Přehledy a sestavy pro Simulační nácvik útoku
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
V Simulační nácvik útoku v Microsoft Defender pro Office 365 Plan 2 nebo Microsoft 365 E5 microsoft poskytuje přehledy a sestavy z výsledků simulací a odpovídajících trénování. Tyto informace vás budou informovat o průběhu připravenosti vašich uživatelů na hrozby a doporučí další kroky k lepší přípravě uživatelů na budoucí útoky.
Přehledy a sestavy jsou k dispozici v následujících umístěních na stránce Simulační nácvik útoku na portálu Microsoft Defender:
- Vhledy:
- Karta Přehled na adrese https://security.microsoft.com/attacksimulator?viewid=overview.
- Karta Sestavy na adrese https://security.microsoft.com/attacksimulator?viewid=reports.
- Zprávy:
- Stránka sestavy simulace útoku na adrese https://security.microsoft.com/attacksimulationreport:
- Sestavy pro probíhající a dokončené simulace a školicí kampaně: Další informace najdete v tématu Sestava simulace útoku.
Zbytek tohoto článku popisuje sestavy a přehledy pro Simulační nácvik útoku.
Úvodní informace o Simulační nácvik útoku najdete v tématu Začínáme používat Simulační nácvik útoku.
Přehledy na kartách Přehled a Sestavy Simulační nácvik útoku
Pokud chcete přejít na kartu Přehled, otevřete portál Microsoft Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráci>Simulační nácvik útoku:
- Karta Přehled: Ověřte, že je vybraná karta Přehled (výchozí). Pokud chcete přejít přímo na kartu Přehled, použijte .https://security.microsoft.com/attacksimulator?viewid=overview
- Karta Sestavy : Vyberte kartu Sestavy . Nebo můžete přejít přímo na kartu Sestavy pomocí příkazu https://security.microsoft.com/attacksimulationreport.
Rozdělení přehledů na kartách je popsáno v následující tabulce:
Sestava | Karta Přehled | Karta Sestavy |
---|---|---|
Karta nedávných simulací | ✔ | |
Karta Doporučení | ✔ | |
Karta pokrytí simulace | ✔ | ✔ |
Karta dokončení školení | ✔ | ✔ |
Karta opakovat pachatele | ✔ | ✔ |
Dopad chování na kartu sazby ohrožení zabezpečení | ✔ | ✔ |
Zbývající část této části popisuje informace, které jsou k dispozici na kartách Přehled a Sestavy Simulační nácvik útoku.
Karta nedávných simulací
Karta Nedávné simulace na kartě Přehled zobrazuje poslední tři simulace, které jste vytvořili nebo spustili ve vaší organizaci.
Můžete vybrat simulaci a zobrazit podrobnosti.
Výběrem možnosti Zobrazit všechny simulace přejdete na kartu Simulace .
Výběrem možnosti Spustit simulaci spustíte nového průvodce simulací. Další informace najdete v tématu Simulace útoku phishing v Defender pro Office 365.
Karta Doporučení
Karta Doporučení na kartě Přehled navrhuje různé typy simulací, které se mají spustit.
Výběrem možnosti Spustit spustíte nového průvodce simulací se zadaným typem simulace automaticky vybraným na stránce Vybrat techniku . Další informace najdete v tématu Simulace útoku phishing v Defender pro Office 365.
Karta pokrytí simulace
Karta Pokrytí simulace na kartách Přehled a Sestavy zobrazuje procento uživatelů ve vaší organizaci, kteří obdrželi simulaci (simulování uživatelé), a uživatelů, kteří simulaci neobdrželi (nesimulovali uživatele). Když najedete myší na oddíl v grafu, zobrazí se skutečný počet uživatelů v každé kategorii.
Výběrem možnosti Zobrazit sestavu pokrytí simulace se dostanete na kartu Pokrytí uživatele pro sestavu simulace útoku.
