Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka UrlClickEvents ve schématu rozšířeného vyhledávání obsahuje informace o kliknutích na bezpečné odkazy z e-mailových zpráv, Microsoft Teams a Office 365 aplikací v podporovaných desktopových, mobilních a webových aplikacích.
Tato pokročilá tabulka proaktivního vyhledávání je naplněná záznamy z Microsoft Defender pro Office 365. Pokud vaše organizace nenasadila službu v Microsoft Defender XDR, dotazy, které používají tabulku, nebudou fungovat ani nevrátí žádné výsledky. Další informace o nasazení Defender pro Office 365 v Defender XDR najdete v tématu Nasazení podporovaných služeb.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy uživatel klikl na odkaz |
Url |
string |
Úplná adresa URL, na kterou uživatel klikl |
ActionType |
string |
Označuje, jestli kliknutí povolily nebo zablokovaly bezpečné odkazy nebo jestli ho zablokovaly zásady tenanta, například ze seznamu povolených tenantů. |
AccountUpn |
string |
Hlavní název uživatele účtu, který klikl na odkaz |
Workload |
string |
Aplikace, ze které uživatel klikl na odkaz, s hodnotami Email, Office a Teams |
NetworkMessageId |
string |
Jedinečný identifikátor e-mailu, který obsahuje odkaz, na který klikli, vygenerovaný Microsoftem 365 |
ThreatTypes |
string |
Verdikt v době kliknutí, který informuje, jestli adresa URL vedla k malwaru, phish nebo jiným hrozbám |
DetectionMethods |
string |
Technologie detekce, která se použila k identifikaci hrozby v době kliknutí |
IPAddress |
string |
Veřejná IP adresa zařízení, ze kterého uživatel klikl na odkaz |
IsClickedThrough |
bool |
Označuje, jestli se uživatel mohl prokliknout na původní adresu URL (1) nebo ne (0). |
UrlChain |
string |
V případě scénářů zahrnujících přesměrování zahrnuje adresy URL, které jsou v řetězu přesměrování. |
ReportId |
string |
Jedinečný identifikátor události kliknutí. V případě scénářů kliknutí by ID sestavy mělo stejnou hodnotu, a proto by se mělo použít ke korelaci události kliknutí. |
Poznámka
U kliknutí pocházejících z e-mailu ve složkách Koncepty a Odeslaná pošta nejsou metadata e-mailu k dispozici nebo NetworkMessageId jsou ve výchozím nastavení přiřazená. V tomto případě UrlClickEvents nelze pomocí spojit Email* tabulky, jako jsou EmailEvents, EmailPostDeliveryEventsa další.NetworkMessageId
Můžete zkusit tento ukázkový dotaz, který pomocí UrlClickEvents tabulky vrátí seznam odkazů, ve kterých uživatel mohl pokračovat:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Související články
- Podporované typy událostí Microsoft Defender XDR streamování v rozhraní API pro streamování událostí
- Proaktivní vyhledávání hrozeb
- Bezpečné odkazy v Microsoft Defender pro Office 365
- Provedení akce s výsledky rozšířených dotazů proaktivního vyhledávání
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.