Erkenntnisse und Berichte für das Training zur Angriffssimulation
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
In der Angriffssimulationsschulung in Microsoft Defender für Office 365 Plan 2 oder Microsoft 365 E5 bietet Microsoft Erkenntnisse und Berichte aus den Ergebnissen von Simulationen und den entsprechenden Schulungen. Diese Informationen halten Sie über den Fortschritt der Bedrohungsbereitschaft Ihrer Benutzer auf dem Laufenden und werden als nächste Schritte empfohlen, um Ihre Benutzer besser auf zukünftige Angriffe vorzubereiten.
Erkenntnisse und Berichte sind an den folgenden Stellen auf der Seite Angriffssimulationstraining im Microsoft Defender-Portal verfügbar:
- Einblicke:
- Die Registerkarte Übersicht unter https://security.microsoft.com/attacksimulator?viewid=overview.
- Die Registerkarte Berichte unter https://security.microsoft.com/attacksimulator?viewid=reports.
- Berichte:
- Die Seite angriffssimulationsbericht unter https://security.microsoft.com/attacksimulationreport:
- Die Berichte zu laufenden und abgeschlossenen Simulationen und Trainingskampagnen: Weitere Informationen finden Sie unter Angriffssimulationsbericht.
Im weiteren Verlauf dieses Artikels werden die Berichte und Erkenntnisse für das Training der Angriffssimulation beschrieben.
Informationen zu den ersten Schritten zum Training der Angriffssimulation finden Sie unter Erste Schritte mit dem Angriffssimulationstraining.
Einblicke auf die Registerkarten "Übersicht" und "Berichte" des Trainings zur Angriffssimulation
Um zur Registerkarte Übersicht zu wechseln, öffnen Sie das Microsoft Defender-Portal unter https://security.microsoft.com, wechseln Sie zu E-Mail & Zusammenarbeit>Angriffssimulationstraining:
- Registerkarte "Übersicht": Überprüfen Sie, ob die Registerkarte "Übersicht" ausgewählt ist (dies ist die Standardeinstellung). Oder verwenden Sie https://security.microsoft.com/attacksimulator?viewid=overview, um direkt zur Registerkarte Übersicht zu wechseln.
- Registerkarte Berichte: Wählen Sie die Registerkarte Berichte aus. Oder verwenden Sie https://security.microsoft.com/attacksimulationreport, um direkt zur Registerkarte Berichte zu wechseln.
Die Verteilung von Erkenntnissen auf den Registerkarten wird in der folgenden Tabelle beschrieben:
Bericht | Registerkarte „Übersicht“ | Registerkarte "Berichte" |
---|---|---|
Karte "Aktuelle Simulationen" | ✔ | |
Empfehlungskarte | ✔ | |
Simulationsabdeckungskarte | ✔ | ✔ |
Karte zum Abschluss des Trainings | ✔ | ✔ |
Wiederholungstäterkarte | ✔ | ✔ |
Auswirkungen des Verhaltens auf die Karte mit der Kompromittierungsrate | ✔ | ✔ |
Im restlichen Teil dieses Abschnitts werden die Informationen beschrieben, die auf den Registerkarten Übersicht und Berichte des Angriffssimulationstrainings verfügbar sind.
Karte "Aktuelle Simulationen"
Auf der Karte Zuletzt verwendete Simulationen auf der Registerkarte Übersicht werden die letzten drei Simulationen angezeigt, die Sie in Ihrer Organisation erstellt oder ausgeführt haben.
Sie können eine Simulation auswählen, um Details anzuzeigen.
Wenn Sie Alle Simulationen anzeigen auswählen , gelangen Sie zur Registerkarte Simulationen .
Wenn Sie Simulation starten auswählen , wird der neue Simulations-Assistent gestartet. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender für Office 365.
Empfehlungskarte
Die Karte Empfehlungen auf der Registerkarte Übersicht schlägt verschiedene Arten von Simulationen vor, die ausgeführt werden sollen.
Wenn Sie Jetzt starten auswählen , wird der neue Simulations-Assistent mit dem angegebenen Simulationstyp gestartet, der automatisch auf der Seite Technik auswählen ausgewählt ist. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender für Office 365.
