Szczegółowe informacje i raporty dotyczące Szkolenie z symulacji ataków

W Szkolenie z symulacji ataków w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 lub Microsoft 365 E5 firma Microsoft udostępnia szczegółowe informacje i raporty z wyników symulacji i odpowiednich szkoleń. Te informacje informują o postępie gotowości użytkowników do zagrożeń i zalecają kolejne kroki, aby lepiej przygotować użytkowników do przyszłych ataków.

Szczegółowe informacje i raporty są dostępne w następujących lokalizacjach na stronie Szkolenie z symulacji ataków w portalu Microsoft Defender:

• Spostrzeżenia:
  • Karta Przegląd w witrynie https://security.microsoft.com/attacksimulator?viewid=overview.
  • Karta Raporty pod adresem https://security.microsoft.com/attacksimulator?viewid=reports.
• Raporty:
  • Strona raportu symulacji ataku pod adresem https://security.microsoft.com/attacksimulationreport:
    • Karta Skuteczność trenowania
    • Karta Pokrycie użytkowników
    • Karta Ukończenie trenowania
    • Karta Recydywistów
  • Raporty dotyczące w toku i ukończonych symulacji oraz kampanii szkoleniowych: Aby uzyskać więcej informacji, zobacz Raport symulacji ataków.

W pozostałej części tego artykułu opisano raporty i szczegółowe informacje dotyczące Szkolenie z symulacji ataków.

Aby uzyskać informacje o Szkolenie z symulacji ataków, zobacz Wprowadzenie do Szkolenie z symulacji ataków.

Szczegółowe informacje na kartach Przegląd i raporty Szkolenie z symulacji ataków

Aby przejść do karty Przegląd, otwórz portal Microsoft Defender pod adresem https://security.microsoft.com, przejdź do Email & współpracy>Szkolenie z symulacji ataków:

• Karta Przegląd : sprawdź, czy wybrano kartę Przegląd (jest to ustawienie domyślne). Aby przejść bezpośrednio do karty Przegląd , użyj polecenia https://security.microsoft.com/attacksimulator?viewid=overview.
• Karta Raporty: wybierz kartę Raporty. Aby przejść bezpośrednio do karty Raporty, użyj polecenia https://security.microsoft.com/attacksimulationreport.

Rozkład szczegółowych informacji na kartach jest opisany w poniższej tabeli:

Raport	Karta Przegląd	Karta Raporty
Karta Ostatnio używane symulacje	✔
Karta rekomendacji	✔
Karta pokrycia symulacji	✔	✔
Karta ukończenia szkolenia	✔	✔
Karta recydywistów	✔	✔
Wpływ zachowania na kartę szybkości naruszenia zabezpieczeń	✔	✔

W pozostałej części tej sekcji opisano informacje dostępne na kartach Przegląd i raporty Szkolenie z symulacji ataków.

Karta Ostatnio używane symulacje

Karta Ostatnie symulacje na karcie Przegląd przedstawia trzy ostatnie symulacje utworzone lub uruchomione w organizacji.

Możesz wybrać symulację, aby wyświetlić szczegóły.

Wybranie pozycji Wyświetl wszystkie symulacje spowoduje przejście na kartę Symulacje .

Wybranie pozycji Uruchom symulację powoduje uruchomienie nowego kreatora symulacji. Aby uzyskać więcej informacji, zobacz Symulowanie ataku wyłudzania informacji w Ochrona usługi Office 365 w usłudze Defender.

Karta rekomendacji

Karta Zalecenia na karcie Przegląd sugeruje różne typy symulacji do uruchomienia.

Wybranie pozycji Uruchom teraz powoduje uruchomienie nowego kreatora symulacji z wybranym automatycznie określonym typem symulacji na stronie Wybieranie techniki . Aby uzyskać więcej informacji, zobacz Symulowanie ataku wyłudzania informacji w Ochrona usługi Office 365 w usłudze Defender.

Karta pokrycia symulacji

Karta Pokrycie symulacji na kartach Przegląd i raporty pokazuje odsetek użytkowników w organizacji, którzy otrzymali symulację (symulowanych użytkowników) w porównaniu z użytkownikami, którzy nie otrzymali symulacji (użytkownicy niesymulowane). Możesz zatrzymać kursor nad sekcją na wykresie, aby zobaczyć rzeczywistą liczbę użytkowników w każdej kategorii.