Výběrem možnosti Spustit simulaci pro nesimulované uživatele se spustí průvodce novou simulací, kde se na stránce Cílový uživatel automaticky vyberou uživatelé, kteří simulaci neobdrželi. Další informace najdete v tématu Simulace útoku phishing v Defender pro Office 365.
Karta dokončení školení
Karta Dokončení trénování na kartách Přehled a Sestavy uspořádá procenta uživatelů, kteří dostali školení na základě výsledků simulací, do následujících kategorií:
- Hotový
- Probíhá
- Neúplný
Když najedete myší na oddíl v grafu, zobrazí se skutečný počet uživatelů v každé kategorii.
Výběrem možnosti Zobrazit sestavu dokončení trénování přejdete na kartu Dokončení trénování pro sestavu simulace útoku.
Karta opakovat pachatele
Karta Opakovat pachatele na kartách Přehled a Sestavy zobrazuje informace o opakovaných pachatelích. Opakovaným pachatelem je uživatel, který byl ohrožen po sobě jdoucími simulacemi. Výchozí počet po sobě jdoucích simulací je dvě, ale hodnotu můžete změnit na kartě Nastavení Simulační nácvik útoku na adrese https://security.microsoft.com/attacksimulator?viewid=setting. Další informace najdete v tématu Konfigurace prahové hodnoty opakování pachatele.
Graf uspořádá opakující se data o pachatelích podle typu simulace:
- Vše
- Příloha malwaru
- Odkaz na malware
- Credential Harvest
- Odkaz v přílohách
- Adresa URL pro nájezdy
Výběrem možnosti Zobrazit sestavu opakovaného pachatele přejdete na kartu Opakovat pachatele pro sestavu simulace útoku.
Dopad chování na kartu sazby ohrožení zabezpečení
Karta Dopad chování na míru ohrožení na kartách Přehled a Sestavy ukazuje, jak vaši uživatelé reagovali na simulace v porovnání s historickými daty v Microsoftu 365. Tyto přehledy můžete použít ke sledování průběhu připravenosti uživatelů na hrozby spuštěním více simulací se stejnými skupinami uživatelů.
V datech grafu se zobrazují následující informace:
- Skutečná míra ohrožení zabezpečení: Skutečné procento lidí, kteří byli simulací ohroženi (ohrožení zabezpečení skutečných uživatelů / celkový počet uživatelů ve vaší organizaci, kteří simulaci obdrželi).
- Predikovaná míra ohrožení zabezpečení: Historická data v Microsoftu 365, která předpovídají procento lidí, kteří budou touto simulací ohroženi. Další informace o predikované míře ohrožení zabezpečení (PCR) najdete v tématu Predikovaná míra ohrožení zabezpečení.
Pokud najedete myší na datový bod v grafu, zobrazí se skutečné procentuální hodnoty.
Pokud chcete zobrazit podrobnou sestavu, vyberte Zobrazit simulace a trénování sestavy účinnosti. Tato sestava je vysvětlena dále v tomto článku.
Sestava simulace útoku
Sestavu simulace útoku můžete otevřít na kartě Přehled výběrem možnosti Zobrazit ... akce sestavy, které jsou k dispozici na některých kartách na kartách Přehled a Sestavy popsané v tomto článku. Pokud chcete přejít přímo na stránku sestavy simulace útoku , použijte https://security.microsoft.com/attacksimulationreport
Karta efektivity trénování pro sestavu simulace útoku
Na stránce sestavy simulace útoku je ve výchozím nastavení vybrána karta Efektivita trénování. Tato karta obsahuje stejné informace, které jsou k dispozici na kartě Behavior impact on compromise rate (Dopad chování na míru ohrožení ) a další kontext ze samotné simulace.
Graf zobrazuje skutečnou míru ohrožení zabezpečení a míru předpokládaného ohrožení zabezpečení. Pokud najedete myší na oddíl v grafu, zobrazí se skutečné procentuální hodnoty pro.