Simulationsabdeckungskarte
Die Karte "Simulationsabdeckung " auf den Registerkarten "Übersicht " und " Berichte " zeigt den Prozentsatz der Benutzer in Ihrer Organisation an, die eine Simulation erhalten haben (simulierte Benutzer) im Vergleich zu Benutzern, die keine Simulation erhalten haben (nicht simulierte Benutzer). Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.
Wenn Sie Simulationsbericht anzeigen auswählen , gelangen Sie zur Registerkarte Benutzerabdeckung für den Bericht Angriffssimulation.
Wenn Sie Simulation für nicht simulierte Benutzer starten auswählen, wird der neue Simulations-Assistent gestartet, in dem die Benutzer, die die Simulation nicht erhalten haben, automatisch auf der Seite Zielbenutzer ausgewählt werden. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs in Defender für Office 365.
Karte zum Abschluss des Trainings
Auf der Karte "Trainingsabschluss " auf den Registerkarten "Übersicht " und " Berichte " werden die Prozentsätze der Benutzer, die Schulungen erhalten haben, basierend auf den Ergebnissen von Simulationen in die folgenden Kategorien unterteilt:
- Abgeschlossen
- In Bearbeitung
- Unvollständig
Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächliche Anzahl der Benutzer in jeder Kategorie anzuzeigen.
Wenn Sie Bericht zum Abschluss des Trainings anzeigen auswählen, gelangen Sie zur Registerkarte Trainingsabschluss für den Angriffssimulationsbericht.
Wiederholungstäterkarte
Auf der Karte Wiederholungstäter auf den Registerkarten Übersicht und Berichte werden die Informationen zu Wiederholungstätern angezeigt. Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen des Angriffssimulationstrainings unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.
Das Diagramm organisiert wiederholte Täterdaten nach Simulationstyp:
- All
- Schadsoftwareanlage
- Link zu Schadsoftware
- Ernte von Anmeldeinformationen
- Verknüpfen in Anlagen
- Drive-by-URL
Wenn Sie Wiederholungstäterbericht anzeigen auswählen, gelangen Sie zur Registerkarte Wiederholungstäter für den Angriffssimulationsbericht.
Auswirkungen des Verhaltens auf die Karte mit der Kompromittierungsrate
Die Karte Auswirkungen auf die Kompromittierungsrate auf den Registerkarten Übersicht und Berichte zeigt, wie Ihre Benutzer im Vergleich zu den Verlaufsdaten in Microsoft 365 auf Ihre Simulationen reagiert haben. Sie können diese Erkenntnisse verwenden, um den Fortschritt bei der Bedrohungsbereitschaft von Benutzern nachzuverfolgen, indem Sie mehrere Simulationen für die gleichen Benutzergruppen ausführen.
Die Diagrammdaten zeigen die folgenden Informationen an:
- Tatsächliche Gefährdungsrate: Der tatsächliche Prozentsatz der Personen, die von der Simulation kompromittiert wurden (tatsächliche Benutzer kompromittiert / Gesamtzahl der Benutzer in Ihrer Organisation, die die Simulation erhalten haben).
- Vorhergesagte Kompromittierungsrate: Verlaufsdaten in Microsoft 365, die den Prozentsatz der Personen vorhersagt, die von dieser Simulation kompromittiert werden. Weitere Informationen zur vorhergesagten Kompromittierungsrate (PREDICTED Compromise Rate, PCR) finden Sie unter Vorhersage der Kompromittierungsrate.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Prozentwerte angezeigt.
Um einen detaillierten Bericht anzuzeigen, wählen Sie Simulationen und Training wirksamkeitsbericht anzeigen aus. Dieser Bericht wird weiter unten in diesem Artikel erläutert.
Angriffssimulationsbericht
Sie können den Angriffssimulationsbericht auf der Registerkarte Übersicht öffnen, indem Sie die Option Ansicht ... auswählen. Berichtsaktionen , die auf einigen der Karten auf den Registerkarten Übersicht und Berichte verfügbar sind, die in diesem Artikel beschrieben werden. Um direkt zur Berichtsseite Angriffssimulation zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulationreport
Registerkarte "Trainingseffizienz" für den Angriffssimulationsbericht
Die Registerkarte Wirksamkeit des Trainings ist standardmäßig auf der Seite Angriffssimulationsbericht ausgewählt. Diese Registerkarte enthält die gleichen Informationen, die in der Karte Auswirkungen auf die Kompromittierungsrate verfügbar sind, mit zusätzlichem Kontext aus der Simulation selbst.
