете, где результаты фильтруются по моделированию доставки сообщений: не удалось доставить.

Выберите Просмотреть исключенных пользователей или группы , чтобы открыть всплывающее окно Исключенные пользователи или группы , включающее пользователей или группы, которые были исключены из имитации.

Раздел Состояние доставки на вкладке Отчет отчета об имитации для имитации.

Раздел завершения обучения в отчете для моделирования

В разделе Завершение обучения на странице сведений о симуляции показаны учебные курсы, необходимые для моделирования, и сколько пользователей завершили обучение.

Если обучение не было включено в симуляцию, единственное значение в этом разделе — Обучение не было частью этого моделирования.

Раздел Завершение обучения на вкладке Отчет отчета об имитации для имитации.

Первый & раздел среднего экземпляра в отчете для моделирования

В разделе Первый & среднего экземпляра на вкладке Отчет ** для имитации отображаются сведения о времени, необходимом для выполнения определенных действий в моделировании. Например:

  • Первая ссылка нажата
  • Средняя щелчок по ссылке
  • Первые введенные учетные данные
  • Среднее значение введенных учетных данных

Раздел Первый & среднего экземпляра на вкладке Отчет отчета об имитации для имитации.

Раздел рекомендаций в отчете для моделирования

В разделе Рекомендации на вкладке Отчет** для имитации приведены рекомендации по использованию Обучение эмуляции атак для защиты организации.

Раздел Рекомендации на вкладке Отчет отчета об имитации для имитации.

Отчет по симуляции для кампаний по обучению

В этом разделе описываются сведения в отчете об имитации кампаний по обучению (не имитации).

Вкладка Отчет в отчете обучаемой кампании в Обучение эмуляции атак.

Раздел классификации завершения обучения в отчете для кампаний по обучению

В разделе Классификация завершения обучения на вкладке Отчет ** для кампании по обучению отображаются сведения о завершенных модулях обучения в кампании Training.

Раздел Классификация завершения обучения на вкладке Отчет в отчете обучаемой кампании в Обучение эмуляции атак.

Раздел сводки по завершению обучения в отчете о кампаниях по обучению

В разделе Сводка по завершению обучения на вкладке Отчет ** для кампании обучения используются линейчатые диаграммы, показывающие прогрессирование назначенных пользователей по всем модулям обучения в кампании (количество пользователей / общее число пользователей):

  • Выполнено
  • Выполняется
  • Не запущено.
  • Не завершено
  • Ранее назначенный

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактический процент в каждой категории.

Раздел Сводка по завершению обучения на вкладке Отчет в отчете обучаемой кампании в Обучение эмуляции атак.

Раздел "Все действия пользователей" в отчете для обучающих кампаний

В разделе Все действия пользователей на вкладке Отчет** для кампании обучения используется линейчатая диаграмма, показывая, как main пользователи успешно получили уведомление об обучении (количество пользователей или общее число пользователей).

Вы можете навести указатель мыши на раздел диаграммы, чтобы увидеть фактические числа в каждой категории.

Раздел Все действия пользователей на вкладке Отчет в отчете кампании обучения в Обучение эмуляции атак.

Приложение

При экспорте сведений из отчетов CSV-файл содержит больше сведений, чем в отчете, даже если отображаются все столбцы. Поля описаны в следующей таблице.

Совет

Для получения максимальной информации убедитесь, что все доступные столбцы в отчете отображаются перед экспортом.

