UrlClickEvents
Poznámka
Chcete vyzkoušet XDR v Microsoft Defenderu? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotně nasadit XDR v Microsoft Defenderu.
Platí pro:
- Microsoft Defender XDR
Tabulka UrlClickEvents ve schématu rozšířeného vyhledávání obsahuje informace o kliknutích na bezpečné odkazy z e-mailových zpráv, Microsoft Teams a Office 365 aplikací v podporovaných desktopových, mobilních a webových aplikacích.
Důležité
Tato tabulka je aktuálně ve verzi Public Preview. Některé informace se týkají předem vydané funkce, která může být před komerčním vydáním podstatně změněna. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy uživatel klikl na odkaz |
Url |
string |
Úplná adresa URL, na kterou uživatel klikl |
ActionType |
string |
Označuje, jestli kliknutí povolily nebo zablokovaly bezpečné odkazy nebo jestli ho zablokovaly zásady tenanta, například ze seznamu povolených tenantů. |
AccountUpn |
string |
Hlavní název uživatele účtu, který klikl na odkaz |
Workload |
string |
Aplikace, ze které uživatel klikl na odkaz, s hodnotami Email, Office a Teams |
NetworkMessageId |
string |
Jedinečný identifikátor e-mailu, který obsahuje odkaz, na který klikli, vygenerovaný Microsoftem 365 |
ThreatTypes |
string |
Verdikt v době kliknutí, který informuje, jestli adresa URL vedla k malwaru, phish nebo jiným hrozbám |
DetectionMethods |
string |
Technologie detekce, která se použila k identifikaci hrozby v době kliknutí |
IPAddress |
string |
Veřejná IP adresa zařízení, ze kterého uživatel klikl na odkaz |
IsClickedThrough |
bool |
Označuje, jestli se uživatel mohl prokliknout na původní adresu URL (1) nebo ne (0). |
UrlChain |
string |
V případě scénářů zahrnujících přesměrování zahrnuje adresy URL, které jsou v řetězu přesměrování. |
ReportId |
string |
Jedinečný identifikátor události kliknutí. V případě scénářů kliknutí by ID sestavy mělo stejnou hodnotu, a proto by se mělo použít ke korelaci události kliknutí. |
Můžete zkusit tento ukázkový dotaz, který pomocí UrlClickEvents tabulky vrátí seznam odkazů, ve kterých uživatel mohl pokračovat:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Související články
- Podporované typy událostí Microsoft Defender XDR streamování v rozhraní API pro streamování událostí
- Proaktivní vyhledávání hrozeb
- Bezpečné odkazy v Microsoft Defender pro Office 365
- Provedení akce s výsledky rozšířených dotazů proaktivního vyhledávání
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro