Insights et rapports pour l’entraînement à la simulation d’attaque
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 sur le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.
Dans formation sur la simulation d’attaque dans Microsoft Defender pour Office 365 Plan 2 ou Microsoft 365 E5, Microsoft fournit des informations et des rapports à partir des résultats des simulations et des formations correspondantes. Ces informations vous tiennent informé de la progression de la préparation aux menaces de vos utilisateurs et vous recommandent les étapes suivantes pour mieux préparer vos utilisateurs aux attaques futures.
Les insights et les rapports sont disponibles dans les emplacements suivants sur la page de formation sur la simulation d’attaque du portail Microsoft Defender :
- Idées:
- Onglet Vue d’ensemble sur https://security.microsoft.com/attacksimulator?viewid=overview.
- Onglet Rapports sur https://security.microsoft.com/attacksimulator?viewid=reports.
- Rapports:
- Page rapport de simulation d’attaque à l’adresse https://security.microsoft.com/attacksimulationreport:
- Rapports sur les simulations en cours et terminées et les campagnes de formation : pour plus d’informations, consultez Rapport de simulation d’attaque.
Le reste de cet article décrit les rapports et les insights pour la formation à la simulation d’attaque.
Pour obtenir des informations sur la prise en main de la formation sur la simulation d’attaque, consultez Prise en main de l’apprentissage de simulation d’attaque.
Insights sur les onglets Vue d’ensemble et Rapports de la formation sur la simulation d’attaque
Pour accéder à l’onglet Vue d’ensemble , ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Formation par e-mail & collaboration>simulation d’attaque :
- Onglet Vue d’ensemble : vérifiez que l’onglet Vue d’ensemble est sélectionné (il s’agit de la valeur par défaut). Ou, pour accéder directement à l’onglet Vue d’ensemble , utilisez https://security.microsoft.com/attacksimulator?viewid=overview.
- Onglet Rapports : sélectionnez l’onglet Rapports . Ou, pour accéder directement à l’onglet Rapports , utilisez https://security.microsoft.com/attacksimulationreport.
La distribution des insights sur les onglets est décrite dans le tableau suivant :
Rapport | Onglet Overview | Onglet Rapports |
---|---|---|
Carte simulations récentes | ✔ | |
Carte de recommandations | ✔ | |
Carte de couverture de simulation | ✔ | ✔ |
Carte de fin de formation | ✔ | ✔ |
Carte des récidivistes | ✔ | ✔ |
Impact sur le comportement sur la carte de taux de compromission | ✔ | ✔ |
Le reste de cette section décrit les informations disponibles sous les onglets Vue d’ensemble et Rapports de la formation sur la simulation d’attaque.
Carte simulations récentes
La carte Simulations récentes de l’onglet Vue d’ensemble affiche les trois dernières simulations que vous avez créées ou exécutées dans votre organisation.
Vous pouvez sélectionner une simulation pour afficher les détails.
Si vous sélectionnez Afficher toutes les simulations , vous accédez à l’onglet Simulations .
La sélection de Lancer une simulation démarre le nouvel Assistant simulation. Pour plus d’informations, voir Simuler une attaque par hameçonnage dans Defender pour Office 365.
Carte de recommandations
La carte Recommandations sous l’onglet Vue d’ensemble suggère différents types de simulations à exécuter.
La sélection de Lancer démarre maintenant le nouvel Assistant simulation avec le type de simulation spécifié automatiquement sélectionné dans la page Sélectionner une technique . Pour plus d’informations, voir Simuler une attaque par hameçonnage dans Defender pour Office 365.
Carte de couverture de simulation
La carte Couverture de simulation sous les onglets Vue d’ensemble et Rapports indique le pourcentage d’utilisateurs de votre organisation qui ont reçu une simulation (utilisateurs simulés) par rapport aux utilisateurs qui n’ont pas reçu de simulation (utilisateurs non simulés). Vous pouvez pointer sur une section du graphique pour voir le nombre réel d’utilisateurs dans chaque catégorie.