Das Diagramm zeigt die tatsächliche kompromittierte Rate und die vorhergesagte Kompromittierungsrate. Wenn Sie mit dem Mauszeiger auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Prozentwerte für angezeigt.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Simulationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.
- Simulationsname
- Simulationstechnik
- Simulationstaktiken
- Vorhergesagte Kompromittierungsrate
- Tatsächliche kompromittierte Rate
- Gesamtanzahl der Benutzer, die als Ziel verwendet werden
- Anzahl der benutzer, auf die geklickt wurde
Verwenden Sie das Suchfeld , um die Ergebnisse nach Simulationsname oder Simulationstechnik zu filtern. Platzhalter werden nicht unterstützt.
Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Bericht angriffssimulation – Microsoft Defender (1).csv).
Registerkarte "Benutzerabdeckung" für den Bericht "Angriffssimulation"
Auf der Registerkarte Benutzerabdeckung zeigt das Diagramm die simulierten undnicht simulierten Benutzer. Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.
- Username
- E-Mail-Adresse
- In der Simulation enthalten
- Datum der letzten Simulation
- Letztes Simulationsergebnis
- Anzahl der Angeklickten
- Anzahl der kompromittierten
Verwenden Sie das Suchfeld , um die Ergebnisse nach Benutzername oder E-Mail-Adresse zu filtern. Platzhalter werden nicht unterstützt.
Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Bericht angriffssimulation – Microsoft Defender (1).csv).
Registerkarte "Trainingsabschluss" für den Angriffssimulationsbericht
Auf der Registerkarte Trainingsabschluss zeigt das Diagramm die Anzahl der Simulationen Abgeschlossen, In Bearbeitung und Unvollständig an. Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.
- Username
- E-Mail-Adresse
- In der Simulation enthalten
- Datum der letzten Simulation
- Letztes Simulationsergebnis
- Name der zuletzt abgeschlossenen Schulung
- Abgeschlossenes Datum
- Alle Schulungen
Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach den Statuswerten der Trainings zu filtern: Abgeschlossen, In Bearbeitung oder Alle.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Verwenden Sie das Suchfeld , um die Ergebnisse nach Benutzername oder E-Mail-Adresse zu filtern. Platzhalter werden nicht unterstützt.
Wenn Sie die Schaltfläche Bericht exportieren auswählen, wird der Status der Berichtsgenerierung als Prozentsatz der Abgeschlossenen angezeigt. Im daraufhin geöffneten Dialogfeld können Sie die .csv Datei öffnen, die .csv Datei speichern und sich die Auswahl merken.
Registerkarte "Wiederholungstäter" für den Angriffssimulationsbericht
Ein Wiederholungstäter ist ein Benutzer, der durch aufeinanderfolgende Simulationen kompromittiert wurde. Die Standardanzahl von aufeinanderfolgenden Simulationen ist zwei, aber Sie können den Wert auf der Registerkarte Einstellungen des Angriffssimulationstrainings unter https://security.microsoft.com/attacksimulator?viewid=settingändern. Weitere Informationen finden Sie unter Konfigurieren des Schwellenwerts für Wiederholungstäter.
Auf der Registerkarte Wiederholungstäter zeigt das Diagramm die Anzahl von Wiederholungstäterbenutzern und simulierten Benutzern an.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, werden die tatsächlichen Werte angezeigt.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen. Sie können die Informationen sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle verfügbaren Spalten ausgewählt.
- Benutzer
- Simulationstypen
- Simulationen
- E-Mail-Adresse
- Anzahl der letzten Wiederholungen
- Wiederholungsdelikte
- Name der letzten Simulation
- Letztes Simulationsergebnis
- Letzte zugewiesene Schulung
- Letzter Trainingsstatus
Wählen Sie Filter aus, um das Diagramm und die Detailtabelle nach einem oder mehreren Simulationstypwerten zu filtern:
- Ernte von Anmeldeinformationen
- Schadsoftwareanlage
- Link in Anlage
- Link zu Schadsoftware
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Verwenden Sie das Suchfeld , um die Ergebnisse nach einem der Spaltenwerte zu filtern. Platzhalter werden nicht unterstützt.