V tabulce podrobností pod grafem jsou uvedené následující informace. Simulace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- Název simulace
- Technika simulace
- Simulační taktika
- Predikovaná míra ohrožení zabezpečení
- Skutečná míra ohrožení zabezpečení
- Celkový počet cílových uživatelů
- Počet klikaných uživatelů
Pomocí vyhledávacího pole vyfiltrujte výsledky podle názvu simulace nebo techniky simulace. Zástupné cardy se nepodporují.
Pomocí tlačítka Exportovat sestavu uložte informace do souboru CSV. Výchozí název souboru je Sestava simulace útoku – Microsoft Defender.csv a výchozím umístěním je místní složka Stažené soubory. Pokud exportovaná sestava již v tomto umístění existuje, název souboru se zvýší (například sestava simulace útoku – Microsoft Defender (1).csv).
Karta Pokrytí uživatele pro sestavu simulace útoku
Na kartě Pokrytí uživatele graf zobrazuje simulované uživatele a nesimulované uživatele. Pokud najedete myší na datový bod v grafu, zobrazí se skutečné hodnoty.
V tabulce podrobností pod grafem jsou uvedené následující informace. Informace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- Uživatelské jméno
- E-mailová adresa
- Součástí simulace
- Datum poslední simulace
- Výsledek poslední simulace
- Počet kliknutí
- Počet ohrožených
Pomocí vyhledávacího pole můžete filtrovat výsledky podle uživatelského jména nebo Email adresy. Zástupné cardy se nepodporují.
Pomocí tlačítka Exportovat sestavu uložte informace do souboru CSV. Výchozí název souboru je Sestava simulace útoku – Microsoft Defender.csv a výchozím umístěním je místní složka Stažené soubory. Pokud exportovaná sestava již v tomto umístění existuje, název souboru se zvýší (například sestava simulace útoku – Microsoft Defender (1).csv).
Karta dokončení trénování pro sestavu simulace útoku
Na kartě Dokončení trénování se v grafu zobrazuje počet dokončených, probíhajících a neúplných simulací. Pokud najedete myší na oddíl v grafu, zobrazí se skutečné hodnoty.
V tabulce podrobností pod grafem jsou uvedené následující informace. Informace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- Uživatelské jméno
- E-mailová adresa
- Součástí simulace
- Datum poslední simulace
- Výsledek poslední simulace
- Název posledního dokončeného trénování
- Datum dokončení
- Všechna školení
Vyberte Filtr a vyfiltrujte tabulku s podrobnostmi podle hodnot Stavu trénování: Dokončeno, Probíhá nebo Vše.
Po dokončení konfigurace filtrů vyberte Použít, Zrušit nebo Vymazat filtry.
Pomocí vyhledávacího pole můžete filtrovat výsledky podle uživatelského jména nebo Email adresy. Zástupné cardy se nepodporují.
Pokud vyberete tlačítko Exportovat sestavu, průběh generování sestavy se zobrazí jako procento dokončení. V dialogovém okně, které se otevře, se můžete rozhodnout otevřít soubor .csv, uložit soubor .csv a výběr si zapamatovat.
Karta Opakovat pachatele pro sestavu simulace útoku
Opakovaným pachatelem je uživatel, který byl ohrožen po sobě jdoucími simulacemi. Výchozí počet po sobě jdoucích simulací je dvě, ale hodnotu můžete změnit na kartě Nastavení Simulační nácvik útoku na adrese https://security.microsoft.com/attacksimulator?viewid=setting. Další informace najdete v tématu Konfigurace prahové hodnoty opakování pachatele.
Na kartě Opakovat pachatele graf zobrazuje počet uživatelů Opakování pachatelů a Simulovaných uživatelů.
Pokud najedete myší na datový bod v grafu, zobrazí se skutečné hodnoty.
