Кампании Attack Simulation Training не генерируют события Threat Intelligence. Их журналы находятся только в разделе Attack Simulation Training, а не в общей телеметрии Threat Intelligence. Это частая причина того, что ожидаемые события могут не появляться. Для тестовых файлов EICAR крайне важно правильно определить место для проверки обнаружения. Вам нужно искать конкретные значения RecordType, используемые для событий угроз Defender для Office 365. К ним относятся значения, такие как 28 для фишинга/вредоносного ПО и 41 для событий Safe Links. Убедитесь, что в вашем клиенте включено ведение журнала аудита Purview, прежде чем пытаться проводить какие-либо тесты. Отправка строки EICAR в виде вложения .txt с внешнего почтового ящика может привести к обнаружению вредоносного ПО. Сначала проверьте, появляется ли это обнаружение на вкладке "Электронная почта и совместная работа" → "Проводник" → "Вредоносное ПО". После подтверждения там должна существовать соответствующая запись ThreatIntelligence. Аналогично, используйте известный безопасный, но помеченный тестовый URL-адрес для запуска событий ThreatIntelligenceUrl. Если обнаружения отображаются в Проводнике, но не через Management API, расследуйте проблемы с подпиской и разрешениями API. Это отдельный вопрос от самого механизма обнаружения.