攻撃シミュレーション トレーニングの分析情報とレポート
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Microsoft Defender for Office 365 Plan 2 または Microsoft 365 E5 の攻撃シミュレーション トレーニングでは、Microsoft はシミュレーションの結果と対応するトレーニングから分析情報とレポートを提供します。 この情報により、ユーザーの脅威の準備の進行状況が通知され、今後の攻撃に対してユーザーをより適切に準備するための次の手順が推奨されます。
分析情報とレポートは、Microsoft Defender ポータルの 攻撃シミュレーション トレーニング ページにある次の場所で利用できます。
- 洞察 力:
- レポート:
- https://security.microsoft.com/attacksimulationreportの攻撃シミュレーション レポート ページ:
- 進行中および完了したシミュレーションとトレーニング キャンペーンのレポート: 詳細については、「 攻撃シミュレーション レポート」を参照してください。
この記事の残りの部分では、攻撃シミュレーション トレーニングのレポートと分析情報について説明します。
攻撃シミュレーション トレーニングを開始するには、「攻撃シミュレーション トレーニングの使用を始める」を参照してください。
攻撃シミュレーション トレーニングの [概要] タブと [レポート] タブに関する分析情報
[ 概要 ] タブに移動するには、 https://security.microsoft.comで Microsoft Defender ポータルを開き、[ Email & collaboration>Attack シミュレーション トレーニングに移動します。
- [概要 ] タブ: [ 概要 ] タブが選択されていることを確認します (既定値)。 または、[ 概要 ] タブに直接移動するには、 https://security.microsoft.com/attacksimulator?viewid=overviewを使用します。
- [レポート] タブ: [レポート] タブを選択します。または、[レポート] タブに直接移動するには、https://security.microsoft.com/attacksimulationreportを使用します。
タブの分析情報の分布については、次の表を参照してください。
| レポート | [概要] タブ | [レポート] タブ |
|---|---|---|
| 最近のシミュレーション カード | ✔ | |
| 推奨事項カード | ✔ | |
| シミュレーション カバレッジ カード | ✔ | ✔ |
| トレーニング完了カード | ✔ | ✔ |
| 繰り返し違反者カード | ✔ | ✔ |
| 侵害率カードに対する動作の影響 | ✔ | ✔ |
このセクションの残りの部分では、攻撃シミュレーション トレーニングの [概要 ] タブと [ レポート] タブで使用できる情報について説明します。
最近のシミュレーション カード
[概要] タブの [最近のシミュレーション] カードには、組織内で作成または実行した最後の 3 つのシミュレーションが表示されます。
シミュレーションを選択して詳細を表示できます。
[ すべてのシミュレーションを表示 ] を選択すると、[ シミュレーション ] タブに移動します。
[ シミュレーションの起動] を 選択すると、新しいシミュレーション ウィザードが起動します。 詳細については、「 Defender for Office 365 でのフィッシング攻撃のシミュレート」を参照してください。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブにある [最近のシミュレーション] カード。](media/attack-sim-training-overview-recent-simulations-card.png#lightbox)
推奨事項カード
[概要] タブの [推奨事項] カードには、実行するさまざまな種類のシミュレーションが表示されます。
[起動] を選択すると、指定したシミュレーションの種類が [手法の選択] ページで自動的に選択された新しいシミュレーション ウィザードが開始されます。 詳細については、「 Defender for Office 365 でのフィッシング攻撃のシミュレート」を参照してください。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブにある [推奨事項] カード。](media/attack-sim-training-overview-recommendations-card.png#lightbox)
シミュレーション カバレッジ カード
[概要] タブと [レポート] タブの [シミュレーション カバレッジ] カードには、シミュレーション (シミュレートされたユーザー) を受け取った組織内のユーザーの割合と、シミュレーションを受け取らなかったユーザー (シミュレートされていないユーザー) が表示されます。 グラフ内のセクションにカーソルを合わせると、各カテゴリの実際のユーザー数を確認できます。
[ シミュレーション カバレッジ レポートの表示 ] を選択すると、 攻撃シミュレーション レポートの [ユーザー カバレッジ] タブに移動します。
シミュレートされていないユーザーに対して [シミュレーションの起動] を選択すると、新しいシミュレーション ウィザードが開始され、シミュレーションを受け取らなかったユーザーが [ターゲット ユーザー] ページで自動的に選択されます。 詳細については、「 Defender for Office 365 でのフィッシング攻撃のシミュレート」を参照してください。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [シミュレーション カバレッジ] カード。](media/attack-sim-training-overview-sim-coverage-card.png#lightbox)
トレーニング完了カード
[概要] タブと [レポート] タブの [トレーニング完了] カードでは、シミュレーションの結果に基づいてトレーニングを受けたユーザーの割合が次のカテゴリに分類されます。
- Completed
- 処理中
- 不完全
グラフ内のセクションにカーソルを合わせると、各カテゴリの実際のユーザー数を確認できます。
[ トレーニング完了レポートの表示 ] を選択すると、 攻撃シミュレーション レポートの [トレーニング完了] タブに移動します。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [トレーニング完了] カード。](media/attack-sim-training-overview-training-complete-card.png#lightbox)
繰り返し違反者カード
[概要] タブと [レポート] タブの [繰り返し違反者] カードには、繰り返し違反者に関する情報が表示されます。 繰り返し違反者は、連続するシミュレーションによって侵害されたユーザーです。 連続するシミュレーションの既定の数は 2 ですが、https://security.microsoft.com/attacksimulator?viewid=settingの攻撃シミュレーション トレーニングの [設定] タブで値を変更できます。 詳細については、「 繰り返し違反者のしきい値を構成する」を参照してください。
グラフは、 シミュレーションの種類別に繰り返し違反データを整理します。
- All
- マルウェアの添付ファイル
- マルウェアへのリンク
- 資格情報の収集
- 添付ファイル内のリンク
- ドライブバイ URL
[ 繰り返し違反者レポートの表示 ] を選択すると、 攻撃シミュレーション レポートの [繰り返し違反者] タブに移動します。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [繰り返し犯罪者] カード](media/attack-sim-training-overview-repeat-offenders-card.png#lightbox)
侵害率カードに対する動作の影響
[概要] タブと [レポート] タブの [侵害率] カードに対する動作の影響は、ユーザーが Microsoft 365 の履歴データと比較してシミュレーションにどのように応答したかを示します。 これらの分析情報を使用すると、同じユーザー グループに対して複数のシミュレーションを実行することで、ユーザーの脅威の準備状況の進行状況を追跡できます。
グラフ データには、次の情報が表示されます。
- 実際の侵害率: シミュレーションによって侵害されたユーザーの実際の割合 (実際のユーザーがセキュリティ侵害を受けたか、シミュレーションを受けた組織内のユーザーの合計数)。
- 予測された侵害率: このシミュレーションによって侵害されるユーザーの割合を予測する Microsoft 365 全体の履歴データ。 予測された侵害率 (PCR) の詳細については、「 予測された侵害率」を参照してください。
グラフ内のデータ ポイントにカーソルを合わせると、実際のパーセンテージ値が表示されます。
詳細なレポートを表示するには、[ シミュレーションとトレーニング効果レポートの表示] を選択します。 このレポートについては、 この記事の後半で説明します。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブの [侵害率に対する動作の影響] カード。](media/attack-sim-training-overview-behavior-impact-card.png#lightbox)
攻撃シミュレーション レポート
[概要] タブで [表示] を選択すると、攻撃シミュレーション レポートを開くことができます。この記事で説明する [概要] タブと [レポート] タブの一部のカードで使用できるレポート アクション。 攻撃シミュレーション レポート ページに直接移動するには、https://security.microsoft.com/attacksimulationreport
攻撃シミュレーション レポートの [トレーニング効果] タブ
攻撃シミュレーション レポート ページでは、[トレーニングの有効性] タブが既定で選択されています。 このタブには、 侵害率 カードに対する動作の影響に関する情報と同じ情報と、シミュレーション自体からの追加のコンテキストが表示されます。
![Microsoft Defender ポータルの攻撃シミュレーション レポートの [トレーニングの有効性] タブ。](media/attack-sim-report-training-efficacy-view.png#lightbox)
グラフには、[ 実際の侵害率 ] と [ 予測された侵害率] が表示されます。 グラフ内のセクションにカーソルを合わせると、 の実際のパーセンテージ値が表示されます。
グラフの下の詳細表は、次の情報を示しています。 使用可能な列ヘッダーをクリックすると、シミュレーションを並べ替えることができます。 [ 
列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。
- シミュレーション名
- シミュレーション手法
- シミュレーションの戦術
- 侵害率の予測
- 実際の侵害率
- 対象となるユーザーの総数
- クリックされたユーザーの数
[ 
検索 ] ボックスを使用して、 シミュレーション名 または シミュレーション手法で結果をフィルター処理します。 ワイルドカードはサポートされていません。
[レポートの 
エクスポート ] ボタンを使用して、情報を CSV ファイルに保存します。 既定のファイル名は攻撃シミュレーション レポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名がインクリメントされます (たとえば、攻撃シミュレーション レポート - Microsoft Defender (1).csv)。
攻撃シミュレーション レポートの [ユーザー カバレッジ] タブ
[ ユーザー カバレッジ ] タブのグラフには、[ シミュレートされたユーザー ] と [ シミュレートされていないユーザー] が表示されます。 グラフ内のデータ ポイントにカーソルを合わせると、実際の値が表示されます。
![Microsoft Defender ポータルの攻撃シミュレーション レポートの [ユーザー カバレッジ] タブ。](media/attack-sim-report-user-coverage-view.png#lightbox)
グラフの下の詳細表は、次の情報を示しています。 情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。
- Username
- 電子メール アドレス
- シミュレーションに含まれる
- 前回のシミュレーションの日付
- 最後のシミュレーション結果
- クリックされた数
- 侵害された数
[ 検索 ] ボックスを使用して、 ユーザー名 または 電子メール アドレスで結果をフィルター処理します。 ワイルドカードはサポートされていません。
[レポートの エクスポート ] ボタンを使用して、情報を CSV ファイルに保存します。 既定のファイル名は攻撃シミュレーション レポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名がインクリメントされます (たとえば、攻撃シミュレーション レポート - Microsoft Defender (1).csv)。
攻撃シミュレーション レポートの [トレーニング完了] タブ
[ トレーニング完了 ] タブのグラフには、[ 完了]、[ 進行中]、[ 不完全な シミュレーション] の数が表示されます。 グラフ内のセクションにカーソルを合わせると、実際の値が表示されます。
![Microsoft Defender ポータルの攻撃シミュレーション レポートの [トレーニング完了] タブ。](media/attack-sim-report-training-completion-view.png#lightbox)
グラフの下の詳細表は、次の情報を示しています。 情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。
- Username
- 電子メール アドレス
- シミュレーションに含まれる
- 前回のシミュレーションの日付
- 最後のシミュレーション結果
- 完了した最新のトレーニングの名前
- 完了日
- すべてのトレーニング
[ 
Filter] を選択して、トレーニングの [状態] 値 ( [完了]、[ 進行中]、または [すべて]) でグラフと詳細テーブルをフィルター処理します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ 
クリア フィルター] を選択します。
[ 検索 ] ボックスを使用して、 ユーザー名 または 電子メール アドレスで結果をフィルター処理します。 ワイルドカードはサポートされていません。
[レポートのエクスポート] ボタンを選択すると、レポート生成の進行状況が完了の割合として表示されます。 開いたダイアログで、.csv ファイルを開き、.csv ファイルを保存し、選択内容を覚えておくことができます。
攻撃シミュレーション レポートの [繰り返し違反者] タブ
繰り返し違反者は、連続するシミュレーションによって侵害されたユーザーです。 連続するシミュレーションの既定の数は 2 ですが、https://security.microsoft.com/attacksimulator?viewid=settingの攻撃シミュレーション トレーニングの [設定] タブで値を変更できます。 詳細については、「 繰り返し違反者のしきい値を構成する」を参照してください。
[ 繰り返し違反者 ] タブのグラフには、 繰り返し違反者ユーザー と シミュレートされたユーザーの数が表示されます。
![Microsoft Defender ポータルの攻撃シミュレーション レポートの [繰り返し違反者] タブ。](media/attack-sim-report-repeat-offenders-view.png#lightbox)
グラフ内のデータ ポイントにカーソルを合わせると、実際の値が表示されます。