V tabulce podrobností pod grafem jsou uvedené následující informace. Informace můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
Uživatel: Jméno uživatele.
Typy simulací: Typ simulací, ve kterých byl uživatel zapojen.
Simulace: Název simulací, ve kterých byl uživatel zapojen.
Email adresa: Email adresa uživatele.
Nejnovější počet opakování: Nejnovější počet ohrožení zabezpečení pro uživatele zařazené do kategorie opakujících se pachatelů. Pokud je například prahová hodnota opakování pachatele nastavená na 3 a uživatel byl ohrožen ve 3 po sobě jdoucích simulacích, pak je poslední počet opakování 3. Pokud byl uživatel ohrožen ve 4 po sobě jdoucích simulacích, je nejnovější počet opakování 4. Pokud došlo k ohrožení zabezpečení uživatele ve dvou po sobě jdoucích simulacích, hodnota není k dispozici. Nejnovější počet opakování se nastaví na 0 (N/A) při každém resetování příznaku opakovaného pachatele (to znamená, že uživatel projde simulací).
Opakované trestné činy: Zahrnuje počet, kolikrát byl uživatel klasifikován jako opakovaný pachatel. Příklady:
- Uživatel byl v několika prvních simulacích klasifikován jako opakující se pachatel (byl ohrožen třikrát po sobě, kde je prahová hodnota opakovaného pachatele 2).
- Uživatel byl po dokončení simulace klasifikován jako "čistý".
- Uživatel byl v několika dalších simulacích klasifikován jako opakovaný pachatel (byl ohrožen 4 po sobě jdoucími časy, kde je prahová hodnota opakovaného pachatele 2).
V těchto případech je počet opakovaných trestných činů nastaven na 2. Počet se aktualizuje pokaždé, když je uživatel považován za opakovaného pachatele.
Příjmení simulace
Výsledek poslední simulace
Poslední přiřazené trénování
Stav posledního trénování
Vyberte Filtr , pokud chcete graf a tabulku podrobností filtrovat podle jedné nebo více hodnot typu simulace:
- Credential Harvest
- Příloha malwaru
- Odkaz v příloze
- Odkaz na malware
Po dokončení konfigurace filtrů vyberte Použít, Zrušit nebo Vymazat filtry.
Pomocí vyhledávacího pole vyfiltrujte výsledky podle libovolné hodnoty sloupce. Zástupné cardy se nepodporují.
Pomocí tlačítka Exportovat sestavu uložte informace do souboru CSV. Výchozí název souboru je Sestava simulace útoku – Microsoft Defender.csv a výchozím umístěním je místní složka Stažené soubory. Pokud exportovaná sestava již v tomto umístění existuje, název souboru se zvýší (například sestava simulace útoku – Microsoft Defender (1).csv).
Sestava simulace v Simulační nácvik útoku
Sestava simulace zobrazuje podrobnosti o probíhajících nebo dokončených simulacích (hodnota Stav je Probíhající nebo Dokončeno). K zobrazení sestavy simulace použijte některou z následujících metod:
Na kartě Přehledna stránce Simulační nácvik útoku v části https://security.microsoft.com/attacksimulator?viewid=overviewvyberte simulaci z karty Poslední simulace.
Na kartě Simulace na stránce Simulační nácvik útoku vyberte https://security.microsoft.com/attacksimulator?viewid=simulationssimulaci kliknutím na libovolném jiném řádku, než je zaškrtávací políčko vedle názvu. Další informace najdete v tématu Zobrazení sestav simulace.
- Na kartě Školenína stránce Simulační nácvik útoku na https://security.microsoft.com/attacksimulator?viewid=trainingcampaignadrese vyberte trénovací kampaň pomocí některé z následujících metod:
- Klikněte na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle názvu.
- Zaškrtněte políčko vedle názvu a pak vyberte Zobrazit sestavu.
