Compartir a través de

Conclusiones e informes para Entrenamiento de simulación de ataque

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

En Entrenamiento de simulación de ataque en Microsoft Defender para Office 365 Plan 2 o Microsoft 365 E5, Microsoft proporciona información e informes de los resultados de las simulaciones y los entrenamientos correspondientes. Esta información le mantiene informado sobre el progreso de preparación de amenazas de los usuarios y recomienda los pasos siguientes para preparar mejor a los usuarios para futuros ataques.

Las conclusiones y los informes están disponibles en las siguientes ubicaciones en la página Entrenamiento de simulación de ataque del portal de Microsoft Defender:

En el resto de este artículo se describen los informes y las conclusiones de Entrenamiento de simulación de ataque.

Para obtener información de introducción sobre Entrenamiento de simulación de ataque, consulte Introducción al uso de Entrenamiento de simulación de ataque.

Información sobre las pestañas Información general e Informes de Entrenamiento de simulación de ataque

Para ir a la pestaña Información general, abra el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & colaboración>Entrenamiento de simulación de ataque:

La distribución de información en las pestañas se describe en la tabla siguiente:

Informe ‎Pestaña da Información general Ficha Informes
Tarjeta de simulaciones recientes
Tarjeta de recomendaciones
Tarjeta de cobertura de simulación
Tarjeta de finalización del entrenamiento
Tarjeta de reincidentes
Impacto del comportamiento en la tarjeta de velocidad de riesgo

En el resto de esta sección se describe la información disponible en las pestañas Información general e Informes de Entrenamiento de simulación de ataque.

Tarjeta de simulaciones recientes

La tarjeta Simulaciones recientes de la pestaña Información general muestra las tres últimas simulaciones que creó o ejecutó en su organización.

Puede seleccionar una simulación para ver los detalles.

Al seleccionar Ver todas las simulaciones , se le lleva a la pestaña Simulaciones .

Al seleccionar Iniciar una simulación , se inicia el asistente para la nueva simulación. Para obtener más información, consulte Simular un ataque de suplantación de identidad (phishing) en Defender para Office 365.

La tarjeta Simulaciones recientes de la pestaña Información general de Entrenamiento de simulación de ataque en el portal de Microsoft Defender.

Tarjeta de recomendaciones

La tarjeta Recomendaciones de la pestaña Información general sugiere diferentes tipos de simulaciones que se van a ejecutar.

Al seleccionar Iniciar ahora se inicia el nuevo asistente de simulación con el tipo de simulación especificado seleccionado automáticamente en la página Seleccionar técnica . Para obtener más información, consulte Simular un ataque de suplantación de identidad (phishing) en Defender para Office 365.

La tarjeta Recomendaciones de la pestaña Información general de Entrenamiento de simulación de ataque en el portal de Microsoft Defender.

Tarjeta de cobertura de simulación

La tarjeta Cobertura de simulación de las pestañas Información general e Informes muestra el porcentaje de usuarios de la organización que recibieron una simulación (usuarios simulados) frente a usuarios que no recibieron una simulación (usuarios no simulados). Puede mantener el puntero sobre una sección del gráfico para ver el número real de usuarios en cada categoría.

Al seleccionar Ver informe de cobertura de simulación , se le lleva a la pestaña Cobertura de usuario del informe Simulación de ataque.

Al seleccionar Iniciar simulación para usuarios no simulados , se inicia el nuevo asistente de simulación, donde los usuarios que no han recibido la simulación se seleccionan automáticamente en la página Usuario de destino . Para obtener más información, consulte Simular un ataque de suplantación de identidad (phishing) en Defender para Office 365.

La tarjeta Cobertura de simulación de la pestaña Información general de Entrenamiento de simulación de ataque en el portal de Microsoft Defender.

Tarjeta de finalización del entrenamiento

La tarjeta De finalización del entrenamiento de las pestañas Información general e Informes organiza los porcentajes de usuarios que recibieron entrenamientos en función de los resultados de las simulaciones en las categorías siguientes:

  • Completed
  • En curso
  • Incompleto

Puede mantener el puntero sobre una sección del gráfico para ver el número real de usuarios en cada categoría.

