Insikter och rapporter för Övning av attacksimulering

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Övning av attacksimulering i Microsoft Defender för Office 365 plan 2 eller Microsoft 365 E5 tillhandahåller Microsoft insikter och rapporter från resultatet av simuleringar och motsvarande utbildningar. Den här informationen håller dig informerad om hotberedskapsförloppet för dina användare och rekommenderar nästa steg för att bättre förbereda användarna för framtida attacker.

Insikter och rapporter är tillgängliga på följande platser på Övning av attacksimulering-sidan i Microsoft Defender-portalen:

Resten av den här artikeln beskriver rapporter och insikter för Övning av attacksimulering.

Information om hur du kommer igång med Övning av attacksimulering finns i Kom igång med Övning av attacksimulering.

Insikter på flikarna Översikt och Rapporter i Övning av attacksimulering

Om du vill gå till fliken Översikt öppnar du Microsoft Defender-portalen på https://security.microsoft.comoch går till Email & samarbete>Övning av attacksimulering:

Fördelningen av insikter på flikarna beskrivs i följande tabell:

Rapport Fliken Översikt Fliken Rapporter
Kort för senaste simuleringar
Kort för rekommendationer
Kort för simuleringstäckning
Kort för träningsslut
Kortet Upprepa gärningspersoner
Beteendepåverkan på kortet för intrångsfrekvens

Resten av det här avsnittet beskriver den information som är tillgänglig på flikarna Översikt och Rapporter i Övning av attacksimulering.

Kort för senaste simuleringar

Kortet Senaste simuleringar på fliken Översikt visar de tre senaste simuleringarna som du skapade eller körde i din organisation.

Du kan välja en simulering för att visa information.

Om du väljer Visa alla simuleringar kommer du till fliken Simuleringar .

Om du väljer Starta en simulering startas den nya simuleringsguiden. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Senaste simuleringar på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kort för rekommendationer

Kortet Rekommendationer på fliken Översikt föreslår olika typer av simuleringar som ska köras.

Om du väljer Starta startar nu den nya simuleringsguiden med den angivna simuleringstypen automatiskt markerad på sidan Välj teknik . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Rekommendationer på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kort för simuleringstäckning

Kortet Simuleringstäckning på flikarna Översikt och Rapporter visar procentandelen användare i organisationen som fick en simulering (simulerade användare) jämfört med användare som inte fick någon simulering (icke-simulerade användare). Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.

Om du väljer Visa simuleringstäckningsrapport kommer du till fliken Användartäckning för rapporten attacksimulering.

Om du väljer Starta simulering för icke-simulerade användare startar den nya simuleringsguiden där de användare som inte tog emot simuleringen automatiskt väljs på sidan Målanvändare . Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Kortet Simuleringstäckning på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kort för träningsslut

Kortet Träningsslut på flikarna Översikt och Rapporter organiserar procentandelen användare som fått utbildningar baserat på resultatet av simuleringar i följande kategorier:

  • Avslutade
  • Pågår
  • Ofullständig

Du kan hovra över ett avsnitt i diagrammet för att se det faktiska antalet användare i varje kategori.

Om du väljer Visa rapport om slutförande av träning kommer du till fliken Träningsavslut för rapporten för attacksimulering.

Kortet Träningsslut på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Kortet Upprepa gärningspersoner

Kortet Upprepa brottslingar på flikarna Översikt och Rapporter visar information om återfallsförbrytare. En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.

Diagrammet organiserar upprepningsförbrytardata efter simuleringstyp:

  • Alla
  • Bifogad kod för skadlig kod
  • Länk till skadlig kod
  • Skörd av autentiseringsuppgifter
  • Länk i bifogade filer
  • Enhets-URL

Om du väljer Visa rapport om återfallsförbrytare kommer du till fliken Upprepa brottslingar för rapporten för attacksimulering.