Další informace najdete v tématu Zobrazení sestav trénovacích kampaní.
Stránka sestavy, která se otevře, obsahuje karty Sestava, **Uživatelé a Podrobnosti , které obsahují informace o simulaci. Zbývající část této části popisuje přehledy a sestavy, které jsou k dispozici na kartě Sestava .
Oddíly na kartě Sestava pro simulaci jsou popsány v následujících pododdílech.
Další informace o kartách Uživatelé a Podrobnosti najdete na následujících odkazech.
- Simulace:
- Školicí kampaně:
Generování sestav pro simulace kódu QR
Můžete vybrat datové části kódu QR, které se mají použít v simulacích. Kód QR nahradí adresu URL útoku phishing jako datovou část, která se používá v e-mailové zprávě simulace. Další informace najdete v tématu Datové části kódu QR.
Vzhledem k tomu, že kódy QR jsou jiným typem adresy URL útoku phishing, zůstanou uživatelské události kolem událostí čtení, odstranění, ohrožení zabezpečení a kliknutí stejné. Například při skenování kódu QR se otevře adresa URL útoku phishing, takže se událost sleduje jako událost kliknutí. Stávající mechanismy pro sledování událostí ohrožení zabezpečení, odstranění a událostí sestav zůstávají stejné.
Pokud exportujete sestavu simulace do souboru CSV, bude k dispozici sloupec EmailLinkClicked_ClickSource s následujícími hodnotami:
-
PhishingURL
: Uživatel v e-mailové zprávě simulace klikl na odkaz útoku phishing. -
QRCode
: Uživatel naskenuje kód QR v e-mailové zprávě simulace.
Ostatní metriky, jako jsou čtení, ohrožení zabezpečení, odstranění a nahlášené zprávy, se dál sledují bez jakýchkoli dalších aktualizací. Další informace najdete v části Příloha dále v tomto článku.
Sestava simulace pro simulace
Tato část popisuje informace v sestavě simulace pro pravidelné simulace (ne školicí kampaně).
Část Dopad simulace v sestavě pro simulace
Část Dopad simulace na kartě Sestava ** pro simulaci zobrazuje počet a procento ohrožených uživatelů a uživatelů, kteří zprávu nahlásili .
Pokud najedete myší na oddíl v grafu, zobrazí se skutečná čísla pro každou kategorii.
Vyberte Zobrazit ohrožené uživatele a přejděte na kartu Uživatelé v sestavě, kde jsou výsledky filtrované podle ohrožení zabezpečení: Ano.
Výběrem možnosti Zobrazit nahlášené uživatele přejděte na kartu Uživatelé v sestavě, kde se výsledky filtrují podle nahlášené zprávy: Ano.
Všechny aktivity uživatelů v sestavě pro simulace
Část Všechny aktivity uživatelů na kartě Sestava ** pro simulaci zobrazuje čísla možných výsledků simulace. Informace se liší v závislosti na typu simulace. Příklady:
- Kliklo se na odkaz na zprávu, odkaz příloha nebo příloha se otevřela.
- Zadané přihlašovací údaje
- Přečtení zprávy
- Odstraněná zpráva
- Odpověď na zprávu
- Přeposlaná zpráva
- Mimo kancelář
Vyberte Zobrazit všechny uživatele a přejděte na kartu Uživatelé v sestavě, kde jsou výsledky nefiltrované.
Část Stav doručení v sestavě pro simulace
Část Stav doručení na kartě Sestava ** pro simulaci zobrazuje čísla možných stavů doručení zprávy simulace. Příklady:
- Zpráva se úspěšně přijala.
- Pozitivní zpráva o posílení doručena
- Doručena pouze zpráva simulace
Vyberte Zobrazit uživatele, kterým se nepodařilo doručit zprávu , a přejděte tak na kartu Uživatelé v sestavě, kde jsou výsledky filtrované podle doručení zprávy simulace: Nepodařilo se doručit.