Al seleccionar Ver informe de finalización de entrenamiento , se le llevará a la pestaña Finalización del entrenamiento del informe Simulación de ataque.

La tarjeta Finalización del entrenamiento de la pestaña Información general de Entrenamiento de simulación de ataque en el portal de Microsoft Defender.

Tarjeta de reincidentes

La tarjeta Reincidentes de las pestañas Información general e Informes muestra la información sobre los reincidentes. Un delincuente reincidente es un usuario que se vio comprometido por simulaciones consecutivas. El número predeterminado de simulaciones consecutivas es dos, pero puede cambiar el valor en la pestaña Configuración de Entrenamiento de simulación de ataque en https://security.microsoft.com/attacksimulator?viewid=setting. Para obtener más información, consulte Configuración del umbral de reincidente.

El gráfico organiza los datos de reincidentes por tipo de simulación:

  • Todo
  • Datos adjuntos de malware
  • Vínculo a Malware
  • Cosecha de credenciales
  • Vínculo en datos adjuntos
  • Dirección URL de unidad por

Al seleccionar Ver informe de reincidentes , se le lleva a la pestaña Reincidentes del informe Simulación de ataque.

La tarjeta Reincidentes de la pestaña Información general de Entrenamiento de simulación de ataque en el portal de Microsoft Defender

Impacto del comportamiento en la tarjeta de velocidad de riesgo

La tarjeta Impacto del comportamiento en la tasa de riesgo de las pestañas Información general e Informes muestra cómo los usuarios respondieron a las simulaciones en comparación con los datos históricos de Microsoft 365. Puede usar estas conclusiones para realizar un seguimiento del progreso de la preparación de amenazas de los usuarios mediante la ejecución de varias simulaciones en los mismos grupos de usuarios.

Los datos del gráfico muestran la siguiente información:

  • Tasa de compromiso real: el porcentaje real de personas que se vieron comprometidas por la simulación (usuarios reales en peligro o número total de usuarios de la organización que recibieron la simulación).
  • Tasa de riesgo prevista: datos históricos en Microsoft 365 que predice el porcentaje de personas que se verán comprometidas por esta simulación. Para obtener más información sobre la tasa de compromiso prevista (PCR), consulte Velocidad de compromiso prevista.

Si mantiene el puntero sobre un punto de datos del gráfico, se muestran los valores de porcentaje reales.

Para ver un informe detallado, seleccione Ver simulaciones y informe de eficacia de entrenamiento. Este informe se explica más adelante en este artículo.

El impacto en el comportamiento en la tarjeta de velocidad de riesgo en la pestaña Información general de Entrenamiento de simulación de ataque en el portal de Microsoft Defender.

Informe de simulación de ataques

Puede abrir el informe Simulación de ataques desde la pestaña Información general seleccionando Ver ... acciones de informe que están disponibles en algunas de las tarjetas de las pestañas Información general e Informes que se describen en este artículo. Para ir directamente a la página Informe de simulación de ataques , use https://security.microsoft.com/attacksimulationreport

Pestaña De eficacia de entrenamiento para el informe de simulación de ataques

La pestaña Eficacia del entrenamiento está seleccionada de forma predeterminada en la página Informe de simulación de ataque . Esta pestaña proporciona la misma información que está disponible en el impacto del comportamiento en la tarjeta de velocidad de riesgo, con contexto adicional de la propia simulación.

La pestaña Eficacia del entrenamiento en el informe Simulación de ataque en el portal de Microsoft Defender.

En el gráfico se muestran la tasa de riesgo real y la tasa de compromiso prevista. Si mantiene el puntero sobre una sección del gráfico, se muestran los valores de porcentaje reales de .

En la tabla de detalles debajo del gráfico se muestra la siguiente información. Puede ordenar las simulaciones haciendo clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. De forma predeterminada, se seleccionan todas las columnas disponibles.

  • Nombre de la simulación
  • Técnica de simulación
  • Tácticas de simulación
  • Tasa en peligro prevista
  • Tasa en peligro real
  • Total de usuarios destinados
  • Recuento de usuarios en los que se ha hecho clic

Use el cuadro Buscar para filtrar los resultados por nombre de simulación o técnica de simulación. No se admiten los caracteres comodín.

Use el botón Exportar informe para guardar la información en un archivo CSV. El nombre de archivo predeterminado es Informe de simulación de ataques: Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas local. Si ya existe un informe exportado en esa ubicación, se incrementa el nombre de archivo (por ejemplo, Informe de simulación de ataques: Microsoft Defender (1).csv).

Pestaña Cobertura de usuario para el informe de simulación de ataques

En la pestaña Cobertura de usuario, el gráfico muestra los usuarios simulados y los usuarios no simulados. Si mantiene el puntero sobre un punto de datos del gráfico, se muestran los valores reales.

La pestaña Cobertura de usuario del informe Simulación de ataques en el portal de Microsoft Defender.

En la tabla de detalles debajo del gráfico se muestra la siguiente información. Para ordenar la información, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. De forma predeterminada, se seleccionan todas las columnas disponibles.

  • Username
  • Dirección de correo electrónico
  • Incluido en la simulación
  • Fecha de la última simulación
  • Último resultado de la simulación
  • Recuento de clics
  • Recuento de comprometidos

Use el cuadro Buscar para filtrar los resultados por nombre de usuario o dirección Email. No se admiten los caracteres comodín.

Use el botón Exportar informe para guardar la información en un archivo CSV. El nombre de archivo predeterminado es Informe de simulación de ataques: Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas local. Si ya existe un informe exportado en esa ubicación, se incrementa el nombre de archivo (por ejemplo, Informe de simulación de ataques: Microsoft Defender (1).csv).

Pestaña Finalización del entrenamiento para el informe de simulación de ataques

En la pestaña Finalización del entrenamiento , el gráfico muestra el número de simulaciones completadas, en curso y incompletas . Si mantiene el puntero sobre una sección del gráfico, se muestran los valores reales.

La pestaña Finalización del entrenamiento del informe Simulación de ataque en el portal de Microsoft Defender.

En la tabla de detalles debajo del gráfico se muestra la siguiente información. Para ordenar la información, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. De forma predeterminada, se seleccionan todas las columnas disponibles.

  • Username
  • Dirección de correo electrónico
  • Incluido en la simulación
  • Fecha de la última simulación
  • Último resultado de la simulación
  • Nombre del entrenamiento más reciente completado
  • Fecha de finalización
  • Todos los entrenamientos

Seleccione Filtrar para filtrar el gráfico y la tabla de detalles por los valores De estado de los entrenamientos: Completado, En curso o Todo.

Cuando haya terminado de configurar los filtros, seleccione Aplicar, Cancelar o Borrar filtros.

Use el cuadro Buscar para filtrar los resultados por nombre de usuario o dirección Email. No se admiten los caracteres comodín.

Si selecciona el botón Exportar informe, el progreso de generación del informe se muestra como un porcentaje de completado. En el cuadro de diálogo que se abre, puede elegir abrir el archivo .csv, guardar el archivo .csv y recordar la selección.

Pestaña Reincidentes para el informe de simulación de ataques

Un delincuente reincidente es un usuario que se vio comprometido por simulaciones consecutivas. El número predeterminado de simulaciones consecutivas es dos, pero puede cambiar el valor en la pestaña Configuración de Entrenamiento de simulación de ataque en https://security.microsoft.com/attacksimulator?viewid=setting. Para obtener más información, consulte Configuración del umbral de reincidente.

En la pestaña Reincidentes , el gráfico muestra el número de usuarios infractores repetidos y usuarios simulados.

Pestaña Repetición de delincuentes en el informe Simulación de ataque en el portal de Microsoft Defender.

Si mantiene el puntero sobre un punto de datos del gráfico, se muestran los valores reales.

En la tabla de detalles debajo del gráfico se muestra la siguiente información. Para ordenar la información, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. De forma predeterminada, se seleccionan todas las columnas disponibles.

  • Usuario: nombre del usuario.

