공격 시뮬레이션 훈련 대한 인사이트 및 보고서
팁
Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
Office 365용 Microsoft Defender 플랜 2 또는 Microsoft 365 E5 공격 시뮬레이션 훈련 Microsoft는 시뮬레이션 결과 및 해당 학습의 인사이트와 보고서를 제공합니다. 이 정보를 통해 사용자의 위협 준비 진행 상황을 파악하고 향후 공격에 대비할 수 있도록 다음 단계를 권장합니다.
인사이트 및 보고서는 Microsoft Defender 포털의 공격 시뮬레이션 훈련 페이지에서 다음 위치에서 사용할 수 있습니다.
- 통찰력:
- 보고서:
- 의 공격 시뮬레이션 보고서 페이지입니다.https://security.microsoft.com/attacksimulationreport
- 진행 중인 시뮬레이션 및 완료된 시뮬레이션 및 학습 캠페인에 대한 보고서: 자세한 내용은 공격 시뮬레이션 보고서를 참조하세요.
이 문서의 나머지 부분에는 공격 시뮬레이션 훈련 대한 보고서 및 인사이트가 설명되어 있습니다.
공격 시뮬레이션 훈련 대한 시작 정보는 공격 시뮬레이션 훈련 사용을 참조하세요.
공격 시뮬레이션 훈련 개요 및 보고서 탭에 대한 인사이트
개요 탭으로 이동하려면 에서 https://security.microsoft.comMicrosoft Defender 포털을 열고 Email & 협업>으로 이동합니다공격 시뮬레이션 훈련
- 개요 탭: 개요 탭이 선택되어 있는지 확인합니다(기본값임). 또는 개요 탭으로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/attacksimulator?viewid=overview.
- 보고서 탭: 보고서 탭을 선택합니다. 또는 보고서 탭으로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/attacksimulationreport.
탭에 대한 인사이트 배포는 다음 표에 설명되어 있습니다.
| 보고서 | 개요 탭 | 보고서 탭 |
|---|---|---|
| 최근 시뮬레이션 카드 | ✔ | |
| 권장 사항 카드 | ✔ | |
| 시뮬레이션 검사 카드 | ✔ | ✔ |
| 학습 완료 카드 | ✔ | ✔ |
| 반복 범죄자 카드 | ✔ | ✔ |
| 손상률 카드 대한 동작 영향 | ✔ | ✔ |
이 섹션의 나머지 부분에서는 공격 시뮬레이션 훈련 개요 및 보고서 탭에서 사용할 수 있는 정보를 설명합니다.
최근 시뮬레이션 카드
개요 탭의 최근 시뮬레이션 카드 organization 만들거나 실행한 마지막 세 가지 시뮬레이션을 보여 줍니다.
시뮬레이션을 선택하여 세부 정보를 볼 수 있습니다.
모든 시뮬레이션 보기를 선택하면 시뮬레이션탭으로 이동합니다.
시뮬레이션 시작을 선택하면 새 시뮬레이션 마법사가 시작됩니다. 자세한 내용은 Office 365용 Defender 피싱 공격 시뮬레이션을 참조하세요.
권장 사항 카드
개요 탭의 권장 사항 카드 실행할 다양한 유형의 시뮬레이션을 제안합니다.
시작을 선택하면 기술 선택 페이지에서 지정된 시뮬레이션 유형이 자동으로 선택된 새 시뮬레이션 마법사가 시작됩니다. 자세한 내용은 Office 365용 Defender 피싱 공격 시뮬레이션을 참조하세요.
시뮬레이션 검사 카드
개요 및 보고서 탭의 시뮬레이션 검사 카드 시뮬레이션을 받은 사용자(시뮬레이션된 사용자)와 시뮬레이션을 받지 못한 사용자(시뮬레이션되지 않은 사용자)를 organization 사용자의 비율을 보여 줍니다. 차트의 섹션을 마우스로 가리키면 각 범주의 실제 사용자 수를 볼 수 있습니다.
시뮬레이션 검사 보고서 보기를 선택하면 공격 시뮬레이션 보고서의 사용자 검사 탭으로 이동합니다.
