攻撃シミュレーショントレーニングの分析情報とレポート

[アーティクル]
04/26/2024
適用対象:

✅ Microsoft Defender for Office 365 Plan 2

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Microsoft Defender for Office 365 Plan 2 または Microsoft 365 E5 の攻撃シミュレーショントレーニングでは、Microsoft はシミュレーションの結果と対応するトレーニングから分析情報とレポートを提供します。この情報により、ユーザーの脅威の準備の進行状況が通知され、今後の攻撃に対してユーザーをより適切に準備するための次の手順が推奨されます。

分析情報とレポートは、Microsoft Defender ポータルの [攻撃シミュレーショントレーニング] ページの次の場所で使用できます。

洞察力：
- の [ 概要 ] タブ https://security.microsoft.com/attacksimulator?viewid=overview。
- の [ レポート ] タブ https://security.microsoft.com/attacksimulator?viewid=reports。
レポート：
- 攻撃シミュレーションレポート ページhttps://security.microsoft.com/attacksimulationreport:
- 進行中および完了したシミュレーションとトレーニングキャンペーンのレポート: 詳細については、「攻撃シミュレーションレポート」を参照してください。

この記事の残りの部分では、攻撃シミュレーショントレーニングのレポートと分析情報について説明します。

攻撃シミュレーショントレーニングを開始するには、「攻撃シミュレーショントレーニングの使用を始める」を参照してください。

攻撃シミュレーショントレーニングの [概要] タブと [レポート] タブに関する分析情報

[概要] タブに移動するには、でMicrosoft Defender ポータルhttps://security.microsoft.comを開き、[コラボレーション>のEmail &] に移動します攻撃シミュレーショントレーニング

[概要 ] タブ: [ 概要 ] タブが選択されていることを確認します (既定値)。または、[ 概要 ] タブに直接移動するには、を使用 https://security.microsoft.com/attacksimulator?viewid=overviewします。
[レポート] タブ: [レポート] タブを選択します。または、[レポート] タブに直接移動するには、を使用https://security.microsoft.com/attacksimulationreportします。

タブの分析情報の分布については、次の表を参照してください。

レポート	[概要] タブ	[レポート] タブ
最近のシミュレーションカード	✔
推奨事項カード	✔
シミュレーションカバレッジカード	✔	✔
トレーニング完了カード	✔	✔
犯罪者カードを繰り返す	✔	✔
侵害率カードに対する動作への影響	✔	✔

このセクションの残りの部分では、攻撃シミュレーショントレーニングの [概要] タブと [レポート] タブで使用できる情報について説明します。

最近のシミュレーションカード

[概要] タブの [最近のシミュレーション] カードには、organizationで作成または実行した最後の 3 つのシミュレーションが表示されます。

シミュレーションを選択して詳細を表示できます。

[ すべてのシミュレーションを表示 ] を選択すると、[ シミュレーション ] タブに移動します。

[ シミュレーションの起動] を 選択すると、新しいシミュレーションウィザードが起動します。詳細については、「Defender for Office 365でのフィッシング攻撃のシミュレート」を参照してください。

推奨事項カード

[概要] タブの [推奨事項] カードでは、実行するさまざまな種類のシミュレーションが提案されます。

[起動] を選択すると、指定したシミュレーションの種類が [手法の選択] ページで自動的に選択された新しいシミュレーションウィザードが開始されます。詳細については、「Defender for Office 365でのフィッシング攻撃のシミュレート」を参照してください。

シミュレーションカバレッジカード

[概要] タブと [レポート] タブの [シミュレーションカバレッジ] カードには、シミュレーション (シミュレートされたユーザー) を受け取ったorganizationのユーザーの割合と、シミュレーションを受け取らなかったユーザー (シミュレートされていないユーザー) が表示されます。グラフ内のセクションにカーソルを合わせると、各カテゴリの実際のユーザー数を確認できます。

[ シミュレーションカバレッジレポートの表示 ] を選択すると、攻撃シミュレーションレポートの [ユーザーカバレッジ] タブに移動します。

シミュレートされていないユーザーに対して [シミュレーションの起動] を選択すると、新しいシミュレーションウィザードが開始され、シミュレーションを受け取らなかったユーザーが [ターゲットユーザー] ページで自動的に選択されます。詳細については、「Defender for Office 365でのフィッシング攻撃のシミュレート」を参照してください。

トレーニング完了カード

[概要] タブと [レポート] タブの [トレーニング完了] カードは、シミュレーションの結果に基づいてトレーニングを受けたユーザーの割合を次のカテゴリに分類します。

Completed
処理中
不完全

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際のユーザー数を確認できます。

[ トレーニング完了レポートの表示 ] を選択すると、攻撃シミュレーションレポートの [トレーニング完了] タブに移動します。

犯罪者カードを繰り返す

[概要] タブと [レポート] タブの [繰り返し違反者] カードには、繰り返し違反者に関する情報が表示されます。 繰り返し違反者は、連続するシミュレーションによって侵害されたユーザーです。連続するシミュレーションの既定の数は 2 ですが、の攻撃シミュレーショントレーニングの [設定] タブでhttps://security.microsoft.com/attacksimulator?viewid=setting値を変更できます。詳細については、「繰り返し違反者のしきい値を構成する」を参照してください。

グラフは、シミュレーションの種類別に繰り返し違反データを整理します。

All
マルウェアの添付ファイル
マルウェアへのリンク
資格情報の収集
添付ファイル内のリンク
ドライブバイ URL

[ 繰り返し違反者レポートの表示 ] を選択すると、攻撃シミュレーションレポートの [繰り返し違反者] タブに移動します。

侵害率カードに対する動作への影響

[概要] タブと [レポート] タブの [侵害率に対する動作の影響] カードは、ユーザーが Microsoft 365 の履歴データと比較してシミュレーションにどのように応答したかを示します。これらの分析情報を使用すると、同じユーザーグループに対して複数のシミュレーションを実行することで、ユーザーの脅威の準備状況の進行状況を追跡できます。

グラフデータには、次の情報が表示されます。

実際の侵害率: シミュレーションによって侵害されたユーザーの実際の割合 (実際のユーザーが、シミュレーションを受けたorganizationのユーザーの合計数)。
予測された侵害率: このシミュレーションによって侵害されるユーザーの割合を予測する Microsoft 365 全体の履歴データ。予測された侵害率 (PCR) の詳細については、「予測された侵害率」を参照してください。

グラフ内のデータポイントにカーソルを合わせると、実際のパーセンテージ値が表示されます。

詳細なレポートを表示するには、[ シミュレーションとトレーニング効果レポートの表示] を選択します。このレポートについては、この記事の後半で説明します。

攻撃シミュレーションレポート

[概要] タブで [表示] を選択すると、攻撃シミュレーションレポートを開くことができます。この記事で説明する [概要] タブと [レポート] タブの一部のカードで使用できるレポート アクション。 攻撃シミュレーションレポート ページに直接移動するには、https://security.microsoft.com/attacksimulationreport

攻撃シミュレーションレポートの [トレーニング効果] タブ

攻撃シミュレーションレポート ページでは、[トレーニングの有効性] タブが既定で選択されています。このタブには、[侵害率に対する動作の影響] カードで使用できるのと同じ情報と、シミュレーション自体からの追加のコンテキストが表示されます。

グラフには、[ 実際の侵害率 ] と [ 予測された侵害率] が表示されます。グラフ内のセクションにカーソルを合わせると、の実際のパーセンテージ値が表示されます。

グラフの下の詳細表は、次の情報を示しています。使用可能な列ヘッダーをクリックすると、シミュレーションを並べ替えることができます。 [列のカスタマイズ] を選択して、表示される列を変更します。既定では、使用可能なすべての列が選択されます。

シミュレーション名
シミュレーション手法
シミュレーションの戦術
侵害率の予測
実際の侵害率
対象となるユーザーの総数
クリックされたユーザーの数

[Search] ボックスを使用して、シミュレーション名またはシミュレーション手法で結果をフィルター処理します。ワイルドカードはサポートされていません。

[レポートのエクスポート] ボタンを使用して、情報を CSV ファイルに保存します。既定のファイル名は攻撃シミュレーションレポート - Microsoft Defender.csv で、既定の場所はローカルのダウンロードフォルダーです。エクスポートされたレポートがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、攻撃シミュレーションレポート - Microsoft Defender (1).csv)。

攻撃シミュレーションレポートの [ユーザーカバレッジ] タブ

[ ユーザーカバレッジ ] タブのグラフには、[ シミュレートされたユーザー ] と [ シミュレートされていないユーザー] が表示されます。グラフ内のデータポイントにカーソルを合わせると、実際の値が表示されます。

グラフの下の詳細表は、次の情報を示しています。情報を並べ替えるには、使用可能な列ヘッダーをクリックします。 [列のカスタマイズ] を選択して、表示される列を変更します。既定では、使用可能なすべての列が選択されます。