  • Tipos de simulación: tipo de simulaciones en las que el usuario estaba implicado.

  • Simulaciones: nombre de las simulaciones en las que el usuario estaba implicado.

  • Email dirección: Email dirección del usuario.

  • Recuento de repeticiones más reciente: recuento más reciente de compromisos para los usuarios clasificados como reincidentes. Por ejemplo, si el umbral de reincidente está establecido en 3 y un usuario se vio comprometido en 3 simulaciones consecutivas, el recuento de repeticiones más reciente es 3. Si el usuario se vio comprometido en 4 simulaciones consecutivas, el recuento de repeticiones más reciente es 4. Si el usuario se vio comprometido en 2 simulaciones consecutivas, entonces el valor N/A. El último recuento de repeticiones se establece en 0 (N/A), cada vez que se restablece una marca de reincidente (lo que significa que el usuario pasa una simulación).

  • Reincidencia: incluye el número de veces que un usuario se clasificó como reincidente. Por ejemplo:

    • El usuario se clasificó como reincidente en las primeras simulaciones (se vieron comprometidos 3 veces consecutivas, donde el umbral de reincidente es 2).
    • El usuario se clasificó como "limpio" después de pasar una simulación.
    • El usuario se clasificó como reincidente en las siguientes simulaciones (se vieron comprometidos 4 veces consecutivas, donde el umbral de reincidente es 2).

    En estos casos, el número de reincidencias se establece en 2. El recuento se actualiza cada vez que un usuario se considera reincidente.

  • Apellidos de la simulación

  • Último resultado de la simulación

  • Último entrenamiento asignado

  • Último estado de entrenamiento

Seleccione Filtrar para filtrar el gráfico y la tabla de detalles por uno o varios valores de tipo de simulación:

  • Cosecha de credenciales
  • Datos adjuntos de malware
  • Vínculo en datos adjuntos
  • Vínculo a Malware

Cuando haya terminado de configurar los filtros, seleccione Aplicar, Cancelar o Borrar filtros.

Use el cuadro Buscar para filtrar los resultados por cualquiera de los valores de columna. No se admiten los caracteres comodín.

Use el botón Exportar informe para guardar la información en un archivo CSV. El nombre de archivo predeterminado es Informe de simulación de ataques: Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas local. Si ya existe un informe exportado en esa ubicación, se incrementa el nombre de archivo (por ejemplo, Informe de simulación de ataques: Microsoft Defender (1).csv).

Informe de simulación en Entrenamiento de simulación de ataque

El informe de simulación muestra los detalles de las simulaciones en curso o completadas (el valor Estado es En curso o Completado). Para ver el informe de simulación, use cualquiera de los métodos siguientes:

La página de informe que se abre contiene las pestañas Informe, **Usuarios y Detalles que contienen información sobre la simulación. En el resto de esta sección se describen las conclusiones y los informes que están disponibles en la pestaña Informe .

Las secciones de la pestaña Informe de una simulación se describen en las subsecciones siguientes.

Para obtener más información sobre las pestañas Usuarios y Detalles , consulte los vínculos siguientes.

Informes para simulaciones de código QR

Sugerencia

Las cargas de código QR están actualmente en versión preliminar, no están disponibles en todas las organizaciones y están sujetas a cambios.

Puede seleccionar cargas de código QR para usarlas en simulaciones. El código QR reemplaza la dirección URL de phishing como la carga que se usa en el mensaje de correo electrónico de simulación. Para obtener más información, vea Cargas de código QR.

Dado que los códigos QR son un tipo diferente de una dirección URL de phishing, los eventos de usuario en torno a los eventos de lectura, eliminación, compromiso y clic siguen siendo los mismos. Por ejemplo, al examinar el código QR se abre la dirección URL de phishing, por lo que se realiza un seguimiento del evento como un evento de clic. Los mecanismos existentes para realizar el seguimiento de eventos de riesgo, eliminaciones e informes siguen siendo los mismos.