グラフの下の詳細表は、次の情報を示しています。 情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。
- ユーザー
- シミュレーションの種類
- シミュレーション
- 電子メール アドレス
- 最後の繰り返し数
- 繰り返し犯罪
- 最後のシミュレーション名
- 最後のシミュレーション結果
- 最後に割り当てられたトレーニング
- 最後のトレーニング状態
[ フィルター] を選択して、グラフと詳細テーブルを 1 つ以上のシミュレーションの種類の値でフィルター処理します。
- 資格情報の収集
- マルウェアの添付ファイル
- 添付ファイルのリンク
- マルウェアへのリンク
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 検索 ] ボックスを使用して、列の値のいずれかで結果をフィルター処理します。 ワイルドカードはサポートされていません。
[レポートの エクスポート ] ボタンを使用して、情報を CSV ファイルに保存します。 既定のファイル名は攻撃シミュレーション レポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名がインクリメントされます (たとえば、攻撃シミュレーション レポート - Microsoft Defender (1).csv)。
攻撃シミュレーション トレーニングのシミュレーション レポート
シミュレーション レポートには、進行中または完了したシミュレーションの詳細が表示されます ( [状態] の値は [進行中] または [完了] です)。 シミュレーション レポートを表示するには、次のいずれかの方法を使用します。
https://security.microsoft.com/attacksimulator?viewid=overviewの [攻撃シミュレーション トレーニング] ページの [概要] タブで、[最近のシミュレーション] カードからシミュレーションを選択します。
![Microsoft Defender ポータルの攻撃シミュレーション トレーニングの [概要] タブにある [最近のシミュレーション] カード。](media/attack-sim-training-overview-recent-simulations-card.png)
https://security.microsoft.com/attacksimulator?viewid=simulationsの [攻撃シミュレーション トレーニング] ページの [シミュレーション] タブで、名前の横にあるチェック ボックス以外の行の任意の場所をクリックしてシミュレーションを選択します。 詳細については、「 シミュレーション レポートの表示」を参照してください。
- https://security.microsoft.com/attacksimulator?viewid=trainingcampaignの [攻撃シミュレーション トレーニング] ページの [トレーニング] タブで、次のいずれかの方法を使用してトレーニング キャンペーンを選択します。
- 名前の横にあるチェック ボックス以外の行の任意の場所をクリックします。
- 名前の横にあるチェック ボックスをオンにし、[レポートの表示]
選択します。
詳細については、「 トレーニング キャンペーン レポートを表示する」を参照してください。
開いたレポート ページには、シミュレーションに関する情報を含む レポート、**ユーザー、および 詳細 タブが含まれています。 このセクションの残りの部分では、[レポート] タブで使用できる分析情報と レポート について説明します。
シミュレーションの [ レポート ] タブのセクションについては、次のサブセクションで説明します。
[ユーザー] タブと [詳細] タブの詳細については、次のリンクを参照してください。
シミュレーションのシミュレーション レポート
このセクションでは、( トレーニング キャンペーンではなく) 通常のシミュレーションのシミュレーション レポートの情報について説明します。
![攻撃シミュレーション トレーニングのシミュレーション レポートの [レポート] タブ。](media/attack-sim-report-simulation-report-tab.png#lightbox)
シミュレーションのレポートのシミュレーション影響セクション
シミュレーションの [レポート] タブ ** の [シミュレーションの影響] セクションには、メッセージを報告した侵害されたユーザーとユーザーの数と割合が表示されます。
グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の数値が表示されます。
[ 侵害されたユーザーの表示 ] を選択して、レポートの [ユーザー] タブ タブに移動します。結果は [侵害: はい] でフィルター処理されます。
レポートの [ユーザー] タブに移動するには、[報告されたユーザーの表示] を選択します。結果は [報告されたメッセージ: はい] でフィルター処理されます。
![シミュレーションのシミュレーション レポートの [レポート] タブにある [シミュレーションの影響] セクション。](media/attack-sim-report-simulation-report-tab-simulation-impact.png#lightbox)
シミュレーションのレポート内のすべてのユーザー アクティビティ セクション
シミュレーションの [レポート] タブ** の [すべてのユーザー アクティビティ] セクションには、シミュレーションの可能な結果の数値が表示されます。 情報は、シミュレーションの種類によって異なります。 例:
- クリックされたメッセージ リンクまたは [添付ファイル] リンクがクリックされたか、添付ファイルが開いた
- 指定された資格情報
- メッセージの読み取り
- メッセージの削除
- メッセージに返信済み
- 転送されたメッセージ
- 不在時
[ すべてのユーザーを表示 ] を選択して、結果がフィルター処理されないレポートの [ユーザー] タブ タブに移動します。
![シミュレーションのシミュレーション レポートの [レポート] タブの [すべてのユーザー アクティビティ] セクション。](media/attack-sim-report-simulation-report-tab-all-user-activity.png#lightbox)
シミュレーションのレポートの配信状態セクション
シミュレーションの [レポート] タブ ** の [配信状態] セクションには、シミュレーション メッセージで使用可能な配信状態の数値が表示されます。 例:
- 正常に受信されたメッセージ
- 肯定的な強化メッセージが配信されました
- シミュレーション メッセージの配信のみ
[ メッセージ配信に失敗したユーザーの表示 ] を選択すると、レポートの [ユーザー] タブ に移動し、結果が [シミュレーション メッセージ配信: 配信に失敗しました] でフィルター処理されます。
[ 除外されたユーザーまたはグループの表示 ] を選択して、シミュレーションから除外 されたユーザーまたはグループ を表示する [除外されたユーザーまたはグループ] ポップアップを開きます。
![シミュレーションのシミュレーション レポートの [レポート] タブの [配信状態] セクション。](media/attack-sim-report-simulation-report-tab-delivery-status.png#lightbox)
シミュレーションのレポートのトレーニング完了セクション
シミュレーションの詳細ページの [ トレーニングの完了 ] セクションには、シミュレーションに必要なトレーニングと、トレーニングを完了したユーザーの数が表示されます。
シミュレーションにトレーニングが含まれていない場合、このセクションの唯一の値は 、このシミュレーションの一部ではなかったトレーニングです。
![シミュレーションのシミュレーション レポートの [レポート] タブの [トレーニング完了] セクション。](media/attack-sim-report-simulation-report-tab-training-completion.png#lightbox)
シミュレーションのレポートの最初の & 平均インスタンス セクション
シミュレーションの [レポート] タブ** の [最初の & 平均インスタンス] セクションには、シミュレーションで特定のアクションを実行するのにかかった時間に関する情報が表示されます。 例:
- 最初のリンクがクリックされました
- [Avg. link]\(平均\) リンクがクリックされました
- 最初に入力された資格情報
- [Avg. credential]\(平均\) 資格情報が入力されました
![シミュレーションのシミュレーション レポートの [レポート] タブにある [最初の & の平均インスタンス] セクション。](media/attack-sim-report-simulation-report-tab-first-and-average-instances.png#lightbox)
シミュレーションのレポートの [推奨事項] セクション
シミュレーションの [レポート] タブ ** の [推奨事項] セクションには、組織のセキュリティ保護に役立つ攻撃シミュレーション トレーニングを使用するための推奨事項が表示されます。
![シミュレーションのシミュレーション レポートの [レポート] タブの [推奨事項] セクション。](media/attack-sim-report-simulation-report-tab-recommendations.png#lightbox)
トレーニング キャンペーンのシミュレーション レポート
このセクションでは、(シミュレーションではなく) トレーニング キャンペーンのシミュレーション レポートの情報について説明 します。
![攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブ。](media/attack-sim-report-training-campaign-report-tab.png#lightbox)
トレーニング キャンペーンのレポートのトレーニング完了分類セクション
トレーニング キャンペーンの [レポート] タブ** の [トレーニング完了分類] セクションには、トレーニング キャンペーンで完了したトレーニング モジュールに関する情報が表示されます。
![攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブの [トレーニング完了分類] セクション。](media/attack-sim-report-training-campaign-report-tab-training-completion-classification.png#lightbox)
トレーニング キャンペーンのレポートのトレーニング完了の概要セクション
トレーニング キャンペーンの [レポート] タブ** の [トレーニング完了の概要] セクションでは、棒グラフを使用して、キャンペーン内のすべてのトレーニング モジュールを通じて割り当てられたユーザーの進行状況 (ユーザー数/ユーザー総数) を示します。