Výběrem možnosti Zobrazit vyloučené uživatele nebo skupiny otevřete vysouvací panel Vyloučení uživatelé nebo skupiny , který zobrazuje uživatele nebo skupiny vyloučené z simulace.
Část dokončení trénování v sestavě pro simulace
Oddíl Dokončení trénování na stránce podrobností simulace zobrazuje trénování, která jsou pro simulaci nutná, a počet uživatelů, kteří trénování dokončili.
Pokud do simulace nebyla zahrnuta žádná trénování, jedinou hodnotou v této části je Trénování nebylo součástí této simulace.
První & části průměrné instance v sestavě pro simulace
Část První & průměrné instance na kartě Sestava ** pro simulaci zobrazuje informace o době potřebné k provádění konkrétních akcí v simulaci. Příklady:
- První kliknutí na odkaz
- Avg. link clicked
- První zadané přihlašovací údaje
- Zadané prům. přihlašovací údaje
Část Doporučení v sestavě pro simulace
Část Doporučení na kartě Sestava** pro simulaci zobrazuje doporučení pro použití Simulační nácvik útoku k zabezpečení vaší organizace.
Sestava simulace pro školicí kampaně
Tato část popisuje informace v sestavě simulace pro trénovací kampaně (ne simulace).
Oddíl klasifikace dokončení trénování v sestavě pro školicí kampaně
Oddíl Klasifikace dokončení trénování na kartě Sestava ** pro trénovací kampaň zobrazuje informace o dokončených výukových modulech v rámci školicí kampaně.
Oddíl souhrnu dokončení školení v sestavě pro školicí kampaně
Oddíl Souhrn dokončení trénování na kartě Sestava ** pro trénovací kampaň používá pruhové grafy znázorňující průběh přiřazených uživatelů ve všech trénovacích modulech v rámci kampaně (počet uživatelů / celkový počet uživatelů):
- Hotový
- Probíhá
- Nespustilo se
- Nedokončeno
- Dříve přiřazeno
Když najedete myší na oddíl v grafu, zobrazí se skutečné procento v každé kategorii.
Všechny aktivity uživatelů v sestavě pro školicí kampaně
Oddíl Všechny aktivity uživatelů na kartě Sestava ** pro kampaň Školení používá pruhový graf, který ukazuje, jak hlavní uživatelé úspěšně obdrželi oznámení o školení (počet uživatelů / celkový počet uživatelů).
Když najedete myší na oddíl v grafu, zobrazí se skutečná čísla v každé kategorii.
Dodatek
Při exportu informací ze sestav obsahuje soubor CSV více informací, než je uvedeno v sestavě, a to i v případě, že se zobrazí všechny sloupce. Pole jsou popsána v následující tabulce.
Tip
Pokud chcete získat maximální informace, před exportem ověřte, že jsou v sestavě viditelné všechny dostupné sloupce.