Wybranie pozycji Wyświetl raport pokrycia symulacji spowoduje przejście do karty Pokrycie użytkownika dla raportu symulacji ataku.

Wybranie pozycji Uruchom symulację dla niesymulowanych użytkowników powoduje uruchomienie nowego kreatora symulacji, w którym użytkownicy, którzy nie otrzymali symulacji, są automatycznie wybierani na stronie Użytkownik docelowy . Aby uzyskać więcej informacji, zobacz Symulowanie ataku wyłudzania informacji w Ochrona usługi Office 365 w usłudze Defender.

Karta ukończenia szkolenia

Karta Ukończenie szkolenia na kartach Przegląd i raporty organizuje procent użytkowników, którzy otrzymali szkolenia na podstawie wyników symulacji, w następujących kategoriach:

• Zakończone
• W toku
• Niekompletna

Możesz zatrzymać kursor nad sekcją na wykresie, aby zobaczyć rzeczywistą liczbę użytkowników w każdej kategorii.

Wybranie pozycji Wyświetl raport ukończenia trenowania spowoduje przejście do karty Ukończenie szkolenia dla raportu symulacji ataku.

Karta recydywistów

Karta Recydywistów na kartach Przegląd i Raporty pokazuje informacje o recydywistach. Recydywista jest użytkownikiem, który został naruszony przez kolejne symulacje. Domyślna liczba kolejnych symulacji to dwie, ale możesz zmienić wartość na karcie Ustawienia Szkolenie z symulacji ataków na .https://security.microsoft.com/attacksimulator?viewid=setting Aby uzyskać więcej informacji, zobacz Konfigurowanie progu recydywisty.

Wykres organizuje dane recydywisty według typu symulacji:

• Cały
• Załącznik złośliwego oprogramowania
• Link do złośliwego oprogramowania
• Zbieranie poświadczeń
• Link w załącznikach
• Drive-by URL

Wybranie pozycji Wyświetl raport recydywisty spowoduje przejście do karty Recydywisty dla raportu symulacji ataku.

Wpływ zachowania na kartę szybkości naruszenia zabezpieczeń

Karta Zachowanie dotyczące szybkości naruszenia zabezpieczeń na kartach Przegląd i raporty pokazuje, jak użytkownicy reagowali na symulacje w porównaniu z danymi historycznymi w usłudze Microsoft 365. Możesz użyć tych szczegółowych informacji, aby śledzić postęp gotowości użytkowników na zagrożenia, uruchamiając wiele symulacji dla tych samych grup użytkowników.

Dane wykresu zawierają następujące informacje:

• Rzeczywisty wskaźnik kompromisu: rzeczywisty odsetek osób, których zabezpieczenia zostały naruszone przez symulację (rzeczywisti użytkownicy naruszyli bezpieczeństwo /całkowita liczba użytkowników w organizacji, którzy otrzymali symulację).
• Przewidywany wskaźnik kompromisów: dane historyczne na platformie Microsoft 365, które przewidują odsetek osób, które zostaną naruszone przez tę symulację. Aby dowiedzieć się więcej na temat przewidywanego wskaźnika kompromisów (PCR), zobacz Przewidywany wskaźnik kompromisów.

Jeśli umieścisz kursor nad punktem danych na wykresie, zostaną wyświetlone rzeczywiste wartości procentowe.

Aby wyświetlić szczegółowy raport, wybierz pozycję Wyświetl symulacje i raport skuteczności trenowania. Ten raport został wyjaśniony w dalszej części tego artykułu.

Raport symulacji ataku

Raport Symulacja ataku można otworzyć na karcie Przegląd , wybierając pozycję Wyświetl ... akcje raportu , które są dostępne na niektórych kartach na kartach Przegląd i Raporty , które zostały opisane w tym artykule. Aby przejść bezpośrednio do strony raportu symulacji ataków , użyj polecenia https://security.microsoft.com/attacksimulationreport

Karta Skuteczność trenowania dla raportu symulacji ataków

Karta Skuteczność trenowania jest domyślnie wybrana na stronie raportu symulacji ataku . Ta karta zawiera te same informacje, które są dostępne w karcie Wpływ zachowania na kartę szybkości naruszenia zabezpieczeń , z dodatkowym kontekstem z samej symulacji.