Si vous sélectionnez Afficher le rapport de couverture de simulation , vous accédez à l’onglet Couverture de l’utilisateur pour le rapport de simulation d’attaque.
La sélection de Lancer la simulation pour les utilisateurs non simulés démarre le nouvel Assistant de simulation, où les utilisateurs qui n’ont pas reçu la simulation sont automatiquement sélectionnés dans la page Utilisateur cible . Pour plus d’informations, voir Simuler une attaque par hameçonnage dans Defender pour Office 365.
Carte de fin de formation
La carte d’achèvement de la formation sous les onglets Vue d’ensemble et Rapports organise les pourcentages d’utilisateurs ayant reçu des formations en fonction des résultats des simulations dans les catégories suivantes :
- Terminée
- En cours
- Incomplet
Vous pouvez pointer sur une section du graphique pour voir le nombre réel d’utilisateurs dans chaque catégorie.
Si vous sélectionnez Afficher le rapport d’achèvement de l’entraînement , vous accédez à l’onglet Achèvement de l’entraînement pour le rapport de simulation d’attaque.
Carte des récidivistes
La carte Récidivistes sous les onglets Vue d’ensemble et Rapports affiche les informations sur les récidivistes. Un récidiviste est un utilisateur qui a été compromis par des simulations consécutives. Le nombre par défaut de simulations consécutives est de deux, mais vous pouvez modifier la valeur sous l’onglet Paramètres de formation à la simulation d’attaque à l’adresse https://security.microsoft.com/attacksimulator?viewid=setting. Pour plus d’informations, consultez Configurer le seuil de récidiviste.
Le graphique organise les données de récidivistes par type de simulation :
- All
- Pièce jointe aux programmes malveillants
- Lien vers un programme malveillant
- Collecte des informations d’identification
- Lien dans les pièces jointes
- URL de lecteur par
Si vous sélectionnez Afficher le rapport sur les récidivistes , vous accédez à l’onglet Récidivistes pour le rapport de simulation d’attaque.
Impact sur le comportement sur la carte de taux de compromission
La carte Impact sur le comportement sur le taux de compromission sous les onglets Vue d’ensemble et Rapports montre comment vos utilisateurs ont répondu à vos simulations par rapport aux données historiques dans Microsoft 365. Vous pouvez utiliser ces insights pour suivre la progression de la préparation des utilisateurs aux menaces en exécutant plusieurs simulations sur les mêmes groupes d’utilisateurs.
Les données du graphique affichent les informations suivantes :
- Taux de compromission réel : pourcentage réel de personnes qui ont été compromises par la simulation (utilisateurs réels compromis / nombre total d’utilisateurs de votre organisation qui ont reçu la simulation).
- Taux de compromission prédit : données historiques dans Microsoft 365 qui prédisent le pourcentage de personnes qui seront compromises par cette simulation. Pour en savoir plus sur le taux de compromission prédit (PCR), consultez Taux de compromission prédit.
Si vous pointez sur un point de données dans le graphique, les valeurs de pourcentage réelles sont affichées.
Pour afficher un rapport détaillé, sélectionnez Afficher les simulations et le rapport d’efficacité de l’entraînement. Ce rapport est expliqué plus loin dans cet article.
Rapport de simulation d’attaque
Vous pouvez ouvrir le rapport de simulation d’attaque à partir de l’onglet Vue d’ensemble en sélectionnant l’option Afficher ... actions de rapport disponibles sur certaines des cartes des onglets Vue d’ensemble et Rapports décrits dans cet article. Pour accéder directement à la page rapport de simulation d’attaque , utilisez https://security.microsoft.com/attacksimulationreport
Onglet Efficacité de l’entraînement pour le rapport de simulation d’attaque
L’onglet Efficacité de l’entraînement est sélectionné par défaut dans la page rapport de simulation d’attaque. Cet onglet fournit les mêmes informations que celles disponibles dans la carte Impact du comportement sur le taux de compromission , avec un contexte supplémentaire de la simulation elle-même.
