UrlClickEvents
Ereignisse mit URLs, die auf Microsoft Defender for Office 365 geklickt, ausgewählt oder angefordert wurden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountUpn | Zeichenfolge | Benutzerprinzipalname des Kontos, das auf den Link geklickt hat. |
| ActionType | Zeichenfolge | Gibt an, ob der Klick von "sicheren Links" zugelassen oder blockiert wurde oder aufgrund einer Mandantenrichtlinie blockiert wurde, z. B. aus der Zulassungssperrliste des Mandanten. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| DetectionMethods | Zeichenfolge | Erkennungstechnologie, die verwendet wurde, um die Bedrohung zum Zeitpunkt des Klickens zu identifizieren. |
| IPAddress | Zeichenfolge | Öffentliche IP-Adresse des Geräts, von dem aus der Benutzer auf den Link geklickt hat. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsClickedThrough | bool | Gibt an, ob der Benutzer die ursprüngliche URL durchklicken konnte oder nicht zugelassen wurde. |
| NetworkMessageId | Zeichenfolge | Der eindeutige Bezeichner für die E-Mail, die den von Microsoft 365 generierten Link enthält, auf den geklickt wurde. |
| ReportId | Zeichenfolge | Dies ist der eindeutige Bezeichner für ein Klickereignis. Beachten Sie, dass bei Durchklickszenarien die Berichts-ID denselben Wert haben würde und daher zum Korrelieren eines Klickereignisses verwendet werden sollte. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| ThreatTypes | Zeichenfolge | Urteil zum Zeitpunkt des Klickens, das angibt, ob die URL zu Schadsoftware, Phish oder anderen Bedrohungen geführt hat. |
| TimeGenerated | datetime | Das Datum und die Uhrzeit, zu dem der Benutzer auf den Link geklickt hat. Der Wert ist identisch mit TimeGenerated und ist für Microsoft Defender für Endpunktabfragen vorgesehen. |
| type | Zeichenfolge | Der Name der Tabelle. |
| url | Zeichenfolge | Die vollständige URL, auf die der Benutzer geklickt hat. |
| UrlChain | Zeichenfolge | Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind. |
| Workload | Zeichenfolge | Die Anwendung, in der der Benutzer auf den Link geklickt hat, wobei die Werte Email, Office und Teams sind. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für