시뮬레이션되지 않은 사용자에 대한 시뮬레이션 시작을 선택하면 시뮬레이션을 받지 못한 사용자가 대상 사용자 페이지에서 자동으로 선택되는 새 시뮬레이션 마법사가 시작됩니다. 자세한 내용은 Office 365용 Defender 피싱 공격 시뮬레이션을 참조하세요.
학습 완료 카드
개요 및 보고서 탭의 학습 완료 카드 시뮬레이션 결과에 따라 학습을 받은 사용자의 비율을 다음 범주로 구성합니다.
- 완료
- 진행 중
- 불완전
차트의 섹션을 마우스로 가리키면 각 범주의 실제 사용자 수를 볼 수 있습니다.
학습 완료 보고서 보기를 선택하면 공격 시뮬레이션 보고서의 학습 완료 탭으로 이동합니다.
반복 범죄자 카드
개요 및 보고서 탭의 반복 범죄자 카드 반복 범죄자에 대한 정보가 표시됩니다. 반복 위반자는 연속 시뮬레이션으로 인해 손상된 사용자입니다. 연속 시뮬레이션의 기본 수는 2개이지만 의 공격 시뮬레이션 훈련 설정 탭에서 https://security.microsoft.com/attacksimulator?viewid=setting값을 변경할 수 있습니다. 자세한 내용은 반복 위반자 임계값 구성을 참조하세요.
차트는 시뮬레이션 유형별로 반복 위반자 데이터를 구성합니다.
- 모두
- 맬웨어 첨부 파일
- 맬웨어에 연결
- 자격 증명 수확
- 첨부 파일의 링크
- 드라이브 바이 URL
반복 위반자 보고서 보기를 선택하면 공격 시뮬레이션 보고서의 반복 위반자 탭으로 이동합니다.
손상률 카드 대한 동작 영향
개요 및 보고서 탭에서 카드 손상률에 대한 동작 영향은 사용자가 Microsoft 365의 기록 데이터와 비교하여 시뮬레이션에 응답하는 방법을 보여 줍니다. 이러한 인사이트를 사용하여 동일한 사용자 그룹에 대해 여러 시뮬레이션을 실행하여 사용자 위협 준비 상태를 추적할 수 있습니다.
차트 데이터에는 다음 정보가 표시됩니다.
- 실제 손상률: 시뮬레이션에 의해 손상된 실제 사용자 비율(시뮬레이션을 받은 organization 실제 사용자/총 사용자 수)입니다.
- 예측된 손상률: 이 시뮬레이션으로 인해 손상될 사용자 비율을 예측하는 Microsoft 365의 기록 데이터입니다. PCR(예측된 손상률)에 대한 자세한 내용은 예측된 손상률을 참조하세요.
차트의 데이터 요소 위로 마우스를 가져가면 실제 백분율 값이 표시됩니다.
자세한 보고서를 보려면 시뮬레이션 및 학습 효능 보고서 보기를 선택합니다. 이 보고서는 이 문서의 뒷부분에 설명되어 있습니다.
공격 시뮬레이션 보고서
보기 ...를 선택하여 개요 탭에서 공격 시뮬레이션 보고서를 열 수 있습니다. 이 문서에 설명된 개요 및 보고서 탭의 일부 카드에서 사용할 수 있는 보고서 작업입니다. 공격 시뮬레이션 보고서 페이지로 직접 이동하려면https://security.microsoft.com/attacksimulationreport
공격 시뮬레이션 보고서에 대한 학습 효능 탭
학습 효율성 탭은 공격 시뮬레이션 보고서 페이지에서 기본적으로 선택됩니다. 이 탭은 시뮬레이션 자체의 추가 컨텍스트와 함께 손상률 카드 대한 동작 영향에서 사용할 수 있는 동일한 정보를 제공합니다.
차트에는 실제 손상 속도 및 예측된 손상률이 표시됩니다. 차트의 섹션을 마우스로 가리키면 의 실제 백분율 값이 표시됩니다.
차트 아래의 세부 정보 표에는 다음 정보가 표시됩니다. 사용 가능한 열 머리글을 클릭하여 시뮬레이션을 정렬할 수 있습니다.
열 사용자 지정을 선택하여 
표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.
- 시뮬레이션 이름
- 시뮬레이션 기술
- 시뮬레이션 전술
- 예측된 손상 속도
- 실제 손상 속도
- 대상으로 지정된 총 사용자 수
- 클릭한 사용자 수
검색 상자를 사용하여 시뮬레이션 이름 또는 시뮬레이션 기술별로 결과를 필터링합니다. 와일드카드는 지원되지 않습니다.
보고서 내보내기 단추를 사용하여 CSV 파일에 정보를 저장합니다. 기본 파일 이름은 공격 시뮬레이션 보고서 - Microsoft Defender.csv, 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: 공격 시뮬레이션 보고서 - Microsoft Defender(1).csv).
공격 시뮬레이션 보고서의 사용자 검사 탭
사용자 검사 탭에서 차트에는 시뮬레이션된 사용자 및 시뮬레이션되지않은 사용자가 표시됩니다. 차트의 데이터 요소 위로 마우스를 가져가면 실제 값이 표시됩니다.
차트 아래의 세부 정보 표에는 다음 정보가 표시됩니다. 사용 가능한 열 머리글을 클릭하여 정보를 정렬할 수 있습니다.
열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.
- Username
- 전자 메일 주소
- 시뮬레이션에 포함
- 마지막 시뮬레이션 날짜
- 마지막 시뮬레이션 결과
- 클릭한 횟수
- 손상된 수
검색 상자를 사용하여 사용자 이름 또는 Email 주소별로 결과를 필터링합니다. 와일드카드는 지원되지 않습니다.
보고서 내보내기 단추를 사용하여 CSV 파일에 정보를 저장합니다. 기본 파일 이름은 공격 시뮬레이션 보고서 - Microsoft Defender.csv, 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: 공격 시뮬레이션 보고서 - Microsoft Defender(1).csv).
공격 시뮬레이션 보고서의 학습 완료 탭
학습 완료 탭에서 차트에는 완료됨, 진행 중 및 불완전한 시뮬레이션 수가 표시됩니다. 차트의 섹션을 마우스로 가리키면 실제 값이 표시됩니다.
차트 아래의 세부 정보 표에는 다음 정보가 표시됩니다. 사용 가능한 열 머리글을 클릭하여 정보를 정렬할 수 있습니다.
열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.
- Username
- 전자 메일 주소
- 시뮬레이션에 포함
- 마지막 시뮬레이션 날짜
- 마지막 시뮬레이션 결과
- 완료된 가장 최근 학습의 이름
- 완료 날짜
- 모든 교육
필터를 선택하여 
학습의 상태 값(완료됨, 진행 중 또는 모두)으로 차트 및 세부 정보 테이블을 필터링합니다.
필터 구성이 완료되면 필터 적용, 취소 또는 
지우기를 선택합니다.
검색 상자를 사용하여 사용자 이름 또는 Email 주소별로 결과를 필터링합니다. 와일드카드는 지원되지 않습니다.
보고서 내보내기 단추를 선택하면 보고서 생성 진행률이 완료율로 표시됩니다. 열리는 대화 상자에서 .csv 파일을 열고, .csv 파일을 저장하고, 선택 항목을 기억하도록 선택할 수 있습니다.
공격 시뮬레이션 보고서에 대한 반복 위반자 탭
반복 위반자는 연속 시뮬레이션으로 인해 손상된 사용자입니다. 연속 시뮬레이션의 기본 수는 2개이지만 의 공격 시뮬레이션 훈련 설정 탭에서 https://security.microsoft.com/attacksimulator?viewid=setting값을 변경할 수 있습니다. 자세한 내용은 반복 위반자 임계값 구성을 참조하세요.
반복 위반자 탭에서 차트에는 반복 위반자 사용자 및 시뮬레이션된 사용자 수가 표시됩니다.
차트의 데이터 요소 위로 마우스를 가져가면 실제 값이 표시됩니다.
차트 아래의 세부 정보 표에는 다음 정보가 표시됩니다. 사용 가능한 열 머리글을 클릭하여 정보를 정렬할 수 있습니다.
열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.
사용자: 사용자의 이름입니다.
시뮬레이션 유형: 사용자가 참여한 시뮬레이션의 유형입니다.
시뮬레이션: 사용자가 참여한 시뮬레이션의 이름입니다.
Email 주소: 사용자의 Email 주소입니다.