- Completed
- 処理中
- [未開始]
- 完了していない
- 以前に割り当て済み
グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の割合を確認できます。
![攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブの [トレーニング完了の概要] セクション。](media/attack-sim-report-training-campaign-report-tab-training-completion-summary.png#lightbox)
トレーニング キャンペーンのレポートのすべてのユーザー アクティビティ セクション
トレーニング キャンペーンの [レポート] タブ** の [すべてのユーザー アクティビティ] セクションでは、棒グラフを使用して、メインのユーザーがトレーニング通知を正常に受け取った方法 (ユーザー数/ユーザー総数) を示します。
グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の数値を確認できます。
![攻撃シミュレーション トレーニングのトレーニング キャンペーン レポートの [レポート] タブの [すべてのユーザー アクティビティ] セクション。](media/attack-sim-report-training-campaign-report-tab-all-user-activity.png#lightbox)
付録
レポートから情報をエクスポートすると、CSV ファイルには、すべての列が表示されている場合でも、レポートに表示される情報よりも多くの情報が含まれます。 フィールドについては、次の表を参照してください。
ヒント
詳細については、エクスポートする前に、レポートで使用可能なすべての列が表示されていることを確認します。
| フィールドの名前 | 説明 |
|---|---|
| UserName | アクティビティを実行したユーザーのユーザー名。 |
| UserMail | アクティビティを行ったユーザーの電子メール アドレス。 |
| セキュリティ侵害 | ユーザーが侵害されたかどうかを示します。 値は [はい] または [いいえ] です。 |
| AttachmentOpened_TimeStamp | 添付ファイルを開いたとき。 |
| AttachmentOpened_Browser | Web ブラウザーで添付ファイルを開いたとき。 この情報は UserAgent から取得されます。 |
| AttachmentOpened_IP | 添付ファイルが開かれた IP アドレス。 この情報は UserAgent から取得されます。 |
| AttachmentOpened_Device | 添付ファイルが開かれたデバイス。 この情報は UserAgent から取得されます。 |
| AttachmentLinkClicked_TimeStamp | 添付ファイルのリンクがクリックされたとき。 |
| AttachmentLinkClicked_Browser | 添付ファイルのリンクをクリックするために使用された Web ブラウザー。 この情報は UserAgent から取得されます。 |
| AttachmentLinkClicked_IP | 添付ファイルリンクがクリックされた IP アドレス。 この情報は UserAgent から取得されます。 |
| AttachmentLinkClicked_Device | 添付ファイルリンクがクリックされたデバイス。 この情報は UserAgent から取得されます。 |
| CredSupplied_TimeStamp(Compromised) | ユーザーが資格情報を入力したとき。 |
| CredSupplied_Browser | ユーザーが資格情報を入力したときに使用された Web ブラウザー。 この情報は UserAgent から取得されます。 |
| CredSupplied_IP | ユーザーが資格情報を入力した IP アドレス。 この情報は UserAgent から取得されます。 |
| CredSupplied_Device | ユーザーが資格情報を入力したデバイス。 この情報は UserAgent から取得されます。 |
| SuccessfullyDeliveredEmail_TimeStamp | シミュレーション電子メール メッセージがユーザーに配信されたとき。 |
| MessageRead_TimeStamp | シミュレーション メッセージが読み取られたとき。 |
| MessageDeleted_TimeStamp | シミュレーション メッセージが削除されたとき。 |
| MessageReplied_TimeStamp | ユーザーがシミュレーション メッセージに返信したとき。 |
| MessageForwarded_TimeStamp | ユーザーがシミュレーション メッセージを転送したとき。 |
| OutOfOfficeDays | ユーザーが不在かどうかを判断します。 この情報は、Outlook の [自動応答] 設定から取得されます。 |
| PositiveReinforcementMessageDelivered_TimeStamp | 肯定的な強化メッセージがユーザーに配信されたとき。 |