Le graphique montre le taux compromis réel et le taux de compromission prédit. Si vous pointez sur une section du graphique, les valeurs de pourcentage réelles pour sont affichées.
Le tableau de détails sous le graphique présente les informations suivantes. Vous pouvez trier les simulations en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Par défaut, toutes les colonnes disponibles sont sélectionnées.
- Nom de la simulation
- Technique de simulation
- Tactiques de simulation
- Taux compromis prédit
- Taux réel compromis
- Nombre total d’utilisateurs ciblés
- Nombre d’utilisateurs cliqués
Utilisez la zone de recherche pour filtrer les résultats par nom de simulation ou technique de simulation. Les caractères génériques ne sont pas pris en charge.
Utilisez le bouton Exporter le rapport pour enregistrer les informations dans un fichier CSV. Le nom de fichier par défaut est Rapport de simulation d’attaque - Microsoft Defender.csv, et l’emplacement par défaut est le dossier Téléchargements local. Si un rapport exporté existe déjà à cet emplacement, le nom de fichier est incrémenté (par exemple, rapport de simulation d’attaque - Microsoft Defender (1).csv).
Onglet Couverture utilisateur pour le rapport de simulation d’attaque
Sous l’onglet Couverture de l’utilisateur, le graphique affiche les utilisateurs simulés et les utilisateurs non simulés. Si vous pointez sur un point de données dans le graphique, les valeurs réelles sont affichées.
Le tableau de détails sous le graphique présente les informations suivantes. Vous pouvez trier les informations en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Par défaut, toutes les colonnes disponibles sont sélectionnées.
- Username
- Adresse de messagerie
- Inclus dans la simulation
- Date de la dernière simulation
- Dernier résultat de la simulation
- Nombre de clics cliqués
- Nombre de compromissions
Utilisez la zone De recherche pour filtrer les résultats par nom d’utilisateur ou adresse e-mail. Les caractères génériques ne sont pas pris en charge.
Utilisez le bouton Exporter le rapport pour enregistrer les informations dans un fichier CSV. Le nom de fichier par défaut est Rapport de simulation d’attaque - Microsoft Defender.csv, et l’emplacement par défaut est le dossier Téléchargements local. Si un rapport exporté existe déjà à cet emplacement, le nom de fichier est incrémenté (par exemple, rapport de simulation d’attaque - Microsoft Defender (1).csv).
Onglet Achèvement de la formation pour le rapport de simulation d’attaque
Sous l’onglet Achèvement de la formation, le graphique affiche le nombre de simulations Terminées, En cours et Incomplètes . Si vous pointez sur une section du graphique, les valeurs réelles s’affichent.
Le tableau de détails sous le graphique présente les informations suivantes. Vous pouvez trier les informations en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Par défaut, toutes les colonnes disponibles sont sélectionnées.
- Username
- Adresse de messagerie
- Inclus dans la simulation
- Date de la dernière simulation
- Dernier résultat de la simulation
- Nom de la formation la plus récente terminée
- Date de fin
- Toutes les formations
Sélectionnez Filtrer pour filtrer le graphique et la table de détails en fonction des valeurs Status des formations : Terminé, En cours ou Tout.
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Utilisez la zone De recherche pour filtrer les résultats par nom d’utilisateur ou adresse e-mail. Les caractères génériques ne sont pas pris en charge.
Si vous sélectionnez le bouton Exporter le rapport , la progression de la génération du rapport s’affiche sous la forme d’un pourcentage d’exécution. Dans la boîte de dialogue qui s’ouvre, vous pouvez choisir d’ouvrir le fichier .csv, d’enregistrer le fichier .csv et de mémoriser la sélection.