최신 반복 수: 반복 범죄자로 분류된 사용자에 대한 최신 손상 횟수입니다. 예를 들어 반복 위반자 임계값이 3으로 설정되고 사용자가 3회 연속 시뮬레이션에서 손상된 경우 최신 반복 횟수는 3입니다. 사용자가 4회 연속 시뮬레이션에서 손상된 경우 최신 반복 횟수는 4입니다. 사용자가 2회 연속 시뮬레이션에서 손상된 경우 값 N/A입니다. 최신 반복 횟수는 반복 위반자 플래그가 다시 설정(사용자가 시뮬레이션을 통과함)할 때마다 0(N/A)으로 설정됩니다.
반복 범죄: 사용자가 반복 범죄자로 분류된 횟수를 포함합니다. 예시:
- 사용자는 처음 몇 번의 시뮬레이션에서 반복 범죄자로 분류되었습니다(반복 위반자 임계값이 2인 경우 3회 연속 손상됨).
- 사용자는 시뮬레이션을 통과한 후 '클린'으로 분류되었습니다.
- 사용자는 다음 몇 번의 시뮬레이션에서 반복 범죄자로 분류되었습니다(반복 위반자 임계값이 2인 경우 4회 연속 손상됨).
이러한 경우 반복 위반 횟수는 2로 설정됩니다. 사용자가 반복 범죄자로 간주될 때마다 카운트가 업데이트됩니다.
마지막 시뮬레이션 이름
마지막 시뮬레이션 결과
마지막으로 할당된 학습
마지막 학습 상태
필터를 선택하여 하나 이상의 시뮬레이션 형식 값으로 차트 및 세부 정보 테이블을 필터링합니다.
- 자격 증명 수확
- 맬웨어 첨부 파일
- 첨부 파일의 링크
- 맬웨어에 연결
필터 구성이 완료되면 필터 적용, 취소 또는 지우기를 선택합니다.
검색 상자를 사용하여 열 값으로 결과를 필터링합니다. 와일드카드는 지원되지 않습니다.
보고서 내보내기 단추를 사용하여 CSV 파일에 정보를 저장합니다. 기본 파일 이름은 공격 시뮬레이션 보고서 - Microsoft Defender.csv, 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: 공격 시뮬레이션 보고서 - Microsoft Defender(1).csv).
공격 시뮬레이션 훈련 시뮬레이션 보고서
시뮬레이션 보고서는 진행 중 또는 완료된 시뮬레이션의 세부 정보를 보여 줍니다( 상태 값은 진행 중 또는 완료됨). 시뮬레이션 보고서를 보려면 다음 방법 중 일부를 사용합니다.
의 공격 시뮬레이션 훈련 페이지의 개요 탭에서 https://security.microsoft.com/attacksimulator?viewid=overview최근 시뮬레이션 카드 시뮬레이션을 선택합니다.
의 공격 시뮬레이션 훈련 페이지의 시뮬레이션 탭에서 https://security.microsoft.com/attacksimulator?viewid=simulations이름 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 시뮬레이션을 선택합니다. 자세한 내용은 시뮬레이션 보고서 보기를 참조하세요.
- 의 공격 시뮬레이션 훈련 페이지의 학습 탭에서 https://security.microsoft.com/attacksimulator?viewid=trainingcampaign다음 방법 중 하나를 사용하여 학습 캠페인을 선택합니다.
- 이름 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭합니다.
- 이름 옆에 있는 검사 상자를 선택한 다음 보고서 보기를 선택합니다
.
자세한 내용은 교육 캠페인 보고서 보기를 참조하세요.
열리는 보고서 페이지에는 시뮬레이션에 대한 정보가 포함된 보고서, **사용자 및 세부 정보 탭이 포함되어 있습니다. 이 섹션의 나머지 부분에서는 보고서 탭에서 사용할 수 있는 인사이트 및 보고서에 대해 설명합니다.
시뮬레이션에 대한 보고서 탭의 섹션은 다음 하위 섹션에 설명되어 있습니다.
사용자 및 세부 정보 탭에 대한 자세한 내용은 다음 링크를 참조하세요.