Имя поля Описание
UserName Имя пользователя, который выполнил действие.
UserMail Email адрес пользователя, который выполнил действие.
Скомпрометированы Указывает, был ли скомпрометирован пользователь. Значения: Да или Нет.
AttachmentOpened_TimeStamp Когда полезные данные вложения были открыты в симуляции вложений вредоносных программ .
AttachmentOpened_Browser При открытии полезных данных вложения в веб-браузере в симуляции вложений вредоносных программ . Эти сведения поступают от UserAgent.
AttachmentOpened_IP IP-адрес, по которому были открыты полезные данные вложения в симуляции вложений вредоносных программ . Эти сведения поступают от UserAgent.
AttachmentOpened_Device Устройство, на котором полезные данные вложения были открыты в симуляции вложений вредоносных программ . Эти сведения поступают от UserAgent.
AttachmentLinkClicked_TimeStamp При щелчке полезных данных ссылки вложения в разделе Ссылка в симуляции вложений.
AttachmentLinkClicked_Browser Веб-браузер, который использовался для щелчка полезных данных ссылки на вложение в разделе Ссылка в симуляции вложений. Эти сведения поступают от UserAgent.
AttachmentLinkClicked_IP IP-адрес, по которому были нажаты полезные данные связи вложения в разделе Ссылка в симуляции вложений. Эти сведения поступают от UserAgent.
AttachmentLinkClicked_Device Устройство, на котором была щелкнуна полезные данные связи вложения в разделе Ссылка в симуляции вложений. Эти сведения поступают от UserAgent.
EmailLinkClicked_TimeStamp При щелчке полезных данных ссылки в симуляциях предоставления согласия OAuth и связывания с вредоносными программами, диском по URL-адресу и предоставлением согласия OAuth .
EmailLinkClicked_Browser Веб-браузер, который использовался для щелчка полезных данных по ссылке в симуляции Credential Harvest, Link to Malware, Drive-by-URL и OAuth Consent Grants . Эти сведения поступают от UserAgent.
EmailLinkClicked_IP IP-адрес, на котором была щелкнуна полезная нагрузка ссылки в симуляции Сбор учетных данных, Связывание с вредоносными программами, Диск по URL-адресу и Предоставление согласия OAuth . Эти сведения поступают от UserAgent.
EmailLinkClicked_Device Устройство, на котором были нажаты полезные данные ссылки, в симуляциях предоставления согласия OAuth и Сбор учетных данных, Связь с вредоносными программами, Диск по URL-адресу и Предоставление согласия OAuth . Эти сведения поступают от UserAgent.
EmailLinkClicked_ClickSource Была ли выбрана ссылка на полезные данные, щелкнув URL-адрес или отсканировав QR-код в симуляции Credential Harvest, Link to Malware, Drive-by-URL и OAuth Consent Grants . Значения: PhishingURL или QRCode.
CredSupplied_TimeStamp(скомпрометированные) Когда пользователь ввел свои учетные данные.
CredSupplied_Browser Веб-браузер, который использовался при вводе пользователем своих учетных данных. Эти сведения поступают от UserAgent.
CredSupplied_IP IP-адрес, по которому пользователь ввел свои учетные данные. Эти сведения поступают от UserAgent.
CredSupplied_Device Устройство, на котором пользователь ввел свои учетные данные. Эти сведения поступают от UserAgent.
SuccessfullyDeliveredEmail_TimeStamp Когда сообщение электронной почты имитации было доставлено пользователю.
MessageRead_TimeStamp Когда считывалось сообщение имитации.
MessageDeleted_TimeStamp При удалении сообщения имитации.
MessageReplied_TimeStamp Когда пользователь ответил на сообщение имитации.
MessageForwarded_TimeStamp Когда пользователь переадресовал сообщение имитации.
OutOfOfficeDays Определяет, находится ли пользователь вне офиса. Эти сведения поступают из параметра Автоматические ответы в Outlook.
PositiveReinforcementMessageDelivered_TimeStamp Когда пользователю было доставлено положительное сообщение с подкреплением.
PositiveReinforcementMessageFailed_TimeStamp Если не удалось доставить пользователю сообщение о положительном подкреплении.
JustSimulationMessageDelivered_TimeStamp Когда сообщение имитации было доставлено пользователю в рамках симуляции без назначенных тренировок (не было выбрано обучение на странице Назначение обучения мастера нового моделирования).
JustSimulationMessageFailed_TimeStamp Когда сообщение электронной почты имитации не было доставлено пользователю, и симуляция не была назначена обучение.
TrainingAssignmentMessageDelivered_TimeStamp Когда сообщение о назначении обучения было доставлено пользователю. Это значение пусто, если в моделировании не были назначены учебные курсы.
TrainingAssignmentMessageFailed_TimeStamp Не удалось доставить пользователю сообщение о назначении обучения. Это значение пусто, если в моделировании не были назначены учебные курсы.
FailedToDeliverEmail_TimeStamp Если не удалось доставить пользователю сообщение электронной почты имитации.
Последнее действие моделирования Последнее действие имитации пользователя (было ли передано или было скомпрометировано).
Назначенные учебные курсы Список учебных занятий, назначенных пользователю в рамках имитации.
Завершенные учебные курсы Список учебных занятий, выполненных пользователем в рамках моделирования.
Состояние обучения Текущее состояние обучения для пользователя в рамках моделирования.
Сообщается о фишинге Когда пользователь сообщил о симуляции сообщения как фишинговом.
Отдел Значение свойства Department пользователя в Microsoft Entra ID во время моделирования.
Организация Значение свойства Company пользователя в Microsoft Entra ID во время моделирования.
Название Значение свойства title пользователя в Microsoft Entra ID во время моделирования.
Office Значение свойства Office пользователя в Microsoft Entra ID во время моделирования.
Город Значение свойства City пользователя в Microsoft Entra ID во время моделирования.
Страна Значение свойства country пользователя в Microsoft Entra ID во время моделирования.
Директор Значение свойства Диспетчера пользователя в Microsoft Entra ID во время моделирования.