Si exporta un informe de simulación a un archivo CSV, la columna EmailLinkClicked_ClickSource está disponible con los valores siguientes:

  • PhishingURL: el usuario ha hecho clic en el vínculo de suplantación de identidad en el mensaje de correo electrónico de simulación.
  • QRCode: el usuario ha examinado el código QR en el mensaje de correo electrónico de simulación.

Otras métricas, como las lecturas, los compromisos, las eliminaciones y los mensajes notificados, se siguen realizando un seguimiento sin actualizaciones adicionales. Para obtener más información, la sección Apéndice más adelante en este artículo.

Informe de simulación para simulaciones

En esta sección se describe la información del informe de simulación para simulaciones regulares (no campañas de entrenamiento).

La pestaña Informe del informe de simulación de Entrenamiento de simulación de ataque.

Sección de impacto de simulación en el informe para simulaciones

En la sección Impacto de simulación de la pestaña Informe ** de una simulación se muestra el número y el porcentaje de usuarios en peligro y usuarios que notificaron el mensaje.

Si mantiene el puntero sobre una sección del gráfico, se muestran los números reales de cada categoría.

Seleccione Ver usuarios en peligro para ir a la pestaña Usuarios del informe donde los resultados se filtran por En peligro: Sí.

Seleccione Ver usuarios que informaron de que van a la pestaña Usuarios del informe donde los resultados se filtran por mensaje notificado: Sí.

La sección Impacto de simulación de la pestaña Informe de un informe de simulación para una simulación.

Toda la sección de actividad de usuario del informe para simulaciones

La sección Todas las actividades de usuario de la pestaña Informe ** de una simulación muestra números para los posibles resultados de la simulación. La información varía en función del tipo de simulación. Por ejemplo:

  • Vínculo del mensaje en el que se ha hecho clic o vínculo de datos adjuntos en el que se ha hecho clic o se han abierto los datos adjuntos.
  • Credenciales proporcionadas
  • Leer mensaje
  • Mensaje eliminado
  • Respuesta al mensaje
  • Mensaje reenviado
  • Fuera de la oficina

Seleccione Ver todos los usuarios para ir a la pestaña Usuarios del informe donde los resultados no se han filtrado.

La sección actividad Todos los usuarios de la pestaña Informe de un informe de simulación para una simulación.

Sección Estado de entrega en el informe para simulaciones

En la sección Estado de entrega de la pestaña Informe ** de una simulación se muestran los números de los posibles estados de entrega del mensaje de simulación. Por ejemplo:

  • Mensaje recibido correctamente
  • Mensaje de refuerzo positivo entregado
  • Solo mensaje de simulación entregado

Seleccione Ver usuarios a los que no pudo ir la entrega de mensajes a la pestaña Usuarios del informe donde los resultados se filtran por entrega de mensajes de simulación: No se pudo entregar.

Seleccione Ver usuarios o grupos excluidos para abrir un control flotante Usuarios o grupos excluidos que muestre los usuarios o grupos excluidos de la simulación.

La sección Estado de entrega de la pestaña Informe de un informe de simulación para una simulación.

Sección de finalización del entrenamiento en el informe para simulaciones

La sección Finalización del entrenamiento de la página de detalles de la simulación muestra los entrenamientos necesarios para la simulación y cuántos usuarios completaron los entrenamientos.

Si no se incluyeron entrenamientos en la simulación, el único valor de esta sección es Entrenamientos que no formaron parte de esta simulación.

La sección Finalización del entrenamiento de la pestaña Informe de un informe de simulación para una simulación.

Primera & sección de instancia media en el informe para simulaciones

En la sección Primera & instancia promedio de la pestaña Informe ** de una simulación se muestra información sobre el tiempo que se tardó en realizar acciones específicas en la simulación. Por ejemplo:

  • Primer vínculo en el que se ha hecho clic
  • Vínculo medio en el que se ha hecho clic
  • Primera credencial especificada
  • Credencial promedio especificada

La sección Primera & instancia promedio de la pestaña Informe de un informe de simulación para una simulación.

Sección recomendaciones del informe para simulaciones

En la sección Recomendaciones de la pestaña Informe** de una simulación se muestran recomendaciones para usar Entrenamiento de simulación de ataque para ayudar a proteger su organización.