QR 코드 시뮬레이션에 대한 보고
시뮬레이션에 사용할 QR 코드 페이로드를 선택할 수 있습니다. QR 코드는 피싱 URL을 시뮬레이션 전자 메일 메시지에 사용되는 페이로드로 바꿉니다. 자세한 내용은 QR 코드 페이로드를 참조하세요.
QR 코드는 다른 유형의 피싱 URL이므로 읽기, 삭제, 손상 및 클릭 이벤트에 대한 사용자 이벤트는 동일하게 유지됩니다. 예를 들어 QR 코드를 검사하면 피싱 URL이 열리므로 이벤트가 클릭 이벤트로 추적됩니다. 손상, 삭제 및 보고서 이벤트를 추적하기 위한 기존 메커니즘은 동일하게 유지됩니다.
시뮬레이션 보고서를 CSV 파일로 내보내는 경우 EmailLinkClicked_ClickSource 열을 다음 값으로 사용할 수 있습니다.
-
PhishingURL: 사용자가 시뮬레이션 전자 메일 메시지에서 피싱 링크를 클릭했습니다. -
QRCode: 사용자가 시뮬레이션 전자 메일 메시지에서 QR 코드를 검사했습니다.
읽기, 손상, 삭제 및 보고된 메시지와 같은 다른 메트릭은 추가 업데이트 없이 계속 추적됩니다. 자세한 내용은 이 문서의 뒷부 분에 있는 부록 섹션을 참조하세요.
시뮬레이션에 대한 시뮬레이션 보고서
이 섹션에서는 학습 캠페인이 아닌 정기적인 시뮬레이션에 대한 시뮬레이션 보고서의 정보를 설명합니다.
시뮬레이션을 위한 보고서의 시뮬레이션 영향 섹션
시뮬레이션에 대한 보고서 탭**의 시뮬레이션 영향 섹션에는 메시지를 보고한손상된 사용자 및 사용자의 수와 백분율이 표시됩니다.
차트의 섹션을 마우스로 가리키면 각 범주의 실제 숫자가 표시됩니다.
손상된 사용자 보기를 선택하여 손상됨: 예로 결과가 필터링되는 보고서의 사용자 탭으로 이동합니다.
보고된 사용자 보기를 선택하여 보고서의 사용자 탭으로 이동하여 결과가 보고된 메시지로 필터링됩니다. 예.
시뮬레이션을 위한 보고서의 모든 사용자 활동 섹션
시뮬레이션에 대한 보고서 탭**의 모든 사용자 활동 섹션에는 시뮬레이션의 가능한 결과에 대한 숫자가 표시됩니다. 정보는 시뮬레이션 유형에 따라 달라집니다. 예시:
- 클릭 메시지 링크 또는 첨부 파일 링크를 클릭 하거나 첨부 파일을 열었습니다.
- 제공된 자격 증명
- 메시지 읽기
- 메시지가 삭제됨
- 메시지에 회신됨
- 전달된 메시지
- Out of office(부재 중)
모든 사용자 보기를 선택하여 결과가 필터링되지 않은 보고서의 사용자 탭으로 이동합니다.
시뮬레이션을 위한 보고서의 배달 상태 섹션
시뮬레이션에 대한 보고서 탭**의 배달 상태 섹션에는 시뮬레이션 메시지의 가능한 배달 상태에 대한 숫자가 표시됩니다. 예시:
- 메시지를 수신했습니다.
- 긍정적인 보강 메시지 전달
- 시뮬레이션 메시지만 전달됨
메시지 배달이 실패한 사용자 보기를 선택하여 시뮬레이션 메시지 배달: 배달 실패로 결과가 필터링되는 보고서의 사용자 탭으로 이동합니다.
제외된 사용자 또는 그룹 보기를 선택하여 시뮬레이션에서 제외된 사용자 또는 그룹을 보여 주는 제외된 사용자 또는 그룹 플라이아웃을 엽니다.
시뮬레이션을 위한 보고서의 학습 완료 섹션
시뮬레이션 세부 정보 페이지의 학습 완료 섹션에서는 시뮬레이션에 필요한 학습과 학습을 완료한 사용자 수를 보여 줍니다.
시뮬레이션에 학습이 포함되지 않은 경우 이 섹션의 유일한 값은 학습이 이 시뮬레이션의 일부가 아니라는 것입니다.