Název pole | Popis |
---|---|
Uživatelské jméno | Uživatelské jméno uživatele, který aktivitu provedl. |
Uživatelská pošta | Email adresu uživatele, který aktivitu provedl. |
Udělal kompromis | Označuje, jestli došlo k ohrožení zabezpečení uživatele. Hodnoty jsou Ano nebo Ne. |
AttachmentOpened_TimeStamp | Kdy se datová část přílohy otevřela v simulacích příloh malwaru. |
AttachmentOpened_Browser | Když se datová část přílohy otevřela ve webovém prohlížeči v simulacích příloh malwaru . Tyto informace pocházejí z useragentu. |
AttachmentOpened_IP | IP adresa, na které se datová část přílohy otevřela v simulacích přílohy malwaru . Tyto informace pocházejí z useragentu. |
AttachmentOpened_Device | Zařízení, na kterém byla datová část přílohy otevřena v simulacích příloh malwaru . Tyto informace pocházejí z useragentu. |
AttachmentLinkClicked_TimeStamp | Při kliknutí na datovou část odkazu přílohy v simulacích propojení . |
AttachmentLinkClicked_Browser | Webový prohlížeč, který se použil ke kliknutí na datovou část odkazu na přílohu v simulacích Propojení v příloze . Tyto informace pocházejí z useragentu. |
AttachmentLinkClicked_IP | IP adresa, na kterou se kliklo na datovou část odkazu přílohy v simulacích propojení . Tyto informace pocházejí z useragentu. |
AttachmentLinkClicked_Device | Zařízení, na které se kliklo na datovou část odkazu přílohy v simulacích propojení . Tyto informace pocházejí z useragentu. |
EmailLinkClicked_TimeStamp | Po kliknutí na datovou část odkazu v simulacích o udělení souhlasu v nástroji Credential Harvest se zobrazí odkaz na malware, drive-by-url a OAuth Consent Grant . |
EmailLinkClicked_Browser | Webový prohlížeč, který se použil ke kliknutí na datovou část odkazu v simulacích Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Tyto informace pocházejí z useragentu. |
EmailLinkClicked_IP | IP adresa, na které se kliklo na datovou část odkazu v simulacích Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Tyto informace pocházejí z useragentu. |
EmailLinkClicked_Device | Zařízení, na které se kliklo na datovou část odkazu v simulacích Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Tyto informace pocházejí z useragentu. |
EmailLinkClicked_ClickSource | Jestli byl odkaz na datovou část vybrán kliknutím na adresu URL nebo naskenováním kódu QR v simulacích o udělení souhlasu v části Credential Harvest, Link to Malware, Drive-by-URL a OAuth Consent Grant . Hodnoty jsou PhishingURL nebo QRCode . |
CredSupplied_TimeStamp (ohroženo) | Když uživatel zadal svoje přihlašovací údaje. |
CredSupplied_Browser | Webový prohlížeč, který byl použit, když uživatel zadal své přihlašovací údaje. Tyto informace pocházejí z useragentu. |
CredSupplied_IP | IP adresa, kam uživatel zadal svoje přihlašovací údaje. Tyto informace pocházejí z useragentu. |
CredSupplied_Device | Zařízení, do kterého uživatel zadal svoje přihlašovací údaje. Tyto informace pocházejí z useragentu. |
SuccessfullyDeliveredEmail_TimeStamp | Kdy byla uživateli doručena e-mailová zpráva simulace. |
MessageRead_TimeStamp | Kdy byla přečtená zpráva simulace. |
MessageDeleted_TimeStamp | Kdy byla zpráva simulace odstraněna. |
MessageReplied_TimeStamp | Když uživatel odpověděl na zprávu simulace. |
MessageForwarded_TimeStamp | Když uživatel přeposlal zprávu simulace. |
OutOfOfficeDays | Určuje, zda je uživatel mimo kancelář. Tyto informace pocházejí z nastavení Automatické odpovědi v Outlooku. |
PositiveReinforcementMessageDelivered_TimeStamp | Kdy byla uživateli doručena zpráva o pozitivním posílení. |
PositiveReinforcementMessageFailed_TimeStamp | Když se uživateli nepodařilo doručit zprávu o pozitivním posílení. |