Na wykresie przedstawiono rzeczywistą szybkość naruszenia zabezpieczeń i przewidywaną szybkość kompromisu. Jeśli umieścisz kursor nad sekcją na wykresie, zostaną wyświetlone rzeczywiste wartości procentowe.

Poniższa tabela szczegółów zawiera następujące informacje. Symulacje można sortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Domyślnie są zaznaczone wszystkie dostępne kolumny.

• Nazwa symulacji
• Technika symulacji
• Taktyka symulacji
• Przewidywana szybkość naruszona
• Rzeczywista szybkość naruszona
• Łączna liczba docelowych użytkowników
• Liczba klikniętych użytkowników

Użyj pola Wyszukiwania, aby filtrować wyniki według nazwy symulacji lub techniki symulacji. Symbole wieloznaczne nie są obsługiwane.

Użyj przycisku Eksportuj raport , aby zapisać informacje w pliku CSV. Domyślną nazwą pliku jest raport symulacji ataku — Microsoft Defender.csv, a domyślną lokalizacją jest lokalny folder Pliki do pobrania. Jeśli w tej lokalizacji istnieje już wyeksportowany raport, nazwa pliku jest zwiększana (na przykład raport symulacji ataku — Microsoft Defender (1).csv).

Karta Pokrycie użytkowników dla raportu symulacji ataków

Na karcie Pokrycie użytkownikami na wykresie przedstawiono symulowanych użytkowników i użytkowników niesymulowanych. Jeśli umieścisz kursor nad punktem danych na wykresie, zostaną wyświetlone rzeczywiste wartości.

Poniższa tabela szczegółów zawiera następujące informacje. Informacje można posortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Domyślnie są zaznaczone wszystkie dostępne kolumny.

• Nazwa użytkownika
• Adres e-mail
• Uwzględnione w symulacji
• Data ostatniej symulacji
• Ostatni wynik symulacji
• Liczba klikniętych
• Liczba naruszeń zabezpieczeń

Użyj pola Wyszukiwania, aby filtrować wyniki według nazwy użytkownika lub adresu Email. Symbole wieloznaczne nie są obsługiwane.

Użyj przycisku Eksportuj raport , aby zapisać informacje w pliku CSV. Domyślną nazwą pliku jest raport symulacji ataku — Microsoft Defender.csv, a domyślną lokalizacją jest lokalny folder Pliki do pobrania. Jeśli w tej lokalizacji istnieje już wyeksportowany raport, nazwa pliku jest zwiększana (na przykład raport symulacji ataku — Microsoft Defender (1).csv).

Karta Ukończenie szkolenia dla raportu symulacji ataku

Na karcie Ukończenie trenowania na wykresie przedstawiono liczbę symulacji Ukończono, W toku i Niekompletne . Jeśli umieścisz kursor nad sekcją na wykresie, zostaną wyświetlone rzeczywiste wartości.

Poniższa tabela szczegółów zawiera następujące informacje. Informacje można posortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Domyślnie są zaznaczone wszystkie dostępne kolumny.

• Nazwa użytkownika
• Adres e-mail
• Uwzględnione w symulacji
• Data ostatniej symulacji
• Ostatni wynik symulacji
• Nazwa ostatniego ukończonego szkolenia
• Data ukończenia
• Wszystkie szkolenia

Wybierz pozycję Filtruj , aby filtrować tabelę wykresów i szczegółów według wartości stanu trenowań: Ukończono, W toku lub Wszystkie.

Po zakończeniu konfigurowania filtrów wybierz pozycję Zastosuj, Anuluj lub Wyczyść filtry.

Użyj pola Wyszukiwania, aby filtrować wyniki według nazwy użytkownika lub adresu Email. Symbole wieloznaczne nie są obsługiwane.

Jeśli wybierzesz przycisk Eksportuj raport, postęp generowania raportu będzie wyświetlany jako procent ukończenia. W otwartym oknie dialogowym możesz otworzyć plik .csv, zapisać plik .csv i zapamiętać zaznaczenie.

Karta Recydywistów dla raportu symulacji ataku

Recydywista jest użytkownikiem, który został naruszony przez kolejne symulacje. Domyślna liczba kolejnych symulacji to dwie, ale możesz zmienić wartość na karcie Ustawienia Szkolenie z symulacji ataków na .https://security.microsoft.com/attacksimulator?viewid=setting Aby uzyskać więcej informacji, zobacz Konfigurowanie progu recydywisty.