시뮬레이션을 위한 보고서의 첫 번째 & 평균 instance 섹션
시뮬레이션에 대한 보고서 탭**의 첫 번째 & 평균 instance 섹션에서는 시뮬레이션에서 특정 작업을 수행하는 데 걸린 시간에 대한 정보를 보여 줍니다. 예시:
- 첫 번째 링크를 클릭했습니다.
- 평균 링크를 클릭했습니다.
- 첫 번째 자격 증명 입력됨
- 평균 자격 증명 입력됨
시뮬레이션을 위한 보고서의 권장 사항 섹션
시뮬레이션에 대한 보고서 탭**의 권장 사항 섹션에서는 공격 시뮬레이션 훈련 사용하여 organization 보호하는 데 도움이 되는 권장 사항을 보여 줍니다.
학습 캠페인에 대한 시뮬레이션 보고서
이 섹션에서는 시뮬레이션이 아닌 학습 캠페인에 대한 시뮬레이션 보고서의 정보를 설명 합니다.
교육 캠페인 보고서의 학습 완료 분류 섹션
교육 캠페인의 보고서 탭**에 있는 학습 완료 분류 섹션에는 학습 캠페인의 완료된 학습 모듈에 대한 정보가 표시됩니다.
교육 캠페인 보고서의 학습 완료 요약 섹션
학습 캠페인에 대한 보고서 탭**의 학습 완료 요약 섹션은 캠페인의 모든 학습 모듈(사용자 수/총 사용자 수)을 통해 할당된 사용자의 진행률을 보여 주는 막대 그래프를 사용합니다.
- 완료
- 진행 중
- 시작되지 않음
- 완료되지 않음
- 이전에 할당됨
차트의 섹션을 마우스로 가리키면 각 범주의 실제 백분율을 볼 수 있습니다.
교육 캠페인 보고서의 모든 사용자 활동 섹션
학습 캠페인의 보고서 탭**에 있는 모든 사용자 활동 섹션에서는 막대 그래프를 사용하여 기본 사람들이 학습 알림을 성공적으로 받은 방법(사용자 수/총 사용자 수)을 보여 줍니다.
차트의 섹션을 마우스로 가리키면 각 범주의 실제 숫자를 볼 수 있습니다.
부록
보고서에서 정보를 내보낼 때 CSV 파일에는 모든 열이 표시되어 있더라도 보고서에 표시된 것보다 더 많은 정보가 포함됩니다. 필드는 다음 표에 설명되어 있습니다.
팁
최대 정보는 내보내기 전에 보고서에서 사용 가능한 모든 열이 표시되는지 확인합니다.
| 필드 이름 | 설명 |
|---|---|
| UserName | 활동을 한 사용자의 사용자 이름입니다. |
| UserMail | 활동을 한 사용자의 Email 주소입니다. |
| 손상 | 사용자가 손상되었는지를 나타냅니다. 값은 예 또는 아니요입니다. |
| AttachmentOpened_TimeStamp | 맬웨어 첨부 파일 시뮬레이션에서 첨부 파일 페이로드를 연 경우 |
| AttachmentOpened_Browser | 맬웨어 첨부 파일 시뮬레이션의 웹 브라우저에서 첨부 파일 페이로드가 열린 경우. 이 정보는 UserAgent에서 제공됩니다. |
| AttachmentOpened_IP | 맬웨어 첨부 파일 시뮬레이션에서 첨부 파일 페이로드가 열린 IP 주소입니다. 이 정보는 UserAgent에서 제공됩니다. |
| AttachmentOpened_Device | 맬웨어 첨부 파일 시뮬레이션에서 첨부 파일 페이로드가 열린 디바이스입니다. 이 정보는 UserAgent에서 제공됩니다. |
| AttachmentLinkClicked_TimeStamp | 첨부 파일 시뮬레이션의 링크에서 첨부 파일 링크 페이로드를 클릭한 경우 |
| AttachmentLinkClicked_Browser | 첨부 파일 시뮬레이션의 링크 에서 첨부 파일 링크 페이로드를 클릭하는 데 사용된 웹 브라우저입니다. 이 정보는 UserAgent에서 제공됩니다. |
| AttachmentLinkClicked_IP | 첨부 파일 시뮬레이션의 링크에서 첨부 파일 링크 페이로드를 클릭한 IP 주소입니다. 이 정보는 UserAgent에서 제공됩니다. |