Verwenden Sie die Schaltfläche Bericht exportieren, um die Informationen in einer CSV-Datei zu speichern. Der Standarddateiname lautet Angriffssimulationsbericht – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits ein exportierter Bericht vorhanden ist, wird der Dateiname erhöht (z. B. Bericht angriffssimulation – Microsoft Defender (1).csv).
Simulationsbericht im Angriffssimulationstraining
Der Simulationsbericht zeigt die Details der laufenden oder abgeschlossenen Simulationen an (der Wert Status lautet In Bearbeitung oder Abgeschlossen). Verwenden Sie eine der folgenden Methoden, um den Simulationsbericht anzuzeigen:
Wählen Sie auf der Registerkarte Übersicht der Seite Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=overvieweine Simulation aus der Karte Zuletzt verwendete Simulationen aus.
Wählen Sie auf der Registerkarte Simulationen der Seite Angriffssimulationstraining unter https://security.microsoft.com/attacksimulator?viewid=simulationseine Simulation aus, indem Sie an einer beliebigen Stelle in der Zeile neben dem Namen auf das Kontrollkästchen klicken. Weitere Informationen finden Sie unter Anzeigen von Simulationsberichten.
- Wählen Sie auf der Registerkarte Training der Angriffssimulationsseite unter https://security.microsoft.com/attacksimulator?viewid=trainingcampaigndie Trainingskampagne mit einer der folgenden Methoden aus:
- Klicken Sie auf eine beliebige Stelle in der Zeile außer dem Kontrollkästchen neben dem Namen.
- Aktivieren Sie das Kontrollkästchen neben dem Namen, und wählen Sie dann Bericht anzeigen aus.
Weitere Informationen finden Sie unter Anzeigen von Trainingskampagnenberichten.
Die berichtsseitige Seite, die geöffnet wird, enthält die Registerkarten Bericht, **Benutzer und Details , die Informationen zur Simulation enthalten. Im restlichen Teil dieses Abschnitts werden die Erkenntnisse und Berichte beschrieben, die auf der Registerkarte Bericht verfügbar sind.
Die Abschnitte auf der Registerkarte Bericht für eine Simulation werden in den folgenden Unterabschnitten beschrieben.
Weitere Informationen zu den Registerkarten Benutzer und Details finden Sie unter den folgenden Links.
- Simulationen:
- Schulungskampagnen:
Simulationsbericht für Simulationen
In diesem Abschnitt werden die Informationen im Simulationsbericht für reguläre Simulationen (nicht für Trainingskampagnen) beschrieben.
Abschnitt "Auswirkungen der Simulation" im Bericht für Simulationen
Der Abschnitt Auswirkungen der Simulation auf der Registerkarte Bericht ** für eine Simulation zeigt die Anzahl und den Prozentsatz der kompromittierten Benutzer und Benutzer, die die Nachricht gemeldet haben .
Wenn Sie auf einen Abschnitt im Diagramm zeigen, werden die tatsächlichen Zahlen für jede Kategorie angezeigt.
Wählen Sie Gefährdete Benutzer anzeigen aus, um zur Registerkarte Benutzer im Bericht zu wechseln, auf der die Ergebnisse nach Kompromittiert: Ja gefiltert werden.
Wählen Sie Benutzer anzeigen aus, die gemeldet haben , um zur Registerkarte Benutzer im Bericht zu wechseln, auf der die Ergebnisse nach Gemeldeter Meldung gefiltert werden: Ja.
Abschnitt "Alle Benutzeraktivitäten" im Bericht für Simulationen
Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht ** für eine Simulation zeigt Zahlen für die möglichen Ergebnisse der Simulation an. Die Informationen variieren je nach Simulationstyp. Zum Beispiel:
- Geklickter Nachrichtenlink oder Anlagenlink oderGeöffnete Anlage
- Angegebene Anmeldeinformationen
- Nachricht lesen
- Nachricht gelöscht
- Antwort auf Nachricht
- Weitergeleitete Nachricht
- Abwesenheit
Wählen Sie Alle Benutzer anzeigen aus, um zur Registerkarte Benutzer in dem Bericht zu wechseln, auf dem die Ergebnisse ungefiltert sind.
