Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die UrlClickEvents Tabelle im Schema für erweiterte Suche enthält Informationen zu Klicks auf sichere Links aus E-Mail-Nachrichten, Microsoft Teams und Office 365-Apps in unterstützten Desktop-, Mobil- und Web-Apps.
Diese erweiterte Suchtabelle wird mit Datensätzen aus Microsoft Defender for Office 365 aufgefüllt. Wenn Ihr organization den Dienst nicht in Microsoft Defender XDR bereitgestellt hat, funktionieren Abfragen, die die Tabelle verwenden, nicht oder geben keine Ergebnisse zurück. Weitere Informationen zum Bereitstellen von Defender for Office 365 in Defender XDR finden Sie unter Bereitstellen unterstützter Dienste.
Informationen zu anderen Tabellen im Schema „Erweiterte Suche“ finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit, zu dem der Benutzer auf den Link geklickt hat |
Url |
string |
Die vollständige URL, auf die der Benutzer geklickt hat. |
ActionType |
string |
Gibt an, ob der Klick von sicheren Links zugelassen oder blockiert wurde oder aufgrund einer Mandantenrichtlinie blockiert wurde, um instance aus der Liste "Mandantenzugelassene Sperren" zu erhalten. |
AccountUpn |
string |
Benutzerprinzipalname des Kontos, das auf den Link geklickt hat |
Workload |
string |
Die Anwendung, von der aus der Benutzer auf den Link geklickt hat, wobei die Werte Email, Office und Teams sind. |
NetworkMessageId |
string |
Der eindeutige Bezeichner für die E-Mail, die den von Microsoft 365 generierten Link enthält, auf den geklickt wurde |
ThreatTypes |
string |
Urteil zum Zeitpunkt des Klickens, das angibt, ob die URL zu Schadsoftware, Phishing oder anderen Bedrohungen geführt hat |
DetectionMethods |
string |
Erkennungstechnologie, die zum Identifizieren der Bedrohung zum Zeitpunkt des Klickens verwendet wurde |
IPAddress |
string |
Öffentliche IP-Adresse des Geräts, von dem aus der Benutzer auf den Link geklickt hat |
IsClickedThrough |
bool |
Gibt an, ob der Benutzer bis zur ursprünglichen URL (1) klicken konnte oder nicht (0) |
UrlChain |
string |
Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind. |
ReportId |
string |
Der eindeutige Bezeichner für ein Klickereignis. Bei Durchklickszenarien hat die Berichts-ID denselben Wert und sollte daher zum Korrelieren eines Klickereignisses verwendet werden. |
Hinweis
Für Klicks, die aus E-Mails in den Ordnern Entwürfe und Gesendete Elemente stammen, sind E-Mail-Metadaten entweder nicht verfügbar oder NetworkMessageId standardmäßig zugewiesen. In diesem Fall UrlClickEvents kann nicht mit Email* Tabellen wie EmailEvents, EmailPostDeliveryEventsund anderen verknüpft werden, indem verwendet NetworkMessageIdwird.
Sie können diese Beispielabfrage ausprobieren, die die UrlClickEvents Tabelle verwendet, um eine Liste von Links zurückzugeben, bei denen ein Benutzer den Vorgang fortsetzen durfte:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Verwandte Artikel
- Unterstützte Microsoft Defender XDR Streamingereignistypen in der Ereignisstreaming-API
- Vorbeugende Suche nach Bedrohungen
- Sichere Links in Microsoft Defender for Office 365
- Ausführen von Aktionen bei ergebnissen erweiterter Huntingabfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.