Kortet Upprepa brottslingar på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen

Beteendepåverkan på kortet för intrångsfrekvens

Beteendepåverkan på kortet för intrångsfrekvens på flikarna Översikt och Rapporter visar hur användarna svarade på dina simuleringar jämfört med historiska data i Microsoft 365. Du kan använda dessa insikter för att spåra förloppet i användarnas hotberedskap genom att köra flera simuleringar mot samma grupper av användare.

Diagramdata visar följande information:

  • Faktisk komprometteringsfrekvens: Den faktiska procentandelen personer som komprometterades av simuleringen (faktiska användare komprometterade/totalt antal användare i organisationen som tog emot simuleringen).
  • Förväntad kompromissfrekvens: Historiska data i Microsoft 365 som förutsäger procentandelen personer som kommer att komprometteras av den här simuleringen. Mer information om den förväntade kompromissfrekvensen (PCR) finns i Förväntad kompromissfrekvens.

Om du hovra över en datapunkt i diagrammet visas de faktiska procentvärdena.

Om du vill se en detaljerad rapport väljer du Visa simuleringar och träningseffektrapport. Den här rapporten förklaras senare i den här artikeln.

Beteendepåverkan på kortet för intrångsfrekvens på fliken Översikt i Övning av attacksimulering i Microsoft Defender-portalen.

Rapport om attacksimulering

Du kan öppna rapporten attacksimulering på fliken Översikt genom att välja Visa ... rapportåtgärder som är tillgängliga på några av korten på flikarna Översikt och Rapporter som beskrivs i den här artikeln. Om du vill gå direkt till rapportsidan för attacksimulering använder du https://security.microsoft.com/attacksimulationreport

Fliken Träningseffekt för rapporten om attacksimulering

Fliken Träningseffekt väljs som standard på rapportsidan för attacksimulering . Den här fliken innehåller samma information som är tillgänglig i beteendepåverkan på kortet för komprometteringsfrekvens , med ytterligare kontext från själva simuleringen.

Fliken Träningseffekt i rapporten om attacksimulering i Microsoft Defender-portalen.

Diagrammet visar den faktiska komprometterade hastigheten och den förväntade kompromissfrekvensen. Om du hovra över ett avsnitt i diagrammet visas de faktiska procentvärdena för.

Informationstabellen under diagrammet visar följande information. Du kan sortera simuleringarna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Simuleringsnamn
  • Simuleringsteknik
  • Simuleringstaktik
  • Förutsagd komprometterad hastighet
  • Faktisk komprometterad hastighet
  • Totalt antal användare som är mål för
  • Antal klickade användare

Använd rutan Search för att filtrera resultaten efter simuleringsnamn eller simuleringsteknik. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Fliken Användartäckning för rapporten för attacksimulering

På fliken Användartäckning visar diagrammet simulerade användare och icke-simulerade användare. Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.

Fliken Användartäckning i rapporten attacksimulering i Microsoft Defender-portalen.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användarnamn
  • E-postadress
  • Ingår i simulering
  • Datum för senaste simulering
  • Senaste simuleringsresultat
  • Antal klickade
  • Antal komprometterade

Använd rutan Search för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Fliken Träningsslut för rapporten för attacksimulering

På fliken Träningsslut visar diagrammet antalet slutförda, pågående och ofullständiga simuleringar. Om du hovra över ett avsnitt i diagrammet visas de faktiska värdena.

Fliken Träningsslut i rapporten attacksimulering i Microsoft Defender-portalen.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användarnamn
  • E-postadress
  • Ingår i simulering
  • Datum för senaste simulering
  • Senaste simuleringsresultat
  • Namnet på den senaste träningen som har slutförts
  • Datumet har slutförts
  • Alla utbildningar

Välj Filtrera för att filtrera diagrammet och informationstabellen efter statusvärdena för träningarna: Slutförd, Pågår eller Alla.

När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.

Använd rutan Search för att filtrera resultatet efter användarnamn eller Email adress. Jokertecken stöds inte.

Om du väljer knappen Exportera rapport visas förloppet för rapportgenerering som en procentandel av slutförande. I dialogrutan som öppnas kan du välja att öppna .csv-filen, spara .csv-filen och komma ihåg markeringen.

Fliken Upprepa brottslingar för rapporten om attacksimulering

En återfallsförbrytare är en användare som komprometterades av på varandra följande simuleringar. Standardantalet simuleringar i följd är två, men du kan ändra värdet på fliken Inställningar i Övning av attacksimulering på https://security.microsoft.com/attacksimulator?viewid=setting. Mer information finns i Konfigurera tröskelvärdet för återfallsförbrytare.

På fliken Upprepa brottslingar visar diagrammet antalet användare av upprepad gärningsperson och simulerade användare.

Fliken Upprepa brottslingar i rapporten om attacksimulering i Microsoft Defender-portalen.

Om du hovra över en datapunkt i diagrammet visas de faktiska värdena.

Informationstabellen under diagrammet visar följande information. Du kan sortera informationen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade.

  • Användare
  • Simuleringstyper
  • Simuleringar
  • E-postadress
  • Antal senaste upprepningar
  • Upprepa brott
  • Namn på senaste simulering
  • Senaste simuleringsresultat
  • Senaste utbildning tilldelad
  • Senaste träningsstatus

Välj Filter för att filtrera diagrammet och informationstabellen efter ett eller flera simuleringstypvärden:

  • Skörd av autentiseringsuppgifter
  • Bifogad kod för skadlig kod
  • Länk i bifogad fil
  • Länk till skadlig kod

När du är klar med att konfigurera filtren väljer du Använd, Avbryt eller Rensa filter.

Använd rutan Search för att filtrera resultatet efter något av kolumnvärdena. Jokertecken stöds inte.

Använd knappen Exportera rapport för att spara informationen i en CSV-fil. Standardfilnamnet är attacksimuleringsrapport – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel attacksimuleringsrapport – Microsoft Defender (1).csv).

Simuleringsrapport i Övning av attacksimulering

Simuleringsrapporten visar information om pågående eller slutförda simuleringar ( statusvärdet är Pågår eller Slutfört). Om du vill visa simuleringsrapporten använder du någon av följande metoder:

Rapportsidan som öppnas innehåller flikarna Rapport, **Användare och Information som innehåller information om simuleringen. Resten av det här avsnittet beskriver de insikter och rapporter som är tillgängliga på fliken Rapport .

Avsnitten på fliken Rapport för en simulering beskrivs i följande underavsnitt.

Mer information om flikarna Användare och information finns i följande länkar.

Simuleringsrapport för simuleringar

I det här avsnittet beskrivs informationen i simuleringsrapporten för regelbundna simuleringar (inte träningskampanjer).

Fliken Rapport i simuleringsrapporten i Övning av attacksimulering.

Avsnittet om simuleringspåverkan i rapporten för simuleringar

Avsnittet Simuleringspåverkan på fliken Rapport ** för en simulering visar antalet och procentandelen komprometterade användare och användare som rapporterade meddelandet.

Om du hovra över ett avsnitt i diagrammet visas de faktiska siffrorna för varje kategori.

Välj Visa komprometterade användare för att gå till fliken Användare i rapporten där resultaten filtreras efter Komprometterad: Ja.

Välj Visa användare som rapporterade att gå till fliken Användare i rapporten där resultaten filtreras efter rapporterat meddelande: Ja.

Avsnittet Simuleringspåverkan på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet All användaraktivitet i rapporten för simuleringar

Avsnittet All user activity (All user activity ) på fliken Rapport ** för en simulering visar siffror för de möjliga utfallen av simuleringen. Informationen varierar beroende på simuleringstyp. Till exempel:

  • Klickade på meddelandelänken eller länken Bifogad fil klickade eller den bifogade filen öppnades
  • Angivna autentiseringsuppgifter
  • Läs meddelande
  • Meddelande borttaget
  • Svarade på meddelande
  • Vidarebefordrat meddelande
  • Frånvaro

Välj Visa alla användare för att gå till fliken Användare i rapporten där resultatet är ofiltrerat.

Aktivitetsavsnittet Alla användare på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet Leveransstatus i rapporten för simuleringar

Avsnittet Leveransstatus på fliken Rapport ** för en simulering visar numren för möjliga leveransstatusar för simuleringsmeddelandet. Till exempel:

  • Meddelandet har tagits emot
  • Positivt förstärkningsmeddelande levererat
  • **Bara simuleringsmeddelande levereras

Välj Visa användare som meddelandeleveransen inte kunde gå till fliken Användare i rapporten där resultaten filtreras efter leverans av simuleringsmeddelande: Det gick inte att leverera.

Välj Visa exkluderade användare eller grupper för att öppna en utfälld utfällning för exkluderade användare eller grupper som visar de användare eller grupper som har exkluderats från simuleringen.

Avsnittet Leveransstatus på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet om träningsavslut i rapporten för simuleringar

Avsnittet Träningsavslut på sidan med simuleringsinformation visar de utbildningar som krävs för simuleringen och hur många användare som slutförde utbildningarna.

Om inga utbildningar inkluderades i simuleringen är det enda värdet i det här avsnittet att Utbildningar inte ingick i den här simuleringen.

Avsnittet Träningsslut på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet första & genomsnittlig instans i rapporten för simuleringar

Avsnittet Första & genomsnittlig instans på fliken Rapport ** för en simulering visar information om den tid det tog att utföra specifika åtgärder i simuleringen. Till exempel:

  • Första länken klickade
  • Genomsnittlig länk klickade
  • Första angivna autentiseringsuppgifterna
  • Genomsnittlig angiven autentiseringsuppgift

Avsnittet Första & genomsnittlig instans på fliken Rapport i en simuleringsrapport för en simulering.

Avsnittet Rekommendationer i rapporten för simuleringar

Avsnittet Rekommendationer på fliken Rapport** för en simulering visar rekommendationer för att använda Övning av attacksimulering för att skydda din organisation.

Avsnittet Rekommendationer på fliken Rapport i en simuleringsrapport för en simulering.

Simuleringsrapport för utbildningskampanjer

Det här avsnittet beskriver informationen i simuleringsrapporten för träningskampanjer (inte simuleringar).

Fliken Rapport i träningskampanjrapporten i Övning av attacksimulering.

Avsnitt om klassificering av utbildningsslut i rapporten för utbildningskampanjer

Avsnittet Klassificering av utbildningsslut på fliken Rapport ** för en träningskampanj visar information om de slutförda utbildningsmodulerna i kampanjen Utbildning.

Avsnittet Klassificering av utbildningsslut på fliken Rapport i rapporten Träningskampanj i Övning av attacksimulering.

Sammanfattning av utbildningsavslut i rapporten för utbildningskampanjer

Sammanfattningsavsnittet Träningsslut på fliken Rapport** för en träningskampanj använder stapeldiagram som visar statusen för tilldelade användare via alla träningsmoduler i kampanjen (antal användare/totalt antal användare):

  • Avslutade
  • Pågår
  • Inte startad
  • Inte slutfört
  • Tidigare tilldelad

Du kan hovra över ett avsnitt i diagrammet för att se den faktiska procentandelen i varje kategori.

Sammanfattningsavsnittet Träningsslut på fliken Rapport i rapporten Träningskampanj i Övning av attacksimulering.

Avsnittet All användaraktivitet i rapporten för träningskampanjer

I avsnittet All user activity (All user activity ) på fliken Rapport ** för en träningskampanj används ett stapeldiagram för att visa hur huvudpersonerna har fått träningsavisering (antal användare/totalt antal användare).

Du kan hovra över ett avsnitt i diagrammet för att se de faktiska talen i varje kategori.

Avsnittet Alla användaraktiviteter på fliken Rapport i rapporten Träningskampanj i Övning av attacksimulering.

Kom igång med Attack simuleringsträning

Skapa en simulering av nätfiskeattacker

skapa en nyttolast för att utbilda ditt folk