Na karcie Recydywisty przestępcy na wykresie przedstawiono liczbę użytkowników recydywistów i symulowanych użytkowników.

Jeśli umieścisz kursor nad punktem danych na wykresie, zostaną wyświetlone rzeczywiste wartości.

Poniższa tabela szczegółów zawiera następujące informacje. Informacje można posortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Domyślnie są zaznaczone wszystkie dostępne kolumny.

• Użytkownik
• Typy symulacji
• Symulacje
• Adres e-mail
• Liczba ostatnich powtórzeń
• Powtórz wykroczenia
• Nazwisko symulacji
• Ostatni wynik symulacji
• Ostatnie przypisane szkolenie
• Stan ostatniego trenowania

Wybierz pozycję Filtruj , aby filtrować tabelę wykresu i szczegółów według co najmniej jednej wartości typu symulacji:

• Zbieranie poświadczeń
• Załącznik złośliwego oprogramowania
• Link w załączniku
• Link do złośliwego oprogramowania

Po zakończeniu konfigurowania filtrów wybierz pozycję Zastosuj, Anuluj lub Wyczyść filtry.

Użyj pola Wyszukaj, aby filtrować wyniki według dowolnych wartości kolumn. Symbole wieloznaczne nie są obsługiwane.

Użyj przycisku Eksportuj raport , aby zapisać informacje w pliku CSV. Domyślną nazwą pliku jest raport symulacji ataku — Microsoft Defender.csv, a domyślną lokalizacją jest lokalny folder Pliki do pobrania. Jeśli w tej lokalizacji istnieje już wyeksportowany raport, nazwa pliku jest zwiększana (na przykład raport symulacji ataku — Microsoft Defender (1).csv).

Raport symulacji w Szkolenie z symulacji ataków

Raport symulacji przedstawia szczegóły symulacji w toku lub ukończonych (wartość Stan to W toku lub Ukończono). Aby wyświetlić raport symulacji, użyj dowolnej z następujących metod:

• Na karcie Przegląd na stronie Szkolenie z symulacji ataków pod adresem https://security.microsoft.com/attacksimulator?viewid=overviewwybierz symulację z karty Ostatnie symulacje.

  

• Na karcie Symulacje na stronie Szkolenie z symulacji ataków pod adresem https://security.microsoft.com/attacksimulator?viewid=simulationswybierz symulację, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. Aby uzyskać więcej informacji, zobacz Wyświetlanie raportów symulacji.

  • Na karcie Szkolenie na stronie Szkolenie z symulacji ataków pod adresem https://security.microsoft.com/attacksimulator?viewid=trainingcampaignwybierz kampanię szkoleniową przy użyciu jednej z następujących metod:
  • Kliknij dowolne miejsce w wierszu innym niż pole wyboru obok nazwy.
  • Zaznacz pole wyboru obok nazwy, a następnie wybierz pozycję Wyświetl raport.

  Aby uzyskać więcej informacji, zobacz Wyświetlanie raportów kampanii szkoleniowych.

Otwarta strona raportu zawiera karty Raport, **Użytkownicy i Szczegóły zawierające informacje o symulacji. W pozostałej części tej sekcji opisano szczegółowe informacje i raporty, które są dostępne na karcie Raport .

Sekcje na karcie Raport symulacji opisano w poniższych podsekcjach.

Aby uzyskać więcej informacji na temat kart Użytkownicy i Szczegóły , zobacz następujące linki.

• Symulacje:
  • Karta Użytkownicy
  • Karta Szczegóły
• Kampanie szkoleniowe:
  • Karta Użytkownicy
  • Karta Szczegóły

Raportowanie symulacji kodu QR

Możesz wybrać ładunki kodu QR do użycia w symulacjach. Kod QR zastępuje adres URL wyłudzania informacji jako ładunek używany w wiadomości e-mail symulacji. Aby uzyskać więcej informacji, zobacz Ładunki kodu QR.

Ponieważ kody QR są innym typem adresu URL wyłudzania informacji, zdarzenia użytkownika dotyczące zdarzeń odczytu, usuwania, naruszenia zabezpieczeń i klikania pozostają takie same. Na przykład skanowanie kodu QR otwiera adres URL wyłudzania informacji, więc zdarzenie jest śledzone jako zdarzenie kliknięcia. Istniejące mechanizmy śledzenia naruszeń zabezpieczeń, usuwania i zdarzeń raportu pozostają takie same.

