Insights och rapporter för simulering av attackattacker i Defender för Office 365

Gäller för Microsoft Defender för Office 365 abonnemang 2

I utbildning av attack simulering i Microsoft Defender för Office abonnemang 2 eller Microsoft 365 E5 tillhandahåller Microsoft insikter och rapporter från resultaten från simuleringar och motsvarande utbildningar. Den här informationen håller dig informerad om användarnas beredskapsnivå och rekommenderade nästa steg för att bättre förbereda användarna för framtida attacker.

Insights och rapporter finns på följande platser i Attack simuleringsutbildning i Microsoft 365 Defender portal:

  • Fliken Översikt.
  • Simuleringsinformation på fliken Simuleringar.

I resten av den här artikeln beskrivs den tillgängliga informationen.

Information om attack simuleringsutbildning för att komma igång finns i Komma igång med simulering av attack .

Insights och rapporter på fliken Översikt över attack simuleringsutbildning

Du öppnar fliken Översikt genom att öppna Microsoft 365 Defender-portalen på , gå till https://security.microsoft.com E-post &-samarbete Utbildning för attackattack och kontrollera att fliken Översikt är markerad (det är > standard). För att gå direkt till fliken Översikt på sidan Attack simulering utbildning, använd https://security.microsoft.com/attacksimulator?viewid=overview .

I resten av det här avsnittet beskrivs den information som finns på fliken Översikt över attack simuleringsutbildning.

Senaste simuleringskort

Simuleringskortet senaste på fliken Översikt visar de tre senaste simuleringarna som du har skapat eller kört i din organisation.

Du kan välja en simulering om du vill visa information.

Om du väljer Visa alla simuleringar kommer du till fliken Simuleringar.

Om du väljer Starta en simulering startas simuleringsguiden. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

De senaste simuleringskorten på fliken Översikt i Simuleringsutbildning för attack i Microsoft 365 Defender portal.

Påverkan på komprometteringshastighetskort

Funktionseffekterna på kortet med komprometteringsfrekvens på fliken Översikt visar hur användarna har svarat på dina simuleringar jämfört med de historiska data i Microsoft 365. Du kan använda de här insikterna för att följa utvecklingen av användarnas hotberedskap genom att köra flera simuleringar mot samma grupper av användare.

I själva diagrammet visas följande information:

  • Förutsagd komprometteringshastighet : Den genomsnittliga komprometteringen för simulering av attackattacker som använder samma typ av * nyttolast i alla andra Microsoft 365 organisationer.
  • Faktisk komprometteringshastighet: Den faktiska * procentandelen användare som ine avar sig för simuleringen.

Om du hovrar över en datapunkt i diagrammet visas de faktiska procentandelsvärdena.

Följande sammanfattningsinformation visas också på kortet:

  • Användare mindre känsliga för nätfiske: Skillnaden mellan det faktiska antalet användare som komprometterats av den simulerade attacken och den förutsagda komprometterats. Antalet användare kommer troligen inte att komprometteras på grund av liknande attacker i framtiden.
  • x% bättre än förutsagd ränta: Anger hur användarna generellt gjorde i motsats till den förutsagda komprometterat hastigheten.

Påverkan på komprometteringshastighetskort på fliken Översikt i Utbildning av attack simulering i Microsoft 365 Defender portal.

Om du vill se en mer detaljerad rapport klickar du på Visa simuleringar och effektivhetsrapport för utbildning. Den här rapporten förklaras längre fram i den här artikeln.

Simuleringstäckningskort

Simuleringstäckningskortet på fliken Översikt visar procentandelen användare i organisationen som har fått en simulering (simulerade användare) jämfört med de som inte har fått någon simulering (icke-simulerade användare). Du kan hovra över ett avsnitt i diagrammet om du vill se det faktiska antalet användare i varje kategori.

Om du väljer Starta simulering för icke-simulerade användare startas guiden för att skapa simulering där de användare som inte fick simuleringen väljs automatiskt på sidan Målanvändare. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Om du väljer Visa simuleringstäckningsrapport kommer du till fliken Användartäckning för simuleringsrapporten attack.

Simuleringstäckningskort på fliken Översikt i Simuleringsutbildning för attack i Microsoft 365 Defender portal.

Kort för slutförande av utbildning

kortet Slutförande av utbildning fliken Översikt ordnas procentandelen användare som har fått utbildningar baserat på resultatet av simuleringar i följande kategorier:

  • Slutförd
  • Pågående
  • Ofullständig

Du kan hovra över ett avsnitt i diagrammet om du vill se det faktiska antalet användare i varje kategori.

Om du väljer Visa utbildningsrapport för komplettering tar du dig till fliken Utbildning för simuleringsrapport för attack.

Upprepa upprepar kort

Kortet Upprepa på fliken Översikt visar information om upprepningsföreningar. En upprepade upprepade gång är en användare som komprometterats av flera på varandra följande simuleringar. Standardantalet för på varandra följande simuleringar är två, men du kan ändra värdet på Inställningar i Attack simuleringsutbildning på https://security.microsoft.com/attacksimulator?viewid=setting .

Diagrammet organiserar data som upprepas efter simuleringstyp:

  • Alla
  • Bifogad fil från skadlig programvara
  • Länk till skadlig programvara
  • Autentiseringsuppgifter för skörd
  • Länka i bifogade filer
  • Drive-by URL

Om du väljer Visa upprepa upprepa rapport kommer du till fliken Upprepa upprepa för simuleringsrapporten attack.

Rekommendationer kort

I Rekommendationer på fliken Översikt föreslår olika typer av simuleringar som ska köras.

Om du väljer Starta startas nu guiden för att skapa simulering med den angivna simuleringstypen automatiskt vald på sidan Välj teknik. Mer information finns i Simulera en nätfiskeattack i Defender för Office 365.

Rekommendationer på fliken Översikt i Simuleringsutbildning för attack i Microsoft 365 Defender portal.

Attack simuleringsrapport

Du kan öppna simuleringsrapporten för attack från fliken Översikt genom att klicka på visa ... rapportknappar som är tillgängliga på många av korten som beskrivs i den här artikeln. Om du vill gå direkt till rapporten använder du https://security.microsoft.com/attacksimulationreport

Fliken Utbildning av effektivitet för attackberäkningsrapporten

På sidan Attack-simuleringsrapport är fliken Utbildningens effekt markerad som standard. Den här fliken innehåller samma information som är tillgänglig på kortet Inverkan på komprometteringsränta, med ytterligare kontext från själva simuleringen.

Fliken Utbildning av effektivitet i simuleringsrapporten för attack i Microsoft 365 Defender portal.

Diagrammet visar Förutsagd komprometterad ränta och Faktisk komprometterad ränta. Om du hovrar över ett avsnitt i diagrammet visas de faktiska procentandelsvärdena för.

I detaljtabellen under diagrammet visas följande information:

  • Simuleringsnamn
  • Simuleringsteknik
  • Simuleringstaktik
  • Förutsagd komprometterad ränta
  • Faktisk komprometterad ränta
  • Totalt antal riktade användare
  • Antalet klickade användare

Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik.

Klicka på Anpassa kolumner för att ta bort de kolumner som visas. När du är klar klickar du på Använd.

Använd  sökikonen Sökruta för att filtrera resultaten efter Simuleringsnamn eller Simuleringsteknik. Jokertecken stöds inte.

Om du klickar på  ikonen Exportera. Knappen Exportera rapport. Förloppet för rapportgenerering visas som procent färdigt. I dialogrutan som öppnas kan du välja att öppna .csv filen, spara filen .csv och komma ihåg markeringen.

