UrlClickEvents
Ereignisse mit URLs, die auf Microsoft Defender for Office 365 geklickt, ausgewählt oder angefordert wurden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AccountUpn | Zeichenfolge | Benutzerprinzipalname des Kontos, das auf den Link geklickt hat. |
ActionType | Zeichenfolge | Gibt an, ob der Klick von "sicheren Links" zugelassen oder blockiert wurde oder aufgrund einer Mandantenrichtlinie blockiert wurde, z. B. aus der Zulassungssperrliste des Mandanten. |
_BilledSize | real | Die Datensatzgröße in Bytes |
DetectionMethods | Zeichenfolge | Erkennungstechnologie, die verwendet wurde, um die Bedrohung zum Zeitpunkt des Klickens zu identifizieren. |
IPAddress | Zeichenfolge | Öffentliche IP-Adresse des Geräts, von dem aus der Benutzer auf den Link geklickt hat. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsClickedThrough | bool | Gibt an, ob der Benutzer die ursprüngliche URL durchklicken konnte oder nicht zugelassen wurde. |
NetworkMessageId | Zeichenfolge | Der eindeutige Bezeichner für die E-Mail, die den von Microsoft 365 generierten Link enthält, auf den geklickt wurde. |
ReportId | Zeichenfolge | Dies ist der eindeutige Bezeichner für ein Klickereignis. Beachten Sie, dass bei Durchklickszenarien die Berichts-ID denselben Wert haben würde und daher zum Korrelieren eines Klickereignisses verwendet werden sollte. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatTypes | Zeichenfolge | Urteil zum Zeitpunkt des Klickens, das angibt, ob die URL zu Schadsoftware, Phish oder anderen Bedrohungen geführt hat. |
TimeGenerated | datetime | Das Datum und die Uhrzeit, zu dem der Benutzer auf den Link geklickt hat. Der Wert ist identisch mit TimeGenerated und ist für Microsoft Defender für Endpunktabfragen vorgesehen. |
type | Zeichenfolge | Der Name der Tabelle. |
url | Zeichenfolge | Die vollständige URL, auf die der Benutzer geklickt hat. |
UrlChain | Zeichenfolge | Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind. |
Workload | Zeichenfolge | Die Anwendung, in der der Benutzer auf den Link geklickt hat, wobei die Werte Email, Office und Teams sind. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für