Jeśli wyeksportujesz raport symulacji do pliku CSV, kolumna EmailLinkClicked_ClickSource będzie dostępna z następującymi wartościami:

• PhishingURL: użytkownik kliknął link do wyłudzania informacji w wiadomości e-mail symulacji.
• QRCode: użytkownik przeskanował kod QR w wiadomości e-mail symulacji.

Inne metryki, takie jak odczyty, naruszenia zabezpieczeń, usunięcia i zgłoszone komunikaty, są nadal śledzone bez żadnych dodatkowych aktualizacji. Aby uzyskać więcej informacji, sekcja Dodatek znajduje się w dalszej części tego artykułu.

Raport symulacji symulacji

W tej sekcji opisano informacje w raporcie symulacji dotyczące regularnych symulacji (a nie kampanii szkoleniowych).

Sekcja wpływu symulacji w raporcie na symulacje

Sekcja Wpływ symulacji na karcie Raport ** dla symulacji pokazuje liczbę i procent użytkowników z naruszonymi zabezpieczeniami i użytkowników, którzy zgłosili komunikat.

Jeśli umieścisz kursor nad sekcją na wykresie, zostaną wyświetlone rzeczywiste liczby dla każdej kategorii.

Wybierz pozycję Wyświetl naruszonych użytkowników , aby przejść do karty Użytkownicy w raporcie, na której wyniki są filtrowane według naruszonych zabezpieczeń: Tak.

Wybierz pozycję Wyświetl użytkowników, którzy zgłosili , aby przejść do karty Użytkownicy w raporcie, gdzie wyniki są filtrowane według zgłoszonego komunikatu: Tak.

Cała sekcja aktywności użytkownika w raporcie dla symulacji

Sekcja Wszystkie działania użytkownika na karcie Raport ** dla symulacji pokazuje liczby możliwych wyników symulacji. Informacje różnią się w zależności od typu symulacji. Przykład:

• Kliknięcie linku do wiadomości lub link załącznika lub otwarciezałącznika
• Podane poświadczenia
• Odczytywanie wiadomości
• Usunięto komunikat
• Odpowiedź na wiadomość
• Komunikat przesłany dalej
• Poza biurem

Wybierz pozycję Wyświetl wszystkich użytkowników , aby przejść do karty Użytkownicy w raporcie, gdzie wyniki są niefiltrowane.

Sekcja Stanu dostarczania w raporcie dla symulacji

Sekcja Stan dostarczania na karcie Raport ** dla symulacji przedstawia liczby możliwych stanów dostarczania komunikatu symulacji. Przykład:

• Pomyślnie odebrano komunikat
• Dostarczono pozytywny komunikat wzmacniający
• Po prostu dostarczono komunikat symulacji

Wybierz pozycję Wyświetl użytkowników, dla których dostarczanie komunikatów nie powiodło się , aby przejść na kartę Użytkownicy w raporcie, gdzie wyniki są filtrowane według dostarczania komunikatów symulacji: Nie można dostarczyć.

Wybierz pozycję Wyświetl wykluczonych użytkowników lub grupy , aby otworzyć wysuwaną opcję Wykluczeni użytkownicy lub grupy , która pokazuje użytkowników lub grupy wykluczone z symulacji.

Sekcja ukończenia szkolenia w raporcie dla symulacji

Sekcja Ukończenie trenowania na stronie szczegółów symulacji przedstawia szkolenia wymagane do symulacji oraz liczbę użytkowników, którzy ukończyli szkolenia.

Jeśli w symulacji nie uwzględniono żadnych szkoleń, jedyną wartością w tej sekcji są szkolenia, które nie były częścią tej symulacji.

Pierwsza & sekcji średniej wystąpienia w raporcie dla symulacji

Sekcja Pierwsze & średnie wystąpienie na karcie Raport ** dla symulacji zawiera informacje o czasie potrzebnym do wykonania określonych akcji w symulacji. Przykład:

• Kliknięcie pierwszego linku
• Kliknięto średni link
• Wprowadzono pierwsze poświadczenie
• Wprowadzono średnie poświadczenie

Sekcja zaleceń w raporcie dotycząca symulacji

Sekcja Zalecenia na karcie Raport** dla symulacji zawiera zalecenia dotyczące używania Szkolenie z symulacji ataków w celu zabezpieczenia organizacji.

