UrlClickEvents
Gilt für:
- Microsoft Defender XDR
Die UrlClickEvents
Tabelle im Schema für erweiterte Suche enthält Informationen zu Klicks auf sichere Links aus E-Mail-Nachrichten, Microsoft Teams und Office 365-Apps in unterstützten Desktop-, Mobil- und Web-Apps.
Wichtig
Diese Tabelle befindet sich derzeit in der öffentlichen Vorschau. Einige Informationen beziehen sich auf ein vorab veröffentlichtes Feature, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Informationen zu anderen Tabellen im Schema „Erweiterte Suche“ finden Sie unter Referenz zur erweiterten Suche.
Spaltenname | Datentyp | Beschreibung |
---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit, zu dem der Benutzer auf den Link geklickt hat |
Url |
string |
Die vollständige URL, auf die der Benutzer geklickt hat. |
ActionType |
string |
Gibt an, ob der Klick von sicheren Links zugelassen oder blockiert wurde oder aufgrund einer Mandantenrichtlinie blockiert wurde, um instance aus der Liste "Mandantenzugelassene Sperren" zu erhalten. |
AccountUpn |
string |
Benutzerprinzipalname des Kontos, das auf den Link geklickt hat |
Workload |
string |
Die Anwendung, von der aus der Benutzer auf den Link geklickt hat, wobei die Werte Email, Office und Teams sind. |
NetworkMessageId |
string |
Der eindeutige Bezeichner für die E-Mail, die den von Microsoft 365 generierten Link enthält, auf den geklickt wurde |
ThreatTypes |
string |
Urteil zum Zeitpunkt des Klickens, das angibt, ob die URL zu Schadsoftware, Phishing oder anderen Bedrohungen geführt hat |
DetectionMethods |
string |
Erkennungstechnologie, die zum Identifizieren der Bedrohung zum Zeitpunkt des Klickens verwendet wurde |
IPAddress |
string |
Öffentliche IP-Adresse des Geräts, von dem aus der Benutzer auf den Link geklickt hat |
IsClickedThrough |
bool |
Gibt an, ob der Benutzer bis zur ursprünglichen URL (1) klicken konnte oder nicht (0) |
UrlChain |
string |
Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind. |
ReportId |
string |
Der eindeutige Bezeichner für ein Klickereignis. Bei Durchklickszenarien hat die Berichts-ID denselben Wert und sollte daher zum Korrelieren eines Klickereignisses verwendet werden. |
Sie können diese Beispielabfrage ausprobieren, die die UrlClickEvents
Tabelle verwendet, um eine Liste von Links zurückzugeben, bei denen ein Benutzer den Vorgang fortsetzen durfte:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Verwandte Artikel
- Unterstützte Microsoft Defender XDR Streamingereignistypen in der Ereignisstreaming-API
- Vorbeugende Suche nach Bedrohungen
- Sichere Links in Microsoft Defender for Office 365
- Ausführen von Aktionen bei ergebnissen erweiterter Huntingabfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für