| AttachmentLinkClicked_Device | 첨부 파일 시뮬레이션의 링크에서 첨부 파일 링크 페이로드를 클릭한 디바이스입니다. 이 정보는 UserAgent에서 제공됩니다. |
| EmailLinkClicked_TimeStamp | 자격 증명 수집, 맬웨어 링크, 드라이브 바이 URL 및 OAuth 동의 부여 시뮬레이션에서 링크 페이로드를 클릭했을 때 |
| EmailLinkClicked_Browser | 자격 증명 수집, 맬웨어에 연결, 드라이브 바이 URL 및 OAuth 동의 부여 시뮬레이션에서 링크 페이로드를 클릭하는 데 사용된 웹 브라우저입니다. 이 정보는 UserAgent에서 제공됩니다. |
| EmailLinkClicked_IP | 자격 증명 수집, 맬웨어에 대한 링크, 드라이브 바이 URL 및 OAuth 동의 부여 시뮬레이션에서 링크 페이로드를 클릭한 IP 주소입니다. 이 정보는 UserAgent에서 제공됩니다. |
| EmailLinkClicked_Device | 자격 증명 수집, 맬웨어에 연결, 드라이브별 URL 및 OAuth 동의 부여 시뮬레이션에서 링크 페이로드를 클릭한 디바이스입니다. 이 정보는 UserAgent에서 제공됩니다. |
| EmailLinkClicked_ClickSource | URL을 클릭하거나 자격 증명 수집, 맬웨어에 연결, 드라이브 바이 URL 및 OAuth 동의 부여 시뮬레이션에서 QR 코드를 검사하여 페이로드 링크를 선택했는지 여부입니다. 값은 또는 QRCode입니다PhishingURL. |
| CredSupplied_TimeStamp(손상됨) | 사용자가 자격 증명을 입력한 경우 |
| CredSupplied_Browser | 사용자가 자격 증명을 입력할 때 사용된 웹 브라우저입니다. 이 정보는 UserAgent에서 제공됩니다. |
| CredSupplied_IP | 사용자가 자격 증명을 입력한 IP 주소입니다. 이 정보는 UserAgent에서 제공됩니다. |
| CredSupplied_Device | 사용자가 자격 증명을 입력한 디바이스입니다. 이 정보는 UserAgent에서 제공됩니다. |
| SuccessfullyDeliveredEmail_TimeStamp | 시뮬레이션 전자 메일 메시지가 사용자에게 전달된 경우 |
| MessageRead_TimeStamp | 시뮬레이션 메시지를 읽은 경우. |
| MessageDeleted_TimeStamp | 시뮬레이션 메시지가 삭제된 경우 |
| MessageReplied_TimeStamp | 사용자가 시뮬레이션 메시지에 회신한 경우. |
| MessageForwarded_TimeStamp | 사용자가 시뮬레이션 메시지를 전달한 경우 |
| OutOfOfficeDays | 사용자가 퇴사했는지 여부를 확인합니다. 이 정보는 Outlook의 자동 회신 설정에서 제공됩니다. |
| PositiveReinforcementMessageDelivered_TimeStamp | 양수 강화 메시지가 사용자에게 전달된 경우. |
| PositiveReinforcementMessageFailed_TimeStamp | 양수 강화 메시지를 사용자에게 전달하지 못한 경우. |
| JustSimulationMessageDelivered_TimeStamp | 시뮬레이션 메시지가 할당되지 않은 시뮬레이션의 일부로 사용자에게 전달된 경우(새 시뮬레이션 마법사의 학습 할당 페이지에서 학습이 선택되지 않음) |
| JustSimulationMessageFailed_TimeStamp | 시뮬레이션 전자 메일 메시지를 사용자에게 전달하지 못하고 시뮬레이션에 할당된 학습이 없는 경우 |
| TrainingAssignmentMessageDelivered_TimeStamp | 학습 할당 메시지가 사용자에게 전달된 경우 시뮬레이션에 학습이 할당되지 않은 경우 이 값은 비어 있습니다. |