Raport symulacji dla kampanii szkoleniowych

W tej sekcji opisano informacje w raporcie symulacji dla kampanii szkoleniowych (a nie symulacji).

Sekcja klasyfikacji ukończenia szkolenia w raporcie dla kampanii szkoleniowych

Sekcja Klasyfikacja ukończenia szkolenia na karcie Raport ** dla kampanii szkoleniowej zawiera informacje o ukończonych modułach szkoleniowych w kampanii szkoleniowej.

Sekcja podsumowania ukończenia szkolenia w raporcie dla kampanii szkoleniowych

Sekcja Podsumowanie ukończenia szkolenia na karcie Raport ** dla kampanii szkoleniowej używa wykresów słupkowych pokazujących postęp przypisanych użytkowników przez wszystkie moduły szkoleniowe w kampanii (liczba użytkowników / łączna liczba użytkowników):

• Zakończone
• W toku
• Nie uruchomiono
• Nie ukończono
• Wcześniej przypisano

Możesz zatrzymać kursor nad sekcją na wykresie, aby wyświetlić rzeczywistą wartość procentową w każdej kategorii.

Cała sekcja aktywności użytkownika w raporcie dla kampanii szkoleniowych

Sekcja Wszystkie działania użytkownika na karcie Raport ** dla kampanii szkoleniowej używa wykresu słupkowego, aby pokazać, jak główne osoby pomyślnie otrzymały powiadomienie o szkoleniu (liczba użytkowników / całkowita liczba użytkowników).

Możesz zatrzymać kursor nad sekcją na wykresie, aby wyświetlić rzeczywiste liczby w każdej kategorii.

Dodatek

Podczas eksportowania informacji z raportów plik CSV zawiera więcej informacji niż pokazano w raporcie, nawet jeśli jest wyświetlana cała kolumna. Pola zostały opisane w poniższej tabeli.

