攻击模拟训练活动不会生成威胁情报事件。其日志仅位于“攻击模拟训练”部分，而不在通用的威胁情报遥测中。这是预期事件未出现的常见原因。对于 EICAR 测试文件，检查检测结果的正确位置至关重要。您需要查找 Defender for Office 365 威胁事件所使用的特定 RecordType 值，其中包括用于钓鱼/恶意软件的 28 以及用于 Safe Links 事件的 41。在尝试任何测试之前，请确保已启用租户中的 Purview 审计日志记录。从外部邮箱发送带有 EICAR 字符串的.txt 附件可能会生成恶意软件检测。首先验证该检测是否出现在“电子邮件与合作”→“资源管理器”→“恶意软件”选项卡中。一旦在此处确认，底层 ThreatIntelligence 记录应已存在。同样，使用一个已知安全但会被标记的测试 URL 来触发 ThreatIntelligenceUrl 事件。如果检测结果显示在资源管理器中但无法通过管理 API 获取，请调查 API 订阅和权限问题。这与检测机制本身无关。