Abschnitt "Übermittlungsstatus" im Bericht für Simulationen
Der Abschnitt Übermittlungsstatus auf der Registerkarte Bericht ** für eine Simulation zeigt die Zahlen für die möglichen Zustellungsstatus für die Simulationsnachricht an. Zum Beispiel:
- Nachricht erfolgreich empfangen
- Positive Verstärkungsnachricht übermittelt
- Nur Simulationsnachricht übermittelt
Wählen Sie Benutzer anzeigen aus, für die die Nachrichtenübermittlung nicht erfolgreich war. Wechseln Sie zur Registerkarte Benutzer im Bericht, auf der die Ergebnisse nach Simulation nachrichtenübermittlung: Fehler beim Übermitteln gefiltert werden.
Wählen Sie Ausgeschlossene Benutzer oder Gruppen anzeigen aus, um ein Flyout ausgeschlossene Benutzer oder Gruppen zu öffnen, das die Benutzer oder Gruppen anzeigt, die von der Simulation ausgeschlossen wurden.
Abschnitt zum Abschluss des Trainings im Bericht für Simulationen
Im Abschnitt Trainingsabschluss auf der Seite mit den Simulationsdetails werden die für die Simulation erforderlichen Schulungen und die Anzahl der Benutzer angezeigt, die die Schulungen abgeschlossen haben.
Wenn keine Trainings in die Simulation einbezogen wurden, ist der einzige Wert in diesem Abschnitt Trainings, die nicht Teil dieser Simulation waren.
Erster & Abschnitt der durchschnittlichen Instanz im Bericht für Simulationen
Der Abschnitt First & durchschnittliche Instanz auf der Registerkarte Bericht ** für eine Simulation enthält Informationen über die Zeit, die zum Ausführen bestimmter Aktionen in der Simulation benötigt wurde. Zum Beispiel:
- Erster Link geklickt
- Durchschn. Link geklickt
- Erste eingegebene Anmeldeinformationen
- Durchschn. Eingegebene Anmeldeinformationen
Abschnitt "Empfehlungen" im Bericht für Simulationen
Der Abschnitt Empfehlungen auf der Registerkarte Bericht ** für eine Simulation enthält Empfehlungen für die Verwendung von Angriffssimulationstrainings, um Ihre Organisation zu schützen.
Simulationsbericht für Trainingskampagnen
In diesem Abschnitt werden die Informationen im Simulationsbericht für Trainingskampagnen (keine Simulationen) beschrieben.
Abschnitt zur Klassifizierung des Trainingsabschlusses im Bericht für Trainingskampagnen
Der Abschnitt "Trainingsabschlussklassifizierung " auf der Registerkarte Bericht ** für eine Trainingskampagne enthält Informationen zu den abgeschlossenen Trainingsmodulen in der Trainingskampagne.
Abschnitt "Zusammenfassung des Trainingsabschlusses" im Bericht für Trainingskampagnen
Im Abschnitt Zusammenfassung des Trainingsabschlusses auf der Registerkarte Bericht ** für eine Trainingskampagne werden Balkendiagramme verwendet, die den Fortschritt der zugewiesenen Benutzer durch alle Trainingsmodule in der Kampagne (Anzahl der Benutzer/Gesamtanzahl der Benutzer) anzeigen:
- Abgeschlossen
- In Bearbeitung
- Nicht gestartet
- Nicht abgeschlossen
- Zuvor zugewiesen
Sie können auf einen Abschnitt im Diagramm zeigen, um den tatsächlichen Prozentsatz in jeder Kategorie anzuzeigen.
Abschnitt "Alle Benutzeraktivitäten" im Bericht für Trainingskampagnen
Der Abschnitt Alle Benutzeraktivitäten auf der Registerkarte Bericht ** für eine Trainingskampagne verwendet ein Balkendiagramm, um zu zeigen, wie die Hauptpersonen erfolgreich eine Trainingsbenachrichtigung erhalten haben (Anzahl der Benutzer/Gesamtanzahl der Benutzer).