Fliken Användartäckning för simuleringsrapport för attack

Fliken Användartäckning i simuleringsrapporten för attack i Microsoft 365 Defender portalen.

På fliken Användartäckning visar diagrammet Simulerade användare och Icke-simulerade användare. Om du hovrar över en datapunkt i diagrammet visas de faktiska värdena.

I detaljtabellen under diagrammet visas följande information:

  • Användarnamn
  • E-postadress
  • Inkluderad i simulering
  • Datum för den senaste simuleringen
  • Senaste simuleringsresultat
  • Antal klickade
  • Antal komprometterade

Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik.

Klicka på Anpassa kolumner för att ta bort de kolumner som visas. När du är klar klickar du på Använd.

Använd  sökikonen Sökruta för att filtrera resultatet efter Användarnamn eller E-postadress. Jokertecken stöds inte.

Om du klickar på  ikonen Exportera. Knappen Exportera rapport. Förloppet för rapportgenerering visas som procent färdigt. I dialogrutan som öppnas kan du välja att öppna .csv filen, spara filen .csv och komma ihåg valet.

Fliken Slutförande av utbildning för simuleringsrapporten för attack

Fliken Slutförande av utbildning i simuleringsrapporten för attack i Microsoft 365 Defender portal.

På fliken Slutförande av utbildning visar diagrammet antalet Slutförda, Pågående och Ofullständiga simuleringar. Om du hovrar över ett avsnitt i diagrammet visas de faktiska värdena.

I detaljtabellen under diagrammet visas följande information:

  • Användarnamn
  • E-postadress
  • Inkluderad i simulering
  • Datum för den senaste simuleringen
  • Senaste simuleringsresultat
  • Namnet på den senaste utbildningen har slutförts
  • Slutfört den
  • Alla utbildningar

Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik.

Klicka på Anpassa kolumner för att ta bort de kolumner som visas. När du är klar klickar du på Använd.

Klicka  på filterikonen. Filtrera för att filtrera diagrammet och detaljtabellen efter ett eller flera av följande värden:

  • Slutförd
  • Pågående
  • Alla

När du är klar med att konfigurera filtren klickar du på Använd, Avbryt eller Rensa filter.

Använd  sökikonen Sökruta för att filtrera resultatet efter Användarnamn eller E-postadress. Jokertecken stöds inte.

Om du klickar på  ikonen Exportera. Knappen Exportera rapport. Förloppet för rapportgenerering visas som procent färdigt. I dialogrutan som öppnas kan du välja att öppna .csv filen, spara filen .csv och komma ihåg valet.

Fliken upprepa upprepar för simuleringsrapport för attack

Fliken upprepa upprepar i simuleringsrapporten för attack i Microsoft 365 Defender portal.

En upprepade upprepade gång är en användare som komprometterats av flera på varandra följande simuleringar. Standardantalet för på varandra följande simuleringar är två, men du kan ändra värdet på Inställningar i Attack simuleringsutbildning på https://security.microsoft.com/attacksimulator?viewid=setting .

På fliken Upprepa upprepa strukturerar diagrammet upprepar data efter simuleringstyp:

  • Alla
  • Autentiseringsuppgifter för skörd
  • Bifogad fil från skadlig programvara
  • Länk i bifogad fil
  • Länk till skadlig programvara
  • Drive-by URL

Om du hovrar över en datapunkt i diagrammet visas de faktiska värdena.

I detaljtabellen under diagrammet visas följande information:

  • Användare
  • Upprepa antal
  • Simuleringstyper
  • Simuleringar

Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik.

Klicka på Anpassa kolumner för att ta bort de kolumner som visas. När du är klar klickar du på Använd.

Klicka  på filterikonen. Filter för att filtrera diagrammet och detaljtabellen efter några eller alla simuleringstypvärden:

  • Autentiseringsuppgifter för skörd
  • Bifogad fil från skadlig programvara
  • Länk i bifogad fil
  • Länk till skadlig programvara
  • Drive-by URL

När du är klar med att konfigurera filtren klickar du på Använd, Avbryt eller Rensa filter.

