Sdílet prostřednictvím


UrlClickEvents

Platí pro:

  • Microsoft Defender XDR

Tabulka UrlClickEvents ve schématu rozšířeného vyhledávání obsahuje informace o kliknutích na bezpečné odkazy z e-mailových zpráv, Aplikací Microsoft Teams a Office 365 v podporovaných desktopových, mobilních a webových aplikacích.

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas, kdy uživatel klikl na odkaz
Url string Úplná adresa URL, na kterou uživatel klikl
ActionType string Označuje, jestli kliknutí povolily nebo zablokovaly bezpečné odkazy nebo jestli ho zablokovaly zásady tenanta, například ze seznamu povolených tenantů.
AccountUpn string Hlavní název uživatele účtu, který klikl na odkaz
Workload string Aplikace, ze které uživatel klikl na odkaz, přičemž hodnoty jsou E-mail, Office a Teams
NetworkMessageId string Jedinečný identifikátor e-mailu, který obsahuje odkaz, na který klikli, vygenerovaný Microsoftem 365
ThreatTypes string Verdikt v době kliknutí, který informuje, jestli adresa URL vedla k malwaru, phish nebo jiným hrozbám
DetectionMethods string Technologie detekce, která se použila k identifikaci hrozby v době kliknutí
IPAddress string Veřejná IP adresa zařízení, ze kterého uživatel klikl na odkaz
IsClickedThrough bool Označuje, jestli se uživatel mohl prokliknout na původní adresu URL (1) nebo ne (0).
UrlChain string V případě scénářů zahrnujících přesměrování zahrnuje adresy URL, které jsou v řetězu přesměrování.
ReportId string Jedinečný identifikátor události kliknutí. V případě scénářů kliknutí by ID sestavy mělo stejnou hodnotu, a proto by se mělo použít ke korelaci události kliknutí.

Můžete zkusit tento ukázkový dotaz, který pomocí UrlClickEvents tabulky vrátí seznam odkazů, ve kterých uživatel mohl pokračovat:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.