Username
電子メールアドレス
シミュレーションに含まれる
前回のシミュレーションの日付
最後のシミュレーション結果
クリックされた数
侵害された数

[Search] ボックスを使用して、ユーザー名またはEmail アドレスで結果をフィルター処理します。ワイルドカードはサポートされていません。

攻撃シミュレーションレポートの [トレーニング完了] タブ

[ トレーニング完了 ] タブのグラフには、[ 完了]、[ 進行中]、[ 不完全な シミュレーション] の数が表示されます。グラフ内のセクションにカーソルを合わせると、実際の値が表示されます。

Username
電子メールアドレス
シミュレーションに含まれる
前回のシミュレーションの日付
最後のシミュレーション結果
完了した最新のトレーニングの名前
完了日
すべてのトレーニング

[フィルター] を選択して、トレーニングの [状態] 値 (完了、進行中、またはすべて) でグラフと詳細テーブルをフィルター処理します。

フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。

[Search] ボックスを使用して、ユーザー名またはEmail アドレスで結果をフィルター処理します。ワイルドカードはサポートされていません。

[レポートのエクスポート] ボタンを選択すると、レポート生成の進行状況が完了の割合として表示されます。開いたダイアログで、.csv ファイルを開き、.csv ファイルを保存し、選択内容を覚えておくことができます。

攻撃シミュレーションレポートの [繰り返し違反者] タブ

繰り返し違反者は、連続するシミュレーションによって侵害されたユーザーです。連続するシミュレーションの既定の数は 2 ですが、の攻撃シミュレーショントレーニングの [設定] タブでhttps://security.microsoft.com/attacksimulator?viewid=setting値を変更できます。詳細については、「繰り返し違反者のしきい値を構成する」を参照してください。

[ 繰り返し違反者 ] タブのグラフには、 繰り返し違反者ユーザー と シミュレートされたユーザーの数が表示されます。

グラフ内のデータポイントにカーソルを合わせると、実際の値が表示されます。

ユーザー
シミュレーションの種類
シミュレーション
電子メールアドレス
最後の繰り返し数
繰り返し犯罪
最後のシミュレーション名
最後のシミュレーション結果
最後に割り当てられたトレーニング
最後のトレーニング状態

[フィルター] を選択して、グラフと詳細テーブルを 1 つ以上のシミュレーションの種類の値でフィルター処理します。

資格情報の収集
マルウェアの添付ファイル
添付ファイルのリンク
マルウェアへのリンク

フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。

[Search] ボックスを使用して、列の値のいずれかで結果をフィルター処理します。ワイルドカードはサポートされていません。

攻撃シミュレーショントレーニングのシミュレーションレポート

シミュレーションレポートには、進行中または完了したシミュレーションの詳細が表示されます ( [状態] の値は [進行中] または [完了] です)。シミュレーションレポートを表示するには、次のいずれかの方法を使用します。

の攻撃シミュレーショントレーニング ページの [概要] タブでhttps://security.microsoft.com/attacksimulator?viewid=overview、[最近のシミュレーション] カードからシミュレーションを選択します。
の [攻撃シミュレーショントレーニング] ページの [シミュレーション] タブでhttps://security.microsoft.com/attacksimulator?viewid=simulations、名前の横にある [チェック] ボックス以外の行の任意の場所をクリックしてシミュレーションを選択します。詳細については、「シミュレーションレポートの表示」を参照してください。
- の [攻撃シミュレーショントレーニング] ページの [トレーニング] タブでhttps://security.microsoft.com/attacksimulator?viewid=trainingcampaign、次のいずれかの方法を使用してトレーニングキャンペーンを選択します。
- 名前の横にある [チェック] ボックス以外の行の任意の場所をクリックします。
- 名前の横にある [チェック] ボックスを選択し、[レポートの表示] を選択します。
詳細については、「トレーニングキャンペーンレポートを表示する」を参照してください。

開いたレポートページには、シミュレーションに関する情報を含む レポート、**ユーザー、および詳細タブが含まれています。このセクションの残りの部分では、[レポート] タブで使用できる分析情報と レポート について説明します。

シミュレーションの [ レポート ] タブのセクションについては、次のサブセクションで説明します。

[ユーザー] タブと [詳細] タブの詳細については、次のリンクを参照してください。

シミュレーション：
- [ユーザー] タブ
- [詳細] タブ
トレーニングキャンペーン:
- [ユーザー] タブ
- [詳細] タブ

シミュレーションのシミュレーションレポート

このセクションでは、( トレーニングキャンペーンではなく) 通常のシミュレーションのシミュレーションレポートの情報について説明します。

シミュレーションのレポートのシミュレーション影響セクション

シミュレーションの [レポート] タブ ** の [シミュレーションの影響] セクションには、メッセージを報告した侵害されたユーザーとユーザーの数と割合が表示されます。

