UrlClickEvents
Gælder for:
- Microsoft Defender XDR
Tabellen UrlClickEvents i det avancerede jagtskema indeholder oplysninger om klik på sikre links fra mails, Microsoft Teams og Office 365-apps i understøttede skrivebords-, mobil- og webapps.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Den dato og det klokkeslæt, hvor brugeren klikkede på linket |
Url |
string |
Den fulde URL-adresse, som brugeren har klikket på |
ActionType |
string |
Angiver, om kliket blev tilladt eller blokeret af sikre links eller blokeret på grund af en lejerpolitik, f.eks. fra listen Over tilladte lejere |
AccountUpn |
string |
Brugerens hovednavn på den konto, der klikkede på linket |
Workload |
string |
Det program, som brugeren klikkede på linket fra, hvor værdierne er Mail, Office og Teams |
NetworkMessageId |
string |
Det entydige id for den mail, der indeholder det klikkede link, som genereres af Microsoft 365 |
ThreatTypes |
string |
Dom på tidspunktet for klik, der fortæller, om URL-adressen førte til malware, phish eller andre trusler |
DetectionMethods |
string |
Registreringsteknologi, der blev brugt til at identificere truslen på tidspunktet for klik |
IPAddress |
string |
Offentlig IP-adresse på den enhed, som brugeren har klikket på linket fra |
IsClickedThrough |
bool |
Angiver, om brugeren kunne klikke sig igennem til den oprindelige URL-adresse (1) eller ej (0) |
UrlChain |
string |
I forbindelse med scenarier, der involverer omdirigering, indeholder den URL-adresser, der findes i omdirigeringskæden |
ReportId |
string |
Det entydige id for en klikhændelse. I forbindelse med klikfrekvenssscenarier har rapport-id'et samme værdi, og det skal derfor bruges til at korrelere en klikhændelse. |
Du kan prøve denne eksempelforespørgsel, der bruger tabellen UrlClickEvents til at returnere en liste over links, hvor en bruger fik tilladelse til at fortsætte:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Relaterede artikler
- Understøttede Microsoft Defender XDR-streaminghændelsestyper i API til hændelsesstreaming
- Proaktiv jagt på trusler
- Sikre links i Microsoft Defender til Office 365
- Udfør handlinger på avancerede resultater af jagtforespørgslen
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.