Partager via


UrlClickEvents

S’applique à :

  • Microsoft Defender XDR

Le UrlClickEvents tableau du schéma de repérage avancé contient des informations sur les clics de liens fiables dans les messages électroniques, Microsoft Teams et les applications Office 365 dans les applications de bureau, mobiles et web prises en charge.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure auxquelles l’utilisateur a cliqué sur le lien
Url string URL complète sur laquelle l’utilisateur a cliqué
ActionType string Indique si le clic a été autorisé ou bloqué par des liens fiables ou bloqué en raison d’une stratégie de locataire, par exemple, dans la liste Des blocages autorisés par le locataire
AccountUpn string Nom d’utilisateur principal du compte qui a cliqué sur le lien
Workload string Application à partir de laquelle l’utilisateur a cliqué sur le lien, avec les valeurs Email, Office et Teams
NetworkMessageId string Identificateur unique de l’e-mail qui contient le lien cliqué, généré par Microsoft 365
ThreatTypes string Verdict au moment du clic, qui indique si l’URL a conduit à un programme malveillant, hameçonnage ou d’autres menaces
DetectionMethods string Technologie de détection utilisée pour identifier la menace au moment du clic
IPAddress string Adresse IP publique de l’appareil à partir duquel l’utilisateur a cliqué sur le lien
IsClickedThrough bool Indique si l’utilisateur a pu cliquer sur l’URL d’origine (1) ou non (0)
UrlChain string Pour les scénarios impliquant des redirections, il inclut les URL présentes dans la chaîne de redirection
ReportId string Identificateur unique d’un événement click. Pour les scénarios de clic, l’ID de rapport aurait la même valeur et, par conséquent, il doit être utilisé pour mettre en corrélation un événement click.

Vous pouvez essayer cet exemple de requête qui utilise la UrlClickEvents table pour renvoyer une liste de liens où un utilisateur a été autorisé à continuer :

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.