Onglet Récidivistes pour le rapport de simulation d’attaque
Un récidiviste est un utilisateur qui a été compromis par des simulations consécutives. Le nombre par défaut de simulations consécutives est de deux, mais vous pouvez modifier la valeur sous l’onglet Paramètres de formation à la simulation d’attaque à l’adresse https://security.microsoft.com/attacksimulator?viewid=setting. Pour plus d’informations, consultez Configurer le seuil de récidiviste.
Sous l’onglet Récidivistes , le graphique indique le nombre d’utilisateurs de récidivistes et d’utilisateurssimulés.
Si vous pointez sur un point de données dans le graphique, les valeurs réelles sont affichées.
Le tableau de détails sous le graphique présente les informations suivantes. Vous pouvez trier les informations en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Par défaut, toutes les colonnes disponibles sont sélectionnées.
- Utilisateur
- Types de simulation
- Simulations
- Adresse de messagerie
- Dernier nombre de répétitions
- Récidives
- Nom de la simulation
- Dernier résultat de la simulation
- Dernière formation attribuée
- État du dernier entraînement
Sélectionnez Filtrer pour filtrer le graphique et la table de détails par une ou plusieurs valeurs de type de simulation :
- Collecte des informations d’identification
- Pièce jointe aux programmes malveillants
- Lien dans la pièce jointe
- Lien vers un programme malveillant
Lorsque vous avez terminé de configurer les filtres, sélectionnez Appliquer, Annuler ou Effacer les filtres.
Utilisez la zone De recherche pour filtrer les résultats en fonction de l’une des valeurs de colonne. Les caractères génériques ne sont pas pris en charge.
Utilisez le bouton Exporter le rapport pour enregistrer les informations dans un fichier CSV. Le nom de fichier par défaut est Rapport de simulation d’attaque - Microsoft Defender.csv, et l’emplacement par défaut est le dossier Téléchargements local. Si un rapport exporté existe déjà à cet emplacement, le nom de fichier est incrémenté (par exemple, rapport de simulation d’attaque - Microsoft Defender (1).csv).
Rapport de simulation dans formation à la simulation d’attaque
Le rapport de simulation affiche les détails des simulations en cours ou terminées (la valeur État est En cours ou Terminé). Pour afficher le rapport de simulation, utilisez l’une des méthodes suivantes :
Sous l’onglet Vue d’ensemble de la page Formation à la simulation d’attaque à l’adresse https://security.microsoft.com/attacksimulator?viewid=overview, sélectionnez une simulation dans la carte Simulations récentes.
Sous l’onglet Simulations de la page Formation à la simulation d’attaque à l’adresse https://security.microsoft.com/attacksimulator?viewid=simulations, sélectionnez une simulation en cliquant n’importe où dans la ligne autre que la case à cocher en regard du nom. Pour plus d’informations, consultez Afficher les rapports de simulation.
- Sous l’onglet Formation de la page Formation sur la simulation d’attaque à l’adresse https://security.microsoft.com/attacksimulator?viewid=trainingcampaign, sélectionnez la campagne d’entraînement à l’aide de l’une des méthodes suivantes :
- Cliquez n’importe où dans la ligne autre que la case à cocher en regard du nom.
- Cochez la case en regard du nom, puis sélectionnez Afficher le rapport.
Pour plus d’informations, consultez Afficher les rapports de campagne de formation.
La page de rapport qui s’ouvre contient les onglets Rapport, **Utilisateurs et Détails qui contiennent des informations sur la simulation. Le reste de cette section décrit les insights et les rapports disponibles sous l’onglet Rapport .
Les sections de l’onglet Rapport d’une simulation sont décrites dans les sous-sections suivantes.
Pour plus d’informations sur les onglets Utilisateurs et Détails , consultez les liens suivants.
- Simulations:
- Campagnes de formation :
Rapport de simulation pour les simulations
Cette section décrit les informations contenues dans le rapport de simulation pour les simulations régulières (et non les campagnes de formation).