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の数値が表示されます。

[ 侵害されたユーザーの表示 ] を選択して、レポートの [ユーザー] タブタブに移動します。結果は [侵害: はい] でフィルター処理されます。

レポートの [ユーザー] タブに移動するには、[報告されたユーザーの表示] を選択します。結果は [報告されたメッセージ: はい] でフィルター処理されます。

シミュレーションのレポート内のすべてのユーザーアクティビティセクション

シミュレーションの [レポート] タブ** の [すべてのユーザーアクティビティ] セクションには、シミュレーションの可能な結果の数値が表示されます。情報は、シミュレーションの種類によって異なります。以下に例を示します。

クリックされたメッセージリンクまたは [添付ファイル] リンクがクリックされたか、添付ファイルが開いた
指定された資格情報
メッセージの読み取り
メッセージの削除
メッセージに返信済み
転送されたメッセージ
不在時

[ すべてのユーザーを表示 ] を選択して、結果がフィルター処理されないレポートの [ユーザー] タブタブに移動します。

シミュレーションのレポートの配信状態セクション

シミュレーションの [レポート] タブ ** の [配信状態] セクションには、シミュレーションメッセージで使用可能な配信状態の数値が表示されます。以下に例を示します。

正常に受信されたメッセージ
肯定的な強化メッセージが配信されました
**シミュレーションメッセージの配信のみ

[ メッセージ配信に失敗したユーザーの表示 ] を選択すると、レポートの [ユーザー] タブに移動し、結果が [シミュレーションメッセージ配信: 配信に失敗しました] でフィルター処理されます。

[ 除外されたユーザーまたはグループの表示 ] を選択して、シミュレーションから除外 されたユーザーまたはグループ を表示する [除外されたユーザーまたはグループ] ポップアップを開きます。

シミュレーションのレポートのトレーニング完了セクション

シミュレーションの詳細ページの [ トレーニングの完了 ] セクションには、シミュレーションに必要なトレーニングと、トレーニングを完了したユーザーの数が表示されます。

シミュレーションにトレーニングが含まれていない場合、このセクションの唯一の値は 、このシミュレーションの一部ではなかったトレーニングです。

シミュレーションのレポートの最初の & 平均インスタンスセクション

シミュレーションの [レポート] タブ** の [最初の & 平均インスタンス] セクションには、シミュレーションで特定のアクションを実行するのにかかった時間に関する情報が表示されます。以下に例を示します。

最初のリンクがクリックされました
[Avg. link]\(平均\) リンクがクリックされました
最初に入力された資格情報
[Avg. credential]\(平均\) 資格情報が入力されました

シミュレーションのレポートの [推奨事項] セクション

シミュレーションの [レポート] タブ ** の [推奨事項] セクションには、organizationのセキュリティ保護に役立つ攻撃シミュレーショントレーニングを使用するための推奨事項が表示されます。

トレーニングキャンペーンのシミュレーションレポート

このセクションでは、(シミュレーションではなく) トレーニングキャンペーンのシミュレーションレポートの情報について説明します。

トレーニングキャンペーンのレポートのトレーニング完了分類セクション

トレーニングキャンペーンの [レポート] タブ** の [トレーニング完了分類] セクションには、トレーニングキャンペーンで完了したトレーニングモジュールに関する情報が表示されます。

トレーニングキャンペーンのレポートのトレーニング完了の概要セクション

トレーニングキャンペーンの [レポート] タブ** の [トレーニング完了の概要] セクションでは、棒グラフを使用して、キャンペーン内のすべてのトレーニングモジュールを通じて割り当てられたユーザーの進行状況 (ユーザー数/ユーザー総数) を示します。

Completed
処理中
[未開始]
完了していない
以前に割り当て済み

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の割合を確認できます。

トレーニングキャンペーンのレポートのすべてのユーザーアクティビティセクション

トレーニングキャンペーンの [レポート] タブ** の [すべてのユーザーアクティビティ] セクションでは、棒グラフを使用して、トレーニング通知を正常に受け取ったユーザーメイン方法 (ユーザー数/ユーザー総数) を示します。

グラフ内のセクションにカーソルを合わせると、各カテゴリの実際の数値を確認できます。

攻撃シミュレーショントレーニングの使用を開始する

フィッシング攻撃シミュレーションをCreateする

ユーザーをトレーニングするためのペイロードを作成する

攻撃シミュレーショントレーニングの分析情報とレポート