La sección Recomendaciones de la pestaña Informe de un informe de simulación para una simulación.

Informe de simulación para campañas de entrenamiento

En esta sección se describe la información del informe de simulación de campañas de entrenamiento (no simulaciones).

La pestaña Informe del informe campaña de entrenamiento de Entrenamiento de simulación de ataque.

Sección de clasificación de finalización de entrenamiento en el informe de campañas de entrenamiento

La sección Clasificación de finalización del entrenamiento de la pestaña Informe ** de una campaña de entrenamiento muestra información sobre los módulos de entrenamiento completados en la campaña de entrenamiento.

La sección Clasificación de finalización del entrenamiento en la pestaña Informe del informe campaña de entrenamiento de Entrenamiento de simulación de ataque.

Sección resumen de finalización de entrenamiento en el informe de campañas de entrenamiento

La sección Resumen de finalización del entrenamiento de la pestaña Informe ** para una campaña de entrenamiento usa gráficos de barras que muestran la progresión de los usuarios asignados a través de todos los módulos de entrenamiento de la campaña (número de usuarios o número total de usuarios):

  • Completed
  • En curso
  • No iniciado
  • No completado
  • Asignado anteriormente

Puede mantener el puntero sobre una sección del gráfico para ver el porcentaje real en cada categoría.

La sección Resumen de finalización del entrenamiento de la pestaña Informe del informe de la campaña de entrenamiento de Entrenamiento de simulación de ataque.

Toda la sección de actividad del usuario en el informe de campañas de entrenamiento

La sección Actividad de todos los usuarios de la pestaña Informe ** de una campaña de entrenamiento usa un gráfico de barras para mostrar cómo las personas principales recibieron correctamente la notificación de entrenamiento (número de usuarios o número total de usuarios).

Puede mantener el puntero sobre una sección del gráfico para ver los números reales de cada categoría.

La sección Actividad de todos los usuarios de la pestaña Informe del informe campaña de entrenamiento de Entrenamiento de simulación de ataque.

Apéndice

Al exportar información de los informes, el archivo CSV contiene más información que la que se muestra en el informe, incluso si se muestra toda la columna. Los campos se describen en la tabla siguiente.

Sugerencia

Para obtener información máxima, compruebe que todas las columnas disponibles del informe estén visibles antes de exportar.