| TrainingAssignmentMessageFailed_TimeStamp | 학습 할당 메시지를 사용자에게 전달하지 못한 경우. 시뮬레이션에 학습이 할당되지 않은 경우 이 값은 비어 있습니다. |
| FailedToDeliverEmail_TimeStamp | 시뮬레이션 전자 메일 메시지를 사용자에게 전달하지 못한 경우 |
| 마지막 시뮬레이션 작업 | 사용자의 마지막 시뮬레이션 작업(전달되었는지 또는 손상되었는지 여부)입니다. |
| 할당된 교육 | 시뮬레이션의 일부로 사용자에게 할당된 학습 목록입니다. |
| 완료된 교육 | 시뮬레이션의 일부로 사용자가 완료한 학습 목록입니다. |
| 학습 상태 | 시뮬레이션의 일부로 사용자를 위한 학습의 현재 상태. |
| 피싱이 보고됨 | 사용자가 시뮬레이션 메시지를 피싱으로 보고한 경우 |
| 부서 | 시뮬레이션 시 Microsoft Entra ID 사용자의 Department 속성 값입니다. |
| Company | 시뮬레이션 시 Microsoft Entra ID 사용자의 회사 속성 값입니다. |
| 제목 | 시뮬레이션 시 Microsoft Entra ID 사용자의 Title 속성 값입니다. |
| Office | 시뮬레이션 시 Microsoft Entra ID 사용자의 Office 속성 값입니다. |
| 구/군/시 | 시뮬레이션 시 Microsoft Entra ID 사용자의 City 속성 값입니다. |
| 국가 | 시뮬레이션 시 Microsoft Entra ID 사용자의 Country 속성 값입니다. |
| Manager | 시뮬레이션 시 Microsoft Entra ID 사용자의 Manager 속성 값입니다. |
사용자 활동 신호를 캡처하는 방법은 다음 표에 설명되어 있습니다.
| 필드 | 설명 | 계산 논리 |
|---|---|---|
| DownloadAttachment | 사용자가 첨부 파일을 다운로드했습니다. | 신호는 클라이언트(예: Outlook 또는 Word)에서 제공됩니다. |
| 열린 첨부 파일 | 사용자가 첨부 파일을 열었습니다. | 신호는 클라이언트(예: Outlook 또는 Word)에서 제공됩니다. |
| 메시지 읽기 | 사용자가 시뮬레이션 메시지를 읽습니다. | 메시지 읽기 신호는 다음 시나리오에서 문제가 발생할 수 있습니다.
|
| 부재 중 | 사용자가 퇴사했는지 여부를 확인합니다. | 현재 Outlook의 자동 회신 설정으로 계산됩니다. |
| 손상된 사용자 | 사용자가 손상되었습니다. 타협 신호는 사회 공학 기술에 따라 달라집니다. |
|
| 클릭한 메시지 링크 | 사용자가 시뮬레이션 메시지의 페이로드 링크를 클릭했습니다. | 시뮬레이션의 URL은 개별 사용자 활동 추적을 허용하는 각 사용자에 대해 고유합니다. 타사 필터링 서비스 또는 전자 메일 전달은 가양성으로 이어질 수 있습니다. 자세한 내용은 시뮬레이션 메시지에서 링크를 클릭하지 않았다고 주장하는 사용자의 클릭 또는 손상 이벤트를 참조하거나 많은 사용자에게 배달 후 몇 초 이내에 클릭이 표시됩니다(가양성). 무슨 일이죠? |
| 전달된 메시지 | 사용자가 메시지를 전달했습니다. | |
| 메시지에 회신됨 | 사용자가 메시지에 회신했습니다. | |
| 메시지가 삭제됨 | 사용자가 메시지를 삭제했습니다. | 신호는 사용자의 Outlook 활동에서 가져옵니다. 사용자가 메시지를 피싱으로 보고하는 경우 삭제된 항목 폴더로 메시지가 이동될 수 있습니다. 이 폴더는 삭제로 식별됩니다. |
| 부여된 사용 권한 | OAuth 동의 부여 시뮬레이션에서 사용자가 권한을 공유했습니다. |
1 클릭한 링크는 선택한 URL 또는 스캔한 QR 코드일 수 있습니다.