Sie können auf einen Abschnitt im Diagramm zeigen, um die tatsächlichen Zahlen in jeder Kategorie anzuzeigen.
Anhang
Wenn Sie Informationen aus den Berichten exportieren, enthält die CSV-Datei mehr Informationen, als im Bericht angezeigt werden, auch wenn alle Spalten angezeigt werden. Die Felder werden in der folgenden Tabelle beschrieben.
Tipp
Überprüfen Sie vor dem Export, ob alle verfügbaren Spalten im Bericht sichtbar sind, um eine maximale Anzahl von Informationen zu erhalten.
Feldname | Beschreibung |
---|---|
UserName | Benutzername des Benutzers, der die Aktivität gemacht hat. |
UserMail | E-Mail-Adresse des Benutzers, der die Aktivität gemacht hat. |
Kompromittiert | Gibt an, ob der Benutzer kompromittiert wurde. Die Werte sind Ja oder Nein. |
AttachmentOpened_TimeStamp | Wenn die Anlage geöffnet wurde. |
AttachmentOpened_Browser | Wenn die Anlage in einem Webbrowser geöffnet wurde. Diese Informationen stammen von UserAgent. |
AttachmentOpened_IP | Die IP-Adresse, an der die Anlage geöffnet wurde. Diese Informationen stammen von UserAgent. |
AttachmentOpened_Device | Das Gerät, auf dem die Anlage geöffnet wurde. Diese Informationen stammen von UserAgent. |
AttachmentLinkClicked_TimeStamp | Wenn auf den Anlagelink geklickt wurde. |
AttachmentLinkClicked_Browser | Der Webbrowser, der verwendet wurde, um auf den Anlagelink zu klicken. Diese Informationen stammen von UserAgent. |
AttachmentLinkClicked_IP | Die IP-Adresse, an der auf den Anlagelink geklickt wurde. Diese Informationen stammen von UserAgent. |
AttachmentLinkClicked_Device | Das Gerät, auf das auf den Anlagelink geklickt wurde. Diese Informationen stammen von UserAgent. |
CredSupplied_TimeStamp(Kompromittiert) | Wenn der Benutzer seine Anmeldeinformationen eingegeben hat. |
CredSupplied_Browser | Der Webbrowser, der verwendet wurde, als der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent. |
CredSupplied_IP | Die IP-Adresse, an der der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent. |
CredSupplied_Device | Das Gerät, auf dem der Benutzer seine Anmeldeinformationen eingegeben hat. Diese Informationen stammen von UserAgent. |
SuccessfullyDeliveredEmail_TimeStamp | Wenn die Simulations-E-Mail-Nachricht an den Benutzer übermittelt wurde. |
MessageRead_TimeStamp | Wann die Simulationsmeldung gelesen wurde. |
MessageDeleted_TimeStamp | Wenn die Simulationsmeldung gelöscht wurde. |
MessageReplied_TimeStamp | Wenn der Benutzer auf die Simulationsmeldung geantwortet hat. |
MessageForwarded_TimeStamp | Wenn der Benutzer die Simulationsnachricht weitergeleitet hat. |
OutOfOfficeDays | Bestimmt, ob der Benutzer nicht mehr im Büro ist. Diese Informationen stammen aus der Einstellung Automatische Antworten in Outlook. |
PositiveReinforcementMessageDelivered_TimeStamp | Wenn die positive Bestärkernachricht an den Benutzer übermittelt wurde. |
PositiveReinforcementMessageFailed_TimeStamp | Wenn die positive Verstärkungsmeldung nicht an den Benutzer übermittelt werden konnte. |
JustSimulationMessageDelivered_TimeStamp | Wenn die Simulationsnachricht im Rahmen einer Simulation ohne zugewiesene Trainings an den Benutzer übermittelt wurde (auf der Seite Training zuweisen des assistenten für neue Simulation wurde kein Training ausgewählt). |
JustSimulationMessageFailed_TimeStamp | Wenn die Simulations-E-Mail-Nachricht nicht an den Benutzer übermittelt werden konnte und der Simulation keine Trainings zugewiesen wurden. |
TrainingAssignmentMessageDelivered_TimeStamp | Wenn die Trainingszuweisungsnachricht an den Benutzer übermittelt wurde. Dieser Wert ist leer, wenn in der Simulation keine Trainings zugewiesen wurden. |