Section Impact de la simulation dans le rapport pour les simulations
La section Impact de la simulation sous l’onglet Rapport ** d’une simulation indique le nombre et le pourcentage d’utilisateurs compromis et d’utilisateurs ayant signalé le message.
Si vous pointez sur une section du graphique, les nombres réels de chaque catégorie s’affichent.
Sélectionnez Afficher les utilisateurs compromis pour accéder à l’onglet Utilisateurs dans le rapport où les résultats sont filtrés par Compromis : Oui.
Sélectionnez Afficher les utilisateurs qui ont signalé d’accéder à l’onglet Utilisateurs dans le rapport où les résultats sont filtrés par Message signalé : Oui.
Section Toutes les activités des utilisateurs dans le rapport pour les simulations
La section Toutes les activités des utilisateurs sous l’onglet Rapport ** d’une simulation affiche des nombres pour les résultats possibles de la simulation. Les informations varient en fonction du type de simulation. Par exemple :
- Lien de message cliqué ou lien pièce jointe cliqué ou Pièce jointe ouverte
- Informations d’identification fournies
- Lire le message
- Message supprimé
- Réponse au message
- Message transféré
- Absence du bureau
Sélectionnez Afficher tous les utilisateurs pour accéder à l’onglet Utilisateurs dans le rapport où les résultats ne sont pas filtrés.
Section État de la remise dans le rapport pour les simulations
La section État de la remise sous l’onglet Rapport ** d’une simulation affiche les numéros des états de remise possibles pour le message de simulation. Par exemple :
- Message reçu avec succès
- Message de renforcement positif remis
- Juste un message de simulation remis
Sélectionnez Afficher les utilisateurs auxquels la remise des messages n’a pas pu accéder à l’onglet Utilisateurs dans le rapport où les résultats sont filtrés par Simulation de remise de message : Échec de remise.
Sélectionnez Afficher les utilisateurs ou groupes exclus pour ouvrir un menu volant Utilisateurs ou groupes exclus qui affiche les utilisateurs ou groupes exclus de la simulation.
Section Achèvement de la formation dans le rapport pour les simulations
La section Fin de la formation de la page détails de la simulation affiche les formations requises pour la simulation et le nombre d’utilisateurs qui ont terminé les formations.
Si aucune formation n’a été incluse dans la simulation, la seule valeur de cette section est Les formations ne faisaient pas partie de cette simulation.
Première section & instance moyenne du rapport pour les simulations
La section Première instance & moyenne sous l’onglet Rapport ** d’une simulation affiche des informations sur le temps nécessaire pour effectuer des actions spécifiques dans la simulation. Par exemple :
- Premier lien cliqué
- Lien moyen cliqué
- Premières informations d’identification entrées
- Informations d’identification moyenne entrées
Section Recommandations dans le rapport pour les simulations
La section Recommandations de l’onglet Rapport ** pour une simulation affiche des recommandations pour l’utilisation de la formation par simulation d’attaque pour sécuriser votre organisation.
Rapport de simulation pour les campagnes de formation
Cette section décrit les informations contenues dans le rapport de simulation pour les campagnes de formation (et non les simulations).
Section Classification de l’achèvement de la formation dans le rapport sur les campagnes de formation
La section Classification de la fin de la formation sous l’onglet Rapport ** d’une campagne de formation affiche des informations sur les modules de formation terminés dans la campagne de formation.
Section Résumé de l’achèvement de la formation dans le rapport sur les campagnes de formation
La section Résumé de l’achèvement de la formation sous l’onglet Rapport ** pour une campagne de formation utilise des graphiques à barres montrant la progression des utilisateurs affectés dans tous les modules de formation de la campagne (nombre d’utilisateurs/nombre total d’utilisateurs) :
- Terminée
- En cours
- Non commencée
- Non terminé
- Précédemment attribué
Vous pouvez pointer sur une section du graphique pour voir le pourcentage réel dans chaque catégorie.