Способ отслеживания сигналов активности пользователей описан в следующей таблице.

Поле Описание Логика вычислений
DownloadAttachment Пользователь скачал вложение. Сигнал поступает от клиента (например, Outlook или Word).
Открытое вложение Пользователь открыл вложение. Сигнал поступает от клиента (например, Outlook или Word).
Чтение сообщения Пользователь считывает сообщение имитации. Сигналы чтения сообщений могут столкнуться с проблемами в следующих сценариях:
  • Пользователь сообщил, что сообщение было фишинговым в Outlook, не выходя из области чтения, и пометка элементов как прочитанных при просмотре в области чтения не настроена (по умолчанию).
  • Пользователь сообщил непрочитанное сообщение как фишинговое в Outlook, сообщение было удалено и помечает сообщения как прочитанные, когда удаление не настроено (по умолчанию).
Нет на месте Определяет, находится ли пользователь вне офиса. В настоящее время вычисляется с помощью параметра Автоматические ответы в Outlook.
Скомпрометированный пользователь Пользователь скомпрометирован. Сигнал компрометации зависит от техники социальной инженерии.
  • Сбор учетных данных: пользователь ввел свои учетные данные на странице входа (учетные данные не хранятся корпорацией Майкрософт).¹
  • Вложение вредоносных программ. Пользователь открыл вложение полезных данных и выбрал Включить редактирование в защищенном представлении.
  • Ссылка во вложении. Пользователь открыл вложение и ввел свои учетные данные после нажатия ссылки на полезные данные.
  • Ссылка на вредоносные программы. Пользователь щелкнул ссылку полезных данных и ввел свои учетные данные.
  • Диск по URL-адресу: пользователь щелкнул ссылку на полезные данные (ввод учетных данных не требуется).¹
  • Предоставление согласия OAuth. Пользователь щелкнул ссылку полезных данных и принял запрос на предоставление общего доступа к разрешениям.¹
Ссылка на сообщение Пользователь щелкнул ссылку полезных данных в сообщении имитации. URL-адрес в моделировании уникален для каждого пользователя, что позволяет отслеживать действия отдельных пользователей. Сторонние службы фильтрации или пересылка электронной почты могут привести к ложноположительным результатам. Дополнительные сведения см. в разделе Я вижу события щелчков или компрометации от пользователей, которые настаивают на том, что они не нажимали ссылку в сообщении имитации или я вижу щелчки в течение нескольких секунд после доставки для многих пользователей (ложноположительные результаты). Что происходит?
Пересылаемое сообщение Пользователь переадресовал сообщение.
Ответ на сообщение Пользователь ответил на сообщение.
Deleted message (Удалено сообщение) Пользователь удалил сообщение. Сигнал поступает от действий пользователя в Outlook. Если пользователь сообщает сообщение как фишинговое, сообщение может быть перемещено в папку "Удаленные", которая определяется как удаление.
Предоставляемые разрешения Пользователь предоставил общий доступ к разрешениям в модели предоставления согласия OAuth .

¹ Ссылка может быть выбранным URL-адресом или отсканированным QR-кодом.

Начало использования обучения симуляции атаки

Создание имитации фишинговых атак

создание полезных данных для обучения сотрудников