Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le UrlClickEvents tableau du schéma de repérage avancé contient des informations sur les clics de liens fiables dans les messages électroniques, Microsoft Teams et les applications Office 365 dans les applications de bureau, mobiles et web prises en charge.
Cette table de chasse avancée est remplie par les enregistrements de Microsoft Defender pour Office 365. Si votre organization n’a pas déployé le service dans Microsoft Defender XDR, les requêtes qui utilisent la table ne fonctionnent pas et ne retournent aucun résultat. Pour plus d’informations sur le déploiement de Defender for Office 365 dans Defender XDR, consultez Déployer des services pris en charge.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure auxquelles l’utilisateur a cliqué sur le lien |
Url |
string |
URL complète sur laquelle l’utilisateur a cliqué |
ActionType |
string |
Indique si le clic a été autorisé ou bloqué par les liens fiables ou bloqué en raison d’une stratégie de locataire, pour instance, dans la liste des blocages autorisés du locataire |
AccountUpn |
string |
Nom d’utilisateur principal du compte qui a cliqué sur le lien |
Workload |
string |
Application à partir de laquelle l’utilisateur a cliqué sur le lien, avec les valeurs Email, Office et Teams |
NetworkMessageId |
string |
Identificateur unique de l’e-mail qui contient le lien cliqué, généré par Microsoft 365 |
ThreatTypes |
string |
Verdict au moment du clic, qui indique si l’URL a conduit à un programme malveillant, hameçonnage ou d’autres menaces |
DetectionMethods |
string |
Technologie de détection utilisée pour identifier la menace au moment du clic |
IPAddress |
string |
Adresse IP publique de l’appareil à partir duquel l’utilisateur a cliqué sur le lien |
IsClickedThrough |
bool |
Indique si l’utilisateur a pu cliquer sur l’URL d’origine (1) ou non (0) |
UrlChain |
string |
Pour les scénarios impliquant des redirections, il inclut les URL présentes dans la chaîne de redirection |
ReportId |
string |
Identificateur unique d’un événement click. Pour les scénarios de clic, l’ID de rapport aurait la même valeur et, par conséquent, il doit être utilisé pour mettre en corrélation un événement click. |
Remarque
Pour les clics provenant d’un e-mail dans les dossiers Brouillons et Éléments envoyés, les métadonnées d’e-mail ne sont pas disponibles ou NetworkMessageId sont affectées par défaut. Dans ce cas, UrlClickEvents ne peut pas être joint avec Email* des tables telles que EmailEvents, EmailPostDeliveryEventset d’autres, à l’aide de NetworkMessageId.
Vous pouvez essayer cet exemple de requête qui utilise la UrlClickEvents table pour renvoyer une liste de liens où un utilisateur a été autorisé à continuer :
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Articles connexes
- Types d’événements de streaming Microsoft Defender XDR pris en charge dans l’API de streaming d’événements
- Repérage proactif des menaces
- Liens fiables dans Microsoft Defender pour Office 365
- Agir sur les résultats de requête de repérage avancés
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.