Använd  sökikonen Sökruta för att filtrera resultatet efter något av kolumnvärdena. Jokertecken stöds inte.

Om du klickar på  ikonen Exportera. Knappen Exportera rapport. Förloppet för rapportgenerering visas som procent färdigt. I dialogrutan som öppnas kan du välja att öppna .csv filen, spara filen .csv och komma ihåg valet.

Insights och rapporter i simuleringsinformationen för simulering av attack simuleringsutbildning

Om du vill gå till fliken Simuleringar öppnar du Microsoft 365 Defender-portalen på , går till Skicka e& postsamarbete Attack simuleringsutbildning och väljer sedan https://security.microsoft.com fliken > Simuleringar. För att gå direkt till fliken Simuleringar på sidan Attack simulering utbildning, använd https://security.microsoft.com/attacksimulator?viewid=simulations .

När du väljer en simulering från listan öppnas en informationssida. Den här sidan innehåller konfigurationsinställningarna för simuleringen som du förväntar dig att se (status, startdatum, använda nyttolast etc.).

Resten av det här avsnittet beskriver insikter och rapporter som finns tillgängliga på simuleringsinformationssidan.

Avsnittet Om simuleringseffekter

I avsnittet simuleringseffekter på simuleringsinformationen kan du se hur många användare som lurades helt av simuleringen och det totala antalet användare i simuleringen. Vilken information som visas varierar beroende på typen av simulering. Till exempel:

  • Länkar: Autentiseringsuppgifter har angetts och Angav inte autentiseringsuppgifter.

    Avsnittet om simuleringseffekter för länkrelaterad simuleringsinformation.

  • Bifogade filer: Öppnade bifogad fil och Öppnade inte bifogad fil.

    Avsnitt om simuleringseffekter för bifogad fil-relaterad simuleringsinformation.

Om du hovrar över ett avsnitt i diagrammet visas de faktiska talen för varje kategori.

Avsnittet All användaraktivitet

Avsnittet All användaraktivitet på sidan simuleringsinformation visar nummer för de möjliga resultaten av simuleringen. Vilken information som visas varierar beroende på typen av simulering. Till exempel:

  • SuccessfullyDeliveredEmail

  • Rapporterade-post: Hur många användare har rapporterat att simuleringsmeddelandet är misstänkt.

  • Länkar:

    • EmailLinkClicked: Hur många användare klickade på länken i simuleringsmeddelandet.

    • CredSupplied: När du klickat på länken angav hur många användare som angav sina autentiseringsuppgifter.

      Avsnittet all användaraktivitet för länkrelaterad simuleringsinformation.

  • Bifogade filer:

    • AttachmentOpened: Hur många användare som öppnade den bifogade filen i simuleringsmeddelandet.

      Avsnittet All användaraktivitet för information om bifogad fil-relaterad simulering.

Avsnittet Slutförande av utbildning

I avsnittet Slutförande av utbildning på sidan med simuleringsinformation visas de utbildningar som krävs för simuleringen och hur många användare som har slutfört utbildningarna.

Avsnitt för slutförande av utbildning för bifogad fil-relaterad simuleringsinformation.

I avsnittet Rekommenderade åtgärder på sidan simuleringsinformation visas rekommendationsåtgärder från Microsoft Secure Score och den effekt åtgärden får på ditt secure score. De här rekommendationerna baseras på den nyttolast som användes i simuleringen och hjälper till att skydda dina användare och din miljö. Om du väljer en förbättringsåtgärd i listan kommer du till platsen där du vill implementera den föreslagna åtgärden.

Avsnittet Rekommendationsåtgärder om simulering av attack.

Kom igång med Attack simuleringsträning

Skapa en simulering av nätfiskeattacker

skapa en nyttolast för utbildning av dina användare