UrlClickEvents
Gilt für:
- Microsoft Defender XDR
Die UrlClickEvents Tabelle im Schema für die erweiterte Suche enthält Informationen zu Klicks auf sichere Links aus E-Mail-Nachrichten, Microsoft Teams und Office 365-Apps in unterstützten Desktop-, Mobil- und Web-Apps.
Informationen zu anderen Tabellen im Schema „Erweiterte Suche“ finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit, zu dem der Benutzer auf den Link geklickt hat |
Url |
string |
Die vollständige URL, auf die der Benutzer geklickt hat. |
ActionType |
string |
Gibt an, ob der Klick von sicheren Links zugelassen oder blockiert wurde oder aufgrund einer Mandantenrichtlinie blockiert wurde, z. B. aus der Liste "Mandantenzugelassene Sperren". |
AccountUpn |
string |
Benutzerprinzipalname des Kontos, das auf den Link geklickt hat |
Workload |
string |
Die Anwendung, von der aus der Benutzer auf den Link geklickt hat, wobei die Werte E-Mail, Office und Teams sind. |
NetworkMessageId |
string |
Der eindeutige Bezeichner für die E-Mail, die den von Microsoft 365 generierten Link enthält, auf den geklickt wurde |
ThreatTypes |
string |
Urteil zum Zeitpunkt des Klickens, das angibt, ob die URL zu Schadsoftware, Phishing oder anderen Bedrohungen geführt hat |
DetectionMethods |
string |
Erkennungstechnologie, die zum Identifizieren der Bedrohung zum Zeitpunkt des Klickens verwendet wurde |
IPAddress |
string |
Öffentliche IP-Adresse des Geräts, von dem aus der Benutzer auf den Link geklickt hat |
IsClickedThrough |
bool |
Gibt an, ob der Benutzer bis zur ursprünglichen URL (1) klicken konnte oder nicht (0) |
UrlChain |
string |
Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind. |
ReportId |
string |
Der eindeutige Bezeichner für ein Klickereignis. Bei Durchklickszenarien hat die Berichts-ID denselben Wert und sollte daher zum Korrelieren eines Klickereignisses verwendet werden. |
Sie können diese Beispielabfrage ausprobieren, die die UrlClickEvents Tabelle verwendet, um eine Liste von Links zurückzugeben, bei denen ein Benutzer den Vorgang fortsetzen durfte:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Verwandte Artikel
- Unterstützte Microsoft Defender XDR-Streamingereignistypen in der Ereignisstreaming-API
- Vorbeugende Suche nach Bedrohungen
- Sichere Links in Microsoft Defender für Office 365
- Ausführen von Aktionen bei ergebnissen erweiterter Huntingabfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.