UrlClickEvents
Platí pro:
- Microsoft Defender XDR
Tabulka UrlClickEvents ve schématu rozšířeného vyhledávání obsahuje informace o kliknutích na bezpečné odkazy z e-mailových zpráv, Aplikací Microsoft Teams a Office 365 v podporovaných desktopových, mobilních a webových aplikacích.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy uživatel klikl na odkaz |
Url |
string |
Úplná adresa URL, na kterou uživatel klikl |
ActionType |
string |
Označuje, jestli kliknutí povolily nebo zablokovaly bezpečné odkazy nebo jestli ho zablokovaly zásady tenanta, například ze seznamu povolených tenantů. |
AccountUpn |
string |
Hlavní název uživatele účtu, který klikl na odkaz |
Workload |
string |
Aplikace, ze které uživatel klikl na odkaz, přičemž hodnoty jsou E-mail, Office a Teams |
NetworkMessageId |
string |
Jedinečný identifikátor e-mailu, který obsahuje odkaz, na který klikli, vygenerovaný Microsoftem 365 |
ThreatTypes |
string |
Verdikt v době kliknutí, který informuje, jestli adresa URL vedla k malwaru, phish nebo jiným hrozbám |
DetectionMethods |
string |
Technologie detekce, která se použila k identifikaci hrozby v době kliknutí |
IPAddress |
string |
Veřejná IP adresa zařízení, ze kterého uživatel klikl na odkaz |
IsClickedThrough |
bool |
Označuje, jestli se uživatel mohl prokliknout na původní adresu URL (1) nebo ne (0). |
UrlChain |
string |
V případě scénářů zahrnujících přesměrování zahrnuje adresy URL, které jsou v řetězu přesměrování. |
ReportId |
string |
Jedinečný identifikátor události kliknutí. V případě scénářů kliknutí by ID sestavy mělo stejnou hodnotu, a proto by se mělo použít ke korelaci události kliknutí. |
Můžete zkusit tento ukázkový dotaz, který pomocí UrlClickEvents tabulky vrátí seznam odkazů, ve kterých uživatel mohl pokračovat:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Související články
- Podporované typy událostí streamování XDR v programu Microsoft Defender v rozhraní API pro streamování událostí
- Proaktivní vyhledávání hrozeb
- Bezpečné odkazy v Microsoft Defenderu pro Office 365
- Provedení akce s výsledky rozšířených dotazů proaktivního vyhledávání
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.