Nazwa pola	Opis
Nazwa użytkownika	Nazwa użytkownika, który wykonał działanie.
UserMail	Email adres użytkownika, który wykonał działanie.
Zagrożone	Wskazuje, czy użytkownik został naruszona. Wartości to Tak lub Nie.
AttachmentOpened_TimeStamp	Gdy ładunek załącznika został otwarty w symulacjach załącznika złośliwego oprogramowania .
AttachmentOpened_Browser	Gdy ładunek załącznika został otwarty w przeglądarce internetowej w symulacjach załącznika złośliwego oprogramowania . Te informacje pochodzą od użytkownika UserAgent.
AttachmentOpened_IP	Adres IP, pod którym został otwarty ładunek załącznika w symulacjach załączników złośliwego oprogramowania . Te informacje pochodzą od użytkownika UserAgent.
AttachmentOpened_Device	Urządzenie, na którym został otwarty ładunek załącznika w symulacjach załącznika złośliwego oprogramowania . Te informacje pochodzą od użytkownika UserAgent.
AttachmentLinkClicked_TimeStamp	Gdy ładunek linku załącznika został kliknięty w obszarze Link w symulacjach załączników .
AttachmentLinkClicked_Browser	Przeglądarka internetowa, która została użyta do kliknięcia ładunku linku załącznika w obszarze Link w symulacjach załączników . Te informacje pochodzą od użytkownika UserAgent.
AttachmentLinkClicked_IP	Adres IP, pod którym został kliknięty ładunek linku załącznika, został kliknięty w obszarze Link w symulacjach załączników . Te informacje pochodzą od użytkownika UserAgent.
AttachmentLinkClicked_Device	Urządzenie, na którym został kliknięty ładunek linku załącznika, zostało kliknięone w obszarze Link w symulacjach załączników . Te informacje pochodzą od użytkownika UserAgent.
EmailLinkClicked_TimeStamp	Gdy ładunek linku został kliknięty w obszarze Zbieranie poświadczeń, połącz ze złośliwym oprogramowaniem, dysk po adresie URL i symulacje udzielania zgody OAuth .
EmailLinkClicked_Browser	Przeglądarka internetowa, która została użyta do kliknięcia ładunku linku w obszarze Zbieranie poświadczeń, Link do złośliwego oprogramowania, Dysk po adresie URL i Symulacje udzielania zgody OAuth . Te informacje pochodzą od użytkownika UserAgent.
EmailLinkClicked_IP	Adres IP, pod którym został kliknięty ładunek linku w obszarze Zbieranie poświadczeń, Link do złośliwego oprogramowania, Dysk po adresie URL i Symulacje udzielania zgody OAuth . Te informacje pochodzą od użytkownika UserAgent.
EmailLinkClicked_Device	Urządzenie, na którym został kliknięty ładunek linku, w symulacjach pobierania poświadczeń, linku do złośliwego oprogramowania, dysku po adresie URL i udzielania zgody OAuth . Te informacje pochodzą od użytkownika UserAgent.
EmailLinkClicked_ClickSource	Czy link ładunku został wybrany przez kliknięcie adresu URL, czy skanowanie kodu QR w zbiorze poświadczeń, link do złośliwego oprogramowania, dysk po adresie URL i symulacje udzielania zgody OAuth . Wartości to PhishingURL lub QRCode. Obsługa kodu QR jest obecnie dostępna w wersji zapoznawczej.
CredSupplied_TimeStamp (naruszone zabezpieczenia)	Gdy użytkownik wprowadził swoje poświadczenia.
CredSupplied_Browser	Przeglądarka internetowa, która była używana, gdy użytkownik wprowadził swoje poświadczenia. Te informacje pochodzą od użytkownika UserAgent.
CredSupplied_IP	Adres IP, pod którym użytkownik wprowadził swoje poświadczenia. Te informacje pochodzą od użytkownika UserAgent.
CredSupplied_Device	Urządzenie, na którym użytkownik wprowadził swoje poświadczenia. Te informacje pochodzą od użytkownika UserAgent.
SuccessfullyDeliveredEmail_TimeStamp	Gdy wiadomość e-mail symulacji została dostarczona do użytkownika.
MessageRead_TimeStamp	Podczas odczytywania komunikatu symulacji.
MessageDeleted_TimeStamp	Po usunięciu komunikatu symulacji.
MessageReplied_TimeStamp	Gdy użytkownik odpowiedział na komunikat symulacji.
MessageForwarded_TimeStamp	Gdy użytkownik przekazał dalej komunikat symulacji.
OutOfOfficeDays	Określa, czy użytkownik jest poza biurem. Te informacje pochodzą z ustawienia Odpowiedzi automatyczne w programie Outlook.
PositiveReinforcementMessageDelivered_TimeStamp	Po dostarczeniu użytkownikowi pozytywnego komunikatu o wzmocnieniu.
PositiveReinforcementMessageFailed_TimeStamp	Gdy nie można dostarczyć użytkownikowi pozytywnego komunikatu o wzmocnieniu.
JustSimulationMessageDelivered_TimeStamp	Gdy komunikat symulacji został dostarczony użytkownikowi w ramach symulacji bez przypisanych szkoleń (na stronie Przypisywanie szkolenia nowego kreatora symulacji nie wybrano żadnego szkolenia).
JustSimulationMessageFailed_TimeStamp	Gdy wiadomość e-mail symulacji nie została dostarczona do użytkownika, a symulacja nie miała przypisanych szkoleń.
TrainingAssignmentMessageDelivered_TimeStamp	Gdy komunikat o przypisaniu trenowania został dostarczony do użytkownika. Ta wartość jest pusta, jeśli w symulacji nie przypisano żadnych szkoleń.
TrainingAssignmentMessageFailed_TimeStamp	Gdy nie można dostarczyć użytkownikowi komunikatu o przypisaniu trenowania. Ta wartość jest pusta, jeśli w symulacji nie przypisano żadnych szkoleń.
FailedToDeliverEmail_TimeStamp	Gdy nie można dostarczyć wiadomości e-mail symulacji do użytkownika.
Ostatnie działanie symulacji	Ostatnie działanie symulacji użytkownika (czy zostały one przekazane, czy zostały naruszone).
Przypisane szkolenia	Lista szkoleń przypisanych do użytkownika w ramach symulacji.
Ukończono szkolenia	Lista szkoleń ukończonych przez użytkownika w ramach symulacji.
Stan trenowania	Bieżący stan szkoleń dla użytkownika w ramach symulacji.
Zgłoszono wyłudzanie informacji	Gdy użytkownik zgłosił komunikat symulacji jako wyłudzanie informacji.
Department	Wartość właściwości Działu użytkownika w Tożsamość Microsoft Entra w czasie symulacji.
Company	Wartość właściwości firmy użytkownika w Tożsamość Microsoft Entra w czasie symulacji.
Tytuł	Wartość właściwości Title użytkownika w Tożsamość Microsoft Entra w czasie symulacji.
Pakiet Office	Wartość właściwości pakietu Office użytkownika w Tożsamość Microsoft Entra w czasie symulacji.
Miasto	Wartość właściwości City użytkownika w Tożsamość Microsoft Entra w czasie symulacji.
Kraj	Wartość właściwości Country użytkownika w Tożsamość Microsoft Entra w czasie symulacji.
Menedżer	Wartość właściwości Menedżera użytkownika w Tożsamość Microsoft Entra w czasie symulacji.