Nombre del campo Descripción
UserName Nombre de usuario del usuario que realizó la actividad.
UserMail Email dirección del usuario que realizó la actividad.
Comprometido Indica si el usuario estaba en peligro. Los valores son Sí o No.
AttachmentOpened_TimeStamp Cuando se abrió la carga de datos adjuntos en simulaciones de datos adjuntos de malware .
AttachmentOpened_Browser Cuando se abrió la carga de datos adjuntos en un explorador web en simulaciones de datos adjuntos de malware . Esta información procede de UserAgent.
AttachmentOpened_IP Dirección IP donde se abrió la carga de datos adjuntos en simulaciones de datos adjuntos de malware . Esta información procede de UserAgent.
AttachmentOpened_Device Dispositivo donde se abrió la carga de datos adjuntos en simulaciones de datos adjuntos de malware . Esta información procede de UserAgent.
AttachmentLinkClicked_TimeStamp Cuando se hizo clic en la carga del vínculo de datos adjuntos en Vínculo en simulaciones de datos adjuntos .
AttachmentLinkClicked_Browser Explorador web que se usó para hacer clic en la carga del vínculo de datos adjuntos en Vínculo en simulaciones de datos adjuntos . Esta información procede de UserAgent.
AttachmentLinkClicked_IP Dirección IP en la que se hizo clic en la carga del vínculo de datos adjuntos en Vínculo en simulaciones de datos adjuntos . Esta información procede de UserAgent.
AttachmentLinkClicked_Device Dispositivo en el que se hizo clic en la carga del vínculo de datos adjuntos en Vínculo en simulaciones de datos adjuntos . Esta información procede de UserAgent.
EmailLinkClicked_TimeStamp Cuando se hizo clic en la carga del vínculo en simulaciones de concesión de consentimiento de OAuth, Link to Malware, Drive-by-url y Credential Harvest.
EmailLinkClicked_Browser Explorador web que se usó para hacer clic en la carga del vínculo en simulaciones de concesión de consentimiento de OAuth, Link to Malware, Drive-by-url y Credential Harvest. Esta información procede de UserAgent.
EmailLinkClicked_IP Dirección IP en la que se hizo clic en la carga del vínculo en simulaciones de concesión de consentimiento de OAuth, Link to Malware, Drive-by-url y Credential Harvest. Esta información procede de UserAgent.
EmailLinkClicked_Device Dispositivo en el que se hizo clic en la carga del vínculo en simulaciones de concesión de consentimiento de OAuth, Link to Malware, Drive-by-url y Credential Harvest. Esta información procede de UserAgent.
EmailLinkClicked_ClickSource Si el vínculo de carga se seleccionó haciendo clic en una dirección URL o escaneando un código QR en Credential Harvest, Link to Malware, Drive-by-url y OAuth Consent Grant simulations( Simulaciones de concesión de consentimiento de OAuth). Los valores son PhishingURL o QRCode. La compatibilidad con código QR está actualmente en versión preliminar.
CredSupplied_TimeStamp(Compromised) Cuando el usuario escribió sus credenciales.
CredSupplied_Browser Explorador web que se usó cuando el usuario escribió sus credenciales. Esta información procede de UserAgent.
CredSupplied_IP Dirección IP donde el usuario especificó sus credenciales. Esta información procede de UserAgent.
CredSupplied_Device Dispositivo en el que el usuario especificó sus credenciales. Esta información procede de UserAgent.
SuccessfullyDeliveredEmail_TimeStamp Cuando el mensaje de correo electrónico de simulación se entregó al usuario.
MessageRead_TimeStamp Cuando se leyó el mensaje de simulación.
MessageDeleted_TimeStamp Cuando se eliminó el mensaje de simulación.
MessageReplied_TimeStamp Cuando el usuario respondió al mensaje de simulación.
MessageForwarded_TimeStamp Cuando el usuario reenvió el mensaje de simulación.
OutOfOfficeDays Determina si el usuario está fuera de la oficina. Esta información procede de la configuración Respuestas automáticas en Outlook.
PositiveReinforcementMessageDelivered_TimeStamp Cuando el mensaje de refuerzo positivo se entregó al usuario.
PositiveReinforcementMessageFailed_TimeStamp Cuando el mensaje de refuerzo positivo no se pudo entregar al usuario.
JustSimulationMessageDelivered_TimeStamp Cuando el mensaje de simulación se entregó al usuario como parte de una simulación sin entrenamientos asignados (no se seleccionó ningún entrenamiento en la página Asignar entrenamiento del nuevo asistente de simulación).
JustSimulationMessageFailed_TimeStamp Cuando el mensaje de correo electrónico de simulación no se pudo entregar al usuario y la simulación no tenía entrenamientos asignados.
TrainingAssignmentMessageDelivered_TimeStamp Cuando el mensaje de asignación de entrenamiento se entregó al usuario. Este valor está vacío si no se asignó ningún entrenamiento en la simulación.
TrainingAssignmentMessageFailed_TimeStamp Cuando el mensaje de asignación de entrenamiento no se pudo entregar al usuario. Este valor está vacío si no se asignó ningún entrenamiento en la simulación.
FailedToDeliverEmail_TimeStamp Cuando el mensaje de correo electrónico de simulación no se pudo entregar al usuario.
Última actividad de simulación La última actividad de simulación del usuario (ya sea que pasara o estuviera en peligro).
Entrenamientos asignados Lista de entrenamientos asignados al usuario como parte de la simulación.
Entrenamientos completados Lista de entrenamientos completados por el usuario como parte de la simulación.
Estado del entrenamiento Estado actual de los entrenamientos para el usuario como parte de la simulación.
Suplantación de identidad notificada Cuando el usuario notificó el mensaje de simulación como suplantación de identidad (phishing).
Departamento Valor de la propiedad Department del usuario en Microsoft Entra ID en el momento de la simulación.
Company Valor de propiedad Company del usuario en Microsoft Entra ID en el momento de la simulación.
Cargo Valor de la propiedad Title del usuario en Microsoft Entra ID en el momento de la simulación.
Office Valor de propiedad de Office del usuario en Microsoft Entra ID en el momento de la simulación.
Ciudad Valor de la propiedad City del usuario en Microsoft Entra ID en el momento de la simulación.
País Valor de la propiedad Country del usuario en Microsoft Entra ID en el momento de la simulación.
Administrador Valor de la propiedad Manager del usuario en Microsoft Entra ID en el momento de la simulación.