TrainingAssignmentMessageFailed_TimeStamp | Wenn die Trainingszuweisungsnachricht nicht an den Benutzer übermittelt werden konnte. Dieser Wert ist leer, wenn in der Simulation keine Trainings zugewiesen wurden. |
FailedToDeliverEmail_TimeStamp | Wenn die Simulations-E-Mail-Nachricht nicht an den Benutzer übermittelt werden konnte. |
Letzte Simulationsaktivität | Die letzte Simulationsaktivität des Benutzers (unabhängig davon, ob er erfolgreich war oder kompromittiert wurde). |
Zugewiesene Schulungen | Die Liste der Trainings, die dem Benutzer im Rahmen der Simulation zugewiesen sind. |
Abgeschlossene Schulungen | Die Liste der Trainings, die der Benutzer im Rahmen der Simulation abgeschlossen hat. |
Trainingsstatus | Der aktuelle Status von Schulungen für den Benutzer im Rahmen der Simulation. |
Gemeldeter Phishing-Fehler | Wenn der Benutzer die Simulationsnachricht als Phishing gemeldet hat. |
Department | Der Wert der Abteilungseigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
Unternehmen | Der Wert der Company-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
Position | Der Title-Eigenschaftswert des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
Office | Der Office-Eigenschaftswert des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
Stadt | Der Wert der City-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
Land | Der Wert der Country-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
Manager | Der Wert der Manager-Eigenschaft des Benutzers in Microsoft Entra ID zum Zeitpunkt der Simulation. |
In der folgenden Tabelle wird beschrieben, wie Benutzeraktivitätssignale erfasst werden.
Feld | Beschreibung | Berechnungslogik |
---|---|---|
DownloadAttachment | Ein Benutzer hat die Anlage heruntergeladen. | Das Signal stammt vom Client (z. B. Outlook oder Word). |
Geöffnete Anlage | Ein Benutzer hat die Anlage geöffnet. | Das Signal stammt vom Client (z. B. Outlook oder Word). |
Nachricht lesen | Der Benutzer liest die Simulationsmeldung. | Nachrichtenlesesignale können in den folgenden Szenarien probleme auftreten:
|
Abwesend | Bestimmt, ob der Benutzer nicht mehr im Büro ist. | Wird derzeit von der Einstellung Automatische Antworten aus Outlook berechnet. |
Kompromittierter Benutzer | Gibt an, ob ein Benutzer kompromittiert wurde. Die Kompromittierungssignale können je nach Angriffstyp variieren. |
|
Geklickter Nachrichtenlink | Gibt an, ob ein Benutzer auf die Nachricht geklickt hat. | Die URL in der Simulation ist für jeden Benutzer eindeutig, sodass die Aktivitätsnachverfolgung einzelner Benutzer möglich ist. Filterdienste von Drittanbietern oder die E-Mail-Weiterleitung können zu falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Ich sehe Klicks oder Kompromittierungsereignisse von Benutzern, die darauf bestehen, dass sie nicht auf den Link in der Simulationsmeldung geklickt haben. |
Weitergeleitete Nachricht | Gibt an, ob ein Benutzer die Nachricht weitergeleitet hat. | |
Antwort auf Nachricht | Gibt an, ob ein Endbenutzer auf die Nachricht geantwortet hat. | |
Nachricht gelöscht | Gibt an, ob ein Endbenutzer die Nachricht gelöscht hat. | Das Signal stammt aus der Outlook-Aktivität des Benutzers. Wenn der Benutzer die Nachricht als Phishing meldet, wird die Nachricht möglicherweise in den Ordner Gelöschte Elemente verschoben, der als Löschvorgang identifiziert wird. |
Gewährte Berechtigungen | Gibt an, ob ein Benutzer berechtigungen bei einem Oauth-basierten Angriff freigegeben hat. |
Links zu verwandten Themen
Erste Schritte mit dem Angriffssimulationstraining