Sposób przechwytywania sygnałów aktywności użytkownika jest opisany w poniższej tabeli.

Pole	Opis	Logika obliczeń
DownloadAttachment	Użytkownik pobrał załącznik.	Sygnał pochodzi od klienta (na przykład programu Outlook lub Word).
Otwarty załącznik	Użytkownik otworzył załącznik.	Sygnał pochodzi od klienta (na przykład programu Outlook lub Word).
Odczyt wiadomości	Użytkownik odczytał komunikat symulacji.	Sygnały odczytu komunikatów mogą występować problemy w następujących scenariuszach: Użytkownik zgłosił wiadomość jako wyłudzającą informacje w programie Outlook bez opuszczania okienka odczytu, a elementy jako przeczytane w okienku odczytu nie zostały skonfigurowane (ustawienie domyślne ). Użytkownik zgłosił nieprzeczytaną wiadomość jako wyłudzanie informacji w programie Outlook, wiadomość została usunięta i oznacz komunikaty jako przeczytane, gdy usunięte nie zostały skonfigurowane (ustawienie domyślne).
Poza biurem	Określa, czy użytkownik jest poza biurem.	Obecnie obliczane przez ustawienie Odpowiedzi automatyczne z programu Outlook.
Użytkownik z naruszonymi zabezpieczeniami	Użytkownik został naruszona. Sygnał kompromisu różni się w zależności od techniki inżynierii społecznej.	Zbieranie poświadczeń: użytkownik wprowadził swoje poświadczenia na stronie logowania (poświadczenia nie są przechowywane przez firmę Microsoft).¹ Załącznik złośliwego oprogramowania: użytkownik otworzył załącznik ładunku i wybrał opcję Włącz edycję w widoku chronionym. Link w załączniku: użytkownik otworzył załącznik i wprowadził swoje poświadczenia po kliknięciu linku ładunku. Link do złośliwego oprogramowania: użytkownik kliknął link ładunku i wprowadził swoje poświadczenia. Dysk według adresu URL: użytkownik kliknął link ładunku (wprowadzanie poświadczeń nie jest wymagane).¹ Udzielanie zgody OAuth: użytkownik kliknął link ładunku i zaakceptował monit o udostępnienie uprawnień.¹
Kliknięcie linku komunikatu	Użytkownik kliknął link ładunku w komunikacie symulacji.	Adres URL symulacji jest unikatowy dla każdego użytkownika, co umożliwia śledzenie aktywności poszczególnych użytkowników. Usługi filtrowania innych firm lub przekazywanie wiadomości e-mail mogą prowadzić do fałszywie dodatnich wyników. Aby uzyskać więcej informacji, zobacz temat Kliknięcia lub zdarzenia naruszenia zabezpieczeń od użytkowników, którzy twierdzą, że nie kliknęli linku w komunikacie symulacji.
Komunikat przesłany dalej	Użytkownik przekazał komunikat dalej.
Odpowiedź na wiadomość	Użytkownik odpowiedział na wiadomość.
Usunięto komunikat	Użytkownik usunął komunikat.	Sygnał pochodzi z działania użytkownika w programie Outlook. Jeśli użytkownik zgłosi wiadomość jako wyłudzającą informacje, wiadomość może zostać przeniesiona do folderu Elementy usunięte, który jest identyfikowany jako usunięcie.
Udzielono uprawnień	Użytkownik udostępnił uprawnienia w symulacji udzielania zgody OAuth .

¹ Klikniętą linką może być wybrany adres URL lub zeskanowany kod QR (obsługa kodu QR w Szkolenie z symulacji ataków jest obecnie dostępna w wersji zapoznawczej).

Linki pokrewne

Wprowadzenie do szkolenia z symulacji ataku

Tworzenie symulacji ataku wyłudzania informacji

tworzenie ładunku do szkolenia osób