JustSimulationMessageDelivered_TimeStamp | Když byla zpráva simulace doručena uživateli jako součást simulace bez přiřazených trénování (Na stránce Přiřadit trénování v průvodci novou simulací nebylo vybráno žádné trénování). |
JustSimulationMessageFailed_TimeStamp | Když se uživateli nepodařilo doručit e-mailovou zprávu simulace a simulace neměla přiřazené žádné trénování. |
TrainingAssignmentMessageDelivered_TimeStamp | Kdy se uživateli doručila zpráva o trénovacím přiřazení. Tato hodnota je prázdná, pokud v simulaci nebyla přiřazena žádná trénování. |
TrainingAssignmentMessageFailed_TimeStamp | Když se uživateli nepodařilo doručit zprávu o trénovacím přiřazení. Tato hodnota je prázdná, pokud v simulaci nebyla přiřazena žádná trénování. |
FailedToDeliverEmail_TimeStamp | Když se uživateli nepodařilo doručit e-mailovou zprávu simulace. |
Poslední aktivita simulace | Poslední simulační aktivita uživatele (bez ohledu na to, jestli uživatel prošel nebo byl ohrožen). |
Přiřazená školení | Seznam trénování přiřazených uživateli v rámci simulace. |
Dokončené trénování | Seznam trénování, která uživatel dokončil v rámci simulace. |
Stav trénování | Aktuální stav trénování pro uživatele v rámci simulace. |
Útok phishing nahlášený | Když uživatel nahlásil zprávu simulace jako phishing. |
Department | Hodnota vlastnosti Oddělení uživatele v Microsoft Entra ID v době simulace. |
Company | Hodnota vlastnosti Company uživatele v Microsoft Entra ID v době simulace. |
Title | Hodnota vlastnosti Title uživatele v Microsoft Entra ID v době simulace. |
Office | Hodnota vlastnosti Office uživatele v Microsoft Entra ID v době simulace. |
Město | Hodnota vlastnosti City uživatele v Microsoft Entra ID v době simulace. |
Země | Hodnota vlastnosti Country uživatele v Microsoft Entra ID v době simulace. |
Manažer | Hodnota vlastnosti Správce uživatele v Microsoft Entra ID v době simulace. |
Způsob zaznamenávání signálů aktivit uživatelů je popsán v následující tabulce.
:----- | Popis | Logika výpočtu |
---|---|---|
DownloadAttachment | Uživatel přílohu stáhl. | Signál pochází z klienta (například z Outlooku nebo Word). |
Otevřená příloha | Uživatel přílohu otevřel. | Signál pochází z klienta (například z Outlooku nebo Word). |
Přečíst zprávu | Uživatel si přečetl zprávu simulace. | U signálů čtení zpráv může docházet k problémům v následujících scénářích:
|
Mimo kancelář | Určuje, zda je uživatel mimo kancelář. | Aktuálně počítáno nastavením Automatické odpovědi z Outlooku. |
Ohrožený uživatel | Uživatel byl ohrožen. Signál kompromisu se liší v závislosti na technice sociálního inženýrství. |
|
Odkaz na zprávu, na kterou se kliklo | Uživatel ve zprávě simulace klikl na odkaz na datovou část. | Adresa URL v simulaci je jedinečná pro každého uživatele, což umožňuje sledování aktivit jednotlivých uživatelů. Služby filtrování třetích stran nebo přeposílání e-mailů můžou vést k falešně pozitivním výsledkům. Další informace najdete v článku Zobrazují se kliknutí nebo události ohrožení zabezpečení od uživatelů, kteří trvají na tom, že neklikli na odkaz ve zprávě simulace, NEBO se u mnoha uživatelů zobrazují kliknutí během několika sekund od doručení (falešně pozitivní výsledky). Co se děje? |
Přeposlaná zpráva | Uživatel zprávu přeposlal. | |
Odpověď na zprávu | Uživatel na zprávu odpověděl. | |
Odstraněná zpráva | Uživatel zprávu odstranil. | Signál pochází z aktivity aplikace Outlook uživatele. Pokud uživatel zprávu nahlásí jako phishing, může se zpráva přesunout do složky Odstraněná pošta, která je označená jako odstraněná. |
Udělená oprávnění | Uživatel sdílel oprávnění v simulaci udělení souhlasu OAuth . |
¹ Odkazem, na který jste klikli, může být vybraná adresa URL nebo naskenovaný kód QR.
Související odkazy
Začínáme s používáním trénování simulace útoku