Section Toutes les activités des utilisateurs dans le rapport pour les campagnes de formation
La section Toutes les activités des utilisateurs sous l’onglet Rapport ** d’une campagne de formation utilise un graphique à barres pour indiquer comment les personnes principales ont reçu une notification d’entraînement (nombre d’utilisateurs/nombre total d’utilisateurs).
Vous pouvez pointer sur une section du graphique pour afficher les nombres réels dans chaque catégorie.
Annexe
Lorsque vous exportez des informations à partir des rapports, le fichier CSV contient plus d’informations que ce qui est affiché dans le rapport, même si toutes les colonnes sont affichées. Les champs sont décrits dans le tableau suivant.
Conseil
Pour obtenir un maximum d’informations, vérifiez que toutes les colonnes disponibles dans le rapport sont visibles avant l’exportation.
Nom du champ | Description |
---|---|
UserName | Nom d’utilisateur de l’utilisateur qui a effectué l’activité. |
UserMail | Adresse e-mail de l’utilisateur qui a effectué l’activité. |
Compromis | Indique si l’utilisateur a été compromis. Les valeurs sont Oui ou Non. |
AttachmentOpened_TimeStamp | Lorsque la pièce jointe a été ouverte. |
AttachmentOpened_Browser | Lorsque la pièce jointe a été ouverte dans un navigateur web. Ces informations proviennent de UserAgent. |
AttachmentOpened_IP | Adresse IP où la pièce jointe a été ouverte. Ces informations proviennent de UserAgent. |
AttachmentOpened_Device | Appareil sur lequel la pièce jointe a été ouverte. Ces informations proviennent de UserAgent. |
AttachmentLinkClicked_TimeStamp | Lorsque l’utilisateur a cliqué sur le lien de la pièce jointe. |
AttachmentLinkClicked_Browser | Navigateur web utilisé pour cliquer sur le lien de pièce jointe. Ces informations proviennent de UserAgent. |
AttachmentLinkClicked_IP | Adresse IP où l’utilisateur a cliqué sur le lien de la pièce jointe. Ces informations proviennent de UserAgent. |
AttachmentLinkClicked_Device | Appareil sur lequel le lien de pièce jointe a été cliqué. Ces informations proviennent de UserAgent. |
CredSupplied_TimeStamp(compromis) | Lorsque l’utilisateur a entré ses informations d’identification. |
CredSupplied_Browser | Navigateur web utilisé lorsque l’utilisateur a entré ses informations d’identification. Ces informations proviennent de UserAgent. |
CredSupplied_IP | Adresse IP où l’utilisateur a entré ses informations d’identification. Ces informations proviennent de UserAgent. |
CredSupplied_Device | Appareil sur lequel l’utilisateur a entré ses informations d’identification. Ces informations proviennent de UserAgent. |
SuccessfullyDeliveredEmail_TimeStamp | Lorsque l’e-mail de simulation a été remis à l’utilisateur. |
MessageRead_TimeStamp | Lorsque le message de simulation a été lu. |
MessageDeleted_TimeStamp | Lorsque le message de simulation a été supprimé. |
MessageReplied_TimeStamp | Quand l’utilisateur a répondu au message de simulation. |
MessageForwarded_TimeStamp | Lorsque l’utilisateur a transféré le message de simulation. |
OutOfOfficeDays | Détermine si l’utilisateur n’est pas au bureau. Ces informations proviennent du paramètre Réponses automatiques dans Outlook. |
PositiveReinforcementMessageDelivered_TimeStamp | Lorsque le message de renforcement positif a été remis à l’utilisateur. |
PositiveReinforcementMessageFailed_TimeStamp | Lorsque le message de renforcement positif n’a pas pu être remis à l’utilisateur. |
JustSimulationMessageDelivered_TimeStamp | Lorsque le message de simulation a été remis à l’utilisateur dans le cadre d’une simulation sans aucune formation affectée (Aucune formation n’a été sélectionnée dans la page Attribuer une formation de l’Assistant Nouvelle simulation). |