| PositiveReinforcementMessageFailed_TimeStamp | 肯定的な強化メッセージがユーザーに配信できなかった場合。 |
| JustSimulationMessageDelivered_TimeStamp | トレーニングが割り当てられていないシミュレーションの一部としてシミュレーション メッセージがユーザーに配信されたとき (新しいシミュレーション ウィザードの [トレーニングの割り当て] ページでトレーニングが選択されていません)。 |
| JustSimulationMessageFailed_TimeStamp | シミュレーション電子メール メッセージがユーザーに配信されに失敗し、シミュレーションにトレーニングが割り当てられていない場合。 |
| TrainingAssignmentMessageDelivered_TimeStamp | トレーニング割り当てメッセージがユーザーに配信されたとき。 シミュレーションでトレーニングが割り当てられていない場合、この値は空です。 |
| TrainingAssignmentMessageFailed_TimeStamp | トレーニング割り当てメッセージがユーザーに配信できなかった場合。 シミュレーションでトレーニングが割り当てられていない場合、この値は空です。 |
| FailedToDeliverEmail_TimeStamp | シミュレーション電子メール メッセージがユーザーに配信できなかった場合。 |
| 最後のシミュレーション アクティビティ | ユーザーの最後のシミュレーション アクティビティ (ユーザーが合格したか侵害されたか)。 |
| 割り当てられたトレーニング | シミュレーションの一部としてユーザーに割り当てられたトレーニングの一覧。 |
| 完了したトレーニング | ユーザーがシミュレーションの一部として完了したトレーニングの一覧。 |
| トレーニングの状態 | シミュレーションの一部としてのユーザーのトレーニングの現在の状態。 |
| フィッシング報告日 | ユーザーがシミュレーション メッセージをフィッシングとして報告したとき。 |
| 部署 | シミュレーション時の Microsoft Entra ID のユーザーの Department プロパティ値。 |
| Company | シミュレーション時の Microsoft Entra ID のユーザーの Company プロパティ値。 |
| タイトル | シミュレーション時の Microsoft Entra ID のユーザーの Title プロパティ値。 |
| 事業所 | シミュレーション時の Microsoft Entra ID のユーザーの Office プロパティ値。 |
| 市区町村 | シミュレーション時の Microsoft Entra ID のユーザーの City プロパティ値。 |
| 国 | シミュレーション時の Microsoft Entra ID のユーザーの Country プロパティ値。 |
| Manager | シミュレーション時の Microsoft Entra ID のユーザーの Manager プロパティ値。 |
ユーザー アクティビティシグナルのキャプチャ方法については、次の表を参照してください。
| フィールド | 説明 | 計算ロジック |
|---|---|---|
| DownloadAttachment | ユーザーが添付ファイルをダウンロードしました。 | シグナルはクライアント (Outlook や Word など) から送信されます。 |
| 開かれた添付ファイル | ユーザーが添付ファイルを開いた。 | シグナルはクライアント (Outlook や Word など) から送信されます。 |
| メッセージの読み取り | ユーザーはシミュレーション メッセージを読み取ります。 | メッセージ読み取りシグナルでは、次のシナリオで問題が発生する可能性があります。
|
| 外出中 | ユーザーが不在かどうかを判断します。 | 現在、Outlook の [自動応答] 設定によって計算されます。 |
| 侵害されたユーザー | ユーザーが侵害されたかどうかを示します。 侵害シグナルは、攻撃の種類によって異なる場合があります。 |
|
| クリックされたメッセージ リンク | ユーザーがメッセージをクリックしたかどうかを示します。 | シミュレーションの URL はユーザーごとに一意であり、個々のユーザー アクティビティの追跡が可能です。 サード パーティのフィルタリング サービスまたは電子メール転送は、誤検知につながる可能性があります。 詳細については、「 シミュレーション メッセージでリンクをクリックしなかったと主張するユーザーからのクリックまたは侵害イベントが表示される」を参照してください。 |
| 転送されたメッセージ | ユーザーがメッセージに転送されたかどうかを示します。 | |
| メッセージに返信しました | エンド ユーザーがメッセージに対して返信したかどうかを示します。 | |
| メッセージの削除 | エンド ユーザーがメッセージを削除したかどうかを示します。 | シグナルは、ユーザーの Outlook アクティビティから取得されます。 ユーザーがメッセージをフィッシングとして報告した場合、メッセージは削除済みアイテム フォルダーに移動される可能性があります。これは削除として識別されます。 |
| 付与されるアクセス許可 | Oauth ベースの攻撃でユーザーがアクセス許可を共有しているかどうかを示します。 |
関連リンク
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示