En la tabla siguiente se describe cómo se capturan las señales de actividad del usuario.

Campo Descripción Lógica de cálculo
DownloadAttachment Un usuario descargó los datos adjuntos. La señal procede del cliente (por ejemplo, Outlook o Word).
Datos adjuntos abiertos Un usuario abrió los datos adjuntos. La señal procede del cliente (por ejemplo, Outlook o Word).
Leer mensaje El usuario lee el mensaje de simulación. Las señales de lectura de mensajes pueden experimentar problemas en los siguientes escenarios:
  • El usuario notificó el mensaje como suplantación de identidad (phishing) en Outlook sin salir del panel de lectura y marcar los elementos como leídos cuando se veban en el panel de lectura no estaba configurado (valor predeterminado).
  • El usuario notificó el mensaje no leído como suplantación de identidad (phishing) en Outlook, el mensaje se eliminó y marcar los mensajes como leídos cuando se eliminaron no se configuró (valor predeterminado).
Fuera de la oficina Determina si el usuario está fuera de la oficina. Calculado actualmente por la configuración De respuestas automáticas de Outlook.
Usuario en peligro El usuario estaba en peligro. La señal de compromiso varía en función de la técnica de ingeniería social.
  • Cosecha de credenciales: el usuario escribió sus credenciales en la página de inicio de sesión (Microsoft no almacena las credenciales).¹
  • Datos adjuntos de malware: el usuario abrió los datos adjuntos de carga y seleccionó Habilitar edición en la vista protegida.
  • Vínculo en Datos adjuntos: el usuario abrió los datos adjuntos y escribió sus credenciales después de hacer clic en el vínculo de carga.
  • Vínculo a Malware: el usuario ha hecho clic en el vínculo de carga útil y ha escrito sus credenciales.
  • Unidad por dirección URL: el usuario ha hecho clic en el vínculo de carga (no es necesario escribir credenciales).¹
  • Concesión de consentimiento de OAuth: el usuario ha hecho clic en el vínculo de carga y ha aceptado el mensaje para compartir permisos.¹
Vínculo de mensaje en el que se ha hecho clic El usuario ha hecho clic en el vínculo de carga en el mensaje de simulación. La dirección URL de la simulación es única para cada usuario, lo que permite el seguimiento de la actividad del usuario individual. Los servicios de filtrado de terceros o el reenvío de correo electrónico pueden dar lugar a falsos positivos. Para obtener más información, vea Eventos de clics o de riesgo de usuarios que insisten en que no hicieron clic en el vínculo en el mensaje de simulación.
Mensaje reenviado El usuario reenvió el mensaje.
Respuesta al mensaje El usuario respondió al mensaje.
Mensaje eliminado El usuario eliminó el mensaje. La señal procede de la actividad de Outlook del usuario. Si el usuario notifica el mensaje como suplantación de identidad (phishing), el mensaje podría moverse a la carpeta Elementos eliminados, que se identifica como eliminación.
Permisos concedidos Permisos compartidos de usuario en una simulación de concesión de consentimiento de OAuth .

¹ El vínculo en el que se ha hecho clic puede ser una dirección URL seleccionada o un código QR escaneado (la compatibilidad con código QR en Entrenamiento de simulación de ataque está actualmente en versión preliminar).

Introducción al uso de aprendizaje de simulación de ataques

Creación de una simulación de ataque de suplantación de identidad (phishing)

crear una carga útil para entrenar a los usuarios