JustSimulationMessageFailed_TimeStamp | Lorsque l’e-mail de simulation n’a pas pu être remis à l’utilisateur et qu’aucune formation n’a été attribuée à la simulation. |
TrainingAssignmentMessageDelivered_TimeStamp | Lorsque le message d’affectation d’entraînement a été remis à l’utilisateur. Cette valeur est vide si aucun entraînement n’a été affecté dans la simulation. |
TrainingAssignmentMessageFailed_TimeStamp | Lorsque le message d’affectation d’entraînement n’a pas pu être remis à l’utilisateur. Cette valeur est vide si aucun entraînement n’a été affecté dans la simulation. |
FailedToDeliverEmail_TimeStamp | Lorsque l’e-mail de simulation n’a pas pu être remis à l’utilisateur. |
Dernière activité de simulation | Dernière activité de simulation de l’utilisateur (qu’il soit passé ou compromis). |
Formations attribuées | Liste des formations affectées à l’utilisateur dans le cadre de la simulation. |
Formations terminées | Liste des formations effectuées par l’utilisateur dans le cadre de la simulation. |
État de la formation | État actuel des formations pour l’utilisateur dans le cadre de la simulation. |
Hameçonnage signalé le | Quand l’utilisateur a signalé le message de simulation comme hameçonnage. |
Service | Valeur de la propriété Department de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
Company | Valeur de la propriété Company de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
Titre | Valeur de la propriété Title de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
Office | Valeur de la propriété Office de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
Ville | Valeur de la propriété City de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
Pays | Valeur de propriété Country de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
Responsable | Valeur de la propriété Manager de l’utilisateur dans l’ID Microsoft Entra au moment de la simulation. |
La façon dont les signaux d’activité utilisateur sont capturés est décrite dans le tableau suivant.
Champ | Description | Logique de calcul |
---|---|---|
DownloadAttachment | Un utilisateur a téléchargé la pièce jointe. | Le signal provient du client (par exemple, Outlook ou Word). |
Pièce jointe ouverte | Un utilisateur a ouvert la pièce jointe. | Le signal provient du client (par exemple, Outlook ou Word). |
Lire le message | L’utilisateur a lu le message de simulation. | Les signaux de lecture de message peuvent rencontrer des problèmes dans les scénarios suivants :
|
Absent(e) du bureau | Détermine si l’utilisateur n’est pas au bureau. | Actuellement calculé par le paramètre Réponses automatiques d’Outlook. |
Utilisateur compromis | Indique si un utilisateur a été compromis. Les signaux de compromission peuvent varier en fonction du type d’attaque. |
|
Lien du message cliqué | Indique si un utilisateur a cliqué sur le message. | L’URL de la simulation est unique pour chaque utilisateur, ce qui permet le suivi de l’activité de chaque utilisateur. Les services de filtrage tiers ou le transfert d’e-mails peuvent entraîner des faux positifs. Pour plus d’informations, consultez Je vois les clics ou les événements de compromission d’utilisateurs qui insistent pour ne pas cliquer sur le lien dans le message de simulation. |
Message transféré | Indique si un utilisateur a transféré le message. | |
Réponse au message | Indique si un utilisateur final a répondu au message. | |
Message supprimé | Indique si un utilisateur final a supprimé le message. | Le signal provient de l’activité Outlook de l’utilisateur. Si l’utilisateur signale le message comme hameçonnage, le message peut être déplacé vers le dossier Éléments supprimés, qui est identifié comme une suppression. |
Autorisations octroyées | Indique si un utilisateur a partagé des autorisations dans une attaque basée sur Oauth. |
Liens connexes
Commencer à utiliser la formation à la simulation d’attaque